[디지털데일리 옥송이 기자] "인공지능(AI) 시대가 되면서 개발자가 증가하고, 오픈소스 및 코드 재활용도 늘어나고 있습니다. 이에 따라 급증하는 앱과 오픈소스를 안전하게 관리하기 위해선 데브섹옵스(DevSecOps) 플랫폼이 필수적입니다."

23일 과학기술정보통신부와 정보통신산업진흥원, <디지털데일리>가 공동 주최한 '오픈테크넷 서밋 2025'가 서울 양재 엘타워에서 열린 가운데, 한충희 삼성전자 반도체 파트장은 '기업 내 데스섹옵스 구축 전략과 사례'를 주제로 발표에 나섰다.

한 파트장은 위와 같이 데브섹옵스 플랫폼의 당위성을 설명하기 위해 변화하는 IT 및 애플리케이션 환경에 대해 짚었다. 그는 "지난 2010년대만 해도 애플리케이션이랄 게 별로 없었다. 레거시 대형 ERP·MES 중심에서, 점차 클라우드 네이티브·MSA 등을 거쳐 AI 에이전트와 MCP 등까지 확장하게 됐다"면서, 흐름을 정리했다.

그러면서 "애플리케이션 갯수는 이제 늘어나기 시작하는 단계로 본다"고 말했다. AI 도구가 발달하면서 비단 엔지니어뿐 아니라, 회계팀이나 인사팀 등 다양한 부서에 속한 비개발자도 직접 앱을 만들고 있다. 그만큼 오픈소스 사용, 코드 재활용도 늘어나고, 궁극적으로 기업 내부에선 관리해야 할 애플리케이션 수도 기하급수적으로 증가하고 있다는 것이다.

이에 따라 애플리케이션 측면에선 리소스 관리가 잘 되는지, 코드 측면에선 안전성과 라이선스 이슈 등 여러 문제점이 발생할 가능성이 제기된다. 그는 "기업 입장에선 애플리케이션 수명(Lifecycle) 관리와 보안 강화 중요성이 대두하게 됐다. 데브옵스와 보안을 모두 아우르기 위해선 데브섹옵스 플랫폼이 중요하다"고 설명했다.

다만, 데스벡옵스 플랫폼을 구축하기 위해선 패키지 생성부터, 취약점 점검, 업그레이드, 패키지 공유부터 C-DEP 및 P-DEP 등을 구축해야 한다. 아울러 배포뿐 아니라, 데이터 모니터링을 통한 이상 방지 등을 할 수 있어야 한다. 이에 삼성전자는 내부 개발자 플랫폼(IDP. Internal Developer Platform)을 단계적으로 구축했다. C-DEP, P-DEP, o11y, A-Hub 등으로 구성된 이 플랫폼은 단순한 개발 지원을 넘어 운영과 보안까지 아우른다.

C-DEP(Citizen DevOps Platform)은 비개발자도 손쉽게 애플리케이션을 개발할 수 있도록 한 환경이다. 로컬 PC에 별도 환경을 구성하지 않아도 웹 브라우저에서 바로 개발과 배포가 가능하다. AI 기반 자동 코딩과 오류 분석 기능도 지원한다. 덕분에 제조 엔지니어, 총무팀 직원 등 현업 인력도 10분 만에 업무용 애플리케이션을 제작할 수 있다. 삼성전자 반도체에 따르면 현재까지 2만개 이상의 개발 환경이 생성됐고, 약 3500개가 운영 중이다.

P-DEP(Pro DevOps Platform)은 전문 개발자를 위한 시스템이다. 쿠버네티스(K8S), VM 등 다양한 인프라 환경을 지원하며, 젠킨스, 깃허브 액션, 헬름 등 여러 빌드·배포 방식을 선택할 수 있다. 대규모·전문화된 시스템 구축에 적합해 사내 핵심 서비스의 기반이 되고 있다.

운영 측면에선 o11y(Observability) 플랫폼이 도입됐다. 단 10분 만에 구축 가능한 모니터링 환경으로, 메트릭(Metric), 로그(Log), 사용자 경험(RUM), 애플리케이션 성능(APM) 등을 살필 수 있다. 한 파트장에 따르면 현재 삼성전자 반도체 사내에서만 약 3만대 리소스를 모니터링하며 표준 운영 플랫폼으로 자리잡았다.

보안 강화를 위한 A-Hub(Artifact Hub)도 마련했다. 오픈소스와 내부 패키지를 통합 관리하는 저장소다. 외부 오픈소스는 반드시 A-Hub를 통해서만 반입되는 식이다. 취약점(CVE) 실시간 점검, 소프트웨어 자재명세서(SBOM) 관리, 라이선스 검증 등이 이뤄진다.

한 파트장은 시프트-레프트 보안 필요성도 강조했다. 기존 보안이 개발 완료 후 점검하는 사후 대응이었다면, 데브섹옵스는 개발 초기부터 취약점을 차단하고 자동화된 보안 검증을 수행한다는 것이다. 개발자 스스로 위험을 관리하고 개선할 수 있는 체계를 갖추는 게 핵심이라는 설명이다.

나아가 AI와 결합한 차세대 데브섹옵스 구상도 밝혔다. AI옵스와 AI데브옵스다. AI옵스는 단순히 데이터 모니터링에 그치지 않고, CI/CD 과정에서 발생하는 코드 변경 이력과 빌드 및 배포 기록, SBOM 등 데이터를 수집한다. 이를 기반으로 AI가 문제 원인을 분석 및 조치하는 구체를 구축 중이다.

AI데브옵스에 대해 한 파트장은 "AI 에이전트와 MCP가 기업 내에서 급격히 늘어나고 있다. 단순 프레임워크 제공을 넘어 LLM 활용 지표와 GPU 사용량까지 모니터링하고, 품질 검증을 위한 플레이그라운드 환경도 제공돼야 한다"고 전했다.

삼성은 이를 통해 AI 앱 개발자들이 안정적으로 에이전트와 MCP를 만들고 운영할 수 있는 기반을 제공한다는 구상이다. 아울러 기업 내 전체 애플리케이션 라이프사이클을 한 눈에 관리할 수 있도록 사내 애플리케이션 마켓플레이스도 도입할 방침이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -