보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

노코드 소프트웨어 개발에 착수하고자 할 때 미리 고려해야 할 것

입력 : 2023-02-06 14:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
필요한 앱을 개발자들이 모두 만들 수 없는 시대가 다가오고 있다. 노코드라는 기술까지 개발되면서 ‘개발의 민주화’ 혹은 ‘시민 개발자’라는 말까지 나오는 상황이다. 하지만 모두가 개발을 하게 되는 단계가 공짜로 도달하는 건 아니다. 조직 차원에서 알아두어야 할 것이 있다.

[보안뉴스 문정후 기자] 소프트웨어를 개발하는데 코딩을 하지 않아도 된다니 그게 무슨 말인가 싶지만 그 일이 실제로 벌어지고 있다. 노코드(no-code)라는 기술이 보급되고 있기 때문이다. 하지만 IT 전문가로서 ‘코딩 기술 없이 소프트웨어를 개발한다’고 했을 때 놀라움보다는 걱정이 먼저 들 것이다. 그리고 그 걱정들이 괜한 것만은 아니다. 수년 간 쌓아온 전문 지식을 노코드라는 기술이 단번에 채워줄 수는 없는 것이다. 그렇다면 노코드를 도입하려 했던 기업들은 어떤 것을 알고 있어야 하고 무엇을 준비해야 할까?

[이미지 = utoimage]


먼저 알아두어야 할 것은 ‘노코드’ 기술이 완벽하지 않다는 것과, 우리가 흔히 말하는 ‘은둔의 IT(Shadow IT)’ 즉 기업이 승인하지 않았지만 직원들 개개인이 업무를 원활하게 하기 위해 가져오는 장비나 애플리케이션들이 반드시 나쁜 것만은 아니라는 것이다. 은둔의 IT가 크고 작은 보안 문제를 끊임없이 일으킨다는 건 IT 담당자가 아닌 일반 임직원들도 IT 기술에 대한 식지 않는 관심을 가지고 있으며, 이를 업무에 활용해 보고자 하는 열망이 강하다는 것을 뜻한다.

그러니 기업은 이 열망을 안전하게 활성화시켜야지, 외부 장비와 앱을 전부 차단한다는 자세만 견지해서는 안 될 것이다. 노코드에도 이것이 적용된다. 요는 현실을 보다 정확하게 반영한 노코드 기술의 관리 체계가 균형 있게 갖춰져야 한다는 것이다. 노코드의 효율적인 관리 체계를 구성할 때 필요한 것을 필자는 세 가지 P로 정리해 보고자 한다.

P : Process, 프로세스
너무나 엄격한 관리 프로세스를 구축해 도입하면 새로운 기술을 통한 혁신이 저해될 수밖에 없다. 사실 노코드 기술로 만들 수 있는 앱의 기능성이나 규모에는 아직까지 제한이 있다고 봐야 한다. 아주 간단한 앱 정도만 만드는 게 전부라고 해도 과언이 아니다. 그런데 노코드와 관련된 점검 사항이나 확인 절차를 너무나 방대하게 정해두면 당장은 안전해질 수는 있어도 ‘배보다 배꼽이 큰’ 상황이 야기된다. 누구나 재빨리 필요한 기능을 앱으로 구현해 얼른 얼른 사용했다가 폐기하는 ‘유연함’이 노코드의 가장 큰 장점인데 이게 모두 사라지게 되는 것이다. 하지만 지나치게 무제한 자유를 허락했다가는 보안 사고가 터질 가능성이 높아진다.

그렇기에 균형을 잡는 게 가장 중요한 일인데, 이를 위해서는 일종의 ‘프레임워크’를 내부적으로 공식화 해야 한다. 이 프레임워크는 노코드 프로젝트를 다음 세 가지 관점에서 평가하기 위한 장치라고 볼 수 있다.
1) 사업의 관점 : 어떤 절차로 만들어졌으며, 사용 난이도는 어떻게 되는가?
2) 규정의 관점 : 내부 및 외부 정책, 표준, 법령을 잘 지키고 있는가?
3) 기술의 관점 : 공식 개발자의 도움을 얼마나 필요로 하는가?

