2016.03.08

데브옵스에 보안 통합 '데브시크옵스'··· 효과는? 전망은?

Doug Drinkwater | CSO

데브옵스(DevOps)는 개발, IT 운영, 보안, 품질 보증을 통합해 자동화하는 개념이자 기법이며 철학이다. 간단히 말하자면 여러 부서가 힘을 합해 소프트웨어 개발 주기와 테스트 기간을 앞당기고, 자동화 수준을 높이고, 코드의 품질과 보안 수준을 높인다는 것이다.

데브옵스는 이를 위해 여러 부서의 팀이 서로 협력해 계획을 수립하고, 코드와 빌드를 구현하고, 테스트와 배포를 하고, 운영 및 모니터링하는 연결된 고리를 만든다. 이렇게 하면 소프트웨어를 효율적이면서도 유연하게 개발할 수 있으며, 결과물의 품질을 높일 수 있다.

데브옵스의 장점은 잘 알려져 있다. 소프트웨어 품질을 높이고, 시장화를 앞당기고, 거버넌스와 컴플라이언스(정책 및 규제 준수) 위험을 줄이는 것 등을 예로 들 수 있다.



그러나 정보 보안이 이 과정에 어떤 역할을 할 수 있는지에 대한 질문이 새롭게 부상하고 있다. 오늘날 기존의 데브옵스를 넘어선 지평을 추구하는 기업들이 있다. 이들은 애플리케이션 개발의 모든 과정에 정보 보안을 포함시키는 프로세스인 데브시크옵스(DevSecOps)를 추구한다.

그러나 몹시 까다로운 프로세스라는 점이 문제다. 보안 부서와 IT 부서의 미묘한 관계는 익히 유명하다. 사실 데브옵스 팀을 운영하는 조직에서는 이들의 관계가 더 나쁘다고도 알려져 있다.

또 데브옵스와 데브시크옵스는 운영 모델과 목적이 다르다. 데브옵스는 운영 팀을 개발 팀에 합류 시키는데 목적을 둔다. 프로젝트가 끝날 무렵에 투입시키는 방식이 아니다. 정상적인 기업이라면 운영 팀(Ops)에 거의 다 완성된 결과물을 보내는 방식을 이용하지 않는다. 데브시크옵스에서는 원칙은 동일하자만 대상이 다르다. 보안을 '나중에 관여하는' 고립된 부서로 취급하지 않는다. 개발 프로젝트의 모든 단계에 통합시킨다.

데브옵스 트렌드를 선도하는 구글과 아마존
데브옵스 모델을 도입한 대다수 기업들이 수많은 혜택을 조기에 누리고 있는 것으로 조사됐다. 최근, 한 서베이 결과에 따르면, 데브옵스를 도입한 기업들의 시장화 속도와 고객 관계 개선, 매출이 각각 20%, 22%, 19% 상승했다.

또 다른 서베이에서는 데브옵스를 도입한 기업 가운데 고객 만족도 및 전환율이 상승한 기업은 52%, 매출이 증진된 기업은 38%로 조사됐다.

구글과 페이스북은 데브옵스를 이용해 새로운 클라우드 제품을 개발하고, 기존 제품을 혁신한 조기 개척자들이다. 아마존 또한 클라우드 플랫폼인 AWS에 데브옵스를 활용했다.

야머(Yammer) 또한 자사의 아이폰 앱을 개선하는 핵심 요소가 ‘지속적인 전달’(구현)이라고 밝히고 있다. 이 밖에 미국의 소매업체인 월마트는 개발자들이 더 빠르게 새 제품을 개발해 출시하고, 전체 수명주기 동안 이를 더욱 손쉽게 유지 관리할 수 있는 클라우드 기반 ‘OpneOps’를 런칭했다.

비디오 스트리밍 사이트인 넷플릭스는 인프라 스트레스 테스트에 사용하는 자동화 도구들인 ‘Simian Army’를 개발했다. 이 회사는 이를 이용해 고객들이 심각한 보안 문제를 직면하기 전에, 보안 취약점을 찾아 해결하고 있다.

