보안 취약점 수정 작업 간소화하고 대규모로 적용하도록 설계돼
깃허브가 자사 보안 솔루션 이용 고객을 대상으로 ‘보안 캠페인(Security Campaigns)’ 기능을 정식 출시했다.
이번 기능은 깃허브 어드밴스드 시큐리티(GHAS)와 깃허브 코드 시큐리티 고객에게 제공되며, 자동 보안 수정 기능인 ‘코파일럿 오토픽스’를 포함해 개발자와 보안팀 간 협업을 대폭 개선한 것이 핵심이다.
보안 캠페인은 개발자 워크플로우 내에서 보안 취약점 수정 작업을 간소화하면서도 대규모로 적용할 수 있도록 설계됐다. 특히 코파일럿 오토픽스는 코드 스캐닝 경고 최대 1000건에 대한 자동 수정 제안을 한 번에 생성할 수 있어, 개발자는 기존의 개발 흐름을 유지하면서 빠르게 보안 문제를 해결할 수 있다.
깃허브에 따르면, 보안 캠페인 기능 도입 전에는 병합된 코드 내 보안 경고의 단 10%만 해결됐으나, 캠페인 기능 도입 이후 해결 비율이 55%까지 증가했다. 실제 보안 캠페인에 포함된 경고는 포함되지 않은 경고 대비 개발자 참여율이 약 2배 높게 나타났으며, 해결율 또한 5.5배 이상 높은 수치를 기록했다.
보안 캠페인은 보안 전문가가 보안 이슈를 분류하고 우선순위를 설정한 뒤, 이를 개발자에게 직접 전달하는 구조다. 개발자는 자신이 일하는 깃허브 환경에서 곧바로 관련 작업을 확인하고 대응할 수 있다. 이 과정에서 코파일럿 오토픽스는 수정 제안과 함께 문제 원인을 설명하는 맞춤형 도움말을 함께 제공해, 개발자가 이슈를 보다 쉽게 이해하고 빠르게 수정할 수 있도록 지원한다.
보안 캠페인을 구성할 때는 마이터(MITRE)가 제시한 ‘공개된 주요 취약점 리스트’를 포함한 템플릿을 활용해 우선 대응할 리스크를 손쉽게 설정할 수 있다. 각 경고에 대한 책임 개발자 지정, 캠페인 매니저 설정, 조직 단위의 현황 모니터링 기능까지 제공돼, 보안팀은 캠페인 전반을 실시간으로 추적하고 필요 시 개발자와 긴밀하게 협력할 수 있다.
깃허브는 이번 정식 출시와 함께 세 가지 신규 기능도 함께 발표했다. 먼저, ‘보안 캠페인 초안(Draft)’ 기능은 관리자가 캠페인을 사전 검토할 수 있도록 도와준다. ‘깃허브 이슈 자동 보고’ 기능은 경고가 발생한 저장소에 자동으로 이슈를 생성하고, 진행 상황에 따라 업데이트된다. 또한 ‘조직 단위 캠페인 통계’ 기능을 통해 관리자는 전체 캠페인 데이터를 통합적으로 확인할 수 있어 조직 전체의 보안 대응 현황을 효과적으로 파악할 수 있다.
깃허브 제임스 플레처 시니어 프로덕트 매니저는 “보안 부채는 기업의 지속적 리스크 중 하나로 남아 있다”며 “이번 기능 출시로 개발자와 보안팀이 각자의 전문성을 기반으로 협업함으로써, 보안 문제 해결 속도와 효율성이 획기적으로 향상될 것”이라고 강조했다.
이번 보안 캠페인 기능은 보안 문제 해결을 일회성 과제가 아닌, 개발 업무의 일환으로 자연스럽게 통합하는 접근 방식을 보여주며, 앞으로 다양한 규모의 조직에서 실제적인 보안 개선 효과를 기대할 수 있을 것으로 보인다.
헬로티 서재창 기자 |
