
DevSecOps – Hฦฐแปng ฤi mแปi cho bแบฃo mแบญt doanh nghiแปp. Nguแปn: prismic
1. DevSecOps๋ ๋ฌด์์ธ๊ฐ?
1.1. DevSecOps(Development โ Security โ Operations)์ ์ ์
DevSecOps๋ ํ๋ ์ํํธ์จ์ด ๊ฐ๋ฐ๊ณผ ์ด์์ ์ธ ๊ฐ์ง ํต์ฌ ์ถ์ธ ๊ฐ๋ฐ(Development), ๋ณด์(Security), **์ด์(Operations)**์ ์๋ฏธํฉ๋๋ค.
์ด๋ ๋ณด์์ ์ ํ ์์ฑ ํ ๋ง์ง๋ง ๋จ๊ณ์์ ๊ฒํ ํ๋ ๊ฒ์ด ์๋๋ผ, ์ํํธ์จ์ด ๊ฐ๋ฐ ์๋ช ์ฃผ๊ธฐ(SDLC) ์ ๋ฐ์ ๊ฑธ์ณ ํ์์ ์ผ๋ก ํตํฉํ๋ ์ฒ ํ์ ๋๋ค.
์ฆ, DevSecOps๋ DevOps์ ๋ค์ ์งํ ๋จ๊ณ๋ก, ๋ณด์์ด ๋ ์ด์ IT ๋ถ์๋ ๋ณด์ ๋ถ์์ โ์ถ๊ฐ ์ ๋ฌดโ๊ฐ ์๋, ์ฝ๋ ์์ฑ๋ถํฐ ์ ํ ๋ฐฐํฌ๊น์ง ์ ๊ณผ์ ์ ๋ด์ฌ๋ ์์๊ฐ ๋๋ ๊ฒ์ ์๋ฏธํฉ๋๋ค.
1.2. DevOps์ DevSecOps์ ์ฃผ์ ์ฐจ์ด์
๊ตฌ๋ถ | DevOps | DevSecOps |
---|---|---|
์ค์ | ๊ฐ๋ฐ๊ณผ ์ด์ ๊ฐ์ ์๋ํ ๋ฐ ํ์ | ๊ฐ๋ฐ ์ ๊ณผ์ ์ ๋ณด์ ํตํฉ |
๋ณด์ ์ฒ๋ฆฌ ์์ | ๋ฐฐํฌ ํ(์ฌํ ๋์) | ๊ฐ๋ฐ ์ด๊ธฐ๋ถํฐ(Shift-left Security) |
์ฐธ์ฌ์ | ๊ฐ๋ฐํ & ์ด์ํ | ๊ฐ๋ฐํ + ๋ณด์ํ + ์ด์ํ (ํฌ๋ก์ค ๊ธฐ๋ฅ ํ์ ) |
์ฌ์ฉ ๋๊ตฌ | CI/CD, ๋ชจ๋ํฐ๋ง, IaC | SAST, DAST, SCA, ์ปจํ ์ด๋ ์ค์บ๋, IaC ๋ณด์ ๋ฑ ์ถ๊ฐ |
ํต์ฌ ์ฐจ์ด๋ ๋ฐ๋ก ๋ณด์์ โ์ผ์ชฝ์ผ๋ก ์ด๋(Shift-left)โ์ํค๋ ๊ฒ์ ๋๋ค. ์ฆ, ๋ณด์์ ๋ ์ด๋ฅธ ๋จ๊ณ์์ ํตํฉํ ์๋ก ์ํ๊ณผ ์์ ๋น์ฉ์ ์ค์ผ ์ ์์ต๋๋ค.
1.3. DevSecOps๊ฐ ํ์ํ ์ด์
์๋ ๊ฐ DevOps ๋ชจ๋ธ์ ๊ธฐ์ ์ด ์ํํธ์จ์ด ๊ฐ๋ฐ ์๋๋ฅผ ๋์ด๊ณ ์์ฅ ์ถ์ ์๊ฐ์ ๋จ์ถํ๋ ๋ฐ ํฌ๊ฒ ๊ธฐ์ฌํ์ต๋๋ค. ํ์ง๋ง ์ด ์๋๋ ์ข ์ข ๋ณด์ ๊ฒ์ฆ์ ํฌ์์ํค๋ฉฐ ๋ณด์ ์ทจ์ฝ์ ์ ์ด๋ํ์ต๋๋ค.
