Rainyday

"DevSecOps" 라는 용어를 알고 있는가? 개발(Dev)과 운영(Ops)에 보안(Security)을 더한 이 단어는, 마치 보안이 개발과 운영에 새롭게 추가되어야 할 독립적인 요소인 것처럼 느껴진다. 그러나 보안은 원래 모든 IT 업무에서 기본적으로 고려되어야 하는 필수 요소다. 굳이 "Sec"를 중간에 끼워 넣어야만 보안을 신경 쓰게 되는 것일까?

보안은 IT 시스템의 기초다. 개발자가 코드를 작성할 때 보안을 고려하지 않는다면, 그 결과는 치명적일 수 있다. 운영자가 시스템을 관리하면서 보안을 소홀히 한다면, 그 피해는 사용자들에게 고스란히 돌아간다. 보안은 선택 사항이 아니라 필수이며, 모든 과정에 내재되어야 한다. 그런데도 "DevSecOps"라는 용어를 만들어 보안을 강조하려는 것은, 마치 샐러드에 채소를 넣고 "채소샐러드"라고 부르는 것과 다르지 않다. 샐러드에는 당연히 채소가 들어가는 것이고, IT 업무에는 당연히 보안이 포함되어야 한다.

용어의 남발은 오히려 혼란을 초래한다. 이대로 가다 보면 나중에는 "DevTestSecQACloudOpsAI" 같은 말도 나올지 모른다. 모든 중요한 요소를 하나씩 붙이다 보면 용어 자체가 복잡해지고 의미를 잃게 된다. 중요한 것은 용어가 아니라 실제 행동과 문화다. 보안은 이미 개발과 운영의 기본 원칙에 포함되어 있어야 하며, 이를 위해 조직 전체의 인식 변화와 실천이 필요하다.

최근 보안팀이 규정과 근거를 내세워 인프라팀에 업무를 일방적으로 넘기는 사례가 있었다. 마치 하청업체에 일을 맡기듯이, 보안팀은 자신들의 책임을 규정에 따라 떠넘기고, 인프라팀은 그 부담을 고스란히 떠안게 되었다. 이러한 방식은 조직 내에서 매우 문제가 있다.

첫째, 책임의 불균형을 초래한다. 보안은 조직 전체의 책임이며, 각 부서가 협력하여 달성해야 하는 공동의 목표다. 그러나 보안팀이 규정을 근거로 자신의 업무를 다른 부서에 떠넘기는 것은 책임을 회피하는 행위로 볼 수 있다. 이는 조직 내에서 책임 의식을 저하시킬 뿐만 아니라, 문제 발생 시 신속하고 효과적인 대응을 어렵게 만든다.

둘째, 협업 문화의 훼손을 가져온다. 보안은 단일 부서의 노력만으로는 달성하기 어렵다. 개발팀, 인프라팀, 보안팀 등 모든 관련 부서가 긴밀히 소통하고 협력해야 한다. 그러나 보안팀이 규정을 방패 삼아 일방적으로 업무를 위임하면, 부서 간의 신뢰가 약화되고 협업이 저해된다. 이는 결국 조직 전체의 보안 수준을 떨어뜨리는 결과를 낳는다.

셋째, 규정의 오용이다. 규정은 조직의 목표를 달성하기 위한 지침이지, 책임을 전가하기 위한 도구가 아니다. 규정을 내세워 자신의 책임을 회피하는 것은 규정의 본래 취지에도 어긋난다. 더욱이, 이러한 행태는 다른 부서로 하여금 규정 자체에 대한 불신을 갖게 만들 수 있다.

넷째, 보안 사고의 위험 증가다. 보안팀과 인프라팀 간의 원활한 협력이 이루어지지 않으면, 잠재적인 보안 취약점이 제대로 관리되지 않을 수 있다. 업무의 명확한 분담과 협업 없이 일방적인 업무 전가는 중요한 사항이 누락되거나 대응이 지연되는 원인이 된다.

이러한 사례는 DevSecOps의 본래 의도와도 상반된다. DevSecOps는 개발, 보안, 운영 팀이 경계를 허물고 협력하여 보안을 모든 프로세스에 통합하는 것을 목표로 한다. 그러나 보안팀이 규정을 내세워 책임을 전가하는 방식은 부서 간의 벽을 더욱 두텁게 만들 뿐이다.  보안은 한 부서의 책임이 아니라 조직 전체의 공동 책임이다. 규정을 내세워 책임을 전가하는 방식은 단기적으로는 업무 부담을 덜 수 있을지 모르지만, 장기적으로는 조직의 보안 수준을 저하시킬 뿐이다. 진정한 보안 강화를 위해서는 모든 부서가 협력하고, 책임을 공유하며, 함께 문제를 해결하려는 노력이 필요하다.

