사례 연구

탈레스가 개발자 중심 보안을 구현한 방법

게시일: 2023년 7월 22일

배경

탈레스 그룹은 항공우주, 방위, 운송 및 보안 부문을 위한 전기 시스템과 장치 및 장비를 설계, 개발 및 제조하는 프랑스의 다국적 기업입니다. 비스와나트 치라부리(Viswanath S. Chirravuri)는 탈레스의 소프트웨어 보안 기술 디렉터입니다. 비스와나스는 처음에는 프로그래머로 보안 분야에서 경력을 시작했습니다. 현재 보안 업계에서 18년 이상의 경력을 쌓은 탈레스의 선임 보안 리더로, CISSP, PMP, GSE 등 30개 이상의 자격증을 보유하고 있습니다. 그는 18개국 이상에서 3,000명 이상의 소프트웨어 전문가를 교육했습니다. 또한 Vis는 국제 사이버 보안( tournaments )에서 10회 이상 SANS 챌린지 코인을 획득했으며(예: 넷워즈), GIAC 자문위원회에서 활발히 활동하고 있습니다. Vis와 이야기를 나누며 그가 어떻게 인력, 프로세스, 기술을 조율하여 탈레스에서 성공적인 보안 코드 학습 프로그램을 개발했는지 알아보았습니다.

상황

비스는 탈레스에 입사했을 때 기술 부채의 백로그를 줄이기 위한 가능한 해결책으로 펜 테스팅을 통해 발견된 취약점의 원인을 살펴보도록 사업부를 지도했습니다. 애플리케이션 보안팀은 보안 태세를 강화하기 위해 IAST/DAST 도구부터 펜 테스트 도구까지 7개의 서로 다른 공급업체와 협력했습니다. Vis는 시장 동향을 파악하고 확장 가능한 방식으로 위협을 관리하여 프로세스와 기술 간의 강력한 통합을 통해 완화 전략을 개발하고자 했습니다. 이는 순전히 도구 기반 접근 방식에서 강력한 학습 요소가 포함된 전략으로 전환하는 것을 의미했습니다. 그는 많은 개발자가 보안에 대한 배경 지식이나 보안 기술이 없다는 사실을 알게 되었습니다. 초기 접근 방식은 개발자를 대상으로 OWASP 상위 10가지와 같은 주제에 대한 강의실 기반 교육을 제공하는 것이었지만, 직접 찾아가서 교육해야 하고 전 세계 수천 명의 개발자에게 도달해야 하는 상황에서 이러한 접근 방식은 확장성이 없다는 것을 금방 깨달았습니다. Vis는 다음과 같이 언급했습니다:

"보안과 개발 간의 비율에는 항상 불균형이 존재합니다. 보안과 개발자의 비율이 1:1이라고 해도 개발자의 참여를 항상 유지할 수는 없습니다. 개발자에게 새로운 공격 벡터, 모범 사례, 새로운 언어, 새로 발견된 취약점에 대한 최신 정보를 제공하려면 개발자의 자가 학습을 촉진하고 개발자가 자신의 속도에 맞게 진행할 수 있도록 해야 했습니다. 도움이 필요하다면 제가 도와줄 수는 있지만, 개발자가 발견한 모든 취약점을 수정하는 방법을 가르칠 수는 없다는 것을 깨달았습니다."

처음에는 개발자가 보안 코드 학습에 투자해야 하는 시간에 대한 개발 관리자의 반발이 있었고, 많은 개발자가 처음부터 시작한다는 점을 인식했습니다. Vis는 보안 코드 학습에 대한 투자가 소프트웨어 릴리스 주기를 방해하거나 미션 크리티컬 스프린트를 늦출 수 있다는 인식을 관리해야 했습니다. 그는 조직이 보안 코드에 대한 애자일 학습에 시간을 투자하도록 적절하게 동기를 부여할 방법을 찾아야 했습니다. Vis는 사람을 우선시하는 태도를 취하여 취약점을 원천적으로 해결했습니다, "사람들은 종종 보안이 개발 시간을 뺏는다고 말합니다. 하지만 저는 무언가를 개발했는데 안전하지 않다면 처음부터 시간 낭비라고 생각합니다. 항상 소프트웨어를 안전하게 개발하여 쉽게 피할 수 있었던 취약점을 수정하는 시간을 절약해야 합니다. 우리 모두는 신뢰할 수 있는 코드를 배포한다는 공통의 목표를 가져야 합니다."

액션

Vis는 소프트웨어 보안과 탈레스 개발자 팀의 보안 인식 제고라는 두 가지 주요 목표를 염두에 두고 있었습니다. 개발자가 독립적으로 자신의 속도에 맞춰 교육받을 수 있는 프로그램을 구현하는 것이 중요했습니다. Vis의 전략은 시간이 지남에 따라 보안 커뮤니티를 구축하여 보안 코딩을 기업 정책과 연계하고 조직 내 보안 코드 학습에 대한 의무를 개발하는 것이었습니다. 개발자, 테스터, 아키텍트, 엔지니어를 연결하는 커뮤니티 문화를 장려함으로써 그는 동기 부여를 배가하는 효과를 보았습니다. 일상 업무의 일부로서 보안에 열정을 가진 보안 챔피언이 등장하여 조직 전체에 보안 코딩 관행에 대한 인식을 확산하는 데 도움을 주었습니다. Vis는 12개 이상의 보안 교육 공급업체를 평가한 후 2019년에 SCW의 고객이 되었습니다. 탈레스 입장에서는 단편적인 솔루션 대신 자사 환경의 모든 프로그래밍 언어와 프레임워크를 지원하는 공급업체를 확보한 것이 큰 이점이었습니다. Vis는 보안 프로그램 개발자가 액세스할 수 있는 교육 및 자기 주도적 학습을 구축하기 위해 Secure Code Warrior의 방대한 양의 콘텐츠를 활용했습니다:

"OWASP 톱 10은 단순히 알아야 할 10가지 사항이 아닙니다. 프로그래밍 언어의 수와 결합된 OWASP가 다루는 취약점의 깊이와 다양성은 압도적일 수 있습니다. 이러한 취약점에 대한 광범위한 도전과 범위가 SCW를 선택하는 데 핵심적인 요소였습니다. 그들은 항상 새로운 것을 추가하고 있습니다. 깊이 있는 주제, 다양한 주제, 최신 콘텐츠, 보안 코드 설계 원칙에 대한 집중은 SCW를 정말 차별화했습니다. 일회성 교육이 아니라 지속적인 프로그램을 구축할 수 있는 기회를 얻었습니다."

