블로그

속도 대 보안: 현대 비즈니스의 속도에 맞춰 현대 앱과 API 보호

도르 자카이 썸네일
도르 자카이
2021년 2월 19일 게시

현대 비즈니스의 속도는 애플리케이션을 개발하는 방식과 애플리케이션을 보호하는 방식 사이에 갈등을 빚고 있습니다. 최신 인프라와 애플리케이션을 활용함으로써 기업은 더욱 효과적으로 경쟁하고 더 빠르게 적응할 수 있습니다. 하지만 보안을 위협할 수도 있습니다.

모놀리식 앱에서 마이크로서비스로

오늘날 98%의 기업이 비즈니스를 운영하거나 지원하기 위해 애플리케이션에 의존하고 있습니다 . NGINX 오픈소스 커뮤니티에 대한 최근 설문 조사 에 따르면 마이크로서비스로 구축된 앱의 수가 2019년 40%에서 2020년 60%로 늘어났으며, 54%의 기업이 일부 또는 모든 앱에서 마이크로서비스를 사용하고 있습니다. 2022년까지 모든 신규 앱의 90%가 마이크로서비스 아키텍처를 적용할 것으로 예상됩니다. 이러한 추세는 기업에 있어서 현대적 애플리케이션의 중요성을 강조할 뿐만 아니라, 이를 배포할 때 속도와 민첩성을 달성하는 것이 얼마나 중요한지를 보여줍니다. 

점점 더 많은 조직이 기존의 모놀리식 앱에서 클라우드 기반 기술로 마이그레이션하고 DevOps 원칙을 구현하는 방향으로 움직이고 있을 가능성이 큽니다. 그럴 만한 이유가 있습니다.

고객, 파트너, 직원은 기술 중심 서비스에 더 많은 것을 요구할 뿐만 아니라 기대하기도 합니다. 시장은 기업이 적응할 때까지 기다리지 않습니다. 그들은 그저 잊어버립니다.

이러한 이유로 기업은 자사 애플리케이션이 최상의 경험을 제공할 수 있도록 조치를 취해야 합니다. 하지만 이러한 경험을 제공하려면 애플리케이션 개발에 대한 다른 접근 방식이 필요합니다. 이는 기업이 경쟁력을 유지하는 데 필요한 유연성을 제공하는 더 빠르고 반복적인 접근 방식을 요구합니다.

DevOps, 마이크로서비스, 컨테이너는 모두 이러한 많은 수요가 있는 애플리케이션 민첩성을 제공하는 데 도움이 되며, 현대적인 제공 방법을 위해 기존 접근 방식을 개편합니다. 하지만 앱을 보호하는 것과 같은 다른 주요 고려 사항은 어떨까요? 보안 정책이 이러한 속도에 대처할 수 있을까요?

침해에 맞서는 전투의 새로운 최전선

해커들은 하루 평균 2,244건의 공격을 감행한다. 39초에 한 개꼴입니다. 그리고 단 한 번의 성공적인 악의적 행위만으로도 회사의 재정적, 평판적 피해를 입히거나, 심지어 회사를 완전히 파괴하는 데 필요한 모든 것입니다. 엄청난 일처럼 들릴지 모르지만, 오늘날 기업이 직면하고 있는 어려움은 이렇습니다. 2020년 데이터 침해로 인한 평균 비용은 회사당 386만 달러에 달했습니다. 그리고 평균적으로 조직의 포트폴리오에 있는 앱 중 단지 5%만이 적절하게 보호되는 경향이 있습니다.

더욱 우려되는 것은 공격이 훨씬 더 정교하고 범위가 넓다는 것입니다. 해커는 더 이상 코드만을 공격하지 않습니다. 웹 애플리케이션에 대한 공격의 40%가 API를 통해 발생하며, 2021년에는 이 수치가 90%로 증가 할 것으로 예상됩니다. 현대적 환경에서는 더 높은 수준의 보안만으로는 필요한 보호 기능을 제공할 수 없습니다. 보안 취약점이 쉽게 발견될 수 있는 더 빠르고 빈번한 출시 주기와 더불어 위협 수준의 증가가 더해지면, 이는 곧 재앙으로 이어질 수 있습니다.

보안 요구 사항과 전송 속도의 균형

어떤 조직도 민첩성을 제한하거나 혁신을 제약하고 싶어하지 않습니다. 마찬가지로, 기업들은 자사 데이터나 고객 데이터를 위험에 빠뜨리고 싶어하지 않습니다. 그럼에도 불구하고 현대 기업의 요구가 증가하고, 경쟁 우위를 유지하기 위해 현대적인 애플리케이션 개발이 필요함에 따라 기업은 둘 중 하나를 선택해야만 합니다. 시장에 빠르게 진출하면 잠재적으로 노출될 가능성이 있고, 아니면 천천히 안전하게 운영해야 합니다. 이렇게 되어서는 안 됩니다.

