DevSecOps의 어려움: DevSecCon Singapore 2019의 주요 내용

보안 문화 변화

"우리 보안 전문가는 개발자를 손가락질하는 것이 아니라 기술자가 되려고 노력해야 합니다."

"저는 보안팀이 프로세스 자동화에 능숙하지 않다고 생각합니다. 그들은 수동 프로세스를 기본적으로 사용하는 경향이 있습니다."

"보안팀은 개발팀과 관계를 구축하는 것부터 시작하는 것이 좋습니다."

이 세 가지 의견은 보안 전문가가 개발팀에 참여할 수 있고 참여해야 한다는 것을 시사합니다. 보안팀이 공유한 어려움은 동전의 다른 면이라고 말하고 싶습니다. 보안 직원은 DevOps 프로젝트를 더 잘 옹호할 수 있는 방법을 알고 싶어합니다. 그들은 개발을 방해하는 요소가 되어서는 안 되며 DevOps에 사용되는 일부 툴체인이나 프로세스를 구현해야 한다는 사실도 알고 있습니다. 이것이 바로 "왼쪽으로 이동"이라는 아이디어가 RSA 컨퍼런스 SFO 2019에서도 큰 화제였던 이유이며, 이번 행사에서 널리 언급된 이유입니다. 보안 전문가가 자신의 가치를 높이고 싶어할 뿐만 아니라, 디지털 비즈니스 시대에 적응할 수 있는 유일한 방법으로 여기기 때문에 이는 필요합니다.

재능

"조직은 보안 인력을 고용하는 것을 잊는 반면, 더 많은 개발자를 고용하는 경향이 있습니다. 결과적으로 보안팀 확장이 문제가 됩니다."

"애플리케이션 보안 인력 부족이 근본 원인입니다. 앱 보안 직책에 지원하는 사람 대부분은 네트워크 보안 인력입니다."

또 다른 문제로는 자원과 인재의 부족이 지적되었습니다. 이러한 의견에서 알 수 있듯이, 애플리케이션 보안 직책은 채우기 쉽지 않습니다. 보안팀은 확장하는 데 어려움을 겪는 반면, 조직은 비즈니스 요구 사항을 충족하기 위한 개발 가속화에 집중합니다. 물론 툴체인과 자동화는 보안 팀의 작업을 확장 가능하고 빠르게 만들어 이러한 격차를 메워야 합니다. 저는 그것이 단지 첫 단계일 뿐이라고 생각했습니다. 장기적으로 보면 DevOps와 보안 업무는 모두 단순화되어야 하며, 이를 통해 DevOps와 보안 인력이 두 역할을 모두 수행할 수 있게 됩니다.

***

이 공간의 문화는 바꾸기 쉽지 않지만, 바뀌어야 한다는 사실은 누구나 알고 있습니다. 보안팀과 개발팀의 발표자들이 공통적인 주제, 어려움, 그리고 제안 사항을 가지고 있는 것을 보는 것은 흥미로웠습니다. 공유된 아이디어는 개발자와 보안 담당자가 동일한 목표를 가지고 하나의 팀으로 연합하는 방식입니다. 좋은 소식은 많은 툴체인 공급업체와 솔루션 공급업체가 이제 이 단순화된 접근 방식에 집중하고 있다는 것입니다. 이는 소프트웨어 엔지니어링 기술과 보안 솔루션의 일종의 민주화입니다. 그래서 우리는 모두 이 방향으로 움직이고 있습니다.