보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

어떤 개발 팀이 번아웃도 적고 보안 사고도 적을까?

입력 : 2022-09-30 23:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
구글에서 데브옵스 팀 여럿을 조사했다. 실적은 늘리고 번아웃을 줄이려면 어떻게 해야 하는지 알아내기 위해서였다. 그랬더니 답은 다소 엉뚱하게도 ‘보안’이었다.

[보안뉴스 문가용 기자] 개발자들을 계속해서 신뢰하고 끈끈한 협업 문화를 구축한 회사일수록 보다 탄탄한 소프트웨어 공급망을 자랑한다는 연구 결과가 나왔다. 구글 클라우드의 도라(DORA : 데브옵스 연구 및 평가) 팀이 발표한 것으로, “보안 실천 사항을 잘 지키는 개발 팀(혹은 데브옵스 팀)일수록 번아웃에 걸릴 확률이 낮다”는 연구 결과도 같이 나왔다. 기술 인프라도 중요하지만 올바른 문화를 구축하는 것도 대단히 중요하다고 구글 도라 팀은 결론을 내렸다.

[이미지 = utoimage]


구글 도라는 먼저 데브옵스 팀들이 SLSA라고 하는 보안 프레임워크가 제시하는 13개 항목을 얼마나 잘 지키고 있는지를 측정했다. 그 다음 팀 내 분위기가 어떤지 확인했다. 실제로 협업이 얼마나 활성화 되어 있는지, 책임자를 찾아 혼을 냄으로써 사고를 방지하는 분위기인지 살핀 것이다. 그 결과 13개 기본 보안 항목을 어느 정도 수준으로 지키고 있다면, 협업이 좀 더 활성화되고 혼을 덜 내는 분위기를 가진 팀들이 여러 면에서 보다 나은 결과를 보여준다는 것을 알아냈다.

이번 보고서 작성을 위해 조사를 진행했던 토드 쿨레자(Todd Kulesza) UX 전문가는 “좀 더 열려 있고, 좀 더 너그러운 부서 문화가 대체적으로 사람들의 실력을 이끌어내는 데에 도움이 된다는 것을 이번에 직접 확인할 수 있었다”고 말한다. 

“예를 들어 보안 문제가 하나 생겼어요. 그럴 때 엔지니어를 혼내는 사람의 마음은 ‘이렇게 지금 말해야 다음에 또 실수를 하지 않겠지’입니다. 하지만 저희가 실제 조사를 해보니 문제가 생겼을 때 오히려 엔지니어가 ‘드디어 내가 나서야 할 차례가 됐구나!’라면서 자신 있게 해결에 착수해야 실제로 해결되는 사례가 많았습니다. 자꾸 혼을 내면 실수를 더 하더군요. 위축되고 자신감이 없어지니까요. 그리고 실수를 숨기고 혼자서 처리하려다가 문제가 더 커지고요. 혼내야 할 때는 혼내야 하겠지만, 그게 문화로 자리를 잡으면 개개인의 능력이 오히려 감소되더군요. 특히 보안 문제에 있어서는 더 그랬습니다.”

안타깝게도 이번 조사에서는 ‘개발-보안 간 협업 분위기’ 측면에서 모범이 될 만한 팀은 발견하지 못했다고 한다. “아직 프로그래머와 보안 담당자 사이에는 깊은 계곡이 존재하고 있었습니다. 둘이 제대로 협업하는 사례는 거의 보지 못했습니다. 개발자에게 있어 보안은 너무나 까다롭고 일의 진행을 저해하는 요소였습니다. 저희가 조사를 통해 만난 개발자들 전부 일을 잘 하고, 사고 없이 맡은 일을 처리하고 싶어했습니다. 하지만 보안 때문에 기능들을 빼고, 픽스 만드는 것을 최우선으로 해야만 하니 불만이 쌓인다고 말하더군요.”

공급망 보안 : 데브옵스 팀의 실력 평가 척도
일 잘 하는 데브옵스 팀에는 어떤 공통점이 있을까? 어떻게 소프트웨어를 개발해야 잘 하는 데브옵스 팀이 되는 걸까? 구글 클라우드의 도라 팀이 찾아내고자 한 건 이 질문에 대한 답이었다. 그리고 2021년 ‘소프트웨어 공급망 보안’과 데브옵스 팀의 성과와 깊은 관련이 있다고 발표했다. 올해 도라 팀은 이 방향에서 조사를 좀 더 깊게 진행했다. 즉 공급망 보안 강화를 위한 필수 실천 사항들을 잘 지키는 팀과 그렇지 않은 팀의 성적을 분석한 것이다.

“신기하게 보안을 잘 하는 팀일수록 혼내는 문화가 덜 정착되어 있다는 걸 알 수 있었습니다. 보안 사건이 있었을 때 담당자나 당사자를 혼내거나 징벌하는 게 아니라, 공통의 책임과 위험으로 인식하고 징벌하기보다 교훈을 찾아 습득하는 문화를 가진 팀이 더 보안 실천 사항을 잘 지키는 경향을 나타냈습니다. 물론 100% 완벽한 팀은 없었습니다. 어느 팀이나 향상해야 할 것이 아직 많이 남아 있었습니다. 다만 교훈을 다 같이 찾는 팀은 향상을 쉽게 이뤄내고 있었고, 책임자를 찾아 혼내는 팀은 향상이 어려워 보였습니다.” 공급망 보안 업체 체인가드(Chainguard)의 데이터 과학자 존 스피드 메이어스(John Speed Meyers)의 설명이다.

이번 조사에서 개발자들은 “내가 하고 있는 일은 나의 삶에 부정적인 영향을 미칩니다”나 “나는 내가 하고 있는 일에 그리 흥미를 느끼지 못하거나 냉소적이기까지 합니다”라는 문장에 어느 정도나 동의하고 있느냐는 질문에도 답해야 했다. 번아웃을 조사한 것인데, 여기에서도 보안과 관련된 결과가 나왔다. 보안을 그리 중요하지 않게 여기는 팀일수록 이런 문장들에 동의한 사람들이 평균 40% 더 많이 나타난 것이다.

3줄 요약
1. 개발자들의 보안 참여 향상법 : 좀 더 너그러운 팀 문화.
2. 개발자들의 보안 참여 향상 후 효과 1 : 소프트웨어 공급망 보안 강화.
3. 개발자들의 보안 참여 향상 후 효과 2 : 번아웃 감소.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)