DevSecOps์ ๋ฑ์ฅ์ ๋ค์๊ณผ ๊ฐ์ ์ด์ ๋ก ํ์ฐ์ ์ด์์ต๋๋ค:
์ฌ์ด๋ฒ ๊ณต๊ฒฉ์ ๊ณ ๋ํ: IBM์ ๋ฐ๋ฅด๋ฉด, 2023๋ ๋ฐ์ดํฐ ์ ์ถ์ ํ๊ท ๋น์ฉ์ 445๋ง ๋ฌ๋ฌ๋ฅผ ์ด๊ณผํ์ต๋๋ค.
๋ฒ์ ๊ท์ ๊ฐํ: ISO/IEC 27001, GDPR, HIPAA ๋ฑ์ ์ค๊ณ ๋จ๊ณ์์๋ถํฐ ๋ณด์ ๊ตฌํ์ ์๊ตฌํฉ๋๋ค.
CI/CD ๋ฐ ํด๋ผ์ฐ๋ ๋ค์ดํฐ๋ธ ์์คํ ์ฆ๊ฐ: ์ง์์ ์ธ ๋ฐฐํฌ ํ๊ฒฝ์์๋ ์๋ํ๋๊ณ ์ ์ํ ๋ณด์์ด ํ์์ ์ ๋๋ค.
๋์งํธ ์๋์ ๋ณด์์ ์ ํ์ด ์๋ ์์กด ์กฐ๊ฑด์ ๋๋ค. DevSecOps๋ฅผ ๋์ ํจ์ผ๋ก์จ ๊ธฐ์ ์ ๋ ๋น ๋ฅด๊ณ ์์ ํ๋ฉฐ ์ง์ ๊ฐ๋ฅํ ๋ฐฉ์์ผ๋ก ์ํํธ์จ์ด๋ฅผ ๊ฐ๋ฐํ ์ ์์ต๋๋ค.

Thรดng tin chung vแป DevSecOps. Nguแปn: datascientest

Nguyรชn lรฝ hoแบกt ฤแปng cแปงa sแปฑ kแบฟt hแปฃp cรดng nghแป DevSecOps. Nguแปn: encrypted

Lแปฃi รญch cแปงa DevSecOps tแปi doanh nghiแปp. Nguแปn: opentext
4. ๊ธฐ์ ์ ๋์งํธ ์ ํ ์ฌ์ ์์์ DevSecOps ์ญํ
์ ์ธ๊ณ์ ์ผ๋ก ๋์งํธ ์ ํ์ด ๊ฐ์ํ๋จ์ ๋ฐ๋ผ, ๊ธฐ์ ์ ์์คํ ์ ๋น ๋ฅด๊ฒ ๊ฐ๋ฐยท์ด์ํ๋ ๊ฒ๋ฟ๋ง ์๋๋ผ ๋ณด์์ฑ, ํ์ฅ์ฑ, ์์ ์ฑ์ ๋์์ ํ๋ณดํด์ผ ํฉ๋๋ค.
์ด๋ DevSecOps๋ ๊ฐ๋ฐ ์๋์ ๋ณด์ ํ์ค, Agile์ ์ ์ฐ์ฑ๊ณผ ์ฅ๊ธฐ์ ์ธ ์ด์ ์์ ์ฑ ์ฌ์ด๋ฅผ ์ฐ๊ฒฐํ๋ ํต์ฌ ๋ค๋ฆฌ ์ญํ ์ ํฉ๋๋ค.
4.1. DevSecOps๊ฐ ์์คํ ๋์งํธํ์ ๊ธฐ์ฌํ๋ ๋ฐฉ์
๋์งํธ ์ ํ์ ๋จ์ํ ๋ฌธ์๋ฅผ ์ ์ฐํํ๋ ์์ค์ ๋์ด, ๊ธฐ์ ์ ํตํด ์กฐ์ง์ ์ด์ ๋ฐฉ์์ ์ฌ์ ์ํ๋ ๊ณผ์ ์ ๋๋ค.
