피드로 돌아가기
Bridging Security and Reliability
Dev.toDev.to
Security

CUJ 기반 Security-Reliability 통합 모델을 통한 시스템 가용성 및 보안 가시성 확보

Bridging Security and Reliability

Thibault NORMAND2026년 6월 2일13advanced

Context

Security와 Reliability가 서로 다른 지표와 프로세스를 사용하여 동일한 시스템 저하 현상을 중복 분석하는 비효율 발생. 추상적인 위험 정의로 인해 실제 Remediation 우선순위 선정 및 실행 단계에서 엔지니어링 팀과의 합의 도출에 한계 직면.

Technical Solution

  • Critical User Journeys(CUJ)를 분석의 앵커로 설정하여 사용자 관점의 서비스 저하 시나리오 통합 정의
  • SLO(Service Level Objectives)와 SLI(Service Level Indicators)를 통해 추상적 위험을 측정 가능한 정량적 지표로 전환
  • Security의 Adversarial Modelling과 Reliability의 Production-oriented Measurement를 결합한 통합 Degradation Model 설계
  • RAMSS 프레임워크를 활용하여 Dependability의 다차원적 커버리지 확보 및 누락 지점 식별
  • PASTA 스타일의 Threat Modelling을 Reliability 시나리오로 확장하여 '문제 상황-취약점-탐지 신호-대응책'의 논리적 사슬 구축
  • Chaos Engineering 및 Incident Replay를 통한 제어 항목의 실효성 검증 및 피드백 루프 구현

- 핵심 비즈니스 가치를 대변하는 CUJ 리스트를 작성하고 각 여정별 SLO를 정의했는가 - 장애 사례(Incident)를 적대적 시나리오로 치환하여 제어 항목의 유효성을 검증하고 있는가 - 단순한 '장애 없음'이 아닌, 특정 시스템 속성을 측정하는 SLI가 설계에 반영되었는가 - 위험 분석 결과가 단순 문서가 아닌 Load Testing이나 Gameday 등 테스트 가능한 시나리오로 연결되었는가

원문 읽기