탈레스가 개발자 중심 보안을 구현한 방법
배경
탈레스 그룹은 항공우주, 방위, 운송 및 보안 부문을 위한 전기 시스템과 장치 및 장비를 설계, 개발 및 제조하는 프랑스의 다국적 기업입니다. 비스와나트 치라부리(Viswanath S. Chirravuri)는 탈레스의 소프트웨어 보안 기술 디렉터입니다. 비스와나스는 처음에는 프로그래머로 보안 분야에서 경력을 시작했습니다. 현재 보안 업계에서 18년 이상의 경력을 쌓은 탈레스의 선임 보안 리더로, CISSP, PMP, GSE 등 30개 이상의 자격증을 보유하고 있습니다. 그는 18개국 이상에서 3,000명 이상의 소프트웨어 전문가를 교육했습니다. 또한 Vis는 국제 사이버 보안( tournaments )에서 10회 이상 SANS 챌린지 코인을 획득했으며(예: 넷워즈), GIAC 자문위원회에서 활발히 활동하고 있습니다. Vis와 이야기를 나누며 그가 어떻게 인력, 프로세스, 기술을 조율하여 탈레스에서 성공적인 보안 코드 학습 프로그램을 개발했는지 알아보았습니다.
상황
비스는 탈레스에 입사했을 때 기술 부채의 백로그를 줄이기 위한 가능한 해결책으로 펜 테스팅을 통해 발견된 취약점의 원인을 살펴보도록 사업부를 지도했습니다. 애플리케이션 보안팀은 보안 태세를 강화하기 위해 IAST/DAST 도구부터 펜 테스트 도구까지 7개의 서로 다른 공급업체와 협력했습니다. Vis는 시장 동향을 파악하고 확장 가능한 방식으로 위협을 관리하여 프로세스와 기술 간의 강력한 통합을 통해 완화 전략을 개발하고자 했습니다. 이는 순전히 도구 기반 접근 방식에서 강력한 학습 요소가 포함된 전략으로 전환하는 것을 의미했습니다. 그는 많은 개발자가 보안에 대한 배경 지식이나 보안 기술이 없다는 사실을 알게 되었습니다. 초기 접근 방식은 개발자를 대상으로 OWASP 상위 10가지와 같은 주제에 대한 강의실 기반 교육을 제공하는 것이었지만, 직접 찾아가서 교육해야 하고 전 세계 수천 명의 개발자에게 도달해야 하는 상황에서 이러한 접근 방식은 확장성이 없다는 것을 금방 깨달았습니다. Vis는 다음과 같이 언급했습니다:
"보안과 개발 간의 비율에는 항상 불균형이 존재합니다. 보안과 개발자의 비율이 1:1이라고 해도 개발자의 참여를 항상 유지할 수는 없습니다. 개발자에게 새로운 공격 벡터, 모범 사례, 새로운 언어, 새로 발견된 취약점에 대한 최신 정보를 제공하려면 개발자의 자가 학습을 촉진하고 개발자가 자신의 속도에 맞게 진행할 수 있도록 해야 했습니다. 도움이 필요하다면 제가 도와줄 수는 있지만, 개발자가 발견한 모든 취약점을 수정하는 방법을 가르칠 수는 없다는 것을 깨달았습니다."
처음에는 개발자가 보안 코드 학습에 투자해야 하는 시간에 대한 개발 관리자의 반발이 있었고, 많은 개발자가 처음부터 시작한다는 점을 인식했습니다. Vis는 보안 코드 학습에 대한 투자가 소프트웨어 릴리스 주기를 방해하거나 미션 크리티컬 스프린트를 늦출 수 있다는 인식을 관리해야 했습니다. 그는 조직이 보안 코드에 대한 애자일 학습에 시간을 투자하도록 적절하게 동기를 부여할 방법을 찾아야 했습니다. Vis는 사람을 우선시하는 태도를 취하여 취약점을 원천적으로 해결했습니다, "사람들은 종종 보안이 개발 시간을 뺏는다고 말합니다. 하지만 저는 무언가를 개발했는데 안전하지 않다면 처음부터 시간 낭비라고 생각합니다. 항상 소프트웨어를 안전하게 개발하여 쉽게 피할 수 있었던 취약점을 수정하는 시간을 절약해야 합니다. 우리 모두는 신뢰할 수 있는 코드를 배포한다는 공통의 목표를 가져야 합니다."