์ด ๊ณผ์ ์์ DevSecOps๋ ๋ค์๊ณผ ๊ฐ์ ์ญํ ์ ์ํํฉ๋๋ค:
๋์งํธ ์๋ฃจ์ ์ ์ถ์ ๊ฐ์ํ: ์๋ํ๋ ๋ณด์ ํตํฉ ํ์ดํ๋ผ์ธ์ ํตํด ์๋ก์ด ๊ธฐ๋ฅ์ ๋ ๋น ๋ฅด๊ฒ ์์ฅ์ ๋ฐฐํฌ
๋์งํธ ํ๊ฒฝ ๋ด ๋ฐ์ดํฐ ๋ณดํธ ๊ฐํ: ํ ์คํธ๋ ์ฌ๊ณ ํ๊ฐ ์๋, ๊ฐ๋ฐ ๋จ๊ณ์์ ์ทจ์ฝ์ ์ ํ์ง ๋ฐ ํด๊ฒฐ
์ ์ง๋ณด์ ๋ฐ ํ ์คํธ ๋น์ฉ ์ต์ ํ: ์๋ํ๋ ๋ณด์ ํ ์คํธ์ ์ง์์ ๋ณด์ ๊ฒ์ฆ(Continuous Security Testing)์ ํตํด ํ๊ธฐ ์์ ๋น์ฉ ์ ๊ฐ
๊ฒฐ๊ณผ: ๊ธฐ์ ์ ๋์งํธ ์ ํ ์ฌ์ ์์ โ๋ ๋น ๋ฅด๊ฒโ ์์ง์ด๋ ๋์์, โ๋ ์์ ํ๊ณ ์์ ์ ์ผ๋กโ ์ฑ์ฅํ ์ ์์ต๋๋ค.
4.2. ํด๋ผ์ฐ๋ยท๋ง์ดํฌ๋ก์๋น์คยทAI ํ์ดํ๋ผ์ธ๊ณผ์ DevSecOps ํตํฉ
ํ๋์ ์์คํ ์ํคํ ์ฒ(Cloud-Native, Microservices, AI/ML Pipeline)์์ DevSecOps๋ ์ ๋ฐฉ์์ ์ธ ๋ณด์ ๋ณดํธ๋ฅผ ์ ๊ณตํฉ๋๋ค.
ํด๋ผ์ฐ๋ ํ๊ฒฝ:
DevSecOps๋ ์ธํ๋ผ ์์ค(IaC)๋ถํฐ ๋ฐ์ดํฐ ์ ์ฅ์๊น์ง ๋ณด์์ ๊ฐํํฉ๋๋ค. Terraform Scan, OPA(Open Policy Agent) ๋ฑ ๋๊ตฌ๋ฅผ ํ์ฉํด ์์คํ ํ๋ก๋น์ ๋ ์ ๋ณด์ ์ ์ฑ ๊ฒ์ฌ๋ฅผ ์๋ํํฉ๋๋ค.
๋ง์ดํฌ๋ก์๋น์ค ํ๊ฒฝ:
๊ฐ ๋ง์ดํฌ๋ก์๋น์ค๋ ๋ ๋ฆฝ๋ ์๋ช ์ฃผ๊ธฐ๋ฅผ ๊ฐ์ง๋ฏ๋ก, ๊ฐ๋ณ ์๋น์ค ๋จ์์ ๋ณด์์ด ๋งค์ฐ ์ค์ํฉ๋๋ค. DevSecOps๋ ๊ฐ ์๋น์ค๊ฐ ํ ์คํธยท๋ชจ๋ํฐ๋งยท๊ด๋ฆฌ๋๋ ๊ณผ์ ์ ์๋ํํ์ฌ ์ ์ฒด ์์คํ ์ ์์ ์ฑ์ ์ ์งํฉ๋๋ค.
AI/ML ํ์ดํ๋ผ์ธ:
AI ์ฝ๋ ์ญ์ ํ์ง๊ณผ ๋ณด์ ๊ฒ์ฆ์ด ํ์ํฉ๋๋ค. DevSecOps๋ ๋ฐ์ดํฐ ์ ๋ ฅ, AI ๋ชจ๋ธ ๊ฐ๋ฐ, ์ถ๋ก (Inference) ๋จ๊ณ ์ ๋ฐ์ ๋ณด์ ํ ์คํธ๋ฅผ ํตํฉํฉ๋๋ค โ ํนํ AI Agent ๋ฐ ๋๊ท๋ชจ ๋ถ์ ์์คํ ์ ํจ๊ณผ์ ์ ๋๋ค.
