보안팀·개발팀 부조화 지속…개발자, 보안문제 식별 못해 75% 취약성 발생
[데이터넷] 전 세계 개발자와 운영조직 75%가 데브옵스 플랫폼을 채택했거나 연내 채택할 계획이며, 보안을 최우선 투자 영역으로 간주, 보안팀 절반 이상이 시프트 레프트(Shift Left) 보안으로 전환했거나 올해 안에 전환할 계획이라고 밝혔다. 시프트 레프트는 개발 초기부터 보안을 적용하는 방법론을 말한다.
이는 깃랩의 ‘2022년 글로벌 데브섹옵스’ 조사에 따른 것으로, 전 세계 5000여명의 개발자와 운영·보안 실무자, 조직 리더 등이 참여했으며, 한국을 포함한 아시아 지역에서는 388명이 조사에 참여했다.
응답자 10%만 보안 위한 투자 예산 지원 받아
보안은 글로벌 기업들의 데브옵스 팀 전반에 걸쳐 가장 중요한 투자 영역으로 부상하면서 클라우드 컴퓨팅을 능가했다. 그러나 시프트 레프트 보안으로 전환하려는 요구는 많지만, 많은 기업들의 접근방식과 결과는 아직 초기 단계에 머물러 있으며, 응답자의 10%만이 보안을 위한 추가 예산을 지원받고 있다고 답했다.
또한 보안 팀과 개발 팀 간의 부조화 경향은 계속되고 있는 것으로 나타났다. 조사 응답자의 절반 이상이 보안이 조직 내 개발자에 대한 성능 지표라고 답했지만, 보안 전문가의 50%는 개발자들이 보안 문제를 식별하지 못하고 있으며, 이는 취약성의 75%에 해당한다고 응답했다. 이러한 성능 지표를 현실화하기 위해서는 개발자가 보안 프로토콜을 실행해야 하며, 툴체인과 잠재적 위험에 대한 완벽한 가시성을 제공해야 한다.
보안 협업이 이뤄지면, 기업은 상당한 성과를 거둘 수 있다. 개발, 보안 및 운영 팀 모두 전반적으로 데브옵스 플랫폼의 주요 이점으로 보안 개선을 언급했다. 조사 데이터에 따르면, 많은 의사결정권자들이 데브옵스 플랫폼이나 기타 툴을 선택하는 핵심 원동력은 보안 과제인 것으로 나타났다. 한편 단일 플랫폼에 투자함으로써 실무자들은 더 적은 수의 툴로 더 많은 기능을 활용할 수 있으며, 개별 툴 대비 비용을 절감할 수 있다.
툴체인 통합 최우선 과제
조사에서는 아시아 지역의 데브옵스 플랫폼 채택률이 세계 평균보다 조금 높은 78%로 나타났으며, 개발 주기 자동화를 실현한 것으로 분석됐다. 지난해 데브옵스 채택이 가속화되면서 신속한 소프트웨어 제공, 코드 품질 향상 및 개발자 생산성 개선 등이 가시화됐다는 사실이 깃랩 조사에서 증명된 바 있다. 깃랩은 앞으로는 툴 통합과 보안 및 컴플라이언스 강화, 그리고 지속적인 개발 팀 및 보안 팀에 대한 조정 노력 등의 주요 과제를 통해 새로운 기회를 창출하게 될 것으로 내다봤다.
이번 조사에서는 보안 및 컴플라이언스가 지속적으로 우선순위를 차지하고 있으며, 툴체인 통합에 대한 투자와 데브옵스 채택 가속화에 따른 영향이 지속되고 있다는 사실이 드러났다.
응답자들은 툴체인 통합을 최우선 과제로 주목했는데, 응답자의 69%가 모니터링, 개발 지연, 개발자 경험에 대한 부정적인 영향 등의 문제로 인해 툴체인 통합을 원하고 있는 것으로 나타났다. 전체 지역 중 아시아가 78%로 툴체인 통합에 가장 긍정적으로 답했으며 유럽이 62%로 가장 낮은 수치를 보였다.
개발 주기의 자동화를 묻는 질문에 68%의 기업이 대부분 자동화가 진행되고 있거나 완벽한 자동화에 돌입한 것으로 나타났다. 이 중 아시아는 73%로 가장 높은 개발 자동화 구현에 성공한 것으로 답했다.
한편 직장에서 가장 많이 사용하는 깃 솔루션이 무엇인가라는 질문에 43%가 깃랩을 사용한다고 답했으며 뒤를 이어 29%가 깃허브 액션을 사용한다고 답했다. 아시아 지역에서는 44%가 깃랩을 사용하고 41%가 깃허브 액션을 사용하며 두 솔루션을 사용하는 비중이 큰 것으로 나타났다.
조나단 헌트(Johnathan Hunt) 깃랩 보안 부문 부사장은 “신속한 배포와 시장 출시 속도는 오늘날 비즈니스 환경에서 가장 큰 차별화 요소 중 하나다. 이로 인해 기술, 비즈니스 및 정부 리더들의 주요 관심사인 보안이 희생되는 경우도 많지만, 반드시 그래야 하는 것은 아니다”며 “기업들은 능률적인 툴체인과 표준화된 투명한 프로세스를 통해 보안과 컴플라이언스를 사후 고려사항이 아닌 소프트웨어 개발 라이프사이클의 핵심으로 유지할 수 있다”고 밝혔다.
