> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[클라우드 보안] 부상하는 데브섹옵스
보안 고려한 데브옵스 20% 뿐…데브섹옵스 도입 전략 ‘크게 그리고 작게 시작하라’
     관련기사
  [클라우드 보안] 책임공유 모델 기반 보안 정책 ‘시급’
  [클라우드 보안] 클라우드 보안의 기본, CWP
  [클라우드 보안] 필수 솔루션 등극한 CSPM①
  [클라우드 보안] 필수 솔루션 등극한 CSPM②
  [클라우드 보안] SaaS 타깃 APT 방어①
  [클라우드 보안] SaaS 타깃 APT 방어②
  [클라우드 보안] 컨테이너·서버리스 보안 문제 대두
2019년 07월 17일 10:20:18 김선애 기자 iyamm@datanet.co.kr

[데이터넷] 클라우드는 코드만으로 개발·운영되기 때문에 개발과 운영을 통합한 데브옵스(DevOps) 방법론이 채택되어왔다. 그러나 개발 과정에 보안이 고려되지 않아 심각한 문제가 발생할 소지가 있다.

마이크로포커스가 조사한 바에 따르면 90%의 기업이 소프트웨어 개발에 데브옵스를 도입하고 있으며, 99%는 데브옵스를 통해 애플리케이션 보안을 향상시킬 수 있다고 생각하고 있었다. 그러나 20%만이 애플리케이션 개발 과정에서 보안 테스트를 진행하며, 17%는 애플리케이션을 보호하기 위한 어떠한 과정도 거치지 않는 것으로 나타났다.

마이크로포커스는 이와 같은 조사 결과를 발표하며 “데브옵스만으로는 부족하며, 보안을 더한 데브섹옵스(DevSecOps)가 필요하다”고 강조했다.

팔로알토네트웍스 ‘빅 클라우드 보안 전략 5: 종합적인 클라우드 보안 전략’ 보고서에서는 ‘코딩을 할 줄 아는 보안 엔지니어를 교육하고 채용할 것’을 조언하고 있다. 클라우드에서 위험을 올바르게 관리하기 위해서는 개발자를 위한 보안 교육과 보안 엔지니어를 위한 코딩 교육을 적절하게 수행하며, 개발 파이프라인에 보안을 포함할 것은 제안했다.

가트너의 ‘클라우드 워크로드 보호 플랫폼 시장 가이드’에서도 데브섹옵스의 중요성을 강조하고 있다. 가트너는 “데브옵스 스타일의 개발은 여러 번 반복되도록 설계됐으며 개발 단계에서 보안 조치를 취하는 것이 필요하다. 워크로드가 세분화되고 역동적으로 변하면서 개발 초기부터 보안 문제를 해결하는 것은 필수”라고 강조했다.

   
▲성공적인 데브섹옵스를 위해 필요한 기술(자료: 가트너)

데브섹옵스, 개발·운영·보안 문화 바꿔야

데브섹옵스는 개발, 보안, 운영조직의 물리적인 통합을 강조한다기보다 문화를 바꾸는 것으로 이해하는 것이 더 적절하다. 클라우드 개발환경은 기존과는 완전히 다른 프로세스를 거치기 때문에 초기부터 데브섹옵스라는 새로운 문화를 이식해야 한다.

그러나 기존 개발과 운영, 보안 방식을 고수하는 조직을 한 번에 바꿀 수 없으므로 ‘데브섹옵스’라는 큰 그림을 그린 후 작은 단위부터 적용해가는 ‘착안대국 착수소국(着眼大局着手小局)’의 접근법이 필요하다.

유재성 한국마이크로포커스 사장은 “현재 우리나라의 소프트웨어 개발 환경에서 데브섹옵스를 받아들이는 것은 매우 어려운 일이지만, 데브섹옵스의 이상을 그린 후, 작은 프로젝트에 적용 가능한 단계부터 시작하면서 차근차근 확장해나가면 불가능한 일은 아니다”고 말했다.

마이크로포커스는 데브섹옵스를 위해 필요한 모든 요소기술을 하나의 프로세스로 통합한 ‘엔터프라이즈 데브섹옵스 스위트’를 소개한다. 이 스위트는 ▲CP(Continuous Planning) ▲CI(Continuous Integration) ▲CD(Continuous Deployment & Release) ▲CT(Continuous Testing) ▲CS(Continuous Security) ▲CO(Continuous Operations) ▲CC(Continuous Collaboration) ▲CA(Continuous Assessment) 등의 8가지 모듈로 구성돼 있으며, 서비스 기획과 거버넌스, 개발 및 테스트, 배포 및 적용, 운영 및 모니터링의 전 단계를 지속적으로 적용할 수 있게 한다.

이 스위트는 클라우드 서비스로도 이용할 수 있으며, 국내 고객의 요청이 있으면 국내 클라우드 리전에 셋업해 사용할 수도 있으며, 고객의 온프레미스·프라이빗 클라우드 데이터센터에도 설치할 수 있다.

유재성 사장은 “데브섹옵스를 위한 요소 기술은 경쟁사들이 갖고 있지만, 전체 기술을 확보하지 못하고 기술의 일부만을 갖고 있으며, 통합되지 못하고 사일로 형태로 사용해야 한다는 한계가 있다. 마이크로포커스는 데브섹옵스를 위한 엔드투엔드 기술을 갖고 있으며, 모두 다 통합되고 자동화 돼 하나의 프로세스로 진행할 수 있게 한다”며 “마이크로포커스는 기업이 가장 쉽게 데브섹옵스를 도입하고 디지털 혁신을 이룰 수 있도록 도울 것”이라고 말했다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  데브섹옵스, 데브옵스, 클라우드, 보안, 마이크로포커스
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr