클라우드 보안을 위한 데브섹옵스(DevSecOps) 군 적용 및 발전방향
기자 : 관리자 날짜 : 2021-11-23 (화) 16:25




IT 환경이 클라우드로 급속히 진화하고 있다. 미 중앙정보국(CIA)과 미국항공우주국(NASA) 은 일찌감치 아마존 웹서비스(AWS)의 클라우드 를 채택했고 미 육군도 2018년 핵심 시스템 중 하나인 ‘육군 자원 계획 및 할당 시스템’을 클라 우드로 이전했다. 이어 2019년 미 국방성(DoD) 은 군 인프라를 클라우드로 전환하기 위해 100 억달러(약 12조원) 규모의 초대형 프로젝트를 발 주했다. 이 프로젝트는 머신러닝과 인공지능(AI) 등을 활용해 수집되는 각종 군사 정보를 통합 관 리하고, 인트라넷 환경에서도 동작 가능하며, 전 장을 포함한 전술적 영역에 이르기까지 모든 단 계에서 제공될 수 있는 네트워크 구축이 가능 하도록 아마존웹서비스(AWS), 마이크로소프트 (MS) 등 글로벌 클라우드 기업도 참여할 것으로 예상된다. 클라우드는 최근 부상하고 있는 마이크로서비 스 아키텍처(MSA)1), 컨테이너2), 인공지능(AI) 등여러 ICT 기술과 긴밀하게 연결되어 있다. 기존 에는 IT 인프라를 구축하기 위해 서버, 스토리지 등 하드웨어를 구매하여 서버실이나 데이터센터 에 구축하고, 필요한 애플리케이션을 설치했다. 이러한 방식을 온프레미스(on-premise)3)라고 하는데, 일반적으로 온프레미스 시스템 구축은 수개월 이상 소요되며 초기도입 및 유지보수 비 용이 높은 단점이 있다. 반면, 클라우드 환경에 서는 직접 하드웨어를 구매할 필요 없이 몇 번의 클릭만으로 손쉽게 인프라를 구축하고 애플리케 이션을 쉽고 빠르게 제작해 배포할 수 있게 되었 다. 이처럼 빨라진 개발 속도, 급변하는 개발 환 경에서 전통적인 개발 프로세스와 보안 정책은 제 기능을 발휘하기 어렵게 되었다. 이 문제를 해결하기 위해 등장한 새로운 패러다임, 이것이 바로 데브섹옵스(DevSecOps)4)다. 데브섹옵스는 기존 널리 알려진 데브옵스 (DevOps)에 ‘보안’이 더해진 개념이다. 과거의일반적인 조직은 직무분리(Separation of Duty) 및 책임추적성(Responsibility) 확보를 위해 ‘개 발’과 ‘운영’이 분리되어 있었지만, 급속도로 변 화하는 ICT 환경에서 개발과 운영 조직의 분리 는 많은 문제점을 발생시켰다. 개발자는 빠른 개 발과 배포를 추구하지만 운영자는 안정적인 운 영을 최우선시하는 등 두 조직이 추구하는 목표 가 달라 갈등이 발생했고 분리된 조직으로 인해 원활한 소통이 어려웠으며 애플리케이션 배포 이후 문제가 발생한 경우 서로 책임을 떠넘기기 에 급급한 경우가 많았다. 데브옵스는 이러한 문제를 해결하기 위해 ‘개 발’과 ‘운영’을 한 프로세스로 통합하였다. 개 발자와 운영자는 같은 팀원으로서 공동의 목표 를 수립하고 업무를 실시간으로 공유했으며, 이 를 통해 개발과 배포, 운영 전 과정의 속도가 획 기적으로 개선되었다. 개발 간 수정사항 발생 시 기존 ‘개발’과 ‘운영’이 분리된 조직에서는 소통 이 어려워 빠른 조치가 제한되었지만 데브옵스 조직에서는 즉각적인 조치가 가능해졌다. 하지 만 데브옵스에서는 여전히 ‘보안’이 소프트웨어 개발 수명주기(SDLC)5)에서 분리되어 있었고, 보 안 취약점 발생 시 기민한 대처가 어려웠다. 