DevSecOps란 무엇인가요?

DevSecOps의 목표는 개발 팀에서 보안 문제를 효율적으로 해결하는 데 필요한 지원을 제공하는 것입니다. 엄격한 일정과 빠른 소프트웨어 업데이트를 따라갈 수 없었던 오래된 소프트웨어 보안 방식을 대체합니다. DevSecOps의 중요성을 이해하기 위해 소프트웨어 개발 프로세스를 간략하게 살펴보도록 하겠습니다.

소프트웨어 개발 수명 주기

소프트웨어 개발 라이프사이클 (SDLC) 은 소프트웨어 팀이 고품질 애플리케이션을 제작할 수 있도록 안내하는 구조화된 프로세스입니다. 소프트웨어 팀은 SDLC를 사용하여 비용을 절감하고 실수를 최소화하며 소프트웨어가 항상 프로젝트의 목표에 부합하는지 확인합니다. 소프트웨어 개발 라이프 사이클에서는 소프트웨어 팀이 다음 단계를 거치게 됩니다.

• 요구 사항 분석
• 계획
• 건축 설계
• 소프트웨어 개발
• 테스트
• 배포

SDLC의 데브섹옵스

기존의 소프트웨어 개발 방법에서 보안 테스트는 SDLC와 별개의 프로세스였습니다. 보안 팀은 소프트웨어를 빌드한 후에야 보안 결함을 발견했습니다. DevSecOps 프레임워크는 소프트웨어 개발 및 제공 프로세스 전반에 걸쳐 취약점을 감지하여 SDLC를 개선합니다.

DevSecOps를 구현하려면 소프트웨어 팀에서 먼저 DevOps를 구현하고 지속적인 통합을 구현해야 합니다.

DevOps

DevOps 문화는 개발 팀과 운영 팀을 하나로 모으는 소프트웨어 개발 방식입니다. 도구와 자동화를 사용하여 두 팀의 협업, 커뮤니케이션 및 투명성을 개선합니다. 결과적으로 기업은 소프트웨어 개발 시간을 줄이는 동시에 변화에 유연하게 대응할 수 있습니다. 

지속적 통합

지속적 통합 및 지속적 전달(CI/CD)은 자동화된 구축 및 테스트 단계를 사용하여 애플리케이션에 대한 사소한 변경 사항을 안정적이고 효율적으로 전달하는 현대적 소프트웨어 개발 방식입니다. 개발자는 CI/CD 도구를 사용하여 새 버전의 애플리케이션을 릴리스하고 애플리케이션이 사용자에게 제공된 후에는 문제에 신속하게 대응합니다. 예를 들어 AWS CodePipeline은 애플리케이션 배포 및 관리에 사용할 수 있는 도구입니다.

DevSecOps

DevSecOps는 CI/CD 프로세스 전반에서 보안 평가를 통합하여 DevOps 방식에 보안을 도입합니다. 소프트웨어 구축에 관여하는 모든 팀 구성원은 보안을 공동 책임으로 삼습니다. 개발 팀은 코드를 작성하기 전에 보안 팀과 협력합니다. 마찬가지로 운영 팀은 소프트웨어를 배포한 후에도 소프트웨어에서 보안 문제를 계속 모니터링합니다. 결과적으로 기업은 규정 준수를 보장하면서 보안 소프트웨어를 더 빠르게 제공할 수 있습니다. 

DevSecOps와 DevOps 비교 

DevOps는 최대한 빠르게 애플리케이션을 시장에 출시하는 데 중점을 둡니다. DevOps에서 보안 테스트는 애플리케이션 개발이 끝나고 배포되기 직전에 발생하는 별도의 프로세스입니다. 일반적으로 별도의 팀이 소프트웨어의 보안을 테스트하고 적용합니다. 예를 들어 보안 팀은 애플리케이션이 구축된 후 방화벽을 설정하여 애플리케이션에 대한 침입을 테스트합니다.

반면 DevSecOps는 보안 테스트를 애플리케이션 개발 프로세스 자체의 일부로 만듭니다. 소프트웨어 취약성으로부터 사용자를 보호하기 위해 보안 팀과 개발자가 협력합니다. 예를 들어 보안 팀은 방화벽을 설정하고 프로그래머는 취약성을 방지하기 위해 코드를 설계하며 테스터는 모든 변경 사항을 테스트하여 서드 파티의 무단 액세스를 방지합니다.

DevSecOps 문화는 커뮤니케이션, 사람, 기술 및 프로세스를 결합합니다. 

통신

기업은 맨 위에서 시작되는 문화적 변화를 촉진하여 DevSecOps를 구현합니다. 고위 경영진은 DevOps 팀에 보안 방식을 채택하는 것의 중요성과 이점에 대해 설명합니다. 소프트웨어 개발자와 운영 팀에서 DevSecOps 방식을 도입하려면 올바른 도구, 시스템 및 격려가 필요합니다. 