액션
Vis는 소프트웨어 보안과 탈레스 개발자 팀의 보안 인식 제고라는 두 가지 주요 목표를 염두에 두고 있었습니다. 개발자가 독립적으로 자신의 속도에 맞춰 교육받을 수 있는 프로그램을 구현하는 것이 중요했습니다. Vis의 전략은 시간이 지남에 따라 보안 커뮤니티를 구축하여 보안 코딩을 기업 정책과 연계하고 조직 내 보안 코드 학습에 대한 의무를 개발하는 것이었습니다. 개발자, 테스터, 아키텍트, 엔지니어를 연결하는 커뮤니티 문화를 장려함으로써 그는 동기 부여를 배가하는 효과를 보았습니다. 일상 업무의 일부로서 보안에 열정을 가진 보안 챔피언이 등장하여 조직 전체에 보안 코딩 관행에 대한 인식을 확산하는 데 도움을 주었습니다. Vis는 12개 이상의 보안 교육 공급업체를 평가한 후 2019년에 SCW의 고객이 되었습니다. 탈레스 입장에서는 단편적인 솔루션 대신 자사 환경의 모든 프로그래밍 언어와 프레임워크를 지원하는 공급업체를 확보한 것이 큰 이점이었습니다. Vis는 보안 프로그램 개발자가 액세스할 수 있는 교육 및 자기 주도적 학습을 구축하기 위해 Secure Code Warrior의 방대한 양의 콘텐츠를 활용했습니다:
"OWASP 톱 10은 단순히 알아야 할 10가지 사항이 아닙니다. 프로그래밍 언어의 수와 결합된 OWASP가 다루는 취약점의 깊이와 다양성은 압도적일 수 있습니다. 이러한 취약점에 대한 광범위한 도전과 범위가 SCW를 선택하는 데 핵심적인 요소였습니다. 그들은 항상 새로운 것을 추가하고 있습니다. 깊이 있는 주제, 다양한 주제, 최신 콘텐츠, 보안 코드 설계 원칙에 대한 집중은 SCW를 정말 차별화했습니다. 일회성 교육이 아니라 지속적인 프로그램을 구축할 수 있는 기회를 얻었습니다."
Vis와 그의 팀은 각 엔지니어링 역할에 따라 서로 다른 마일스톤을 설정하여 4단계의 보안 코드 학습 프로그램 롤아웃을 구성했습니다:
중요한 것은 SCW가 취약점 수정에 대한 신뢰할 수 있는 출처가 되었다는 점입니다. Vis는 문제 해결을 위해 Google 검색에 의존하는 대신, 개발자가 코드의 취약점 수정을 위해 신뢰할 수 있는 신뢰할 수 있는 출처를 참조할 수 있도록 앱보안 팀의 지침과 SCW의 콘텐츠 라이브러리에 있는 지침을 모두 게시했습니다. Vis에 따르면
"개발자가 취약점을 수정하는 방법을 자유롭게 결정해서는 안 되며, 그 과정에서 새로운 취약점이 발생할 가능성이 있습니다. 저희는 개발자가 올바른 방법으로 취약점을 수정하는 방법을 학습할 수 있도록 SCW의 SCORM 통합을 통해 SCW 비디오를 LMS에 통합했습니다. 이를 통해 안전한 소프트웨어를 제공하는 개발자가 인정받을 수 있는 방법도 마련했습니다. 개발자에게 일정 수준의 보안 코딩을 달성하도록 요청하면 개발자가 해결하고 재도입하지 않은 취약점을 통해 이를 추적할 수 있습니다. 이렇게 하면 개발자의 노력이 회사에서 인정받고 가치를 인정받을 수 있습니다."
