- 전 세계 IT 전문가 1,000명이 답한 DevSecOps 현황 및 과제 분석

- 응답자 중 91%가 SW 개발 단계에 데브섹옵스(DevSecOps) 도입과 실행 작업이 안정적으로 정착

 

KMS테크놀로지는 애플리케이션 보안 분야의 글로벌 1위 선도기업인 시높시스(Synopsys)가 <2023 데브섹옵스(DevSecOps) 글로벌 현황 리포트(Global State of DevSecOps 2023)>를 발표했다고 밝혔다. 해당 리포트는 전세계 각지 1,000명 이상의 IT 전문가를 대상으로 한 센서스와이드(Censuswide)의 조사를 기반으로 소프트웨어 보안에 영향을 미치는 전략, 도구 및 기준 등에 관한 심층 분석 정보를 포함하고 있다.

2023 데브섹옵스(DevSecOps) 글로벌 현황 리포트 응답자 중 91%는 소프트웨어 개발 단계에 데브섹옵스(DevSecOps, IT 개발과 배포, 생산 및 운영, 관리에 이르기까지 전 과정에 보안을 통합) 도입과 실행 작업이 안정적으로 정착했다고 답했다. 이제 데브섹옵스 방법론 도입은 소프트웨어 개발의 일부로 확고히 자리 잡았다.

 

하지만 효과적인 데브섹옵스 방법의 구현은 현실적으로 많은 장애물에 계속해서 직면하고 있다.

 

그 중 데브섹옵스 구현이 어려운 2가지 주요 장애요인을 꼽았다. 첫 번째는 주요 취약점 찾아 해결하는데 소요되는 시간 단축이 필요하다는 문제였고, 두번째는 여러 애플리케이션 보안 테스트(AST) 도구로부터 얻은 분석 결과가 있지만, 담당자마다 다른 비즈니스 우선순위를 가지고 있기에 이를 모두 충족시키기 어렵다는 점이었다.

 

1. 취약점 대응 시간 단축의 필요성

응답자의 28%는 배포된 애플리케이션의 주요 보안 위험/취약점을 패치하는데 최대 3주가 걸린다고 답했으며, 20%는 최대 한달이 걸릴 수 있다고 답했다. 이러한 수치는 그 어느 때보다 빠르게 취약점이 악용되고 있다는 점에서 특히 우려스럽다고 답했다. 최근 연구에 따르면 보고된 취약점의 절반 이상이 공개 후 일주일 이내에 빠른 속도로 악용되고 있는 것으로 나타났기 때문이다.

 

2. 비즈니스 우선순위의 다양성

보고서의 서문에서 ‘데브섹옵스’라는 용어가 여러 분야를 포괄하며, 각 분야마다 고유 영역이 있다보니, 담당자가 맡고 있는 분야에 따라 '비즈니스 우선순위'가 다른 의미를 가질 수 있다고 보고 있다.

 

예를 들어, 비즈니스 리더들은 최우선적으로 AppSec 도구가 얼마나 효과적인지 파악하고, 팀 전체의 성과 및 성능에 대한 가시적인 효과를 원한다. 반면에 개발 및 운영 팀은 모든 문제에 대해 중앙 집중형으로 통합 보기를 원하고 있으며, 이를 통해 가장 중요한 보안 활동을 식별할 수 있다. 보안에 중점을 둔 사람들은 이러한 위험 요소를 제거하기 위해 중요한 문제를 신속하게 우선 순위를 빠르게 정하기를 원한다.

 

2023 데브섹옵스 글로벌 현황 리포트는 연동되지 않는 고립된 보안 도구, 과부화된 팀 업무, 취약점 해결에 오랜 시간이 소요됨에 따라 발생하는 문제점들을 해결하는 것이 성공적인 데브섹옵스 구축을 위한 근본적인 과제라고 지적했다. 여러 애플리케이션 보안 테스트 도구를 사용하는 다양한 데브섹옵스 팀이 있는 조직의 경우, ASPM(애플리케이션 보안 태세 관리) 솔루션을 사용하여 전체 애플리케이션의 취약점을 분석하고 통합 관리할 수 있어 이러한 문제를 효과적으로 해결할 수 있다.

