소프트웨어 개발 및 서비스 관리 분야에서 문제 해결과 품질 향상을 위해 작업을 더 이른 단계로 옮기는 접근 방식인 ‘시프트 레프트(Shift Left)’ 전략은 애자일(Agile) 및 데브옵스(DevOps) 방법론과 연결되어 있다.

시프트 레프트 보안은 소프트웨어 개발 생애 주기 초기에 보안 문제를 식별하고 해결하는 것을 목표로 한다. 즉, 코드가 프로덕션에 도달하기 전에 문제를 잡는 것으로. 빠르고 지속적인 개발과 배포를 지향하는 데 필수적이다.

API 보안 기업 파인트(Pynt, CEO 츠비카 슈나이더)가 250명 이상의 보안 및 엔지니어링 전문가를 대상으로 시프트 레프트 도입 현황을 조사한 ‘시프트 레프트 도입 벤치마크 보고서’를 발표했다.

도구는 도입되었으나 효과적 구현은 난항

보고서에 따르면, 47%가 시프트 레프트 보안 전략을 구현했다고 주장하지만, 많은 기업이 여전히 실행과 적용에 어려움을 겪는 것으로 밝혀졌다. 특히, 이들 중 대부분의 조직(97%)은 도구를 갖추고 있지만, 여전히 과도한 알림, 프로세스 마찰, 그리고 개발자의 저항으로 어려움을 겪는다고 전했다.

보고서에 따르면 가장 큰 장애물은 ‘거짓 양성’으로, 전체의 35%가 이를 주요 문제로 지적했다. 잘못된 경고는 개발자의 집중을 분산시키고 보안 경고 무시로 이어질 위험이 있다. 또한 응답자의 25%는 처리해야 할 취약점의 양에 압도되고 있다고 응답해, 개발자 번아웃 문제도 심각한 과제로 드러났다.

한편 보안 도구를 개발 워크플로우에 효과적으로 통합하는 데 어려움을 겪는 비율은 31%에 달했다.

이에 대해 보고서는 시프트 레프트 전략의 효과적 이행하고 현실적인 도입 격차를 해소하는 세 가지 방안을 제안한다. 첫째, 보안 테스트 자동화를 통해 반복 작업을 줄이고, 둘째, 보안팀과 개발팀 간 협업 체계를 개선하며, 셋째, 테스트 단계에 보안을 자연스럽게 포함시켜야 한다고 강조한다. 

파인트의 CEO 츠비카 슈나이더(Tzvika Shneider)는 “모두가 시프트 레프트에 대해 이야기하지만, 기대했던 보안 이점을 실제로 얻는 조직은 거의 없다.”라며 “AI가 소프트웨어 개발 및 출시를 가속하면서 보안도 이에 발맞춰야 한다.”라고 전했다.