미국 IT 기업들은 요즘 데브옵스에 보안 접목시키는 중

98%가 이미 둘을 합쳤거나 올해 안에 합칠 계획 중이라고 답해
변화에 순응하지 않는 보안 담당자, 기획 회의 때부터 초대해야

[보안뉴스 문가용 기자] 해외의 많은 기업들이 데브옵스 개발 방법론이 보안에 더 좋은 것이 당연하다고 믿고 있다는 조사 결과가 발표됐다. 인증기관인 디지서트(DigiCert)가 300개의 IT 기업들을 대상으로 연구를 실시한 결과이며, 참여자의 98%가 “데브옵스와 개발 과정에 보안을 접목시키는 프로세스를 이미 갖추고 있거나 그럴 계획이다”라고 밝혔다고 한다. 이미 데브옵스와 보안을 접목시키는 데 성공한 업체가 49%, 그러한 과정 중에 있다고 응답한 업체가 49%였다.

[이미지 = iclickart]

디지서트의 CSO인 제이슨 사빈(Jason Sabin)은 “98%라는 숫자가 너무나 놀라웠다”고 말한다. “데브옵스와 보안을 접목시키는 것은 일부 기업에서만 진행하고 있는 것이라고 생각했거든요. IT 변화에 매우 민감한 일부 기업들에게서만 해당되는 얘기인 줄 알았죠.” 디지서트의 보고서는 이러한 예상 밖의 수치에 대해 “결국 튼튼한 보안과 앱 출시 속도를 다 잡고 싶은 업체들의 열망이 반영된 것”이라고 해석하고 있다. “데브옵스와 결합된 보안이 빠르게 걸어야 직성이 풀리는 개발 팀과, 그 걸음을 하나하나 확인해야 직성이 풀리는 보안 팀 사이에서 중개인 노릇을 해야 했던 회사의 피난처가 되고 있는 것도 같습니다.”

숫자로 보자면 데브옵스와 보안을 이미 합치는 데 성공했다는 기업이 대략 150개 정도 되는데, 그 중 대부분은 “그렇게까지 하는 데에 1~2년 걸렸다”고 말한다. 그런데 아직 이를 마치지 못한 나머지 기업들은 “데브옵스와 보안을 합치는 과정이 대략 7~11개월 걸릴 것 같다”고 예상하고 있어 재미있다. 예상 기간과 실제 기간 사이의 괴리가 작지 않다.

보안과 데브옵스의 결합에 성공한 기업들이 꼽는 난제들이 대부분 비슷하다는 것도 재미있는 점이다. 70%는 ‘시간이 너무 오래 걸리는 것이 가장 해결 어려운 과제’라고 말했고, 너무나 대대적인 변화라 보안 팀을 설득하는 게 어려웠다고 말한 기업이 69%였으며, 개발 팀과 보안 팀 등 서로 다른 업무를 보던 팀들 사이의 소통을 활성화시키고 협업하도록 만드는 게 어려웠다고 답한 기업이 68%였던 것이다.

“많은 기업들이 데브옵스로의 변경을 꾀하는 건 맞습니다. 그러기 위해서 데브옵스 팀을 따로 만들어 운영하지만, 좋은 성과를 거두는 곳은 몇 없습니다. 왜 그럴까요? 데브옵스는 개발자들로 하여금 다른 부서 전문가들과도 함께 일하도록 하기 때문입니다. 그러니 하루아침에 될 리가 없죠. 결국 이건 문화적으로 서서히 변화시켜야 나갈 부분입니다. 데브옵스 팀은 차라리 사교적이거나 소통에 능한 이들로 구성해 변화의 촉매제 같은 역할을 하는 게 맞습니다.” 사빈의 설명이다.

‘지나친 변화라 보안 팀을 설득하는 게 힘들었다’는 항목이 재미있는데, 사빈은 “이 부분 역시 현명하게 대처해야 한다”고 설명한다. “보안을 전문으로 하다보면 어쩔 수 없어요. 당연히 리스크가 잠재적인 이득보다 크게 보이는 게 보안 전문가입니다. 그러니 개발 및 기획 단계에서부터 보안 담당자들을 참여시켜야 해요. 그러면서 조금은 다른 시각으로 프로젝트를 보게 해주고, 생산하고 ‘돈을 버는 일’에 참여시키는 것이죠. 당연히 보안의 전문성으로 그 프로젝트를 안전하게 지켜주는 게 보안 담당자의 역할임은 변함이 없다는 걸 알려주면서요.”

보안 담당자는 데브옵스의 과정에 참여하면서 네트워크에 있는 모든 것들을 자동화된 PKI를 통해 안전하게 암호화하고 서명해 접근을 통제하는 걸 담당할 수 있다고 사빈은 설명한다. “여기에 더해 패치, 인증 관리, 취약점 스캐닝, 스택 코드 분석 등의 보안 업무들도 데브옵스 워크플로우 안에 녹여내는 방안을 연구해야 합니다. 기존 보안 업무를 또 다른 차원과 방식으로 재편하는 게 데브옵스에 보안을 접목하는 긴 과정 속에서 보안 담당자들의 몫인 것이죠.”

서로 협업해본 적 없는 사람들이 협업을 해야 한다는 것 자체로도 여러 가지 문제가 터지는데, 특히 개발자들이 품질확인 팀이나 보안 팀 인원들을 조금 깔보는 듯한 태도가 특히 많이 불거진다고 사빈은 설명을 이어갔다. “또한 사람마다, 팀마다 커뮤니케이션 방법이 다르다는 것도 문제더군요. 어떤 인물이나 팀은 슬랙(Slack)이라는 메신저 앱을 선호하는데, 어떤 팀은 이메일을 원할 수도 있죠. 전화를 편하게 여기는 사람이 있는가 하면 얼굴보고 말하는 게 제일 쉽다고 여기는 사람도 있고요. 이걸 한 팀에서 오래 시간을 머물면서 서로 맞춰오다가, 다른 팀과 섞인다면 이걸 다시 조정해야 하죠.”

그리고 이번 조사에 참여한 기업들은 “넘어야 할 산도 많고, 그 기간도 짧지 않지만 그럴 만한 가치가 있다”고 말한다. 보안에 소홀하지 않으면서도 마감일을 잘 지킬 수 있게 되었고, 리스크도 의미 있게 줄었다고 답한 이가 21~22%였던 것이다. 사빈은 이것이 꽤나 높은 수치라고 말한다. “프로세스 하나 바꿔서 바이러스에 대응하는 힘이 전사적으로 22% 높아졌다는 게 적은 수치일까요? 위험을 22%나 줄였다면요? 혹은 생산성이 22% 좋아졌다는 건요? 데브옵스와 보안을 접목할 이유가 분명히 존재한다고 볼 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)