갇힌 코드에서 벗어나세요: 보안 개발자가 제한 없이 출시할 수 있는 이유
이 기사는 원래에 게재되었습니다. SD Times. 여기에서 업데이트 및 신디케이트되었습니다.
기술 검증은 현대의 대부분의 시대에서 우리 삶의 한 측면을 차지해 왔으며, 다른 방법으로는 불가능했을 문을 열어줍니다. 예를 들어, 운전은 대부분의 사람들에게 중요한 통과의례이며, 시속 100마일 이상으로 달릴 수 있는 4,000파운드의 기계를 신뢰할 수 있는지 확인하기 위해 일련의 표준화된 평가를 통과해야 합니다. 특히 속도에서 실수를 하면 이러한 특권을 잃거나 심지어 목숨까지 잃을 수 있습니다.
하지만 일부 사람들에게 운전이 일상의 편의를 넘어 엘리트 직업이 된다면 어떨까요? 운전 기술을 계속 연마하여 F1 드라이버가 될 수 있다면, 일반인이 현실적으로 다룰 수 있는 속도보다 더 빠른 기계를 고속에서 큰 실수 없이 운전할 수 있게 될 것입니다.
그런 점에서 중요한 인프라, 자동차, 의료 기술 및 그 사이의 모든 것을 구동하는 코드를 작업하는 대부분의 개발자가 자신의 보안 능력을 먼저 검증하지 않고 작업하는 것은 당황스러운 일입니다. 반면에, 보안에 능숙한 개발자가 안전하게 빌드하는 방법을 알고 있음을 반복해서 입증한 개발자가 왜 모든 보안 게이트 때문에 느려지는 개발 파이프라인에서 다른 모든 개발자와 함께 줄을 서야 하는 것일까요? 업계에서는 이러한 상황을 단순한 문제가 아니라 일반적인 현상이라고 생각합니다.
광범위한 연구를 통해 대부분의 개발자가 코드에서 보안을 우선순위에 두지 않으며, 일반적인 보안 버그를 탐색하는 데 필요한 정기적인 교육이 부족하다는 사실을 알게 되었습니다. 이러한 이유로 인해 보안을 빠르게 구현하는 것이 꿈처럼 느껴지고, 보안에 익숙하지 않은 많은 개발자는 아우토반의 느린 차선에 갇혀 초보 운전자들 뒤에 갇힌 것처럼 느껴집니다.
그럼에도 불구하고 보안 세계는 서서히 발전하고 있으며, 개발자가 바로 실행할 수 있는 검증된 보안 기술을 보유해야 한다는 요구가 증가하고 있습니다. 바이든 행정부의 국가 사이버 보안 개선에 관한 행정 명령은 미국 정부의 소프트웨어 공급망에 속한 모든 공급업체에 대해 공급업체와 개발 코호트의 보안 관행을 평가할 것을 구체적으로 요구하고 있습니다. 개발자의 보안 기술에 대한 강조는 대부분의 분야에서 점점 더 커질 것이 분명하지만, 업계 표준 평가 방식이 거의 없는 상황에서 조직이 보안 프로그램을 통해 검증 가능한 개발자 보안 기술을 성장시키고 있다는 것을 어떻게 증명할 수 있으며, 보안에 대한 인식이 있는 개발자가 날개를 펴지 못하게 막지 않을 수 있을까요?
장점 기반 액세스 제어: 효과가 있을까요?
최소 권한 보안 제어는 많은 조직에서 각 역할에 업무의 맥락에서 알아야 할 필요성에 따라 소프트웨어, 데이터 및 시스템에 대한 액세스 권한만 할당하고 그 이상은 허용하지 않는다는 생각으로 많은 조직에서 주류를 이루고 있습니다. 이 방법은 특히 제로 트러스트 권한 부여 원칙과 함께 사용하면 공격 표면의 전체 범위를 파악하는 데 도움이 됩니다. 그리고 실제로 API 권한 및 기타 소프트웨어 기반 사용 사례에도 이와 동일한 전략을 표준으로 적용해야 합니다.