이 밖에도 크고 작은 회사들이 소프트웨어 개발 기간을 며칠에서 몇 시간으로 앞당기기 위해 데브옵스를 도입했다. 이렇게 데브옵스를 도입하는 기업들이 올해 더욱 증가할 전망이다. 가트너에 따르면, 2,000여 글로벌 기업 가운데 2016년 말까지 데브옵스를 도입할 계획인 기업의 비율이 전체의 1/4에 달한다. 데브옵스가 '틈새'에서 '주류' 개념으로 발전하고 있는 것이다.

보안에도 도움이 될까?
이런 인상적인 사례에도 불구하고 정보보안 팀에게 데브옵스가 정보 보안 개선 효과를 전달할 수 있는지에 관한 의문이 남아있는 실정이다.

이미 대다수 전문가는 데브옵스가 보안에 도움을 줄 수 있다고 믿는다. 시작부터 보안을 염두에 둔 상태에서 설계를 하고, 비즈니스 목표와 보안 사이에 균형을 잡을 수 있다는 이유에서다. 또 개발, 배포, 생산 주기 동안 계속해서 자동으로 보안과 규제 컴플라이언스를 테스트하면, 지금까지 관찰할 수 없었던 수준의 보안을 구현할 수 있다는 설명도 있다.

점프클라우드(JumpCloud)의 최고 경험 책임자(Chief Experience Officer)인 제임스 브라운은 “데브옵스가 보안 담당자들에 큰 혜택을 제공할 수 있다. 개발 프로세스의 초기에 보안을 통합하고, 적합한 자동화 및 운영 도구를 도입하면, 궁극적으로 생산 단계에 쓰일 코드의 보안 수준을 높일 수 있다"라고 와이어드와의 인터뷰에서 강조했다.

영국 소재 모의 해킹 업체인 앰버세일(Ambersail)의 사이몬 채프먼 디렉터는 CSO 온라인과의 인터뷰에서 이런 방식으로 애플리케이션을 테스트 한 결과, 데브옵스가 보안 취약점 발견과 수정에 도움을 줬다고 전했다.


그는 “취약점을 발견해, 재빨리 수정할 수 있다. 다시 말해, 보안에 전반적으로 도움이 된다고 판단한다"라며, 데브옵스를 적용한 결과 그 어느 때보다 해결 속도가 빨랐다고 덧붙였다.

하트블리드는 더 이상 없다?
과거 토니 블레어(Tony Blair) 수상 사무실의 글로벌 보안 매니저로 일한 경력을 갖고 있으며, 현재 런던에서 데브옵스 및 보안 컨설턴트로 일하고 있는 앤디 차크라보티도 데브옵스의 보안 분야 가치를 인정하는 입장이다. 그는 인터뷰에서 다음과 같이 설명했다.



"현대적인 데브옵스는 애플리케이션을 개발하는 사람들, 이들 애플리케이션이 위치한 인프라를 운영하는 사람들의 관계를 개선한다. 이를 통해 애플리케이션이 하는 일과 취약점을 더욱 효과적으로 판단, 더욱 손쉽게 보안을 구현할 수 있다. 하트블리드(Heartbleed)와 쉘쇼크(Shellshock) 같은 보안 버그가 만연한 상황에서, 운영자는 개발을 더욱 완전하게 이해해 더욱 충실한 의사결정을 내릴 수 있을 것이다."

정보 보안 컨설턴트인 제이 슐먼(Jay Schulman) 역시 지난 해 말 블로그를 통해 유사한 의견을 피력했다.

그는 "보안 분야에 종사하면서 데브옵스로의 움직임을 반대하는 이야기를 많이 접했다. 그러나 나는 여기에 동의하지 않는다. 데브옵스는 개발과 인프라를 하나로 통합해 프로세스를 개선하는 역할을 할 수 있다”라고 밝혔다.

슐먼은 같은 글에서 “데브옵스는 개발과 인프라, 보안을 하나로 통합해 환경 보안에 큰 영향을 가져올 수 있다. 보안을 위한 계획에 참여하거나, 이를 만드는 것이다. 배포되기 전에 알려진 보안 문제를 점검하는 감사 스크립트를 만드는 것이다. 프로세스를 지연시키는 것이 아니라, 더 안전한 환경을 만드는데 기여하는 것이다"고 강조했다.

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.



