한국 기업 가운데 소프트웨어 개발 수명주기 초기단계에 보안을 통합하고 데브섹옵스(DevSecOps)를 구현한 곳은 15%로, 이는 아시아태평양지역 최저 비율이라는 조사 결과가 나왔다. SW개발 환경이 그만큼 낙후됐다는 것이다.
CA테크놀로지스는 기업의 데브섹옵스와 소프트웨어 보안현황을 조사해 이같은 내용을 담은 글로벌보고서 '소프트웨어라이프사이클 DNA에 보안 통합하기'를 2일 소개했다. 보고서는 한국, 중국, 일본 등 아시아태평양지역 7개국의 575명을 포함한 세계 15개국 1천279명의 IT 및 비즈니스 의사결정권자가 응답한 설문 결과를 담았다.
조사결과 국내 기업 대다수는 소프트웨어 개발이 성장과 확장을 지원한다(94%), 기업 경쟁력을 지원한다(91%), 디지털트랜스포메이션을 지원한다(87%)고 답했다. 소프트웨어와 코드 문제로 인한 보안 위협도 증가하고 있다(65%)는 데 동의했다. 이에 보안을 소프트웨어 개발과정에 내재화하는 것이 중요하다(92%)고 봤다.
소프트웨어 개발 과정에 보안 테스트 및 평가를 통합하는 데 장애물이 있다는 기업이 많았다. 주된 장애물은 시간제약(67%), 기업문화(65%), 예산제약(62%)였다. 기업 문화와 프랙티스가 개발, 운영, 보안의 협업을 지원한다(19%)는 곳과 고위 경영진이 제품 출시 기간 단축보다 보안이 중요한 걸 인지하고 있다(11%)는 곳은 많지 않았다.
CA는 데브섹옵스를 도입해 라이프사이클 보안 관리를 혁신한 아시아태평양 지역 기업 상위 32%를 '소프트웨어 보안 마스터'로 분류했다. 이런 기업은 나머지 기업보다 50% 더 높은 수익과 매출 성장을 기록했다고 강조했다. 국내 대다수 기업은 보안을 소프트웨어 개발 라이프사이클 초기 단계에 통합하고 데브섹옵스를 구현하는 것이 중요하다(70%)고 답했다. 하지만 국내 기업의 소프트웨어 보안 마스터 비율(15%)은 아시아태평양 지역 최하였다고 CA는 지적했다.
유재성 한국CA테크놀로지스 대표는 "배포 주기가 짧아질수록 반드시 보안을 소프트웨어 라이프사이클의 모든 단계에 통합해야 한다"며 "CA는 기업이 데브섹옵스를 통해 안전한 소프트웨어를 배포함으로써 앱과 디지털 서비스에 대한 사용자 신뢰도를 높이고 더 높은 수익과 매출 성장의 기회를 확보하도록 지원할 것"이라고 말했다.
관련기사
- 삼성전자, 오픈소스 취약점분석 자동화했다2018.08.02
- MS가 투자한 오픈소스 보안테스팅툴 국내출시2018.08.02
- 데브옵스, 2018년의 '빅딜' 될까2018.08.02
- IoT시대 SW개발보안, 요람서 무덤까지 안전하려면2018.08.02
한국을 포함한 아시아태평양 지역 기업들은 데브섹옵스 구현 과정에 어려움을 겪었으나 보안의 역할을 긍정적으로 평가했다. 국내 기업 67%는 보안이 새로운 비즈니스 기회를 구현하도록 지원하고 68%는 사업 부서가 보안팀을 혁신을 이끄는 조직으로 인식하고 있다고 답했다.
국내 기업 대다수는 행위분석과 머신러닝 기술이 보안역량 강화에 중요하다고 봤다. 사용자 데이터 보호 및 사용자 경험 개선(73%), 활동 패턴을 기반으로 한 데이터 유출 위협 평가(82%), 데이터 유출을 방지하기 위한 선제적 조치 또는 피해 완화(86%), 사용자에 대한 정보를 기반으로 통제 인증(81%)에 중요한 역할을 한다고 봤다.