Home > 전체기사

데브옵스와 애자일 늘어나지만, 보안과 개발은 여전히 적대적

  |  입력 : 2021-05-21 16:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
데브옵스와 애자일이라는 개발 방식이 점점 더 보편화 되고 있다. 그러나 이러한 개발 방법이 보안을 튼튼하게 할 거라는 기대치는 전혀 충족되지 않고 있다. 왜? 개발자들과 보안 담당자들이 아직도 현장에서 부딪히고 있기 때문이다.

[보안뉴스 문가용 기자] 보안 팀과 개발 팀들 간 융합이 좀처럼 이뤄지지 않고 있어 소프트웨어 보안 전략에 차질과 문제가 생긴다는 지적이 RSA 컨퍼런스에서 나왔다. 보안 업체 시큐리티저니(Security Journey)이 CEO인 크리스 로미오(Chris Romeo)는 “데브옵스나 애자일에 대한 여기저기 나오고는 있지만 아직도 개발자와 보안 담당자, 관리자 사이의 벽이 두텁다”고 꼬집은 것이다.

[이미지 = utoimage]


로미오는 문제의 핵심이 “보안 전문가 대다수가 코더가 아니라는 것과, 보안 담당자로서 자신들이 조직의 보안 강화를 통해 얻어갈 수 있는 것이 월급 외에 무엇인지 깨닫지 못하고 있다는 것”이라고 짚었다. 한편 개발자들에 대해서는 “보안을 덮어놓고 귀찮아하고 있는데다가, 개발자들이 사용하는 앱 보안 도구들이 너무 많은 오탐 결과를 내놓는다”고 말했다. “솔직히 현실을 말합시다. 아직 개발자와 보안 담당자는 적에 가깝습니다.”

최근 깃랩(GitLab)이 조사한 바에 따르면 기업들의 68%가 데브옵스 혹은 애자일이라고 부를 만한 개발 공정을 갖춘 상태라고 한다. 이 조사에서 개발자들의 71%가 ‘보안은 나의 책임’ 혹은 ‘공동의 책임’이라고 답을 하기도 했었다. 그러나 그러한 생각만으로는 현장에서의 실절적인 벽이 부서지지 않고 있다고 로미오는 강조한다.

“생각은 있는데 어떻게 협업을 해야 하는지는 잘 모르고 있습니다. 보안 팀은 보안을 권하는 게 아니라 강요하고, 그 내용이 개발자들에게 친절하거나 구체적이지도 않습니다. 그러니 개발 팀은 보안에 필요한 조치를 무시하거나 잊어버리게 되죠. 그러니 ‘권고’만으로 안 된다고 보안 담당자들은 생각합니다. 악순환이에요.”

그는 “보안 담당자들은 보안이 잘 안 지켜졌을 때 뜨겁게 반응하고, 잘 지켜졌을 때는 차갑게 반응한다”고 지적했다. “잘 한 것에 대해서도 축하하고, 보안 문제가 해결된 것에 대해서도 성공을 치하할 수 있어야 합니다. 이런 게 반복되고 문화처럼 굳어져야 보안 실천 사항들을 지키는 것이 ‘억지로’, ‘규정을 어기기 싫어서’ 하는 게 아니라 ‘성공을 위해서’, ‘누가 시키지 않아도’ 하는 것이 될 수 있습니다. 어려운 일이 아닙니다. 늘 잔소리만 듣고 혼나기만 하는데 어떻게 마음이 움직이겠습니까?”

보안 담당자들이 개발자들을 위해 할 수 있는 일이 더 있다. 시큐어 코딩을 위한 보안 도구들이 발생시키는 오탐을 줄이는 것이다. 이건 설정 한두 번 만진다고 되는 일은 아니다. 계속해서 개발자들과 가까이에서 일하면서 경보의 적정량을 맞춰가야 한다. 개발자들의 비위를 맞추라는 게 아니다. 조직 전체의 리스크와 사업 방향성을 공동의 목표로 잡고 둘이 합의 하에 즐겁게 작업할 수 있는 조건을 맞춰야 한다는 것이 로미오의 설명이다. “그 과정에서 보안 교육이 교육 같지 않게 틈틈이 이뤄질 수 있습니다.”

그는 “‘무엇’과 ‘어떻게’만 말하는 것도 둘의 사이를 더 멀어지게 한다”고 강조했다. “언제나 잠깐 멈춰 서서 ‘왜 이 일을 이렇게 해야 하는지’도 설명해 주어야 합니다. 개발자들은 마감 시간을 맞추고, 개발을 서둘러 완료하는 것에 몰두되어 있는 사람들입니다. 그걸 이해해야 해요. 그리고 그런 바쁜 스케줄 가운데서도 보안을 고려하는 것이 사장이나 보안 담당자 자신이 아니라 회사의 고객들과 구매자들을 위한 것이라는 걸 이해시켜야 합니다. 정말로 보안이라는 것도 결국 고객들을 위한 것이어야 합니다.”

그러면서 궁극적으로 이번 프로젝트나 서비스, 상품의 성패가 보안과 개발 팀 모두에게 달려 있다는 것을 각인시켜주는 것이 중요하다고 로미오는 강조했다. “보안 담당자들은 개발자들이 꼭 필요하다는 걸 알아야 하고, 개발자들 역시 보안 담당자가 반드시 필요하다는 걸 알고 있어야 합니다. 아마 다들 어느 정도 알고는 있을 거예요. 지금은 적인 상태라 인정하지 않고 있는 거죠. 그렇다면 이걸 가장 절실히 깨달아야 할 건 누굴까요? 조직의 수장들입니다. 출시 시기에만 회사의 사활을 건다면, 그 수장은 개발과 보안을 협조자로 만들기 힘들 수 있습니다.”

3줄 요약
1. 개발자와 보안 담당자, 데브옵스와 애자일 위해서는 친해져야 하는데,
2. 현장에서는 솔직히 둘이 적대적인 관계일 때가 더 많음.
3. 조직이 협업의 구체적인 방법을 모색하고 알려주고 도입해야 해결될 문제.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)