클라우드 보안 커리어

안녕하세요. 먼저 수강해주셔서 감사드린다는 말씀드립니다.

사실 저도 따로 포트폴리오를 만드는건 없어서 포트폴리오 보단, 제가 생각하는 DevSecOps 포지션을 위한 경쟁력을 높일 수 있는 부분에 대해서 말씀드리는게 더 좋을 것 같습니다.

개인적인 생각으로 앞으로는 더욱 서비스 중심의 세상이 올거라고 생각합니다.(당연히 지금도 중요합니다만, 보안 포지션도 이러한 흐름을 더욱 고려해야한다. 라고 이해해주시면 좋을 것 같습니다. 뭔가 스스로 함정에 빠지고 있는 것 같네요. 이 글을 읽는 분들께서 오해는 하지 말아주셨으면..) 이를 위해 DevOps 라는 조직이 이미 존재하기도 하죠.

제가 생각할 때 DevSecOps 는 DevOps, 개발, 보안 삼박자가 맞는게 제일 중요한 것 같습니다. 다만, 그냥 지식적으로 아는 수준보다는 실제로 어떻게 활용하고 있는지를 배울 수 있으면 가장 좋을 것이라 생각합니다.

사실 전 참으로 운이 좋게도, 현재 회사에서 DevOps, 클라우드, k8s 등 다양한 분야의 인재분들과 일하며 자연스럽게 ,앞으로 내 커리어에서는 어떤 부분이 중요하겠구나 느낀 케이스이긴 합니다. 현실적으로 쉽지 않은 케이스이긴 하죠.(그렇다고 정답도 아니구요)

그럼에도, 어찌됐던 DevSecOps 라는 포지션을 보지말고, 실제 서비스를 동작하게 하는 다양한 기반 환경들을 배우고, 어떤 부분에서 보안을 어려워 하는지, 어떤 부분을 중요하게 생각하는지, 그리고 그걸 더욱 원활히 운영되도록 어떻게 심리스하게 보안을 구현할 수 있을지를 고민해보면 좋을 것 같습니다.

매우 단편적으로, 이미지 하나를 만들더라도 보안적인 입장에서만 보면, 1. 이뮤터블한 이미지(seccomp) / 2. 특정 취약점이 없는 이미지(버전 등) / 3. 권한이 과하게 부여되지 않은 이미지(namespace, capabilities, root) / 4. 레이어에 민감 정보가 포함되지 않은 이미지(image = tar) / 5. 버전이 최신(latest)인 이미지(tag = latest) / 6. 의존성이 올바르게 설치된 이미지(supply chain, slsa) 등이 있을 겁니다.(환경에 따라 그리고 기술에 따라 고려할 부분이 당연히 더욱 많겠죠?)

이상적으로 생각하면, “이런 것들은 어떻게 조치하세요.” 라고 가이드를 주기만 해도 너무 뛰어난 분들이라 모두 조치하실 수도 있지만, 현실적으로는 힘들다고 생각합니다.(실력의 유무를 떠나서) 그렇기에, 보안이 보안에서 시작하고 끝나는 것이 아니라 우리 환경이 어떻게 구성되어 있고, 어떤 동작 방식을 가져가야 하고, 효율화를 위해 무언가를 포기해야 할 때, 그런 상황마저도 이해하고, 탐지/대응할 수 있도록 하는 능력이 정말 중요한 것 같습니다.(결국 공부할게 더욱 많아지긴 하겠죠.)

설명이 너무 많았습니다만, 결국 DevSecOps 를 위해서는 (지극히 매우 주관적으로) 개발, DevOps, 심지어 k8s(회사마다 DevOps 분들이 하시기도 합니다) 에 대한 공부와 실제 동작하고 있는 방식 그리고 해당 분야의 실무자분들의 고민과 갖고 계신 기술에 대한 어느 정도의 이해가 동반될 때, 자연스럽게 DevSecOps 포지션에서 일하고 계실 것이라 생각합니다.

사실 그렇기에 이 강의를 그런식으로 구성해봤습니다. 실무에서 어떤 방식으로 사용하고, 어떤 것들을 고려해야 하는지 그리고, 그걸 기반으로 작게나마 DevSecOps 를 수행하는 방법은 무엇인지요.

마지막으로 제가 이러한 이유들 때문에 퍼블릭 클라우드 그리고 AWS 를 더욱 좋아하기도 합니다.(물론 다른 많은 이유도 있지만요.)

답변이 너무 두서없는 것 같고, 질문하신 내용과도 다른 것 같아서 민망하긴 합니다만… 저도 정답이 있는 사람은 아니고, 앞에서 말씀드렸듯이 사실 운이 좋았던 것도 있어서 그냥 제 생각을 말씀드렸습니다. 참고가 되시면 좋겠습니다.