오늘날 애플리케이션 경제에서 소프트웨어 개발에 대한 수요는 끊임없이 증가하고 있습니다. 소프트웨어와 애플리케이션은 기업의 핵심 업무로 자리 잡았으며, 마감일을 지키지 못하면 매출 손실로 이어지고, 기능 결함은 고객 이탈을 초래할 수 있습니다. 이러한 상황에서 기업들은 속도 향상에 대한 요구를 충족하기 위해 DevOps를 도입하고 있으며, 기존의 분리된 개발팀과 운영팀을 통합하고 있습니다.
동시에, 취약한 소프트웨어와 애플리케이션 관련 데이터 유출 사고에 대한 뉴스가 끊이지 않으면서 DevSecOps의 중요성이 더욱 커지고 있습니다. DevSecOps는 소프트웨어 개발 및 테스트 과정에 보안을 통합하여 더 빠르고, 더 높은 품질과 더 안전한 결과를 달성하는 것을 목표로 합니다.
전통적으로 개발자는 코드의 기능성을 보장하는 역할을 담당했습니다. 이는 개발, 운영, 보안팀 간의 분리된 구조에 의해 더욱 강화되었습니다. 애플리케이션이 제시간에 정상적으로 작동하기만 하면 개발자의 역할은 끝났다고 여겨졌습니다. 보안팀은 애플리케이션의 보안을 책임지고, 운영팀은 시스템을 안정적으로 유지하는 역할을 담당했습니다.
하지만 DevOps로의 전환은 개발자들이 코드의 품질과 보안을 보장하는 데 더욱 적극적인 역할을 해야 한다는 것을 의미했습니다. 이는 이전에는 코드 보안을 기껏해야 부차적인 고려 사항으로 여겼던 개발자들에게 새로운 과제를 안겨주고 있습니다.
정규 교육의 한계
DevOps, 그리고 점점 더 DevSecOps로의 전환은 오늘날 IT 및 개발 전문가를 위한 정규 교육이 기업의 실제 관행에 발맞춰 발전하지 못했음을 드러냈습니다. 최근 Veracode와 DevOps.com이 의뢰한 설문조사에 따르면,https://info.veracode.com/analyst-report-devsecops-global-skill-survey.html한 조사에 따르면, DevOps 전문가의 65%는 IT 분야에 진입할 때 DevOps에 대한 지식이 매우 중요하다고 응답했지만, 응답자의 4분의 3은 DevSecOps에서 성공하는 데 필요한 교육을 정규 교육 과정에서 받지 못하고 있다고 답했습니다.
현재 많은 대학의 컴퓨터 과학 과정에서는 DevSecOps 개발자의 핵심 역할인 코드의 보안 취약점 완화 방법에 대한 실질적인 지침을 제공하지 못하고 있습니다. 응답자의 거의 80%가 학사 또는 석사 학위를 소지하고 있지만, 70%는 자신의 보안 교육이 현재 직무 요구 사항을 충족하지 못한다고 답했습니다.
대학에서 현재의 이론 중심 교육에 더해 실습 교육을 강화해야 하는지에 대한 논의가 있지만, 단기적으로는 다른 해결책이 필요합니다.
정규 교육 과정에서 개발자와 소프트웨어 엔지니어에게 더욱 안전한 코드를 작성하는 방법을 가르치는 데 더 큰 비중을 두기 전까지는, DevOps를 도입한 조직들이 개발자들의 취약한 코드 식별 및 완화 능력을 향상시키는 데 주력해야 할 것입니다.
개발팀 역량 강화
개발팀의 보안 기술 격차를 해소하기 위해 팀을 관리해 온 저의 개인적인 경험에 비추어 볼 때, 단기간에 해결할 수 있는 방법은 없습니다. 기술 교육 요구 사항 외에도, 개발팀 관리자들은 기존 문화 내에서 보안을 우선순위에 두는 것이 가장 큰 난관이라는 것을 잘 알고 있습니다.