Vis와 그의 팀은 각 엔지니어링 역할에 따라 서로 다른 마일스톤을 설정하여 4단계의 보안 코드 학습 프로그램 롤아웃을 구성했습니다:

인식: 기본적인 보안 인식 수준을 높이고 보안 주제에 대한 개발자의 지식에 대한 기준선을 설정합니다. 기본: 취약한 코드를 발견하고 일반적인 취약점을 이해하는 방법과 같은 기본적인 보안 기술을 가르칩니다. 자율: Secure Code Warrior의 지침에 따라 검증된 전술을 사용하여 취약점을 찾고 수정합니다.  전문가: 정의된 보안 챔피언이 되어 비즈니스에 중요한 모든 관련 영역에서 전문가가 됩니다.

중요한 것은 SCW가 취약점 수정에 대한 신뢰할 수 있는 출처가 되었다는 점입니다. Vis는 문제 해결을 위해 Google 검색에 의존하는 대신, 개발자가 코드의 취약점 수정을 위해 신뢰할 수 있는 신뢰할 수 있는 출처를 참조할 수 있도록 앱보안 팀의 지침과 SCW의 콘텐츠 라이브러리에 있는 지침을 모두 게시했습니다. Vis에 따르면

"개발자가 취약점을 수정하는 방법을 자유롭게 결정해서는 안 되며, 그 과정에서 새로운 취약점이 발생할 가능성이 있습니다. 저희는 개발자가 올바른 방법으로 취약점을 수정하는 방법을 학습할 수 있도록 SCW의 SCORM 통합을 통해 SCW 비디오를 LMS에 통합했습니다. 이를 통해 안전한 소프트웨어를 제공하는 개발자가 인정받을 수 있는 방법도 마련했습니다. 개발자에게 일정 수준의 보안 코딩을 달성하도록 요청하면 개발자가 해결하고 재도입하지 않은 취약점을 통해 이를 추적할 수 있습니다. 이렇게 하면 개발자의 노력이 회사에서 인정받고 가치를 인정받을 수 있습니다."

결과

Vis와 그의 팀은 매월 보안 코드 뉴스레터를 발행하여 사내에서 가장 우수한 학습자를 선정합니다. 이들은 SCW를 사용하여 assessment 점수, tournament 참여도, 도전 과제 등을 살펴보고 성취도를 높입니다. 이를 통해 다른 개발자들도 학습에 대한 동기를 부여합니다. 처음에 그가 설정한 KPI는 2년 동안 전체 취약점 수를 줄이는 데 중점을 두었습니다. SCW를 구현한 후 그는 감소하는 추세선을 발견했습니다. 이러한 취약점은 소스 코드 수준에서 다시 도입되지 않습니다. Vis는 이를 이렇게 설명합니다:

"우리가 경영진에게 제시하는 KPI는 정보에 입각한 올바른 선택을 반영합니다. 우리는 고객에게 비즈니스 신뢰를 제공하는 보안 코드 교육을 제공한다는 사실에 자부심을 느낍니다. 우리는 포괄적인 보안 코드 교육 프로그램으로 인정받고 있으며 고객과 동료들로부터 존경을 받고 있습니다. 이러한 프로그램이 있으면 회사에 많은 가치를 더할 수 있습니다."

주요 내용

Vis는 모든 보안 이니셔티브에서 사람, 프로세스, 기술 모두의 역할이 중요하다는 것을 인식했습니다. 소프트웨어의 보안, 개발자 지식, 규정 준수에 초점을 맞추면 시간이 지남에 따라 소스 코드의 취약성을 줄이는 보안 코드 프로그램을 위한 민첩한 학습을 구성할 수 있습니다. Vis는 개발자 팀의 보안 기술을 구축하고자 하는 해당 분야의 전문가에게 다음과 같은 권장 사항을 제공합니다.

직원에게 집중하기 보안 코드 학습에 부여하는 가치가 중요합니다. 개발자가 습득한 지식을 인정하고 개발자가 취득한 보안 인증을 성과로 제공하세요. 이렇게 하면 개발자와 동료들이 더 많은 것을 배우도록 동기를 부여할 수 있습니다. 보안 코딩을 기업 보안 정책 및 프로세스와 연결 개발자가 검증된 보안 가이드라인만 사용하도록 의무화하세요. 프로세스를 모호하게 만들어 더 많은 취약점이 도입될 수 있는 대신 개발자가 인증된 소스가 있다는 것을 알 수 있도록 하세요. 내부 시스템 및 개발 도구와의 시너지 효과를 찾아 개발자의 숙련도를 높이는 데 필요한 시간을 줄이세요. 적시에 제품을 제공하는 것도 중요하지만, 나중에 취약점을 수정해야 하는 시간을 절약하기 위해 항상 소프트웨어 보안에 중점을 두어야 합니다.
PDF 다운로드
리소스 보기
PDF 다운로드
리소스 보기

이 사례 연구를 통해 탈레스가 개발자가 적극적인 보안 챔피언이 될 수 있도록 민첩한 보안 코드 학습 프로그램을 위한 인력, 프로세스 및 기술 접근 방식을 어떻게 개발했는지 알아보십시오.

