[reinvent 2025] 캐세이(Cathay)가 AI로 DevSecOps를 혁신한 방법: 보안 속도 75% 향상 성공 사례
Summary
78%에 달하는 보안 취약점 오탐지(False Positive)와 수동 리뷰의 한계에 직면했던 캐세이 퍼시픽이, AWS와 협력하여 Agentic AI 기반의 DevSecOps 환경을 구축한 여정을 소개합니다. 보안 챔피언 프로그램과 AI 에이전트를 통해 취약점 해결 시간을 15일로 단축하고, 중요 보안 이슈를 75% 감소시킨 구체적인 전략을 공유합니다.
리인벤트 2025 테크 블로그의 더 많은 글이 보고 싶다면?
Overview
들어가며
“보안 스캐너가 탐지한 취약점의 78%가 오탐지(False Positive)라면, 개발자는 보안을 신뢰할 수 있을까요?” 전 세계 100여 개 취항지를 연결하는 글로벌 항공사 캐세이 퍼시픽(Cathay Pacific)은 수천 개의 마이크로서비스와 애플리케이션을 운영하면서 심각한 보안 피로도에 시달렸습니다. 이번 칼럼에서는 해당 세션을 통해, 캐세이 퍼시픽이 어떻게 기존의 수동적인 보안 검수 프로세스를 AI 에이전트(Agentic AI) 기반의 자동화된 DevSecOps로 전환하여 보안 처리 속도를 75%나 향상시켰는지, 그 3년여간의 혁신 여정을 상세히 살펴보도록 하겠습니다.
1. 보안의 병목 현상과 비즈니스 과제
캐세이 퍼시픽은 디지털 혁신을 가속화하며 1,300개 이상의 애플리케이션과 3,500개의 마이크로서비스를 운영하고 있었습니다. 하지만 이러한 규모의 확장은 곧 보안 관리의 어려움으로 이어졌습니다.
- 높은 오탐지율: 보안 스캐너가 쏟아내는 알림 중 78%가 실제로는 위험하지 않은 오탐지(False Positive)였습니다.
- 수동 리뷰의 부담: 매달 약 500건의 예외 처리 요청이 발생했고, 이를 검토하는 데만 월 48일치의 인력(Human-days)이 소모되었습니다.
- 느린 시장 출시: 보안 검수가 병목이 되어 비즈니스 서비스의 출시 속도(Time-to-Market)가 지연되는 악순환이 반복되었습니다.
2. DevSecOps로의 전환: Shift Left
이 문제를 해결하기 위해 캐세이는 AWS ProServe 팀과 협력하여 보안을 개발 프로세스의 가장 앞단으로 이동시키는 ‘Shift Left’ 전략을 채택했습니다.
- 새로운 접근 방식: 기존의 폭포수(Waterfall) 방식 보안 테스트에서 벗어나, 개발 초기부터 보안을 고려하고 CI/CD 파이프라인에 자동화된 보안 테스트(SAST, DAST 등)를 내재화했습니다. 이를 통해 개발 후반부에 보안 이슈로 인해 프로젝트가 지연되거나 리스크를 안고 출시해야 하는 상황을 방지했습니다.
- 사람, 프로세스, 기술의 조화: 단순히 도구만 도입한 것이 아니라, 조직 문화를 바꾸기 위해 ‘보안 챔피언(Security Champions)’ 프로그램을 운영했습니다.
- Level 1 (애플리케이션 엔지니어): 각 앱 팀 내에서 보안 관련 수정 사항을 주도하고 Shift-Left를 지원합니다.
- Level 2 (시니어 엔지니어): L1이 내린 결정을 검증(Verify)하고, 기술적인 의사결정을 내립니다.
- Level 3 (엘리트 전문가): 전사적 차원에서 복잡한 기술적 문제를 해결하고 새로운 보안 기술을 연구합니다. 이 프로그램을 통해 총 86명 이상의 보안 챔피언이 양성되었고, 개발팀 스스로 보안 문제를 해결할 수 있는 역량을 갖추게 되었습니다.
3. Agentic AI를 통한 자동화
가장 혁신적인 변화는 2025년에 도입된 Agentic AI 입니다. 수동으로 처리하던 오탐지 식별과 예외 처리 승인 과정을 AI 에이전트에 위임했습니다.
- 지능형 어시스턴트: 개발자가 취약점에 대해 물으면, LLM 기반 에이전트가 AI 에이전트가 지식 베이스(Knowledge Base)와 과거 패턴, 조직 정책, 코드맥락을 분석하여 해당 경고가 오탐지인지 판단하거나 자동으로 예외 처리를 제안합니다. 예를 들어, AI는 특정 SQL 인젝션 경고에 대해 “95% 확률로 오탐지입니다”라고 답변하며 그 근거를 제시합니다.
- 아키텍처: Amazon Bedrock을 기반으로 EventBridge, Lambda, DynamoDB 등을 활용하여 이벤트 기반의 자동화된 보안 워크플로우를 구축했습니다.
- 워크플로우 통합: ServiceNow와 연동하여 오탐지로 판명된 건은 자동으로 기록되고 파이프라인 진행을 허용합니다.
4. 성과 및 로드맵
이러한 노력의 결과, 캐세이 퍼시픽은 놀라운 성과를 거두었습니다.
- 보안 속도 향상: 취약점 해결 평균 시간이 30일에서 15일로 50% 단축되었습니다.
- 리스크 감소: 중요(Critical/High) 보안 취약점이 75% 감소했습니다.
- 효율성 증대: 반복적인 오탐지 리뷰 업무가 자동화되면서 개발자와 보안 팀의 번아웃이 크게 줄어들었습니다.
캐세이는 2022년 평가(Assessment)를 시작으로 2025년 AI 에이전트 프로덕션 배포에 이르기까지 단계적이고 체계적인 로드맵을 실행해 왔습니다.
결론
캐세이 퍼시픽의 사례는 AI가 보안 영역에서 어떻게 인간을 돕는 조력자로 활용될 수 있는지 보여주는 모범 답안임이 분명했습니다. 보안은 더 이상 개발 속도를 늦추는 장애물이 아닙니다. 올바른 프로세스(DevSecOps), 문화(Security Champions), 그리고 기술(Agentic AI)이 결합될 때, 보안은 비즈니스 혁신의 속도를 높이는 강력한 안전벨트가 될 수 있음을 느꼈던 시간이었습니다.
글 │메가존클라우드, Cloud Technology Unit (CTU) AWS Delivery SA 2 팀 서해민 SA
게시물 주소가 복사되었습니다.
