DevSecOps ํƒ๊ตฌ โ€“ ๊ธฐ์—…์„ ์œ„ํ•œ ์•ˆ์ „ํ•œ ์†Œํ”„ํŠธ์›จ์–ด ๊ฐœ๋ฐœ ๋ชจ๋ธ

DevSecOps๋Š” DevOps์˜ ์ž์—ฐ์Šค๋Ÿฌ์šด ์ง„ํ™”๋กœ, ๋ณด์•ˆ์ด ๊ฐœ๋ฐœ๊ณผ ์šด์˜ ๋‹จ๊ณ„์— ์ง์ ‘ ํ†ตํ•ฉ๋œ ํ•ต์‹ฌ ์š”์†Œ๊ฐ€ ๋ฉ๋‹ˆ๋‹ค. ์ด ๋ชจ๋ธ์€ ๊ธฐ์—…์ด ์œ„ํ—˜์„ ์‚ฌ์ „์— ๋ฐฉ์ง€ํ•˜๊ณ , ๋น„์šฉ์„ ์ตœ์ ํ™”ํ•˜๋ฉฐ, ๋ฐฐํฌ ์†๋„๋ฅผ ์œ ์ง€ํ•  ์ˆ˜ ์žˆ๋„๋ก ์ง€์›ํ•ฉ๋‹ˆ๋‹ค.

DevSecOps – Hฦฐแป›ng ฤ‘i mแป›i cho bแบฃo mแบญt doanh nghiแป‡p. Nguแป“n: prismic

1. DevSecOps๋ž€ ๋ฌด์—‡์ธ๊ฐ€?

1.1. DevSecOps(Development โ€“ Security โ€“ Operations)์˜ ์ •์˜

DevSecOps๋Š” ํ˜„๋Œ€ ์†Œํ”„ํŠธ์›จ์–ด ๊ฐœ๋ฐœ๊ณผ ์šด์˜์˜ ์„ธ ๊ฐ€์ง€ ํ•ต์‹ฌ ์ถ•์ธ ๊ฐœ๋ฐœ(Development), ๋ณด์•ˆ(Security), **์šด์˜(Operations)**์„ ์˜๋ฏธํ•ฉ๋‹ˆ๋‹ค.

์ด๋Š” ๋ณด์•ˆ์„ ์ œํ’ˆ ์™„์„ฑ ํ›„ ๋งˆ์ง€๋ง‰ ๋‹จ๊ณ„์—์„œ ๊ฒ€ํ† ํ•˜๋Š” ๊ฒƒ์ด ์•„๋‹ˆ๋ผ, ์†Œํ”„ํŠธ์›จ์–ด ๊ฐœ๋ฐœ ์ƒ๋ช…์ฃผ๊ธฐ(SDLC) ์ „๋ฐ˜์— ๊ฑธ์ณ ํ•„์ˆ˜์ ์œผ๋กœ ํ†ตํ•ฉํ•˜๋Š” ์ฒ ํ•™์ž…๋‹ˆ๋‹ค.

์ฆ‰, DevSecOps๋Š” DevOps์˜ ๋‹ค์Œ ์ง„ํ™” ๋‹จ๊ณ„๋กœ, ๋ณด์•ˆ์ด ๋” ์ด์ƒ IT ๋ถ€์„œ๋‚˜ ๋ณด์•ˆ ๋ถ€์„œ์˜ โ€œ์ถ”๊ฐ€ ์—…๋ฌดโ€๊ฐ€ ์•„๋‹Œ, ์ฝ”๋“œ ์ž‘์„ฑ๋ถ€ํ„ฐ ์ œํ’ˆ ๋ฐฐํฌ๊นŒ์ง€ ์ „ ๊ณผ์ •์— ๋‚ด์žฌ๋œ ์š”์†Œ๊ฐ€ ๋˜๋Š” ๊ฒƒ์„ ์˜๋ฏธํ•ฉ๋‹ˆ๋‹ค.

1.2. DevOps์™€ DevSecOps์˜ ์ฃผ์š” ์ฐจ์ด์ 

๊ตฌ๋ถ„DevOpsDevSecOps
์ค‘์ ๊ฐœ๋ฐœ๊ณผ ์šด์˜ ๊ฐ„์˜ ์ž๋™ํ™” ๋ฐ ํ˜‘์—…๊ฐœ๋ฐœ ์ „ ๊ณผ์ •์— ๋ณด์•ˆ ํ†ตํ•ฉ
๋ณด์•ˆ ์ฒ˜๋ฆฌ ์‹œ์ ๋ฐฐํฌ ํ›„(์‚ฌํ›„ ๋Œ€์‘)๊ฐœ๋ฐœ ์ดˆ๊ธฐ๋ถ€ํ„ฐ(Shift-left Security)
์ฐธ์—ฌ์ž๊ฐœ๋ฐœํŒ€ & ์šด์˜ํŒ€๊ฐœ๋ฐœํŒ€ + ๋ณด์•ˆํŒ€ + ์šด์˜ํŒ€ (ํฌ๋กœ์Šค ๊ธฐ๋Šฅ ํ˜‘์—…)
์‚ฌ์šฉ ๋„๊ตฌCI/CD, ๋ชจ๋‹ˆํ„ฐ๋ง, IaCSAST, DAST, SCA, ์ปจํ…Œ์ด๋„ˆ ์Šค์บ๋‹, IaC ๋ณด์•ˆ ๋“ฑ ์ถ”๊ฐ€

ํ•ต์‹ฌ ์ฐจ์ด๋Š” ๋ฐ”๋กœ ๋ณด์•ˆ์„ โ€œ์™ผ์ชฝ์œผ๋กœ ์ด๋™(Shift-left)โ€์‹œํ‚ค๋Š” ๊ฒƒ์ž…๋‹ˆ๋‹ค. ์ฆ‰, ๋ณด์•ˆ์„ ๋” ์ด๋ฅธ ๋‹จ๊ณ„์—์„œ ํ†ตํ•ฉํ• ์ˆ˜๋ก ์œ„ํ—˜๊ณผ ์ˆ˜์ • ๋น„์šฉ์„ ์ค„์ผ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

1.3. DevSecOps๊ฐ€ ํƒ„์ƒํ•œ ์ด์œ 

์ˆ˜๋…„๊ฐ„ DevOps ๋ชจ๋ธ์€ ๊ธฐ์—…์ด ์†Œํ”„ํŠธ์›จ์–ด ๊ฐœ๋ฐœ ์†๋„๋ฅผ ๋†’์ด๊ณ  ์‹œ์žฅ ์ถœ์‹œ ์‹œ๊ฐ„์„ ๋‹จ์ถ•ํ•˜๋Š” ๋ฐ ํฌ๊ฒŒ ๊ธฐ์—ฌํ–ˆ์Šต๋‹ˆ๋‹ค. ํ•˜์ง€๋งŒ ์ด ์†๋„๋Š” ์ข…์ข… ๋ณด์•ˆ ๊ฒ€์ฆ์„ ํฌ์ƒ์‹œํ‚ค๋ฉฐ ๋ณด์•ˆ ์ทจ์•ฝ์ ์„ ์ดˆ๋ž˜ํ–ˆ์Šต๋‹ˆ๋‹ค.

DevSecOps์˜ ๋“ฑ์žฅ์€ ๋‹ค์Œ๊ณผ ๊ฐ™์€ ์ด์œ ๋กœ ํ•„์—ฐ์ ์ด์—ˆ์Šต๋‹ˆ๋‹ค:

  • ์‚ฌ์ด๋ฒ„ ๊ณต๊ฒฉ์˜ ๊ณ ๋„ํ™”: IBM์— ๋”ฐ๋ฅด๋ฉด, 2023๋…„ ๋ฐ์ดํ„ฐ ์œ ์ถœ์˜ ํ‰๊ท  ๋น„์šฉ์€ 445๋งŒ ๋‹ฌ๋Ÿฌ๋ฅผ ์ดˆ๊ณผํ–ˆ์Šต๋‹ˆ๋‹ค.

  • ๋ฒ•์  ๊ทœ์ œ ๊ฐ•ํ™”: ISO/IEC 27001, GDPR, HIPAA ๋“ฑ์€ ์„ค๊ณ„ ๋‹จ๊ณ„์—์„œ๋ถ€ํ„ฐ ๋ณด์•ˆ ๊ตฌํ˜„์„ ์š”๊ตฌํ•ฉ๋‹ˆ๋‹ค.

