소프트웨어 업데이트 프로세스를 사용하여 많은 대기업과 정부 기관을 포함한 18,000명 이상의 유명 오리온 관리 소프트웨어 사용자를 감염시킨 SolarWinds 캠페인과 같은 주요 보안 침해 사고에 대응하여 개발자가 주도하는 보다 효과적인 보안 노력에 대한 요구가 증가하고 있습니다. 모든 규모의 조직이 '소프트웨어 공급망'에 의문을 제기하기 시작했으며, 소프트웨어를 만드는 개발자에게 검증된 보안 기술과 인식을 요구하고 있습니다.

미국 정부도 개발자 주도의 보안 관행을 개선하고 소프트웨어 공급망을 강화할 것을 촉구하고 있습니다. 이러한 개념은 바이든 대통령이 발표한 국가 사이버 보안 개선에 관한 행정 명령의 핵심 구성 요소입니다.

전반적으로 개발자 커뮤니티는 DevSecOps와 같은 프로그램과 움직임을 통해 보안을 소프트웨어 개발 수명 주기(SDLC) 초기로 옮기는 아이디어를 수용하고 있으며, 최근 설문조사에서 개발자 커뮤니티는 이러한 노력을 지원하기 위해 받은 보안 교육을 중요하게 생각한다고 답했습니다.

소프트웨어 취약점 은 계속해서 악용되고 있으며, 심지어 개발자들도 가끔 코드에 취약점을 남긴다는 사실을 인정합니다.

왜 그럴까요?

설문조사를 통해 양질의 코드를 작성하는 것이 개발 커뮤니티의 최우선 과제임을 확인할 수 있었습니다. 그러나 설문조사에서는 개발자에게 제공되는 교육이 가치 있는 것으로 여겨지지만 소프트웨어 공급망을 보호하는 데 도움이 된다는 목표에 크게 미치지 못하는 몇 가지 이유도 확인했습니다. 33%는 어떤 교육을 받은 후에도 알려진 취약점을 식별하거나 수정하는 방법을 모르기 때문에 여전히 코드에 취약점을 방치하고 있다고 답했습니다. 또한 92%의 압도적인 응답자가 보안에 대해 일정 수준 이상의 추가 교육이 필요하다고 답했으며, 50%는 훨씬 더 많은 교육이 필요하다고 답했습니다.

개발자 커뮤니티가 어떤 교육을 받든 중요하게 생각하는 것은 분명합니다. 그러나 보안 코딩 관행 도입의 장애물에 대한 질문에는 시간 부족이 가장 큰 이유로 꼽혔으며, 응답자의 5분의 1이 일관된 접근 방식의 부족을 원인으로 꼽았습니다. 교육은 보안을 개발자 워크플로우에 통합하고 일상적으로 활용하기 위한 지속적인 전략적 노력의 일부가 아닌 일회성 이벤트로 간주되었습니다.

따라서 개발자는 조직 전체에서 일관성 있고 지속적인 프로그램의 일환으로 보안 코딩 기술을 구축하고 유지할 수 없습니다. 또한 많은 개발자가 여전히 일반적인 취약점을 식별하고 수정할 수 없다고 말하는 것을 고려할 때 현재 받는 교육이 특별히 효과적이거나 포괄적이지 않다는 결론을 내릴 수 있습니다.

개발자의 92%는 보안에 대해 일정 수준 이상의 추가 교육이 필요하다고 답했으며, 50%는 훨씬 더 많은 교육이 필요하다고 답했습니다.

이 상황을 해결하기 위해 조직은 무엇을 할 수 있나요?

개발자들이 압도적으로 더 많은 보안 교육이 필요하다고 답했다는 점이 흥미롭습니다. 개발자들이 받은 교육을 중요하게 생각하지만, 이는 단순히 받을 수 있는 교육에 만족하는 상황일 수도 있습니다.

