데브옵스(DevOps) vs 데브섹옵스(DevSecOps)
본문은 요즘IT와 번역가 윌리(Willy)가 함께 만든 해외 번역 콘텐츠입니다. 이 글을 쓴 Sannan Malik는 다양한 플랫폼에서 개발과 개발자에 관련한 여러 글을 쓰고 있습니다. 이번 글은 데브옵스(DevOps)와 데브섹옵스(DevSecOps)의 차이점을 살펴보고, 어떤 상황에서 써야 하는지 소개하고 있습니다.
이 두 가지 방법론은 얼핏 비슷해 보이지만 사실 상당히 다른 접근방식을 취하고 있습니다. 둘 다 신속한 개발이라는 목표가 있으며, 애플리케이션 라이프사이클 전반에 걸쳐 높은 가시성과 쉬운 제어를 위해 서로 다른 팀을 하나로 모읍니다. 따라서 필요에 따라 선택하여 사용할 수 있습니다. 그렇다면 데브옵스와 데브섹옵스의 차이점은 무엇인지 살펴보도록 하겠습니다.
보안
데브옵스(DevOps)와 섹옵스(SecOps)의 차이점은 무엇일까요? 추구하는 방향은 조금 다르지만, 둘 다 소프트웨어 개발에 중점을 두고 있습니다. 데브옵스는 소프트웨어 개발에 중점을 두지만, 섹옵스는 보안에 중점을 둡니다. 이 둘 모두 애자일 [1] 개발 방법론의 하나입니다. 또한, 섹옵스는 보안에 민감한 소프트웨어의 개발에 사용합니다. 둘 다 중요하지만, 누군가는 데브옵스가 더 우월하다고 주장할 수도 있습니다.
하지만 데브옵스와 섹옵스의 가장 중요한 차이점 중 하나는 보안 수준입니다. 데브옵스 조직은 보안에 중점을 두고, 별도의 보안팀이 필요합니다. 이 그룹은 사이버 공격 리스크를 최소화하기 위해 다른 보안팀 및 유관 기관과 협력합니다. 또한, 보안을 애플리케이션 개발과 프로그래밍 개발에 통합합니다. 이 두 가지 접근 방식은 장단점이 있으며, 상호 보완적인 관계에 있습니다.
데브섹옵스에서는 개발팀과 운영팀이 긴밀하게 협력하며, 처음부터 보안을 염두에 두고 시작합니다. 이것이 모든 보안 취약점으로부터 안전하다는 것을 보장하지는 않지만, 비교적 경미한 취약점은 다르게 처리됩니다. 성공적인 제품을 만들기 위해서는 두 가지 접근 방식이 유기적으로 이루어져야 합니다. 이 둘을 잘 활용하면 회사에서 목표를 달성하는 데 도움이 됩니다.
하지만 데브옵스와 섹옵스의 차이점은 명확히 구분하기는 쉽지 않습니다. 두 접근 방식 모두 장단점이 있지만, 그 차이점을 무엇인지 먼저 살펴보도록 하겠습니다. 데브옵스는 협업과 커뮤니케이션을 강조하는 반면, 데브섹옵스는 전체 개발 프로세스에 보안을 통합하는 데 중점을 둡니다. 데브섹옵스는 속도와 혁신이 가장 핵심이지만 이를 효과적으로 구현하는 것은 어려울 수 있습니다.
협업
데브옵스와 섹옵스가 말하는 협업이 동일해 보일 수 있지만, 이 둘 사이에는 분명히 차이점이 존재합니다. 결국 여러분이 구현을 위해 선택한 접근 방식이 프로젝트의 성공을 결정합니다. 데브옵스와 섹옵스 방법론 모두 협업을 중요시하지만, 각 팀은 저마다 고유한 목표를 가지고 있습니다. 이러한 협업 과정에서 서로의 목표를 이해하지 못한다면 같은 방향으로 나아갈 수 없습니다.
데브섹옵스를 실천하기 위해서는 조직 차원에서 계획을 세워야 합니다. 보안 전문가는 사용자 디자인, 리스크 모델 및 인수 테스트의 기준을 정의해야 합니다. 다음 단계는 개발입니다. 개발 프로세스 동안 중요한 것은 기존 보안 관행의 성숙도를 평가하는 것입니다. 코드 리뷰 시스템이 있다면 일관성을 유지하는 데 도움이 될 수 있습니다. 자동화를 데브섹옵스에 적용하면 더욱 강력해집니다. 하지만 자동화를 어설프게 구현하면 보안에 문제가 발생할 수 있습니다.
