기업의 데브옵스팀은 전체 업무 시간의 절반을 비즈니스 가치 창출에 전혀 기여하지 않는 작업에 허비하고 있을 가능성이 높다. ‘2025 자바 현황 보고서‘에 따르면 전체 조직의 62%는 실행되지 않는 데드 코드로 인해 데브옵스 생산성이 저하되고 있으며, 33%는 잘못된 보안 경고를 추적하느라 업무 시간의 절반 이상을 허비하고 있다고 답했다. 한편 72%는 사용하지 않는 클라우드 용량에 비용을 지불하고 있다고 언급했다.
이는 단순한 비효율이 아니라 경쟁력을 서서히 잠식하고 혁신을 갉아먹는 ‘숨은 비용’일 수 있다. 1996년 JDK 1.0 시절부터 자바와 함께해 온 지난 25년간, 이처럼 누적된 비효율이 자바 기반 기업의 혁신을 가로막는 가장 큰 장애물로 자리 잡는 모습을 목격했다. 전체 기업의 70% 가까이가 애플리케이션의 절반 이상을 자바에서 실행한다고 밝힌 만큼, 이는 특정 기업만의 문제가 아니라 업계 전반에 퍼진 ‘보이지 않는 위기’라 할 수 있다.
데브옵스 부채의 3가지 축
디지털 저장 강박이 초래하는 ‘코드 비대화’
데드 코드란 실제로 실행되지 않지만 여전히 운영 환경에 남아 있는 코드로, 단순히 저장 공간 낭비가 아니라 다양한 문제를 야기한다. 생산성 저하는 빙산의 일각일 뿐이며, 개발자가 불필요하게 복잡한 시스템을 탐색해야 하는 구조적 비효율을 초래한다. 실제로 데드 코드가 많은 조직은 그렇지 않은 조직보다 평균적으로 개발 주기가 35% 더 긴 것으로 나타났다.
이 문제는 시간이 지날수록 더 악화되며, 특히 자바 버전이 오래될수록 비효율이 커진다. 예컨대 전체 조직의 10%는 오라클이 2018년 12월에 업데이트 지원을 중단한 자바 6에서 여전히 애플리케이션을 운영하고 있다.
끝없는 ‘보안 허위 경고’
보안 허위 경고는 개발 시간 낭비를 넘어 데브옵스 리소스를 심각하게 소모시키는 원인으로 작용하고 있다. 보안 스캐닝 과정에서 ‘일단 안전한 것이 낫다’라는 접근 방식이 경고 피로를 유발하면서, 전체 팀의 3분의 1이 실제 위협이 아닌 문제를 조사하는 데 대부분의 시간을 소비하고 있는 실정이다.
이 문제는 자바 환경에서 더 심각할 수 있다. 전체 조직의 41%는 운영 환경에서 매주 혹은 매일 심각한 보안 이슈를 겪고 있었다. 특히 로그4j(Log4j) 취약점이 공개된 지 3년이 지났음에도 여전히 절반에 가까운 기업이 운영 환경에서 이 문제를 해결하지 못하고 있는 것으로 나타났다. 이처럼 지속되는 취약점은 이론적 위협과 실제 위협을 구분하기 어려운 구조적 한계를 반영한다.
조사 결과에 따르면 자바 환경에서 발생하는 보안 경고의 약 70%는 실제로는 허위 경고이거나, 운영 환경에서 실행되지 않는 코드 경로의 취약점인 것으로 드러났다. 실질적 위협과 가상의 문제를 효과적으로 구분하지 못할 경우, 데브옵스 팀은 혁신보다는 리스크 관리에 발이 묶일 수밖에 없다.
유휴 용량에 비용을 지불하는 ‘클라우드 낭비’
데브옵스 부채는 클라우드 리소스 비효율이라는 재무적 문제로도 나타난다. 수치상으로도 낭비가 심각하지만, 그 이면에는 성능 요구사항에 대한 불확실성과 일관되지 않은 부하 패턴으로 인해 많은 조직이 자바 애플리케이션에 과도하게 리소스를 할당하고 있다는 구조적 문제가 있다.
자바 기반 조직의 약 3분의 2는 전체 클라우드 컴퓨팅 비용의 절반 이상이 자바 워크로드에서 발생한다고 응답했다. 분석에 따르면 자바 가상머신(JVM) 설정만 최적화해도 평균적으로 25~30%의 비용을 줄일 수 있다.
이러한 낭비는 사용하지 않는 용량에 대한 실질적인 ‘이자 비용’으로 작용하며, 기업 전체로 보면 연간 100억 달러(약 13조 원) 이상의 클라우드 비용이 낭비되고 있다.
데브옵스 부채를 해결하는 방법
전체 조직의 49%가 자바 17 또는 자바 21을 도입하며 애플리케이션 현대화를 추진하고 있는 가운데, 이는 그동안 누적된 비효율을 해소할 기회가 될 수 있다.
