빠르게 진화하는 데브옵스 환경에서 ‘시프트 레프트(Shift Left)’와 ‘시큐어 라이트(Secure Right)’ 는 낯설지 않은 표현이 되었습니다. 이는 더 안전하고 신뢰할 수 있는 소프트웨어의 개발의 필요성에 대한 강한 시장의 요구를 보여줍니다. 그러나 이 두 개념의 진정한 의미를 제대로 이해하지 못하고 적용하는 조직이 많습니다. 즉, 대부분 데브옵스의 기본 원칙인 ‘책임의 공유’는 간과한 채 그저 개발팀에 더 많은 업무를 요구하기도 합니다.
데브옵스의 중심에는 개발팀과 IT운영팀이 서로 책임을 공유하여 소프트웨어 개발과 배포를 더 성공적으로 할 수 있다는 믿음을 근간으로 하고 있습니다. 데브섹옵스 또한 이런 협업의 확장 개념으로 보안을 애플리케이션 보안팀(AppSec)과 책임을 공유한다는 개념입니다.
시프트 레프트 혹은 시큐어 라이트 개념을 데브옵스나 데브섹옵스에 도입은 단순히 보안 업무를 한 팀에게 전담하는 것을 의미하지 않습니다. 두 개념 모두 절차를 간소화하고 팀 간의 소통을 늘리는 것을 목표로 하지만 접근방식을 다르게 가져가는 것일 뿐입니다. 기본적으로 둘 다 양질의 보안이 강화된 소프트웨어를 개발하는 것을 목표로 합니다.
이제 두 개념에 대한 차이를 알아보도록 하겠습니다.
왜 이런 방법론을 선택하는가?
먼저 순환되는 소프트웨어 개발 생명주기(SDLC)를 떠올려봅니다. 이제 이 SDLC를 반으로 나누어 왼편과 오른편으로 살펴보겠습니다.
개발팀은 SDLC의 초기 단계, 즉 왼편에 속해 있습니다. 개발팀은 설계, 코딩, 프로덕션 이전 단계의 테스트에 참여하며 개발 요구사항에 맞춰 소프트웨어의 개발을 담당합니다. 이 단계에서는 개발팀은 아이디어 단계를 현실로 가져오기 위해 창의력과 혁신에 집중합니다.
반면, IT운영팀은 프로덕션의 배포를 담당하며 소프트웨어가 조직의 비즈니스 목표와 일치하도록 관리하며 가용성을 유지합니다. 이 단계에서는 소프트웨어가 설계된 목적을 달성하고 성능과 안정성을 유지하는 것을 최우선 목표로 합니다.
즉, 누가 어떤 관점으로 바라보는가에 따라 자원의 할당과 우선순위의 조정이 달라지게 됩니다.
시프트 레프트(Shift Left) 란?
시프트 레프트는 데브섹옵스의 초석에 해당하는 개념으로 개발의 아주 초기단계에서부터 테스트에 대한 우선순위를 높이고 SDLC에 매끄럽게 통합되도록 하는것을 의미합니다.
- 조기 발견: 코드 결함이나 버그를 개발 초기단계에 발견하여 위험을 최소화하고 소프트웨어 개발주기 내에서 위험이 적재되지 않도록 합니다. Sonatype Lifecycle 은 컴포넌트 내의 신규 취약성에 대한 의존성 관리를 간소화하여 사전 예방적 해결이 가능합니다.
- 자동화: 자동화된 테스트 프레임워크를 통해 코드 변경에 대한 즉각적인 테스트가 가능해 집니다. Sonatype Repository Firewall 은 이 원칙에 입각해 자동으로 정책을 적용하고 악성 구성요소의 유입을 차단하고 알려진 취약성이 저장소를 오염시키는 것을 막아줍니다.
- 지속적인 피드백: 시프트 레프트는 개발자에게 즉각적인 피드백을 제공하여 개발 단계에서 코드를 개선할 수 있도록 합니다. Sonatype Lifecycle은 개발자가 지속적 모니터링와 알림 기능을 통해 새로운 취약성에 대한 정보를 공유받고 개발에 적용할 수 있도록 합니다.
