AI·오픈소스 결합으로 코드 작성 순간부터 보안 내재화 가속
공공·민간 전방위 확산…CI/CD·깃옵스·EaC로 자동화 고도화
“개발 시작이 곧 보안의 출발점”…조직 IT 경쟁력 새 기준 부상

아이엔소프트가 클라우드 네이티브 시대의 데브섹옵스 혁신: 자동화와 지속적 배포 전략을 공개했다. 사진=아이엔소프트
아이엔소프트가 클라우드 네이티브 시대의 데브섹옵스 혁신: 자동화와 지속적 배포 전략을 공개했다. 사진=아이엔소프트

AI 확산이 소프트웨어 개발 방식까지 근본적으로 뒤바꾸고 있다. 특히 개발·보안·운영을 통합하는 데브섹옵스(DevSecOps)가 AI 및 오픈소스 기술과 결합하며 새로운 전환점에 들어섰다.

송창학 아이엔소프트 본부장은 오픈클라우드플랫폼얼라이언스(OPA) 세미나에서 “보안은 더 이상 개발과 운영의 마지막 단계에서 확인하는 일이 아니다”며 “코드를 쓰는 순간부터 외부 라이브러리를 불러오는 첫 단계부터 보안이 시작돼야 한다”고 강조했다. 이는 국내 IT 업계에 데브섹옵스 전환의 필요성을 명확히 각인시키는 메시지였다.

송 본부장은 데브섹옵스의 출발점을 ‘시프트 레프트 보안(Shift-left Security)’으로 규정했다. 보안 점검 시점을 배포 직전이 아니라 코드 작성과 라이브러리 선택 시점으로 앞당기자는 개념이다. 그는 개발자가 코드를 작성하는 통합개발환경(IDE)에 정적 분석 도구를 설치해 보안 취약점을 실시간으로 점검하도록 해야 한다고 강조했다.

외부 오픈소스 라이브러리의 경우 악성 코드나 취약점이 포함될 수 있어 프록시 서버를 통해 사전에 걸러내는 시스템이 필요하다는 설명이다. 송 본부장은 상용 보안 설루션인 소나타입(Sonatype)의 파이어월(Firewall)을 예로 들며 “취약한 라이브러리가 조직 내로 유입되는 것을 사전에 차단하는 구조가 중요하다”고 말했다. 초기 단계부터 위험 요소를 차단하면 운영 단계에서 발생할 수 있는 보안 사고를 미리 예방할 수 있다는 것이다.

데브섹옵스에서 핵심 축을 담당하는 자동화 기술로는 지속적 통합·지속적 배포가 꼽힌다. 송 본부장은 “CI/CD를 통해 빠르고 일관된 소프트웨어 배포가 가능할 뿐 아니라 파이프라인 내부에 보안 테스트를 녹여 넣음으로써 실시간 보안 품질 유지가 가능하다”고 설명했다. 고객사 환경에 따라 CI와 CD 도구를 유연하게 구성해야 한다는 점도 강조됐다.

아이엔소프트가 수행한 K문고, H홈쇼핑 등 대형 유통 고객사 프로젝트에서는 100개가 넘는 마이크로서비스를 자동화된 배포 파이프라인으로 관리하며 각 서비스에 맞는 보안 점검과 테스트 시나리오를 통합했다. 배포 방식도 상황에 맞게 적용됐다. API 서버에는 롤링 업데이트를, UI 서버에는 블루-그린 또는 카나리 배포 전략을 구현하는 등 유연한 접근이 이뤄졌다.

깃옵스(GitOps)와 코드형인프라(IaC) 전략도 데브섹옵스 진화를 가속화하고 있다. 테라폼(Terraform), 헬름(Helm), 앤서블(Ansible) 등의 도구를 통해 인프라와 애플리케이션을 코드 수준에서 통합 관리함으로써 배포 일관성과 보안 정책 준수를 확보할 수 있다. Everything-as-Code(EaC) 환경에서 AI는 규칙 준수 여부를 실시간으로 점검한다. 보안 설정이 미흡하면 자동으로 경고를 보내고 새로운 위협 시나리오가 발견되면 즉시 보완 코드와 적용 방법을 안내한다.

최근 서비스 복잡성이 커지고 코드량이 폭증하면서 AI가 데브섹옵스 각 단계에 적극 투입되고 있다. 코드 작성 단계에서는 AI가 자동으로 코드 제안과 리뷰를 제공하고 보안 단계에서는 취약점을 탐지해 수정 방안을 제시한다. 운영 단계에서는 배포 후 로그 데이터를 분석해 잠재적 이상 징후를 조기에 경고한다. 개발자가 반복 작업에서 벗어나 더 창의적이고 고도화된 업무에 집중할 수 있도록 돕는 것이 핵심이다.

