세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
데브옵스 보안 지키려면 ‘노’라고 하지 말고 ‘예스’라고 말하자
  |  입력 : 2017-08-03 16:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
문제 해결을 전체 프로세스의 일부분으로 포함시키는 데브옵스 문화
잘잘못 따지는 데 집중하지 말고 정확한 데이터로 소통하고 협업해야


[보안뉴스 오다인 기자] 얼마 전, 포춘지가 선정한 500대 의료기업 중 한 곳의 CISO와 대화하던 중이었다. 당시 우리는 보안 전담 부서가 다른 조직의 관계자들과 어떻게 협업하고 있는지에 대해 이야기하고 있었다. 그는 최근에 동료 한 사람이 자신을 “C-S-No”(CISO들이 ‘안 된다’고만 말한다는 뜻)라고 비웃으며 말한 걸 우연히 들었다며 신세 한탄을 했다. 듣기에 괴로웠다. 왜냐면 그가 마주한 문제는 전략적으로 풀기 가장 어려운 숙제이면서 다른 모든 보안 전문가들이 마찬가지로 직면한 문제이기 때문이다. 그 문제란 바로, 데브옵스(DevOps) 기술과 이를 실현할 방법론을 적용하며 빠르게 변화하는 조직들 사이에서 보안 산업이 어떻게 효과적이고 유의미하게 존속할 것인지 알아내지 못했다는 사실이다.

[이미지=iclickart]

데브옵스는 각 부서 간 소통과 협업을 유도하기 때문에 효과적이다. 운영이나 개발 부서는 새로운 버전의 소프트웨어를 클라우드 환경에 구축하기 위해 빠르게 움직이고 있다. 그들은 신기술을 적용해서 이런 성취를 이뤄내고 있는데, 이보다 중요한 것은 실시간 피드백을 사용해서 협업하고 반복(iteration)하는 문화가 형성되면서 이 같은 일이 가능해졌다는 것이다.

예전에는 ‘데브(Dev, 개발팀)’가 개발하면 ‘옵스(Ops, 운영팀)’가 운영했다. 이런 단계를 밟아 일을 처리하면 몇 주에서 몇 달까지 걸리는 게 다반사였으며, 도중에 뭔가 하나라도 잘못되면 각 부서에서 누가 잘못했는지 증명하려고 추궁부터 하곤 했다. 데브옵스라는 새로운 길은 부서들을 통합시킨다. 문제 해결조차 전체 프로세스의 일부분으로 포함하는 것이다. 이제 반복은 줄어들었고, 모든 직원이 제품에 실제로 어떤 일이 일어나는지 확인할 수 있는 툴을 갖게 됐다. 만약 문제가 있다면, 문제 있는 사람을 지목하는 것이 아니라 문제 있는 데이터를 지목할 수 있다. 결정을 내릴 때까지의 소통과 협업, 그리고 제품 데이터의 사용에 집중하는 것은 데브옵스 세계에서 보안이 작동하게 만드는 핵심 열쇠다.

타 조직과 협업할 때 보안 부서가 직면하는 최대 이슈는 위험, 우선순위, 대가(tradeoff)에 대해 어떻게 효과적으로 소통할 것인가 하는 문제다. 보안 담당자인 내가 중요하다고 생각하는 어떤 것에 대해 개발자나 운영자는 다르게 생각할지 모른다. 게다가 제품 출시와 관련해 어떤 프로세스를 시행하거나 거부권을 행사하던 옛날 접근법은 더 이상 가능하지 않다. 데브옵스에 대해 확실히 알 수 있는 건, 제품이 기획되기 시작했다면 이는 무조건 출시될 거라는 사실이다. 더 이상의 ‘C-S-No’는 없다. 이제 우리는 “안 된다(No)”라고만 말해선 안 된다. 우리는 “그렇게는 안 되지만 저렇게는(No, but)”이라고 말해서도 안 된다. “좋아요(Yes), 우리가 그 일을 해내기 위해 이런 방법이 있어요”라고 말할 방법을 찾아야 한다.

사고방식을 바꾸자
“좋아요” 모드로 전환하기 위해 우리는 사고방식을 바꿔야 할 필요가 있다. 이런 변화는 공통된 우선순위에 근거해서 소통하고 공동의 목표를 세우며 데이터를 바탕으로 선택하는 것에서 출발할 수 있다. 문제는 정확한 데이터가 있어야 이를 바탕으로 숙고한 뒤 결정을 내릴 수 있는데, 그런 데이터가 잘 없기 때문에 보안의 우선순위가 개인적인 판단에 따라 결정되고 있다는 것이다. 또한, 유용한 데이터가 있을 때도 이를 설명하는 보안 부서의 언어가 개발이나 운영 부서의 동료들에게 외계어처럼 들리는 경우가 있어 위험을 인식시키기가 어렵기도 하다. 개발자들이 보안에 신경 쓰지 않는다는 건 아니다. 우선순위를 명확히 인지시키고 또 증명하기 위해 예전에 사용했던 방법들이 별로 효과가 없었다는 뜻이다. 우리는 거대한 목록을 간추릴 방법을 찾아야 한다. 이론적으로 위험하다고 알고 있는 수많은 위협들 가운데, 지금 해결해야 할 시급한 위협들만 몇 가지로 가려내야 한다.

이런 목록을 만들고 뒷받침할 데이터도 갖추면, 부서 간 대화가 생산적으로 진행될 수 있고 매번 적절한 결과를 도출해낼 수 있다. 코드 분석 툴이 도출한 기다란 버그 목록을 스스로 동기부여해서 검토하는 개발자를 일평생 단 한 번도 본 적이 없다. 그러나 왕성하게 공격당하고 있는 취약점이 발견이 됐는데도 개발자들이 즉시 달려들어 밤새도록 고치지 않은 경우도 일평생 한 번도 본 적이 없다. 두 가지 상황의 차이점은, 하나는 순수하게 형식적으로 보이는 반면 다른 하나는 손에 잡힐 정도로 명백히 중요한 사안으로 보인다는 점이다.

데브옵스 세계에서 보안이 제대로 작동하려면, 그리고 데브옵스가 우리를 위해 잘 작동하도록 만들려면 우리는 무엇이 문제인지 사람들에게 지적하는 것을 그만둬야 한다. 대신, 문제와 위험에 대해 실제적이고 수량화된 근거를 바탕으로 말해야 한다. 우리가 이런 변화를 이뤄낼 수 있다면 데브옵스가 제공할 거대한 기회를 잘 이용할 수 있을 것이다. 그런 과정에서 소프트웨어와 그 환경을 훨씬 더 안전하게 구축할 수 있다는 사실은 덤이다.

글 : 마이클 파이언탁(Michael Feiertag)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)