2024년 예측 보안, AI, 개발자 유지, 그리고 앞으로 나아갈 길
어느덧 연말이 다가왔습니다. 지난 한 해 동안 일어난 모든 일, 예상했던 일과 일어나지 않은 일, 교훈을 얻은 일, 향후 12개월 동안의 의사 결정, 행동 및 결과를 형성할 것으로 예상되는 일들을 되돌아보는 시간입니다.
도전적인 경제 역학 관계, 새로운 사이버 보안 위협, 사회에서 가장 쉽게 접할 수 있는 AI 도입 등 흥미로운 2023년은 데브섹옵스에 있어 흥미로운 한 해였습니다. 더욱 흥미로운 점은 페이지를 넘겨 2024년으로 향할 때 이러한 요소 중 어느 하나도 백미러에 나타나지 않는다는 것입니다. 이러한 요소는 조직, 개발자 및 사이버 보안 팀, 정부 규제 기관의 전면과 중심에 있습니다.
우선순위가 빠른 속도로 변화하는 가운데, Secure Code Warrior 에서 향후 12개월 동안 전개될 것으로 예상하는 주요 예측은 다음과 같습니다:
조직은 개발자 유지를 중요하게 생각합니다.
개발자는 조직과 고객에게 엄청난 가치를 제공합니다. 이제 개발자의 가치를 입증하고 개발자가 기업의 수익을 위해 무엇을 할 수 있는지를 이해하는 것은 조직의 몫입니다. 개발자가 현재 직장을 장기적인 경력 목표로 삼을 수 있도록 유지 전략, 프로그램 및 기타 노력에 더 많은 투자가 이루어질 것입니다. 학습과 개발은 이러한 기업에게 큰 차별화 요소가 될 것입니다.
개발자에게 더 많은 요청이 있을수록 콘텐츠와 통합이 중심이 될 것입니다.
조직은 더 많은 소프트웨어와 지속적인 디지털 혁신을 통해 고객에게 더 빨리 도달하기를 원하기 때문에 개발자에게 가해지는 압박은 당분간 줄어들지 않을 것입니다. 개발자가 예리함을 유지하고, 소프트웨어 개발 수명 주기(SDLC)의 새로운 장애물을 예측하고, 혁신을 가속화하기 위해 더 많은 리소스에 액세스하려면 더 많은 학습 콘텐츠와 타사 통합이 가장 중요합니다.
새로운 스택 오버플로인 AI 툴링
개발자들이 스택 오버플로나 오픈 소스 포럼에서 도움을 구하는 것과 마찬가지로, 개발자들은 AI 도구로 눈을 돌리기 시작할 것입니다. 하지만 이는 잘못된 보안 의식을 불러일으킵니다. 개발자는 AI를 '도움말 채널'로 사용하지만 조직은 이러한 접근 방식으로는 충분하지 않다는 것을 깨닫게 될 것입니다.
AI 교정 기능은 계속 유지됩니다.
AI가 당장 개발자를 대체하는 것은 아니지만, 이 기술은 소프트웨어 개발 수명 주기(SDLC)에 더 많이 포함되면서 취약점 발생을 방지하거나 호환 가능한 수정 사항을 식별하기 위한 보다 완벽한 프로세스를 만들고 있습니다. 올 한 해 동안 개발자 행동, 조직 투자, 인력 재배치, 사이버 보안 위험 관리에 대한 새로운 접근 방식의 변화를 필연적으로 가져올 더 많은 실험을 보게 될 것입니다.
AI 의존도 + API의 폭발적인 성장 = 규제 조치
API의 빠른 생성 및 활성화를 통해 비즈니스에 활력을 불어넣는 기업이 늘어나면서 API 위협 벡터도 크게 확대되었습니다. API의 생성 및 출시 속도가 기하급수적으로 빨라지는 AI 사용 경향에 따라 API 보안에 대한 거버넌스를 강화해야 하며, 새로운 규제 조치가 도입될 것입니다.
