상명대학교 / 서광규 교수


 

 

데브옵스(DevOps)는 소프트웨어 개발(Development) 조직과 운영(Operations) 조직이 상호 의존적이어야 하며, 소프트웨어 제품과 서비스를 빠른 시간에 개발하고 배포해야 함을 목적으로 생겨났는데, 이는 개발자와 운영자 간에 서로 소통하고 협업하는 환경과 문화를 만드는 것을 의미한다. 일반적으로 운영 서비스는 클라우드 환경으로 제공하더라도 개발 환경과 개발 관리 서버는 온 프레미스 환경에 존재하는 경우가 대부분이다. 즉, 내부 개발 환경에서 소스코드에 대한 형상을 관리하고, 빌드 및 배포까지를 수행한 후 인터넷망을 통해 최종 운영 소스를 클라우드 환경으로 업로드되는 것이 일반적이다. 이러한 환경이나 아키텍처라면 크게 두 가지 보안 고려사항이 존재하는데, 첫째, 최종 배포 파일을 클라우드 환경으로 배포하기 위한 인터넷 통신 구간에 위협요소는 없는 것인가와 둘째 소스코드 관리하고 빌드, 배포하는 내부 온프레미스 환경과 클라우드 환경에 보안 취약점이 없고, 주요 소스코드 파일이 안전하게 보관되고 있는가를 고려한다.

최근 국내외적으로 해킹 위협과 보안사고 등이 정보 유출의 사고가 급증하고 있다. 이러한 이슈에 대응하기 위해 개발/운영 초기 단계부터 보안성 향상이 가미된 데브섹옵스(DevSecOps) 개념을 도입하고 있다(그림 1 참조). 즉, 개발(Development)과 운영(Operations)이 통합된 DevOps에 보안(Security) 중요성이 커지면서 개발/운영 업무에 항상 보안 요소를 고려할 것을 강조하는 것이다. 즉, 데브섹옵스(DevSecOps)란 개발(Development) + 보안(Security) + 운영(Operation)의 합성어로, 데브옵스(DevOps)라 불리는 소프트웨어 개발/운영 방식에 보안의 측면을 통합하여 소프트웨어의 안정성과 보안성을 동시에 강화하는 접근법을 말한다.


[그림1.DevSecOps(데브섹옵스) 개념도]


 

기존 온 프레미스와 클라우드 간 이원화된 환경 속에서 지속적인 소스코드 통합(CI ; Continuous Integration)과 지속적인 배포 작업(CD ; Continuous Deployment) 수동화, 인터넷망을 통한 운영 소스코드 위협 가능성, 소스코드의 불안전한 버전 관리 등 보안 우려가 발생하는데 클라우드 환경에서 강화된 보안성과 자동화 개념이 포함된 개념이 DevSecOps의 코드 개발부터 소스코드 형상관리, 빌드, 배포까지 자동화된 파이프라인을 적용하고, 안전한 스토리지 복제본 저장과 암호화된 전용망으로 소스코드를 전달해 주는 서비스를 활용하는 것으로 이는 이미 특정 기능을 수행하는 보안 요소가 적용된 클라우드의 자체적인 서비스를 사용하는 것을 의미한다.

 


[그림2. DevSecOps 환경의 구조 : 자동 배포 프로세스 아키텍처와 보안]


 

그림 2에서 DevSecOps 환경의 구조에서 아키텍처 사례는 개발자와 운영자는 단순히 코드 개발과 테스트만 할 뿐, 그 외 소스코드 통합, 버전 관리, 빌드, 배포 등 일련의 과정은 클라우드 서비스가 자동으로 수행해 준다. 이는 개발자가 직접 개입하지 않아도 보안성 요소가 적용되어 있어 DevSecOps 체계를 충분히 실현할 수 있게 된다.

 

본 고에서는 클라우드 보안을 강화하기 위해 DevSecOps 프레임워크에 인공 지능(AI) 전략을 통합하는 방법에 대하여 기술하기로 하는데 AI와 DevSecOps 간의 인공 지능 기술을 결합하면 보안을 개선할 수 있는 방법과 확장성, 해석 가능성 및 적응성을 포함한 요소를 고려하여 DevSecOps 워크플로에 AI를 구현하는 것과 관련된 이슈들을 포함한다.

