블로그

사후 대응형 보안과 예방적 보안: 예방이 더 나은 치료법

마티아스 마두, Ph.
2024년 10월 31일 게시

보안팀은 오늘날의 클라우드 중심 데브옵스 세계에서 새로운 혁신의 물결을 따라잡기 위해 고군분투하고 있으므로, 공격자가 끊임없이 생성되는 수많은 코드에서 필연적으로 발생하는 취약점을 악용하는 수많은 방법을 따라잡지 못하는 것은 당연한 일입니다. 

하지만 에퀴팩스 데이터 유출, 솔라윈즈 공급망 공격과 같은 중대한 보안 침해부터 최근 몇 년간 체인지 헬스케어, AT&T 등에 대한 성공적인 공격과 같은 더 많은 사건에 이르기까지 보안 침해의 속도가 빨라지고 있음에도 많은 조직은 여전히 보안에 대한 사후 대응 방식에 집중하고 있습니다. 대부분의 보안 리소스를 취약점을 찾아 수정하고 인시던트가 발생하면 이에 대응하는 데 투입합니다. 이러한 접근 방식은 다른 시대에는 적합했을지 모르지만 소프트웨어, 기술 역량 및 IT 인프라의 급속한 발전은 인력이 부족하고 업무가 과중한 보안 팀이 따라잡기에는 너무 벅찹니다.

지속적으로 불이익을 당하지 않으려면 너무 빠르게 움직이는 보안 위협을 쫓거나 데이터 유출이라는 말이 떠날 때까지 기다리지 말아야 합니다. 대신 사후 대응이 아닌 예방적 접근 방식을 취하여 문제를 해결해야 합니다. 레거시 앱과 새로운 애플리케이션의 보안을 개선하려면 소프트웨어 개발 수명 주기(SDLC)를 시작할 때 보안 모범 사례를 적용하고 취약점이 프로덕션에 적용되기 전에 해결되도록 효과적인 개발자 교육으로 강화된 보안 설계 접근 방식이 필요합니다.

지금까지는 말처럼 쉽지 않은 일이었습니다. 

보안 코더의 공급 부족

미국 사이버보안 및 인프라 보안국(CISA)은 보안 코딩과 함께 다단계 인증(MFA)부터 취약성 등급 감소에 이르는 다른 모범 사례들을 장려하고 조직들이 보안 설계 서약에 참여하도록 장려하는 보안 설계 이니셔티브를 통해 예방을 핵심 정책으로 추진하려고 노력해 왔습니다. 호주, 캐나다, 독일, 영국을 비롯한 다른 국가에서도 유사한 프로그램을 시작했습니다. 그럼에도 불구하고 저희의 조사에 따르면 지금까지 이 프로그램에 참여한 조직은 극소수에 불과합니다.

Secure Code Warrior( Learning Platform )의 모든 개발자와 SCW의 경쟁사 개발자까지 합치면 50만 명에서 100만 명 사이의 개발자가 보안 설계 방식을 채택하고 있습니다. 가장 관대하게 추산하면 2024년 말에는 2 ,870만 명에 이를 것으로 예상되는 전 세계 개발자 수의 약 3.5%에 해당합니다. 이는 그 어느 때보다 많은 개발자가 더 많은 코드를 생산하고 있으며, 특히 생성형 인공 지능 프로그램으로 인해 개발 속도가 크게 빨라진 반면 보안 코드로 시작하는 방법을 배우는 개발자는 거의 없다는 것을 의미합니다. 

소프트웨어 엔지니어는 일반적으로 사이버 보안을 배우지 않습니다. 기존 모델에서는 개발자와 보안 전문가가 별도의 독립된 조직으로 일하고 보안 팀은 소프트웨어가 만들어진 후 보안 문제를 해결해야 했기 때문입니다. 하지만 오늘날의 환경에서는 보안 전문가의 수가 턱없이 부족합니다. 가장 최근의 보안 성숙도 모델 구축 보고서인 BSIMM14에 따르면 전 세계적으로 개발자 100명당 평균 3.87명의 앱보안 전문가가 있는 것으로 나타났습니다. 100명의 개발자가 엄청난 속도로 작업하는 결과물을 보호하기 위해 4명 미만의 숙련된 전문가가 노력하는 것은 안전한 코드를 위한 비결이 아닙니다. 

애플리케이션 보안에 대한 소홀함은 다른 보안 분야와 시장 규모를 비교했을 때도 비슷하게 드러납니다. 보안 설계 접근 방식을 구성하는 구성 요소는 애플리케이션 보안 시장에 속하며, 2023년 60억 8천만 달러에서 2031년 175억 1천만 달러로 성장할 것으로 예상됩니다. 이는 빠른 성장처럼 보이지만 2023년 235억 7천만 달러에서 2032년 673억 3천만 달러로 증가할 것으로 예상되는 네트워크 보안이나 2023년 180억 3천만 달러에서 2031년 575억 1천만 달러로 성장할 것으로 예상되는 운영 기술 보안에 지출되는 금액과 비교하면 그다지 크지 않은 수치입니다. 

