웹 애플리케이션 보안에 대한 DevSecOps 접근 방식으로 사이버 공격 사전 차단하기

데브섹옵스(DevSecOps)는 보안 관행을 데브옵스 프로세스에 통합함으로써 보안이 소프트웨어 개발 수명 주기(SDLC)의 필수적인 부분이 되도록 하는 것을 목표로 합니다. 
 

웹 애플리케이션은 기업의 비즈니스와 브랜드 아이덴티티의 근간이지만 디지털 공격과 사이버 범죄에 매우 취약합니다. 따라서 웹 애플리케이션 보안에 대한 강력하고 미래 지향적인 접근 방식을 취하는 것이 중요합니다. 2030년까지 시장 규모가 300억 달러에 달할 것으로 예상되는 '애플리케이션 보안(application security)'이라는 용어는 다양한 형태로 사용되지만, 오늘날 가장 관련성이 높은 분야 중 하나가 바로 데브섹옵스입니다.

데브섹옵스의 공식적인 실행은 1970년대 후반으로 거슬러 올라가지만, 전 세계가 더욱 상호 연결되고 "앱-중심"이 되면서 IT 및 인포섹 환경 전반에 걸쳐 채택이 훨씬 더 두드러졌습니다. 깃랩의 2023 글로벌 데브섹옵스 보고서(GitLab’s 2023 Global DevSecOps Report)에 따르면 조직의 56%가 보안 개선, 개발자 속도 향상, 비용 및 시간 절감, 더 나은 협업을 위해 데브옵스(DevOps) 또는 데브섹옵스 방법론을 사용한다고 응답했으며, 이는 2022년에 비해 약 10% 증가한 수치입니다.

데브섹옵스이란 무엇일까요? 
데브섹옵스(DevSecOps)는 보안 관행을 데브옵스(DevOps) 및 애플리케이션 개발 프로세스에 통합하는 방법을 설명하는 데 사용됩니다. 데브섹옵스는 단순히 애플리케이션을 중심으로 보안을 구축하는 것이 아니라 애플리케이션에 보안을 구축하는 것을 목표로 하며, 개발팀과 운영팀 간의 협업에 초점을 맞춘 방법론으로 소프트웨어를 빠르고 효율적으로 생성, 테스트 및 배포하는 데 중점을 둡니다. 보안 관행(security practices)을 데브옵스 프로세스에 통합하여 보안이 소프트웨어 개발 수명 주기(SDLC)의 필수적인 부분이 되도록 하는 것이 데브섹옵스의 목표입니다.

데브섹옵스의 이점
취약점 조기 식별 가능 : 데브섹옵스 프로세스는 소프트웨어 개발 프로세스 초기에 보안 취약성을 식별하는 데 도움이 됩니다. 깃랩의 보고서에 따르면 보안 전문가의 71%가 이 접근 방식을 도입하여 개발자가 전체 보안 취약점의 4분의 1 이상을 발견하고 있다고 답했으며, 이는 2022년 53%에서 증가한 수치입니다.

예산 및 평판 향상 : 개발자는 보안 테스트를 개발 주기에 통합함으로써 보안 문제가 비용이 많이 들고 브랜드에 손상을 입히기 전에 보안 문제를 식별하고 해결할 수 있습니다. IBM에 따르면 미국의 평균적인 기업에서 한 번의 데이터 유출로 인한 피해액이 940만 달러나 발생합니다. 최신 애플리케이션 프로그래밍은 다양한 오픈 소스 및 상용 도구와 라이브러리에서 파생될 수 있으며, 이러한 도구와 라이브러리는 최근 이슈가 되고 있는 Apache Struts, Spring4Shell 또는 Log4j 익스플로잇과 같이 다양한 수준의 취약성(공개 및 비공개)을 가지고 있으므로 공급망 손상을 방지하기 위해 SDLC에 잘 정의된 명확한 보안 프로세스를 구현하는 것이 중요합니다.

안전하고 신속한 출시 : 보안을 데브옵스 프로세스의 기본 요소로 삼으면 소프트웨어를 빠르게 배포해야 하는 상황에서 보안을 간과하거나 잊어버리지 않도록 보장할 수 있습니다. 기존에는 애플리케이션 테스트가 개발의 마지막 단계에서 보안 팀에 전송되기 전에 구현되었습니다. 애플리케이션이 품질 표준을 충족하지 못하거나 제대로 작동하지 않거나 기타 요구 사항을 충족하지 못하는 경우, 추가 변경을 위해 개발 단계로 다시 보내졌습니다. 이로 인해 SDLC에 심각한 병목 현상이 발생하고 개발 속도를 중시하는 데브옵스 방법론에 도움이 되지 않았습니다. 

보안 테스트를 개발 주기에 통합하고 개발 팀과 긴밀하게 협력하면 소프트웨어 품질에 영향을 미칠 수 있는 다른 버그와 결함을 발견할 수 있는 경우가 많습니다. 보안 전문가의 약 74%는 조직에서 보안 적용을 개발 초기 단계로 이미 이전했거나 향후 3년 내에 이전할 계획이라고 답했습니다.