2016.03.08

데브옵스에 보안 통합 '데브시크옵스'··· 효과는? 전망은?

Doug Drinkwater | CSO

데브옵스(DevOps)는 개발, IT 운영, 보안, 품질 보증을 통합해 자동화하는 개념이자 기법이며 철학이다. 간단히 말하자면 여러 부서가 힘을 합해 소프트웨어 개발 주기와 테스트 기간을 앞당기고, 자동화 수준을 높이고, 코드의 품질과 보안 수준을 높인다는 것이다.

데브옵스는 이를 위해 여러 부서의 팀이 서로 협력해 계획을 수립하고, 코드와 빌드를 구현하고, 테스트와 배포를 하고, 운영 및 모니터링하는 연결된 고리를 만든다. 이렇게 하면 소프트웨어를 효율적이면서도 유연하게 개발할 수 있으며, 결과물의 품질을 높일 수 있다.

데브옵스의 장점은 잘 알려져 있다. 소프트웨어 품질을 높이고, 시장화를 앞당기고, 거버넌스와 컴플라이언스(정책 및 규제 준수) 위험을 줄이는 것 등을 예로 들 수 있다.



그러나 정보 보안이 이 과정에 어떤 역할을 할 수 있는지에 대한 질문이 새롭게 부상하고 있다. 오늘날 기존의 데브옵스를 넘어선 지평을 추구하는 기업들이 있다. 이들은 애플리케이션 개발의 모든 과정에 정보 보안을 포함시키는 프로세스인 데브시크옵스(DevSecOps)를 추구한다.

그러나 몹시 까다로운 프로세스라는 점이 문제다. 보안 부서와 IT 부서의 미묘한 관계는 익히 유명하다. 사실 데브옵스 팀을 운영하는 조직에서는 이들의 관계가 더 나쁘다고도 알려져 있다.

또 데브옵스와 데브시크옵스는 운영 모델과 목적이 다르다. 데브옵스는 운영 팀을 개발 팀에 합류 시키는데 목적을 둔다. 프로젝트가 끝날 무렵에 투입시키는 방식이 아니다. 정상적인 기업이라면 운영 팀(Ops)에 거의 다 완성된 결과물을 보내는 방식을 이용하지 않는다. 데브시크옵스에서는 원칙은 동일하자만 대상이 다르다. 보안을 '나중에 관여하는' 고립된 부서로 취급하지 않는다. 개발 프로젝트의 모든 단계에 통합시킨다.

데브옵스 트렌드를 선도하는 구글과 아마존
데브옵스 모델을 도입한 대다수 기업들이 수많은 혜택을 조기에 누리고 있는 것으로 조사됐다. 최근, 한 서베이 결과에 따르면, 데브옵스를 도입한 기업들의 시장화 속도와 고객 관계 개선, 매출이 각각 20%, 22%, 19% 상승했다.

또 다른 서베이에서는 데브옵스를 도입한 기업 가운데 고객 만족도 및 전환율이 상승한 기업은 52%, 매출이 증진된 기업은 38%로 조사됐다.

구글과 페이스북은 데브옵스를 이용해 새로운 클라우드 제품을 개발하고, 기존 제품을 혁신한 조기 개척자들이다. 아마존 또한 클라우드 플랫폼인 AWS에 데브옵스를 활용했다.

야머(Yammer) 또한 자사의 아이폰 앱을 개선하는 핵심 요소가 ‘지속적인 전달’(구현)이라고 밝히고 있다. 이 밖에 미국의 소매업체인 월마트는 개발자들이 더 빠르게 새 제품을 개발해 출시하고, 전체 수명주기 동안 이를 더욱 손쉽게 유지 관리할 수 있는 클라우드 기반 ‘OpneOps’를 런칭했다.

비디오 스트리밍 사이트인 넷플릭스는 인프라 스트레스 테스트에 사용하는 자동화 도구들인 ‘Simian Army’를 개발했다. 이 회사는 이를 이용해 고객들이 심각한 보안 문제를 직면하기 전에, 보안 취약점을 찾아 해결하고 있다.