보안 코드와 애플리케이션의 중요성이 점점 커지고 있는 것에 비해 이 분야에 대한 투자는 부족합니다. 실제로 기업이 애플리케이션 보안과 보안 설계 접근 방식에 더 많이 투자하면 다른 보안 영역에서 비용을 절감할 수 있습니다. 

예방적 보안이 구현하기 어렵고 따라서 최고 경영진에게 설득하기 어렵다고 보는 데에는 여러 가지 다른 요인이 있습니다. 우선, 금융 서비스 부문과 같이 오랜 역사를 가진 기업들은 오래된 레거시 시스템을 사용하고 있으며, 그 중 일부는 지난 세기 중반에 프로그래밍 언어로 선택된 COBOL을 사용하던 시절에 만들어진 시스템입니다. 

최신 애플리케이션과 동시에 레거시 코드와 시스템에 예방적 보안을 적용하는 것은 어렵게 느껴질 수 있지만, 개발자의 역량을 강화하여 보안 모범 사례를 적용하는 설계 기반 보안 접근 방식을 사용하면 이러한 시스템에 보안 모범 사례를 적용할 수 있습니다. 이는 많은 조직이 보안 태세를 개선할 수 있는 최고의 기회입니다. 

예방 문화 구축

보안에 대한 예방적 접근 방식으로의 전환은 더디게 진행되고 있지만, 오늘날의 사이버 위협 환경에서 보안 설계 관행의 필요성이 절실하기 때문에 보안 설계 관행 채택에 대한 요구는 사라지지 않을 것입니다. 자동차 업계가 자동차를 더 안전하게 만드는 대신 더 많은 구급차와 응급 구조대에 투자하기로 결정했다면, 많은 조직이 사이버 보안에 관해서는 그 모델을 따르고 있을 것입니다.

조직은 위험을 줄이기 위해 예방적이고 능동적인 접근 방식을 채택해야 합니다. 개발자의 보안 코드 작성 및 오류(예: AI 어시스턴트 또는 타사 코드에서 발생하는 오류) 수정에 대한 역량을 강화하기 위한 프로그램을 SDLC 초기에 구축해야 합니다. 이러한 프로그램에는 개발자의 일정에 맞고 개발자의 업무 환경과 사용하는 프로그래밍 언어에 맞게 조정할 수 있는 민첩한 대화형 교육 프로그램이 포함되어야 합니다. 업스킬링에는 실제 문제를 해결하는 실습 교육이 포함되어야 합니다.

중요한 것은 보안 모범 사례를 일상 생활의 중요한 부분으로 만들었는지 확인하기 위해 진행 상황을 측정할 수 있는 수단이 포함되어야 한다는 것입니다. SCW의 신뢰 점수와 같은 도구는 벤치마크를 사용하여 내부 및 업계 표준에 대한 진행 상황을 측정하는 동시에 개선이 필요한 영역을 식별합니다. 

보안 설계 접근 방식은 보안을 비즈니스 우선 순위로 삼는 조직 내 보안 우선 사고방식을 반영하는 총체적인 접근 방식입니다. 물론 대응과 복구는 조직의 전반적인 보안 태세에서 필수적인 부분입니다. 그러나 예방에 집중함으로써 기업은 위험을 줄이고 비즈니스의 생존을 위협할 수 있는 중대한 침해 사고를 피하는 데 큰 진전을 이룰 수 있습니다.

지금 바로 Secure Code Warrior 에서 실행 가능한 보안 설계 이니셔티브를 실현하는 데 어떻게 도움을 줄 수 있는지 자세히 알아보세요.

리소스 보기
리소스 보기

최신 애플리케이션과 동시에 레거시 코드와 시스템에 예방적 보안을 적용하는 것은 어렵게 느껴질 수 있지만, 개발자의 역량을 강화하여 보안 모범 사례를 적용하는 설계 기반 보안 접근 방식을 사용하면 이러한 시스템에 보안 모범 사례를 적용할 수 있습니다. 이는 많은 조직이 보안 태세를 개선할 수 있는 최고의 기회입니다. 

더 알고 싶으신가요?

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약
공유하세요:
저자
마티아스 마두, Ph.
2024년 10월 31일 게시

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

공유하세요:

보안팀은 오늘날의 클라우드 중심 데브옵스 세계에서 새로운 혁신의 물결을 따라잡기 위해 고군분투하고 있으므로, 공격자가 끊임없이 생성되는 수많은 코드에서 필연적으로 발생하는 취약점을 악용하는 수많은 방법을 따라잡지 못하는 것은 당연한 일입니다. 

하지만 에퀴팩스 데이터 유출, 솔라윈즈 공급망 공격과 같은 중대한 보안 침해부터 최근 몇 년간 체인지 헬스케어, AT&T 등에 대한 성공적인 공격과 같은 더 많은 사건에 이르기까지 보안 침해의 속도가 빨라지고 있음에도 많은 조직은 여전히 보안에 대한 사후 대응 방식에 집중하고 있습니다. 대부분의 보안 리소스를 취약점을 찾아 수정하고 인시던트가 발생하면 이에 대응하는 데 투입합니다. 이러한 접근 방식은 다른 시대에는 적합했을지 모르지만 소프트웨어, 기술 역량 및 IT 인프라의 급속한 발전은 인력이 부족하고 업무가 과중한 보안 팀이 따라잡기에는 너무 벅찹니다.

