선제적 보호: 지능형 위협 방지를 위한 국가 사이버 보안 전략 활용

게시일: 2023년 5월 19일
작성자: 피터 댄히외
사례 연구

선제적 보호: 지능형 위협 방지를 위한 국가 사이버 보안 전략 활용

게시일: 2023년 5월 19일
작성자: 피터 댄히외
리소스 보기
리소스 보기

이 문서는 원래 포브스 기술 위원회의 일부로 게재되었습니다. 여기에서 업데이트 및 신디케이트되었습니다.

2022년에 얼마나 많은 데이터 레코드가 유출되었다고 생각하시나요? 약 5억 개 정도라고 추측한다면 올바른 방향으로 가고 있는 것입니다. 공개된 유출 데이터에 따르면 작년에만 약 480,014,323개의 기록이 도난당했지만, 그 수는 훨씬 더 많을 것으로 보입니다. 어쨌든 이는 일반 시민에게는 냉정한 통계이며, 기업 보안 전문가에게는 매우 우려스러운 수치입니다.

선진국 대부분의 사람들이 성공적인 사이버 공격을 통해 자신의 개인 데이터 중 적어도 일부가 범죄자의 손에 넘어가는 것을 경험했을 가능성이 높기 때문에 세계 각국 정부가 온라인 범죄 활동의 이러한 파괴적인 흐름을 막기 위한 솔루션을 모색하는 것은 당연한 일입니다. 최근 바이든 행정부가 국가 사이버 보안 전략의 형태로 발표한 이 전략에 큰 관심을 가지고 지켜보고 있습니다. 이 전략에는 제가 요즘 가장 좋아하는 주제 중 하나인 보안 책임에 관한 지침이 포함되어 있습니다.

CISA의 사이버 보안 및 인프라 보안 책임자인 Jen Easterly가 중요한 프레젠테이션을 한 후 발표된 이 전략은 보안 커뮤니티에서 일부 분열을 일으킨 것은 당연한 일입니다. 하지만 저는 이 전략이 전반적으로 소프트웨어 표준을 높이고, 궁극적으로 보안에 능숙한 개발자의 새로운 시대를 열 수 있는 최고의 기회라고 믿습니다.

공급업체는 안전하지 않은 소프트웨어에 대해 항상 책임을 져야 합니다.

수십 년 동안 소프트웨어 보안과 관련하여 책임 소재는 어떤 팀도 해결하려고 하지 않는 뜨거운 감자였습니다. 경영진과 팀은 소프트웨어 보안에 대한 궁극적인 책임이 누구에게 있는지에 대해 격렬하게 동의하지 않는 경향이 있는데, Venafi의 한 보고서에 따르면 고위 IT 임원의 97%가 소프트웨어 빌드 프로세스가 충분히 안전하지 않다는 데 동의하지만 보안 모범 사례를 적용하는 데 최종적인 책임이 있는 사람에 대해서는 의견이 일치하지 않는 것으로 나타났습니다. 경영진의 61%는 IT 보안 팀이 소프트웨어 보안을 책임져야 한다고 답한 반면, 31%는 개발 팀이 책임져야 한다고 답했습니다. 이는 방정식의 한 부분일 뿐입니다. 소프트웨어 빌드에 포함된 오픈 소스 및 타사 상용 구성 요소 문제는 공격 표면을 지속적으로 확장하고 있습니다. 업데이트, 모니터링, 테스트에 대한 지속적인 경계가 필요함에도 불구하고 앱 보안 팀과 보안 팀 사이에서도 명확한 '소유자'가 거의 없습니다.

같은 설문조사에 따르면 소프트웨어 보안과 무결성에 대한 책임을 누가 져야 하는지에 대한 내부 갈등에도 불구하고 94%의 임원은 빌드 파이프라인을 위협 행위자로부터 보호하지 못하고 고객과 최종 사용자를 위험에 빠뜨리는 소프트웨어 공급업체에 대해 처벌을 해야 한다고 생각합니다. 

최근 2016년 발생한 치명적인 사이버 공격에 대한 잘못된 관리와 관련하여 Uber의 최고정보보호책임자(CISO)가 기소되고 GDPR과 같은 규제 이니셔티브가 시행되면서 보안을 우선시하지 않고 불장난을 하는 공급업체에 대한 제재가 서서히 강화되고 있습니다. 하지만 이것만으로는 충분하지 않습니다. 우리는 사이버 범죄와의 전쟁에서 패배하고 있으며, 삼키기 어려운 약이지만 소프트웨어 공급업체의 느슨한 관행은 사이버 범죄가 번창할 수 있는 무한한 기회를 제공하고 있습니다. 

