개발자 중심 보안을 통한 기술 부채 완화
부채에 대해 이야기해 보겠습니다.
사이버 범죄가 글로벌 경제가 직면한 주요 이슈가 되었다는 사실은 이제 누구나 알고 있습니다. 2022년 기준 미국의 데이터 유출로 인한 평균 비용은 944만 달러로 전년도의 905만 달러에서 증가했습니다. 안전하지 않은 코드와 이로 인해 누적된 기술 부채의 비용도 무시해서는 안 됩니다. 2022년 정보 및 소프트웨어 품질 컨소시엄에 따르면: 소프트웨어 품질 저하로 인한 비용 보고서에 따르면 미국의 소프트웨어 품질 저하로 인한 비용은 2조 4,100억 달러, 누적 소프트웨어 기술 부채는 1조 5,200억 달러로 증가한 것으로 추정됩니다.
안전하지 않은 코드와 이로 인한 기술 부채를 해결하는 데 급증하는 비용은 기존 코드 기반을 변경하는 데 가장 큰 장애물이 되어 익스플로잇과 외부 위협에 취약한 상태로 남게 됩니다. 보안 태세를 개선하고 누적된 기술 부채를 해결해야 한다는 것을 알고 있지만 장벽이 너무 높습니다:
- 미국에는 약 30만 개의 미충원 소프트웨어 개발자 및 IT 관련 일자리가 있으며, 성장률은 15%로 예상됩니다.
- 2025년까지 IT 예산의 40%가 단순히 기술 부채를 유지하는 데 사용될 것으로 예상됩니다.
- 개발자의 주당 평균 시간 중 1/3이 기술 부채 해결에 소요됩니다.
빠른 수정은 위험하며 장기적으로 더 많은 비용이 듭니다.
기술 부채란 무엇이며 왜 중요한가요? 기술 부채는 의사 결정권자가 소프트웨어 개발 문제에 대해 보다 철저하고 장기적인 해결책을 찾는 대신 단기적인 해결책을 선택할 때 누적됩니다. 여기에는 조직이 나중에 지불해야 하는 상당한 숨겨진 비용이 수반됩니다. 신용 카드의 한도와 마찬가지로 기술 부채에는 두 가지 주요 구성 요소가 있습니다:
- 원칙 - 원하는 수준의 유지 관리 및 보안에 도달할 수 있도록 소프트웨어를 리팩토링하거나 수정하는 데 드는 총 비용을 의미합니다.
- 이자 - 개발자가 새로운 기능이 아닌 기술 부채만을 해결하기 위해 이러한 변경을 수행하는 데 드는 추가 노력입니다. 올바르지 않은 코드에 매 순간을 소비할 때마다 부채에 이자가 더해집니다.
새로운 기능, 버그 수정 및 유지보수 비용이 프로젝트 예산을 초과하여 소프트웨어 애플리케이션의 가치가 크게 하락하면 결국 '기술적 파산' 상태에 도달할 수 있습니다.
그러나 인생에서와 마찬가지로 어느 정도의 부채 축적은 정상이며 대부분의 경우 어느 정도 예상되는 일입니다.
이상적으로는 모든 소프트웨어 개발자는 코드를 출시하기 전에 가능한 한 버그를 줄여야 합니다. 하지만 경쟁력을 갖추기 위해 조직은 최소한의 비용으로 고객에게 기능이나 제품을 신속하게 제공하고자 할 수 있습니다. 결과적으로 개발자의 KPI는 제공 속도와 초기 구축 비용을 기반으로 하기 때문에 애플리케이션의 품질이 저하될 수 있습니다. 이 과정에서 누락되는 것은 누적된 결함과 코드에 잠재된 취약점입니다. 이로 인해 향후 버그나 보안 취약점이 발생하거나 악의적인 공격자가 악용할 수 있는 여지가 있습니다.
하지만 엄청난 양의 기술 부채를 쌓지 않고 제품을 빠르게 출시할 수 있는 다른 방법이 없을까요?
결함 및 취약성을 발견하고 수정하는 데 드는 비용은 소프트웨어 개발 수명 주기에서 가장 큰 단일 비용입니다. 개발 수명 주기 초기에 문제를 발견할수록 전체적인 배포 비용 효율성이 높아집니다.
기술 부채는 보안 부채로 발전할 수 있습니다.
많은 개발자가 오픈 소스 코드를 사용하여 빠르게 움직이고, 이상적으로는 이미 검증된 솔루션을 사용함으로써 이러한 절충안을 피하려고 합니다. 그러나 오픈 소스 소프트웨어에 크게 의존하는 것은 종종 자체적인 위험을 수반합니다:
- 오픈 소스 구성 요소의 82%가 오래된 것으로 밝혀졌습니다(즉, 패치가 적용되지 않았거나 제대로 지원되지 않음).
- 코드베이스의 75%에서 취약점이 발견되었으며(2018년 60%에서 증가), 49%에서 고위험 취약점이 발견되었습니다.
- 코드베이스당 평균 82개의 취약점이 확인되었습니다.
이는 기술 부채의 하위 집합인 보안 부채를 확산시킵니다. 보안 부채는 소프트웨어 애플리케이션에 취약점이 누적되어 공격으로부터 데이터와 시스템을 보호하기 어렵거나 불가능하게 만드는 것을 말합니다.