데브섹옵스 구현
조직에서 소프트웨어 개발과 관련하여 효과적인 보안 프로그램을 구축하는 것은 특정 도구보다는 문화와 프로세스에 관한 문제인 경우가 많습니다. 개발 팀이 일반적으로 CI/CD 및 IDE 툴링을 제어하는 것처럼, 다양한 정적 및 동적 애플리케이션 보안 테스트(SAST/DAST) 도구 중에서 선택하는 것은 데브섹옵스팀의 고유 권한입니다. 

가장 큰 이점을 제공하는 올바른 도구를 선택하는 것도 중요하지만, 협업과 규정 준수를 보장하기 위해 올바른 프로세스를 설정하는 것도 중요합니다. 일부 기존의 인포섹(Infosec) 팀이 스캔이나 검색에만 의존하여 문제를 발견하는 '레드팀(red team)' 사고방식으로만 운영되는 경우 마찰이 발생할 수 있습니다. 그러나 데브섹옵스팀은 완화(mitigation)에도 투자해야 하며, 발견한 문제를 해결하는 데 유용해야 합니다. 이는 더 나은 협업을 촉진하여 팀 사일로를 해소하는 데 도움이 될 뿐만 아니라, 완화 노력이나 효과를 이해하는 것은 인포섹 또는 데브섹옵스팀이 결과가 미치는 영향을 더 잘 이해한다는 것을 의미합니다.

예를 들어, 자동화된 스캔에서 특정 코드 또는 소프트웨어 패키지의 취약점을 보여주는 결과를 생성할 수 있습니다. 하지만 보안팀이 해당 코드나 패키지가 어디에 어떻게 사용되는지에 대한 적절한 컨텍스트를 제공하지 못하면 문제를 해결하는 데 도움을 줄 수 있는 능력이 제한되고 개발자의 업무량이 늘어날 뿐 아니라 개발 팀의 속도도 느려집니다. 한 팀이 시스템 약점을 식별하고, 테스트 공격을 실행하고, 취약성 스캔을 수행하고, 더 강력한 방어 시스템을 구현할 수 있을 때 효율적인 워크플로우가 이루어집니다. 한 팀이 레드팀과 블루팀의 역할(red and blue team role)을 효과적으로 수행하여 개발팀의 동의를 얻는 동시에 DevSecOps 팀이 적절한 보안 프로토콜을 준수하면서 코드를 더 빠르게 배포할 수 있습니다.

데브섹옵스의 다른 모범 사례로는 위협 모델링을 프로세스에 통합하는 것이 포함됩니다. 시간이 지남에 따라 효과가 입증된 인기 있는 위협 모델과 킬 체인에는 STRIDE 프레임워크와 MITRE Att&ck 매트릭스가 있습니다. 웹 애플리케이션 영역에서는 Edgio의 클라우드 또는 CDN을 통해 제공되는 고급 웹 애플리케이션 및 API 보호(WAAP, Web Application & API Protection) 솔루션을 사용하면 근본적인 취약점이 있거나 수정 또는 업그레이드에 시간이 걸릴 수 있는 백엔드 시스템에 대해 가상 패치를 수행할 수 있습니다. 

프로세스에 데브섹옵스를 처음 도입하는 조직의 경우 파일럿 프로젝트로 소규모로 시작하는 것이 가장 좋은 접근 방식인 경우가 많습니다. 다수의 자동화된 도구와 스캐너가 잠재적인 취약성을 식별하는 데 효과적이지만, 문제를 추적 및 해결하고 측정 가능성을 제공하는 유사한 자동화된 방법을 갖추는 것도 개발 팀과의 오버헤드와 마찰을 줄이는 데 똑같이 중요합니다.

결론
데브섹옵스는 취약점을 조기에 식별하고, 자신감을 가지고 더 빠르게 릴리스하며, 전반적인 코드 품질을 개선하는 데 유용한 접근 방식입니다. DevSecOps를 효과적으로 구현하려면 적절한 도구 선택, 협업 문화 및 규정 준수 프로세스 구축, 위협 모델링 통합이 필요합니다. 조직이 소프트웨어 개발에서 보안을 점점 더 우선시함에 따라 데브섹옵스는 소프트웨어 애플리케이션의 무결성과 안전성을 보장하는 데 계속해서 중요한 역할을 담당할 것입니다.

에지오의 웹 애플리케이션 및 API 플랫폼을 사용하면 최신 웹 애플리케이션에 효과적으로 강력한보안을 쉽게 구축하고, 혁신을 가속화하며, 통합된 알림 관리를 통해 위험을 완화할 수 있습니다. 지금 바로 전문가와 상담(Talk to an expert)하여 비즈니스에 데브섹옵스(DevSecOps)를 구현하세요.