경험 기반 솔직한 접근
DevSecOps 체계를 완전히 구축한 경험은 없지만, 인턴 시절 CI/CD 파이프라인에 보안 스캔 단계를 추가하는 작업을 팀원과 함께 진행했습니다. 당시 SAST 도구를 빌드 파이프라인에 연동했고, 코드 커밋 시 자동으로 취약점 리포트가 생성되도록 설정했습니다. 처음 적용 후에는 경고가 너무 많아 개발팀이 피로감을 느꼈고, 임계값 기준과 우선순위 정책을 함께 정리하는 작업이 필요했습니다. 모든 경고를 동일하게 처리하면 정작 중요한 것이 묻힌다는 점을 그때 배웠습니다. DevSecOps의 핵심은 보안을 개발 흐름에 자연스럽게 녹이는 것이라고 생각합니다. 별도의 프로세스처럼 느껴지면 개발팀의 협조를 얻기 어렵습니다.
빠른 피드백 루프와 자동화가 DevSecOps가 지속되는 조건이라고 봅니다.