하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

데이터 활용에 필요한 시민 개발자들, 시민 개발자 육성에 필요한 데브섹옵스
등록일 :
2022.08.29
데이터의 양이 너무나 늘어 이제는 전문가들에게만 기대서는 아무 것도 되지 않는다. 누구나 개발에 참여해야 하는 때가 다가오고 있다. 다만 모두가 개발에 투입된다면 보안 리스크가 크게 늘어날 것이 뻔할 뻔자. 그래서 더 필요하게 되는 게 데브섹옵스다.

[보안뉴스 문가용 기자] 2025년까지 전 세계적으로 생성되는 데이터의 양은 181 제타바이트가 될 예정이다. 기업들에 있어 각종 기술을 통해 활용할 자산이 늘어난다는 뜻이고, 충분히 깊게 분석만 할 수 있게 된다면 고객 개개인에게 ‘개인화’ 서비스를 제공할 수도 있을 것으로 예상된다. 이는 새로운 사업 창출과 기존 사업의 확대로 이어질 가능성이 높다. 

[이미지 = utoimage]


하지만 그런 식으로 데이터를 활용하려면 클라우드 인프라가 필요하다. 클라우드 인프라는 ‘공유된 책임’을 모델로 삼고 있는 환경이다. 바로 이 지점에 이전에 없던 보안 리스크가 생겨난다. 모든 사람이 클라우드에 익숙하지는 않다는 것이다. 또한 클라우드 외에도 새로운 IT 기술이 계속해서 나타날 것이고 적용될 텐데, 계속해서 IT 전문가들에게만 모든 일을 맡길 수는 없는 노릇이다. 그렇기에 ‘시민 개발자’라는 개념이 등장했고, 이는 로우코드와 노코드 플랫폼을 통해 구현된다.

버려야 할 것, 상속자 마인드
가트너에 의하면 2025년까지 기업용 애플리케이션의 70%가 세일즈포스(Salesforce)나 서비스나우(ServiceNow)와 같은 로우코드 혹은 노코드 플랫폼을 통해 개발될 것이라고 한다. 이런 분위기 속에서 ‘상속자의 마인드’로 상황을 받아들이는 건 그리 좋은 생각이 아니다. ‘상속자 마인드’란 예를 들어 부유한 귀족의 자손이 선대가 이뤄놓은 것 위에서 편안히 살아갈 때 생기는 마음가짐 같은 걸 말한다. 집사나 하인들이 늘 뭔가를 대신 해 주기 때문에 스스로 뭔가를 해볼 생각을 못하는 사람을 가리킨다고도 볼 수 있다.

이렇게 유산이나, 앞선 사람들의 업적에 대한 의존성이 높은 생활을 한 사람은 인프라라는 것에 대해 ‘당연히 거기에 늘 존재하는 것’이라고 여긴다. 신기술 하나하나를 당연한 것으로 신뢰하고, 심지어 고장이 난다거나 악용된다는 것도 잘 믿지 못한다. 맹목적으로 신뢰하고 받아들이는 것인데, 이는 로우코드와 노코드 플랫폼에 있어서 치명적으로 작용한다. 이런 IT 플랫폼들이 당연히 안전할 것이라고 여기고 활동하기 때문이다. 신기술을 탐구하고 적용할 때 보안의 ‘ㅂ’자도 떠올리지 못한다.

예를 들어 세일즈포스 개발자들이 새로운 프로젝트를 위해 자동으로 업무를 배정해 주는 프로그램을 만들었다고 하자. 이 개발자들은 세일즈포스 플랫폼 내에서만 내부 인원들을 대상으로 이 프로그램을 이용할 수 있다. 그럴 때 세일즈포스라는 플랫폼에서 주는 안전 기능을 활용해 보안을 꾀할 수 있다. 그러다가 자동화 기능을 보다 향상시키기 위해 범위를 넓히기로 했다. 그래서 외부 서비스인 서비스나우나 SAP, 오라클(Oracle) 등과도 연결시키기 시작했다. 그런데 이제까지 세일즈포스에서 안전하게 운신해 왔던 것처럼 다른 서비스들과 연계해도 안전할 거라고 믿어 의심치 않는다면 이는 ‘상속자 마인드’에 기초한 것이라고 볼 수 있다.

“세일즈포스 + 서드파티 = 안전”

하지만 이 공식은 완전하지 않다. 더하기 기호에 너무나 많은 것이 포함되어 있는데, 그것이 싹 무시되었기 때문이다. 서드파티가 하나 둘 늘어나는 순간 수많은 리스크들이 같이 증가하는데 그것이 이 공식에는 표기되지 않았다. 수많은 오류, 실수, 버그, 취약점의 가능성들이 보이지 않는다. 

게다가 세일즈포스에서 만들어진 프로그램들은 수많은 다른 프로그램들과 연결될 수밖에 없다. 그런데 이걸 일일이 다 추적할 수도 없다. 특히 프로그램 개발에 대한 경험이 없는 사람들은 이런 부분에 대해 까맣게 모를 수밖에 없다. 현대 프로그램들의 상호 연결성을 코딩 안 해 본 사람들이 어찌 알겠는가. 그러니 자신도 모르는 상속자 마인드가 발동되는 것이다.