ํต์ฌ ๊ฐ์ : DevSecOps๋ ๋ถ์ฐ ์ํคํ ์ฒ์์๋ ๋์ ์ ๋ขฐ์ฑ๊ณผ ๋ณด์ ๊ท์ ์ค์๋ฅผ ์ ์งํ ์ ์๊ฒ ํฉ๋๋ค.
4.3. DevSecOps์ Agile, CI/CD์ ์ฐ๊ณ
DevSecOps๋ Agile ๋๋ CI/CD์ ๋ณ๊ฐ๊ฐ ์๋๋ผ, ์ด๋ฅผ ๋ณด์ํ๊ณ ๊ฐํํ๊ธฐ ์ํด ์ค๊ณ๋ ์ ๊ทผ ๋ฐฉ์์ ๋๋ค.
๊ตฌ๋ถ | Agile / CI/CD | DevSecOps |
---|---|---|
๋ฆด๋ฆฌ์ฆ ์๋ | ์ง์์ ๋ฐฐํฌ(๋งค ์คํ๋ฆฐํธ๋ง๋ค ์ถ์) | ๋ฆด๋ฆฌ์ฆ ์ฃผ๊ธฐ์ ๋๊ธฐํ๋ ์ง์์ ๋ณด์ ํ ์คํธ |
ํ ๊ตฌ์ฑ | Dev + QA + Ops | + Security๊ฐ ์ด๊ธฐ๋ถํฐ ์ฐธ์ฌ |
ํผ๋๋ฐฑ ๋ฃจํ | ์ฌ์ฉ์ ํผ๋๋ฐฑ ์ค์ฌ | ์๋ํ๋ฅผ ํตํ ์กฐ๊ธฐ ๋ณด์ ํผ๋๋ฐฑ |
์๋ํ ์์ญ | ๋น๋, ํ ์คํธ, ๋ฐฐํฌ | + ๋ชจ๋ ๋จ๊ณ์์ ์๋ ๋ณด์ ์ค์บ๋ ์ถ๊ฐ |
์ฆ, ์ด๋ฏธ Agile ๋๋ CI/CD๋ฅผ ๋์ ํ ์กฐ์ง์ด๋ผ๋ฉด, DevSecOps๋ ํ๋์ ๊ฐ๋ฐ ์๋ช ์ฃผ๊ธฐ๋ฅผ ์์ฑํ๋ ๋ค์ ๋จ๊ณ์ ๋๋ค โ ํนํ ๋ฉํฐ์ฑ๋ยทํด๋ผ์ฐ๋ ๊ธฐ๋ฐ ํ๊ฒฝ์์ ๋ณด์ ์๊ตฌ๊ฐ ์ฆ๊ฐํ๋ ์ง๊ธ, ํ์์ ์ ๋๋ค.

DevSecOps trong hร nh trรฌnh chuyแปn ฤแปi sแป cแปงa doanh nghiแปp. Nguแปn: bluewhaleapps

Cรกc case study รกp dแปฅng cรดng nghแป DevSecOps tแบกi BAP Software. Nguแปn: q3tech
6. ์ BAP Software์ ํจ๊ป DevSecOps๋ฅผ ์ ํํด์ผ ํ ๊น์?
DevSecOps๋ฅผ ์ฑ๊ณต์ ์ผ๋ก ๊ตฌํํ๊ธฐ ์ํด์๋ ๋จ์ํ ๊ฐ๋ ฅํ ๋๊ตฌ๋ง์ผ๋ก๋ ์ถฉ๋ถํ์ง ์์ต๋๋ค. ๋น์ฆ๋์ค ํ๋ก์ธ์ค, ์์คํ ์ํคํ ์ฒ, ๊ทธ๋ฆฌ๊ณ ๋ฌด์๋ณด๋ค ๋ณด์์ ์ค์ฌ์ผ๋ก ํ ํตํฉ์ ์ฌ๊ณ ๋ฐฉ์์ ๊ฐ์ถ ํํธ๋๊ฐ ํ์ํฉ๋๋ค.
