"진정한 데브섹옵스는 개발 첫 순간부터 시작된다"

"보안은 더 이상 개발과 운영의 마지막 단계에서 확인하는 일이 아닙니다. 이제는 코드를 쓰는 순간부터, 외부 라이브러리를 불러오는 그 첫 단계부터 보안이 시작돼야 합니다."

25일 아이엔소프트의 송창학 본부장은 오픈클라우드플랫폼얼라이언스(OPA)에서 개최한 세미나에서 '클라우드 네이티브 시대의 데브섹옵스 혁신: 자동화와 지속적 배포 전략'을 주제로 이같이 강조했다.

송 본부장은 단순히 배포 파이프라인의 보안을 강화하는 것만으로는 부족하다며 데브옵스(DevOps)를 넘어선 데브섹옵스(DevSecOps)의 필요성을 제기했다. 보안이 개발, 배포, 운영 등 전체 라이프사이클에 자연스럽게 녹아 들어야 한다는 것이다.

그는 데브섹옵스의 출발점을 '시프트 레프트 보안(Shift-left Security)'이라고 규정했다. 이는 보안 점검 시점을 배포 직전이 아니라 코드를 작성하고 라이브러리를 선택하는 시점으로 앞당기자는 개념이다.

송 본부장은 개발 단계에서부터 보안을 적용하는 구체적인 방법도 소개했다. 개발자가 코드를 작성하는 통합개발환경(IDE)에 정적 분석 도구를 설치해, 보안 취약점을 실시간으로 점검할 수 있도록 해야 한다고 강조했다.

또한, 외부에서 가져오는 오픈소스 라이브러리의 경우, 그 안에 숨겨진 악성 코드나 취약점이 포함돼 있을 수 있기 때문에, 프록시 서버를 통해 사전에 걸러내는 시스템을 갖춰야 한다고 설명했다. 초기 단계부터 위험 요소를 차단하면 운영 단계에서 발생할 수 있는 보안 사고를 미리 예방할 수 있다는 것이다.

그는 상용 보안 솔루션인 소나타입(Sonatype)의 '파이어월(Firewall)'을 예시로 들며, 취약한 라이브러리가 조직 내로 유입되는 것을 사전에 차단하는 구조의 중요성을 강조했다.

데브섹옵스에서 핵심 축을 담당하는 자동화 기술로는 지속적 통합·지속적 배포(CI/CD)를 꼽힌다.

클라우드 네이티브 시대의 데브섹옵스 혁신: 자동화와 지속적 배포 전략(이미지=아이엔소프트)

송 본부장은 "CI/CD를 통해 빠르고 일관된 소프트웨어 배포가 가능할 뿐 아니라 파이프라인 내부에 보안 테스트를 녹여 넣음으로써 실시간 보안 품질 유지가 가능하다"고 설명했다. 특히 고객사의 환경에 따라 CI와 CD 도구를 유연하게 구성해야 한다는 점을 강조하며, 프로젝트마다 요구사항이 달라지는 만큼 다양한 도구의 최적 조합이 필요하다고 말했다.

이를 활용한 실제사례로 아이엔소프트가 수행한 K문고, H홈쇼핑 등 대형 유통 고객사의 도입 성과를 소개했다. 해당 프로젝트에서는 100개가 넘는 마이크로서비스를 자동화된 배포 파이프라인으로 관리하며 각 서비스에 맞는 보안 점검과 테스트 시나리오를 통합했다.

배포 방식도 API 서버에는 롤링 업데이트, UI 서버에는 블루-그린 또는 카나리 배포 전략을 적용하는 등 상황에 맞는 유연한 배포 방식을 구현했다.

송 본부장은 데브옵스에서 발전한 깃옵스와 코드형인프라(IaC) 전략도 소개했다. 테라폼(Terraform), 헬름(Helm), 앤서블(Ansible) 등의 도구를 통해 인프라와 애플리케이션을 코드 수준에서 통합 관리함으로써 배포 일관성과 보안 정책 준수를 확보할 수 있다는 설명이다.

쿠버네티스 환경에서 네트워크 접근 제어, 보안 정책 관리, 키 관리 시스템(KMS) 연동 등 다양한 보안 요소가 필요하다는 점도 언급됐다.