국가 사이버 보안 전략은 안전하지 않은 소프트웨어에 대한 모든 책임을 공급업체에 전가함으로써 선을 긋고 순환적인 비난 게임을 중단하고자 합니다.



전략 목표 3.3 - 안전하지 않은 소프트웨어 제품 및 서비스에 대한 책임 전환:

"너무 많은 공급업체가 보안 개발을 위한 모범 사례를 무시하고, 안전하지 않은 기본 구성이나 알려진 취약점이 있는 제품을 출시하며, 검증되지 않았거나 출처를 알 수 없는 타사 소프트웨어를 통합합니다."

우리는 소프트웨어 보안을 위해 합리적인 예방 조치를 취하지 않는 기업에게 책임을 전가하기 시작해야 하며, 가장 진보된 소프트웨어 보안 프로그램도 모든 취약점을 예방할 수는 없다는 사실을 인식해야
합니다."

이로 인해 당연히 일부 업계가 반발하고 있습니다. 하지만 대부분의 산업에서 표준 및 규정 개발의 다른 결정적인 순간과 마찬가지로, 더 나은 장기적인 결과를 보장하기 위한 중기적인 고통입니다. 소프트웨어 공급업체의 한 사람으로서, 보안에 관한 한 모든 책임을 져야 한다는 것은 당연한 일입니다. 빌드 파이프라인, 프로세스, 품질 관리가 우리의 책임이며, 실수할 경우 이를 바로잡는 것은 우리의 책임입니다.

또한, 우리는 가능한 최고 품질의 소프트웨어를 만들기 위해 노력해야 하며, 보안 코딩은 성공적인 결과를 정의하는 지표의 일부가 되어야 합니다. 어떤 대가를 치르더라도 속도에 집중하는 세상에서 이를 달성하는 것은 어려운 일이지만, 소프트웨어 제작 프로세스에 참여하는 모든 사람, 특히 개발자가 자신의 역할에 맞는 보안 모범 사례를 제공할 수 있도록 적절한 교육을 받도록 하는 것은 우리의 미래를 이끄는 보안 리더의 몫입니다. 

아직 장기적인 모범 사례에 대한 방향성이 부족합니다.

전략 목표 3.3은 일반적인 모범 사례의 기초로 잘 정립된 NIST 보안 소프트웨어 개발 프레임워크를 참조하고 있으며, 이는 포괄적이고 모든 것을 아우르는 지침입니다. 이 프레임워크는 "조직의 인력, 프로세스 및 기술이 조직 수준에서 안전한 소프트웨어 개발을 수행할 준비가 되어 있는지 확인"할 필요성을 명시하고 있지만, 예를 들어 보안 인식 관리자가 활성화 솔루션을 선택할 때 고려해야 할 요소에 대해서는 특별히 규정하지 않습니다.

진정한 혁신을 이루려면 개발자를 보안 프로그램의 필수 요소로 간주하고 기술을 향상하고 취약성 탐지 및 제거에 대한 책임을 공유할 수 있는 모든 기회를 제공해야 합니다. 관련성이 높은 상황별 학습 및 도구 없이는 측정 가능한 방식으로 이를 달성할 수 없으며, 지속적인 기술 개발 경로가 아닌 연례 규정 준수 연습으로 간주되는 경우에도 마찬가지입니다. 

개발자는 보안 수수께끼를 푸는 데 있어 강력한 퍼즐 조각이며, 보안에 능숙한 개발자로 구성된 팀은 대부분의 조직에서 없어서는 안 될 필수 요소입니다. 개발자는 빠른 보안을 가능케 하지만, 이는 팀에 시간과 리소스를 투자할 때만 가능합니다. 그 전까지는 세상의 모든 일반적인 모범 사례 지침이 아무런 효과를 발휘하지 못할 것입니다.

소프트웨어 보안 열반을 향한 긴 여정.

바이든 행정부는 중요 인프라 전반의 신속한 복원력을 달성하기 위해 CISA에 30억 달러의 자금을 지원하기로 약속했습니다. 최고 수준의 정부로부터의 자금과 지원도 중요하지만, 위협 행위자를 막을 수 있는 기회를 잡기 위해서는 보안 문화에 대한 이야기를 다시 쓰기 위한 전 세계적인 노력이 필요합니다.