급변하는 ICT 환경은 새로운 보안 위협을 발 생시켰다. 과거에는 ’보안‘ 조직이 개발 초기 단 계에 시큐어 코딩6)과 같은 보안 지침을 전달하 고, 이후 중간 과정에는 별다른 개입 없이 마지 막 단계에 취약점을 분석하고 평가했다. 개발 마 지막 단계로 갈수록 촉박한 출시 일정에 맞추기 위해 보안에 신경 쓸 여력이 부족한 경우가 많았 고, 이로 인해 ‘보안’이 IT 혁신의 가장 큰 장벽이라는 시각이 더욱 굳어지게 되었다. 그 예로, 글로벌 보안기업인 소나타입(sonatype)의 연구 결과에 따르면 기업들의 약 62%가 여전히 지난 2014년 발생한 OpenSSL7) 취약점인 ‘하트블리 드(Heartbleed)’ 같은 오픈소스 취약점에 대한 의미 있는 조치를 취하지 않고 있으며, 이를 통 해 아직도 많은 조직이 ‘개발 과정에서의 보안’ 을 해결하지 못하고 있음을 알 수 있다. 또한 클라우드 관련 새로운 보안 위협이 대두 되었다. 기존 온프레미스(on-premise) 환경에 서는 보안 담당자가 방화벽, IPS, 웹방화벽, DB 접근제어와 같은 솔루션을 통해 네트워크와 데 이터베이스로의 접근을 차단함으로써 보안 위 협을 차단했지만, 클라우드 환경에서는 네트워 크, 데이터베이스 등 별도의 인프라 구축 없이 도 애플리케이션을 개발할 수 있어 인프라에 대 한 보안조치 필요성은 줄어들었다. 반면, 클라 우드에서 제공하는 오픈소스, 컨테이너 이미 지 등에 악성코드가 감염되거나 취약점이 발견 되는 문제가 발생하게 되는데, 2019년 7월 미 국 대형은행 캐피탈 원(Capital One) 해킹 사 고로 약 14만 개의 고객 사회보장번호(주민등록 번호), 전화번호, 생년월일 등이 유출되었고, 이 공격은 오픈소스인 WAF의 설정 오류를 이용한 SSRF8) 공격임이 확인되었다. 클라우드는 개발및 배포 속도가 빨라 오픈소스나 컨테이너 등에 악성코드 감염, 취약점 발생 시 그 파급효과가 매우 크기 때문에 개발 초기 단계부터 보안을 고려할 필요성이 높아졌다. 따라서 ‘개발’과 ‘운 영’ 전반에 걸쳐 보안 개념을 적용할 수 있는 데 브섹옵스가 필요한 것이다. 데브섹옵스의 목표는 소프트웨어 개발에 관여 하는 모든 사람이 보안에 대한 책임을 지고, 운 영과 개발, 보안 기능을 하나로 합치는 것이다. 글로벌 IT 자문기관인 가트너(Gartner) 사는 데 브섹옵스를 통해 IAM9), 방화벽, 취약점 스캔과 같은 보안 기능이 생애주기 전반에 걸쳐 활성화 되고 보안 팀은 자유롭게 정책을 설정할 수 있게 된다고 예측했다. 데브섹옵스를 도입하면 어떠한 이점을 있을 까? 최근 미 국방성이 발간한 「DoD Enterprise DevSecOps Strategy guide(2021)」은 데브섹옵 스 도입 시 효과를 다음과 같이 제시하고 있다. 첫째, 소프트웨어 요구부터 생산까지 소요되 는 평균 시간을 단축할 수 있다. 개발자와 운영 자, 보안 담당자 간의 의사소통 채널이 단일화되 어 개발의 생산성과 효율성이 향상되고, 릴리즈 및 배포 시기 또한 앞당길 수 있다. 둘째, 배포 이후 발생하는 문제를 더 신속하게 해결할 수 있다. 개발 프로세스 내에서 모의해 킹, 보안테스트를 수행함으로써 프로세스가 진행됨에 따라 애플리케이션 보안이 점차 강화되 어 보안 관련 이슈 발생이 줄어들고, 취약점 발 생 시 문제를 해결하는데 소요되는 시간을 줄일 수 있다. 