설계를 통한 보안
개발의 모든 단계에 보안 통합
오늘 처음부터 비즈니스를 구축한다면, 보안을 마지막에 덧붙이지 않고 처음부터 보안을 내재화할 것입니다. 문제는 대부분의 조직이 처음부터 시작하는 것이 아니라는 점입니다.
조직들은 이미 움직이고 있습니다. AI 기반 개발에 힘입어 점점 더 빠른 속도로 더 많은 코드를 프로덕션에 투입하고 있으며, 새로운 지역으로 확장하고, AI 서비스를 통합하고, 다양한 팀, 도구, 우선순위를 통해 비즈니스를 운영하고 있습니다. 하지만 보안팀은 같은 속도로 확장할 수 없습니다. 그 결과, 보안은 변화에 발맞추기보다 변화의 속도�를 따라잡으려고 애쓰는 사후 반응적인 형태가 되는 경우가 많습니다.
그렇다면 좋은 소식은? 상황은 변하고 있다는 것입니다.
Wiz에서 제품, 확장성, 파트너십을 총괄하는 부사장으로서, 저는 보안을 방해 요소가 아니라 혁신을 가능하게 하는 요소로 인식하는 리더들이 점점 늘고 있음을 직접 확인해 왔습니다. 이들은 보안을 개발 파이프라인에 내재화하고, 공통의 위험 인식을 중심으로 부서 간 팀을 정렬하며, 통제력을 잃지 않으면서도 자율성을 지원하는 아키텍처를 채택하고 있습니다.
그리고 이는 유행을 따르는 것이 아니라 비즈니스가 이를 요구하고 있기 때문입니다. 실제로, 2026 Cloudflare 애플리케이션 혁신 보고서에 따르면, 보안과 애플리케이션 노력의 연계성을 갖춘 조직은 85%가 AI를 위해 설계된 새로운 애플리케이션을 이미 구축했습니다. 이는 보안 연계가 단순한 위험 감소를 넘어 최신 애플리케이션 개발의 촉매제라는 분명한 신호입니다.
이제 설계 원칙은 곧 보안 원칙
"설계를 통한 보안"은 기술적인 원칙을 뛰어넘는 전략적 원칙입니다. 올바르게 수행되면 조직에서는 안전을 손상시키지 않으면서 더 빠르게 움직일 수 있습니다. 덕분에 보안 �팀은 끝없는 수정 대신 더 의미 있는 작업에 집중할 수 있습니다. 개발자는 워크플로우에 내장된 올바른 컨텍스트와 제어 기능을 통해 소유권을 확보할 수 있고, 불가피하게 문제가 발생한다고 해도 조직 전체의 복원력이 더 강해집니다.
현실적으로 일시적인 인프라, 서버리스 기능, 또는 AI 파이프라인을 기반으로 한 현대적인 아키텍처는 위험의 형태 자체를 근본적으로 바꿔 놓았습니다. 보안은 더 이상 마지막 관문이 될 수 없습니다. 팀에서 초기에 보안을 통합하고 수명 주기 전반에 걸쳐 강화하면 예기치 못한 상황이 줄어들고 더 나은 결과를 얻을 수 있습니다.
하지만 이러한 변화에는 도구 이상의 것이 필요합니다. 의지와 리더십이 필요합니다.
팀 전반에 걸친 소유권 재정의
가장 의미 있는 변화 중 하나는 보안 소유권의 재정의입니다. 미래 지향적인 조직에서 개발자와 클라우드 엔지니어는 더 이상 '보안 인접' 수준의 존재가 아닙니다. 그들은 최전선에 있는 것입니다. 자신이 구축한 것에 대해 책임을 지며 스마트하고 안전한 선택을 할 수 있는 권한도 가집니다. 제가 늘 말하듯이, 보안은 팀 스포츠입니다.
이러한 종류의 모델은 자연스럽게 나타나지 않습니다. 이를 위해서는 리더가 팀 간의 마찰을 없애고, 명확한 기대치를 제시하며, 필요할 때 필요한 곳에서 위험 상황에 대한 정보를 �얻을 수 있도록 해야 합니다. 이는 환경 전반의 가시성을 재고하거나, 팀이 실제로 작업하는 방식에 맞춰 정책을 조정하거나, 속도만을 추구하기보다는 안전한 혁신을 중심으로 인센티브를 조정하는 것을 의미할 수도 있습니다.
이는 단순한 기술적 개선 그 이상입니다. 일종의 문화적 변화이며, 하루아침에 일어나는 일이 아닙니다.
보안을 등한시한 대가
보안이 사후에 추가되면 비용은 단순히 기술 부채에만 국한되지 않습니다. 이는 속도, 연계, 신뢰의 희생으로 이어지기도 합니다.
여러 팀이 잘못 할당된 경고를 분류하는 데 시간을 허비하고, 사일로화된 정보로 인해 사고 대응이 느려지고, 심각도가 높은 위험은 오히려 틈새를 비집고 침입합니다. 그리고 가장 큰 피해는 보안과 엔지니어링 간의 관계가 무너져 향후 협업이 더욱 어려워진다는 것입니다.
