깃허브가 깃허브 어드밴스드 시큐리티(GitHub Advanced Security, GHAS) 및 깃허브 코드 시큐리티(GitHub Code Security) 사용자를 대상으로 코파일럿 오토픽스(Copilot Autofix)가 포함된 ‘보안 캠페인(security campaigns)’ 기능을 출시했다고 밝혔다.

보안 캠페인 기능은 보안 전문가와 개발자 간 협업을 통해 보안 취약점 수정 프로세스를 개발자 워크플로우 내에서 간소화하면서도 대규모로 적용할 수 있도록 지원한다. 특히 코파일럿 오토픽스는 한 번에 최대 1,000건에 달하는 코드 스캐닝 경고(code scanning alerts)에 대한 코드 수정 제안을 자동으로 생성한다. 이를 통해 보안 담당자는 분류 및 우선순위를 정하고, 개발자는 기존의 개발 흐름을 유지하면서 빠르게 보안 문제를 해결할 수 있도록 지원한다.

깃허브 시니어 프로덕트 매니저 제임스 플레처는 “보안 부채는 고객이 해결하지 못한 가장 큰 위험으로, 자체 분석 결과에 따르면 지금까지 병합된 코드 내 보안 부채 중 단 10%만이 해결되고 전체의 90%가 미해결 상태로 남아 있었다. 하지만 보안 캠페인 기능 도입 이후, 보안 부채 해결 비율이 55%까지 크게 향상됐다”라고 설명했다.

보안 캠페인 기능은 지난 2024년 깃허브 유니버스(GitHub Universe)에서 프리뷰 형태로 처음 공개된 이후, 규모나 보안 수준에 상관없이 다양한 기업에서 활용 중이다. 전사적인 보안 부채 해결이나 핵심 저장소 경고 관리 등 다양한 방식으로 사용되며 개발자와 보안팀 모두에게 실질적인 가치를 제공했다고 업체 측은 말했다.

실제로 초기 사용자 데이터를 분석한 결과, 보안 캠페인에 보고되지 않은 외부 보안 부채는 약 10%만 해결됐지만, 보안 캠페인에 보고된 보안 경고 중에서는 55%가 해결되면서 5배 이상 높은 효과를 보였다. 이는 보안 담당자가 우선순위를 선별하면, 개발자는 보안 부채 해결에 더 집중할 수 있다는 사실을 보여준다. 또한 보안 캠페인에 보고된 경고는 보고되지 않은 경고보다 개발자 참여율이 약 2배 더 높은 것으로 나타났다.

코드베이스에 존재하는 보안 문제를 분류하고 우선순위를 정하는 작업은 소프트웨어 개발 과정에서 필요한 절차다. 하지만 빠른 코드 작성 일정에 쫓기는 제품 담당자는 수많은 보안 경고를 일일이 검토하고 우선순위를 결정할 여유가 부족한 것이 현실이다. 다행히 대부분 기업에는 이런 위험을 전문적으로 다루는 보안팀이 존재한다. 보안 캠페인 기능은 개발자와 보안 담당자가 각자의 강점을 살려 보안 부채를 함께 해결할 수 있도록 돕는 새로운 협업 방식이다. 보안 캠페인이 구성되고 실행되는 과정은 다음과 같다.

• 보안팀은 보안 캠페인을 통해 조직 내 여러 저장소에 걸쳐 우선 해결해야 할 보안 리스크를 선별한다. 캠페인 구성 시에는 마이터(MITRE)의 상위 10대 공개된 취약점(Known Exploited Vulnerabilities) 같은 사전 정의된 템플릿을 활용해 범위를 손쉽게 설정할 수 있다. 또한 깃허브의 보안 개요(security overview) 기능을 통해 조직 전체의 보안 위협 현황을 통계와 지표로 확인할 수 있다.
• 보안 캠페인에 포함할 경고가 확정되고 타임라인이 설정되면, 해당 캠페인의 영향을 받는 개발자에게 자동으로 전달된다. 보안 캠페인에 정의된 수정 작업은 개발자가 실제로 일하는 공간인 깃허브에서 제공되며, 다른 기능 개발 업무처럼 계획하고 관리할 수 있다.
• 코파일럿 오토픽스는 캠페인에 포함된 모든 경고에 대해 자동 수정 제안과 함께 문제 원인을 설명하는 맞춤형 도움말을 제공한다. 이를 통해 문제 해결이 변경 사항을 검토하고 풀 리퀘스트(Full request)를 생성하는 것만큼 쉬워졌다.

깃허브는 이번에 출시한 보안 캠페인이 단순한 보안 경고에 그치지 않는다고 강조했다. 캠페인에는 각 경고의 책임 개발자를 명확히 전달하기 위한 알림 기능이 제공되며, 캠페인 매니저가 지정돼 전체 진행 상황을 관리하고 개발자의 작업을 지원한다. 또한 보안 관리자는 깃허브 내에서 조직 단위 캠페인 현황을 실시간으로 추적하고, 필요시 개발자와 긴밀히 협업할 수 있다.

이번 정식 출시와 함께 보안 캠페인 기능을 보완할 신규 기능 3가지도 발표했다.

• 보안 캠페인 초안(Draft Security Campaigns) : 보안 관리자는 보안 캠페인 기능의 적용 범위를 사전에 설정하고, 개발자에게 공유하기 전에 초안으로 저장하고 검토할 수 있다. 이를 통해 실제 시작 전에 우선순위가 높은 경고를 충분히 반영했는지 확인할 수 있다.
• 깃허브 이슈 자동 보고(Automated GitHub Issues) : 보안 캠페인에 포함된 경고가 있는 저장소에는 깃허브 이슈를 자동으로 생성할 수 있으며, 캠페인 진행에 따라 이슈가 자동으로 업데이트된다. 이를 통해 각 팀은 관련 작업을 추적하고 관리하며 논의하는 데 활용할 수 있다.
• 조직 단위 보안 캠페인 통계(Organization-level Security Campaign Statistics) : 보안 관리자는 현재 진행 중이거나 완료된 모든 캠페인의 데이터를 종합적으로 확인할 수 있으며, 이를 통해 조직 전체의 보안 개선 현황을 효과적으로 파악할 수 있다.

dl-itworldkorea@foundryco.com