결과
Vis와 그의 팀은 매월 보안 코드 뉴스레터를 발행하여 사내에서 가장 우수한 학습자를 선정합니다. 이들은 SCW를 사용하여 assessment 점수, tournament 참여도, 도전 과제 등을 살펴보고 성취도를 높입니다. 이를 통해 다른 개발자들도 학습에 대한 동기를 부여합니다. 처음에 그가 설정한 KPI는 2년 동안 전체 취약점 수를 줄이는 데 중점을 두었습니다. SCW를 구현한 후 그는 감소하는 추세선을 발견했습니다. 이러한 취약점은 소스 코드 수준에서 다시 도입되지 않습니다. Vis는 이를 이렇게 설명합니다:
"우리가 경영진에게 제시하는 KPI는 정보에 입각한 올바른 선택을 반영합니다. 우리는 고객에게 비즈니스 신뢰를 제공하는 보안 코드 교육을 제공한다는 사실에 자부심을 느낍니다. 우리는 포괄적인 보안 코드 교육 프로그램으로 인정받고 있으며 고객과 동료들로부터 존경을 받고 있습니다. 이러한 프로그램이 있으면 회사에 많은 가치를 더할 수 있습니다."
주요 내용
Vis는 모든 보안 이니셔티브에서 사람, 프로세스, 기술 모두의 역할이 중요하다는 것을 인식했습니다. 소프트웨어의 보안, 개발자 지식, 규정 준수에 초점을 맞추면 시간이 지남에 따라 소스 코드의 취약성을 줄이는 보안 코드 프로그램을 위한 민첩한 학습을 구성할 수 있습니다. Vis는 개발자 팀의 보안 기술을 구축하고자 하는 해당 분야의 전문가에게 다음과 같은 권장 사항을 제공합니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
탈레스가 개발자 중심 보안을 구현한 방법
배경
탈레스 그룹은 항공우주, 방위, 운송 및 보안 부문을 위한 전기 시스템과 장치 및 장비를 설계, 개발 및 제조하는 프랑스의 다국적 기업입니다. 비스와나트 치라부리(Viswanath S. Chirravuri)는 탈레스의 소프트웨어 보안 기술 디렉터입니다. 비스와나스는 처음에는 프로그래머로 보안 분야에서 경력을 시작했습니다. 현재 보안 업계에서 18년 이상의 경력을 쌓은 탈레스의 선임 보안 리더로, CISSP, PMP, GSE 등 30개 이상의 자격증을 보유하고 있습니다. 그는 18개국 이상에서 3,000명 이상의 소프트웨어 전문가를 교육했습니다. 또한 Vis는 국제 사이버 보안( tournaments )에서 10회 이상 SANS 챌린지 코인을 획득했으며(예: 넷워즈), GIAC 자문위원회에서 활발히 활동하고 있습니다. Vis와 이야기를 나누며 그가 어떻게 인력, 프로세스, 기술을 조율하여 탈레스에서 성공적인 보안 코드 학습 프로그램을 개발했는지 알아보았습니다.