앞으로 가야 할 길은 멀지만, 모든 소프트웨어 공급업체가 조직 차원에서 보안 책임을 위한 용감한 첫 걸음을 내딛는 것에서 시작됩니다.

리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

선제적 보호: 지능형 위협 방지를 위한 국가 사이버 보안 전략 활용

게시일: 2023년 5월 19일
By 피터 댄히외

이 문서는 원래 포브스 기술 위원회의 일부로 게재되었습니다. 여기에서 업데이트 및 신디케이트되었습니다.

2022년에 얼마나 많은 데이터 레코드가 유출되었다고 생각하시나요? 약 5억 개 정도라고 추측한다면 올바른 방향으로 가고 있는 것입니다. 공개된 유출 데이터에 따르면 작년에만 약 480,014,323개의 기록이 도난당했지만, 그 수는 훨씬 더 많을 것으로 보입니다. 어쨌든 이는 일반 시민에게는 냉정한 통계이며, 기업 보안 전문가에게는 매우 우려스러운 수치입니다.

선진국 대부분의 사람들이 성공적인 사이버 공격을 통해 자신의 개인 데이터 중 적어도 일부가 범죄자의 손에 넘어가는 것을 경험했을 가능성이 높기 때문에 세계 각국 정부가 온라인 범죄 활동의 이러한 파괴적인 흐름을 막기 위한 솔루션을 모색하는 것은 당연한 일입니다. 최근 바이든 행정부가 국가 사이버 보안 전략의 형태로 발표한 이 전략에 큰 관심을 가지고 지켜보고 있습니다. 이 전략에는 제가 요즘 가장 좋아하는 주제 중 하나인 보안 책임에 관한 지침이 포함되어 있습니다.

CISA의 사이버 보안 및 인프라 보안 책임자인 Jen Easterly가 중요한 프레젠테이션을 한 후 발표된 이 전략은 보안 커뮤니티에서 일부 분열을 일으킨 것은 당연한 일입니다. 하지만 저는 이 전략이 전반적으로 소프트웨어 표준을 높이고, 궁극적으로 보안에 능숙한 개발자의 새로운 시대를 열 수 있는 최고의 기회라고 믿습니다.

공급업체는 안전하지 않은 소프트웨어에 대해 항상 책임을 져야 합니다.

수십 년 동안 소프트웨어 보안과 관련하여 책임 소재는 어떤 팀도 해결하려고 하지 않는 뜨거운 감자였습니다. 경영진과 팀은 소프트웨어 보안에 대한 궁극적인 책임이 누구에게 있는지에 대해 격렬하게 동의하지 않는 경향이 있는데, Venafi의 한 보고서에 따르면 고위 IT 임원의 97%가 소프트웨어 빌드 프로세스가 충분히 안전하지 않다는 데 동의하지만 보안 모범 사례를 적용하는 데 최종적인 책임이 있는 사람에 대해서는 의견이 일치하지 않는 것으로 나타났습니다. 경영진의 61%는 IT 보안 팀이 소프트웨어 보안을 책임져야 한다고 답한 반면, 31%는 개발 팀이 책임져야 한다고 답했습니다. 이는 방정식의 한 부분일 뿐입니다. 소프트웨어 빌드에 포함된 오픈 소스 및 타사 상용 구성 요소 문제는 공격 표면을 지속적으로 확장하고 있습니다. 업데이트, 모니터링, 테스트에 대한 지속적인 경계가 필요함에도 불구하고 앱 보안 팀과 보안 팀 사이에서도 명확한 '소유자'가 거의 없습니다.

같은 설문조사에 따르면 소프트웨어 보안과 무결성에 대한 책임을 누가 져야 하는지에 대한 내부 갈등에도 불구하고 94%의 임원은 빌드 파이프라인을 위협 행위자로부터 보호하지 못하고 고객과 최종 사용자를 위험에 빠뜨리는 소프트웨어 공급업체에 대해 처벌을 해야 한다고 생각합니다. 

최근 2016년 발생한 치명적인 사이버 공격에 대한 잘못된 관리와 관련하여 Uber의 최고정보보호책임자(CISO)가 기소되고 GDPR과 같은 규제 이니셔티브가 시행되면서 보안을 우선시하지 않고 불장난을 하는 공급업체에 대한 제재가 서서히 강화되고 있습니다. 하지만 이것만으로는 충분하지 않습니다. 우리는 사이버 범죄와의 전쟁에서 패배하고 있으며, 삼키기 어려운 약이지만 소프트웨어 공급업체의 느슨한 관행은 사이버 범죄가 번창할 수 있는 무한한 기회를 제공하고 있습니다. 