BAP Software๋ 10๋ ์ด์์ ๊ธฐ์ ๊ฒฝํ์ ๋ฐํ์ผ๋ก ์ผ๋ณธ, ์ฑ๊ฐํฌ๋ฅด, ๋ฒ ํธ๋จ, ์ ๋ฝ์ ์ฃผ์ ๊ธฐ์ ๋ค๊ณผ ํ๋ ฅํ๋ฉฐ, ์ง์ ๊ฐ๋ฅํ๊ณ ์์ ํ DevSecOps ์ํ๊ณ๋ฅผ ๊ตฌ์ถํ๋ ์ ๋ขฐ๋ฐ๋ ํํธ๋๋ก ์๋ฆฌ์ก์์ต๋๋ค.
์ข ํฉ์ ์ธ ๊ธฐ์ ์ ๋ฌธ์ฑ
Cloud-Native DevSecOps ํตํฉ: Kubernetes, Docker, Serverless ์ํคํ ์ฒ, IaC ๊ธฐ๋ฐ์ AWS, Azure, GCP ํ๊ฒฝ ๊ตฌ์ถ ๊ฒฝํ ๋ณด์
๊ณ ๋ํ๋ CI/CD ํ์ดํ๋ผ์ธ ๊ฐ๋ฐ: GitLab CI/CD, Jenkins, ArgoCD๋ฅผ ๊ธฐ๋ฐ์ผ๋ก Snyk, Trivy, SonarQube ๋ฑ ์๋ ๋ณด์ ํ ์คํธ ๋๊ตฌ์ ์๋ฒฝํ ํตํฉ
์ ๋ฌธ ๋ณด์ ๋ฐ DevOps ์์ง๋์ด: ISO 27001, AWS Certified Security ์๊ฒฉ์ ๊ฐ์ถ ์ ๋ฌธ๊ฐ๋ค์ด ์ง์ ํ๋ก์ ํธ๋ฅผ ์ํ
๊ธ๋ก๋ฒ ํ๋ก์ ํธ ์ํ ๊ฒฝํ
์ผ๋ณธ ๋ฐ ์ฑ๊ฐํฌ๋ฅด ๊ณ ๊ฐ: APPI ๋ฐ PDPA ๊ท์ ์ ์ค์ํ๋ฉฐ, ์๊ฒฉํ ๋ณด์ ๋ฐ ์ด์ ๊ธฐ์ค ์ถฉ์กฑ
์ ๋ฝ ๊ณ ๊ฐ: GDPR ๋ฐ ์ ๊ธฐ์ ์ธ ๋ณด์ ๊ฐ์ฌ ์๊ฑด์ ์ถฉ์กฑํ์ฌ ํฌ๋ช ์ฑ๊ณผ ์ฑ ์์ฑ ๋ณด์ฅ
์ฐ์ ๋ณ ๋ง์ถค ์ญ๋: ๊ธ์ต, ์ ์กฐ, ํฌ์ค์ผ์ด, ๊ต์ก, ๋ฆฌํ ์ผ ๋ฑ ๋ค์ํ ์ฐ์ ๋ถ์ผ์์ ๊ฒ์ฆ๋ ์ฑ๊ณผ
์ฒ ํ: โ๋ณด์์ ๋น์ฉ์ด ์๋ ์ ๋ต์ด๋คโ
BAP Software๋ ์ฌ๊ณ ์ดํ์ ๋์์ด ์๋, ๋ณด์์ ๋์งํธ ์ ํ์ ํต์ฌ ์ ๋ต์ผ๋ก ์ธ์ํฉ๋๋ค.
