Invisible Safety,

Proven by Intelligence

보이지 않는 안전을 인텔리전스로 증명하다.

기술 노트
IT 산업의 변화를 이끄는 MDS인텔리전스의
기술 인사이트를 만나보세요.
시스템 소프트웨어 개발
[CodeSonar] DevSecOps를 위한 SAST 기반 CI/CD 파이프라인 구축(1)
2026년 03월 10일

오늘날 소프트웨어 개발부터 배포까지 원활하게 진행하기 위해, 많은 개발팀이 초기 단계부터 CI/CD 파이프라인을 구축합니다.


이 덕분에 모든 단계를 자동화하여 개발 편의성이 향상되고, 높은 효율성을 제공할 수 있습니다.


 

그러나 속도만 중시한 빠른 개발과 배포에 집중하다 보면, 보안 취약점이 발생할 위험이 커집니다.


특히, 겉으로는 문제가 없어 보이는 소스 코드라도 자세히 검증해 보면 보안 취약점이 내재되어 있을 가능성이 있습니다.


이러한 보안 취약점은 발견이 늦어질수록 수정 비용과 리소스가 증가하며, 소프트웨어 품질에도 악영향을 미칠 수 있습니다.



이러한 문제를 해결하기 위해 DevSecOps의 방식을 적용하여 CI/CD 파이프라인을 구축할 수 있습니다.




"

DevSecOps란 개발(Development), 보안(Security), 운영(Operations)을 통합한 접근 방식으로,

보안을 개발 초기 단계부터 자동화하는 것이 핵심입니다.

"



특히 DevSecOps에서 보안은 "후속 조치"가 아니라 "초기 단계부터 자동화"하는 것이 중요합니다.



이러한 맥락에서 DevSecOps 기반의 CI 파이프라인에서는 보안 취약점을 탐지하기 위해 SAST(Static Application Security Testing)기법을 활용합니다.

 


SAST는 정적 보안 어플리케이션 테스트로 코딩 및 설계 단계에서 정적 분석을 통해  소스 코드 내 잠재적인 보안 취약점을 식별할 수 있는 솔루션 기법입니다.


주로 최종 환경에서 배포되기 전 소프트웨어 개발 초기 단계에서 수행되며, 잠재적인 보안 문제를 초기에 식별하여 소프트웨어 품질 향상에 기여할 수 있습니다.



이러한 SAST 기반 Tool로는 Checkmarx, Mend, CodeSonar, HelixQAC 등이 있습니다.


위 도구들 모두 보안과 관련된 취약점들을 식별할 수 있는 정적 분석 도구입니다.



그럼 본격적으로 SAST Tool의 특징은 무엇이고 CI 파이프라인에서 SAST Tool를 적용했을 때 얻을 수 있는 이점이 무엇인지 알아보겠습니다.


 



SAST Tool의 특징



정적 분석

SAST는 애플리케이션을 실행하지 않고 데이터 흐름 분석, 제어 흐름 분석, 정적 코드 분석 등 다양한 정적 분석 기법을 통해 코드를 분석하여 보안 취약점을 탐지할 수 있습니다. 소스 코드는 물론 바이너리 코드 혹은 바이트 코드도 분석할 수 있습니다.

 


광범위한 보안 취약점 탐지

SAST는 소스 코드 내에서 발생할 수 있는 다양한 유형의 취약점을 탐지할 수 있습니다. 대표적으로 SQL 인젝션, XSS, 하드코딩된 패스워드, 포맷 스트링 공격 등 보안과 직결된 취약점을 탐지할 수 있습니다.


 

통합 개발 환경 플러그인 지원

통합 개발 환경 내에서 개발한 코드를 외부로 옮겨서 검증할 필요 없이 플러그인을 활용해 개발자는 코드를 작성하는 동안 실시간으로 보안 취약점을 식별하고 이와 관련된 세부 정보를 통해 즉각적으로 수정할 수 있습니다.



CI/CD 파이프라인에서 SAST Tool 적용 시 얻을 수 있는 이점



조기 결함 식별 및 비용 절감

소스 코드 내 숨은 결함은 실행 중 예측 불가능한 오류를 초래할 수 있습니다. SAST를 통해 개발 초기부터 결함을 발견하면, 예상치 못한 오류를 방지하고 수정 비용을 절감할 수 있습니다.



자동화된 보안 점검

개발하는 과정에서 코드 수정 및 유지보수 작업은 매우 빈번하게 일어납니다. 이러한 과정 속에서 매번 수동으로 검증하는 것은 많은 시간과 노력이 소모됩니다. CI/CD 파이프라인에 SAST를 적용하면, 코드 변경 시 자동으로 보안 점검이 이루어져 생산성과 보안성을 동시에 향상시킬 수 있습니다.


규정 및 컴플라이언스 준수

소프트웨어 개발에서는 보안 및 품질 표준 준수가 필수적입니다. 특히, 자동차, 의료, 금융 등 보안 및 품질 표준이 중요한 산업에서는 높은 수준의 보안 및 안정성이 요구됩니다. SAST를 활용하면 개발 초기 단계부터 보안 및 품질 요구 사항을 자동으로 검증하여 법적 문제나 신뢰도 하락을 방지할 수 있습니다.




출처 :

https://www.atlassian.com/ko/devops/devops-tools/devsecops-tools

https://waspro.tistory.com/693

https://www.jaenung.net/tree/2930