더 알고 싶으신가요?

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약
공유하세요:
저자
게시일: 2023년 7월 22일

공유하세요:

배경

탈레스 그룹은 항공우주, 방위, 운송 및 보안 부문을 위한 전기 시스템과 장치 및 장비를 설계, 개발 및 제조하는 프랑스의 다국적 기업입니다. 비스와나트 치라부리(Viswanath S. Chirravuri)는 탈레스의 소프트웨어 보안 기술 디렉터입니다. 비스와나스는 처음에는 프로그래머로 보안 분야에서 경력을 시작했습니다. 현재 보안 업계에서 18년 이상의 경력을 쌓은 탈레스의 선임 보안 리더로, CISSP, PMP, GSE 등 30개 이상의 자격증을 보유하고 있습니다. 그는 18개국 이상에서 3,000명 이상의 소프트웨어 전문가를 교육했습니다. 또한 Vis는 국제 사이버 보안( tournaments )에서 10회 이상 SANS 챌린지 코인을 획득했으며(예: 넷워즈), GIAC 자문위원회에서 활발히 활동하고 있습니다. Vis와 이야기를 나누며 그가 어떻게 인력, 프로세스, 기술을 조율하여 탈레스에서 성공적인 보안 코드 학습 프로그램을 개발했는지 알아보았습니다.

상황

비스는 탈레스에 입사했을 때 기술 부채의 백로그를 줄이기 위한 가능한 해결책으로 펜 테스팅을 통해 발견된 취약점의 원인을 살펴보도록 사업부를 지도했습니다. 애플리케이션 보안팀은 보안 태세를 강화하기 위해 IAST/DAST 도구부터 펜 테스트 도구까지 7개의 서로 다른 공급업체와 협력했습니다. Vis는 시장 동향을 파악하고 확장 가능한 방식으로 위협을 관리하여 프로세스와 기술 간의 강력한 통합을 통해 완화 전략을 개발하고자 했습니다. 이는 순전히 도구 기반 접근 방식에서 강력한 학습 요소가 포함된 전략으로 전환하는 것을 의미했습니다. 그는 많은 개발자가 보안에 대한 배경 지식이나 보안 기술이 없다는 사실을 알게 되었습니다. 초기 접근 방식은 개발자를 대상으로 OWASP 상위 10가지와 같은 주제에 대한 강의실 기반 교육을 제공하는 것이었지만, 직접 찾아가서 교육해야 하고 전 세계 수천 명의 개발자에게 도달해야 하는 상황에서 이러한 접근 방식은 확장성이 없다는 것을 금방 깨달았습니다. Vis는 다음과 같이 언급했습니다:

"보안과 개발 간의 비율에는 항상 불균형이 존재합니다. 보안과 개발자의 비율이 1:1이라고 해도 개발자의 참여를 항상 유지할 수는 없습니다. 개발자에게 새로운 공격 벡터, 모범 사례, 새로운 언어, 새로 발견된 취약점에 대한 최신 정보를 제공하려면 개발자의 자가 학습을 촉진하고 개발자가 자신의 속도에 맞게 진행할 수 있도록 해야 했습니다. 도움이 필요하다면 제가 도와줄 수는 있지만, 개발자가 발견한 모든 취약점을 수정하는 방법을 가르칠 수는 없다는 것을 깨달았습니다."

처음에는 개발자가 보안 코드 학습에 투자해야 하는 시간에 대한 개발 관리자의 반발이 있었고, 많은 개발자가 처음부터 시작한다는 점을 인식했습니다. Vis는 보안 코드 학습에 대한 투자가 소프트웨어 릴리스 주기를 방해하거나 미션 크리티컬 스프린트를 늦출 수 있다는 인식을 관리해야 했습니다. 그는 조직이 보안 코드에 대한 애자일 학습에 시간을 투자하도록 적절하게 동기를 부여할 방법을 찾아야 했습니다. Vis는 사람을 우선시하는 태도를 취하여 취약점을 원천적으로 해결했습니다, "사람들은 종종 보안이 개발 시간을 뺏는다고 말합니다. 하지만 저는 무언가를 개발했는데 안전하지 않다면 처음부터 시간 낭비라고 생각합니다. 항상 소프트웨어를 안전하게 개발하여 쉽게 피할 수 있었던 취약점을 수정하는 시간을 절약해야 합니다. 우리 모두는 신뢰할 수 있는 코드를 배포한다는 공통의 목표를 가져야 합니다."

액션

Vis는 소프트웨어 보안과 탈레스 개발자 팀의 보안 인식 제고라는 두 가지 주요 목표를 염두에 두고 있었습니다. 개발자가 독립적으로 자신의 속도에 맞춰 교육받을 수 있는 프로그램을 구현하는 것이 중요했습니다. Vis의 전략은 시간이 지남에 따라 보안 커뮤니티를 구축하여 보안 코딩을 기업 정책과 연계하고 조직 내 보안 코드 학습에 대한 의무를 개발하는 것이었습니다. 개발자, 테스터, 아키텍트, 엔지니어를 연결하는 커뮤니티 문화를 장려함으로써 그는 동기 부여를 배가하는 효과를 보았습니다. 일상 업무의 일부로서 보안에 열정을 가진 보안 챔피언이 등장하여 조직 전체에 보안 코딩 관행에 대한 인식을 확산하는 데 도움을 주었습니다. Vis는 12개 이상의 보안 교육 공급업체를 평가한 후 2019년에 SCW의 고객이 되었습니다. 탈레스 입장에서는 단편적인 솔루션 대신 자사 환경의 모든 프로그래밍 언어와 프레임워크를 지원하는 공급업체를 확보한 것이 큰 이점이었습니다. Vis는 보안 프로그램 개발자가 액세스할 수 있는 교육 및 자기 주도적 학습을 구축하기 위해 Secure Code Warrior의 방대한 양의 콘텐츠를 활용했습니다:

"OWASP 톱 10은 단순히 알아야 할 10가지 사항이 아닙니다. 프로그래밍 언어의 수와 결합된 OWASP가 다루는 취약점의 깊이와 다양성은 압도적일 수 있습니다. 이러한 취약점에 대한 광범위한 도전과 범위가 SCW를 선택하는 데 핵심적인 요소였습니다. 그들은 항상 새로운 것을 추가하고 있습니다. 깊이 있는 주제, 다양한 주제, 최신 콘텐츠, 보안 코드 설계 원칙에 대한 집중은 SCW를 정말 차별화했습니다. 일회성 교육이 아니라 지속적인 프로그램을 구축할 수 있는 기회를 얻었습니다."

Vis와 그의 팀은 각 엔지니어링 역할에 따라 서로 다른 마일스톤을 설정하여 4단계의 보안 코드 학습 프로그램 롤아웃을 구성했습니다:

인식: 기본적인 보안 인식 수준을 높이고 보안 주제에 대한 개발자의 지식에 대한 기준선을 설정합니다. 기본: 취약한 코드를 발견하고 일반적인 취약점을 이해하는 방법과 같은 기본적인 보안 기술을 가르칩니다. 자율: Secure Code Warrior의 지침에 따라 검증된 전술을 사용하여 취약점을 찾고 수정합니다.  전문가: 정의된 보안 챔피언이 되어 비즈니스에 중요한 모든 관련 영역에서 전문가가 됩니다.

중요한 것은 SCW가 취약점 수정에 대한 신뢰할 수 있는 출처가 되었다는 점입니다. Vis는 문제 해결을 위해 Google 검색에 의존하는 대신, 개발자가 코드의 취약점 수정을 위해 신뢰할 수 있는 신뢰할 수 있는 출처를 참조할 수 있도록 앱보안 팀의 지침과 SCW의 콘텐츠 라이브러리에 있는 지침을 모두 게시했습니다. Vis에 따르면

"개발자가 취약점을 수정하는 방법을 자유롭게 결정해서는 안 되며, 그 과정에서 새로운 취약점이 발생할 가능성이 있습니다. 저희는 개발자가 올바른 방법으로 취약점을 수정하는 방법을 학습할 수 있도록 SCW의 SCORM 통합을 통해 SCW 비디오를 LMS에 통합했습니다. 이를 통해 안전한 소프트웨어를 제공하는 개발자가 인정받을 수 있는 방법도 마련했습니다. 개발자에게 일정 수준의 보안 코딩을 달성하도록 요청하면 개발자가 해결하고 재도입하지 않은 취약점을 통해 이를 추적할 수 있습니다. 이렇게 하면 개발자의 노력이 회사에서 인정받고 가치를 인정받을 수 있습니다."

결과

Vis와 그의 팀은 매월 보안 코드 뉴스레터를 발행하여 사내에서 가장 우수한 학습자를 선정합니다. 이들은 SCW를 사용하여 assessment 점수, tournament 참여도, 도전 과제 등을 살펴보고 성취도를 높입니다. 이를 통해 다른 개발자들도 학습에 대한 동기를 부여합니다. 처음에 그가 설정한 KPI는 2년 동안 전체 취약점 수를 줄이는 데 중점을 두었습니다. SCW를 구현한 후 그는 감소하는 추세선을 발견했습니다. 이러한 취약점은 소스 코드 수준에서 다시 도입되지 않습니다. Vis는 이를 이렇게 설명합니다:

"우리가 경영진에게 제시하는 KPI는 정보에 입각한 올바른 선택을 반영합니다. 우리는 고객에게 비즈니스 신뢰를 제공하는 보안 코드 교육을 제공한다는 사실에 자부심을 느낍니다. 우리는 포괄적인 보안 코드 교육 프로그램으로 인정받고 있으며 고객과 동료들로부터 존경을 받고 있습니다. 이러한 프로그램이 있으면 회사에 많은 가치를 더할 수 있습니다."

주요 내용

Vis는 모든 보안 이니셔티브에서 사람, 프로세스, 기술 모두의 역할이 중요하다는 것을 인식했습니다. 소프트웨어의 보안, 개발자 지식, 규정 준수에 초점을 맞추면 시간이 지남에 따라 소스 코드의 취약성을 줄이는 보안 코드 프로그램을 위한 민첩한 학습을 구성할 수 있습니다. Vis는 개발자 팀의 보안 기술을 구축하고자 하는 해당 분야의 전문가에게 다음과 같은 권장 사항을 제공합니다.

직원에게 집중하기 보안 코드 학습에 부여하는 가치가 중요합니다. 개발자가 습득한 지식을 인정하고 개발자가 취득한 보안 인증을 성과로 제공하세요. 이렇게 하면 개발자와 동료들이 더 많은 것을 배우도록 동기를 부여할 수 있습니다. 보안 코딩을 기업 보안 정책 및 프로세스와 연결 개발자가 검증된 보안 가이드라인만 사용하도록 의무화하세요. 프로세스를 모호하게 만들어 더 많은 취약점이 도입될 수 있는 대신 개발자가 인증된 소스가 있다는 것을 알 수 있도록 하세요. 내부 시스템 및 개발 도구와의 시너지 효과를 찾아 개발자의 숙련도를 높이는 데 필요한 시간을 줄이세요. 적시에 제품을 제공하는 것도 중요하지만, 나중에 취약점을 수정해야 하는 시간을 절약하기 위해 항상 소프트웨어 보안에 중점을 두어야 합니다.
PDF 다운로드
리소스 보기
PDF 다운로드
리소스 보기

아래 양식을 작성하여 보고서를 다운로드하세요.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

전송
양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.