데브섹옵스
이럴 때의 해결책은 프로그램 개발이라는 과정을 낱낱이 분해해 데브섹옵스(DevSecOps)를 시작하는 것이다. 데브섹옵스는 개념이 처음 만들어진 때부터 지금까지 계속해서 ‘리뉴얼’ 되고 있다. 그래서 약간 혼란스러울 수 있는데, 세이프코드(SAFECode)와 클라우드보안연맹(Cloud Security Alliance)이 정립한 데브섹옵스의 여섯 가지 기본 원칙은 다음과 같다.

1) 총합적 책임 : 보안은 기업 내 모든 사람이 공유하는 공동의 책임이다. 하지만 자신들이 해야 할 일을 모르는 상황에서 책임을 제대로 이행할 수 있는 사람은 없다. 보안 정책과 행동 수칙을 기업 내에 자꾸만 퍼트려야 한다.

2) 협업과 통합 : 지식은 반드시 공유되고 전파되어야 한다. 기업 내부에서 상속자 마인드가 어느 새 생겨나고 또 생겨나는 이유 중 하나는 예전 시스템에 대한 지식이 새로운 사람들 사이에서 전파되지 않고, 새로운 지식이 예전 시스템을 담당하던 사람에게 공유되지 않아서다. 지식 공유와 전파는 한 번에 끝나는 게 아님을 기억해야 한다.

3) 실용적인 프로세스 : 데브섹옵스를 실제로 구현하는 프로세스 자체는 기업마다 다 다를 수 있다. 그렇기 때문에 하나의 정해진 무언가를 제시하기는 어렵다. 다만 과정이 어렵고 복잡하면 참여자들이 금방 옛 시스템으로 돌아간다. 보안은 개발 과정에 자연스럽게 녹아들어가 보안이라는 절차가 있는지조차 느낄 수 없도록 해야 한다. 자동화 기술을 적절히 섞어주는 게 성공의 키포인트다.

4) 규정 준수와 개발 : 개발 프로세스를 정하는 데 있어 반드시 고려해야 할 것 중 하나가 규정 준수다. 개발이 진행되는 모든 과정이 정해진 규정 안에서 이뤄져야 한다. 그래서 개발자들이 자연스럽게 규정을 지킬 수 있도록 하는 것이다. 개발자들이 법이나 표준을 달달달 외우고 있을 필요는 없다. 다만 정해진 프로세스만 잘 지키면 된다.

5) 자동화 : 개발 과정이 항상 창의적인 행위들로만 채워지는 것은 아니다. 예측 가능하고 반복적인 일들도 산더미처럼 진행된다. 이런 일들은 최대한 자동화 기술로 해결하는 게 효율적이다. 그리고 실수도 줄어든다. 또한 현대 클라우드 인프라가 계속해서 줄어들고 늘어나고 하면서 변하는데, 이 부분도 자동화로 해결하는 게 효율적이다.

물론 데브섹옵스를 구현한다는 게 기업과 현장에서마다 다르기 때문에 위 다섯 가지 원칙이 반드시, 일정한 형태로 고수되는 건 아니다. 또한 로우코드와 노코드 환경을 통해 일반 직원들을 데브섹옵스에 참여시킬 때 이 원칙이 지켜지고 고려되어야 할 순간들은 우리가 상상하던 것과 크게 달라질 수 있다. 왜냐하면 애초부터 로우코드와 노코드 플랫폼은 데브섹옵스는커녕 개발이라는 것에 익숙치 않은 사람들을 위해 만들어진 것이기 때문이다. 

신기술은 자꾸만 우리에게 새로운 기회를 부여하고, 기업들은 이 기회들을 놓칠 수 없다. 그렇다는 건 비전공자들도 IT와 테크놀로지에 점점 익숙해져야 하는 때라는 것이다. 하지만 어떻게 하루아침에 비전공자가 그 어려운 기술들에 익숙해지겠는가. 그런데 전공자와 비전공자 간의 차이의 그 큰 간극을 메우는 데에 노코드와 로우코드 기술이 작지 않은 역할을 하고 있다. 그러면서 시민 개발자라는 개념도 등장하고, 앞으로 이 비전공자 출신인 시민 개발자들이 차지할 비율이 적지 않을 것으로 예측된다. 기업은 로우코드와 노코드를 통해 시민 개발자들이 늘어나는 지금 시점에 데브섹옵스라는 프로세스를 도입할 필요가 있다.

지금은 개발이라는 분야 전체에 있어 매우 흥미로운 시기다. 더 많은 사람들이 소프트웨어에 관심을 갖고 있고, 디지털 기술과 관련하여 전략을 만들어 실험하고 싶어 하고, 그렇게 함으로써 기업의 가치를 높이고 싶어 한다. 하지만 이런 모든 것들에는 리스크라는 것이 동반된다. 따라서 제대로 정립된 데브섹옵스를 통해 최대한의 리스크를 방어할 수 있어야 한다. 개발자들은 키우고 리스크는 줄이는 육성론이 기업들마다 필요하다.

글 : 다니엘 리델(Daniel Riedel), 부회장, Copado
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top