 



 

1. DevSecOps와 클라우드 보안에서의 중요성

클라우드 컴퓨팅이 주류가 되면서 소프트웨어 개발 및 IT 운영에 대한 기존 기술이 재정의되고 있다. DevOps 절차에 보안 관행을 통합하는 방법론인 DevSecOps는 기업이 클라우드 기반 시스템에 보안과 안정성을 내장하려고 시도하면서 각광을 받고 있다. DevSecOps는 개발, 보안 및 운영 그룹 간의 협업과 공동 책임으로의 문화적 변화를 나타내며, 소프트웨어 개발 라이프사이클의 어느 단계에서 보안을 통합하려는 의도를 가지고 있다. DevSecOps를 도입함으로써 조직은 보안 문제를 사전에 해결하고 취약성을 줄이며 강력한 클라우드 솔루션을 제공할 수 있다.

 

클라우드 보안의 맥락에서 DevSecOps는 보안 기능이 사후에 고려되지 않고 개발 및 배포 파이프라인에 원활하게 통합되도록 하는 데 중요한 기능을 수행한다. 이 접근 방식은 보안 관행을 자동화하고, 일상적인 보안 테스트를 실시하고, 조직 내에서 보안을 우선시하는 사고방식을 육성하는 것의 중요성을 강조한다. DevOps 워크플로에 보안을 통합함으로써 회사는 개발 주기 초기에 보안 문제를 식별하고 관리하여 보안 침해 위험을 줄이고 클라우드 기반 애플리케이션과 인프라의 무결성을 보장할 수 있다.

 

DevSecOps의 채택은 클라우드 환경에서 소프트웨어 프로그램 제공 및 배포의 빠른 속도를 가능하게 하는 보안 개발 파이프라인의 도움으로 추진된다. 회사가 마이크로 서비스와 컨테이너를 사용하여 클라우드 네이티브 아키텍처로 전환함에 따라 클라우드 인프라 전반에서 보안을 관리하는 복잡성이 증가한다. DevSecOps는 보안 제어, 규정 준수 검사 및 기회 관리를 지속적인 제공 파이프라인에 통합하기 위한 프레임워크를 제공하여 그룹이 속도와 보안을 타협하지 않고 균형을 이룰 수 있도록 한다.

 



 

2. 클라우드 보안에서 AI의 중요성

클라우드 보안에서 인공 지능(AI)의 중요성은 매우 크다. 클라우드 환경에서 데이터, 애플리케이션 및 인프라를 보호하는 것과 관련된 진화하고 복잡한 과제를 해결하기 때문이다. 클라우드 보안에서 AI의 중요성을 강조하는 몇 가지 주요 측면은 다음과 같다.

 

1) 고급 위협 탐지

- 중요성: AI 기반 알고리즘은 방대한 데이터 세트를 실시간으로 분석하는 데 탁월하여 정교하고 진화하는 보안 위협의 탐지를 향상시킨다.

- 영향: 조직은 잠재적인 보안 사고를 보다 신속하게 식별하고 대응하여 사이버 공격의 영향을 최소화할 수 있다.

 

2) 행동 분석 및 이상 탐지

- 중요성: AI는 사용자 및 시스템에 대한 행동 분석을 가능하게 하여 무단 액세스 또는 악의적인 활동을 나타낼 수 있는 이상을 탐지한다.

- 영향: 정상적인 동작과의 편차를 식별하는 기능은 위협 탐지의 정확도를 높이고 거짓 양성을 줄인다.

 

3) 자동화된 취약성 관리

- 중요성: AI는 취약성의 식별 및 수정을 자동화하여 발견과 완화 사이의 시간을 줄인다.

- 영향: 조직은 잠재적 위협에 대해 사전 예방적 입장을 유지하고 취약성이 악용되기 전에 이를 해결할 수 있다.

 

4) 위협에 대한 동적 적응성

- 중요성: AI 시스템은 변화하는 사이버 위협에 대응하여 적응하고 진화하여 동적 방어 메커니즘을 제공할 수 있다.

- 영향: 이러한 적응성은 진화하는 위협에 직면하여 보안 조치가 적절하고 효과적이도록 하는 데 매우 중요하다.

 

5) 효율적인 사고 대응

- 중요성: AI는 보안 사고의 식별, 격리 및 완화를 자동화하여 사고 대응을 간소화한다.

- 영향: 더 빠른 대응 시간은 보안 사고 기간을 줄여 잠재적 손상과 데이터 노출을 최소화한다.

 

6) 사용자 및 엔터티 동작 분석(UEBA)

- 중요성: AI 기반 UEBA 시스템은 사용자 동작 패턴을 분석하여 이상 및 잠재적인 내부 위협을 감지한다.