Shift-left Security ์ ๊ทผ๋ฒ: ๊ฐ๋ฐ ์๋ช ์ฃผ๊ธฐ์ ์ด๊ธฐ ๋จ๊ณ๋ถํฐ ๋ณด์์ ๋ด์ฌํ
DevSecOps ๋ฌธํ ๊ตฌ์ถ: ํ ๊ต์ก ๋ฐ ๋ด๋ถ ํ๋ก์ธ์ค ํ์คํ
๋ง์ถคํ ์ ๋ต ์ปจ์คํ : ๊ธฐ์ ์ ๊ท๋ชจ์ ๋ด๋ถ ์ญ๋์ ๋ง์ถ ๋ณด์ ์ ๋ต ์ค๊ณ๋ก, ์ด๋ก ์ ์ธ ํ๋ ์์ํฌ์ ๋จ์ ๋ณต์ ๊ฐ ์๋ ์ค์ง์ ์คํ ์ค์ฌ์ ์๋ฃจ์ ์ ๊ณต

Cรกc lรฝ do nรชn chแปn BAP lร m ฤแปi tรกc triแปn khai DevSecOps trong doanh nghiแปp. Nguแปn: BAP Software
7. ๊ฒฐ๋ก
DevSecOps๋ ๋จ์ํ ์ํํธ์จ์ด ๊ฐ๋ฐ ๊ธฐ๋ฒ์ด ์๋๋ผ, ๋์งํธ ์๋๋ฅผ ์ํ ์ข ํฉ์ ์ธ ์์คํ ๋ณดํธ ์ ๋ต์ ๋๋ค. ์ฌ์ด๋ฒ ๊ณต๊ฒฉ์ด ์ ์ ๋ ์ ๊ตํด์ง๊ณ ๋ฐ์ดํฐ๊ฐ ๊ธฐ์ ์ ํต์ฌ ์์ฐ์ผ๋ก ๋ถ์ํจ์ ๋ฐ๋ผ, ๊ฐ๋ฐ ์ด๊ธฐ ๋จ๊ณ๋ถํฐ ๋ณด์์ ํตํฉํ๋ ๊ฒ์ ์ ํ์ด ์๋ ํ์๊ฐ ๋์์ต๋๋ค.
DevSecOps๋ ๊ธฐ์ ์ด ๋ค์๊ณผ ๊ฐ์ ๊ฐ์น๋ฅผ ์คํํ๋๋ก ๋์ต๋๋ค:
๋ณด์์ด ๋ด์ฌ๋ ์๋ํ ํ์ดํ๋ผ์ธ์ผ๋ก ์์ฅ ์ถ์ ์๋ ๊ฐ์ํ
์์คํ ์ํคํ ์ฒ ๋จ๊ณ์์๋ถํฐ ๋ณด์ ๋ฆฌ์คํฌ ์ฌ์ ์ฐจ๋จ
๊ณ ๊ฐ, ํํธ๋, ํฌ์์ ๊ฐ์ ์ ๋ขฐ ๊ฐํ
๊ตญ์ ๋ณด์ ํ์ค ์ค์ ๋ฐ ๊ธ๋ก๋ฒ ํ์ฅ ์ง์
BAP Software๋ ๊ธ์ต, ๊ธฐ์ , ์ ์กฐ, ํฌ์ค์ผ์ด ๋ฑ ๋ค์ํ ์ฐ์ ์์ DevSecOps๋ฅผ ์ฑ๊ณต์ ์ผ๋ก ๊ตฌํํ๋ฉฐ ๊ธฐ์ ์ ์์ฑ๋์ ์ ๋ต์ ๊ฐ์น๋ฅผ ๋์์ ์ ๊ณตํด์์ต๋๋ค.
๊ตญ์ ์ ์ ๋ฌธ ์ธ๋ ฅ๊ณผ ์ค๋ฌด ๊ฒฝํ์ ๊ธฐ๋ฐ์ผ๋ก, BAP๋ ์คํํธ์ ๋ถํฐ ๋๊ธฐ์ ๊น์ง ๊ฐ ๋น์ฆ๋์ค ๋ชจ๋ธ์ ์ต์ ํ๋ ๋ง์ถคํ DevSecOps ์๋ฃจ์ ์ ์ ๊ณตํฉ๋๋ค.
์ง๊ธ ๋ฐ๋ก BAP Software์ ์๋ดํ์ฌ, ํ์คํ๋๊ณ ์ ์ฐํ๋ฉฐ ์ฒ ์ ํ ๋ณด์์ด ๋ด์ฌ๋ DevSecOps ์์คํ ์ ๊ตฌ์ถํด๋ณด์ธ์.