가장 악명 높은 사례 중 하나는 2017년에 발생한 신용 보고 대기업 Equifax의 보안 침해 사고로, 이 회사는 널리 사용되는 오픈 소스 웹 애플리케이션 프레임워크인 Apache Struts의 알려진 취약점을 패치하지 않아서 발생한 사고입니다. 패치는 몇 달 동안 제공되었지만 1억 4,700만 명 이상의 중요한 개인 데이터가 유출되었습니다.
따라서 많은 애플리케이션이 기술 부채뿐만 아니라 애플리케이션 자체의 보안 약점 및 취약점 밀도가 임계치에 도달했기 때문에 보안 코딩 관행에 더 많은 주의를 기울여야 합니다.
이로 인해 유형 또는 무형의 막대한 손실이 발생할 수 있습니다:
평판 손상: 고객 신뢰 상실은 향후 매우 부정적인 영향을 미칠 수 있습니다. 여기에는 브랜드 손상, 매출 손실, 위반으로 인한 값비싼 법적 문제 등이 포함될 수 있습니다.
규제 및 규정 준수에 미치는 영향: 보안 위반으로 인해 기한 및/또는 계약상의 의무를 놓칠 수 있습니다. SLA를 충족하지 못하면 규제 기관과 문제가 발생하여 상당한 벌금이 부과될 수 있습니다.
복구 비용: 장애나 중단이 발생한 후 생산성 손실을 만회하기 위해 추가 작업이 필요한 경우가 많습니다.
SDLC에서 기술 및 보안 부채 방지
이미 많은 조직이 더 강력한 보안 태세를 구축하기 위해 예산을 전환하고 있습니다. 작년에 Google은 사이버 보안을 강화하기 위한 프로그램에 5년간 100억 달러를 투자했습니다. 바이든 행정부는 또한 2022년 사이버보안 및 인프라 보안국(CISA)을 위한 재량 예산으로 21억 달러를 요청했습니다.
개발자의 전문적인 성장과 지식을 강화하는 데 도움이 되는 더 많은 리소스와 교육을 제공하는 것은 프로덕션에 배포되는 모든 코드에 대한 품질 표준을 확립하는 첫 번째 단계가 될 수 있습니다.
취약점이나 결함을 발견하고 수정하는 데 드는 비용은 소프트웨어 개발 주기의 후반부로 갈수록 기하급수적으로 증가합니다. 앞서 살펴본 바와 같이 기술 및 보안 부채를 해결하는 데 너무 많은 시간을 할애하다 보니 조직은 새로운 기능이나 제품에 투자할 혁신과 시간을 포기함으로써 스스로 손실을 초래하고 있습니다.
2022년에 개발자 팀의 대다수가 데브옵스 또는 데브섹옵스를 선택한 방법론이라고 답했는데, 그 이유는 당연한 결과입니다. 데브섹옵스는 소프트웨어 개발 라이프사이클의 모든 단계에서 보안을 통합하여 더 우수하고 안전한 애플리케이션을 제공합니다. 보안 팀과 개발 팀은 계속해서 사일로에서 일하며 긴장감을 가지고 있지만, 비즈니스 성공을 위해서는 이러한 상황이 바뀌어야 한다는 것은 분명합니다. 데브옵스는 조직이 장벽을 허물고 문화를 바꾸려는 노력의 일환입니다. 데브섹옵스의 근본적인 목표는 소프트웨어 개발 라이프사이클의 초기 단계부터 개발자와 앱 보안/보안 간의 협업을 강화하는 것입니다.
기술 부채와 보안을 해결하기 위한 새로운 사고 방식을 구현하는 것이 거창한 일이 될 필요는 없습니다. 교육을 통해 사전 예방적 사고방식을 확립하는 것은 조직의 개발자 커뮤니티의 보안 인식과 기술을 개선하는 데 있어 매우 중요합니다. 개발자를 위한 강력한 보안 코딩 교육은 지속적이고, 대화형이며, 관련성 있고, 상황에 맞는 학습이 필수적입니다. 진정한 개발자 주도의 보안 문화를 조성하기 위해 무엇이 필요한지 고려하는 진정한 총체적 접근 방식이 필요합니다. 이를 위해서는 개발자 팀을 관리하고 구축하는 일반적인 방식에서 초점을 바꿔야 할 수도 있습니다.
문화를 바꾸는 것은 쉽지 않지만 Secure Code Warrior 에서 보안 챔피언을 식별하고 개발자와 조직이 끊임없이 변화하는 오늘날의 보안 문제를 해결할 수 있는 올바른 기술을 갖출 수 있도록 도와줍니다.
보안에 대한 과거의 사후 대응 방식이 아닌 장기적인 예방적 접근 방식을 취하기 때문에 매력적이고 확장 가능한 보안 코드 프로그램을 시작하는 것은 가치 있는 투자입니다. 이는 궁극적으로 보안 침해로 인한 막대한 비용의 위험을 완화하고, 개발자에게 취약점을 신속하게 찾아 수정하는 방법을 교육하며, 제품 개발에 더욱 민첩하게 집중하고 출시 시간을 단축하는 데 도움이 됩니다.