상황
비스는 탈레스에 입사했을 때 기술 부채의 백로그를 줄이기 위한 가능한 해결책으로 펜 테스팅을 통해 발견된 취약점의 원인을 살펴보도록 사업부를 지도했습니다. 애플리케이션 보안팀은 보안 태세를 강화하기 위해 IAST/DAST 도구부터 펜 테스트 도구까지 7개의 서로 다른 공급업체와 협력했습니다. Vis는 시장 동향을 파악하고 확장 가능한 방식으로 위협을 관리하여 프로세스와 기술 간의 강력한 통합을 통해 완화 전략을 개발하고자 했습니다. 이는 순전히 도구 기반 접근 방식에서 강력한 학습 요소가 포함된 전략으로 전환하는 것을 의미했습니다. 그는 많은 개발자가 보안에 대한 배경 지식이나 보안 기술이 없다는 사실을 알게 되었습니다. 초기 접근 방식은 개발자를 대상으로 OWASP 상위 10가지와 같은 주제에 대한 강의실 기반 교육을 제공하는 것이었지만, 직접 찾아가서 교육해야 하고 전 세계 수천 명의 개발자에게 도달해야 하는 상황에서 이러한 접근 방식은 확장성이 없다는 것을 금방 깨달았습니다. Vis는 다음과 같이 언급했습니다:
"보안과 개발 간의 비율에는 항상 불균형이 존재합니다. 보안과 개발자의 비율이 1:1이라고 해도 개발자의 참여를 항상 유지할 수는 없습니다. 개발자에게 새로운 공격 벡터, 모범 사례, 새로운 언어, 새로 발견된 취약점에 대한 최신 정보를 제공하려면 개발자의 자가 학습을 촉진하고 개발자가 자신의 속도에 맞게 진행할 수 있도록 해야 했습니다. 도움이 필요하다면 제가 도와줄 수는 있지만, 개발자가 발견한 모든 취약점을 수정하는 방법을 가르칠 수는 없다는 것을 깨달았습니다."
처음에는 개발자가 보안 코드 학습에 투자해야 하는 시간에 대한 개발 관리자의 반발이 있었고, 많은 개발자가 처음부터 시작한다는 점을 인식했습니다. Vis는 보안 코드 학습에 대한 투자가 소프트웨어 릴리스 주기를 방해하거나 미션 크리티컬 스프린트를 늦출 수 있다는 인식을 관리해야 했습니다. 그는 조직이 보안 코드에 대한 애자일 학습에 시간을 투자하도록 적절하게 동기를 부여할 방법을 찾아야 했습니다. Vis는 사람을 우선시하는 태도를 취하여 취약점을 원천적으로 해결했습니다, "사람들은 종종 보안이 개발 시간을 뺏는다고 말합니다. 하지만 저는 무언가를 개발했는데 안전하지 않다면 처음부터 시간 낭비라고 생각합니다. 항상 소프트웨어를 안전하게 개발하여 쉽게 피할 수 있었던 취약점을 수정하는 시간을 절약해야 합니다. 우리 모두는 신뢰할 수 있는 코드를 배포한다는 공통의 목표를 가져야 합니다."
액션
Vis는 소프트웨어 보안과 탈레스 개발자 팀의 보안 인식 제고라는 두 가지 주요 목표를 염두에 두고 있었습니다. 개발자가 독립적으로 자신의 속도에 맞춰 교육받을 수 있는 프로그램을 구현하는 것이 중요했습니다. Vis의 전략은 시간이 지남에 따라 보안 커뮤니티를 구축하여 보안 코딩을 기업 정책과 연계하고 조직 내 보안 코드 학습에 대한 의무를 개발하는 것이었습니다. 개발자, 테스터, 아키텍트, 엔지니어를 연결하는 커뮤니티 문화를 장려함으로써 그는 동기 부여를 배가하는 효과를 보았습니다. 일상 업무의 일부로서 보안에 열정을 가진 보안 챔피언이 등장하여 조직 전체에 보안 코딩 관행에 대한 인식을 확산하는 데 도움을 주었습니다. Vis는 12개 이상의 보안 교육 공급업체를 평가한 후 2019년에 SCW의 고객이 되었습니다. 탈레스 입장에서는 단편적인 솔루션 대신 자사 환경의 모든 프로그래밍 언어와 프레임워크를 지원하는 공급업체를 확보한 것이 큰 이점이었습니다. Vis는 보안 프로그램 개발자가 액세스할 수 있는 교육 및 자기 주도적 학습을 구축하기 위해 Secure Code Warrior의 방대한 양의 콘텐츠를 활용했습니다:
"OWASP 톱 10은 단순히 알아야 할 10가지 사항이 아닙니다. 프로그래밍 언어의 수와 결합된 OWASP가 다루는 취약점의 깊이와 다양성은 압도적일 수 있습니다. 이러한 취약점에 대한 광범위한 도전과 범위가 SCW를 선택하는 데 핵심적인 요소였습니다. 그들은 항상 새로운 것을 추가하고 있습니다. 깊이 있는 주제, 다양한 주제, 최신 콘텐츠, 보안 코드 설계 원칙에 대한 집중은 SCW를 정말 차별화했습니다. 일회성 교육이 아니라 지속적인 프로그램을 구축할 수 있는 기회를 얻었습니다."