 

시높시스의 ASPM 솔루션인 ‘소프트웨어 리스크 매니저(Software Risk Manager)’는 개발부터 배포까지 애플리케이션의 위험을 지속적으로 관리한다. 소프트웨어 리스크 매니저는 여러 소스에서 데이터를 수집한 다음 더 쉬운 해석, 분류, 해결을 위해 결과의 상관관계를 분석한다. 또한, 보안 도구의 관리 및 조정 계층 역할을 함으로써 보안 정책을 제어하고 시행할 수 있다. 그리고 애플리케이션 보안 결과에 대한 통합된 관점을 제공함으로써 소프트웨어 리스크 매니저는 전체 애플리케이션 또는 시스템 전반에 걸쳐 보안 및 위험 상태에 대한 포괄적인 가시성을 제공하여 성공적인 데브섹옵스 구축을 효과적으로 지원할 수 있다.

 

기업이 비즈니스 요구사항을 충족하면서 다른 데이터들과 연결되지 못하고 고립된 보안 도구간의 일관성을 확보하는데 어려움을 겪고 있다면, 애플리케이션 보안 태세 관리( Application Security Posture Management) 솔루션을 통해 효과적인 해결방법을 찾을 수 있다. 조직은 상황별 조정, 우선순위 지정을 자동화하는 ASPM 솔루션을 통해 다음과 같은 노력에 더 집중할 수 있다.

 

■ 개발 및 보안 테스트 도구, 운영 모니터링 도구와 통합하여 ASPM 솔루션은 조직 내 여러 보안 관련 정보를 하나의 통합된 보기를 제공한다.

 

■ 특정 애플리케이션과 취약점을 분석하는 여러 도구의 데이터를 상호 연관시키고 그룹화함으로써 ASPM 솔루션은 애플리케이션의 전반적인 보안 상태를 종합적으로 파악할 수 있다. 데브섹옵스 그룹은 각자의 역할 및 책임과 관련된 데이터를 생성할 수 있으며, ASPM 솔루션을 통해 현업 관리자와 더 넓은 관점을 필요로 하는 다른 사람들이 이해할 수 있는 방식으로 데이터를 볼 수 있다.

 

■ ASPM 솔루션을 사용하면 특정 애플리케이션과 취약점으로 인해 발생할 수 있는 특정 위험에 대한 보안 정책을 생성하고 적용할 수 있다. 개발 또는 운영과 통합된 경우 인프라를 통해 ASPM 솔루션은 해결이 필요한 보안 문제를 프로세스 초기에 가능한 한 빨리 식별할 수 있도록 지원한다.

 

가트너는 2021년 데이터를 사용하여 약 5%가 조사 대상 조직 중 ASPM솔루션을 채택했거나 ASOC(Application Security Orchestration and Correlation)을 채택했다고 밝혔다. 가트너는 향후 채택 속도가 빠르게 가속화될 것으로 예상하며, 이러한 예측은 2023년 설문 조사 결과에서 응답자의 28%가 ASOC/ASPM을 사용하고 있는 것으로 나타남으로써 확인되고 있다.

 

이번 리포트는 미국, 영국, 프랑스, 핀란드, 독일, 중국, 싱가포르, 일본 등의 IT 관리자 1,000여명이 응답했다. 이 리포트는 데브섹옵스의 채택 현황, 주요 보안 관행, 성공적인 데브섹옵스 적용을 위한 교차 기능 팀의 중요성, 보안 프로그램의 성능을 효과적으로 측정하는 방법, 그리고 향후 AI가 데브섹옵스에 가져올 수 있는 가능성과 위험성과 같은 주제를 다루고 있다.

 

시높시스의 공식 채널 파트너사인 KMS테크놀로지 최우영 부사장은 “데브섹옵스구축을 위해 많은 고객들이 다양한 노력을 기울이고 있지만, 다양한 보안 도구 사이에서 일관성을 확보하지 못하고, 수많은 요구 사항을 따르기 어려운 고객들이 많다”고 밝히고, “이번에 발표된 시높시스의 2023 데브섹옵스 리포트를 통해 고객들이 데브섹옵스와 관련된 문제 해결의 인사이트를 얻어갈 수 있길 바라며, 소프트웨어 리스크 매니저(Software Risk Manager)와 같은 ASPM 솔루션을 사용함으로써 개발부터 배포까지 일관성 있는 관리를 제공받게 되기를 기대한다”고 덧붙였다.

 

KMS테크놀로지는 Synopsys SIG그룹(Synopsys Software Integrity Group)의 파트너사로서 지난 9년간 협력하며 오픈소스 보안취약점 및 라이선스 점검 도구인 '블랙덕(Black Duck)', ‘커버리티('Coverity)’, ‘디펜직스(Defensics)'와 같이 세계적으로 독보적인 솔루션을 공급하고 지원하고 있다.

 

#KMS테크놀로지#시높시스#블랙덕#커버리티#디펜직스#데브섹옵스#ASPM