안전하지 않은 코드와 그에 따른 기술 부채를 해결하는 데 드는 비용은 오늘날 기술 업계가 직면한 가장 큰 장애물 중 하나입니다. 확장 가능한 보안 코드 교육 프로그램을 구현하여 잘못된 코딩 패턴을 해결하고 소프트웨어 개발 주기 초기에 취약점을 탐지하여 기술 부채를 줄이는 방법을 알아보세요.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약테일러 브로드풋-나이마크는 Secure Code Warrior 의 제품 마케팅 매니저입니다. 사이버 보안 및 애자일 학습에 관한 여러 기사를 작성했으며 제품 출시, GTM 전략 및 고객 옹호도 담당하고 있습니다.
부채에 대해 이야기해 보겠습니다.
사이버 범죄가 글로벌 경제가 직면한 주요 이슈가 되었다는 사실은 이제 누구나 알고 있습니다. 2022년 기준 미국의 데이터 유출로 인한 평균 비용은 944만 달러로 전년도의 905만 달러에서 증가했습니다. 안전하지 않은 코드와 이로 인해 누적된 기술 부채의 비용도 무시해서는 안 됩니다. 2022년 정보 및 소프트웨어 품질 컨소시엄에 따르면: 소프트웨어 품질 저하로 인한 비용 보고서에 따르면 미국의 소프트웨어 품질 저하로 인한 비용은 2조 4,100억 달러, 누적 소프트웨어 기술 부채는 1조 5,200억 달러로 증가한 것으로 추정됩니다.
안전하지 않은 코드와 이로 인한 기술 부채를 해결하는 데 급증하는 비용은 기존 코드 기반을 변경하는 데 가장 큰 장애물이 되어 익스플로잇과 외부 위협에 취약한 상태로 남게 됩니다. 보안 태세를 개선하고 누적된 기술 부채를 해결해야 한다는 것을 알고 있지만 장벽이 너무 높습니다:
- 미국에는 약 30만 개의 미충원 소프트웨어 개발자 및 IT 관련 일자리가 있으며, 성장률은 15%로 예상됩니다.
- 2025년까지 IT 예산의 40%가 단순히 기술 부채를 유지하는 데 사용될 것으로 예상됩니다.
- 개발자의 주당 평균 시간 중 1/3이 기술 부채 해결에 소요됩니다.
빠른 수정은 위험하며 장기적으로 더 많은 비용이 듭니다.
기술 부채란 무엇이며 왜 중요한가요? 기술 부채는 의사 결정권자가 소프트웨어 개발 문제에 대해 보다 철저하고 장기적인 해결책을 찾는 대신 단기적인 해결책을 선택할 때 누적됩니다. 여기에는 조직이 나중에 지불해야 하는 상당한 숨겨진 비용이 수반됩니다. 신용 카드의 한도와 마찬가지로 기술 부채에는 두 가지 주요 구성 요소가 있습니다:
- 원칙 - 원하는 수준의 유지 관리 및 보안에 도달할 수 있도록 소프트웨어를 리팩토링하거나 수정하는 데 드는 총 비용을 의미합니다.
- 이자 - 개발자가 새로운 기능이 아닌 기술 부채만을 해결하기 위해 이러한 변경을 수행하는 데 드는 추가 노력입니다. 올바르지 않은 코드에 매 순간을 소비할 때마다 부채에 이자가 더해집니다.
새로운 기능, 버그 수정 및 유지보수 비용이 프로젝트 예산을 초과하여 소프트웨어 애플리케이션의 가치가 크게 하락하면 결국 '기술적 파산' 상태에 도달할 수 있습니다.
그러나 인생에서와 마찬가지로 어느 정도의 부채 축적은 정상이며 대부분의 경우 어느 정도 예상되는 일입니다.
이상적으로는 모든 소프트웨어 개발자는 코드를 출시하기 전에 가능한 한 버그를 줄여야 합니다. 하지만 경쟁력을 갖추기 위해 조직은 최소한의 비용으로 고객에게 기능이나 제품을 신속하게 제공하고자 할 수 있습니다. 결과적으로 개발자의 KPI는 제공 속도와 초기 구축 비용을 기반으로 하기 때문에 애플리케이션의 품질이 저하될 수 있습니다. 이 과정에서 누락되는 것은 누적된 결함과 코드에 잠재된 취약점입니다. 이로 인해 향후 버그나 보안 취약점이 발생하거나 악의적인 공격자가 악용할 수 있는 여지가 있습니다.
하지만 엄청난 양의 기술 부채를 쌓지 않고 제품을 빠르게 출시할 수 있는 다른 방법이 없을까요?
결함 및 취약성을 발견하고 수정하는 데 드는 비용은 소프트웨어 개발 수명 주기에서 가장 큰 단일 비용입니다. 개발 수명 주기 초기에 문제를 발견할수록 전체적인 배포 비용 효율성이 높아집니다.
기술 부채는 보안 부채로 발전할 수 있습니다.
많은 개발자가 오픈 소스 코드를 사용하여 빠르게 움직이고, 이상적으로는 이미 검증된 솔루션을 사용함으로써 이러한 절충안을 피하려고 합니다. 그러나 오픈 소스 소프트웨어에 크게 의존하는 것은 종종 자체적인 위험을 수반합니다:
- 오픈 소스 구성 요소의 82%가 오래된 것으로 밝혀졌습니다(즉, 패치가 적용되지 않았거나 제대로 지원되지 않음).
