SecOps(보안운영) 우리 회사 사례 엿보기

IT 분야에서 최근 주목받고 있는 트렌드 중 하나인 SecOps에 대해 깊이 있는 탐구를 담은 포스팅을 준비했습니다. DevOps와 비슷하게, SecOps는 IT 운영과 보안을 긴밀히 결합하여 조직의 보안성을 극대화하는 방법에 대해서 실무 적인 사례를 들어 알아보도록 하겠습니다.

 

SecOps 정의

 

DevOps가 소프트웨어 개발자와 운영 팀을 통합하여 효율적인 협업을 추구하듯, SecOps는 IT 보안 팀과 운영 팀 간의 협력을 중심으로 하는 관리 모델입니다. 이는 소프트웨어 개발 및 서비스 출시 단계 전반에 걸쳐 보안 프로세스를 시스템 전반에 통합하는 것을 목표로 합니다. 이와 같은 모델은 조직의 보안 전략을 운영 프로세스와 밀접히 연결하여 전방위적인 보안을 실현할 수 있는 기반을 제공합니다.

 

SecOps의 주요 목표

 

SecOps에서 추구하는 주요 목표는 다음과 같습니다.

 

1. 개발 초기 단계 및 모든 운영 단계에서 보안 프로세스 도입: 보안을 단순히 마지막 단계에서 확인하는 것이 아니라, 개발 과정 처음부터 꾸준히 유지하는 방식입니다.
2. 지속 가능한 보안 컴플라이언스 자동화: 사람이 반복적으로 수행하던 보안 업무를 기술적으로 자동화함으로써 문제를 예방하고 해결하는 데 집중할 수 있습니다.
3. 보안 책임의 공유: 운영 및 관련 팀 사이에서 보안 의식 및 책임을 공유하고 협력함으로써 비즈니스 성과와 서비스의 안정성을 향상시킵니다.

 

SecOps 도입 효과

 

SecOps를 활용하면 다음과 같은 긍정적인 결과를 기대할 수 있습니다.

 

• ROI(투자 대비 수익률) 개선: 효율적인 리소스 관리와 문제 예방을 통해 비용 대비 효과를 높여줍니다.
• 생산성 향상: 수동 작업을 줄이고 자동화로 집중력을 강화해 전반적인 작업 성과를 높입니다.
• 리소스 절감: 인력과 시간이 소모되는 단순 작업이 자동화되면 보다 효과적으로 자원을 사용하게 됩니다.
• 보안 문제 감소: 예기치 않은 보안 취약점과 위협을 엔드-투-엔드 보안 접근법을 통해 빠르게 식별 및 해결합니다.
• 보안 감사 절차의 간소화: 내부 및 외부 감사과정에서 발생하는 업무 부담을 대폭 감소시키고 편의성을 제공합니다.

 

SecOps 대표 활용 사례: IBM Cloud와 saltstack

 

SecOps의 구체적인 사례로, IBM Cloud는 saltstack이라는 자동화 도구를 활용하여 광범위한 보안 컴플라이언스를 수행하고 있습니다. 단 12명의 엔지니어를 통해 전 세계 80개 데이터 센터(IDC)와 70,000개 이상의 노드를 관리하며, 아래와 같은 효과를 구현했습니다.

 

- 새로운 보안 정책 자동 배포 및 새로운 위협에 대한 지속 대응.

- IT 시스템 취약성 자동 교정 및 보안 감사 자동화 수행.

- 사전에 보안 상태를 점검하고 취약점을 제거하는 프로세스 확립.

 

saltstack 소개 및 활용 가능성

 

SecOps saltstack

 

saltstack은 ansible, puppet, chef와 같은 인프라 자동화 관리 도구와 유사합니다. 오픈소스로 사용 가능하며, 유료 버전으로는 SecOps라는 상용 제품이 따로 제공됩니다. 유료 버전은 고급 기능과 최적화된 웹 인터페이스를 제공하지만, 오픈소스 버전만으로도 각 회사의 필요에 맞는 강력한 보안 솔루션을 구축하는 데 충분한 가능성을 갖추고 있습니다.

 

• Heartbleed 취약점 대응: 속도와 효율성을 결합해 수초 안에 하트블리드 취약점을 패치 가능.
• Wannacry SMB 취약점 대응: Wannacry와 같은 취약점을 신속하고 안정적으로 해결 가능.

 

특히 보안 감사와 관련하여 자주 언급되는 표현인 "보안 감사 지옥에서 탈출"이라는 문구는 현업 담당자들이 공감할 만한 내용입니다. 이처럼 기업 내 고도화된 보안 감사를 자동화하여 생성한 결과물을 통해 업무 효율성을 혁신적으로 향상시킬 수 있는 점이 주요한 장점입니다.

 

필자는 SaltStack을 활용하여 ISMS 점검 항목 중 CCE 및 기타 몇몇 항목에 대한 증적 자료 수집을 자동화하며 업무 프로세스를 효율적으로 개선한 경험이 있습니다. 이는 SaltStack SecOps 제품 출시 이전부터 수행된 작업입니다.

 

예를 들어, 수백 대에서 수천 대에 이르는 Linux 및 Windows 서버의 계정 보안 정책 적정성에 대한 증적 자료를 자동으로 수집하고 리포트를 생성했습니다. 이를 통해 ISMS 증적 자료 취합 과정에서 시간 절약과 업무 효율성을 극대화할 수 있었습니다.

 

당시 필자는 보안 컴플라이언스 기준 및 보안 정책 리스트에 따라 지속적으로 점검(감사)을 수행하며, 운영 중인 자산(서버와 네트워크 장비 등)에 존재하는 보안 취약성을 쉽게 탐지하고 적합한 보안 정책을 적용할 수 있는 솔루션의 필요성을 느끼고 있었던 셈입니다.

 

몇 년 후 SaltStack에서 SecOps라는 상용 제품을 출시한 소식을 접했을 때, 상당히 고무적이었습니다. 그러나 비용 부담이라는 현실적인 제약은 아쉬운 부분이었습니다.

 

그럼에도 불구하고, 일정 수준의 개발 기술력을 갖추고 있다면 굳이 SaltStack SecOps 상용 제품을 구매하지 않아도 SaltStack 오픈소스만으로도 해당 기업의 보안 컴플라이언스 기준을 충족시키는 결과물을 충분히 만들어낼 수 있습니다. 물론 화려한 웹 UI나 시각적으로 뛰어난 보고서를 기대하기에는 한계가 있을 것입니다.

 

현재 시장에는 CCE, CVE, CWE 등 각종 보안 취약성 점검을 효과적으로 수행할 수 있는 상용 솔루션이 다수 존재합니다. 하지만 비용 부담은 종종 걸림돌이 될 수 있습니다. 이러한 점에서 SaltStack 오픈소스 도구를 실무에 적극 도입한다면, 비용 절감과 함께 다양한 이점을 얻을 수 있을 것입니다.

 

더 나아가 이러한 접근 방식은 SecOps 모델이 추구하는 목표에 한 발짝 더 가까워지는 데 도움이 될 것이라고 생각합니다.