  • CI/CD ๋ฐ ํด๋ผ์šฐ๋“œ ๋„ค์ดํ‹ฐ๋ธŒ ์‹œ์Šคํ…œ ์ฆ๊ฐ€: ์ง€์†์ ์ธ ๋ฐฐํฌ ํ™˜๊ฒฝ์—์„œ๋Š” ์ž๋™ํ™”๋˜๊ณ  ์ ์‘ํ˜• ๋ณด์•ˆ์ด ํ•„์ˆ˜์ ์ž…๋‹ˆ๋‹ค.

๋””์ง€ํ„ธ ์‹œ๋Œ€์— ๋ณด์•ˆ์€ ์„ ํƒ์ด ์•„๋‹Œ ์ƒ์กด ์กฐ๊ฑด์ž…๋‹ˆ๋‹ค. DevSecOps๋ฅผ ๋„์ž…ํ•จ์œผ๋กœ์จ ๊ธฐ์—…์€ ๋” ๋น ๋ฅด๊ณ  ์•ˆ์ „ํ•˜๋ฉฐ ์ง€์† ๊ฐ€๋Šฅํ•œ ๋ฐฉ์‹์œผ๋กœ ์†Œํ”„ํŠธ์›จ์–ด๋ฅผ ๊ฐœ๋ฐœํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

Thรดng tin chung vแป DevSecOps.

Thรดng tin chung vแป DevSecOps. Nguแป“n: datascientest

2. DevSecOps์˜ ์ž‘๋™ ๋ฐฉ์‹

2.1. โ€œShift-leftโ€๋ž€ ๋ฌด์—‡์ด๋ฉฐ ์™œ ์ค‘์š”ํ•œ๊ฐ€?

โ€œShift-leftโ€๋Š” DevSecOps์˜ ํ•ต์‹ฌ ๊ฐœ๋…์œผ๋กœ, ๋ณด์•ˆ ํ™œ๋™์„ ์†Œํ”„ํŠธ์›จ์–ด ๊ฐœ๋ฐœ ํ”„๋กœ์„ธ์Šค์˜ ์ดˆ๊ธฐ ๋‹จ๊ณ„๋กœ ์ด๋™์‹œํ‚ค๋Š” ๊ฒƒ์„ ์˜๋ฏธํ•ฉ๋‹ˆ๋‹ค.

์ฆ‰, ๋ณด์•ˆ ์ ๊ฒ€์„ ํ…Œ์ŠคํŠธ๋‚˜ ๋ฐฐํฌ ์ดํ›„์— ์ˆ˜ํ–‰ํ•˜๋Š” ๊ฒƒ์ด ์•„๋‹ˆ๋ผ, ์ฝ”๋”ฉ ๋˜๋Š” ์‹œ์Šคํ…œ ์„ค๊ณ„ ๋‹จ๊ณ„๋ถ€ํ„ฐ ์ˆ˜ํ–‰ํ•ฉ๋‹ˆ๋‹ค.

  • ๊ธฐ์กด ๋ฐฉ์‹: ๊ฐœ๋ฐœ โž ํ…Œ์ŠคํŠธ โž ๋ฐฐํฌ โž ๋ณด์•ˆ

  • DevSecOps ๋ฐฉ์‹: ๊ฐœ๋ฐœ + ๋ณด์•ˆ โž ํ…Œ์ŠคํŠธ + ๋ณด์•ˆ โž ๋ฐฐํฌ + ๋ณด์•ˆ

Shift-left ๋ณด์•ˆ์ด ์ค‘์š”ํ•œ ์ด์œ 

  • ๋ณด์•ˆ ์ทจ์•ฝ์  ์กฐ๊ธฐ ํƒ์ง€๋กœ ๋น„์šฉ ์ ˆ๊ฐ: IBM์— ๋”ฐ๋ฅด๋ฉด ์šด์˜ ๋‹จ๊ณ„์—์„œ ๋ณด์•ˆ ๋ฌธ์ œ๋ฅผ ์ˆ˜์ •ํ•˜๋Š” ๋น„์šฉ์€ ๊ฐœ๋ฐœ ๋‹จ๊ณ„์—์„œ ์ˆ˜์ •ํ•  ๋•Œ๋ณด๋‹ค ์ตœ๋Œ€ 30๋ฐฐ ๋†’์Šต๋‹ˆ๋‹ค.

  • CI/CD ํ”„๋กœ์„ธ์Šค ๊ฐ€์†ํ™”: ์ง€์†์ ์ธ ๋ณด์•ˆ ํ…Œ์ŠคํŠธ๋Š” ์‹ฌ๊ฐํ•œ ์ทจ์•ฝ์ ์œผ๋กœ ์ธํ•œ ํŒŒ์ดํ”„๋ผ์ธ ์ง€์—ฐ์„ ๋ฐฉ์ง€ํ•ฉ๋‹ˆ๋‹ค.

  • ๊ตญ์ œ ํ‘œ์ค€ ์ค€์ˆ˜: OWASP Top 10, ISO/IEC 27001, PCI-DSS ๋“ฑ ์ฃผ์š” ๋ณด์•ˆ ๊ธฐ์ค€์„ ์ถฉ์กฑํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

2.2. ๊ฐœ๋ฐœ ์ƒ๋ช…์ฃผ๊ธฐ ์ „๋ฐ˜์— ํ†ตํ•ฉ๋œ ๋ณด์•ˆ

DevSecOps๋Š” ๋ณด์•ˆ์„ ๋ณ„๋„์˜ ๋‹จ๊ณ„๋กœ ๊ตฌ๋ถ„ํ•˜์ง€ ์•Š๊ณ , ์†Œํ”„ํŠธ์›จ์–ด ๊ฐœ๋ฐœ ์ƒ๋ช…์ฃผ๊ธฐ(SDLC) ์ „๋ฐ˜์— ํ†ตํ•ฉํ•ฉ๋‹ˆ๋‹ค.

๋‹จ๊ณ„๋ณด์•ˆ ํ™œ๋™
๊ธฐํš(Planning)๋ณด์•ˆ ์œ„ํ—˜ ํ‰๊ฐ€, ์ปดํ”Œ๋ผ์ด์–ธ์Šค ์š”๊ตฌ์‚ฌํ•ญ ์‹๋ณ„
์ฝ”๋”ฉ(Coding)์ •์  ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜ ๋ณด์•ˆ ํ…Œ์ŠคํŠธ(SAST), ๋ณด์•ˆ ์ฝ”๋“œ ๋ฆฌ๋ทฐ
๋นŒ๋“œ ๋ฐ ํ…Œ์ŠคํŠธ(Build & Testing)์†Œํ”„ํŠธ์›จ์–ด ๊ตฌ์„ฑ ๋ถ„์„(SCA), ๋™์  ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜ ๋ณด์•ˆ ํ…Œ์ŠคํŠธ(DAST), ์ปจํ…Œ์ด๋„ˆ ๋ถ„์„
๋ฐฐํฌ(Deployment)์ธํ”„๋ผ ๋ณด์•ˆ ๊ด€๋ฆฌ, CI/CD ๊ตฌ์„ฑ ๋ณด์•ˆ ๊ฐ•ํ™”
์šด์˜(Operations)๋ณด์•ˆ ๋ชจ๋‹ˆํ„ฐ๋ง, ์นจ์ž… ํƒ์ง€(SIEM, IDS), ์‚ฌ๊ณ  ๋Œ€์‘

DevSecOps์˜ ์ฃผ์š” ์žฅ์  ์ค‘ ํ•˜๋‚˜๋Š” **์ž๋™ํ™”(Autoยญmation)**์ž…๋‹ˆ๋‹ค.

๊ธฐ์ˆ  ํŒ€์€ ์‹ค์‹œ๊ฐ„ ๊ฒฝ๊ณ , ๋ณด์•ˆ ๊ถŒ์žฅ์‚ฌํ•ญ, ์ž๋™ ์ทจ์•ฝ์  ์ˆ˜์ • ๊ธฐ๋Šฅ์„ ํ†ตํ•ด ๋ณด์•ˆ ์—”์ง€๋‹ˆ์–ด์˜ ์ˆ˜๋™ ๊ฐœ์ž… ์—†์ด๋„ ์†๋„์™€ ๋ณด์•ˆ์„ ๋™์‹œ์— ์œ ์ง€ํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

2.3. ์ž๋™ํ™”์™€ ์ง€์†์  ๋ณด์•ˆ ํ…Œ์ŠคํŠธ์˜ ์—ญํ• 

DevSecOps๋Š” ์ž๋™ํ™” ๋ฐ ์ง€์†์  ๋ณด์•ˆ ํ…Œ์ŠคํŠธ ์—†์ด๋Š” ํšจ๊ณผ์ ์œผ๋กœ ์ž‘๋™ํ•  ์ˆ˜ ์—†์Šต๋‹ˆ๋‹ค.