배경

탈레스 그룹은 항공우주, 방위, 운송 및 보안 부문을 위한 전기 시스템과 장치 및 장비를 설계, 개발 및 제조하는 프랑스의 다국적 기업입니다. 비스와나트 치라부리(Viswanath S. Chirravuri)는 탈레스의 소프트웨어 보안 기술 디렉터입니다. 비스와나스는 처음에는 프로그래머로 보안 분야에서 경력을 시작했습니다. 현재 보안 업계에서 18년 이상의 경력을 쌓은 탈레스의 선임 보안 리더로, CISSP, PMP, GSE 등 30개 이상의 자격증을 보유하고 있습니다. 그는 18개국 이상에서 3,000명 이상의 소프트웨어 전문가를 교육했습니다. 또한 Vis는 국제 사이버 보안( tournaments )에서 10회 이상 SANS 챌린지 코인을 획득했으며(예: 넷워즈), GIAC 자문위원회에서 활발히 활동하고 있습니다. Vis와 이야기를 나누며 그가 어떻게 인력, 프로세스, 기술을 조율하여 탈레스에서 성공적인 보안 코드 학습 프로그램을 개발했는지 알아보았습니다.

상황

비스는 탈레스에 입사했을 때 기술 부채의 백로그를 줄이기 위한 가능한 해결책으로 펜 테스팅을 통해 발견된 취약점의 원인을 살펴보도록 사업부를 지도했습니다. 애플리케이션 보안팀은 보안 태세를 강화하기 위해 IAST/DAST 도구부터 펜 테스트 도구까지 7개의 서로 다른 공급업체와 협력했습니다. Vis는 시장 동향을 파악하고 확장 가능한 방식으로 위협을 관리하여 프로세스와 기술 간의 강력한 통합을 통해 완화 전략을 개발하고자 했습니다. 이는 순전히 도구 기반 접근 방식에서 강력한 학습 요소가 포함된 전략으로 전환하는 것을 의미했습니다. 그는 많은 개발자가 보안에 대한 배경 지식이나 보안 기술이 없다는 사실을 알게 되었습니다. 초기 접근 방식은 개발자를 대상으로 OWASP 상위 10가지와 같은 주제에 대한 강의실 기반 교육을 제공하는 것이었지만, 직접 찾아가서 교육해야 하고 전 세계 수천 명의 개발자에게 도달해야 하는 상황에서 이러한 접근 방식은 확장성이 없다는 것을 금방 깨달았습니다. Vis는 다음과 같이 언급했습니다:

"보안과 개발 간의 비율에는 항상 불균형이 존재합니다. 보안과 개발자의 비율이 1:1이라고 해도 개발자의 참여를 항상 유지할 수는 없습니다. 개발자에게 새로운 공격 벡터, 모범 사례, 새로운 언어, 새로 발견된 취약점에 대한 최신 정보를 제공하려면 개발자의 자가 학습을 촉진하고 개발자가 자신의 속도에 맞게 진행할 수 있도록 해야 했습니다. 도움이 필요하다면 제가 도와줄 수는 있지만, 개발자가 발견한 모든 취약점을 수정하는 방법을 가르칠 수는 없다는 것을 깨달았습니다."

처음에는 개발자가 보안 코드 학습에 투자해야 하는 시간에 대한 개발 관리자의 반발이 있었고, 많은 개발자가 처음부터 시작한다는 점을 인식했습니다. Vis는 보안 코드 학습에 대한 투자가 소프트웨어 릴리스 주기를 방해하거나 미션 크리티컬 스프린트를 늦출 수 있다는 인식을 관리해야 했습니다. 그는 조직이 보안 코드에 대한 애자일 학습에 시간을 투자하도록 적절하게 동기를 부여할 방법을 찾아야 했습니다. Vis는 사람을 우선시하는 태도를 취하여 취약점을 원천적으로 해결했습니다, "사람들은 종종 보안이 개발 시간을 뺏는다고 말합니다. 하지만 저는 무언가를 개발했는데 안전하지 않다면 처음부터 시간 낭비라고 생각합니다. 항상 소프트웨어를 안전하게 개발하여 쉽게 피할 수 있었던 취약점을 수정하는 시간을 절약해야 합니다. 우리 모두는 신뢰할 수 있는 코드를 배포한다는 공통의 목표를 가져야 합니다."

액션

Vis는 소프트웨어 보안과 탈레스 개발자 팀의 보안 인식 제고라는 두 가지 주요 목표를 염두에 두고 있었습니다. 개발자가 독립적으로 자신의 속도에 맞춰 교육받을 수 있는 프로그램을 구현하는 것이 중요했습니다. Vis의 전략은 시간이 지남에 따라 보안 커뮤니티를 구축하여 보안 코딩을 기업 정책과 연계하고 조직 내 보안 코드 학습에 대한 의무를 개발하는 것이었습니다. 개발자, 테스터, 아키텍트, 엔지니어를 연결하는 커뮤니티 문화를 장려함으로써 그는 동기 부여를 배가하는 효과를 보았습니다. 일상 업무의 일부로서 보안에 열정을 가진 보안 챔피언이 등장하여 조직 전체에 보안 코딩 관행에 대한 인식을 확산하는 데 도움을 주었습니다. Vis는 12개 이상의 보안 교육 공급업체를 평가한 후 2019년에 SCW의 고객이 되었습니다. 탈레스 입장에서는 단편적인 솔루션 대신 자사 환경의 모든 프로그래밍 언어와 프레임워크를 지원하는 공급업체를 확보한 것이 큰 이점이었습니다. Vis는 보안 프로그램 개발자가 액세스할 수 있는 교육 및 자기 주도적 학습을 구축하기 위해 Secure Code Warrior의 방대한 양의 콘텐츠를 활용했습니다:

"OWASP 톱 10은 단순히 알아야 할 10가지 사항이 아닙니다. 프로그래밍 언어의 수와 결합된 OWASP가 다루는 취약점의 깊이와 다양성은 압도적일 수 있습니다. 이러한 취약점에 대한 광범위한 도전과 범위가 SCW를 선택하는 데 핵심적인 요소였습니다. 그들은 항상 새로운 것을 추가하고 있습니다. 깊이 있는 주제, 다양한 주제, 최신 콘텐츠, 보안 코드 설계 원칙에 대한 집중은 SCW를 정말 차별화했습니다. 일회성 교육이 아니라 지속적인 프로그램을 구축할 수 있는 기회를 얻었습니다."