국가 사이버 보안 전략은 안전하지 않은 소프트웨어에 대한 모든 책임을 공급업체에 전가함으로써 선을 긋고 순환적인 비난 게임을 중단하고자 합니다.



전략 목표 3.3 - 안전하지 않은 소프트웨어 제품 및 서비스에 대한 책임 전환:

"너무 많은 공급업체가 보안 개발을 위한 모범 사례를 무시하고, 안전하지 않은 기본 구성이나 알려진 취약점이 있는 제품을 출시하며, 검증되지 않았거나 출처를 알 수 없는 타사 소프트웨어를 통합합니다."

우리는 소프트웨어 보안을 위해 합리적인 예방 조치를 취하지 않는 기업에게 책임을 전가하기 시작해야 하며, 가장 진보된 소프트웨어 보안 프로그램도 모든 취약점을 예방할 수는 없다는 사실을 인식해야
합니다."

이로 인해 당연히 일부 업계가 반발하고 있습니다. 하지만 대부분의 산업에서 표준 및 규정 개발의 다른 결정적인 순간과 마찬가지로, 더 나은 장기적인 결과를 보장하기 위한 중기적인 고통입니다. 소프트웨어 공급업체의 한 사람으로서, 보안에 관한 한 모든 책임을 져야 한다는 것은 당연한 일입니다. 빌드 파이프라인, 프로세스, 품질 관리가 우리의 책임이며, 실수할 경우 이를 바로잡는 것은 우리의 책임입니다.

또한, 우리는 가능한 최고 품질의 소프트웨어를 만들기 위해 노력해야 하며, 보안 코딩은 성공적인 결과를 정의하는 지표의 일부가 되어야 합니다. 어떤 대가를 치르더라도 속도에 집중하는 세상에서 이를 달성하는 것은 어려운 일이지만, 소프트웨어 제작 프로세스에 참여하는 모든 사람, 특히 개발자가 자신의 역할에 맞는 보안 모범 사례를 제공할 수 있도록 적절한 교육을 받도록 하는 것은 우리의 미래를 이끄는 보안 리더의 몫입니다. 

아직 장기적인 모범 사례에 대한 방향성이 부족합니다.

전략 목표 3.3은 일반적인 모범 사례의 기초로 잘 정립된 NIST 보안 소프트웨어 개발 프레임워크를 참조하고 있으며, 이는 포괄적이고 모든 것을 아우르는 지침입니다. 이 프레임워크는 "조직의 인력, 프로세스 및 기술이 조직 수준에서 안전한 소프트웨어 개발을 수행할 준비가 되어 있는지 확인"할 필요성을 명시하고 있지만, 예를 들어 보안 인식 관리자가 활성화 솔루션을 선택할 때 고려해야 할 요소에 대해서는 특별히 규정하지 않습니다.

진정한 혁신을 이루려면 개발자를 보안 프로그램의 필수 요소로 간주하고 기술을 향상하고 취약성 탐지 및 제거에 대한 책임을 공유할 수 있는 모든 기회를 제공해야 합니다. 관련성이 높은 상황별 학습 및 도구 없이는 측정 가능한 방식으로 이를 달성할 수 없으며, 지속적인 기술 개발 경로가 아닌 연례 규정 준수 연습으로 간주되는 경우에도 마찬가지입니다. 

개발자는 보안 수수께끼를 푸는 데 있어 강력한 퍼즐 조각이며, 보안에 능숙한 개발자로 구성된 팀은 대부분의 조직에서 없어서는 안 될 필수 요소입니다. 개발자는 빠른 보안을 가능케 하지만, 이는 팀에 시간과 리소스를 투자할 때만 가능합니다. 그 전까지는 세상의 모든 일반적인 모범 사례 지침이 아무런 효과를 발휘하지 못할 것입니다.

소프트웨어 보안 열반을 향한 긴 여정.

바이든 행정부는 중요 인프라 전반의 신속한 복원력을 달성하기 위해 CISA에 30억 달러의 자금을 지원하기로 약속했습니다. 최고 수준의 정부로부터의 자금과 지원도 중요하지만, 위협 행위자를 막을 수 있는 기회를 잡기 위해서는 보안 문화에 대한 이야기를 다시 쓰기 위한 전 세계적인 노력이 필요합니다.

앞으로 가야 할 길은 멀지만, 모든 소프트웨어 공급업체가 조직 차원에서 보안 책임을 위한 용감한 첫 걸음을 내딛는 것에서 시작됩니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.