코드 위생 자동화
CI/CD 파이프라인에 직접 통합된 자동화 도구를 구현해 데드 코드를 식별하고 안전하게 제거하며, 새로운 비효율이 누적되는 것을 방지해야 한다. JVM 성능 지표를 지속적으로 모니터링하는 것처럼 사용되지 않는 코드 패턴도 동일한 수준의 정밀도로 관리할 필요가 있다.
앞선 조직은 운영 환경에서 오랫동안 실행되지 않은 코드 경로를 식별하기 위해 런타임 사용 분석을 도입하고 있다. 이와 같은 데이터 기반 접근법으로 일부 기업은 코드베이스를 최대 40%까지 줄이기도 했다.
또한 폐기 예정 코드에 만료 기한을 명시하는 정책을 마련하는 방법도 있다. 그래야 임시 코드 우회로가 기술 부채로 고착되지 않도록 할 수 있다. 정기적인 코드 리뷰를 통해 사용되지 않는 구성 요소를 집중 점검하면 코드베이스를 간결하고 관리하게 쉽게 유지할 수 있다.
보안을 위한 런타임 인텔리전스
기존 보안 스캐닝은 맥락이 부족한 경고를 과도하게 생성할 수 있다. 최근에는 이론적인 위협보다 실제 사용 패턴을 기반으로 취약점의 우선순위를 정하는 ‘런타임 인텔리전스’가 주목받고 있다.
조직은 생산 환경에서 실제로 실행되는 코드 경로와, 존재만 하고 사용되지 않는 경로를 구분할 수 있는 도구에 투자해야 한다. 런타임 인텔리전스 접근 방식은 보안을 ‘이론적 위협 탐색’에서 ‘실제 리스크 관리’로 전환하며, 허위 경고를 획기적으로 줄이고 데브옵스 팀이 혁신에 집중할 수 있도록 지원한다.
이 방식을 채택한 기업들은 보안 경고량을 최대 80%까지 줄이면서, 실제로 악용 가능한 취약점에 집중함으로써 보안 태세를 개선했다고 밝혔다.
리소스 최적화
고급 자동 확장 기능, 고성능 JDK, 그리고 기술과 비즈니스 목표를 일치시키는 검증된 핀옵스(FinOps) 전략을 도입해 클라우드 리소스 할당을 최적화해야 한다.
보고서에 따르면 앞선 조직은 이미 이 문제를 적극적으로 해결하고 있다. 38%는 클라우드 인스턴스 사용에 대한 내부 규정을 새롭게 도입했고, 35%는 더 효율적인 컴퓨팅 인스턴스와 프로세서를 채택했으며, 24%는 성능 향상과 비용 절감을 위해 고성능 JDK를 사용하고 있다.
특히 성공적인 조직은 엔지니어링, 운영, 재무 부서가 참여하는 다기능 핀옵스 조직을 구성해 리소스 최적화를 전사적 관점에서 해결하고 있다. 이들은 혁신 속도와 비용 효율성 간 균형을 맞추기 위해 지표와 거버넌스 체계를 마련하고 있다.
혁신 역량 회복은 선택이 아닌 필수
데브옵스 부채의 비용은 단순한 엔지니어링 시간 낭비가 아니라 훨씬 더 큰 영향을 미친다. 팀이 시간의 절반을 허위 경고를 처리하고 비대화된 코드베이스를 관리하는 데 소모할 때, 이미 이 문제를 해결한 경쟁사는 2배 빠르게 혁신할 수 있다. 우수한 개발자는 가치를 창출할 수 있는 환경을 원하지, 기술 부채를 관리하는 데 시간을 쓰고 싶어하지 않는다. 가치 없는 일에 시간을 쓰는 동안 개발해야 할 기능은 미뤄지고, 고객 요구는 외면되며, 중요한 시장 기회를 놓치게 된다.
과거 기업들이 비효율적인 자바 배포를 벗어나기 위해 대안을 찾았던 것처럼, 데브옵스 부채에 대한 인식이 확산됨에 따라 이 문제를 해결하려는 움직임도 본격화할 것으로 예상된다. 선제적으로 대응하는 조직이 확실한 경쟁 우위를 선점할 가능성이 높다.
이제 중요한 질문은 ‘데브옵스 부채가 있는가’가 아니라, ‘경쟁사보다 먼저 이를 해소할 수 있는가’이다. 이미 존재하는 도구와 전략을 활용하면 이런 비효율을 획기적으로 줄일 수 있으며, 지금 행동하는 조직은 엔지니어링 생산성 개선을 넘어, 경쟁이 치열해지는 시장에서 혁신 역량을 재정의하게 될 것이다.
*Simon Ritter는 아줄(Azul)의 부 CTO다.
dl-ciokorea@foundryco.com
Read More from This Article: 기고 | 쌓일수록 혁신은 무너진다··· ‘데브옵스 부채’ 해결법
Source: News