보안 코드를 제공하지 않는 소프트웨어 공급업체에 대한 더 많은 결과
CISA의 Jen Easterly 이사는 소프트웨어 공급업체가 제품 내 보안과 관련하여 "책임을전가"해서는 안 된다는 점을 여러 차례 강조해 왔습니다. CISA의 권한은 지금까지는 연방 기관에 제품을 판매하는 공급업체에 보안 설계 관행을 시행하는 데까지만 미쳤지만, 올해 초에 발생한 MOVEit 사건은 대형 소프트웨어 공급업체가 새로운 벤치마크를 달성해야 한다는 것을 재확인시켜 주었습니다. 안전하지 않은 코드를 배포하는 상습적인 위반자에 대해 더 많은 책임을 묻고 더 강력한 처벌을 내려야 합니다.
2024년 OWASP 톱 10은 디자인 결함에 대한 새로운 초점을 보여줄 것입니다.
설계에 의한 보안과 관련하여, 2021년에 OWASP는 아키텍처 보안 문제와 결함에 대한 변화에 초점을 맞춘 "안전하지 않은 설계" 카테고리를 도입했습니다. 곧 발표될 상위 10대 목록(2024년에 발표될 가능성이 높음)에서는 안전하지 않은 설계와 안전하지 않은 구현의 차이에 대해 임원급에서 더 많은 논의가 이루어질 것이며, 중요한 인증 및 액세스 제어 구성을 지원하는 완전한 위협 모델링 절차를 포함하여 안전한 소프트웨어 개발 수명 주기(SSDLC)를 개발하는 팀에 중점을 둘 것입니다.
데브섹옵스 공급업체는 다양한 경영진 구매자를 타겟팅하기 위해 구체적인 ROI를 입증해야 합니다.
경쟁이 치열한 영업 주기에서 여러 그룹에 판매하려면 공급업체는 비즈니스의 다양한 영역에 맞게 대화를 조정해야 합니다. 전통적으로 보안 벤더는 주로 CISO 또는 보안 경영진을 대상으로 영업합니다. 2024년에는 보안/CISO뿐만 아니라 L&D 및 DevOps/AppSec 부문의 경영진을 대상으로 점점 더 구체적인 상황에서 위험 감소를 입증할 수 있는 능력에 대한 요구가 커질 것입니다.
'게이트키핑'은 소프트웨어 개발의 보안 성숙도를 높이는 열쇠가 될 것입니다.
CISO는 사이버 보안 노력의 비즈니스 가치와 시간이 지남에 따라 프로그램의 효과를 입증하기 위해 계속 조사를 받고 있습니다. 개발자는 민감한 리포지토리가 있는 프로젝트를 맡기 전에 보안에 대한 인식이 있음을 증명해야 하는 경우가 점점 더 많아질 것입니다. '게이트키핑' 표준을 채택하고 소프트웨어 개발 프로세스 시작 단계부터 보안 코딩을 우선시하는 CISO는 팀이 보안 우수성을 확보할 수 있는 더 나은 위치를 차지할 수 있습니다.
대응형 보안은 구식 보안으로 인식될 것입니다.
사이버 복원력 강화라는 목표가 여러 업종에 걸쳐 사이버 전략을 지배하고 있는 가운데, 대응과 사고 대응에만 의존하는 기업은 감당할 수 없는 노출과 위험에 처하게 될 것입니다. '왼쪽으로 이동'은 유행어에 그치지 말고 코드 수준의 보안을 우선시해야 하며, 우리가 당연하게 여기는 소프트웨어와 중요 디지털 인프라를 다루는 개발자의 역량을 강화하고 검증해야 합니다. 이제 정부와 기업 모두 그 어느 때보다 모든 구성원이 책임을 공유할 수 있는 예방적이고 인식이 높은 보안 프로그램에 전념해야 합니다.
안전한 코딩 교육 및 구현의 선두주자인 저희는 앞으로의 한 해가 기대되며, 600개 이상의 고객과 협력하여 진화하는 역학 관계에 앞서 나갈 수 있기를 희망합니다. 2024년은 어떤 모습이며 Secure Code Warrior 어떻게 도울 수 있을까요?
더 자세히 알고 싶으신가요? X와 LinkedIn에서 팔로우하여 모든 공지사항을 최신 상태로 유지하세요.
더 자세히 알고 싶으신가요?