์ฃผ์š” ๊ธฐ์ˆ  ๋ฐ ๋„๊ตฌ ์˜ˆ์‹œ:

  • SAST (์ •์  ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜ ๋ณด์•ˆ ํ…Œ์ŠคํŠธ): ์†Œ์Šค ์ฝ”๋“œ๋ฅผ ๋ถ„์„ํ•˜์—ฌ ๋นŒ๋“œ ์ „ ์ทจ์•ฝ์ ์„ ํƒ์ง€.

  • DAST (๋™์  ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜ ๋ณด์•ˆ ํ…Œ์ŠคํŠธ): ์™ธ๋ถ€ ๊ณต๊ฒฉ์„ ์‹œ๋ฎฌ๋ ˆ์ด์…˜ํ•˜์—ฌ ์‹คํ–‰ ์ค‘์ธ ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜ ํ…Œ์ŠคํŠธ.

  • SCA (์†Œํ”„ํŠธ์›จ์–ด ๊ตฌ์„ฑ ๋ถ„์„): ์„œ๋“œํŒŒํ‹ฐ ๋ผ์ด๋ธŒ๋Ÿฌ๋ฆฌ์˜ ์•Œ๋ ค์ง„ ๋ณด์•ˆ ๊ฒฐํ•จ์„ ๊ฒ€์‚ฌ.

  • IaC Security (์ฝ”๋“œํ˜• ์ธํ”„๋ผ ๋ณด์•ˆ): Terraform, CloudFormation ๋“ฑ ์ธํ”„๋ผ ๊ตฌ์„ฑ ํŒŒ์ผ์„ ๊ฒ€ํ† ํ•˜์—ฌ ๋ฐฐํฌ ์ „ ์ทจ์•ฝ์  ํƒ์ง€.

์ด๋Ÿฌํ•œ ๋„๊ตฌ๋ฅผ CI/CD ํŒŒ์ดํ”„๋ผ์ธ์— ํ†ตํ•ฉํ•˜๋ฉด ๋‹ค์Œ๊ณผ ๊ฐ™์€ ์ด์ ์„ ์–ป์„ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค:

  • ์ปค๋ฐ‹ ๋˜๋Š” Pull Request ์‹œ๋งˆ๋‹ค ์ž๋™ ๋ณด์•ˆ ์Šค์บ” ์ˆ˜ํ–‰

  • ๋Œ€์‹œ๋ณด๋“œ ๋˜๋Š” ๋‚ด๋ถ€ ์ฑ„ํŒ… ๋„๊ตฌ๋ฅผ ํ†ตํ•œ ์ฆ‰๊ฐ์ ์ธ ์ทจ์•ฝ์  ํƒ์ง€ ๋ฐ ๊ฐœ๋ฐœํŒ€ ์•Œ๋ฆผ

  • ์ฝ”๋“œ ๋ฆฌ๋ทฐ ๋ฐ ๋ณด์•ˆ ๊ฐ์‚ฌ์— ์†Œ์š”๋˜๋Š” ์‹œ๊ฐ„ ๋‹จ์ถ•

Nguyรชn lรฝ hoแบกt ฤ‘แป™ng cแปงa sแปฑ kแบฟt hแปฃp cรดng nghแป‡ DevSecOps.

Nguyรชn lรฝ hoแบกt ฤ‘แป™ng cแปงa sแปฑ kแบฟt hแปฃp cรดng nghแป‡ DevSecOps. Nguแป“n: encrypted

3. DevSecOps๊ฐ€ ๊ธฐ์—…์— ์ œ๊ณตํ•˜๋Š” ์ด์ 

DevSecOps ๋„์ž…์€ ๋‹จ์ˆœํ•œ ๊ธฐ์ˆ ์  ๊ฐœ์„ ์ด ์•„๋‹ˆ๋ผ, ์„ฑ๋Šฅยท๋ณด์•ˆยท๋น„์šฉ ์ตœ์ ํ™”ยท๋ธŒ๋žœ๋“œ ์‹ ๋ขฐ์„ฑ ๋“ฑ ์—ฌ๋Ÿฌ ์ธก๋ฉด์—์„œ ์ „๋žต์  ๊ฐ€์น˜๋ฅผ ์ œ๊ณตํ•ฉ๋‹ˆ๋‹ค.

์•ˆ์ „์„ฑ๊ณผ ์†๋„๋ฅผ ๋™์‹œ์— ์š”๊ตฌํ•˜๋Š” ์˜ค๋Š˜๋‚ ์˜ ๋””์ง€ํ„ธ ํ™˜๊ฒฝ์—์„œ, DevSecOps๋Š” ์ง€์† ๊ฐ€๋Šฅํ•œ ๋””์ง€ํ„ธ ์ „ํ™˜์˜ ํ•ต์‹ฌ ๊ธฐ๋ฐ˜์ด ๋ฉ๋‹ˆ๋‹ค.

3.1. ๋ณด์•ˆ ์œ„ํ—˜ ๊ฐ์†Œ โ€“ ์†Œํ”„ํŠธ์›จ์–ด ๊ฐœ๋ฐœ ๊ฐ€์†ํ™”

๊ธฐ์กด์—๋Š” ๊ฐœ๋ฐœ ์ฃผ๊ธฐ ๋งˆ์ง€๋ง‰ ๋‹จ๊ณ„์—์„œ ๋ณด์•ˆ์„ ์ฒ˜๋ฆฌํ–ˆ๊ธฐ ๋•Œ๋ฌธ์—, ์ œํ’ˆ ์ถœ์‹œ๊ฐ€ ์ง€์—ฐ๋˜๋Š” ๊ฒฝ์šฐ๊ฐ€ ๋งŽ์•˜์Šต๋‹ˆ๋‹ค.
DevSecOps๋Š” ์ดˆ๊ธฐ๋ถ€ํ„ฐ ๋ณด์•ˆ์„ ํ†ตํ•ฉํ•จ์œผ๋กœ์จ, ์ทจ์•ฝ์ ์„ ์กฐ๊ธฐ์— ํƒ์ง€ํ•˜๊ณ  ๊ฐœ๋ฐœ ์ค‘ ๋ฌธ์ œ ๋ฐœ์ƒ์„ ์˜ˆ๋ฐฉํ•ฉ๋‹ˆ๋‹ค.

  • ๋” ๋น ๋ฅธ ์ถœ์‹œ ์ฃผ๊ธฐ: ๋งˆ์ง€๋ง‰ ๋‹จ๊ณ„์˜ ๋ณด์•ˆ ์ ๊ฒ€์œผ๋กœ ์ธํ•œ โ€œ๋ณ‘๋ชฉ ํ˜„์ƒโ€ ์—†์ด ์‹ ์†ํ•œ ์ œํ’ˆ ๋ฐฐํฌ ๊ฐ€๋Šฅ

  • ์กฐ๊ธฐ ํƒ์ง€ ๋ฐ ์กฐ๊ธฐ ๋Œ€์‘: ๋ฐฐํฌ ํ›„ ์ทจ์•ฝ์ ์ด ์•…์šฉ๋˜๋Š” ์œ„ํ—˜ ์ตœ์†Œํ™”

📊 Gartner์— ๋”ฐ๋ฅด๋ฉด, DevSecOps๋ฅผ ๋„์ž…ํ•œ ์กฐ์ง์€ ์†Œํ”„ํŠธ์›จ์–ด ๊ณต๊ธ‰๋ง ๋‚ด์˜ ์‹ฌ๊ฐํ•œ ๋ณด์•ˆ ์œ„ํ—˜์„ ์ตœ๋Œ€ 90%๊นŒ์ง€ ์ค„์ผ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

3.2. ํ›„๊ธฐ ๋‹จ๊ณ„ ๋ณด์•ˆ ์ˆ˜์ • ๋น„์šฉ ์ ˆ๊ฐ

๋ฐฐํฌ ์ดํ›„ ๋ณด์•ˆ ๋ฌธ์ œ๊ฐ€ ๋ฐœ๊ฒฌ๋˜๋ฉด ๋‹ค์Œ๊ณผ ๊ฐ™์€ ์‹ฌ๊ฐํ•œ ๊ฒฐ๊ณผ๊ฐ€ ์ดˆ๋ž˜๋  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค:

  • ์šด์˜ ํ™˜๊ฒฝ์—์„œ์˜ ์ˆ˜์ • ๋น„์šฉ ์ฆ๊ฐ€

  • ์„œ๋น„์Šค ์ค‘๋‹จ ๋ฐ ๋งค์ถœ ์†์‹ค

  • ๋ธŒ๋žœ๋“œ ์‹ ๋ขฐ๋„ ํ•˜๋ฝ

DevSecOps๋Š” โ€œShift-leftโ€ ์›์น™์„ ํ†ตํ•ด ๋ฌธ์ œ๋ฅผ ์กฐ๊ธฐ์— ํƒ์ง€ยทํ•ด๊ฒฐํ•˜์—ฌ ๋น„์šฉ์„ ํฌ๊ฒŒ ์ ˆ๊ฐํ•ฉ๋‹ˆ๋‹ค.