- 코드베이스의 75%에서 취약점이 발견되었으며(2018년 60%에서 증가), 49%에서 고위험 취약점이 발견되었습니다.
- 코드베이스당 평균 82개의 취약점이 확인되었습니다.
이는 기술 부채의 하위 집합인 보안 부채를 확산시킵니다. 보안 부채는 소프트웨어 애플리케이션에 취약점이 누적되어 공격으로부터 데이터와 시스템을 보호하기 어렵거나 불가능하게 만드는 것을 말합니다.
가장 악명 높은 사례 중 하나는 2017년에 발생한 신용 보고 대기업 Equifax의 보안 침해 사고로, 이 회사는 널리 사용되는 오픈 소스 웹 애플리케이션 프레임워크인 Apache Struts의 알려진 취약점을 패치하지 않아서 발생한 사고입니다. 패치는 몇 달 동안 제공되었지만 1억 4,700만 명 이상의 중요한 개인 데이터가 유출되었습니다.
따라서 많은 애플리케이션이 기술 부채뿐만 아니라 애플리케이션 자체의 보안 약점 및 취약점 밀도가 임계치에 도달했기 때문에 보안 코딩 관행에 더 많은 주의를 기울여야 합니다.
이로 인해 유형 또는 무형의 막대한 손실이 발생할 수 있습니다:
평판 손상: 고객 신뢰 상실은 향후 매우 부정적인 영향을 미칠 수 있습니다. 여기에는 브랜드 손상, 매출 손실, 위반으로 인한 값비싼 법적 문제 등이 포함될 수 있습니다.
규제 및 규정 준수에 미치는 영향: 보안 위반으로 인해 기한 및/또는 계약상의 의무를 놓칠 수 있습니다. SLA를 충족하지 못하면 규제 기관과 문제가 발생하여 상당한 벌금이 부과될 수 있습니다.
복구 비용: 장애나 중단이 발생한 후 생산성 손실을 만회하기 위해 추가 작업이 필요한 경우가 많습니다.
SDLC에서 기술 및 보안 부채 방지
이미 많은 조직이 더 강력한 보안 태세를 구축하기 위해 예산을 전환하고 있습니다. 작년에 Google은 사이버 보안을 강화하기 위한 프로그램에 5년간 100억 달러를 투자했습니다. 바이든 행정부는 또한 2022년 사이버보안 및 인프라 보안국(CISA)을 위한 재량 예산으로 21억 달러를 요청했습니다.
개발자의 전문적인 성장과 지식을 강화하는 데 도움이 되는 더 많은 리소스와 교육을 제공하는 것은 프로덕션에 배포되는 모든 코드에 대한 품질 표준을 확립하는 첫 번째 단계가 될 수 있습니다.
취약점이나 결함을 발견하고 수정하는 데 드는 비용은 소프트웨어 개발 주기의 후반부로 갈수록 기하급수적으로 증가합니다. 앞서 살펴본 바와 같이 기술 및 보안 부채를 해결하는 데 너무 많은 시간을 할애하다 보니 조직은 새로운 기능이나 제품에 투자할 혁신과 시간을 포기함으로써 스스로 손실을 초래하고 있습니다.
2022년에 개발자 팀의 대다수가 데브옵스 또는 데브섹옵스를 선택한 방법론이라고 답했는데, 그 이유는 당연한 결과입니다. 데브섹옵스는 소프트웨어 개발 라이프사이클의 모든 단계에서 보안을 통합하여 더 우수하고 안전한 애플리케이션을 제공합니다. 보안 팀과 개발 팀은 계속해서 사일로에서 일하며 긴장감을 가지고 있지만, 비즈니스 성공을 위해서는 이러한 상황이 바뀌어야 한다는 것은 분명합니다. 데브옵스는 조직이 장벽을 허물고 문화를 바꾸려는 노력의 일환입니다. 데브섹옵스의 근본적인 목표는 소프트웨어 개발 라이프사이클의 초기 단계부터 개발자와 앱 보안/보안 간의 협업을 강화하는 것입니다.
기술 부채와 보안을 해결하기 위한 새로운 사고 방식을 구현하는 것이 거창한 일이 될 필요는 없습니다. 교육을 통해 사전 예방적 사고방식을 확립하는 것은 조직의 개발자 커뮤니티의 보안 인식과 기술을 개선하는 데 있어 매우 중요합니다. 개발자를 위한 강력한 보안 코딩 교육은 지속적이고, 대화형이며, 관련성 있고, 상황에 맞는 학습이 필수적입니다. 진정한 개발자 주도의 보안 문화를 조성하기 위해 무엇이 필요한지 고려하는 진정한 총체적 접근 방식이 필요합니다. 이를 위해서는 개발자 팀을 관리하고 구축하는 일반적인 방식에서 초점을 바꿔야 할 수도 있습니다.
문화를 바꾸는 것은 쉽지 않지만 Secure Code Warrior 에서 보안 챔피언을 식별하고 개발자와 조직이 끊임없이 변화하는 오늘날의 보안 문제를 해결할 수 있는 올바른 기술을 갖출 수 있도록 도와줍니다.
보안에 대한 과거의 사후 대응 방식이 아닌 장기적인 예방적 접근 방식을 취하기 때문에 매력적이고 확장 가능한 보안 코드 프로그램을 시작하는 것은 가치 있는 투자입니다. 이는 궁극적으로 보안 침해로 인한 막대한 비용의 위험을 완화하고, 개발자에게 취약점을 신속하게 찾아 수정하는 방법을 교육하며, 제품 개발에 더욱 민첩하게 집중하고 출시 시간을 단축하는 데 도움이 됩니다.