셋째, 전 단계에 걸친 자동화된 위험관리를 통해 신속한 위험 감지 및 완화 조치가 가능하 며, 개발 전 과정에서 보안이 고려되므로 보다 안전하면서도 신속한 업데이트 및 패치를 실시 할 수 있다. 이처럼 미군은 클라우드를 기반체계로 전환하 고 데브섹옵스를 적극적으로 도입하고 있고, 우 리 정부도 2025년까지 행정・공공기관 정보시 스템 정보를 클라우드로 이전하는 ‘국가 클라우 드 대전환’ 계획을 발표하며 클라우드로의 행보 에 박차를 가하고 있다. 반면 우리 군은 여전히 ‘개발’과 ‘운영’, ‘보안’ 조직이 분리되어 있어 클 라우드로의 행보를 위하여 지금부터 데브섹옵스 를 도입하기 위한 준비가 필요하다. 그렇다면 데브섹옵스의 성공적인 도입을 위해 우리 군은 무엇을 준비해야 할 것인가? 첫째, 조직 문화 개선이다. 육군은 아직 ‘개 발’, ‘운영’, ‘보안’ 조직이 분리되어 있다. 개발 보안 관련 규정 및 지침 외 모든 보안 활동은 개 발 완료 단계 및 배포 이후 시점에 집중되어 있 는데 이는 급변하는 개발 환경에서 더이상 적합 하지 않다. 코드를 작성하기 전부터 보안이 반 드시 고려될 수 있도록 이제는 개발 전 과정에 서 보안을 공동의 책임으로 하는 패러다임의 변 화가 필요하다. 시스템에서 발견되는 모든 오류 또는 취약점은 일반적 버그와 함께 업무 중요도 를 고려해 우선순위에 따라 처리하고, 이를 수 정하는 책임은 보안 담당자만이 아닌 조직 전체 의 몫이 될 수 있도록 보안을 사용자 요구사항 에 통합하여 개발 초기 단계부터 논의하고, 보 안 문제를 일반적 버그와 구분하는 사고방식에 서 탈피해야 한다. 둘째, 업무 프로세스의 개선이다. 개발, 운영, 보안을 동일한 워크플로우로 통합시켜야 하며, 보안 담당자는 개발과 운영의 프로세스, 기술, 도구를 제대로 이해해야 한다. 개발 단계에서 코드로서의 보안을 구현할 수 있는 자동화 도 구 도입이 필요한데 보안 조직이 개발과 운영 의 프로세스, 기술, 도구를 제대로 이해하지 못 하는 경우 데브섹옵스는 성공적으로 도입되기 어렵다. 셋째, 데브섹옵스의 단계적 적용 및 반복적 개선이다. 조직에 갑자기 데브섹옵스를 적용한 다고 하면 혼란에 빠질 수 있다. 따라서 밑그림 은 크게 그리되 시작은 단계별로 천천히 해나 가야 한다. 당장 손에 잡히는 성과에 집착하기 보다 새로운 문화가 조직 전체로 퍼져 나갈 수 있도록 최신 기술과 솔루션을 꾸준히 지원하고 조직 구성원을 교육해 나가는 장기적 전략이 필요하다. 결론적으로 이제 우리 군도 데브섹옵스 도입 및 적용을 위한 정책적인 검토와 국방 시범사업 등 다양한 검증을 통해, 보다 강화된 클라우드 기반의 최신보안기술 적용이 필요한 시점이라 생각된다.


   

 

본사 : 서울시 종로구 사직로 96파크뷰타워 208호 (사)21c안보전략연구원

인터넷신문등록번호 : 서울아 02284 / 발행인 : 박정하

정기간행물등록번호 :서울라10600 / 대표전화 : 02-6953-0031, 02-2278-5846
팩스 : 02-6953-0042, 02-784-2186 / 청소년보호책임자 : 박정하

군사저널소개 | 이용약관 | 개인정보취급방침 | 이메일무단수집거부 | 새소식

Copyright ⓒ군사저널. All rights reserved.