Vis와 그의 팀은 각 엔지니어링 역할에 따라 서로 다른 마일스톤을 설정하여 4단계의 보안 코드 학습 프로그램 롤아웃을 구성했습니다:

인식: 기본적인 보안 인식 수준을 높이고 보안 주제에 대한 개발자의 지식에 대한 기준선을 설정합니다. 기본: 취약한 코드를 발견하고 일반적인 취약점을 이해하는 방법과 같은 기본적인 보안 기술을 가르칩니다. 자율: Secure Code Warrior의 지침에 따라 검증된 전술을 사용하여 취약점을 찾고 수정합니다.  전문가: 정의된 보안 챔피언이 되어 비즈니스에 중요한 모든 관련 영역에서 전문가가 됩니다.

중요한 것은 SCW가 취약점 수정에 대한 신뢰할 수 있는 출처가 되었다는 점입니다. Vis는 문제 해결을 위해 Google 검색에 의존하는 대신, 개발자가 코드의 취약점 수정을 위해 신뢰할 수 있는 신뢰할 수 있는 출처를 참조할 수 있도록 앱보안 팀의 지침과 SCW의 콘텐츠 라이브러리에 있는 지침을 모두 게시했습니다. Vis에 따르면

"개발자가 취약점을 수정하는 방법을 자유롭게 결정해서는 안 되며, 그 과정에서 새로운 취약점이 발생할 가능성이 있습니다. 저희는 개발자가 올바른 방법으로 취약점을 수정하는 방법을 학습할 수 있도록 SCW의 SCORM 통합을 통해 SCW 비디오를 LMS에 통합했습니다. 이를 통해 안전한 소프트웨어를 제공하는 개발자가 인정받을 수 있는 방법도 마련했습니다. 개발자에게 일정 수준의 보안 코딩을 달성하도록 요청하면 개발자가 해결하고 재도입하지 않은 취약점을 통해 이를 추적할 수 있습니다. 이렇게 하면 개발자의 노력이 회사에서 인정받고 가치를 인정받을 수 있습니다."

결과

Vis와 그의 팀은 매월 보안 코드 뉴스레터를 발행하여 사내에서 가장 우수한 학습자를 선정합니다. 이들은 SCW를 사용하여 assessment 점수, tournament 참여도, 도전 과제 등을 살펴보고 성취도를 높입니다. 이를 통해 다른 개발자들도 학습에 대한 동기를 부여합니다. 처음에 그가 설정한 KPI는 2년 동안 전체 취약점 수를 줄이는 데 중점을 두었습니다. SCW를 구현한 후 그는 감소하는 추세선을 발견했습니다. 이러한 취약점은 소스 코드 수준에서 다시 도입되지 않습니다. Vis는 이를 이렇게 설명합니다:

"우리가 경영진에게 제시하는 KPI는 정보에 입각한 올바른 선택을 반영합니다. 우리는 고객에게 비즈니스 신뢰를 제공하는 보안 코드 교육을 제공한다는 사실에 자부심을 느낍니다. 우리는 포괄적인 보안 코드 교육 프로그램으로 인정받고 있으며 고객과 동료들로부터 존경을 받고 있습니다. 이러한 프로그램이 있으면 회사에 많은 가치를 더할 수 있습니다."

주요 내용

Vis는 모든 보안 이니셔티브에서 사람, 프로세스, 기술 모두의 역할이 중요하다는 것을 인식했습니다. 소프트웨어의 보안, 개발자 지식, 규정 준수에 초점을 맞추면 시간이 지남에 따라 소스 코드의 취약성을 줄이는 보안 코드 프로그램을 위한 민첩한 학습을 구성할 수 있습니다. Vis는 개발자 팀의 보안 기술을 구축하고자 하는 해당 분야의 전문가에게 다음과 같은 권장 사항을 제공합니다.

직원에게 집중하기 보안 코드 학습에 부여하는 가치가 중요합니다. 개발자가 습득한 지식을 인정하고 개발자가 취득한 보안 인증을 성과로 제공하세요. 이렇게 하면 개발자와 동료들이 더 많은 것을 배우도록 동기를 부여할 수 있습니다. 보안 코딩을 기업 보안 정책 및 프로세스와 연결 개발자가 검증된 보안 가이드라인만 사용하도록 의무화하세요. 프로세스를 모호하게 만들어 더 많은 취약점이 도입될 수 있는 대신 개발자가 인증된 소스가 있다는 것을 알 수 있도록 하세요. 내부 시스템 및 개발 도구와의 시너지 효과를 찾아 개발자의 숙련도를 높이는 데 필요한 시간을 줄이세요. 적시에 제품을 제공하는 것도 중요하지만, 나중에 취약점을 수정해야 하는 시간을 절약하기 위해 항상 소프트웨어 보안에 중점을 두어야 합니다.
시작

아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

보고서 보기데모 예약
PDF 다운로드
리소스 보기
공유하세요:
더 알고 싶으신가요?

