DevSecOps란 무엇인가?
DevSecOps는 개발(Dev), 보안(Sec), 운영(Ops)을 통합해 소프트웨어 개발 생명주기 전반에 보안을 내재화하는 방법론입니다. “보안을 왼쪽으로 이동(Shift Left Security)”하여 개발 초기부터 보안 결함을 발견·수정합니다.
SOAR(Security Orchestration, Automation and Response)
SOAR는 보안 운영 센터(SOC)의 반복적인 작업을 자동화하고 다양한 보안 도구를 통합 운영하는 플랫폼입니다.
- 플레이북(Playbook): 보안 이벤트 발생 시 자동으로 수행할 대응 절차를 코드로 정의. 피싱 이메일 분석, IOC 차단, 티켓 생성 등을 자동화
- Splunk SOAR(구 Phantom): 대표적 상용 SOAR. 400개 이상 앱 통합. Python 기반 플레이북
- IBM QRadar SOAR: 규정 준수 자동화 특화. GDPR·HIPAA 인시던트 대응 지원
SOAR vs SIEM: SIEM은 탐지·분석에 집중, SOAR는 대응·자동화에 집중. 현대 SOC는 두 솔루션을 연동해 사용합니다.
보안 파이프라인(Security Pipeline)
CI/CD 파이프라인에 보안 검사를 통합하는 구체적 방법:
- 정적 분석(SAST): 소스코드 분석. SonarQube, Checkmarx, Semgrep. 빌드 단계 수행
- 동적 분석(DAST): 실행 중 앱 취약점 스캔. OWASP ZAP, Burp Suite. 스테이징 환경 수행
- 구성 요소 분석(SCA): 오픈소스 의존성 취약점 탐지. Snyk, Dependabot, Black Duck
- 컨테이너 이미지 스캔: Trivy, Clair, Aqua Security. CI 파이프라인에서 이미지 취약점 사전 차단
- IaC 보안 스캔: Terraform·CloudFormation 취약한 설정 탐지. Checkov, tfsec
코드로서 보안과 GitOps
보안 정책과 컴플라이언스 요구사항을 코드로 정의하고 버전 관리합니다.
- OPA(Open Policy Agent): 정책 결정 엔진. Rego 언어로 Kubernetes 입학 제어, API 인가 정책 정의
- Conftest: CI/CD에서 OPA 정책으로 IaC, K8s 매니페스트 검증
- GitOps 보안: 모든 변경은 Git을 통해서만. 감사 로그, 변경 승인 프로세스, 자동 롤백 구현
시크릿 관리(Secret Management)
- HashiCorp Vault: 동적 시크릿 생성, 임시 자격증명 발급, 암호화 서비스
- AWS Secrets Manager: RDS 비밀번호 자동 교체, Lambda와 통합
- 절대 코드에 시크릿 하드코딩 금지: git-secrets, truffleHog으로 커밋 전 시크릿 탐지
정보보안기사 기출 핵심 정리
- DevSecOps = Shift Left Security, 개발 초기 보안 통합
- SOAR = 보안 자동화, SIEM = 탐지·분석(보완 관계)
- 정적 분석(SAST) = 소스코드 검사, 동적 분석(DAST) = 실행 중 검사
- SCA = 오픈소스 의존성 취약점 탐지
- OPA = 정책 결정 엔진, Rego 언어