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
Secure Code Warrior
Secure Code Warrior 는 개발자에게 안전하게 코딩할 수 있는 기술을 제공하여 보안 중심의 개발자 문화를 구축합니다. Atlassian의 대표적인 애자일( Learning Platform )은 관련 기술 기반 경로, 실습( missions) 및 상황에 맞는 도구를 제공하여 개발자가 빠르게 기술을 배우고, 구축하고, 적용하여 보안 코드를 빠르게 작성할 수 있도록 지원합니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
2024년 예측 보안, AI, 개발자 유지, 그리고 앞으로 나아갈 길
어느덧 연말이 다가왔습니다. 지난 한 해 동안 일어난 모든 일, 예상했던 일과 일어나지 않은 일, 교훈을 얻은 일, 향후 12개월 동안의 의사 결정, 행동 및 결과를 형성할 것으로 예상되는 일들을 되돌아보는 시간입니다.
도전적인 경제 역학 관계, 새로운 사이버 보안 위협, 사회에서 가장 쉽게 접할 수 있는 AI 도입 등 흥미로운 2023년은 데브섹옵스에 있어 흥미로운 한 해였습니다. 더욱 흥미로운 점은 페이지를 넘겨 2024년으로 향할 때 이러한 요소 중 어느 하나도 백미러에 나타나지 않는다는 것입니다. 이러한 요소는 조직, 개발자 및 사이버 보안 팀, 정부 규제 기관의 전면과 중심에 있습니다.
우선순위가 빠른 속도로 변화하는 가운데, Secure Code Warrior 에서 향후 12개월 동안 전개될 것으로 예상하는 주요 예측은 다음과 같습니다:
조직은 개발자 유지를 중요하게 생각합니다.
개발자는 조직과 고객에게 엄청난 가치를 제공합니다. 이제 개발자의 가치를 입증하고 개발자가 기업의 수익을 위해 무엇을 할 수 있는지를 이해하는 것은 조직의 몫입니다. 개발자가 현재 직장을 장기적인 경력 목표로 삼을 수 있도록 유지 전략, 프로그램 및 기타 노력에 더 많은 투자가 이루어질 것입니다. 학습과 개발은 이러한 기업에게 큰 차별화 요소가 될 것입니다.
개발자에게 더 많은 요청이 있을수록 콘텐츠와 통합이 중심이 될 것입니다.
조직은 더 많은 소프트웨어와 지속적인 디지털 혁신을 통해 고객에게 더 빨리 도달하기를 원하기 때문에 개발자에게 가해지는 압박은 당분간 줄어들지 않을 것입니다. 개발자가 예리함을 유지하고, 소프트웨어 개발 수명 주기(SDLC)의 새로운 장애물을 예측하고, 혁신을 가속화하기 위해 더 많은 리소스에 액세스하려면 더 많은 학습 콘텐츠와 타사 통합이 가장 중요합니다.
새로운 스택 오버플로인 AI 툴링
개발자들이 스택 오버플로나 오픈 소스 포럼에서 도움을 구하는 것과 마찬가지로, 개발자들은 AI 도구로 눈을 돌리기 시작할 것입니다. 하지만 이는 잘못된 보안 의식을 불러일으킵니다. 개발자는 AI를 '도움말 채널'로 사용하지만 조직은 이러한 접근 방식으로는 충분하지 않다는 것을 깨닫게 될 것입니다.
AI 교정 기능은 계속 유지됩니다.
AI가 당장 개발자를 대체하는 것은 아니지만, 이 기술은 소프트웨어 개발 수명 주기(SDLC)에 더 많이 포함되면서 취약점 발생을 방지하거나 호환 가능한 수정 사항을 식별하기 위한 보다 완벽한 프로세스를 만들고 있습니다. 올 한 해 동안 개발자 행동, 조직 투자, 인력 재배치, 사이버 보안 위험 관리에 대한 새로운 접근 방식의 변화를 필연적으로 가져올 더 많은 실험을 보게 될 것입니다.
AI 의존도 + API의 폭발적인 성장 = 규제 조치
API의 빠른 생성 및 활성화를 통해 비즈니스에 활력을 불어넣는 기업이 늘어나면서 API 위협 벡터도 크게 확대되었습니다. API의 생성 및 출시 속도가 기하급수적으로 빨라지는 AI 사용 경향에 따라 API 보안에 대한 거버넌스를 강화해야 하며, 새로운 규제 조치가 도입될 것입니다.