그렇다면 개발팀 관리자들은 문화적 반발을 피하면서 개발자들의 보안 코딩 역량을 강화하기 위해 어떤 방법을 도입할 수 있을까요? 제가 경험한 가장 효과적인 세 가지 접근 방식을 소개합니다.
외부 교육
응답자의 3분의 1은 강의실 교육이나 온라인 교육을 통해 새로운 기술을 습득하는 것이 가장 효과적인 방법이라고 답했습니다. 하지만 안타깝게도 설문 조사에 참여한 응답자 중 단 4%만이 이러한 기회를 가졌습니다.
강의실 교육은 비용이 많이 들기 때문에 많은 조직에서 온라인 교육을 선택하지만, 이러한 투자를 하는 조직은 최소한의 투자 수익률(ROI)을 보장하는 프로세스를 구축하는 것이 중요합니다.
보안 코딩과 같이 중요한 기술의 경우, 조직은 신입 사원을 대상으로 필수 교육 과정을 도입하여 팀 전체의 최소 역량을 설정해야 합니다. 연간 목표를 설정하면 직원들이 특정 교육 과정을 이수하도록 유도할 수 있습니다.
DevOps 파이프라인에 정적 스캐닝 통합
개발자들이 안전한 코드를 작성하도록 하는 가장 좋은 방법은 Microsoft Word의 빨간색 밑줄 기능이 10년 넘게 오타를 방지하는 데 도움을 준 것처럼, 작성하는 코드에 대한 지속적인 피드백을 제공하는 것입니다.
DevOps 파이프라인에 정적 스캐닝을 통합하면 개발자들이 취약점을 발견하고 수정하는 데 필요한 지속적인 피드백을 제공할 수 있습니다. 취약점 발견 후 장문의 보안 보고서를 작성하고 다시 수정해야 하는 번거로움을 줄일 수 있습니다. 이는 개발자들이 오류를 발견하고 수정하는 데 도움이 될 뿐만 아니라, 개발 관리자가 마감일을 놓치거나 안전하지 않은 애플리케이션 또는 업데이트를 배포해야 하는 상황을 방지하는 데에도 도움이 됩니다.
보안 챔피언 육성
모든 개발자가 보안 전문가일 필요는 없습니다. 하지만 보안 지식을 갖추고 개발자의 업무 방식을 이해하는 사람이 필요합니다. 소규모 보안 전문가 팀은 특정 개발자들에게 안전한 코딩의 기본 사항을 교육하여 보안 챔피언을 육성하고, 이를 통해 팀 전체에 보안 인식을 확산시킬 수 있습니다.
이 모델에서 팀은 보안 챔피언에게 일상적인 보안 설계 및 코딩 관련 조언을 구합니다. 보안 챔피언은 스크럼 팀이 소프트웨어 개발 수명 주기(SDLC)에서 보안을 우선시하도록 지원하고, 특히 어려운 보안 문제에 대한 지원을 제공합니다. 보안 챔피언은 기술 부족으로 인해 해결되지 않은 취약점이 없도록 하고, 개발자들이 같은 언어를 사용하고 어려움을 공감하는 동료로부터 보안 관련 조언을 받을 수 있도록 합니다.
지금 바로 행동해야 할 때
점점 더 많은 조직이 DevOps 및 DevSecOps 방식을 도입함에 따라 기존의 보안 프로세스는 더 이상 적합하지 않게 될 것입니다. 사이버 범죄자들이 취약한 애플리케이션과 소프트웨어를 악용하려는 위협이 커지는 상황에서, 조직은 개발 방식의 변화에 따른 새로운 요구 사항을 충족하기 위해 개발자들의 역량을 강화해야 합니다. 어떤 접근 방식을 취하든, 보안 역량 강화의 필요성은 분명합니다.
글쓴이: 마리아 러플린