- 교차 기능간 협업: 시프트 레프트에서 개발자, 테스트 담당자, 보안 전문가와 운영팀간의 긴밀한 협업이 매우 중요합니다. 협업을 통한 시너지는 소통과 투명성을 개선하고 소프트웨어 보안이 녹아들어가도록 합니다. Sonatype Lifecycle은 끊김없이 각 역할이 협업할 수 있도록 협업 기능을 제공합니다. 툴 변경없이 위험을 관리하고 완전한 가시성을 제공하여 빠르게 취약성에 대한 해결이 가능합니다.
이런 요소들이 잘 적용되면 다음과 같은 혜택을 얻을 수 있습니다.
- 비용 절감
- Time-to-market 단축
- 소프트웨어 퀄리티 향상
- 데브섹옵스 관행의 유연한 통합 적용
시큐어 라이트(Secure Right) 란?
시프트 레프트가 데브섹옵스의 초석이라면 시프트 라이트 혹은 시큐어 라이트라 불리는 개념은 프로덕션 환경에서의 지속적인 코드 테스트를 통해 더 넓은 범위의 데브옵스의 중요한 보완재 역할을 합니다.
시큐어 라이트는 테스트의 단계를 배포 이후까지 확장하여 프로덕션 환경에서 예상치 못한 시나리오까지 발견하는 것을 목표로 합니다.
- 카오스 엔지니어링: 카오스 엔지니어링은 통제된 혼란으로 어플리케이션이 스트레스 상황에서 어떻게 동작하는지 파악합니다. 이 기법은 잠재된 약점이나 장애 포인트를 파악하고 안정성과 가용성 강화에 도움을 줍니다. Sonatype Repository Firewall은 알려진 취약성과 악성 오픈소스가 저장소에 영향을 미치는 것을 방어하여 잠재적 약점을 보호합니다.
- 런타임에 대한 통찰력: 시큐어 라이트는 실시간 모니터링과 현실 세계를 반영한 시나리오 기반의 어플리케이션 분석을 중요시합니다. 프로덕션 환경에 대한 지속적인 모니터링과 분석을 통해 취약성과 성능 이슈를 빠르게 짚어내고 교정합니다. Sonatype Lifecycle 의 신규 취약성 모니터링과 알림 기능을 통해 프로덕션 환경까지 모니터링이 가능합니다. 이를 통해 실시간 인사이트를 얻고 발견된 이슈를 즉시 해결할 수 있습니다.
- 패드백 루프: 프로덕션 환경에서 수집된 인사이트는 어플리케이션의 안정성, 보안 및 성능과 지속적인 개선을 가능하게 하는 순환 사이클에 활용이 됩니다. Sonatype Lifecycel은 조직 단위의 리뷰를 제공함으로써 모든 단계에서 소프트웨어 개발이 보안과 퀄리티 요구사항을 충족하도록 지원합니다. 이를 통해 위험을 사전에 발견하고 감소시키며 심각한 이슈가 코드를 침해하는 것을 막을 수 있습니다.
무엇을 선택해야 하는가?
데브옵스 환경에서 시프트 레프트와 시큐어 라이트는 모두 소프트웨어 개발과 배포라는 중요한 단계에 대한 보완재로 상호 공존합니다.
시프트 레프트가 조기 발견, 협업과 자동화에 집중한다면 시큐어 라이트는 보안과 성능 강화를 위한 배포 이후 단계까지 테스트를 확장합니다. 조직의 목표와 프로젝트 요구사항 그리고 위험에 대한 허용범위에 맞춰 시프트 레프트와 시큐어 라이트의 적절한 균형은 소프트웨어의 질, 보안 및 지속적인 개선을 가져옵니다.
데브옵스가 애자일하고 효율적인 소프트웨어 개발을 위한 가교이며 이 두 가지 원칙들의 중요성을 이해한다면, 팀의 역량을 강화하고 소프트웨어 어플리케이션의 보안과 신뢰성을 개선할 수 있습니다.
✅ Sonatype 플랫폼 문의
E: sales@osckorea.com
T: 02-539-3690
참고
How to navigate DevOps principles: Analyzing Shift Left and Secure Right
