CollabOps

SLSA 도입의 진짜 비용 — Level 2 → Level 3 의 18개월

SLSA Level 2 까지는 *공짜에 가깝다*. Level 3 부터가 *진짜 비용*. 18개월 동안 우리가 쓴 시간·돈·정치적 비용의 실측.

백재민
백재민
CollabOps 창업자
SLSA 도입의 진짜 비용 — Level 2 → Level 3 의 18개월

SLSA (Supply-chain Levels for Software Artifacts) 가이드는 Level 1 → 4깔끔하게 단계적 으로 그린다. 실제는 그렇지 않다. Level 2 까지는 공짜에 가깝고 Level 3 부터가 진짜 비용.

이 글은 18개월 동안 Level 2 → Level 3 로 가면서 우리가 쓴 시간·돈·정치적 비용 의 실측이다.

SLSA Level 2 — 거의 공짜

SLSA Level 2 의 요구:

  • 빌드를 호스팅된 빌드 서비스 에서 (GitHub Actions, GitLab CI 등)
  • 서명된 provenance (이 빌드가 어떤 소스로부터 왔는가)
  • 변조 방지된 source (git)

대부분의 모던 CI 가 이미 기본으로 만족한다. 우리 작업 시간 — 3일. 비용 0.

SLSA Level 3 — 18개월

Level 3 의 요구:

  • isolated build environment — 빌드 머신이 빌드 사이에 완전 격리
  • non-falsifiable provenance — provenance 가 빌드 시스템에 의해 서명되고, 빌드 자체에서 변조 불가능
  • parameterless — 빌드가 외부 파라미터 없이 결정론적

이 셋이 겉보기에는 작은 변경 이지만, 실제로는 기존 빌드 인프라 전체 를 다시 봐야 한다.

18개월의 시간 분배

작업                                | 기간      | 비용 (인건비)
──────────────────────────────────┼──────────┼──────────────
빌드 worker 의 *불변 이미지* 화      | 6 주      | $24,000
재빌드 가능성 검증 (parameterless) | 8 주      | $32,000
Provenance 서명 인프라 (sigstore) | 4 주      | $16,000
모든 빌드 step 의 격리 검증         | 4 주      | $16,000
사용 중인 도구의 *Level 3 적합성* 평가 | 6 주      | $24,000
인증 서류 작성 + 외부 감사         | 4 주      | $16,000
─────────────────────────────────┼──────────┼──────────────
총                                  | 32 주    | $128,000

32 주 = 8 개월집중 작업. 그러나 18개월 이 걸린 이유 — 집중 작업 외에 다른 우선순위와 경합. 실제 calendar time 은 8 → 18.

정치적 비용

비용 표 외에 정치적 비용이 컸다.

  • 기존 빌드 도구 가 Level 3 적합 X — 도구 변경 결정에 분기 1회 미팅 4번
  • 어떤 빌드는 Level 3 면제 결정 — 이걸 명시적으로 결정 하는 데 전사 합의 필요
  • Provenance 검증 실패 시 누가 책임 — 보안팀 vs 개발팀 vs SRE — 6개월 토론

이 정치적 비용은 비용 표에 안 잡힘. 그러나 진짜 18개월의 의미.

실제로 Level 3 가 값어치 가 있나

지금까지 Level 3 가 직접 막은 사고0건. 그러나 간접 효과:

  • 신규 공공 / 금융 고객 미팅 에서 SLSA Level 3 가 진입 자격 — 이거 없으면 PoC 자체가 안 시작
  • 보안팀 분기 감사6시간 → 1시간 으로 줄어듦 (provenance 가 자동 답)
  • 공급망 사고 가 발생할 확률 자체 가 측정 어려움 — 보험적 가치

종합 — 18개월 + $128,000 + 정치적 비용값어치 있다 고 말하기는 조건부.

SLSA Level 4 — 우리는 안 갈 결정

Level 4 는 Level 3 + 2명 이상의 reviewer, 모든 의존성의 hermetic 빌드. 추가 비용 Level 3 과 비슷한 규모. 우리는 공식 결정 으로 Level 4 안 감. 이유:

  • 우리 고객의 어느 누구도 Level 4 를 요구하지 않음
  • Level 3 의 체감 ROI 가 이미 조건부. Level 4 는 더 모호.
  • Level 4 까지 가려면 의존성 ecosystem 전체 의 변경이 필요 — 우리가 통제 못 함

누가 이 글을 읽으면 좋은가

지금 SLSA 도입을 검토 중 인 보안 / DevOps 리드. Level 2 면 충분한가, Level 3 까지 가야 하나 를 결정해야 함. 위 비용 표가 결정의 재료. 고객이 요구하지 않는데 Level 3 가는 결정 은 거의 항상 후회.

태그#slsa#supply-chain#security#devsecops#compliance

비슷한 글