보안 업계에 종사하는 우리 대부분은 소프트웨어가 세상을 잠식하고 있다는 사실을 잘 알고 있으며, 에어프라이어를 작동하는 임베디드 시스템 코드는 악용될 수 있다는 점에서 전력망을 가동하는 코드와 크게 다르지 않습니다. 우리의 생명과 중요한 데이터는 위협 행위자의 손에 달려 있으며, 모든 개발자는 적절한 교육을 통해 코드를 강화할 수 있는 힘을 이해해야 합니다. 조직의 보안 문화를 심각하게 업그레이드해야 하지만 진정한 DevSecOps 스타일의 책임 공유를 위해서는 개발자가 자신의 역할에 더 많은 관심을 기울일 이유가 필요하며, 사고 방식을 전환하는 가장 빠른 방법은 코드 리포지토리 액세스를 안전한 코딩 학습 결과와 연계하는 것이 될 수 있습니다.
예를 들어 BFSI 영역에 속한 조직을 예로 들면, 고객 데이터가 포함되어 있거나 신용카드 번호와 같은 중요한 정보를 저장하는 매우 민감한 리포지토리가 있을 가능성이 높습니다. 그렇다면 액세스 권한이 부여된 각 엔지니어가 보안에 대해 잘 알고 있으며 엄격한 PCI-DSS 요구 사항을 준수하고 마스터 브랜치를 사고 없이 신속하게 변경할 수 있다고 가정해야 하는 이유는 무엇일까요? 일부의 경우 그럴 수도 있지만, 이러한 지식이 입증될 때까지 이러한 민감한 시스템에 대한 액세스를 제한하는 것이 훨씬 더 안전할 것입니다.
문제는 대부분의 기업에서 '라이선스 투 코딩' 시나리오를 실행하는 것이 힘들고, 교육 솔루션에 따라서는 너무 수동적이어서 모든 종류의 보안을 신속하게 지원한다는 목표를 달성하기 어렵다는 점입니다. 하지만 통합 교육과 도구의 올바른 조합은 개발자 중심의 방어적 보안 전략의 핵심이 될 수 있습니다.
효과적인 교육 통합은 불가능하지 않습니다.
빠른 속도의 비즈니스 목표와 워크플로를 모두 보완하는 개발자 업스킬링 솔루션을 찾는 것만으로도 절반은 성공한 것이지만, '일회성' 스타일의 규정 준수 교육을 넘어서는 추가적인 노력을 기울여야만 코드 수준의 취약성을 의미 있게 줄일 수 있습니다. 그리고 스스로를 성공적으로 증명한 개발자에게는? 코딩 세계는 개발자에게 열려 있으며, 기본도 모르는 개발자를 전제로 한 보안 제어에 얽매일 필요가 없습니다.
개발 환경과 원활하게 통합되는 실습 기술 향상은 엔지니어가 보안 코딩 개념을 진정으로 이해하고 적용하는 데 필요한 컨텍스트를 제공하며, 이러한 통합을 통해 중요한 시스템에 대한 액세스를 효과적으로 관리하여 학습 성과가 우수한 개발자가 가장 우선순위가 높은 민감한 작업을 방해 없이 수행할 수 있도록 보장할 수 있습니다. 또한 보상과 인정을 더 쉽게 구현할 수 있어 보안에 숙련된 개발자가 집단에서 선망의 대상이 될 수 있습니다.
인생의 많은 일들이 그렇듯이, 행운은 용감한 자를 선호하며, 기존의 관행을 깨고 개발자 기술 검증에 즉시 사용 가능한 접근 방식을 채택하는 것은 속도를 희생하지 않고도 허용 가능한 코드 품질에 대한 미래의 기준을 높이는 데 필요한 일입니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
갇힌 코드에서 벗어나세요: 보안 개발자가 제한 없이 출시할 수 있는 이유
이 기사는 원래에 게재되었습니다. SD Times. 여기에서 업데이트 및 신디케이트되었습니다.
