유연하고 빠른 앱 개발 과정, 보안 전문가들도 이해해야
“안전 구역에서 벗어나 개발 과정에 창조적으로 개입해야 할 것”
[보안뉴스 문가용 기자] 보안의 원칙과 표준을 데브옵스에 도입시키는 사례가 늘고 있다. 그러면서 소프트웨어의 출시가 빨라지고 있으며, 보안의 측면에서 더 탄탄해지고 있다. 보안과 데브옵스의 이런 성공적인 조합이 데브섹옵스(DevSecOps)라는 이름으로 확산되고 있는 실정이다.
하지만 데브섹옵스가 대세로 굳건히 자리를 잡았다거나 한 건 아니다. 아직도 성숙되어야 할 필요가 있다. 대부분 기업들이 실제로 데브옵스에 보안을 최적화시켜 도입하는 게 무슨 말이며, 어떻게 해야 하는지 고민하고 있다. 게다가 데브옵스 특유의 ‘빠름과 유연성’을 보안이 죽이고 있다는 생각을 가진 사람들이 여전히 많은 것이 사실이다.
이러한 사실은 최근 소프트웨어 자동화 및 보안 전문 업체인 소나타입(Sonatype)의 연구를 통해 드러났다. 그 중 좋은 소식이 있다면, 지난 3년 동안 애플리케이션 개발 과정이 진행되는 동안 보안 점검을 해보는 조직들이 확실히 늘어났다는 것이다. 개발의 모든 단계에서 보안 점검을 한다는 기업은 3년 전에 비해 2배 가까이 증가했다.
수치를 정확히 보자면, 2013년에 ‘모든 개발 단계에서 보안 점검을 한다’는 기업이 15%였고, 2017년에는 27%였다. 데브옵스 과정이 꽤나 성숙한 수준에까지 올랐다고 답한 기업들 중 앱의 생애주기 전체에 걸쳐 보안 점검을 한다는 조직 역시 42%에 달했으며, 보안 점검의 자동화를 도입했다고 답한 기업 역시 58%였다. 보안 점검을 제대로 하지 않는다고 답한 업체들 중 자동화를 도입한 기업은 39%밖에 되지 않았다.
그럼에도 보안에 대한 인식은 아직도 그리 좋다고 할 수 없는 상황임이 드러나기도 했다. 데브옵스에 보안이 반드시 접목되어야 한다고 답한 기업은 59%에 그쳤다. 개발자들이 주로 사용하는 툴이나 워크플로우와 보안 점검 툴이 아직도 좋은 궁합을 보이지 않기 때문이다. 보안 전문업체인 셰프(Chef)의 CTO인 아담 제이콥(Adam Jacob)은 “소프트웨어 개발 과정에 보안을 도입하는 건 말이 쉽지 실제 해보면 정말 정말 까다롭다”고 설명하기도 한다.
“개발 외에 다른 분야에서 보안을 관리하는 것과 동일한 수준으로 개발 단계에 보안을 도입하지 못한다면, 개발자들이 보안에 알레르기 반응을 일으키기 시작합니다. ‘다른 부서는 보안을 엉망으로 하는데, 우리만 철저히 지키라고?’라고 묻기 시작하기 때문이죠. 게다가 기업 전체적으로 보안이 강조되지 않는 분위기라면, 개발자들에게 ‘보안’은 매우 모호하고 막연한 개념이 됩니다. 반발하지 않는다 하더라도, 이해하지 못하는 것입니다.”
한편 보안 전문가들은 보안 점검 툴이 좀 더 ‘개발자들의 입맛에 맞도록’ 바꾸기 위해 노력하고 있지만, 쉽지 않다고 한다. 가장 큰 이유는 현존하는 보안 점검 툴들이 전통적인 개발 방식(이른바 워터폴 방식)에 맞춰져 나왔기 때문이다. “전통의 애플리케이션 보안에 집중해온 전문가들은 침투 테스트, 동적 코드 분석, 정적 코드 분석에 익숙합니다. 즉 코드가 완성된 다음에 기능이 발휘되는 것이죠. 데브옵스와 잘 맞지 않는 게 당연하죠.” 비자의 CSO인 올렉 그립(Oleg Gryb)의 설명이다.
“인프라 개발, 네트워크, 개발 영역에서 출발해 보안으로 넘어온 전문가들이라면 보안 스캐닝에 익숙하지 않습니다. 데브옵스에 보안을 접목시키는 것 자체를 잘 이해하지 못해요. 그들 입장에선 보안 개념이 송두리째 바뀐 것이거든요. 물론 학습과 연구를 통해 따라잡을 순 있지만, 시간이 더 걸린다는 겁니다.”
고등교육용 소프트웨어 개발 업체인 엘루시안(Ellucian)의 트로이 마샬(Troy Marshall)은 “슬슬 보안 전문가들이 ‘안전 구역’에서 나올 때가 되었다”고 말한다. 하던 것만 그대로 해서는 안 된다는 것이다. “데브섹옵스는 현재 앱 경제 체제에서 반드시 받아들여야만 하는 것입니다. 그리고 전통의 보안 기술과는 대치되는 것이기도 하지요. 보안 담당자들 각자가 책임지고 있는 조직의 생존을 위해서 앱 개발의 과정을 다시 이해하고 좀 더 창조적인 생각으로 보안을 도입시켜야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
“안전 구역에서 벗어나 개발 과정에 창조적으로 개입해야 할 것”
[보안뉴스 문가용 기자] 보안의 원칙과 표준을 데브옵스에 도입시키는 사례가 늘고 있다. 그러면서 소프트웨어의 출시가 빨라지고 있으며, 보안의 측면에서 더 탄탄해지고 있다. 보안과 데브옵스의 이런 성공적인 조합이 데브섹옵스(DevSecOps)라는 이름으로 확산되고 있는 실정이다.