Wiz의 위협 연구 팀에서 수십만 개의 클라우드 환경을 분석한 결과에 따르면 설계 격차가 실제로 얼마나 흔한지 알 수 있습니다. 연구 결과, 클라우드 환경의 절반 이상(54%)에 개인 식별 정보(PII)나 결제 정보 등의 중요한 데이터가 포함된 가상 머신 ��또는 서버리스 인스턴스가 노출되어 있는 것으로 나타났습니다. 그리고 이들 환경의 35%에는 노출된 데이터와 높거나 심각한 취약점이 모두 존재하고 있어 익스플로잇이 가능했습니다. 설계를 통한 보안은 시스템을 구축하는 방식에 가시성과 위험 컨텍스트를 근본적으로 반영함으로써 이러한 취약점을 방지하는 데 도움이 됩니다.
잘못된 구성, 데이터 노출, 과도한 권한 계정 등은 여전히 발생할 수 있습니다. 하지만 우리는 이러한 문제와 기타 과제에 정면으로 맞서온 수십 개의 글로벌 기업과 협력해 왔습니다. 또한 Wiz 고객의 절반 이상은 보안 팀 외부에 속해 있습니다. 이는 공동 책임이 가능할 뿐만 아니라, 효과적이라는 것을 보여주는 신호입니다. 팀이 설계를 통한 보안을 내재화하는 모델을 채택하면, 문제 해결 시간을 단축하고 우선순위를 개선하며 가장 중요한 사항에 더 긴밀하게 집중할 수 있습니다.
현재의 모델이 발목을 잡고 있나요?
모든 경우에 적용되는 만능 청사진은 없습니다. 하지만 리더가 현재 모델이 진정으로 보안 설계를 지원하는지 평가하는 데 도움이 될 수 있는 신호들이 있습니다.
개발자가 보안 검토를 기다리지 않고도 위험을 식별하고 해결할 수 있습니까? 보안 팀이 가장 중요한 사항에 집중할 수 있는 가시성과 맥락을 갖추고 있습니까? 문제 해결 워크플로가 빠르고 자동화되어 있으며, 공유 데이터를 기반으로 운영되고 있습니까? 조직이 속도를 늦추거나 위험��을 더하지 않고 혁신할 수 있습니까?
이 질문들 중 어느 하나라도 “아니오”(또는 “가끔”)라면, 보안이 아키텍처와 조직 문화에 어떻게 내재화되어 있는지 다시 점검해야 할 때입니다.
설계를 통한 보안은 벽 너머로 확장됩니다
안전한 시스템을 설계하는 일은 조직 내부만을 위한 일이 아닙니다. 더 광범위한 클라우드 생태계에 기여하는 것입니다. 위협이 고립되어 있는 경우는 드뭅니다. 오늘 한 환경에서 발견된 잘못된 구성이 내일은 다른 환경에서 악용될 수도 있는 것입니다. 그래서 복원력이 가장 높은 조직은 자체 인프라 보호에 그치지 않고, 직접 터득한 교훈을 다른 조직들과 공유합니다.
연구 결과를 공개적으로 발표하거나, cloudvulndb.org와 같은 개방형 취약점 데이터베이스에 기여하거나, 피어링을 통해 공유 방어 체계를 개선하는 등의 노력은 모두의 기준을 높이는 데 큰 힘이 됩니다.
또한 효율적입니다. 다양한 업계의 보안 팀이 종종 동일한 잘못된 설정이나 노출 패턴을 각자 분류하고 처리하는 데 시간을 소비하곤 합니다. 위험을 조기에 공개적으로 드러내면, 중복 작업을 줄이고 전반적인 대응 속도를 향상시킬 수 있습니다. 이처럼 설계를 통한 보안은 다른 조직까지 염두에 두고 설계한다는 의미입니다.
보안 내재화는 더 이상 선택이 아닙니다
AI가 개발 수명 주기를 극적으로 가속화하면서 우리는 애플리케이션 혁신의 새로운 시대에 접어들고 있습니다. 클라우드 네이티브 아키테처, AI 기반 파이프라인, 전 세계에 분산된 팀도 마찬가지로 동적 보안 접근 방식을 필요로 합니다. 보호가 최종 체크포인트가 아니라, 개발의 모든 단계에 기본으로 포함된 상태를 구축해야 합니다.
단순히 그 가능성을 말하는 것이 아닙니다. 이미 일어나고 있는 일입니다.
Wiz와 Cloudflare의 설계를 통한 보안에 대한 노력은 조직이 문제 해결에 쏟는 시간을 줄이고, 다음으로 나아갈 기반을 구축하는 데 더 많은 시간을 할애할 수 있도록 도와줍니다. Cloudflare와 Wiz가 힘을 모으면 에지와 클라우드의 위험을 한눈에 파악할 수 있습니다. Cloudflare DNS와 웹 애플리케이션 방화벽(WAF) 로그를 Wiz 플랫폼으로 통합하면, 팀은 곧바로 잘못된 설정을 발견하고 사각지대를 줄이며 문제가 더 커지기 전에 해결하는 데 집중할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부�입니다.
작성자
Oron Noah
제품, 확장성, 파트너십 담당 부사장, Wiz
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
애플리케이션 개발에 "설계를 통한 보안"이 중요한 이유
협업이 개발을 가속화하고 보안을 개선하는 방법
보안을 등한시한 대가