검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'데브섹옵스'통합검색 결과 입니다. (2건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"진정한 데브섹옵스는 개발 첫 순간부터 시작된다"

"보안은 더 이상 개발과 운영의 마지막 단계에서 확인하는 일이 아닙니다. 이제는 코드를 쓰는 순간부터, 외부 라이브러리를 불러오는 그 첫 단계부터 보안이 시작돼야 합니다." 25일 아이엔소프트의 송창학 본부장은 오픈클라우드플랫폼얼라이언스(OPA)에서 개최한 세미나에서 '클라우드 네이티브 시대의 데브섹옵스 혁신: 자동화와 지속적 배포 전략'을 주제로 이같이 강조했다. 송 본부장은 단순히 배포 파이프라인의 보안을 강화하는 것만으로는 부족하다며 데브옵스(DevOps)를 넘어선 데브섹옵스(DevSecOps)의 필요성을 제기했다. 보안이 개발, 배포, 운영 등 전체 라이프사이클에 자연스럽게 녹아 들어야 한다는 것이다. 그는 데브섹옵스의 출발점을 '시프트 레프트 보안(Shift-left Security)'이라고 규정했다. 이는 보안 점검 시점을 배포 직전이 아니라 코드를 작성하고 라이브러리를 선택하는 시점으로 앞당기자는 개념이다. 송 본부장은 개발 단계에서부터 보안을 적용하는 구체적인 방법도 소개했다. 개발자가 코드를 작성하는 통합개발환경(IDE)에 정적 분석 도구를 설치해, 보안 취약점을 실시간으로 점검할 수 있도록 해야 한다고 강조했다. 또한, 외부에서 가져오는 오픈소스 라이브러리의 경우, 그 안에 숨겨진 악성 코드나 취약점이 포함돼 있을 수 있기 때문에, 프록시 서버를 통해 사전에 걸러내는 시스템을 갖춰야 한다고 설명했다. 초기 단계부터 위험 요소를 차단하면 운영 단계에서 발생할 수 있는 보안 사고를 미리 예방할 수 있다는 것이다. 그는 상용 보안 솔루션인 소나타입(Sonatype)의 '파이어월(Firewall)'을 예시로 들며, 취약한 라이브러리가 조직 내로 유입되는 것을 사전에 차단하는 구조의 중요성을 강조했다. 데브섹옵스에서 핵심 축을 담당하는 자동화 기술로는 지속적 통합·지속적 배포(CI/CD)를 꼽힌다. 송 본부장은 "CI/CD를 통해 빠르고 일관된 소프트웨어 배포가 가능할 뿐 아니라 파이프라인 내부에 보안 테스트를 녹여 넣음으로써 실시간 보안 품질 유지가 가능하다"고 설명했다. 특히 고객사의 환경에 따라 CI와 CD 도구를 유연하게 구성해야 한다는 점을 강조하며, 프로젝트마다 요구사항이 달라지는 만큼 다양한 도구의 최적 조합이 필요하다고 말했다. 이를 활용한 실제사례로 아이엔소프트가 수행한 K문고, H홈쇼핑 등 대형 유통 고객사의 도입 성과를 소개했다. 해당 프로젝트에서는 100개가 넘는 마이크로서비스를 자동화된 배포 파이프라인으로 관리하며 각 서비스에 맞는 보안 점검과 테스트 시나리오를 통합했다. 배포 방식도 API 서버에는 롤링 업데이트, UI 서버에는 블루-그린 또는 카나리 배포 전략을 적용하는 등 상황에 맞는 유연한 배포 방식을 구현했다. 송 본부장은 데브옵스에서 발전한 깃옵스와 코드형인프라(IaC) 전략도 소개했다. 테라폼(Terraform), 헬름(Helm), 앤서블(Ansible) 등의 도구를 통해 인프라와 애플리케이션을 코드 수준에서 통합 관리함으로써 배포 일관성과 보안 정책 준수를 확보할 수 있다는 설명이다. 쿠버네티스 환경에서 네트워크 접근 제어, 보안 정책 관리, 키 관리 시스템(KMS) 연동 등 다양한 보안 요소가 필요하다는 점도 언급됐다. 송 본부장은 "진정한 데브섹옵스는 개발이 시작되는 그 순간부터 보안을 설계하는 것"이라며 "운영까지 전 과정을 커버하는 보안 거버넌스 정책이 조직 내에 자리잡아야 한다"고 강조했다. 이어 "클라우드 네이티브 환경에서는 서비스 민첩성과 보안이 충돌할 수 있으나 데브섹옵스는 이 두 가지를 동시에 달성할 수 있는 유일한 전략"이라고 덧붙였다.

