데브옵스, 더 이상 전문가들만 아는 미지의 영역 아냐...실질적 장점도 잘 알려져
개발 공정에 더 가까워졌다는 증언 많아...이제 보안 책임도 다 같이 공유할 수 있어야

[보안뉴스 문가용 기자] 데브옵스의 도입률이 계속해서 증가하고 있다. 깃랩(GitLab)에서 조사한 바에 의하면 이미 기업들의 25%가 데브옵스를 3~5년째 실시하고 있고, 37%는 1~3년차에 접어들었다고 한다. 하지만 데브옵스가 퍼지면 퍼질수록 오히려 개발 팀과 보안 팀들 간의 구분이 더 분명해지고 있다고 한다.


깃랩은 데브옵스의 현황을 파악하기 위해 3650명의 IT 전문가들을 면담한 뒤 ‘2020년 글로벌 데브섹옵스 현황(2020 Global DevSecOps Survey)’을 발표했다. 조사 결과 데브옵스가 빠르게 퍼지고 있으며, 이 때문에 새로운 도구와 직무가 생겨나고 있다는 것을 알아낼 수 있었다고 한다. 또한 개발자, 보안 담당자, 사업 운영 팀 간의 새로운 조직도가 만들어지는 것도 눈에 띄는 현상이다.

“응답자들이 증언하고 있는 가장 큰 변화 중 하나는 지금 이 시점에도 역할이 극적으로 바뀌고 있다는 것입니다.” 깃랩의 부회장인 조나단 헌트(Jonathan Hunt)의 설명이다. “개발자들의 60% 이상이 ‘내가 할 일이 계속 바뀌고 있다’고 답했고, 보안 담당자들의 80%가 비슷하게 답했습니다. 조직 차원에서 도입하고 있는 데브섹옵스 때문에요.”

또한 헌트는 “이제 데브섹옵스는 일부 전문가들 사이에서만 이야기 되는 미래의 개념이라든가, 최신 개발 전략이 아니”라고 말한다. “이미 데브옵스와 데브섹옵스를 도입한 덕분에 코드 개발과 취약점 탐지가 훨씬 빨라졌다는 이야기가 수도 없이 나왔죠. 도입의 방법을 고민하고 있지, 도입을 하느냐 마느냐로 고민하는 단계는 넘어섰습니다.”

그렇지만 개발자와 보안 담당자 사이의 간극을 좁히는 문제가 아직 완전히 해결되지는 않은 것으로 보인다. 즉, 아직 보안이 모두의 문제라는 인식이 조금은 부족하다는 뜻이다. 보안 문제가 발생했을 때 책임감을 느낀다고 답한 개발자는 25%, 시험 담당자는 23%, 운영 전문가는 21%인 것으로 나타났다. 보안 담당자의 단독 책임이라고 답한 보안 전문가는 33%였다. 보안은 모두의 책임이라고 답한 사람은 29%였다.

한편 이번 조사에 응한 사람들 중 75%가 스스로 “개발 프로세스에 좀 더 가까워진 것 같다”고 답했다. 이는 데브옵스나 데브섹옵스 모두 아직까지는 개발에 초점이 맞춰져 있다는 것으로 분석된다. 깃랩 측은 보고서를 통해 “보안은 누구에게나 까다로운 주제”라며 “개발 프로세스 중 어느 부분에 관여하든 마찬가지”라고 주장했다. 그래서인지 현재 보안 상태에 대한 자평이 골고루 갈렸다. 잘 하고 있다는 응답자가 40%, 괜찮다는 응답자가 30%, 강력하다는 응답자가 20%였다.

보안 담당자들이 느끼는 변화는 간단히 설명해 ‘보안의 중요도가 올라가고 있다’는 것이다. 28%의 응답자는 ‘프로젝트에 참여하는 모든 팀의 책임’이라고 답했고, 27%는 ‘개발 과정에서 매일 발생하는 일을 그때 그때 필요한 인원들이 처리해야 한다’는 의견을 나타냈다. 또한 과반수 이상인 65%는 ‘이미 조직 차원에서 보안을 개발 공정의 초기 단계에 도입 중에 있다’고 답하기도 했다.

“이런 반응들을 보면 이제 조직들이나 개발자들 모두 보안에 대한 책임을 공유할 준비가 된 것 같습니다. 다만 책임을 공유한다는 게 실질적인 단계로 돌입해야 하는 문제가 남았습니다. 어떤 도구를 사용해야 하는지, 어떤 방식으로 보안을 책임져야 하는지에 대한 가이드라인과 구체적 지침이 마련되어야 하겠죠. 할 마음이 있다는 사람들에게 방법을 가르쳐 줘야 한다는 뜻입니다.” 헌트의 설명이다.

그러나 이 역시 그리 쉬운 문제는 아니다. 보안 점검이 꽤나 까다롭고 골치 아픈 일이라는 반응이 정보 보안 담당자들로부터 나왔기 때문이다. 응답자의 42%가 ‘개발 공정에 있어서 보안 점검이 너무 뒤에 붙어 있다’고 답했고, 36%는 ‘발견된 취약점을 이해시키고, 실질적으로 보완 및 처리하는 과정이 너무 어렵다’고 답했다. ‘취약점 해결부터 해야 한다는 걸 설득하는 게 매번 전쟁과 같다’는 응답자가 30%, ‘취약점 해결을 할 수 있는 사람을 찾는 게 전쟁 같다’는 응답자가 30%였다.

코드 점검을 실시하더라도 생산 전에 찾아내는 취약점은 25%에 불과하다는 사실도 이번 조사를 통해 밝혀졌다. “이건 개발자를 평가하는 잣대가 잘못되었기 때문입니다. 거의 모든 조직에서 개발자의 능력을 평가할 때, 코드의 질이 아니라 양을 기준으로 삼거든요. 취약점이 얼마나 있든, 결국 코드를 많이 뽑아내는 사람이 유능한 개발자가 되는 겁니다. 그런 상황에서 취약점을 점검하고 해결하는 건 사치일 수밖에 없죠.”

그 외에도 취약점 점검과 해결에 대한 훈련이 잘 되어 있지 않은 것도 주요 요인인 것으로 밝혀졌다. “개발을 잘 하는 것과, 코드를 잘 점검하는 건 별개의 문제입니다. 취약점으로 분류되는 항목만 600개가 넘어요. 이걸 어느 정도 알고 있어야 취약점 점검이 됩니다. 그렇기 때문에 코드 점검을 자동으로 해주는 도구가 필요한 건데, 이게 아직은 현장에 제대로 공급되고 있지 않은 분위기입니다. 아직도 코드 점검을 수작업으로 진행하는 곳이 태반입니다.”

3줄 요약
1. 환상의 동물과 같았던 데브옵스, 서서히 입지를 넓혀가는 중.
2. 하지만 아직도 ‘개발’에 초점이 맞춰져 있고, ‘보안’은 뒷전인 분위기 남아 있음.
3. 보안을 데브옵스 참여자 모두의 책임으로 만들려면 가이드라인과 도구가 필요함.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>