데브옵스와 SRE[2]는 모두 새로운 기술의 채택을 적극 장려합니다. 데브옵스의 접근 방식은 배포 프로세스를 자동화하여 오류를 줄이고 지속적인 피드백을 보장하는 것이 목표입니다. 자동화는 이러한 과정에서 오류로 인한 비용을 줄입니다. SRE는 지루한 수작업을 최대한 줄이거나 없애기 위해 자동화를 적극 사용할 것을 권장합니다. 데브옵스와 SRE 둘 다 소프트웨어 품질을 개선하고, 실패로 인한 비용을 줄이는 것이 목표입니다. 다시 말해 데브옵스와 SRE는 서로에 대한 보완재가 될 수 있습니다.
보안에 대한 데브섹옵스의 방법론이 취하는 접근 방식은 많은 이점을 가져다줍니다. 먼저, 보안 사고의 수를 줄여 전반적인 보안을 향상시킵니다. 그리고 지속적인 모니터링을 통해 리스크 추적 기능을 향상시킵니다. 또한, 협업이 가져다주는 이점을 개발 프로세스를 넘어 확장할 수 있습니다. 데브섹옵스는 소프트웨어의 품질을 개선하고 판매를 촉진시킵니다. 그러나 데브옵스를 본격적으로 시작하기 전에 먼저 주류로 자리 잡아야 합니다.
앞서 언급했듯이 데브옵스와 섹옵스 모두 협업을 매우 중요하게 생각합니다. 데브옵스는 팀워크와 신속한 애플리케이션 개발에 초점을 맞추며, 보안을 위해 정책, 구성, 모니터링 및 규정 준수를 비롯한 많은 전문가의 참여가 필요합니다. 전통적인 데브옵스는 일반적으로 개발 프로세스가 끝날 무렵에서야 보안 문제를 해결하기 때문에, 발견하지 못한 취약점과 테스트하지 못한 많은 코드가 생길 수밖에 없었습니다. 데브섹옵스는 이와는 반대로 개발 라이프사이클 전반에 걸쳐 개발자와 보안 전문가 간의 협업을 강조하며, 애플리케이션이 업데이트되어도 동일한 수준의 보안을 보장합니다.
자동화
데브옵스와 데브섹옵스 사이에는 수많은 차이점이 있지만, 이 둘을 연결하는 몇 가지 공통점이 있습니다. 일반적으로, 데브섹옵스는 보안과 민첩성을 강조함과 동시에 보안 표준 준수를 보장합니다. 이 두 가지 방법론 모두 기업에 많은 이점을 제공합니다. 다음은 두 방법론의 주요한 차이점입니다.
개발 프로젝트에서 보안을 프로세스의 앞으로 당김으로써 얻을 수 있는 가장 큰 이점은 자동화입니다. 최근에 이슈가 된 SolarWinds 및 Codecov 탈취와 같은 사이버 보안 침해는, 보안을 조직의 최우선 과제로 삼지 않아 발생한 사고였습니다. 고맙게도 데브섹옵스 자동화는 개발팀의 부담을 덜어주고 가치 창출에 집중할 수 있게 해줍니다. 다음은 이러한 방법론을 적용할 수 있는 4가지 영역입니다.
코드로서의 인프라(IaaC, Infrastructure as a Code)[3]는 컴퓨팅 장치와 코드 버전 관리를 포함합니다. 반면에 코드로서의 정책[4]은 팀이 모범 사례를 실천하는 데 적용해야 하는 정책에 중점을 둡니다. 궁극적으로 데브옵스와 데브섹옵스의 프로세스는 모두 상호 연관되어 있습니다. 이 두 가지 접근 방식을 결합하면 자율주행 자동차처럼 인프라를 자동으로 유지 관리하고 모니터링을 할 수 있습니다. 자동화는 사람들의 작업량을 줄여주며, 시간과 비용을 절약합니다.
데브옵스와 섹옵스 모두 보안과 애플리케이션 개발에 중요합니다. 두 방법론을 모두 성공적으로 실천하는 회사는 가장 안전한 소프트웨어를 개발할 수 있습니다. 보안 외에도, 이 둘 다 개발 프로세스에 사이버 보안 관제와 모범사례를 통합함으로써 여러분의 비용을 절감해 줄 것입니다. 또한, 자동화 도구를 통해 보안 소프트웨어를 더욱 신속하게 제공할 수 있습니다. 그러나 이 접근 방식이 모두를 위한 것은 아닙니다.