부채에 대해 이야기해 보겠습니다.
사이버 범죄가 글로벌 경제가 직면한 주요 이슈가 되었다는 사실은 이제 누구나 알고 있습니다. 2022년 기준 미국의 데이터 유출로 인한 평균 비용은 944만 달러로 전년도의 905만 달러에서 증가했습니다. 안전하지 않은 코드와 이로 인해 누적된 기술 부채의 비용도 무시해서는 안 됩니다. 2022년 정보 및 소프트웨어 품질 컨소시엄에 따르면: 소프트웨어 품질 저하로 인한 비용 보고서에 따르면 미국의 소프트웨어 품질 저하로 인한 비용은 2조 4,100억 달러, 누적 소프트웨어 기술 부채는 1조 5,200억 달러로 증가한 것으로 추정됩니다.
안전하지 않은 코드와 이로 인한 기술 부채를 해결하는 데 급증하는 비용은 기존 코드 기반을 변경하는 데 가장 큰 장애물이 되어 익스플로잇과 외부 위협에 취약한 상태로 남게 됩니다. 보안 태세를 개선하고 누적된 기술 부채를 해결해야 한다는 것을 알고 있지만 장벽이 너무 높습니다:
- 미국에는 약 30만 개의 미충원 소프트웨어 개발자 및 IT 관련 일자리가 있으며, 성장률은 15%로 예상됩니다.
- 2025년까지 IT 예산의 40%가 단순히 기술 부채를 유지하는 데 사용될 것으로 예상됩니다.
- 개발자의 주당 평균 시간 중 1/3이 기술 부채 해결에 소요됩니다.
빠른 수정은 위험하며 장기적으로 더 많은 비용이 듭니다.
기술 부채란 무엇이며 왜 중요한가요? 기술 부채는 의사 결정권자가 소프트웨어 개발 문제에 대해 보다 철저하고 장기적인 해결책을 찾는 대신 단기적인 해결책을 선택할 때 누적됩니다. 여기에는 조직이 나중에 지불해야 하는 상당한 숨겨진 비용이 수반됩니다. 신용 카드의 한도와 마찬가지로 기술 부채에는 두 가지 주요 구성 요소가 있습니다:
- 원칙 - 원하는 수준의 유지 관리 및 보안에 도달할 수 있도록 소프트웨어를 리팩토링하거나 수정하는 데 드는 총 비용을 의미합니다.
- 이자 - 개발자가 새로운 기능이 아닌 기술 부채만을 해결하기 위해 이러한 변경을 수행하는 데 드는 추가 노력입니다. 올바르지 않은 코드에 매 순간을 소비할 때마다 부채에 이자가 더해집니다.
새로운 기능, 버그 수정 및 유지보수 비용이 프로젝트 예산을 초과하여 소프트웨어 애플리케이션의 가치가 크게 하락하면 결국 '기술적 파산' 상태에 도달할 수 있습니다.
그러나 인생에서와 마찬가지로 어느 정도의 부채 축적은 정상이며 대부분의 경우 어느 정도 예상되는 일입니다.
이상적으로는 모든 소프트웨어 개발자는 코드를 출시하기 전에 가능한 한 버그를 줄여야 합니다. 하지만 경쟁력을 갖추기 위해 조직은 최소한의 비용으로 고객에게 기능이나 제품을 신속하게 제공하고자 할 수 있습니다. 결과적으로 개발자의 KPI는 제공 속도와 초기 구축 비용을 기반으로 하기 때문에 애플리케이션의 품질이 저하될 수 있습니다. 이 과정에서 누락되는 것은 누적된 결함과 코드에 잠재된 취약점입니다. 이로 인해 향후 버그나 보안 취약점이 발생하거나 악의적인 공격자가 악용할 수 있는 여지가 있습니다.
하지만 엄청난 양의 기술 부채를 쌓지 않고 제품을 빠르게 출시할 수 있는 다른 방법이 없을까요?
결함 및 취약성을 발견하고 수정하는 데 드는 비용은 소프트웨어 개발 수명 주기에서 가장 큰 단일 비용입니다. 개발 수명 주기 초기에 문제를 발견할수록 전체적인 배포 비용 효율성이 높아집니다.
기술 부채는 보안 부채로 발전할 수 있습니다.
많은 개발자가 오픈 소스 코드를 사용하여 빠르게 움직이고, 이상적으로는 이미 검증된 솔루션을 사용함으로써 이러한 절충안을 피하려고 합니다. 그러나 오픈 소스 소프트웨어에 크게 의존하는 것은 종종 자체적인 위험을 수반합니다:
- 오픈 소스 구성 요소의 82%가 오래된 것으로 밝혀졌습니다(즉, 패치가 적용되지 않았거나 제대로 지원되지 않음).
- 코드베이스의 75%에서 취약점이 발견되었으며(2018년 60%에서 증가), 49%에서 고위험 취약점이 발견되었습니다.
- 코드베이스당 평균 82개의 취약점이 확인되었습니다.