Vis와 그의 팀은 각 엔지니어링 역할에 따라 서로 다른 마일스톤을 설정하여 4단계의 보안 코드 학습 프로그램 롤아웃을 구성했습니다:
중요한 것은 SCW가 취약점 수정에 대한 신뢰할 수 있는 출처가 되었다는 점입니다. Vis는 문제 해결을 위해 Google 검색에 의존하는 대신, 개발자가 코드의 취약점 수정을 위해 신뢰할 수 있는 신뢰할 수 있는 출처를 참조할 수 있도록 앱보안 팀의 지침과 SCW의 콘텐츠 라이브러리에 있는 지침을 모두 게시했습니다. Vis에 따르면
"개발자가 취약점을 수정하는 방법을 자유롭게 결정해서는 안 되며, 그 과정에서 새로운 취약점이 발생할 가능성이 있습니다. 저희는 개발자가 올바른 방법으로 취약점을 수정하는 방법을 학습할 수 있도록 SCW의 SCORM 통합을 통해 SCW 비디오를 LMS에 통합했습니다. 이를 통해 안전한 소프트웨어를 제공하는 개발자가 인정받을 수 있는 방법도 마련했습니다. 개발자에게 일정 수준의 보안 코딩을 달성하도록 요청하면 개발자가 해결하고 재도입하지 않은 취약점을 통해 이를 추적할 수 있습니다. 이렇게 하면 개발자의 노력이 회사에서 인정받고 가치를 인정받을 수 있습니다."
결과
Vis와 그의 팀은 매월 보안 코드 뉴스레터를 발행하여 사내에서 가장 우수한 학습자를 선정합니다. 이들은 SCW를 사용하여 assessment 점수, tournament 참여도, 도전 과제 등을 살펴보고 성취도를 높입니다. 이를 통해 다른 개발자들도 학습에 대한 동기를 부여합니다. 처음에 그가 설정한 KPI는 2년 동안 전체 취약점 수를 줄이는 데 중점을 두었습니다. SCW를 구현한 후 그는 감소하는 추세선을 발견했습니다. 이러한 취약점은 소스 코드 수준에서 다시 도입되지 않습니다. Vis는 이를 이렇게 설명합니다:
"우리가 경영진에게 제시하는 KPI는 정보에 입각한 올바른 선택을 반영합니다. 우리는 고객에게 비즈니스 신뢰를 제공하는 보안 코드 교육을 제공한다는 사실에 자부심을 느낍니다. 우리는 포괄적인 보안 코드 교육 프로그램으로 인정받고 있으며 고객과 동료들로부터 존경을 받고 있습니다. 이러한 프로그램이 있으면 회사에 많은 가치를 더할 수 있습니다."
주요 내용
Vis는 모든 보안 이니셔티브에서 사람, 프로세스, 기술 모두의 역할이 중요하다는 것을 인식했습니다. 소프트웨어의 보안, 개발자 지식, 규정 준수에 초점을 맞추면 시간이 지남에 따라 소스 코드의 취약성을 줄이는 보안 코드 프로그램을 위한 민첩한 학습을 구성할 수 있습니다. Vis는 개발자 팀의 보안 기술을 구축하고자 하는 해당 분야의 전문가에게 다음과 같은 권장 사항을 제공합니다.