💰 IBM ์กฐ์‚ฌ์— ๋”ฐ๋ฅด๋ฉด, ๋‹จ๊ณ„๋ณ„ ๋ฒ„๊ทธ ์ˆ˜์ • ๋น„์šฉ์€ ๋‹ค์Œ๊ณผ ๊ฐ™์Šต๋‹ˆ๋‹ค:

  • ๊ฐœ๋ฐœ ๋‹จ๊ณ„: ์•ฝ $100

  • ํ…Œ์ŠคํŠธ ๋‹จ๊ณ„: ์•ฝ $1,000

  • ์šด์˜(ํ”„๋กœ๋•์…˜) ๋‹จ๊ณ„: $10,000 ์ด์ƒ

3.3. ๋ณด์•ˆ ๊ทœ์ •(ISO 27001, GDPR, PCI-DSS ๋“ฑ) ์ค€์ˆ˜

๊ธˆ์œต, ํ—ฌ์Šค์ผ€์–ด, ์ด์ปค๋จธ์Šค ๋“ฑ ๋ณด์•ˆ ๊ทœ์ œ๊ฐ€ ๊ฐ•ํ™”๋˜๋Š” ์‚ฐ์—…์—์„œ๋Š”, DevSecOps๊ฐ€ ์ดˆ๊ธฐ ๋‹จ๊ณ„๋ถ€ํ„ฐ ์ง€์†์ ์ธ ์ปดํ”Œ๋ผ์ด์–ธ์Šค๋ฅผ ๋ณด์žฅํ•ฉ๋‹ˆ๋‹ค.

๋Œ€ํ‘œ์ ์ธ ๋ณด์•ˆ ํ‘œ์ค€:

  • ISO/IEC 27001: ์ •๋ณด ๋ณด์•ˆ ๊ด€๋ฆฌ ์‹œ์Šคํ…œ(ISMS)

  • GDPR: ์œ ๋Ÿฝ ์ผ๋ฐ˜ ๋ฐ์ดํ„ฐ ๋ณดํ˜ธ ๊ทœ์ •

  • PCI-DSS: ๊ฒฐ์ œ์นด๋“œ ์‚ฐ์—… ๋ฐ์ดํ„ฐ ๋ณด์•ˆ ํ‘œ์ค€

DevSecOps๋ฅผ ํ†ตํ•œ ์ž๋™ํ™”๋œ ์ค€์ˆ˜ ๊ด€๋ฆฌ:

  • OWASP ๊ธฐ์ค€์— ๋”ฐ๋ฅธ ์ฝ”๋“œ ๋ฆฌ๋ทฐ ์ˆ˜ํ–‰

  • ์ธํ”„๋ผ ํ™œ๋™ ๋ชจ๋‹ˆํ„ฐ๋ง ๋ฐ ๋น„์ธ๊ฐ€ ์ ‘๊ทผ ํƒ์ง€

  • ๊ฐ์‚ฌ ๋กœ๊ทธ ๋ฐ ์ปดํ”Œ๋ผ์ด์–ธ์Šค ๋ณด๊ณ ์„œ ์ž๋™ ์ƒ์„ฑ

3.4. ๋ธŒ๋žœ๋“œ ์‹ ๋ขฐ๋„ ๊ฐ•ํ™” โ€“ ๋น„์ฆˆ๋‹ˆ์Šค ์—ฐ์†์„ฑ ํ™•๋ณด

๋””์ง€ํ„ธ ์‹œ๋Œ€์—๋Š” ๋ณด์•ˆ์ด ๊ฒฝ์Ÿ๋ ฅ์˜ ํ•ต์‹ฌ ์š”์†Œ์ž…๋‹ˆ๋‹ค. ์‚ฌ์šฉ์ž๋Š” ๋ฌผ๋ก  ํŒŒํŠธ๋„ˆ๋“ค๋„ ๊ฐœ์ธ์ •๋ณด ๋ณดํ˜ธ์™€ ๋ฐ์ดํ„ฐ ์•ˆ์ •์„ฑ์„ ์ค‘์š”ํ•˜๊ฒŒ ์ƒ๊ฐํ•ฉ๋‹ˆ๋‹ค.

DevSecOps๋ฅผ ๋„์ž…ํ•œ ๊ธฐ์—…์€ ๋‹ค์Œ์„ ๋ณด์—ฌ์ค๋‹ˆ๋‹ค:

  • ๋ณด์•ˆ์„ ๊ทผ๋ณธ๋ถ€ํ„ฐ ๊ณ ๋ คํ•˜๋Š” ์กฐ์ง ๋ฌธํ™” ๋ณด์œ 

  • ๋ณด์•ˆ ์‚ฌ๊ณ ์— ์‹ ์†ํžˆ ๋Œ€์‘ํ•  ์ˆ˜ ์žˆ๋Š” ๊ธฐ์ˆ ์  ์—ญ๋Ÿ‰ ๋ณด์œ 

  • ๊ณต๊ฒฉ ์ƒํ™ฉ์—์„œ๋„ ์•ˆ์ •์ ์œผ๋กœ ์šด์˜์„ ์ง€์†ํ•  ์ˆ˜ ์žˆ๋Š” ๋ณต์›๋ ฅ ํ™•๋ณด

✅ ๊ทธ ๊ฒฐ๊ณผ: ๊ณ ๊ฐ, ํˆฌ์ž์ž, ํŒŒํŠธ๋„ˆ๋กœ๋ถ€ํ„ฐ์˜ ์‹ ๋ขฐ์™€ ์‹ ์šฉ ๊ฐ•ํ™”.

Lแปฃi รญch cแปงa DevSecOps tแป›i doanh nghiแป‡p.

Lแปฃi รญch cแปงa DevSecOps tแป›i doanh nghiแป‡p. Nguแป“n: opentext

4. ๊ธฐ์—…์˜ ๋””์ง€ํ„ธ ์ „ํ™˜ ์—ฌ์ •์—์„œ์˜ DevSecOps ์—ญํ• 

์ „ ์„ธ๊ณ„์ ์œผ๋กœ ๋””์ง€ํ„ธ ์ „ํ™˜์ด ๊ฐ€์†ํ™”๋จ์— ๋”ฐ๋ผ, ๊ธฐ์—…์€ ์‹œ์Šคํ…œ์„ ๋น ๋ฅด๊ฒŒ ๊ฐœ๋ฐœยท์šด์˜ํ•˜๋Š” ๊ฒƒ๋ฟ๋งŒ ์•„๋‹ˆ๋ผ ๋ณด์•ˆ์„ฑ, ํ™•์žฅ์„ฑ, ์•ˆ์ •์„ฑ์„ ๋™์‹œ์— ํ™•๋ณดํ•ด์•ผ ํ•ฉ๋‹ˆ๋‹ค.

์ด๋•Œ DevSecOps๋Š” ๊ฐœ๋ฐœ ์†๋„์™€ ๋ณด์•ˆ ํ‘œ์ค€, Agile์˜ ์œ ์—ฐ์„ฑ๊ณผ ์žฅ๊ธฐ์ ์ธ ์šด์˜ ์•ˆ์ •์„ฑ ์‚ฌ์ด๋ฅผ ์—ฐ๊ฒฐํ•˜๋Š” ํ•ต์‹ฌ ๋‹ค๋ฆฌ ์—ญํ• ์„ ํ•ฉ๋‹ˆ๋‹ค.