- 영향: 조직은 내부 위협을 사전에 해결하여 민감한 데이터와 중요한 시스템을 보호할 수 있다.

 

7) 보안 운영의 지능형 자동화

- 중요성: AI는 일상적인 보안 작업을 자동화하여 보안 팀이 사이버 보안의 전략적 측면에 집중할 수 있도록 한다.

- 영향: 보안 운영의 효율성이 향상되면 리소스 할당이 개선되고 보다 사전 예방적인 보안 태세가 구축된다.

 

8) 확장성 및 실시간 모니터링

- 중요성: 클라우드 환경은 종종 빠르게 확장되고 AI는 대규모 데이터 세트와 실시간 모니터링을 효율적으로 처리할 수 있다.

- 영향: AI를 활용하는 클라우드 보안 솔루션은 클라우드 인프라의 동적 특성에 맞게 확장하여 지속적인 보호를 제공할 수 있다.

 

9) 개인정보 보호 AI 기술

- 중요성: AI 발전에는 개인 개인정보를 침해하지 않고 안전한 데이터 분석을 허용하는 개인정보 보호 기술이 포함된다.

- 영향: 조직은 데이터 개인정보 보호 규정을 위반하거나 사용자 기밀성을 침해하지 않고 보안 분석을 위해 AI를 활용할 수 있다.

 

10) 규정 준수 및 정책 준수

- 중요성: AI는 규정 준수 검사를 자동화하여 보안 제어가 규정 요구 사항 및 조직 정책과 일치하도록 하는 데 도움이 될 수 있다.

- 영향: 조직은 규정 준수 표준을 준수하여 법적 및 규제적 결과의 위험을 줄일 수 있다.

 

클라우드 보안에서 AI의 중요성은 위협 ??탐지를 향상하고, 보안 운영을 자동화하고, 적응적이고 확장 가능한 보호 메커니즘을 제공할 수 있는 잠재력에 있다. 사이버 보안 환경이 지속적으로 준수됨에 따라 AI를 클라우드 보안 관행에 통합하는 것은 가상 자산과 민감한 정보를 보호하려는 기업에 점점 더 중요해질 것이다.

 

본 고에서는 특히 DevSecOps 프레임워크 내에 AI 기반 기술을 통합하는 맥락에서 클라우드 보안 관행의 전문성과 발전에 기여하는 몇 가지 중요한 성과에 대하여 기술하고자 한다. 이 글은 강력한 클라우드 보안을 위해 DevSecOps에 AI를 통합하는 것에 대한 전체적인 정보를 제공하고, 클라우드 환경에서 보안 관행의 지속적인 개발에 기여하는 현실적인 통찰력, 솔루션 및 전략적 포인터를 제시하고자 한다.

 



 

3. 선행 연구 및 문헌 리뷰

3-1. DevSecOps 개요

DevSecOps는 전술한 바와 같이 개발, 보안 및 운영의 약자로, 보안 관행을 데브옵스(DevOps) 라이프사이클에 원활하게 통합하는 소프트웨어 개발에 대한 혁신적인 접근 방식이다. 이는 문화적 및 운영적 변화를 나타내며, 전체 소프트웨어 개발 프로세스에서 개발, 보안 및 운영 팀 간의 협업과 커뮤니케이션을 촉진한다. 주요 목표는 초기 설계 단계부터 프로덕션 배포까지 보안 고려 사항을 통합하여 안전하고 회복성 있는 소프트웨어 인프라를 구축하는 것이다.

 

3-2. DevSecOps의 주요 구성 요소

- 지속적 통합(CI): CI는 코드 변경 사항을 하루에 여러 번 공유 저장소에 자동으로 빌드, 테스트 및 통합하는 것을 포함한다. 보안 검사는 CI 프로세스에 통합되어 개발 수명 주기 초기에 취약점을 식별한다.

- 지속적 배포(CD): CD는 CI 파이프라인을 거친 후 프로덕션 환경에 코드 변경 사항을 자동으로 배포한다. 보안 검사는 CD 파이프라인에서 수행되어 안전하고 규정을 준수하는 코드만 배포되도록 한다.

- 코드로서의 인프라: IaC는 코드와 자동화를 사용하여 인프라를 관리하고 프로비저닝하는 것을 포함한다. 보안 제어를 인프라 코드에 임베드하여 보안이 인프라 배포 프로세스의 필수적인 부분이 되도록 할 수 있다.