또 체크리스트를 만들어 앱의 복잡성 점수를 매기고, 그 점수에 따라 관리 항목 중 일부를 택해 적용하는 것이 좋다. 즉 앱이 방대하고 복잡하다면 그에 맞도록 통제 및 관리하고, 앱이 간단하다면 기본적인 관리만 할 수 있어야 한다. 그래야 각종 사고의 위험성을 낮추면서 혁신을 저해하지 않을 수 있다.

P : People, 사람들
다음으로 살펴야 할 것은 ‘사람’이다. 노코드라는 기술을 도입하고 사용하는 것, 구축하고 실현하는 것도 전부 사람이다. 결론부터 말하자면 사람의 측면에서 노코드를 관리할 때도 중요한 건 균형이다. 이를 세 가지로 나눠서 자세히 설명하면 다음과 같다.

1) 스스로 알아서 : 회사가 노코드의 사용을 권장하거나 통제 및 관리할 때 구축할 수 있는 가장 간단한 모델은 ‘알아서 잘 하라’이다. 보통은 개개인에게 노코드 플랫폼을 나눠주는 게 아니라 한두 개의 팀에 시범적으로 도입할 때 사용 가능하다. 이럴 때 노코드 프로젝트는 자율적으로 이뤄지며, 그에 대한 책임 또한 해당 팀에서 지게 되는 경우가 많다.

2) 전문가 조직의 구성 : 노코드 프로젝트를 책임지고 진행할 팀을 하나 정하되, 각 부서에 대해 잘 이해하고 있는 다양한 전문가들로 구성되는 게 보통이다. 그러므로 노코드 프로젝트를 조직 내 여러 기능들을 관점으로 평가, 검토, 운영할 수 있게 된다. 조직 전체에 노코드를 도입하고자 할 때 취할 수 있는 모델이다.

3) 퓨전 팀의 운영 : 2)번과 비슷한데 사업 분야의 담당자들과 IT 분야의 담당자들을 반드시 혼합하여 팀을 구성한다. IT 기술을 사업적 목적을 위해 운영한다는 목표를 노골적으로 정하고 모두가 함께 움직이기 위함이다. 데브옵스나 데브섹옵스와 비슷한 운영 체계이기도 하다.

P : Platform, 플랫폼
노코드 앱들에는 기반이 되는 노코드 플랫폼들이 존재한다. 그러므로 노코드 프로젝트를 도입하기 전에 기업이 가장 먼저 해야 할 일은 가장 알맞은 노코드 플랫폼을 조사해 결정하는 것이다. 유지와 보수에 어느 정도의 비용이 드는지, 보안과 규정 준수에 있어서 어떤 플랫폼이 우위에 있는지 등을 중점적으로 보고 결정하는 것이 좋다. 물론 비용도 싸고, 보안과 규정을 처음부터 끝까지 다 해결해 주는 플랫폼은 없다. 그러니 최선의 것을 하나 결정한 뒤, 그 플랫폼을 중심으로 운영(보안, 규정 준수 등)의 방법론을 결정해야 한다. 그렇게 했을 때 해당 플랫폼으로 노코드 애플리케이션들을 제작하더라도 문제가 덜 발생한다.

플랫폼을 결정하는 문제에 있어서는 CISO를 비롯해 보안 담당자들의 적극적인 개입이 필요하다. 보안과 관련된 문제들을 보안 전문가의 눈으로 확인하게 하고, 그에 대한 해결책 역시 보안 전문가들이 마련해 주어야 한다. 하지만 회사의 리스크라는 것을 보안 전문가만 확인하고 결정할 수는 없다. 사업적으로 허용되는 선이 있을 것이고, 절대로 허용하지 말아야 할 것들이 있다. 그러니 사업 운영 팀들도 노코드 플랫폼 결정과 운영 과정에 참여해야 한다.

노코드라는 기술이 가지는 가치는 분명하다. 하지만 어느 기술이나 그렇듯, ‘잘’ 써야 한다. 기술을 사다가 담당자들에게 휙 던져주는 것만으로 회사의 수익이 증대하지는 않는다는 것이다. 여러 각도에서 해당 기술을 평가하고 구멍들을 효과적으로 막아줌으로써 담당자를 비롯해 임직원 누구나가 해당 기술의 장점만 발휘할 수 있도록 조직 차원에서 가이드를 제시해야 한다.

글 : 캐서린 코스테레바(Katherine Kostereva), CEO, Creatio
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)