이는 기술 부채의 하위 집합인 보안 부채를 확산시킵니다. 보안 부채는 소프트웨어 애플리케이션에 취약점이 누적되어 공격으로부터 데이터와 시스템을 보호하기 어렵거나 불가능하게 만드는 것을 말합니다.
가장 악명 높은 사례 중 하나는 2017년에 발생한 신용 보고 대기업 Equifax의 보안 침해 사고로, 이 회사는 널리 사용되는 오픈 소스 웹 애플리케이션 프레임워크인 Apache Struts의 알려진 취약점을 패치하지 않아서 발생한 사고입니다. 패치는 몇 달 동안 제공되었지만 1억 4,700만 명 이상의 중요한 개인 데이터가 유출되었습니다.
따라서 많은 애플리케이션이 기술 부채뿐만 아니라 애플리케이션 자체의 보안 약점 및 취약점 밀도가 임계치에 도달했기 때문에 보안 코딩 관행에 더 많은 주의를 기울여야 합니다.
이로 인해 유형 또는 무형의 막대한 손실이 발생할 수 있습니다:
평판 손상: 고객 신뢰 상실은 향후 매우 부정적인 영향을 미칠 수 있습니다. 여기에는 브랜드 손상, 매출 손실, 위반으로 인한 값비싼 법적 문제 등이 포함될 수 있습니다.
규제 및 규정 준수에 미치는 영향: 보안 위반으로 인해 기한 및/또는 계약상의 의무를 놓칠 수 있습니다. SLA를 충족하지 못하면 규제 기관과 문제가 발생하여 상당한 벌금이 부과될 수 있습니다.
복구 비용: 장애나 중단이 발생한 후 생산성 손실을 만회하기 위해 추가 작업이 필요한 경우가 많습니다.
SDLC에서 기술 및 보안 부채 방지
이미 많은 조직이 더 강력한 보안 태세를 구축하기 위해 예산을 전환하고 있습니다. 작년에 Google은 사이버 보안을 강화하기 위한 프로그램에 5년간 100억 달러를 투자했습니다. 바이든 행정부는 또한 2022년 사이버보안 및 인프라 보안국(CISA)을 위한 재량 예산으로 21억 달러를 요청했습니다.
개발자의 전문적인 성장과 지식을 강화하는 데 도움이 되는 더 많은 리소스와 교육을 제공하는 것은 프로덕션에 배포되는 모든 코드에 대한 품질 표준을 확립하는 첫 번째 단계가 될 수 있습니다.
취약점이나 결함을 발견하고 수정하는 데 드는 비용은 소프트웨어 개발 주기의 후반부로 갈수록 기하급수적으로 증가합니다. 앞서 살펴본 바와 같이 기술 및 보안 부채를 해결하는 데 너무 많은 시간을 할애하다 보니 조직은 새로운 기능이나 제품에 투자할 혁신과 시간을 포기함으로써 스스로 손실을 초래하고 있습니다.
2022년에 개발자 팀의 대다수가 데브옵스 또는 데브섹옵스를 선택한 방법론이라고 답했는데, 그 이유는 당연한 결과입니다. 데브섹옵스는 소프트웨어 개발 라이프사이클의 모든 단계에서 보안을 통합하여 더 우수하고 안전한 애플리케이션을 제공합니다. 보안 팀과 개발 팀은 계속해서 사일로에서 일하며 긴장감을 가지고 있지만, 비즈니스 성공을 위해서는 이러한 상황이 바뀌어야 한다는 것은 분명합니다. 데브옵스는 조직이 장벽을 허물고 문화를 바꾸려는 노력의 일환입니다. 데브섹옵스의 근본적인 목표는 소프트웨어 개발 라이프사이클의 초기 단계부터 개발자와 앱 보안/보안 간의 협업을 강화하는 것입니다.
기술 부채와 보안을 해결하기 위한 새로운 사고 방식을 구현하는 것이 거창한 일이 될 필요는 없습니다. 교육을 통해 사전 예방적 사고방식을 확립하는 것은 조직의 개발자 커뮤니티의 보안 인식과 기술을 개선하는 데 있어 매우 중요합니다. 개발자를 위한 강력한 보안 코딩 교육은 지속적이고, 대화형이며, 관련성 있고, 상황에 맞는 학습이 필수적입니다. 진정한 개발자 주도의 보안 문화를 조성하기 위해 무엇이 필요한지 고려하는 진정한 총체적 접근 방식이 필요합니다. 이를 위해서는 개발자 팀을 관리하고 구축하는 일반적인 방식에서 초점을 바꿔야 할 수도 있습니다.
문화를 바꾸는 것은 쉽지 않지만 Secure Code Warrior 에서 보안 챔피언을 식별하고 개발자와 조직이 끊임없이 변화하는 오늘날의 보안 문제를 해결할 수 있는 올바른 기술을 갖출 수 있도록 도와줍니다.
보안에 대한 과거의 사후 대응 방식이 아닌 장기적인 예방적 접근 방식을 취하기 때문에 매력적이고 확장 가능한 보안 코드 프로그램을 시작하는 것은 가치 있는 투자입니다. 이는 궁극적으로 보안 침해로 인한 막대한 비용의 위험을 완화하고, 개발자에게 취약점을 신속하게 찾아 수정하는 방법을 교육하며, 제품 개발에 더욱 민첩하게 집중하고 출시 시간을 단축하는 데 도움이 됩니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약테일러 브로드풋-나이마크는 Secure Code Warrior 의 제품 마케팅 매니저입니다. 사이버 보안 및 애자일 학습에 관한 여러 기사를 작성했으며 제품 출시, GTM 전략 및 고객 옹호도 담당하고 있습니다.