하지만 데브섹옵스가 대세로 굳건히 자리를 잡았다거나 한 건 아니다. 아직도 성숙되어야 할 필요가 있다. 대부분 기업들이 실제로 데브옵스에 보안을 최적화시켜 도입하는 게 무슨 말이며, 어떻게 해야 하는지 고민하고 있다. 게다가 데브옵스 특유의 ‘빠름과 유연성’을 보안이 죽이고 있다는 생각을 가진 사람들이 여전히 많은 것이 사실이다.
이러한 사실은 최근 소프트웨어 자동화 및 보안 전문 업체인 소나타입(Sonatype)의 연구를 통해 드러났다. 그 중 좋은 소식이 있다면, 지난 3년 동안 애플리케이션 개발 과정이 진행되는 동안 보안 점검을 해보는 조직들이 확실히 늘어났다는 것이다. 개발의 모든 단계에서 보안 점검을 한다는 기업은 3년 전에 비해 2배 가까이 증가했다.
수치를 정확히 보자면, 2013년에 ‘모든 개발 단계에서 보안 점검을 한다’는 기업이 15%였고, 2017년에는 27%였다. 데브옵스 과정이 꽤나 성숙한 수준에까지 올랐다고 답한 기업들 중 앱의 생애주기 전체에 걸쳐 보안 점검을 한다는 조직 역시 42%에 달했으며, 보안 점검의 자동화를 도입했다고 답한 기업 역시 58%였다. 보안 점검을 제대로 하지 않는다고 답한 업체들 중 자동화를 도입한 기업은 39%밖에 되지 않았다.
그럼에도 보안에 대한 인식은 아직도 그리 좋다고 할 수 없는 상황임이 드러나기도 했다. 데브옵스에 보안이 반드시 접목되어야 한다고 답한 기업은 59%에 그쳤다. 개발자들이 주로 사용하는 툴이나 워크플로우와 보안 점검 툴이 아직도 좋은 궁합을 보이지 않기 때문이다. 보안 전문업체인 셰프(Chef)의 CTO인 아담 제이콥(Adam Jacob)은 “소프트웨어 개발 과정에 보안을 도입하는 건 말이 쉽지 실제 해보면 정말 정말 까다롭다”고 설명하기도 한다.
“개발 외에 다른 분야에서 보안을 관리하는 것과 동일한 수준으로 개발 단계에 보안을 도입하지 못한다면, 개발자들이 보안에 알레르기 반응을 일으키기 시작합니다. ‘다른 부서는 보안을 엉망으로 하는데, 우리만 철저히 지키라고?’라고 묻기 시작하기 때문이죠. 게다가 기업 전체적으로 보안이 강조되지 않는 분위기라면, 개발자들에게 ‘보안’은 매우 모호하고 막연한 개념이 됩니다. 반발하지 않는다 하더라도, 이해하지 못하는 것입니다.”
한편 보안 전문가들은 보안 점검 툴이 좀 더 ‘개발자들의 입맛에 맞도록’ 바꾸기 위해 노력하고 있지만, 쉽지 않다고 한다. 가장 큰 이유는 현존하는 보안 점검 툴들이 전통적인 개발 방식(이른바 워터폴 방식)에 맞춰져 나왔기 때문이다. “전통의 애플리케이션 보안에 집중해온 전문가들은 침투 테스트, 동적 코드 분석, 정적 코드 분석에 익숙합니다. 즉 코드가 완성된 다음에 기능이 발휘되는 것이죠. 데브옵스와 잘 맞지 않는 게 당연하죠.” 비자의 CSO인 올렉 그립(Oleg Gryb)의 설명이다.
“인프라 개발, 네트워크, 개발 영역에서 출발해 보안으로 넘어온 전문가들이라면 보안 스캐닝에 익숙하지 않습니다. 데브옵스에 보안을 접목시키는 것 자체를 잘 이해하지 못해요. 그들 입장에선 보안 개념이 송두리째 바뀐 것이거든요. 물론 학습과 연구를 통해 따라잡을 순 있지만, 시간이 더 걸린다는 겁니다.”
고등교육용 소프트웨어 개발 업체인 엘루시안(Ellucian)의 트로이 마샬(Troy Marshall)은 “슬슬 보안 전문가들이 ‘안전 구역’에서 나올 때가 되었다”고 말한다. 하던 것만 그대로 해서는 안 된다는 것이다. “데브섹옵스는 현재 앱 경제 체제에서 반드시 받아들여야만 하는 것입니다. 그리고 전통의 보안 기술과는 대치되는 것이기도 하지요. 보안 담당자들 각자가 책임지고 있는 조직의 생존을 위해서 앱 개발의 과정을 다시 이해하고 좀 더 창조적인 생각으로 보안을 도입시켜야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