협업과 의사소통의 단절
지금까지 살펴 본바와 같이 데브옵스와 데브섹옵스 방법론은 매우 다른 사고방식을 요구합니다. 전자는 속도와 민첩성을 추구하고, 후자는 효율성에 초점을 맞추고 있습니다. 따라서 데브옵스 팀은 다양한 기술을 가진 사람들로 구성되어야 합니다. 팀원 사이의 단절을 방지하기 위한 가장 좋은 방법은, 개발자와 운영자가 협력하여 팀 간 협업을 개선할 수 있는 권한을 부여하는 것입니다.
두 방법론 모두 협업을 기반으로 하지만 여전히 몇 가지 차이점이 있습니다. 우선, 데브옵스 팀은 규모가 작으며 긴밀하게 협업하는 경향이 있습니다. 하지만 물리적으로 떨어져 있고, 팀 사이에 다양한 갈등이 발생할 수 있습니다. 예를 들어, 운영팀은 SSL 인증서 또는 방화벽 정책을 결정하지만, 개발팀은 기본 SSH[5] 설정을 개선할 책임이 있습니다. 궁극적으로 데브옵스 팀은 이들 사이에서 중재자 역할을 하며 이것이 원활하지 못하면 단절이 발생합니다.
둘째, 데브섹옵스는 애플리케이션 시작 단계부터 보안을 적용할 것을 강조합니다. 문제를 발견한 후 수정하는 것보다 초기 단계에서 문제를 찾아내 수정하는 것이 훨씬 비용 효율적입니다. 이러한 접근 방식의 한 가지 문제점은 기존 데브옵스 프로세스 및 워크플로우와 충돌할 수 있는 것입니다. 여러분이 처한 상황에 맞춰 적용할 수 있으며 회사가 더욱 안전한 제품을 만드는 데 도움이 될 수 있습니다. 궁극적으로 이를 통해 더 나은 팀워크를 구축할 수 있습니다.
데브섹옵스는 또한 보안 정책과 프로세스의 통합을 권장합니다. 자동화된 테스트 도구는 개발 초기 애플리케이션에서 취약점을 발견하는 데 도움을 줍니다. 이를 통해 시간과 비용이 모두 절약할 수 있습니다. 운영 환경에서 발견된 소프트웨어 결함은 수정하는 데 매우 많은 비용이 소요될 수 있습니다. 결함을 조기에 발견하는 것이 회사의 시간과 비용을 절약하는 길입니다. 여기서 제시한 방법론을 적용하면 보안팀과 개발팀을 통합할 수 있고, 조직 내 장벽을 허물 수 있습니다.
데브섹옵스와 애자일 방법론 모두 팀 간의 협업을 장려하는 것에서 출발하기 때문에 최종 목표 또한 많은 공통점이 있습니다. 유기적인 협업은 더 많은 혁신과 더 나은 프로세스로 이어집니다. 또한 직원의 사기를 높이고 이직률을 낮춥니다. 팀 구성원이 조직의 단절을 극복하는 데 도움이 되는 교육 과정을 받는다면, 보다 성공적으로 데브섹옵스를 도입할 수 있을 것입니다.
[1] 짧은 주기의 개발단위를 반복하여 하나의 큰 프로젝트를 완성해 나가는 방식 또는 방법론.
[2] 사이트 신뢰성 엔지니어링(SRE)은 IT 운영에 대한 소프트웨어 엔지니어링 접근 방식으로, 소프트웨어를 통해 시스템을 관리하고, 문제를 해결하고, 운영 업무를 자동화한다.
[3] 인프라 구성을 코드를 이용해 자동으로 구축, 관리, 모니터링하는 IT 인프라 프로비저닝 방식.
[4] 정책 정의 및 할당을 코드로 관리하고, 정의를 업데이트하는 수명 주기를 제어하고, 규정 준수 결과의 유효성 검사를 자동화할 수 있다.
[5] SSH(Secure Shell)는 원격지 호스트 컴퓨터에 접속하기 위해 사용되는 인터넷 프로토콜을 말함.
<원문>
©️위 번역글의 원 저작권은 Sannan Malik에게 있으며, 요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