기술 검증은 현대의 대부분의 시대에서 우리 삶의 한 측면을 차지해 왔으며, 다른 방법으로는 불가능했을 문을 열어줍니다. 예를 들어, 운전은 대부분의 사람들에게 중요한 통과의례이며, 시속 100마일 이상으로 달릴 수 있는 4,000파운드의 기계를 신뢰할 수 있는지 확인하기 위해 일련의 표준화된 평가를 통과해야 합니다. 특히 속도에서 실수를 하면 이러한 특권을 잃거나 심지어 목숨까지 잃을 수 있습니다.
하지만 일부 사람들에게 운전이 일상의 편의를 넘어 엘리트 직업이 된다면 어떨까요? 운전 기술을 계속 연마하여 F1 드라이버가 될 수 있다면, 일반인이 현실적으로 다룰 수 있는 속도보다 더 빠른 기계를 고속에서 큰 실수 없이 운전할 수 있게 될 것입니다.
그런 점에서 중요한 인프라, 자동차, 의료 기술 및 그 사이의 모든 것을 구동하는 코드를 작업하는 대부분의 개발자가 자신의 보안 능력을 먼저 검증하지 않고 작업하는 것은 당황스러운 일입니다. 반면에, 보안에 능숙한 개발자가 안전하게 빌드하는 방법을 알고 있음을 반복해서 입증한 개발자가 왜 모든 보안 게이트 때문에 느려지는 개발 파이프라인에서 다른 모든 개발자와 함께 줄을 서야 하는 것일까요? 업계에서는 이러한 상황을 단순한 문제가 아니라 일반적인 현상이라고 생각합니다.
광범위한 연구를 통해 대부분의 개발자가 코드에서 보안을 우선순위에 두지 않으며, 일반적인 보안 버그를 탐색하는 데 필요한 정기적인 교육이 부족하다는 사실을 알게 되었습니다. 이러한 이유로 인해 보안을 빠르게 구현하는 것이 꿈처럼 느껴지고, 보안에 익숙하지 않은 많은 개발자는 아우토반의 느린 차선에 갇혀 초보 운전자들 뒤에 갇힌 것처럼 느껴집니다.
그럼에도 불구하고 보안 세계는 서서히 발전하고 있으며, 개발자가 바로 실행할 수 있는 검증된 보안 기술을 보유해야 한다는 요구가 증가하고 있습니다. 바이든 행정부의 국가 사이버 보안 개선에 관한 행정 명령은 미국 정부의 소프트웨어 공급망에 속한 모든 공급업체에 대해 공급업체와 개발 코호트의 보안 관행을 평가할 것을 구체적으로 요구하고 있습니다. 개발자의 보안 기술에 대한 강조는 대부분의 분야에서 점점 더 커질 것이 분명하지만, 업계 표준 평가 방식이 거의 없는 상황에서 조직이 보안 프로그램을 통해 검증 가능한 개발자 보안 기술을 성장시키고 있다는 것을 어떻게 증명할 수 있으며, 보안에 대한 인식이 있는 개발자가 날개를 펴지 못하게 막지 않을 수 있을까요?
장점 기반 액세스 제어: 효과가 있을까요?
최소 권한 보안 제어는 많은 조직에서 각 역할에 업무의 맥락에서 알아야 할 필요성에 따라 소프트웨어, 데이터 및 시스템에 대한 액세스 권한만 할당하고 그 이상은 허용하지 않는다는 생각으로 많은 조직에서 주류를 이루고 있습니다. 이 방법은 특히 제로 트러스트 권한 부여 원칙과 함께 사용하면 공격 표면의 전체 범위를 파악하는 데 도움이 됩니다. 그리고 실제로 API 권한 및 기타 소프트웨어 기반 사용 사례에도 이와 동일한 전략을 표준으로 적용해야 합니다.