4.1. DevSecOps๊ฐ€ ์‹œ์Šคํ…œ ๋””์ง€ํ„ธํ™”์— ๊ธฐ์—ฌํ•˜๋Š” ๋ฐฉ์‹

๋””์ง€ํ„ธ ์ „ํ™˜์€ ๋‹จ์ˆœํžˆ ๋ฌธ์„œ๋ฅผ ์ „์‚ฐํ™”ํ•˜๋Š” ์ˆ˜์ค€์„ ๋„˜์–ด, ๊ธฐ์ˆ ์„ ํ†ตํ•ด ์กฐ์ง์˜ ์šด์˜ ๋ฐฉ์‹์„ ์žฌ์ •์˜ํ•˜๋Š” ๊ณผ์ •์ž…๋‹ˆ๋‹ค.

์ด ๊ณผ์ •์—์„œ DevSecOps๋Š” ๋‹ค์Œ๊ณผ ๊ฐ™์€ ์—ญํ• ์„ ์ˆ˜ํ–‰ํ•ฉ๋‹ˆ๋‹ค:

  • ๋””์ง€ํ„ธ ์†”๋ฃจ์…˜์˜ ์ถœ์‹œ ๊ฐ€์†ํ™”: ์ž๋™ํ™”๋œ ๋ณด์•ˆ ํ†ตํ•ฉ ํŒŒ์ดํ”„๋ผ์ธ์„ ํ†ตํ•ด ์ƒˆ๋กœ์šด ๊ธฐ๋Šฅ์„ ๋” ๋น ๋ฅด๊ฒŒ ์‹œ์žฅ์— ๋ฐฐํฌ

  • ๋””์ง€ํ„ธ ํ™˜๊ฒฝ ๋‚ด ๋ฐ์ดํ„ฐ ๋ณดํ˜ธ ๊ฐ•ํ™”: ํ…Œ์ŠคํŠธ๋‚˜ ์‚ฌ๊ณ  ํ›„๊ฐ€ ์•„๋‹Œ, ๊ฐœ๋ฐœ ๋‹จ๊ณ„์—์„œ ์ทจ์•ฝ์ ์„ ํƒ์ง€ ๋ฐ ํ•ด๊ฒฐ

  • ์œ ์ง€๋ณด์ˆ˜ ๋ฐ ํ…Œ์ŠคํŠธ ๋น„์šฉ ์ตœ์ ํ™”: ์ž๋™ํ™”๋œ ๋ณด์•ˆ ํ…Œ์ŠคํŠธ์™€ ์ง€์†์  ๋ณด์•ˆ ๊ฒ€์ฆ(Continuous Security Testing)์„ ํ†ตํ•ด ํ›„๊ธฐ ์ˆ˜์ • ๋น„์šฉ ์ ˆ๊ฐ

๊ฒฐ๊ณผ: ๊ธฐ์—…์€ ๋””์ง€ํ„ธ ์ „ํ™˜ ์—ฌ์ •์—์„œ โ€œ๋” ๋น ๋ฅด๊ฒŒโ€ ์›€์ง์ด๋Š” ๋™์‹œ์—, โ€œ๋” ์•ˆ์ „ํ•˜๊ณ  ์•ˆ์ •์ ์œผ๋กœโ€ ์„ฑ์žฅํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

4.2. ํด๋ผ์šฐ๋“œยท๋งˆ์ดํฌ๋กœ์„œ๋น„์ŠคยทAI ํŒŒ์ดํ”„๋ผ์ธ๊ณผ์˜ DevSecOps ํ†ตํ•ฉ

ํ˜„๋Œ€์  ์‹œ์Šคํ…œ ์•„ํ‚คํ…์ฒ˜(Cloud-Native, Microservices, AI/ML Pipeline)์—์„œ DevSecOps๋Š” ์ „๋ฐฉ์œ„์ ์ธ ๋ณด์•ˆ ๋ณดํ˜ธ๋ฅผ ์ œ๊ณตํ•ฉ๋‹ˆ๋‹ค.

  • ํด๋ผ์šฐ๋“œ ํ™˜๊ฒฝ:

DevSecOps๋Š” ์ธํ”„๋ผ ์ˆ˜์ค€(IaC)๋ถ€ํ„ฐ ๋ฐ์ดํ„ฐ ์ €์žฅ์†Œ๊นŒ์ง€ ๋ณด์•ˆ์„ ๊ฐ•ํ™”ํ•ฉ๋‹ˆ๋‹ค. Terraform Scan, OPA(Open Policy Agent) ๋“ฑ ๋„๊ตฌ๋ฅผ ํ™œ์šฉํ•ด ์‹œ์Šคํ…œ ํ”„๋กœ๋น„์ €๋‹ ์‹œ ๋ณด์•ˆ ์ •์ฑ… ๊ฒ€์‚ฌ๋ฅผ ์ž๋™ํ™”ํ•ฉ๋‹ˆ๋‹ค.

  • ๋งˆ์ดํฌ๋กœ์„œ๋น„์Šค ํ™˜๊ฒฝ:

๊ฐ ๋งˆ์ดํฌ๋กœ์„œ๋น„์Šค๋Š” ๋…๋ฆฝ๋œ ์ƒ๋ช… ์ฃผ๊ธฐ๋ฅผ ๊ฐ€์ง€๋ฏ€๋กœ, ๊ฐœ๋ณ„ ์„œ๋น„์Šค ๋‹จ์œ„์˜ ๋ณด์•ˆ์ด ๋งค์šฐ ์ค‘์š”ํ•ฉ๋‹ˆ๋‹ค. DevSecOps๋Š” ๊ฐ ์„œ๋น„์Šค๊ฐ€ ํ…Œ์ŠคํŠธยท๋ชจ๋‹ˆํ„ฐ๋งยท๊ด€๋ฆฌ๋˜๋Š” ๊ณผ์ •์„ ์ž๋™ํ™”ํ•˜์—ฌ ์ „์ฒด ์‹œ์Šคํ…œ์˜ ์•ˆ์ •์„ฑ์„ ์œ ์ง€ํ•ฉ๋‹ˆ๋‹ค.

  • AI/ML ํŒŒ์ดํ”„๋ผ์ธ:

AI ์ฝ”๋“œ ์—ญ์‹œ ํ’ˆ์งˆ๊ณผ ๋ณด์•ˆ ๊ฒ€์ฆ์ด ํ•„์š”ํ•ฉ๋‹ˆ๋‹ค. DevSecOps๋Š” ๋ฐ์ดํ„ฐ ์ž…๋ ฅ, AI ๋ชจ๋ธ ๊ฐœ๋ฐœ, ์ถ”๋ก (Inference) ๋‹จ๊ณ„ ์ „๋ฐ˜์— ๋ณด์•ˆ ํ…Œ์ŠคํŠธ๋ฅผ ํ†ตํ•ฉํ•ฉ๋‹ˆ๋‹ค โ€” ํŠนํžˆ AI Agent ๋ฐ ๋Œ€๊ทœ๋ชจ ๋ถ„์„ ์‹œ์Šคํ…œ์— ํšจ๊ณผ์ ์ž…๋‹ˆ๋‹ค.

ํ•ต์‹ฌ ๊ฐ•์ : DevSecOps๋Š” ๋ถ„์‚ฐ ์•„ํ‚คํ…์ฒ˜์—์„œ๋„ ๋†’์€ ์‹ ๋ขฐ์„ฑ๊ณผ ๋ณด์•ˆ ๊ทœ์ • ์ค€์ˆ˜๋ฅผ ์œ ์ง€ํ•  ์ˆ˜ ์žˆ๊ฒŒ ํ•ฉ๋‹ˆ๋‹ค.

4.3. DevSecOps์™€ Agile, CI/CD์˜ ์—ฐ๊ณ„

DevSecOps๋Š” Agile ๋˜๋Š” CI/CD์™€ ๋ณ„๊ฐœ๊ฐ€ ์•„๋‹ˆ๋ผ, ์ด๋ฅผ ๋ณด์™„ํ•˜๊ณ  ๊ฐ•ํ™”ํ•˜๊ธฐ ์œ„ํ•ด ์„ค๊ณ„๋œ ์ ‘๊ทผ ๋ฐฉ์‹์ž…๋‹ˆ๋‹ค.