교육 개선 방안에 대한 의견을 요청하자 이 문제에 대한 개발자들의 실제 생각이 드러나기 시작했습니다. 일반적으로 개발자들이 받은 대부분의 교육은 제한적이고 비대화식이며, 자신의 직무에만 어느 정도 초점을 맞추고, 조직의 보안 기술과 인식을 개선하기 위한 전반적인 또는 지속적인 계획의 일부가 아니었습니다.설문조사에 참여한 개발자들은 조직이 제공하는 교육의 효과를 개선하려면 SDLC 전반에 걸쳐 보안을 더욱 강조하는 포괄적인 접근 방식의 일부로 제공되어야 한다고 말했습니다. 또한 개발자들은 교육을 더욱 가치 있게 만들기 위한 구체적인 요청도 있었습니다. 가장 인기 있는 제안 중 하나는 보안 관점에서 직면할 수 있는 상황에 대한 사용 사례와 실습 사례를 더 많이 포함하자는 것이었습니다. 교육 효과를 높이기 위한 또 다른 인기 있는 응답은 교육이 점점 더 복잡하거나 어려운 시나리오를 다루어야 한다는 것이었는데, 이를 위해서는 보다 일관된 접근 방식과 지속적인 학습 및 기술 개발을 위한 장기적인 계획이 필요할 것입니다. 개발자들은 또한 더 많은 상호 작용이 필요하며 경쟁 요소를 추가할 수도 있다고 강조했습니다. 일반적으로 사용자가 상황에 맞는 실습 학습 기회 없이 단순히 비디오를 보거나 강의를 듣는 교육은 보안 코딩과 같이 복잡하고 (어렵다고 인식되는) 기술을 가르칠 때 효과적이거나 특히 가치 있는 것으로 간주되지 않습니다.

개발자들은 또한 더 많은 상호작용이 필요하며 경쟁 요소를 추가할 수도 있다고 강조했습니다.

일관된 보안 접근 방식을 채택할 때 중요한 다른 요소는 무엇인가요?

조직의 개발자 커뮤니티의 보안 인식과 기술을 향상시키려면 당연히 교육이 중요합니다. 그리고 지속적이고, 대화형이며, 관련성 있고, 상황에 맞는 학습을 제공하는 것은 필수입니다. 하지만 보안 인식을 개선하기 위한 진정으로 일관된 접근 방식은 그 이상입니다.

진정으로 일관된 접근 방식은 진정한 개발자 주도의 보안 문화를 조성하는 데 필요한 것이 무엇인지 고려해야 합니다. 이를 위해서는 개발자 팀을 관리하고 구축하는 일반적인 방식에서 초점을 바꿔야 할 수도 있습니다. 예를 들어, 개발자는 전통적으로 얼마나 빨리 코딩할 수 있는지에 따라 평가되었습니다. 그러나 보안에 대한 일관된 접근 방식에는 오랫동안 유지되어 온 이러한 지표와 가치를 변경하는 것이 포함될 수 있습니다. 그 대신, 평가는 원시적인 속도에 대한 보상에서 벗어나 취약점이 없는 안전한 고품질 코드를 생성할 수 있는 개발자에게 보상을 줄 수 있습니다.

또한 이러한 노력의 일환으로 개발자 커뮤니티 자체를 포함할 수도 있습니다. 단순히 개발자에게 보안을 의무화하는 대신 커뮤니티에서 보안 챔피언을 만들거나 임명하는 것을 고려하세요. 보안 챔피언은 교육이나 새로 중점적으로 평가하는 지표에서 두각을 나타내는 재능 있고 보안에 대해 잘 알고 있는 개발자가 될 수 있습니다. 또한 다른 개발자의 기술 향상을 기꺼이 도와 개발 커뮤니티를 내부적으로 개선할 수 있어야 합니다.

진정으로 일관된 접근 방식은 진정한 개발자 주도의 보안 문화를 조성하는 데 필요한 것이 무엇인지 고려해야 합니다. 이를 위해서는 개발자 팀을 관리하고 구축하는 일반적인 방식에서 초점을 바꿔야 할 수도 있습니다.

자세한 내용 보기

백서: 소프트웨어 보안을 개선하기 위한 과제(및 기회)

백서: 소프트웨어 보안에 대한 예방적 개발자 중심 접근 방식

백서: 데브섹옵스 슈퍼볼: 보안 챔피언이 팀이 후기 단계 취약성에 맞서 승리하도록 지원하는 방법

보고서: 보고서: 2022년 개발자 주도 보안 현황