토스 "개발 초기부터 보안 자동화 안전성 높이는 비결 알려드려요"

표상영 토스 보안연구원, 데브섹옵스 전략 공유…서비스 개발부터 AI·자동화로 효율적 대응

컴퓨팅입력 :2024/11/06 18:04

"개발 단계부터 보안을 자동화하면 더 안전하고 효율적인 서비스를 제공할 수 있습니다."

표상영 토스 보안연구원은 6일 서울 강남 섬유센터에서 열린 '제14회 소프트웨어 개발보안 컨퍼런스'에서 이같이 말하며 토스의 보안 자동화 전략과 '데브섹옵스(DevSecOps)' 도입 사례를 소개했다. 

'데브섹옵스'란 개발(Development), 보안(Security), 운영(Operations)을 통합한 개념으로, 소프트웨어 개발 과정에서부터 보안을 고려해 효율성과 안전성을 동시에 추구하는 방법이다. 토스는 개발 초기부터 보안을 자동화하는 해당 개념을 도입해 서비스의 안전성과 개발 효율성을 동시에 높여 왔다.

표상영 토스 보안연구원 (사진=조이환 기자)

표 연구원은 "개발이 완료된 후 보안을 적용하는 기존 방식은 취약점을 발견하고 수정하는 데 많은 시간과 비용이 든다"며 "개발 초기부터 보안을 자동화하면 이러한 문제를 해결할 수 있다"고 말했다.

이러한 전략의 이유는 토스가 채택한 애자일 방식에 있다. 신속한 개발을 뜻하는 '애자일' 방식을 채택함으로 인해 하루에도 수백 건의 코드 변경이 발생하기 때문이다. 이러한 빠른 개발 환경에서 보안을 강화하기 위해서는 개발 단계부터 보안을 통합하는 '데브섹옵스'의 도입이 필수적이었다.

이를 위해 토스는 여러 보안 자동화 방안을 적용했다. 먼저 코드 작성 단계에서는 소나린트(SonarLint)와 ES린트(ESLint) 등의 도구를 활용해 코드의 오류나 취약점을 미리 찾아냈다. 이를 통해 개발자들은 코드를 작성하면서 실시간으로 문제를 확인하고 수정할 수 있게 됐다.

토스는 여러 보안 자동화 방안을 적용했다. (사진=조이환 기자)

또 소나큐브(SonarQube)를 이용해 전체 코드를 분석하고 하드코딩된 비밀번호나 민감한 정보가 포함돼 있는지를 검사했다. 

표 연구원은 "내부 기준에 맞게 커스텀 룰을 적용해 우리 서비스에 최적화된 보안 검사를 진행하고 있다"며 "이로써 보안 취약점을 조기에 발견해 수정 비용을 절감하고 서비스 안정성을 강화할 수 있게 됐다"고 강조했다.

그러면서 "서비스 배포 과정에서도 보안 검사를 수행해 문제가 있는 코드는 배포되지 않도록 하고 있다"고 말했다.  

또 토스는 최근 증가하고 있는 공급망 공격에 대응하기 위해 내부적으로 패키지 관리와 공급망 공격 방어를 위한 방화벽을 구축했다. 이를 통해 외부에서 유입될 수 있는 악성 라이브러리 설치를 차단하고 공급망 공격의 위험을 효과적으로 관리하고 있다.

최근 오픈소스 라이브러리에 대한 의존도가 높아지면서 취약점이 증가하고 있다. (사진=조이환 기자)

표 연구원은 "오픈소스 라이브러리에 대한 의존도가 높아지면서 취약점이 증가하고 있다"며 "공급망 보안은 이제 선택이 아닌 필수"라고 말했다.

관련기사

실제로 토스는 이같은 노력으로 보안성과 개발 효율성을 동시에 높이는 성과를 거뒀다. 자동화를 통해 반복적인 업무를 줄이고 절약된 시간과 자원을 더 중요한 보안 연구에 활용할 수 있게 됐다.

표 연구원은 "이같이 개발 초기부터 취약점을 발견하고 해결함으로써 서비스의 안정성과 신뢰성을 크게 높일 수 있었다"며 "보안 자동화는 결국 사용자에게 안전한 서비스를 제공하기 위한 중요한 기반"이라고 강조했다.