๊ตฌ๋ถ„Agile / CI/CDDevSecOps
๋ฆด๋ฆฌ์ฆˆ ์†๋„์ง€์†์  ๋ฐฐํฌ(๋งค ์Šคํ”„๋ฆฐํŠธ๋งˆ๋‹ค ์ถœ์‹œ)๋ฆด๋ฆฌ์ฆˆ ์ฃผ๊ธฐ์™€ ๋™๊ธฐํ™”๋œ ์ง€์†์  ๋ณด์•ˆ ํ…Œ์ŠคํŠธ
ํŒ€ ๊ตฌ์„ฑDev + QA + Ops+ Security๊ฐ€ ์ดˆ๊ธฐ๋ถ€ํ„ฐ ์ฐธ์—ฌ
ํ”ผ๋“œ๋ฐฑ ๋ฃจํ”„์‚ฌ์šฉ์ž ํ”ผ๋“œ๋ฐฑ ์ค‘์‹ฌ์ž๋™ํ™”๋ฅผ ํ†ตํ•œ ์กฐ๊ธฐ ๋ณด์•ˆ ํ”ผ๋“œ๋ฐฑ
์ž๋™ํ™” ์˜์—ญ๋นŒ๋“œ, ํ…Œ์ŠคํŠธ, ๋ฐฐํฌ+ ๋ชจ๋“  ๋‹จ๊ณ„์—์„œ ์ž๋™ ๋ณด์•ˆ ์Šค์บ๋‹ ์ถ”๊ฐ€

์ฆ‰, ์ด๋ฏธ Agile ๋˜๋Š” CI/CD๋ฅผ ๋„์ž…ํ•œ ์กฐ์ง์ด๋ผ๋ฉด, DevSecOps๋Š” ํ˜„๋Œ€์  ๊ฐœ๋ฐœ ์ƒ๋ช…์ฃผ๊ธฐ๋ฅผ ์™„์„ฑํ•˜๋Š” ๋‹ค์Œ ๋‹จ๊ณ„์ž…๋‹ˆ๋‹ค โ€” ํŠนํžˆ ๋ฉ€ํ‹ฐ์ฑ„๋„ยทํด๋ผ์šฐ๋“œ ๊ธฐ๋ฐ˜ ํ™˜๊ฒฝ์—์„œ ๋ณด์•ˆ ์š”๊ตฌ๊ฐ€ ์ฆ๊ฐ€ํ•˜๋Š” ์ง€๊ธˆ, ํ•„์ˆ˜์ ์ž…๋‹ˆ๋‹ค.

DevSecOps trong hร nh trรฌnh chuyแปƒn ฤ‘แป•i sแป‘ cแปงa doanh nghiแป‡p.

DevSecOps trong hร nh trรฌnh chuyแปƒn ฤ‘แป•i sแป‘ cแปงa doanh nghiแป‡p. Nguแป“n: bluewhaleapps

5. BAP Software์˜ DevSecOps ์„ฑ๊ณต ์‚ฌ๋ก€

5.1. ํ”„๋กœ์ ํŠธ ๋ฐฐ๊ฒฝ โ€“ ๋†’์€ ๋ณด์•ˆ ์š”๊ตฌ์‚ฌํ•ญ

์ผ๋ณธ์˜ ํ•œ ๋Œ€ํ˜• ๊ธˆ์œต๊ธฐ์—…์€ ๊ธฐ์กด ๋ ˆ๊ฑฐ์‹œ ์‹œ์Šคํ…œ์—์„œ ํด๋ผ์šฐ๋“œ ๋„ค์ดํ‹ฐ๋ธŒ ํ™˜๊ฒฝ์œผ๋กœ ์ „ํ™˜ํ•˜๋ฉฐ, ๊ธˆ์œต ๊ธฐ๋ก ๋ฐ ๊ณ„์•ฝ ๊ด€๋ฆฌ ์‹œ์Šคํ…œ์„ ๋””์ง€ํ„ธํ™”ํ•˜๊ณ  ์žˆ์—ˆ์Šต๋‹ˆ๋‹ค.

ํ•ต์‹ฌ ์š”๊ตฌ์‚ฌํ•ญ:

  • ๊ณ ๋„์˜ ๋ณด์•ˆ ๊ธฐ์ค€: ๋ชจ๋“  ๊ธˆ์œต ๋ฐ์ดํ„ฐ ๋ฐ ๊ณ ๊ฐ ์ •๋ณด๋Š” ISO 27001 ๋ฐ ์ผ๋ณธ ๊ฐœ์ธ์ •๋ณด๋ณดํ˜ธ๋ฒ•(APPI) ์„ ์ค€์ˆ˜ํ•ด์•ผ ํ•จ

  • ๋น ๋ฅธ ๊ฐœ๋ฐœ ์†๋„: 2์ฃผ ๋‹จ์œ„ ์Šคํ”„๋ฆฐํŠธ๋กœ ์ง€์†์ ์ธ ์‹œ์Šคํ…œ ์—…๋ฐ์ดํŠธ ์ˆ˜ํ–‰

  • ์„œ๋น„์Šค ์ค‘๋‹จ ์—†๋Š” ์šด์˜: ์ˆ˜์ฒœ ๋ช…์˜ ๋‚ด๋ถ€ ์‚ฌ์šฉ์ž์™€ ์™ธ๋ถ€ ๊ณ ๊ฐ์ด ๋™์‹œ์— ์ ‘์† ๊ฐ€๋Šฅํ•œ ์•ˆ์ •์„ฑ ํ™•๋ณด

5.2. ์ ์šฉ๋œ DevSecOps ์†”๋ฃจ์…˜

BAP Software ํŒ€์€ ํ”„๋กœ์ ํŠธ ์ดˆ๊ธฐ ๋‹จ๊ณ„๋ถ€ํ„ฐ Agile + CI/CD ํ”„๋ ˆ์ž„์›Œํฌ์— ์™„์ „ํžˆ ํ†ตํ•ฉ๋œ DevSecOps ๋ชจ๋ธ์„ ์ œ์•ˆ ๋ฐ ๊ตฌ์ถ•ํ–ˆ์Šต๋‹ˆ๋‹ค.

์ฃผ์š” ๊ตฌํ˜„ ํฌ์ธํŠธ:

  • Shift-left Security: ์š”๊ตฌ์‚ฌํ•ญ ๋ถ„์„ ๋ฐ ์‹œ์Šคํ…œ ์„ค๊ณ„ ๋‹จ๊ณ„๋ถ€ํ„ฐ ๋ณด์•ˆ์„ ๋‚ด์žฌํ™”

  • ์•ˆ์ „ํ•œ CI/CD ํŒŒ์ดํ”„๋ผ์ธ ๊ตฌ์ถ•: ์ฝ”๋“œ ์ปค๋ฐ‹ ์‹œ ์ž๋™์œผ๋กœ ์ •์ (SAST) ๋ฐ ๋™์ (DAST) ๋ณด์•ˆ ํ…Œ์ŠคํŠธ ์‹คํ–‰

  • IaC(์ฝ”๋“œ ๊ธฐ๋ฐ˜ ์ธํ”„๋ผ) ๋ณด์•ˆ ๊ฒ€์ฆ: Terraform ๋ฐ Kubernetes ์„ค์ • ํŒŒ์ผ์„ ์Šค์บ”ํ•˜์—ฌ ํด๋ผ์šฐ๋“œ ์ธํ”„๋ผ ๊ตฌ์„ฑ ์˜ค๋ฅ˜ ์˜ˆ๋ฐฉ

  • ๋ณด์•ˆ ๊ฒฝ๊ณ  ์ž๋™ํ™”: GitLab๊ณผ Slack์„ ์—ฐ๋™ํ•ด ์‹ค์‹œ๊ฐ„ ์ทจ์•ฝ์  ์•Œ๋ฆผ ์ „์†ก

