[데이터넷] 클라우드는 코드만으로 개발·운영되기 때문에 개발과 운영을 통합한 데브옵스(DevOps) 방법론이 채택되어왔다. 그러나 개발 과정에 보안이 고려되지 않아 심각한 문제가 발생할 소지가 있다.
마이크로포커스가 조사한 바에 따르면 90%의 기업이 소프트웨어 개발에 데브옵스를 도입하고 있으며, 99%는 데브옵스를 통해 애플리케이션 보안을 향상시킬 수 있다고 생각하고 있었다. 그러나 20%만이 애플리케이션 개발 과정에서 보안 테스트를 진행하며, 17%는 애플리케이션을 보호하기 위한 어떠한 과정도 거치지 않는 것으로 나타났다.
마이크로포커스는 이와 같은 조사 결과를 발표하며 “데브옵스만으로는 부족하며, 보안을 더한 데브섹옵스(DevSecOps)가 필요하다”고 강조했다.
팔로알토네트웍스 ‘빅 클라우드 보안 전략 5: 종합적인 클라우드 보안 전략’ 보고서에서는 ‘코딩을 할 줄 아는 보안 엔지니어를 교육하고 채용할 것’을 조언하고 있다. 클라우드에서 위험을 올바르게 관리하기 위해서는 개발자를 위한 보안 교육과 보안 엔지니어를 위한 코딩 교육을 적절하게 수행하며, 개발 파이프라인에 보안을 포함할 것은 제안했다.
가트너의 ‘클라우드 워크로드 보호 플랫폼 시장 가이드’에서도 데브섹옵스의 중요성을 강조하고 있다. 가트너는 “데브옵스 스타일의 개발은 여러 번 반복되도록 설계됐으며 개발 단계에서 보안 조치를 취하는 것이 필요하다. 워크로드가 세분화되고 역동적으로 변하면서 개발 초기부터 보안 문제를 해결하는 것은 필수”라고 강조했다.
데브섹옵스, 개발·운영·보안 문화 바꿔야
데브섹옵스는 개발, 보안, 운영조직의 물리적인 통합을 강조한다기보다 문화를 바꾸는 것으로 이해하는 것이 더 적절하다. 클라우드 개발환경은 기존과는 완전히 다른 프로세스를 거치기 때문에 초기부터 데브섹옵스라는 새로운 문화를 이식해야 한다.
그러나 기존 개발과 운영, 보안 방식을 고수하는 조직을 한 번에 바꿀 수 없으므로 ‘데브섹옵스’라는 큰 그림을 그린 후 작은 단위부터 적용해가는 ‘착안대국 착수소국(着眼大局着手小局)’의 접근법이 필요하다.
유재성 한국마이크로포커스 사장은 “현재 우리나라의 소프트웨어 개발 환경에서 데브섹옵스를 받아들이는 것은 매우 어려운 일이지만, 데브섹옵스의 이상을 그린 후, 작은 프로젝트에 적용 가능한 단계부터 시작하면서 차근차근 확장해나가면 불가능한 일은 아니다”고 말했다.
마이크로포커스는 데브섹옵스를 위해 필요한 모든 요소기술을 하나의 프로세스로 통합한 ‘엔터프라이즈 데브섹옵스 스위트’를 소개한다. 이 스위트는 ▲CP(Continuous Planning) ▲CI(Continuous Integration) ▲CD(Continuous Deployment & Release) ▲CT(Continuous Testing) ▲CS(Continuous Security) ▲CO(Continuous Operations) ▲CC(Continuous Collaboration) ▲CA(Continuous Assessment) 등의 8가지 모듈로 구성돼 있으며, 서비스 기획과 거버넌스, 개발 및 테스트, 배포 및 적용, 운영 및 모니터링의 전 단계를 지속적으로 적용할 수 있게 한다.
이 스위트는 클라우드 서비스로도 이용할 수 있으며, 국내 고객의 요청이 있으면 국내 클라우드 리전에 셋업해 사용할 수도 있으며, 고객의 온프레미스·프라이빗 클라우드 데이터센터에도 설치할 수 있다.
유재성 사장은 “데브섹옵스를 위한 요소 기술은 경쟁사들이 갖고 있지만, 전체 기술을 확보하지 못하고 기술의 일부만을 갖고 있으며, 통합되지 못하고 사일로 형태로 사용해야 한다는 한계가 있다. 마이크로포커스는 데브섹옵스를 위한 엔드투엔드 기술을 갖고 있으며, 모두 다 통합되고 자동화 돼 하나의 프로세스로 진행할 수 있게 한다”며 “마이크로포커스는 기업이 가장 쉽게 데브섹옵스를 도입하고 디지털 혁신을 이룰 수 있도록 도울 것”이라고 말했다.