보안 업계에 종사하는 우리 대부분은 소프트웨어가 세상을 잠식하고 있다는 사실을 잘 알고 있으며, 에어프라이어를 작동하는 임베디드 시스템 코드는 악용될 수 있다는 점에서 전력망을 가동하는 코드와 크게 다르지 않습니다. 우리의 생명과 중요한 데이터는 위협 행위자의 손에 달려 있으며, 모든 개발자는 적절한 교육을 통해 코드를 강화할 수 있는 힘을 이해해야 합니다. 조직의 보안 문화를 심각하게 업그레이드해야 하지만 진정한 DevSecOps 스타일의 책임 공유를 위해서는 개발자가 자신의 역할에 더 많은 관심을 기울일 이유가 필요하며, 사고 방식을 전환하는 가장 빠른 방법은 코드 리포지토리 액세스를 안전한 코딩 학습 결과와 연계하는 것이 될 수 있습니다.
예를 들어 BFSI 영역에 속한 조직을 예로 들면, 고객 데이터가 포함되어 있거나 신용카드 번호와 같은 중요한 정보를 저장하는 매우 민감한 리포지토리가 있을 가능성이 높습니다. 그렇다면 액세스 권한이 부여된 각 엔지니어가 보안에 대해 잘 알고 있으며 엄격한 PCI-DSS 요구 사항을 준수하고 마스터 브랜치를 사고 없이 신속하게 변경할 수 있다고 가정해야 하는 이유는 무엇일까요? 일부의 경우 그럴 수도 있지만, 이러한 지식이 입증될 때까지 이러한 민감한 시스템에 대한 액세스를 제한하는 것이 훨씬 더 안전할 것입니다.
문제는 대부분의 기업에서 '라이선스 투 코딩' 시나리오를 실행하는 것이 힘들고, 교육 솔루션에 따라서는 너무 수동적이어서 모든 종류의 보안을 신속하게 지원한다는 목표를 달성하기 어렵다는 점입니다. 하지만 통합 교육과 도구의 올바른 조합은 개발자 중심의 방어적 보안 전략의 핵심이 될 수 있습니다.
효과적인 교육 통합은 불가능하지 않습니다.
빠른 속도의 비즈니스 목표와 워크플로를 모두 보완하는 개발자 업스킬링 솔루션을 찾는 것만으로도 절반은 성공한 것이지만, '일회성' 스타일의 규정 준수 교육을 넘어서는 추가적인 노력을 기울여야만 코드 수준의 취약성을 의미 있게 줄일 수 있습니다. 그리고 스스로를 성공적으로 증명한 개발자에게는? 코딩 세계는 개발자에게 열려 있으며, 기본도 모르는 개발자를 전제로 한 보안 제어에 얽매일 필요가 없습니다.
개발 환경과 원활하게 통합되는 실습 기술 향상은 엔지니어가 보안 코딩 개념을 진정으로 이해하고 적용하는 데 필요한 컨텍스트를 제공하며, 이러한 통합을 통해 중요한 시스템에 대한 액세스를 효과적으로 관리하여 학습 성과가 우수한 개발자가 가장 우선순위가 높은 민감한 작업을 방해 없이 수행할 수 있도록 보장할 수 있습니다. 또한 보상과 인정을 더 쉽게 구현할 수 있어 보안에 숙련된 개발자가 집단에서 선망의 대상이 될 수 있습니다.
인생의 많은 일들이 그렇듯이, 행운은 용감한 자를 선호하며, 기존의 관행을 깨고 개발자 기술 검증에 즉시 사용 가능한 접근 방식을 채택하는 것은 속도를 희생하지 않고도 허용 가능한 코드 품질에 대한 미래의 기준을 높이는 데 필요한 일입니다.