5.3. ์‚ฌ์šฉ๋œ ๊ธฐ์ˆ  ๋ฐ ๋„๊ตฌ

๋ชฉ์ ์‚ฌ์šฉ ๋„๊ตฌ
์†Œ์Šค ์ฝ”๋“œ ๋ฐ CI/CD ๊ด€๋ฆฌGitLab CI/CD
์ •์  ๋ณด์•ˆ ํ…Œ์ŠคํŠธ (SAST)Snyk + SonarQube
์ปจํ…Œ์ด๋„ˆ ์ด๋ฏธ์ง€ ์Šค์บ”Trivy
IaC ๋ฐ ์ •์ฑ… ๊ด€๋ฆฌTerraform + Open Policy Agent (OPA)
์‹œ์Šคํ…œ ๋ชจ๋‹ˆํ„ฐ๋ง ๋ฐ ์•Œ๋ฆผPrometheus + Grafana + ELK Stack
์ปจํ…Œ์ด๋„ˆ ์˜ค์ผ€์ŠคํŠธ๋ ˆ์ด์…˜Kubernetes (AKS)
ํด๋ผ์šฐ๋“œ ์ธํ”„๋ผMicrosoft Azure

5.4. ์„ฑ๊ณผ

DevSecOps ๋„์ž… 4๊ฐœ์›” ํ›„:

  • ๊ฐœ๋ฐœ ์†๋„ 35% ํ–ฅ์ƒ: ํ”„๋กœ๋•์…˜ ๋ฐฐํฌ ์ฃผ๊ธฐ 10์ผ โ†’ 6.5์ผ๋กœ ๋‹จ์ถ•

  • ๋ณด์•ˆ ์ทจ์•ฝ์  ์กฐ๊ธฐ ํƒ์ง€ ๋ฐ ํ•ด๊ฒฐ๋ฅ  60% ํ–ฅ์ƒ: ์ž๋™ํ™” ์‹œ์Šคํ…œ ๋•๋ถ„์— 80%์˜ ์ทจ์•ฝ์ ์ด ๊ฐœ๋ฐœ ๋‹จ๊ณ„์—์„œ ํ•ด๊ฒฐ

  • ๋ณด์•ˆ ํ‘œ์ค€ 100% ์ค€์ˆ˜: ๋‚ด๋ถ€ ๊ฐ์‚ฌ ๊ฒฐ๊ณผ, ์‹ฌ๊ฐํ•œ ๋ณด์•ˆ ๊ฒฐํ•จ ์—†์Œ

  • ์‹œ์Šคํ…œ ๊ฐ€์šฉ์„ฑ 99.95% ์œ ์ง€: 6๊ฐœ์›”๊ฐ„ ๋ณด์•ˆ ๋˜๋Š” ์šด์˜ ๋ฌธ์ œ๋กœ ์ธํ•œ ๋‹ค์šดํƒ€์ž„ 0๊ฑด

๊ฒฐ๋ก 

ํ”„๋กœ์ ํŠธ ์ดˆ๊ธฐ์— DevSecOps๋ฅผ ์ „๋žต์ ์œผ๋กœ ๋„์ž…ํ•จ์œผ๋กœ์จ, ๊ณ ๊ฐ์‚ฌ๋Š” ์—„๊ฒฉํ•œ ๋ณด์•ˆ ๋ฐ ์„ฑ๋Šฅ ์š”๊ตฌ์‚ฌํ•ญ์„ ์ถฉ์กฑํ•˜๋Š” ๋™์‹œ์— ์žฅ๊ธฐ์ ์ธ ํ’ˆ์งˆ ํ–ฅ์ƒ์„ ์‹คํ˜„ํ–ˆ์Šต๋‹ˆ๋‹ค. ์ด ์‚ฌ๋ก€๋Š” DevSecOps๊ฐ€ ๊ฐœ๋ฐœ ์†๋„๋ฅผ ๋Šฆ์ถ”๋Š” ๊ฒƒ์ด ์•„๋‹ˆ๋ผ, ์˜คํžˆ๋ ค โ€œ๋” ๋น ๋ฅด๊ณ  ์•ˆ์ „ํ•œโ€ ๊ฐœ๋ฐœ์„ ๊ฐ€๋Šฅํ•˜๊ฒŒ ํ•œ๋‹ค๋Š” ๊ฒƒ์„ ์ฆ๋ช…ํ•ฉ๋‹ˆ๋‹ค.

Cรกc case study รกp dแปฅng cรดng nghแป‡ DevSecOps tแบกi BAP Software.

Cรกc case study รกp dแปฅng cรดng nghแป‡ DevSecOps tแบกi BAP Software. Nguแป“n: q3tech

6. ์™œ BAP Software์™€ ํ•จ๊ป˜ DevSecOps๋ฅผ ์„ ํƒํ•ด์•ผ ํ• ๊นŒ์š”?

DevSecOps๋ฅผ ์„ฑ๊ณต์ ์œผ๋กœ ๊ตฌํ˜„ํ•˜๊ธฐ ์œ„ํ•ด์„œ๋Š” ๋‹จ์ˆœํžˆ ๊ฐ•๋ ฅํ•œ ๋„๊ตฌ๋งŒ์œผ๋กœ๋Š” ์ถฉ๋ถ„ํ•˜์ง€ ์•Š์Šต๋‹ˆ๋‹ค. ๋น„์ฆˆ๋‹ˆ์Šค ํ”„๋กœ์„ธ์Šค, ์‹œ์Šคํ…œ ์•„ํ‚คํ…์ฒ˜, ๊ทธ๋ฆฌ๊ณ  ๋ฌด์—‡๋ณด๋‹ค ๋ณด์•ˆ์„ ์ค‘์‹ฌ์œผ๋กœ ํ•œ ํ†ตํ•ฉ์  ์‚ฌ๊ณ ๋ฐฉ์‹์„ ๊ฐ–์ถ˜ ํŒŒํŠธ๋„ˆ๊ฐ€ ํ•„์š”ํ•ฉ๋‹ˆ๋‹ค.

BAP Software๋Š” 10๋…„ ์ด์ƒ์˜ ๊ธฐ์ˆ  ๊ฒฝํ—˜์„ ๋ฐ”ํƒ•์œผ๋กœ ์ผ๋ณธ, ์‹ฑ๊ฐ€ํฌ๋ฅด, ๋ฒ ํŠธ๋‚จ, ์œ ๋Ÿฝ์˜ ์ฃผ์š” ๊ธฐ์—…๋“ค๊ณผ ํ˜‘๋ ฅํ•˜๋ฉฐ, ์ง€์† ๊ฐ€๋Šฅํ•˜๊ณ  ์•ˆ์ „ํ•œ DevSecOps ์ƒํƒœ๊ณ„๋ฅผ ๊ตฌ์ถ•ํ•˜๋Š” ์‹ ๋ขฐ๋ฐ›๋Š” ํŒŒํŠธ๋„ˆ๋กœ ์ž๋ฆฌ์žก์•˜์Šต๋‹ˆ๋‹ค.

์ข…ํ•ฉ์ ์ธ ๊ธฐ์ˆ  ์ „๋ฌธ์„ฑ

  • Cloud-Native DevSecOps ํ†ตํ•ฉ: Kubernetes, Docker, Serverless ์•„ํ‚คํ…์ฒ˜, IaC ๊ธฐ๋ฐ˜์˜ AWS, Azure, GCP ํ™˜๊ฒฝ ๊ตฌ์ถ• ๊ฒฝํ—˜ ๋ณด์œ 

  • ๊ณ ๋„ํ™”๋œ CI/CD ํŒŒ์ดํ”„๋ผ์ธ ๊ฐœ๋ฐœ: GitLab CI/CD, Jenkins, ArgoCD๋ฅผ ๊ธฐ๋ฐ˜์œผ๋กœ Snyk, Trivy, SonarQube ๋“ฑ ์ž๋™ ๋ณด์•ˆ ํ…Œ์ŠคํŠธ ๋„๊ตฌ์™€ ์™„๋ฒฝํžˆ ํ†ตํ•ฉ

  • ์ „๋ฌธ ๋ณด์•ˆ ๋ฐ DevOps ์—”์ง€๋‹ˆ์–ด: ISO 27001, AWS Certified Security ์ž๊ฒฉ์„ ๊ฐ–์ถ˜ ์ „๋ฌธ๊ฐ€๋“ค์ด ์ง์ ‘ ํ”„๋กœ์ ํŠธ๋ฅผ ์ˆ˜ํ–‰

๊ธ€๋กœ๋ฒŒ ํ”„๋กœ์ ํŠธ ์ˆ˜ํ–‰ ๊ฒฝํ—˜

  • ์ผ๋ณธ ๋ฐ ์‹ฑ๊ฐ€ํฌ๋ฅด ๊ณ ๊ฐ: APPI ๋ฐ PDPA ๊ทœ์ •์„ ์ค€์ˆ˜ํ•˜๋ฉฐ, ์—„๊ฒฉํ•œ ๋ณด์•ˆ ๋ฐ ์šด์˜ ๊ธฐ์ค€ ์ถฉ์กฑ