보안 코드를 제공하지 않는 소프트웨어 공급업체에 대한 더 많은 결과
CISA의 Jen Easterly 이사는 소프트웨어 공급업체가 제품 내 보안과 관련하여 "책임을전가"해서는 안 된다는 점을 여러 차례 강조해 왔습니다. CISA의 권한은 지금까지는 연방 기관에 제품을 판매하는 공급업체에 보안 설계 관행을 시행하는 데까지만 미쳤지만, 올해 초에 발생한 MOVEit 사건은 대형 소프트웨어 공급업체가 새로운 벤치마크를 달성해야 한다는 것을 재확인시켜 주었습니다. 안전하지 않은 코드를 배포하는 상습적인 위반자에 대해 더 많은 책임을 묻고 더 강력한 처벌을 내려야 합니다.
2024년 OWASP 톱 10은 디자인 결함에 대한 새로운 초점을 보여줄 것입니다.
설계에 의한 보안과 관련하여, 2021년에 OWASP는 아키텍처 보안 문제와 결함에 대한 변화에 초점을 맞춘 "안전하지 않은 설계" 카테고리를 도입했습니다. 곧 발표될 상위 10대 목록(2024년에 발표될 가능성이 높음)에서는 안전하지 않은 설계와 안전하지 않은 구현의 차이에 대해 임원급에서 더 많은 논의가 이루어질 것이며, 중요한 인증 및 액세스 제어 구성을 지원하는 완전한 위협 모델링 절차를 포함하여 안전한 소프트웨어 개발 수명 주기(SSDLC)를 개발하는 팀에 중점을 둘 것입니다.
데브섹옵스 공급업체는 다양한 경영진 구매자를 타겟팅하기 위해 구체적인 ROI를 입증해야 합니다.
경쟁이 치열한 영업 주기에서 여러 그룹에 판매하려면 공급업체는 비즈니스의 다양한 영역에 맞게 대화를 조정해야 합니다. 전통적으로 보안 벤더는 주로 CISO 또는 보안 경영진을 대상으로 영업합니다. 2024년에는 보안/CISO뿐만 아니라 L&D 및 DevOps/AppSec 부문의 경영진을 대상으로 점점 더 구체적인 상황에서 위험 감소를 입증할 수 있는 능력에 대한 요구가 커질 것입니다.
'게이트키핑'은 소프트웨어 개발의 보안 성숙도를 높이는 열쇠가 될 것입니다.
CISO는 사이버 보안 노력의 비즈니스 가치와 시간이 지남에 따라 프로그램의 효과를 입증하기 위해 계속 조사를 받고 있습니다. 개발자는 민감한 리포지토리가 있는 프로젝트를 맡기 전에 보안에 대한 인식이 있음을 증명해야 하는 경우가 점점 더 많아질 것입니다. '게이트키핑' 표준을 채택하고 소프트웨어 개발 프로세스 시작 단계부터 보안 코딩을 우선시하는 CISO는 팀이 보안 우수성을 확보할 수 있는 더 나은 위치를 차지할 수 있습니다.
대응형 보안은 구식 보안으로 인식될 것입니다.
사이버 복원력 강화라는 목표가 여러 업종에 걸쳐 사이버 전략을 지배하고 있는 가운데, 대응과 사고 대응에만 의존하는 기업은 감당할 수 없는 노출과 위험에 처하게 될 것입니다. '왼쪽으로 이동'은 유행어에 그치지 말고 코드 수준의 보안을 우선시해야 하며, 우리가 당연하게 여기는 소프트웨어와 중요 디지털 인프라를 다루는 개발자의 역량을 강화하고 검증해야 합니다. 이제 정부와 기업 모두 그 어느 때보다 모든 구성원이 책임을 공유할 수 있는 예방적이고 인식이 높은 보안 프로그램에 전념해야 합니다.
안전한 코딩 교육 및 구현의 선두주자인 저희는 앞으로의 한 해가 기대되며, 600개 이상의 고객과 협력하여 진화하는 역학 관계에 앞서 나갈 수 있기를 희망합니다. 2024년은 어떤 모습이며 Secure Code Warrior 어떻게 도울 수 있을까요?
더 자세히 알고 싶으신가요? X와 LinkedIn에서 팔로우하여 모든 공지사항을 최신 상태로 유지하세요.
