아이엔소프트 송창학 본부장 "자동화·보안 통합으로

아이엔소프트 송창학 본부장 "자동화·보안 통합으로 클라우드 네이티브 전환 가속"보안은 더 이상 개발과 운영의 마지막 단계에서 확인하는 일이 아닙니다. 이제는 코드를 쓰는 순간부터, 외부 라이브러리를 불러오는 그 첫 단계부터 보안이 시작돼야 합니다."아이엔소프트 송창학 본부장25일 아이엔소프트의 송창학 본부장은 오픈클라우드플랫폼얼라이언스(OPA)에서 개최한 세미나에서 '클라우드 네이티브 시대의 데브섹옵스 혁신: 자동화와 지속적 배포 전략'을 주제로 이같이 강조했다.송 본부장은 단순히 배포 파이프라인의 보안을 강화하는 것만으로는 부족하다며 데브옵스(DevOps)를 넘어선 데브섹옵스(DevSecOps)의 필요성을 제기했다. 보안이 개발, 배포, 운영 등 전체 라이프사이클에 자연스럽게 녹아 들어야 한다는 것이다.그는 데브섹옵스의 출발점을 '시프트 레프트 보안(Shift-left Security)'이라고 규정했다. 이는 보안 점검 시점을 배포 직전이 아니라 코드를 작성하고 라이브러리를 선택하는 시점으로 앞당기자는 개념이다.송 본부장은 개발 단계에서부터 보안을 적용하는 구체적인 방법도 소개했다. 개발자가 코드를 작성하는 통합개발환경(IDE)에 정적 분석 도구를 설치해, 보안 취약점을 실시간으로 점검할 수 있도록 해야 한다고 강조했다.또한, 외부에서 가져오는 오픈소스 라이브러리의 경우, 그 안에 숨겨진 악성 코드나 취약점이 포함돼 있을 수 있기 때문에, 프록시 서버를 통해 사전에 걸러내는 시스템을 갖춰야 한다고 설명했다. 초기 단계부터 위험 요소를 차단하면 운영 단계에서 발생할 수 있는 보안 사고를 미리 예방할 수 있다는 것이다.그는 상용 보안 솔루션인 소나타입(Sonatype)의 '파이어월(Firewall)'을 예시로 들며, 취약한 라이브러리가 조직 내로 유입되는 것을 사전에 차단하는 구조의 중요성을 강조했다.데브섹옵스에서 핵심 축을 담당하는 자동화 기술로는 지속적 통합·지속적 배포(CI/CD)를 꼽힌다.클라우드 네이티브 시대의 데브섹옵스 혁신: 자동화와 지속적 배포 전략(이미지=아이엔소프트)송 본부장은 "CI/CD를 통해 빠르고 일관된 소프트웨어 배포가 가능할 뿐 아니라 파이프라인 내부에 보안 테스트를 녹여 넣음으로써 실시간 보안 품질 유지가 가능하다"고 설명했다. 특히 고객사의 환경에 따라 CI와 CD 도구를 유연하게 구성해야 한다는 점을 강조하며, 프로젝트마다 요구사항이 달라지는 만큼 다양한 도구의 최적 조합이 필요하다고 말했다.이를 활용한 실제사례로 아이엔소프트가 수행한 K문고, H홈쇼핑 등 대형 유통 고객사의 도입 성과를 소개했다. 해당 프로아이엔소프트 송창학 본부장 "자동화·보안 통합으로 클라우드 네이티브 전환 가속"보안은 더 이상 개발과 운영의 마지막 단계에서 확인하는 일이 아닙니다. 이제는 코드를 쓰는 순간부터, 외부 라이브러리를 불러오는 그 첫 단계부터 보안이 시작돼야 합니다."아이엔소프트 송창학 본부장25일 아이엔소프트의 송창학 본부장은 오픈클라우드플랫폼얼라이언스(OPA)에서 개최한 세미나에서 '클라우드 네이티브 시대의 데브섹옵스 혁신: 자동화와 지속적 배포 전략'을 주제로 이같이 강조했다.송 본부장은 단순히 배포 파이프라인의 보안을 강화하는 것만으로는 부족하다며 데브옵스(DevOps)를 넘어선 데브섹옵스(DevSecOps)의 필요성을 제기했다. 보안이 개발, 배포, 운영 등 전체 라이프사이클에 자연스럽게 녹아 들어야 한다는 것이다.그는 데브섹옵스의 출발점을 '시프트 레프트 보안(Shift-left Security)'이라고 규정했다. 이는 보안 점검 시점을 배포 직전이 아니라 코드를 작성하고 라이브러리를 선택하는 시점으로 앞당기자는 개념이다.송 본부장은 개발 단계에서부터 보안을 적용하는 구체적인 방법도 소개했다. 개발자가 코드를 작성하는 통합개발환경(IDE)에 정적 분석 도구를 설치해, 보안 취약점을 실시간으로 점검할 수 있도록 해야 한다고 강조했다.또한, 외부에서 가져오는 오픈소스 라이브러리의 경우, 그 안에 숨겨진 악성 코드나 취약점이 포함돼 있을 수 있기 때문에, 프록시 서버를 통해 사전에 걸러내는 시스템을 갖춰야 한다고 설명했다. 초기 단계부터 위험 요소를 차단하면 운영 단계에서 발생할 수 있는 보안 사고를 미리 예방할 수 있다는 것이다.그는 상용 보안 솔루션인 소나타입(Sonatype)의 '파이어월(Firewall)'을 예시로 들며, 취약한 라이브러리가 조직 내로 유입되는 것을 사전에 차단하는 구조의 중요성을 강조했다.데브섹옵스에서 핵심 축을 담당하는 자동화 기술로는 지속적 통합·지속적 배포(CI/CD)를 꼽힌다.클라우드 네이티브 시대의 데브섹옵스 혁신: 자동화와 지속적 배포 전략(이미지=아이엔소프트)송 본부장은 "CI/CD를 통해 빠르고 일관된 소프트웨어 배포가 가능할 뿐 아니라 파이프라인 내부에 보안 테스트를 녹여 넣음으로써 실시간 보안 품질 유지가 가능하다"고 설명했다. 특히 고객사의 환경에 따라 CI와 CD 도구를 유연하게 구성해야 한다는 점을 강조하며, 프로젝트마다 요구사항이 달라지는 만큼 다양한 도구의 최적 조합이 필요하다고 말했다.이를 활용한 실제사례로 아이엔소프트가 수행한 K문고,