OSS 기반 DevSecOps 전환을 통한 취약점 70% 감소 및 MTTR 4.2일 달성

Context

빠른 성장으로 인한 Microservices 증가와 수동 Security Review 병목 현상 발생. PR당 평균 4시간의 검토 시간과 14일의 Critical CVE MTTR로 인한 배포 지연 및 보안 리스크 심화.

Technical Solution

• 개발자 경험(DX) 보존을 위해 '보안 체크 10초 이내 완료' 원칙을 수립한 Tooling 전략 채택
• 범용 Commercial SAST의 낮은 Customizability와 느린 CI 속도를 해결하기 위해 Semgrep OSS 도입
• Stripe 전용 결제 로직에 특화된 Custom Rule 작성을 통한 탐지 정확도(Catch Rate) 및 유연성 확보
• Dependabot과 Custom GitHub Actions 연동을 통한 Dependency Patching 자동화 체계 구축
• OPA(Open Policy Agent)를 활용한 IaC(Infrastructure as Code) 정책 강제화 및 검증 자동화
• Security Engineer를 Product 팀에 직접 배치하여 Silo를 제거한 Embedded 모델 운영

Impact

• Open Critical/High 취약점 수 70% 감소(412개 $\rightarrow$ 124개)
• Pre-Deployment Security Block Rate 85.7% 개선(42% $\rightarrow$ 6%)
• Critical CVE MTTR 70% 단축(14일 $\rightarrow$ 4.2일)
• PR당 보안 리뷰 시간 92.8% 감소(4.2시간 $\rightarrow$ 18분)
• 엔지니어당 연간 툴링 비용 73.3% 절감($420 $\rightarrow$ $112)