- 컨테이너화 및 오케스트레이션: DevSecOps는 확장 가능한 배포를 위해 컨테이너화(예: Docker) 및 오케스트레이션 플랫폼(예: Kubernetes)을 자주 활용한다. 보안 조치는 컨테이너화된 애플리케이션과 오케스트레이션 환경을 보호하기 위해 수행된다.

 

DevSecOps는 소프트웨어 개발에 대한 전체적이고 협력적인 기술을 나타내며, 보안이 개발 프로세스의 필수적인 부분임을 보장한다. 개발, 보안 및 운영을 통합되고 자동화된 워크플로로 결합함으로써 기업은 속도와 보안을 모두 염두에 두고 소프트웨어 프로그램을 구성하고 설정할 수 있다.

 

3-3. DevSecOps 향상에 있어서 AI? 전략의 역할

클라우드 보안 분야에서 인공 지능(AI)을 통합하면 고급 위협 탐지, 사전 위험 관리 및 적응형 보안 조치를 허용함으로써 DevSecOps에 완전히 새로운 측정이 제공된다. AI 기반 전략은 알고리즘에 대한 기계 학습 지식, 이상 탐지 및 예측 분석을 활용하여 패턴을 식별하고 이상을 발견하고 실시간으로 반응 메커니즘을 자동화한다. AI의 힘을 활용함으로써 기업은 진화하는 위협과 끊임없이 변화하는 클라우드 환경에 적응할 수 있는 지능형 보안 기능으로 DevSecOps 관행을 개선할 수 있다.

 

AI와 DevSecOps의 시너지는 AI 기반 시스템이 방대한 양의 통계 데이터를 조사하고, 보안 위험을 정확하게 식별하고, 보안 팀이 지식에 입각한 결정을 내릴 수 있도록 하는 실행 가능한 통찰력을 제공할 수 있는 잠재력에 기인한다. AI 기반 전략은 보안 운영의 가시성과 상황적 주의를 향상시켜 사전 위협 탐지, 사고 대응 및 취약성 관리를 가능하게 할 수 있다. 또한 AI는 일상적인 보안 책임의 자동화를 용이하게 하여 보안 리소스를 해제하여 전략적 보안 작업에 집중하고 복잡한 보안 사고에 대응할 수 있다.

 

AI 기반 기술은 또한 DevSecOps 프레임워크에서 보안 기능의 복원력과 확장성을 향상시키는 데 중요한 역할을 한다. 동적 액세스 제어, 컨텍스트 기반 이상 탐지 및 동적 위험 모델링을 위해 AI를 활용함으로써 기업은 클라우드 보안 태세를 강화하고 증가하는 위협의 영향을 완화할 수 있다. 또한 AI 기반 보안 솔루션은 보안 활동을 지속적으로 분석하고 방어를 적응시켜 클라우드 네이티브 환경의 동적 특성에 따라 진화할 수 있다.

 


참 고 문 헌




  2. https://www.samsungsds.com/kr/insights/yje-clouddevops.html
  3. https://www.lgcns.com/blog/cns-tech/security/10251/
  4. IDC, Developer Sentiment Indicates Generative AI is Another Driving Force for Multi Cloud Environments, Lara Greden Michele Rosen, US50858423, June 2023

  5. Google Cloud blog: https://cloud.google.com/blog/products/networking/announcing-google-cloud-cross-cloud
  6. Oracle Cloud Infrastructure documentation: https://www.oracle.com/cloud/azure/interconnect/
  7. Multi cloud region affinity and latency. https://github.com/AviatrixSystems/ Docs/blob/main/HowTos/multi_cloud_region_affinity_and_latency.rst
  8. Aviatrix MCNA solution: https://aviatrix.com
  9. Prosimo Mesh overlay: https://prosimo.io/solutions/
  10. Bhavin Desai, Kapil Patil, Demystifying the complexity of multi-cloud networking, International Research Journal of Modernization in Engineering Technology and Science, Vol. 6, Issue 5, pp. 8899-8907, 2024.
  11. Sakthiswaran Rangaraju, Stephanie Ness, Rajesh Dharmalingam, Incorporating AI-Driven Strategies in DevSecOps for Robust Cloud Security, International Journal of Innovative Science and Research Technology, 8(11):2359-2365, 2023.



저작권 정책


K-ICT 클라우드혁신센터의 저작물인 『클라우드 보안을 위한 데브섹옵스(DevSecOps)에 AI 적용 방법』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.