이 밖에도 크고 작은 회사들이 소프트웨어 개발 기간을 며칠에서 몇 시간으로 앞당기기 위해 데브옵스를 도입했다. 이렇게 데브옵스를 도입하는 기업들이 올해 더욱 증가할 전망이다. 가트너에 따르면, 2,000여 글로벌 기업 가운데 2016년 말까지 데브옵스를 도입할 계획인 기업의 비율이 전체의 1/4에 달한다. 데브옵스가 '틈새'에서 '주류' 개념으로 발전하고 있는 것이다.

보안에도 도움이 될까?
이런 인상적인 사례에도 불구하고 정보보안 팀에게 데브옵스가 정보 보안 개선 효과를 전달할 수 있는지에 관한 의문이 남아있는 실정이다.

이미 대다수 전문가는 데브옵스가 보안에 도움을 줄 수 있다고 믿는다. 시작부터 보안을 염두에 둔 상태에서 설계를 하고, 비즈니스 목표와 보안 사이에 균형을 잡을 수 있다는 이유에서다. 또 개발, 배포, 생산 주기 동안 계속해서 자동으로 보안과 규제 컴플라이언스를 테스트하면, 지금까지 관찰할 수 없었던 수준의 보안을 구현할 수 있다는 설명도 있다.

점프클라우드(JumpCloud)의 최고 경험 책임자(Chief Experience Officer)인 제임스 브라운은 “데브옵스가 보안 담당자들에 큰 혜택을 제공할 수 있다. 개발 프로세스의 초기에 보안을 통합하고, 적합한 자동화 및 운영 도구를 도입하면, 궁극적으로 생산 단계에 쓰일 코드의 보안 수준을 높일 수 있다"라고 와이어드와의 인터뷰에서 강조했다.

영국 소재 모의 해킹 업체인 앰버세일(Ambersail)의 사이몬 채프먼 디렉터는 CSO 온라인과의 인터뷰에서 이런 방식으로 애플리케이션을 테스트 한 결과, 데브옵스가 보안 취약점 발견과 수정에 도움을 줬다고 전했다.


그는 “취약점을 발견해, 재빨리 수정할 수 있다. 다시 말해, 보안에 전반적으로 도움이 된다고 판단한다"라며, 데브옵스를 적용한 결과 그 어느 때보다 해결 속도가 빨랐다고 덧붙였다.

하트블리드는 더 이상 없다?
과거 토니 블레어(Tony Blair) 수상 사무실의 글로벌 보안 매니저로 일한 경력을 갖고 있으며, 현재 런던에서 데브옵스 및 보안 컨설턴트로 일하고 있는 앤디 차크라보티도 데브옵스의 보안 분야 가치를 인정하는 입장이다. 그는 인터뷰에서 다음과 같이 설명했다.



"현대적인 데브옵스는 애플리케이션을 개발하는 사람들, 이들 애플리케이션이 위치한 인프라를 운영하는 사람들의 관계를 개선한다. 이를 통해 애플리케이션이 하는 일과 취약점을 더욱 효과적으로 판단, 더욱 손쉽게 보안을 구현할 수 있다. 하트블리드(Heartbleed)와 쉘쇼크(Shellshock) 같은 보안 버그가 만연한 상황에서, 운영자는 개발을 더욱 완전하게 이해해 더욱 충실한 의사결정을 내릴 수 있을 것이다."

정보 보안 컨설턴트인 제이 슐먼(Jay Schulman) 역시 지난 해 말 블로그를 통해 유사한 의견을 피력했다.

그는 "보안 분야에 종사하면서 데브옵스로의 움직임을 반대하는 이야기를 많이 접했다. 그러나 나는 여기에 동의하지 않는다. 데브옵스는 개발과 인프라를 하나로 통합해 프로세스를 개선하는 역할을 할 수 있다”라고 밝혔다.

슐먼은 같은 글에서 “데브옵스는 개발과 인프라, 보안을 하나로 통합해 환경 보안에 큰 영향을 가져올 수 있다. 보안을 위한 계획에 참여하거나, 이를 만드는 것이다. 배포되기 전에 알려진 보안 문제를 점검하는 감사 스크립트를 만드는 것이다. 프로세스를 지연시키는 것이 아니라, 더 안전한 환경을 만드는데 기여하는 것이다"고 강조했다.

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.

X