클라우드 네이티브 시대, 완벽한 DevSecOps를 위한 가이드

클라우드 네이티브 환경으로의 전환은 개발 속도를 획기적으로 높였지만, 그만큼 보안의 복잡성도 함께 증가시켰습니다. 마이크로서비스, 컨테이너, 쿠버네티스로 구성된 기술 스택 전반에 걸친 포괄적인 보안이 필수가 되었으며, 단순히 애플리케이션만을 보호하는 것을 넘어섭니다.

쿠버네티스 공식 문서에서는 클라우드 네이티브 보안을 4C(Cloud, Cluster, Container, Code) 관점에서 설명합니다. 이 중 클라우드 네이티브 환경의 가장 근간이 되는 Code(코드) 보안은 전체 보안 체계의 출발점입니다.

1. 보안을 개발 초기 단계로: DevSecOps와 Shift Left

기존의 DevOps는 개발과 운영의 협업을 강화하여 효율성을 높였지만, 이 과정에서 보안이 누락될 경우 심각한 문제가 발생합니다. DevSecOps(Development, Security, Operations)는 이러한 문제를 해결하기 위해 개발 및 운영 프로세스에 보안을 초기 단계부터 통합한 개념입니다.

DevSecOps의 핵심은 보안을 ‘쉬프트 레프트(Shift Left)’하는 것입니다. 보안 취약점을 개발후반부에 발견하면 수정에 막대한 시간과 비용이 소요되지만 , 개발 라이프사이클 전반에 걸쳐 보안을 책임짐으로써 더욱 안전한 애플리케이션을 빠르게 배포할 수 있도록 돕습니다.

DevSecOps는 소프트웨어 개발 생명주기(SDLC)의 6가지 핵심 요소에 보안을 통합합니다:

• – 계획(Planning): 위협 모델링 및 보안 요구사항 수립.
• – 빌드(Build): 소스 코드 분석 및 오픈소스 취약점 스캔.
• – 테스트(Test): 동적 보안 테스트를 통한 취약점 발견.
• – 배포(Deploy): 인프라 코드 및 컨테이너 이미지 보안 점검.
• – 운영(Operate): 배포된 인프라 및 애플리케이션의 실시간 위협 감지 및 대응.
• – 모니터링(Monitor): 지속적인 보안 상태 파악 및 로그 분석.

최근 SolarWinds, Log4j, XZ Utils 사태처럼 공급망 공격이 급격히 증가함에 따라 오픈소스 검증, DevSecOps 자동화, SBOM(Software Bill of Materials) 관리 등 공급망 보안 강화는 이제 필수적인 시대가 되었습니다.

2. 강력한 DevSecOps 구현을 위한 핵심 솔루션

이러한 DevSecOps를 효과적으로 구현하기 위해서는 전문 솔루션의 유기적인 결합이 필요합니다.

1) Accordion (아코디언)

맨텍솔루션의 아코디언은 단일 플랫폼에서 멀티 클라우드 및 멀티 클러스터 환경을 통합적으로 관리하는 솔루션입니다. 복잡한 인프라 관리의 고민을 덜어주며, 자동확장, 통합 모니터링, 강력한 보안 기능을 제공하여 시스템 안정성을 확보합니다. 특히, 데브섹옵스를 실현하는 자동화된 CI/CD 파이프라인 구축을 지원하여 개발 생산성을 획기적으로 향상시킵니다.

2) Sonatype (소나타입)

Sonatype은 오픈소스 소프트웨어 관리 및 소프트웨어 공급망 보안 분야의 글로벌 리더입니다. 20년 이상 축적된 방대한 오픈소스 데이터와 고유의 AI 분석 기술을 바탕으로 성장했으며, 전 세계에서 알려진 오픈소스 악성 패키지의 90% 이상을 검출합니다. 기업이 사용하는 오픈소스 컴포넌트의 취약점을 자동으로 식별하고 관리하여 보안 리스크를 획기적으로 줄여줍니다.