예전에는 릴리스의 마지막 단계에서 보안 정책을 적용했지만, 요즘은 배포 속도가 너무 빨라서 사실상 불가능해졌습니다. 보안 전문가 1명당 소프트웨어 개발자가 약 500명인 점을 고려하면 앱 보호에 유리한 확률은 그렇게 높지 않습니다.

따라서 애플리케이션 아키텍처와 인프라 전반에 걸쳐 견고하고 일관된 보안을 제공하는 능력이 저하되며, 비난은 어느 누구에게도 돌아가지 않습니다. 기업 리더는 보안의 중요성을 잘 알고 있지만, 앱을 신속하게 시장에 출시해야 할 필요성도 알고 있습니다. DevOps 팀은 종종 SecOps로 인해 배포 속도가 느려지는 것을 싫어합니다. 한편, SecOps는 DevOps가 제공하는 보안 제어의 부족을 자주 불평합니다. 실제로, 기술 전문가의 48%는 보안을 소프트웨어를 신속하게 제공하는 데 있어 큰 장애물로 봅니다.

보안의 단순성을 추구하다

기업이 혁신을 추진하고 민첩성을 유지하려면 DevOps 자동화의 효과성과 '한 번 빌드하면 어디서나 실행'이라는 단순성이 중요하다는 것은 분명합니다. '한 번 구축하면 어디에나 적용 가능' 접근 방식을 보안 정책에 적용할 수 있다면 어떨까요? 민첩하고 안전한 방식으로 전진하기 위해 기업은 개발 마지막에 보안을 적용하거나 추가 기능으로 수정하려고 시도하는 것이 아니라 애플리케이션 수명 주기 전반에 보안을 통합할 방법을 찾아야 합니다. 보안과 앱 개발은 단순히 공존하는 것이 아니라 하나가 되어야 합니다.

두 세계의 최고

그렇다면 DevSecOps의 유토피아를 달성할 수 있는 방법이 있을까요? SecOps 애플리케이션 보안 정책을 DevOps에 아무런 마찰 없이 구현할 수 있다면 보호 및 릴리스 속도에 어떤 의미가 있을까요?

가장 먼저 필요한 변화는 사고방식입니다. 현대적인 애플리케이션 개발 환경에서는 구식 사고방식을 고수할 수 없습니다. 모든 당사자는 앱 보안이라는 개념을 받아들여야지, 극복해야 할 장애물로 여겨서는 안 됩니다. 모든 팀은 동일한 방향으로 나아가면서, 빠르게 안전하고 고품질의 애플리케이션을 제공한다는 공통의 목표를 향해 노력해야 합니다.

통합 보안은 개발 프로세스의 표준이 되어야 합니다 . 이를 위해 필요한 속도는 여러 가지 방법으로 제공할 수 있는데, 그 중 가장 중요한 것은 정책 자동화입니다. 또한 '체크박스' 웹 애플리케이션 방화벽의 한계를 극복하는 가벼운 보안 솔루션이 필요합니다. 웹 애플리케이션, 마이크로서비스, 컨테이너 및 API에 대한 일관된 제어를 통해 고성능, 확장 가능한 보안을 제공함으로써 현대 DevOps 환경이 직면한 실제 보안 문제를 해결해야 합니다. 이 솔루션은 거짓 양성 판정을 덜 발생시키고, 가장 중요한 점은 다른 솔루션보다 더 빨라야 한다는 것입니다. 이러한 솔루션은 CI/CD 친화적이어야 하며, 승인된 보안 제어를 중앙에서 관리하고 자동화하여 워크플로 병목 현상을 제거하고 '시프트 레프트' 개발 이니셔티브를 지원해야 합니다. 또한 경험이 풍부한 조직의 지원을 받아야 하며 성과를 최적화하는 동시에 가시성을 향상시켜야 합니다.

위의 목표를 달성할 수 있다면 DevOps와 SecOps 간의 갈등이 제거되고, 신속한 배포와 보안 간의 갈등은 잊혀진 문제가 될 것입니다. 올바른 도구와 진정한 협업 적 개발 문화를 결합하면 현대적 앱 개발 속도에 맞춰 강력하고 일관된 보호 기능을 제공하는 것이 그 어느 때보다 가능해졌습니다.