부채에 대해 이야기해 보겠습니다.
사이버 범죄가 글로벌 경제가 직면한 주요 이슈가 되었다는 사실은 이제 누구나 알고 있습니다. 2022년 기준 미국의 데이터 유출로 인한 평균 비용은 944만 달러로 전년도의 905만 달러에서 증가했습니다. 안전하지 않은 코드와 이로 인해 누적된 기술 부채의 비용도 무시해서는 안 됩니다. 2022년 정보 및 소프트웨어 품질 컨소시엄에 따르면: 소프트웨어 품질 저하로 인한 비용 보고서에 따르면 미국의 소프트웨어 품질 저하로 인한 비용은 2조 4,100억 달러, 누적 소프트웨어 기술 부채는 1조 5,200억 달러로 증가한 것으로 추정됩니다.
안전하지 않은 코드와 이로 인한 기술 부채를 해결하는 데 급증하는 비용은 기존 코드 기반을 변경하는 데 가장 큰 장애물이 되어 익스플로잇과 외부 위협에 취약한 상태로 남게 됩니다. 보안 태세를 개선하고 누적된 기술 부채를 해결해야 한다는 것을 알고 있지만 장벽이 너무 높습니다:
- 미국에는 약 30만 개의 미충원 소프트웨어 개발자 및 IT 관련 일자리가 있으며, 성장률은 15%로 예상됩니다.
- 2025년까지 IT 예산의 40%가 단순히 기술 부채를 유지하는 데 사용될 것으로 예상됩니다.
- 개발자의 주당 평균 시간 중 1/3이 기술 부채 해결에 소요됩니다.
빠른 수정은 위험하며 장기적으로 더 많은 비용이 듭니다.
기술 부채란 무엇이며 왜 중요한가요? 기술 부채는 의사 결정권자가 소프트웨어 개발 문제에 대해 보다 철저하고 장기적인 해결책을 찾는 대신 단기적인 해결책을 선택할 때 누적됩니다. 여기에는 조직이 나중에 지불해야 하는 상당한 숨겨진 비용이 수반됩니다. 신용 카드의 한도와 마찬가지로 기술 부채에는 두 가지 주요 구성 요소가 있습니다:
- 원칙 - 원하는 수준의 유지 관리 및 보안에 도달할 수 있도록 소프트웨어를 리팩토링하거나 수정하는 데 드는 총 비용을 의미합니다.
- 이자 - 개발자가 새로운 기능이 아닌 기술 부채만을 해결하기 위해 이러한 변경을 수행하는 데 드는 추가 노력입니다. 올바르지 않은 코드에 매 순간을 소비할 때마다 부채에 이자가 더해집니다.
새로운 기능, 버그 수정 및 유지보수 비용이 프로젝트 예산을 초과하여 소프트웨어 애플리케이션의 가치가 크게 하락하면 결국 '기술적 파산' 상태에 도달할 수 있습니다.
그러나 인생에서와 마찬가지로 어느 정도의 부채 축적은 정상이며 대부분의 경우 어느 정도 예상되는 일입니다.
이상적으로는 모든 소프트웨어 개발자는 코드를 출시하기 전에 가능한 한 버그를 줄여야 합니다. 하지만 경쟁력을 갖추기 위해 조직은 최소한의 비용으로 고객에게 기능이나 제품을 신속하게 제공하고자 할 수 있습니다. 결과적으로 개발자의 KPI는 제공 속도와 초기 구축 비용을 기반으로 하기 때문에 애플리케이션의 품질이 저하될 수 있습니다. 이 과정에서 누락되는 것은 누적된 결함과 코드에 잠재된 취약점입니다. 이로 인해 향후 버그나 보안 취약점이 발생하거나 악의적인 공격자가 악용할 수 있는 여지가 있습니다.
하지만 엄청난 양의 기술 부채를 쌓지 않고 제품을 빠르게 출시할 수 있는 다른 방법이 없을까요?
결함 및 취약성을 발견하고 수정하는 데 드는 비용은 소프트웨어 개발 수명 주기에서 가장 큰 단일 비용입니다. 개발 수명 주기 초기에 문제를 발견할수록 전체적인 배포 비용 효율성이 높아집니다.
기술 부채는 보안 부채로 발전할 수 있습니다.
많은 개발자가 오픈 소스 코드를 사용하여 빠르게 움직이고, 이상적으로는 이미 검증된 솔루션을 사용함으로써 이러한 절충안을 피하려고 합니다. 그러나 오픈 소스 소프트웨어에 크게 의존하는 것은 종종 자체적인 위험을 수반합니다:
- 오픈 소스 구성 요소의 82%가 오래된 것으로 밝혀졌습니다(즉, 패치가 적용되지 않았거나 제대로 지원되지 않음).
- 코드베이스의 75%에서 취약점이 발견되었으며(2018년 60%에서 증가), 49%에서 고위험 취약점이 발견되었습니다.
- 코드베이스당 평균 82개의 취약점이 확인되었습니다.