채용 시장에서도 "DevSecOps 엔지니어"를 모집하면서 한 사람이 모든 IT 업무를 다 할 수 있기를 기대하는 경우가 많다. 개발, 보안, 운영까지 모두 완벽하게 해낼 수 있는 슈퍼맨을 찾는 셈이다. 이는 마치 축구 팀에서 골키퍼부터 공격수까지 모든 포지션을 혼자 맡으라는 것과 같다. 각 분야의 전문성이 중요한데, 이런 식의 채용은 현실적이지도 않고 비효율적이다.

나도 안다. 보안이 중요한 것은 분명하다. 그러나 보안이 개발과 운영 프로세스에 자연스럽게 녹아들어 있어야 하는데, 이를 별도의 용어로 만들어 강조하는 것은 오히려 보안을 추가적인 부담이나 선택 사항으로 인식하게 만들 수 있다. 보안을 따로 강조하는 것이 아니라, 모든 IT 종사자가 보안을 기본적으로 고려하는 조직 문화를 만들어야 한다. 최근의 사례에서처럼 보안팀이 규정만 내세워 일을 넘기기보다, 보안 문제를 해결하기 위한 협업과 논의가 먼저 이루어져야 한다.

또한, 보안을 별도의 요소로 분리하면 책임 의식이 분산될 위험이 있다. 개발자들은 "보안은 보안팀이 알아서 하겠지"라고 생각하고, 운영자들은 "우리는 시스템만 안정적으로 운영하면 돼"라고 생각할 수 있다. 보안은 특정 팀이나 개인의 몫이 아니라, 모든 IT 종사자가 기본적으로 고려해야 할 요소다. 모든 사람이 보안에 대한 책임을 인식하고 각자의 역할에서 이를 실천해야 한다.

보안이 종종 우선순위에서 밀리는 현실을 고려하면, DevSecOps 같은 용어를 통해 보안을 앞당겨 강조하는 것이 필요할 수 있다. 그러나 보안이 후순위로 밀리는 근본적인 원인은 조직 문화와 우선순위 설정의 문제다. 용어의 변경이 아니라, 보안을 조직의 핵심 가치로 자리매김하고 모든 프로세스에 자연스럽게 통합하는 노력이 필요하다. 이것은 단순히 용어를 바꾸는 것보다 훨씬 더 실질적인 변화다.

결국 중요한 것은 용어가 아니라 행동이다. 보안을 모든 프로세스와 팀의 기본 원칙으로 삼고, 각자의 역할에서 이를 실천하는 것이 필요하다. 보안은 개발자, 운영자, 보안 전문가 모두의 책임이며, 이를 위해 협력하고 지속적으로 개선해 나가야 한다. 용어만 바꾸어서는 보안 사고를 막을 수 없다. 각자의 자리에서 보안을 자연스럽게 내재화하는 것이 진정한 의미의 DevSecOps다.

마치 집을 지을 때 기초 공사를 튼튼히 하는 것이 당연하듯이, IT 시스템에서도 보안은 기본 중의 기본이다. 새로운 용어에 현혹되기보다, 우리가 원래부터 알고 있었지만 놓치고 있었던 기본에 충실해야 한다. 보안을 별도의 단계나 프로세스로 구분하지 말고, 모든 과정에 자연스럽게 녹여내는 문화가 필요하다.

보안은 선택이 아닌 필수다. "DevSecOps"라는 용어를 만들어 보안을 강조하려는 의도는 이해하지만, 이는 근본적인 문제 해결에 큰 도움이 되지 않는다. 중요한 것은 모든 팀과 개인이 보안의 중요성을 인식하고, 자신의 업무에서 이를 실천하는 것이다. 용어에 얽매이지 말고, 실제 행동과 문화의 변화를 통해 안전하고 신뢰할 수 있는 IT 환경을 구축해야 한다.

보안을 모든 프로세스에 자연스럽게 통합하는 방법을 모색하는 것이 중요하다. 각자의 전문성을 존중하면서도 협업을 강화하여 보안 수준을 높일 수 있다. 이는 용어의 변경이 아닌, 조직 문화의 성숙을 통해 가능하다. 우리는 이미 충분히 많은 용어와 약어들 속에서 혼란을 겪고 있다. 이제는 새로운 용어를 만들어내기보다, 실제로 어떻게 보안을 강화할 것인지에 집중해야 할 때다. 모든 IT 종사자가 보안을 자신의 책임으로 인식하고, 함께 협력해야 한다. 그것이 진정한 의미의 안전한 IT 환경을 만드는 길이다.