공유하세요:
저자
게시일: 2023년 7월 22일

공유하세요:

배경

탈레스 그룹은 항공우주, 방위, 운송 및 보안 부문을 위한 전기 시스템과 장치 및 장비를 설계, 개발 및 제조하는 프랑스의 다국적 기업입니다. 비스와나트 치라부리(Viswanath S. Chirravuri)는 탈레스의 소프트웨어 보안 기술 디렉터입니다. 비스와나스는 처음에는 프로그래머로 보안 분야에서 경력을 시작했습니다. 현재 보안 업계에서 18년 이상의 경력을 쌓은 탈레스의 선임 보안 리더로, CISSP, PMP, GSE 등 30개 이상의 자격증을 보유하고 있습니다. 그는 18개국 이상에서 3,000명 이상의 소프트웨어 전문가를 교육했습니다. 또한 Vis는 국제 사이버 보안( tournaments )에서 10회 이상 SANS 챌린지 코인을 획득했으며(예: 넷워즈), GIAC 자문위원회에서 활발히 활동하고 있습니다. Vis와 이야기를 나누며 그가 어떻게 인력, 프로세스, 기술을 조율하여 탈레스에서 성공적인 보안 코드 학습 프로그램을 개발했는지 알아보았습니다.

상황

비스는 탈레스에 입사했을 때 기술 부채의 백로그를 줄이기 위한 가능한 해결책으로 펜 테스팅을 통해 발견된 취약점의 원인을 살펴보도록 사업부를 지도했습니다. 애플리케이션 보안팀은 보안 태세를 강화하기 위해 IAST/DAST 도구부터 펜 테스트 도구까지 7개의 서로 다른 공급업체와 협력했습니다. Vis는 시장 동향을 파악하고 확장 가능한 방식으로 위협을 관리하여 프로세스와 기술 간의 강력한 통합을 통해 완화 전략을 개발하고자 했습니다. 이는 순전히 도구 기반 접근 방식에서 강력한 학습 요소가 포함된 전략으로 전환하는 것을 의미했습니다. 그는 많은 개발자가 보안에 대한 배경 지식이나 보안 기술이 없다는 사실을 알게 되었습니다. 초기 접근 방식은 개발자를 대상으로 OWASP 상위 10가지와 같은 주제에 대한 강의실 기반 교육을 제공하는 것이었지만, 직접 찾아가서 교육해야 하고 전 세계 수천 명의 개발자에게 도달해야 하는 상황에서 이러한 접근 방식은 확장성이 없다는 것을 금방 깨달았습니다. Vis는 다음과 같이 언급했습니다:

"보안과 개발 간의 비율에는 항상 불균형이 존재합니다. 보안과 개발자의 비율이 1:1이라고 해도 개발자의 참여를 항상 유지할 수는 없습니다. 개발자에게 새로운 공격 벡터, 모범 사례, 새로운 언어, 새로 발견된 취약점에 대한 최신 정보를 제공하려면 개발자의 자가 학습을 촉진하고 개발자가 자신의 속도에 맞게 진행할 수 있도록 해야 했습니다. 도움이 필요하다면 제가 도와줄 수는 있지만, 개발자가 발견한 모든 취약점을 수정하는 방법을 가르칠 수는 없다는 것을 깨달았습니다."

처음에는 개발자가 보안 코드 학습에 투자해야 하는 시간에 대한 개발 관리자의 반발이 있었고, 많은 개발자가 처음부터 시작한다는 점을 인식했습니다. Vis는 보안 코드 학습에 대한 투자가 소프트웨어 릴리스 주기를 방해하거나 미션 크리티컬 스프린트를 늦출 수 있다는 인식을 관리해야 했습니다. 그는 조직이 보안 코드에 대한 애자일 학습에 시간을 투자하도록 적절하게 동기를 부여할 방법을 찾아야 했습니다. Vis는 사람을 우선시하는 태도를 취하여 취약점을 원천적으로 해결했습니다, "사람들은 종종 보안이 개발 시간을 뺏는다고 말합니다. 하지만 저는 무언가를 개발했는데 안전하지 않다면 처음부터 시간 낭비라고 생각합니다. 항상 소프트웨어를 안전하게 개발하여 쉽게 피할 수 있었던 취약점을 수정하는 시간을 절약해야 합니다. 우리 모두는 신뢰할 수 있는 코드를 배포한다는 공통의 목표를 가져야 합니다."

액션

Vis는 소프트웨어 보안과 탈레스 개발자 팀의 보안 인식 제고라는 두 가지 주요 목표를 염두에 두고 있었습니다. 개발자가 독립적으로 자신의 속도에 맞춰 교육받을 수 있는 프로그램을 구현하는 것이 중요했습니다. Vis의 전략은 시간이 지남에 따라 보안 커뮤니티를 구축하여 보안 코딩을 기업 정책과 연계하고 조직 내 보안 코드 학습에 대한 의무를 개발하는 것이었습니다. 개발자, 테스터, 아키텍트, 엔지니어를 연결하는 커뮤니티 문화를 장려함으로써 그는 동기 부여를 배가하는 효과를 보았습니다. 일상 업무의 일부로서 보안에 열정을 가진 보안 챔피언이 등장하여 조직 전체에 보안 코딩 관행에 대한 인식을 확산하는 데 도움을 주었습니다. Vis는 12개 이상의 보안 교육 공급업체를 평가한 후 2019년에 SCW의 고객이 되었습니다. 탈레스 입장에서는 단편적인 솔루션 대신 자사 환경의 모든 프로그래밍 언어와 프레임워크를 지원하는 공급업체를 확보한 것이 큰 이점이었습니다. Vis는 보안 프로그램 개발자가 액세스할 수 있는 교육 및 자기 주도적 학습을 구축하기 위해 Secure Code Warrior의 방대한 양의 콘텐츠를 활용했습니다:

"OWASP 톱 10은 단순히 알아야 할 10가지 사항이 아닙니다. 프로그래밍 언어의 수와 결합된 OWASP가 다루는 취약점의 깊이와 다양성은 압도적일 수 있습니다. 이러한 취약점에 대한 광범위한 도전과 범위가 SCW를 선택하는 데 핵심적인 요소였습니다. 그들은 항상 새로운 것을 추가하고 있습니다. 깊이 있는 주제, 다양한 주제, 최신 콘텐츠, 보안 코드 설계 원칙에 대한 집중은 SCW를 정말 차별화했습니다. 일회성 교육이 아니라 지속적인 프로그램을 구축할 수 있는 기회를 얻었습니다."