2025.04.25 15:50남혁우

해커 공격에 '벌벌' 떤다…기업 10곳 중 8곳 "사이버 보안 강화 조치 시행"

최근 해커들의 위협이 거세지고 있는 가운데 기업 10곳 중 8곳이 사이버 보안을 강화하려는 조치를 취하기 위해 나선 것으로 파악됐다. 30일 한국딜로이트그룹이 최근 43개 국가, 6개 산업군에서 직원 수 1천 명 이상, 연매출 5억 달러 이상인 기업의 최고 경영진과 사이버 관련 의사 결정자 약 1천200명을 대상으로 설문 조사한 결과, 대다수 응답자는 사이버 보안 조치의 필요성을 진지하게 받아들이고 있는 것으로 분석됐다. 응답자 86%는 사이버 보안을 강화하기 위해 '중간~높은 수준'의 조치를 시행하는 것으로 조사됐다. 사이버 성숙도가 높은 조직들은 그렇지 않은 조직들에 비해 사이버 보안 조치를 더 많이 수행하고 있는 것으로도 나타났다. 실제로 사이버 성숙도가 높은 조직의 80%가 전략적 사이버 보안 계획 수립에 나선다고 답했으나, 성숙도가 낮은 조직은 29%에 불과했다. 응답자 86%는 사이버 보안 강화 조치 및 활동에 있어 "사이버 보안 역량 및 투자를 감독하기 위해 고위 비즈니스 및 IT 리더로 구성된 관리 조직이 있다"며 사이버 보안 필요성을 느끼고 있었다. 평균 83%는 이러한 조치가 전체 사이버 보안 전략의 필수 요소라고 일부 동의하거나 전적으로 동의했다. 이는 사이버 보안 전략이 비즈니스에 지속적으로 통합되고 있음을 시사한다. 또 응답자의 57%가 향후 12~24개월 동안 사이버 보안 예산을 증액할 것으로 답했다. 올해 기준 사이버 보안 위협 유형으로는 피싱과 멀웨어 및 랜섬웨어가 34%, 데이터 손실 관련 위협이 28%였다. 사이버 보안 위협 건수가 연 6~10건에 달한다는 응답자는 전년 38%에서 올해 40%로 늘었다. 사이버 위협이 미치는 부정적 영향 중 재정적 측면에서 매출 감소라는 응답은 64%, 전략적 목표에 대한 예산 감축 및 주가 하락, 벌금이라는 응답은 63%에 달했다. 운영적 측면에서 공급망 및 생태계 시스템 붕괴라는 응답은 66%, 지적재산권 침해와 인력 유지 및 확보 안정성 감소라는 응답은 각각 63%, 64%였다. 브랜드 측면에서 브랜드 평판 훼손이라는 응답은 65%, 기술적 무결성에 대한 자신감 축소 및 고객들의 신뢰도 하락이라는 응답은 각각 66%, 63%였다. 한국딜로이트그룹은 "자연스럽게 CISO(Chief Information Security Officer, 최고정보보호책임자)의 조직 내 영향력은 더욱 강해지고 있다"며 "실제로 클라우드, AI 및 인지 컴퓨팅, 생성형 AI 비즈니스에서 CISO가 적극적으로 참여한다는 응답은 34%에 달했다"고 설명했다. 사이버 보안의 존재감이 커지는 가운데 비즈니스 전반에 걸친 사이버 통합 조직들은 기술 역량을 강화하고 보안을 유지하는 것을 넘어 새로운 제품과 서비스를 창출하는 방식에도 변화를 주고 있는 것으로 나타났다. 제품 및 서비스 개발 초기부터 프라이버시 관련 사항을 고려한다는 응답과 사이버 보안 전략 수립을 위한 인력과 역량을 유지한다는 응답은 83%(동의, 매우동의)로 파악됐다. 이는 데브섹옵스(DevSecOps) 프로세스로의 변화와 더불어 사이버 보안 리더들의 역할과 기능이 제품 설계 및 개발 팀에 성공적으로 통합되고 있음을 시사한다. 이번 조사에선 사이버 보안이 클라우드(48%), 생성형 AI(41%), 데이터 분석(41%) 같은 영역에서 조직의 기술 역량 투자를 보호하는 데 중요한 역할을 하고 있는 것으로 분석됐다. 또 응답자의 평균 39%는 사이버 보안 프로그램에서 AI 기능을 사용해 부담을 줄이고 있는 것으로 나타났다. 실제로 조직의 디지털 인프라를 지속적으로 모니터링하기 위해 AI 기반 툴을 배포한다는 응답은 42%, AI를 활용해 고급 사이버 보안 시뮬레이션을 생성한다는 응답도 40%에 달했다. 높은 사이버 성숙도를 가진 조직이 사이버 보안 조치로 얻는 잠재적 이점은 낮은 성숙도 조직 대비 2.4배, 중간 성숙도 조직 대비 1.6배 높았다. 성숙도가 높은 조직일수록 조직의 회복력 강화(76%), 위협 탐지 및 대응 개선(74%), 지식 재산 보호(74%) 측면에서 조직에 기대하는 이점이 높았다. 서영수 한국 딜로이트 그룹 사이버보안 리더는 "이제 리더들은 사이버 보안이 단순한 IT 문제가 아니라 조직 전체의 모든 기능과 수준에 통합돼야 하는 비즈니스 필수 과제임을 이해해야 한다"며 "사이버 보안과 맞닿는 비즈니스의 모든 영역에서 협업, 정보 공유, 의사 결정이 더욱 원활해질 수 있도록 지원해 조직의 중요한 자산과 명성을 더욱 잘 보호하고 점점 더 디지털화되는 세상에서 전반적인 회복력을 강화해야 한다"고 말했다.

2024.11.30 08:00장유미