  • ์œ ๋Ÿฝ ๊ณ ๊ฐ: GDPR ๋ฐ ์ •๊ธฐ์ ์ธ ๋ณด์•ˆ ๊ฐ์‚ฌ ์š”๊ฑด์„ ์ถฉ์กฑํ•˜์—ฌ ํˆฌ๋ช…์„ฑ๊ณผ ์ฑ…์ž„์„ฑ ๋ณด์žฅ

  • ์‚ฐ์—…๋ณ„ ๋งž์ถค ์—ญ๋Ÿ‰: ๊ธˆ์œต, ์ œ์กฐ, ํ—ฌ์Šค์ผ€์–ด, ๊ต์œก, ๋ฆฌํ…Œ์ผ ๋“ฑ ๋‹ค์–‘ํ•œ ์‚ฐ์—… ๋ถ„์•ผ์—์„œ ๊ฒ€์ฆ๋œ ์„ฑ๊ณผ

์ฒ ํ•™: โ€œ๋ณด์•ˆ์€ ๋น„์šฉ์ด ์•„๋‹Œ ์ „๋žต์ด๋‹คโ€

BAP Software๋Š” ์‚ฌ๊ณ  ์ดํ›„์˜ ๋Œ€์‘์ด ์•„๋‹Œ, ๋ณด์•ˆ์„ ๋””์ง€ํ„ธ ์ „ํ™˜์˜ ํ•ต์‹ฌ ์ „๋žต์œผ๋กœ ์ธ์‹ํ•ฉ๋‹ˆ๋‹ค.

  • Shift-left Security ์ ‘๊ทผ๋ฒ•: ๊ฐœ๋ฐœ ์ƒ๋ช…์ฃผ๊ธฐ์˜ ์ดˆ๊ธฐ ๋‹จ๊ณ„๋ถ€ํ„ฐ ๋ณด์•ˆ์„ ๋‚ด์žฌํ™”

  • DevSecOps ๋ฌธํ™” ๊ตฌ์ถ•: ํŒ€ ๊ต์œก ๋ฐ ๋‚ด๋ถ€ ํ”„๋กœ์„ธ์Šค ํ‘œ์ค€ํ™”

  • ๋งž์ถคํ˜• ์ „๋žต ์ปจ์„คํŒ…: ๊ธฐ์—…์˜ ๊ทœ๋ชจ์™€ ๋‚ด๋ถ€ ์—ญ๋Ÿ‰์— ๋งž์ถ˜ ๋ณด์•ˆ ์ „๋žต ์„ค๊ณ„๋กœ, ์ด๋ก ์ ์ธ ํ”„๋ ˆ์ž„์›Œํฌ์˜ ๋‹จ์ˆœ ๋ณต์ œ๊ฐ€ ์•„๋‹Œ ์‹ค์งˆ์  ์‹คํ–‰ ์ค‘์‹ฌ์˜ ์†”๋ฃจ์…˜ ์ œ๊ณต

Cรกc lรฝ do nรชn chแปn BAP lร m ฤ‘แป‘i tรกc triแปƒn khai DevSecOps trong doanh nghiแป‡p.

Cรกc lรฝ do nรชn chแปn BAP lร m ฤ‘แป‘i tรกc triแปƒn khai DevSecOps trong doanh nghiแป‡p. Nguแป“n: BAP Software

7. ๊ฒฐ๋ก 

DevSecOps๋Š” ๋‹จ์ˆœํ•œ ์†Œํ”„ํŠธ์›จ์–ด ๊ฐœ๋ฐœ ๊ธฐ๋ฒ•์ด ์•„๋‹ˆ๋ผ, ๋””์ง€ํ„ธ ์‹œ๋Œ€๋ฅผ ์œ„ํ•œ ์ข…ํ•ฉ์ ์ธ ์‹œ์Šคํ…œ ๋ณดํ˜ธ ์ „๋žต์ž…๋‹ˆ๋‹ค. ์‚ฌ์ด๋ฒ„ ๊ณต๊ฒฉ์ด ์ ์  ๋” ์ •๊ตํ•ด์ง€๊ณ  ๋ฐ์ดํ„ฐ๊ฐ€ ๊ธฐ์—…์˜ ํ•ต์‹ฌ ์ž์‚ฐ์œผ๋กœ ๋ถ€์ƒํ•จ์— ๋”ฐ๋ผ, ๊ฐœ๋ฐœ ์ดˆ๊ธฐ ๋‹จ๊ณ„๋ถ€ํ„ฐ ๋ณด์•ˆ์„ ํ†ตํ•ฉํ•˜๋Š” ๊ฒƒ์€ ์„ ํƒ์ด ์•„๋‹Œ ํ•„์ˆ˜๊ฐ€ ๋˜์—ˆ์Šต๋‹ˆ๋‹ค.

DevSecOps๋Š” ๊ธฐ์—…์ด ๋‹ค์Œ๊ณผ ๊ฐ™์€ ๊ฐ€์น˜๋ฅผ ์‹คํ˜„ํ•˜๋„๋ก ๋•์Šต๋‹ˆ๋‹ค:

  • ๋ณด์•ˆ์ด ๋‚ด์žฌ๋œ ์ž๋™ํ™” ํŒŒ์ดํ”„๋ผ์ธ์œผ๋กœ ์‹œ์žฅ ์ถœ์‹œ ์†๋„ ๊ฐ€์†ํ™”

  • ์‹œ์Šคํ…œ ์•„ํ‚คํ…์ฒ˜ ๋‹จ๊ณ„์—์„œ๋ถ€ํ„ฐ ๋ณด์•ˆ ๋ฆฌ์Šคํฌ ์‚ฌ์ „ ์ฐจ๋‹จ

  • ๊ณ ๊ฐ, ํŒŒํŠธ๋„ˆ, ํˆฌ์ž์ž ๊ฐ„์˜ ์‹ ๋ขฐ ๊ฐ•ํ™”

  • ๊ตญ์ œ ๋ณด์•ˆ ํ‘œ์ค€ ์ค€์ˆ˜ ๋ฐ ๊ธ€๋กœ๋ฒŒ ํ™•์žฅ ์ง€์›

BAP Software๋Š” ๊ธˆ์œต, ๊ธฐ์ˆ , ์ œ์กฐ, ํ—ฌ์Šค์ผ€์–ด ๋“ฑ ๋‹ค์–‘ํ•œ ์‚ฐ์—…์—์„œ DevSecOps๋ฅผ ์„ฑ๊ณต์ ์œผ๋กœ ๊ตฌํ˜„ํ•˜๋ฉฐ ๊ธฐ์ˆ ์  ์™„์„ฑ๋„์™€ ์ „๋žต์  ๊ฐ€์น˜๋ฅผ ๋™์‹œ์— ์ œ๊ณตํ•ด์™”์Šต๋‹ˆ๋‹ค.

๊ตญ์ œ์  ์ „๋ฌธ ์ธ๋ ฅ๊ณผ ์‹ค๋ฌด ๊ฒฝํ—˜์„ ๊ธฐ๋ฐ˜์œผ๋กœ, BAP๋Š” ์Šคํƒ€ํŠธ์—…๋ถ€ํ„ฐ ๋Œ€๊ธฐ์—…๊นŒ์ง€ ๊ฐ ๋น„์ฆˆ๋‹ˆ์Šค ๋ชจ๋ธ์— ์ตœ์ ํ™”๋œ ๋งž์ถคํ˜• DevSecOps ์†”๋ฃจ์…˜์„ ์ œ๊ณตํ•ฉ๋‹ˆ๋‹ค.

์ง€๊ธˆ ๋ฐ”๋กœ BAP Software์™€ ์ƒ๋‹ดํ•˜์—ฌ, ํ‘œ์ค€ํ™”๋˜๊ณ  ์œ ์—ฐํ•˜๋ฉฐ ์ฒ ์ €ํžˆ ๋ณด์•ˆ์ด ๋‚ด์žฌ๋œ DevSecOps ์‹œ์Šคํ…œ์„ ๊ตฌ์ถ•ํ•ด๋ณด์„ธ์š”.