Vis와 그의 팀은 각 엔지니어링 역할에 따라 서로 다른 마일스톤을 설정하여 4단계의 보안 코드 학습 프로그램 롤아웃을 구성했습니다:

인식: 기본적인 보안 인식 수준을 높이고 보안 주제에 대한 개발자의 지식에 대한 기준선을 설정합니다. 기본: 취약한 코드를 발견하고 일반적인 취약점을 이해하는 방법과 같은 기본적인 보안 기술을 가르칩니다. 자율: Secure Code Warrior의 지침에 따라 검증된 전술을 사용하여 취약점을 찾고 수정합니다.  전문가: 정의된 보안 챔피언이 되어 비즈니스에 중요한 모든 관련 영역에서 전문가가 됩니다.

중요한 것은 SCW가 취약점 수정에 대한 신뢰할 수 있는 출처가 되었다는 점입니다. Vis는 문제 해결을 위해 Google 검색에 의존하는 대신, 개발자가 코드의 취약점 수정을 위해 신뢰할 수 있는 신뢰할 수 있는 출처를 참조할 수 있도록 앱보안 팀의 지침과 SCW의 콘텐츠 라이브러리에 있는 지침을 모두 게시했습니다. Vis에 따르면

"개발자가 취약점을 수정하는 방법을 자유롭게 결정해서는 안 되며, 그 과정에서 새로운 취약점이 발생할 가능성이 있습니다. 저희는 개발자가 올바른 방법으로 취약점을 수정하는 방법을 학습할 수 있도록 SCW의 SCORM 통합을 통해 SCW 비디오를 LMS에 통합했습니다. 이를 통해 안전한 소프트웨어를 제공하는 개발자가 인정받을 수 있는 방법도 마련했습니다. 개발자에게 일정 수준의 보안 코딩을 달성하도록 요청하면 개발자가 해결하고 재도입하지 않은 취약점을 통해 이를 추적할 수 있습니다. 이렇게 하면 개발자의 노력이 회사에서 인정받고 가치를 인정받을 수 있습니다."

결과

Vis와 그의 팀은 매월 보안 코드 뉴스레터를 발행하여 사내에서 가장 우수한 학습자를 선정합니다. 이들은 SCW를 사용하여 assessment 점수, tournament 참여도, 도전 과제 등을 살펴보고 성취도를 높입니다. 이를 통해 다른 개발자들도 학습에 대한 동기를 부여합니다. 처음에 그가 설정한 KPI는 2년 동안 전체 취약점 수를 줄이는 데 중점을 두었습니다. SCW를 구현한 후 그는 감소하는 추세선을 발견했습니다. 이러한 취약점은 소스 코드 수준에서 다시 도입되지 않습니다. Vis는 이를 이렇게 설명합니다:

"우리가 경영진에게 제시하는 KPI는 정보에 입각한 올바른 선택을 반영합니다. 우리는 고객에게 비즈니스 신뢰를 제공하는 보안 코드 교육을 제공한다는 사실에 자부심을 느낍니다. 우리는 포괄적인 보안 코드 교육 프로그램으로 인정받고 있으며 고객과 동료들로부터 존경을 받고 있습니다. 이러한 프로그램이 있으면 회사에 많은 가치를 더할 수 있습니다."

주요 내용

Vis는 모든 보안 이니셔티브에서 사람, 프로세스, 기술 모두의 역할이 중요하다는 것을 인식했습니다. 소프트웨어의 보안, 개발자 지식, 규정 준수에 초점을 맞추면 시간이 지남에 따라 소스 코드의 취약성을 줄이는 보안 코드 프로그램을 위한 민첩한 학습을 구성할 수 있습니다. Vis는 개발자 팀의 보안 기술을 구축하고자 하는 해당 분야의 전문가에게 다음과 같은 권장 사항을 제공합니다.

직원에게 집중하기 보안 코드 학습에 부여하는 가치가 중요합니다. 개발자가 습득한 지식을 인정하고 개발자가 취득한 보안 인증을 성과로 제공하세요. 이렇게 하면 개발자와 동료들이 더 많은 것을 배우도록 동기를 부여할 수 있습니다. 보안 코딩을 기업 보안 정책 및 프로세스와 연결 개발자가 검증된 보안 가이드라인만 사용하도록 의무화하세요. 프로세스를 모호하게 만들어 더 많은 취약점이 도입될 수 있는 대신 개발자가 인증된 소스가 있다는 것을 알 수 있도록 하세요. 내부 시스템 및 개발 도구와의 시너지 효과를 찾아 개발자의 숙련도를 높이는 데 필요한 시간을 줄이세요. 적시에 제품을 제공하는 것도 중요하지만, 나중에 취약점을 수정해야 하는 시간을 절약하기 위해 항상 소프트웨어 보안에 중점을 두어야 합니다.

목차

PDF 다운로드
PDF 다운로드
리소스 보기
더 알고 싶으신가요?

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약다운로드
공유하세요:
리소스 허브

시작할 수 있는 리소스

더 많은 게시물
리소스 허브

시작할 수 있는 리소스

더 많은 게시물