IT 인프라 접근권 관리 플랫폼인 스트롱디엠(strongDM)이 데브옵스 전문가를 대상으로 진행한 설문 조사 결과를 공개했다. 해당 조사에서 응답자 64%가 접근 권한 문제 때문에 주기적으로 생산성 저하 문제를 겪는다고 밝혔다.
데브옵스 팀은 생산성 저하 문제에 대응해, 보안의 관점에서 바람직하지 않더라도 여러 방법으로 우회하여 접근 권한을 얻고 있었다. 응답자 55%는 시스템 백도어 접근 권한을 유지하고 있었으며, 42%는 섀도우 IT를 이용하여 업무 수행에 필요한 시스템에 대한 접근권을 획득하고 있었다.
아무도 예상치 못한 결과를 확인한 부분은 자격증명 관련 사항이다. 놀랍게도 53%의 응답자들은 팀 내에서 자격증명을 공유한다고 답하였다.
57%는 정식으로 접근권을 요청하면 승인되기까지 며칠에서 몇 주까지 걸린다고 전했다. 40%는 기존 솔루션에 툴을 추가하는 데만 며칠이 걸린다고 보고하였다. 73%는 인프라에 대한 접근권을 승인받는 데 15분 이상 걸린다고 답하였다.
또, 52%는 인프라 접근권 때문에 마감일자를 놓친 적이 있다고 하였으며, 그중 53%는 인프라 접근권 때문에 마감일자를 놓친 것에 대한 책임을 져야 했다고 답하였다.
스트롱디엠의 최고기술책임자 저스틴 매카시(Justin McCarthy)는 “신원 관리나 제로 트러스트 보안 모델 등에 대하여 논의는 많아도 실제 기업들은 아주 기초적인 접근 사항도 제어조차 못한다. 2년 전 코로나19 확산세 탓에 데브옵스 전문가가 재택근무를 하면서 더 심각해진 문제이다”라고 말했다.
다수의 기업은 VPN 자격증명 해킹이 상대적으로 용이한 것으로 밝혀졌으나 지금까지 VPN에 의존하고 있는 실정이다.
스트롱디엠은 이를 해결하기 위하여 전용 인프라 액세스 플랫폼을 개발하였다. 플랫폼에서는 데이터베이스, 서버, 클러스터, 웹 애플리케이션에 대한 접근권을 관리하고 감시할 수 있다. 이 플랫폼은 로컬 클라이언트 소프트웨어를 기반으로 하며 게이트웨이 중개자로써 접근권을 추적한다. 이를 활용하면 IT 지원 비용을 줄일 수 있을 뿐 아니라 새로운 팀원의 온보딩 과정을 줄일 수 있다.
데브옵스 팀의 인프라 액세스를 관리하는 것은 어려운 문제이다. 데브옵스 팀은 엔지니어로 구성되어 있어 가장 만족시키기 어려운 엔드유저이기도 하다. 많은 이들은 본인의 역량을 활용하여 불필요한 절차를 생략하고 원하는 대로 이용하기도 할 것이다. 하지만 이럴 경우 사이버 보안 팀과의 충돌은 불가피하다.
사이버 보안팀은 보안 정책을 우회하는 시도를 매번 찾는 데 시간을 쏟는 방안과 IT 인프라 액세스를 안전하게 관리하면서도 쉽게 승인하는 방안 중 하나를 선택해야 할 것이다. 그렇다면, 데브옵스와 사이버 보안 양 팀이 서로 머리를 맞대어 해결책을 찾는다면 모두의 시간을 절약할 수 있을 것이다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