인재

DevSecOps는 소프트웨어 팀이 참여하는 문화적 변화로 이어집니다. 소프트웨어 개발자는 더 이상 코드 구축, 테스트 및 배포라는 기존 역할에 얽매이지 않습니다. DevSecOps 방식에서 소프트웨어 개발자 및 운영 팀은 보안 전문가와 긴밀히 협력하여 개발 프로세스 전반에 걸쳐 보안을 개선합니다. 

기술

소프트웨어 팀은 개발 중에 기술을 사용하여 자동화된 보안 테스트를 수행합니다. DevOps 팀은 이를 사용하여 제공 일정에 영향을 주지 않으면서 앱의 보안 결함을 확인합니다. 예를 들어 소프트웨어 팀은 Amazon Inspector를 사용하여 규모에 맞게 지속적인 취약성 관리를 자동화합니다.

프로세스

DevSecOps에서는 소프트웨어 구축의 기존 프로세스가 변경됩니다. DevSecOps에서 소프트웨어 팀은 개발의 모든 단계에서 보안 테스트 및 평가를 수행합니다. 소프트웨어 개발자는 코드를 작성할 때 보안 결함을 확인합니다. 그런 다음 보안 팀은 릴리스 전 애플리케이션에서 보안 취약성을 테스트합니다. 예를 들어 다음을 확인할 수 있습니다.

• 사용자가 필요한 항목에만 액세스할 수 있도록 하는 권한 부여
• 비정상적인 데이터를 수신할 때 소프트웨어가 올바르게 작동하도록 하는 입력 검증 

그런 다음 소프트웨어 팀은 최종 사용자에게 최종 애플리케이션을 릴리스하기 전에 결함을 수정합니다.

보안 테스트는 애플리케이션이 라이브로 전환된 후에도 끝나지 않습니다. 운영 팀은 잠재적인 문제를 지속적으로 모니터링하고, 수정하고, 보안 및 개발 팀과 협력하여 업데이트된 버전의 애플리케이션을 릴리스합니다. 예를 들어 Amazon CodeGuru Reviewer는 보안 취약성, 비밀 노출, 리소스 누출, 동시성 문제, 잘못된 입력 검증, AWS API 및 SDK 사용에 대한 모범 사례 미준수 등을 탐지하는 데 사용될 수 있습니다. 

소프트웨어 팀은 다음과 같은 DevSecOps 도구를 사용하여 소프트웨어 개발 중에 보안 결함을 평가, 감지 및 보고합니다.

정적 애플리케이션 보안 테스트

정적 애플리케이션 보안 테스트(SAST) 도구는 독점 소스 코드에서 취약성을 분석하고 찾아냅니다. 

소프트웨어 구성 분석 

소프트웨어 구성 분석(SCA)은 위험 관리, 보안 및 라이선스 준수를 목적으로 오픈 소스 소프트웨어(OSS) 사용에 대한 가시성을 자동화하는 프로세스입니다. 

대화형 애플리케이션 보안 테스트

DevSecOps 팀은 대화형 애플리케이션 보안 테스트(IAST) 도구를 사용하여 프로덕션 환경에서 애플리케이션의 잠재적 취약성을 평가합니다. IAST는 애플리케이션 내에서 실행되는 특수한 보안 모니터로 구성됩니다. 

동적 애플리케이션 보안 테스트

동적 애플리케이션 보안 테스트(DAST) 도구는 네트워크 외부에서 애플리케이션의 보안을 테스트하여 해커를 모방합니다.

기업은 DevSecOps를 소프트웨어 팀에 도입할 때 다음과 같은 문제에 직면할 수 있습니다. 

문화적 변화에 대한 저항

소프트웨어 및 보안 팀은 수년 동안 기존의 소프트웨어 구축 관행을 따랐습니다. 기업에서는 IT 팀에 DevSecOps 사고방식을 빠르게 도입하기가 어려울 수 있습니다. 소프트웨어 팀은 애플리케이션 구축, 테스트 및 배포에 중점을 둡니다. 한편 보안 팀은 애플리케이션을 안전하게 유지하는 데 중점을 둡니다. 따라서 최고 경영진은 소프트웨어 보안 관행과 적시 제공의 중요성을 두 팀이 모두 이해할 수 있도록 해야 합니다. 

복잡한 도구 통합

소프트웨어 팀은 다양한 유형의 도구를 사용하여 애플리케이션을 구축하고 보안을 테스트합니다. 여러 공급업체의 도구를 지속적 전달 프로세스에 통합하는 것은 어려운 과제입니다. 기존 보안 스캐너는 현대적인 개발 사례를 지원하지 않을 수 있습니다.