글로벌 기업들은 이미 데브섹옵스를 생산성과 보안을 동시에 확보하는 핵심 무기로 활용 중이다. 금융 업계는 규제 준수를 위해, 제조업체는 대규모 협업 관리 강화를 위해, 클라우드 기업들은 멀티클라우드 환경 보안 강화를 위해 데브섹옵스를 도입했다. 깃랩, 젠킨스, 아르고CD 등 오픈소스 생태계에서도 AI 기능을 더한 도구들이 빠르게 확산되고 있다.

이미지=챗gpt
이미지=챗gpt

국내 공공기관의 데브섹옵스 도입도 본격화됐다. 정부는 올해 약 430억원을 투입해 7개 기관 9개 공공정보시스템을 클라우드 네이티브로 전환하고 있다. 행정안전부 정부24, 경기도일자리재단 일자리 플랫폼, 대구광역시 도서관통합시스템, 국토지리정보원 국토정보플랫폼, 경상남도교육청 교육행정기관 누리집, 한국교통안전공단 국가대중교통정보시스템 등이 대상이다.

각 공공기관은 마이크로서비스 아키텍처(MSA), 데브섹옵스, CI/CD 등 최신 기술을 도입해 서비스 중단 최소화, 운영비 절감, 신속한 기능 개선, 보안 체계 고도화를 추진하고 있다. 정부24의 경우 쿠버네티스 클러스터 구축과 MSA 전환을 통해 배포 시간 단축으로 연간 약 6억3200만원의 인건비 절감 효과를 기대하고 있다. 클라우드 전환으로 인한 인프라 TCO 5년 절감 효과는 약 213억8700만원으로 산출됐다.

경기도일자리재단은 20개월간 약 49억원을 투입해 잡아바, 통합접수시스템, 꿈날개 등을 클라우드 네이티브로 전환하며 데브섹옵스 체계를 구축했다. 쿠버네티스 클러스터와 오토 스케일링, 네임스페이스 분리, CI/CD 파이프라인 등 최신 클라우드 운영 기술을 도입해 서비스의 민첩성과 확장성, 안정성을 대폭 강화했다. 잡아바의 연간 서비스 무중단 및 배포시간 단축에 따른 국민 편익은 약 38억원으로 산정됐다.

대구광역시도 20개월간 약 27억원을 투입해 통합예약시스템, 평생학습플랫폼, 도서관 독서문화강좌 등을 MSA 기반으로 재설계했다. 쿠버네티스 기반 컨테이너 오케스트레이션 환경을 도입해 서비스별 네임스페이스 분리, 오토 스케일링 정책 적용 등으로 효율적인 자원 관리와 자동화된 배포·운영을 실현했다. 데브섹옵스 기반 운영을 통한 배포시간 단축과 인건비 절감 효과는 연 13억원으로 집계됐다.

송 본부장은 “진정한 데브섹옵스는 개발이 시작되는 그 순간부터 보안을 설계하는 것”이라며 “운영까지 전 과정을 커버하는 보안 거버넌스 정책이 조직 내에 자리잡아야 한다”고 강조했다. 이어 “클라우드 네이티브 환경에서는 서비스 민첩성과 보안이 충돌할 수 있으나 데브섹옵스는 이 두 가지를 동시에 달성할 수 있는 유일한 전략”이라고 덧붙였다.

IT 서비스 기업뿐 아니라 반도체, 통신, 공공 부문에서도 개발 효율성과 보안성을 동시에 확보하려는 움직임이 본격화되면서 데브섹옵스는 기업 IT 경쟁력을 좌우하는 전략적 의제로 떠오르고 있다. 과학기술정보통신부와 정보통신산업진흥원, 디지털데일리가 지난 9월 서울 서초구 양재 엘타워에서 개최한 ‘오픈 테크넷 서밋 2025’에서는 ‘개방형 AI x Everything-as-Code 기반 인프라 혁신’을 주제로 깃랩의 데브섹옵스 혁신 모델, 삼성전자 반도체의 기업 내 데브섹옵스 구축 경험 등이 공유됐다. 메가존클라우드, 인젠트, LG유플러스, 한국IBM 등 주요 기업들도 참여해 클라우드 네이티브 전환, 오픈소스 보안 가이드, AI 인프라 최적화 방안 등 다채로운 실무 전략을 선보이며 데브섹옵스 확산에 힘을 보탰다.

키워드
저작권자 © 이지경제 무단전재 및 재배포 금지