보안은 개발 초기 단계에서부터 도입시키는 것이 이상적
33% 정도의 기업들이 이를 실행하고 있는 것으로 확인

[보안뉴스 홍나경 기자] 일명 데브옵스(DevOps)라고 하는 소프트웨어 개발 방법론이 각광받고 있다. 관리자와 개발자 사이의 마찰을 줄여 개발 시간을 크게 감소시키는 기법이기 때문이다. 하지만 그 장점은 아직 이론으로만 존재하는 듯 하다. 현장에서는 아직 데브옵스의 시간 단축이라는 장점이 크게 발휘되고 있지 못하다고 한다. 베라코드(Veracode)가 발표한 조사에 따르면 절반이 넘는 개발자들이 그 첫 이유로 보안을 꼽았다.


이번 조사는 세계 각국에 있는 개발자 350명을 대상으로 실시됐고 애플리케이션 보안에 대한 개발자들의 인식을 살피는 것이 주요 목적이었다. 그리고 업무를 하는 데 있어 보안이 미치는 영향 또한 이번 조사에 포함됐다.

먼저, 52%의 개발자들과 54.3%의 데브옵스 관리자들은 보안 점검 절차가 개발의 속도를 저하시키고 제때 상품을 출시하는 데 지장을 준다고 답했다. 또한 이것이 개발 업무에 있어서 가장 큰 장애물이라고 덧붙였다. 그 다음으로는 아직 잔재해 있는 예전 보안점검 절차가 데브옵스와 섞여 일이 복잡해지고 있다는 응답이 많았다. 개발자들 46%와 데브옵스 관리자들 44%가 이 답을 택했다.

기업들이 데브옵스를 통해 개발에 드는 시간을 줄이려고 애쓰는 점을 고려해 본다면 작은 문제가 아니다. 데브옵스를 통해 개발 시간을 좀 줄이나 했더니 보안 검사로 인해 개발자들이 또 다시 시간에 쫓기고 있는 것이다.

올해 초 발표된 포레스터 리서치(Forrester Research)의 보고서에 따르면 88%의 개발자들이 자주 신제품을 발매해야 하는 데 많은 부담감을 느끼고 있다고 했고, 반이 조금 넘는 개발자들이 적어도 한 달마다 새 제품을 생산해야 한다고 답했다. 게다가 제품을 빠른 시간에 만들어야 하는 것 뿐 만이 아니라 고성능의 소프트웨어 제품들을 개발해야한다고 77%의 응답자들이 답하기도 했다.

그렇다면 데브옵스는 실패한 개발 방법론일까? 보안과 어울리지 않는 걸까? 베라코드는 데브옵스의 장점을 살리고 보안도 소홀히 하지 않기 위해서 할 일이 많겠지만, 데브옵스와 보안의 궁합이 본질적으로 좋지 않다는 결론을 내리기는 시기상조라고 분석한다. 오히려 조직들이 가고 있는 방향 자체는 맞다고.

“소프트웨어 개발 주기 초기에 보안 문제를 해결하는 것이 제일 좋은 방법이긴 합니다. 설계에서부터 아예 모든 보안을 해결하면 얼마나 좋겠어요. 하지만 그건 굉장히 어려운 일입니다. 대신 소프트웨어들은 지속적인 시장 출시(continuous delivery)라는 방식으로 소비자들에게 다가가고 있습니다. 보안문제를 해결할 기회가 더 많아진다는 겁니다. 그리고 이런 지속적인 출시 및 업데이트 구조에서는 데브옵스가 기존 개발 방법론보다 더 잘 어울리죠.”

이번 조사에서도, 대부분의 기업들이 소프트웨어 개발 초기에 보안을 점검하겠다고 답했다. 프로그래밍이 끝난 단계에서 보안기능을 삽입할 것이라고 답한 업체는 16%에 그쳤다. 실제로 기업들 3개 중 하나꼴로 설계 단계 및 준비 과정 중에 보안 점검을 실시하고 있기도 하다. 방향 자체는 옳게 가고 있는 것이다.

포레스트의 분석가들은 개발 초기단계에 보안 검사를 포함하는 것이 기업에게 있어 여러모로 득이 된다고 설명했다. 개발 초기에 보안 검사를 실시하게 되면 그에 드는 비용도 줄일 수 있고 덩달아 제품에 대한 고객 신뢰도도 높아질 수 있기 때문이다.

실제로 프로그래밍이 끝난 후에 보안점검을 실시하게 되면 설계 단계에서부터 보안을 점검하는 것보다 비용이 세 배 정도 더 든다고 한다. 또한, 개발 단계에서부터 보안이 검증된 제품을 출시하게 되면 차후에 애플리케이션 보안 업데이트 횟수도 감소하게 되어 자연스럽게 고객 신뢰도 및 만족도를 높일 수 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 홍나경 기자(hnk726@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>