Shift Left vs. Shield Right: DevOps 보안 전략의 균형 잡힌 접근

카테고리

인프라/DevOps/보안

서브카테고리

DevOps

대상자

• DevOps 엔지니어 및 보안 팀
• 초보자 및 중급자 수준 (보안 개념 이해 필요)
• 실무 적용 중심 (구체적인 도구와 전략 제시)

핵심 요약

• Shift Left는 개발 초기 단계에서 보안을 강화하는 전략으로, SAST, SCA, pre-commit hook 등이 핵심 도구.
• Shield Right는 런타임 보안, DAST, WAF 등으로 프로덕션 환경을 보호.
• Shift Left + Shield Right 병행이 필요: Shift Left로 기술 부채 감소, Shield Right로 실시간 위협 대응.

섹션별 세부 요약

1. Code Phase (코드 단계)

• SAST (예: SonarQube)와 pre-commit hook으로 코드 내 보안 취약점 탐지.
• SCA (예: Snyk)를 통해 의존성 라이브러리의 취약점 분석 (npm install/pip install 시 자동 검사).
• False positive 방지를 위한 정책 정의 필요.

2. CI/CD Phase (CI/CD 단계)

• DAST (예: OWASP ZAP)로 스테이징 환경에서 API 취약점 탐지.
• IaC (Infrastructure as Code) 검사 (Terraform, CloudFormation)를 통해 인프라 설정 오류 방지.
• CI/CD 파이프라인에 보안 스텝 자동화 (예: OPA로 정책 강제).

3. Prod Phase (프로덕션 단계)

• Runtime 보안 도구 (Falco, Aqua)로 프로덕션 환경의 비정상 활동 감지.
• WAF (Web Application Firewall)와 CSP (Content Security Policy)로 악성 요청 차단.
• 계속적인 DAST 및 취약점 스캔으로 실시간 보안 유지.

결론

• Shift Left + Shield Right 병행이 필수: Shift Left는 기술 부채 예방, Shield Right는 실시간 위협 대응.
• Open Policy Agent (OPA) 도입으로 단계별 보안 정책 강제.
• SaaS 팀 사례에서 확인: Shift Left만 적용 시 프로덕션 해킹 가능성, Shield Right 추가 시 15개 이상의 공격 차단.
• 도구 추천: Snyk (Shift Left + Shield Right), GitLab Ultimate (통합 파이프라인), Wiz (클라우드 보안).
• 핵심 팁: 보안은 모든 팀원의 책임이지만, 혼자서 해결할 수 없는 문제. Pipeline 점검 후 균형 잡힌 전략 수립.