이는 기술 부채의 하위 집합인 보안 부채를 확산시킵니다. 보안 부채는 소프트웨어 애플리케이션에 취약점이 누적되어 공격으로부터 데이터와 시스템을 보호하기 어렵거나 불가능하게 만드는 것을 말합니다.
가장 악명 높은 사례 중 하나는 2017년에 발생한 신용 보고 대기업 Equifax의 보안 침해 사고로, 이 회사는 널리 사용되는 오픈 소스 웹 애플리케이션 프레임워크인 Apache Struts의 알려진 취약점을 패치하지 않아서 발생한 사고입니다. 패치는 몇 달 동안 제공되었지만 1억 4,700만 명 이상의 중요한 개인 데이터가 유출되었습니다.
따라서 많은 애플리케이션이 기술 부채뿐만 아니라 애플리케이션 자체의 보안 약점 및 취약점 밀도가 임계치에 도달했기 때문에 보안 코딩 관행에 더 많은 주의를 기울여야 합니다.
이로 인해 유형 또는 무형의 막대한 손실이 발생할 수 있습니다:
평판 손상: 고객 신뢰 상실은 향후 매우 부정적인 영향을 미칠 수 있습니다. 여기에는 브랜드 손상, 매출 손실, 위반으로 인한 값비싼 법적 문제 등이 포함될 수 있습니다.
규제 및 규정 준수에 미치는 영향: 보안 위반으로 인해 기한 및/또는 계약상의 의무를 놓칠 수 있습니다. SLA를 충족하지 못하면 규제 기관과 문제가 발생하여 상당한 벌금이 부과될 수 있습니다.
복구 비용: 장애나 중단이 발생한 후 생산성 손실을 만회하기 위해 추가 작업이 필요한 경우가 많습니다.
SDLC에서 기술 및 보안 부채 방지
이미 많은 조직이 더 강력한 보안 태세를 구축하기 위해 예산을 전환하고 있습니다. 작년에 Google은 사이버 보안을 강화하기 위한 프로그램에 5년간 100억 달러를 투자했습니다. 바이든 행정부는 또한 2022년 사이버보안 및 인프라 보안국(CISA)을 위한 재량 예산으로 21억 달러를 요청했습니다.
개발자의 전문적인 성장과 지식을 강화하는 데 도움이 되는 더 많은 리소스와 교육을 제공하는 것은 프로덕션에 배포되는 모든 코드에 대한 품질 표준을 확립하는 첫 번째 단계가 될 수 있습니다.
취약점이나 결함을 발견하고 수정하는 데 드는 비용은 소프트웨어 개발 주기의 후반부로 갈수록 기하급수적으로 증가합니다. 앞서 살펴본 바와 같이 기술 및 보안 부채를 해결하는 데 너무 많은 시간을 할애하다 보니 조직은 새로운 기능이나 제품에 투자할 혁신과 시간을 포기함으로써 스스로 손실을 초래하고 있습니다.
2022년에 개발자 팀의 대다수가 데브옵스 또는 데브섹옵스를 선택한 방법론이라고 답했는데, 그 이유는 당연한 결과입니다. 데브섹옵스는 소프트웨어 개발 라이프사이클의 모든 단계에서 보안을 통합하여 더 우수하고 안전한 애플리케이션을 제공합니다. 보안 팀과 개발 팀은 계속해서 사일로에서 일하며 긴장감을 가지고 있지만, 비즈니스 성공을 위해서는 이러한 상황이 바뀌어야 한다는 것은 분명합니다. 데브옵스는 조직이 장벽을 허물고 문화를 바꾸려는 노력의 일환입니다. 데브섹옵스의 근본적인 목표는 소프트웨어 개발 라이프사이클의 초기 단계부터 개발자와 앱 보안/보안 간의 협업을 강화하는 것입니다.
기술 부채와 보안을 해결하기 위한 새로운 사고 방식을 구현하는 것이 거창한 일이 될 필요는 없습니다. 교육을 통해 사전 예방적 사고방식을 확립하는 것은 조직의 개발자 커뮤니티의 보안 인식과 기술을 개선하는 데 있어 매우 중요합니다. 개발자를 위한 강력한 보안 코딩 교육은 지속적이고, 대화형이며, 관련성 있고, 상황에 맞는 학습이 필수적입니다. 진정한 개발자 주도의 보안 문화를 조성하기 위해 무엇이 필요한지 고려하는 진정한 총체적 접근 방식이 필요합니다. 이를 위해서는 개발자 팀을 관리하고 구축하는 일반적인 방식에서 초점을 바꿔야 할 수도 있습니다.
문화를 바꾸는 것은 쉽지 않지만 Secure Code Warrior 에서 보안 챔피언을 식별하고 개발자와 조직이 끊임없이 변화하는 오늘날의 보안 문제를 해결할 수 있는 올바른 기술을 갖출 수 있도록 도와줍니다.
보안에 대한 과거의 사후 대응 방식이 아닌 장기적인 예방적 접근 방식을 취하기 때문에 매력적이고 확장 가능한 보안 코드 프로그램을 시작하는 것은 가치 있는 투자입니다. 이는 궁극적으로 보안 침해로 인한 막대한 비용의 위험을 완화하고, 개발자에게 취약점을 신속하게 찾아 수정하는 방법을 교육하며, 제품 개발에 더욱 민첩하게 집중하고 출시 시간을 단축하는 데 도움이 됩니다.