지속적으로 불이익을 당하지 않으려면 너무 빠르게 움직이는 보안 위협을 쫓거나 데이터 유출이라는 말이 떠날 때까지 기다리지 말아야 합니다. 대신 사후 대응이 아닌 예방적 접근 방식을 취하여 문제를 해결해야 합니다. 레거시 앱과 새로운 애플리케이션의 보안을 개선하려면 소프트웨어 개발 수명 주기(SDLC)를 시작할 때 보안 모범 사례를 적용하고 취약점이 프로덕션에 적용되기 전에 해결되도록 효과적인 개발자 교육으로 강화된 보안 설계 접근 방식이 필요합니다.

지금까지는 말처럼 쉽지 않은 일이었습니다. 

보안 코더의 공급 부족

미국 사이버보안 및 인프라 보안국(CISA)은 보안 코딩과 함께 다단계 인증(MFA)부터 취약성 등급 감소에 이르는 다른 모범 사례들을 장려하고 조직들이 보안 설계 서약에 참여하도록 장려하는 보안 설계 이니셔티브를 통해 예방을 핵심 정책으로 추진하려고 노력해 왔습니다. 호주, 캐나다, 독일, 영국을 비롯한 다른 국가에서도 유사한 프로그램을 시작했습니다. 그럼에도 불구하고 저희의 조사에 따르면 지금까지 이 프로그램에 참여한 조직은 극소수에 불과합니다.

Secure Code Warrior( Learning Platform )의 모든 개발자와 SCW의 경쟁사 개발자까지 합치면 50만 명에서 100만 명 사이의 개발자가 보안 설계 방식을 채택하고 있습니다. 가장 관대하게 추산하면 2024년 말에는 2 ,870만 명에 이를 것으로 예상되는 전 세계 개발자 수의 약 3.5%에 해당합니다. 이는 그 어느 때보다 많은 개발자가 더 많은 코드를 생산하고 있으며, 특히 생성형 인공 지능 프로그램으로 인해 개발 속도가 크게 빨라진 반면 보안 코드로 시작하는 방법을 배우는 개발자는 거의 없다는 것을 의미합니다. 

소프트웨어 엔지니어는 일반적으로 사이버 보안을 배우지 않습니다. 기존 모델에서는 개발자와 보안 전문가가 별도의 독립된 조직으로 일하고 보안 팀은 소프트웨어가 만들어진 후 보안 문제를 해결해야 했기 때문입니다. 하지만 오늘날의 환경에서는 보안 전문가의 수가 턱없이 부족합니다. 가장 최근의 보안 성숙도 모델 구축 보고서인 BSIMM14에 따르면 전 세계적으로 개발자 100명당 평균 3.87명의 앱보안 전문가가 있는 것으로 나타났습니다. 100명의 개발자가 엄청난 속도로 작업하는 결과물을 보호하기 위해 4명 미만의 숙련된 전문가가 노력하는 것은 안전한 코드를 위한 비결이 아닙니다. 

애플리케이션 보안에 대한 소홀함은 다른 보안 분야와 시장 규모를 비교했을 때도 비슷하게 드러납니다. 보안 설계 접근 방식을 구성하는 구성 요소는 애플리케이션 보안 시장에 속하며, 2023년 60억 8천만 달러에서 2031년 175억 1천만 달러로 성장할 것으로 예상됩니다. 이는 빠른 성장처럼 보이지만 2023년 235억 7천만 달러에서 2032년 673억 3천만 달러로 증가할 것으로 예상되는 네트워크 보안이나 2023년 180억 3천만 달러에서 2031년 575억 1천만 달러로 성장할 것으로 예상되는 운영 기술 보안에 지출되는 금액과 비교하면 그다지 크지 않은 수치입니다. 

보안 코드와 애플리케이션의 중요성이 점점 커지고 있는 것에 비해 이 분야에 대한 투자는 부족합니다. 실제로 기업이 애플리케이션 보안과 보안 설계 접근 방식에 더 많이 투자하면 다른 보안 영역에서 비용을 절감할 수 있습니다. 

예방적 보안이 구현하기 어렵고 따라서 최고 경영진에게 설득하기 어렵다고 보는 데에는 여러 가지 다른 요인이 있습니다. 우선, 금융 서비스 부문과 같이 오랜 역사를 가진 기업들은 오래된 레거시 시스템을 사용하고 있으며, 그 중 일부는 지난 세기 중반에 프로그래밍 언어로 선택된 COBOL을 사용하던 시절에 만들어진 시스템입니다. 

최신 애플리케이션과 동시에 레거시 코드와 시스템에 예방적 보안을 적용하는 것은 어렵게 느껴질 수 있지만, 개발자의 역량을 강화하여 보안 모범 사례를 적용하는 설계 기반 보안 접근 방식을 사용하면 이러한 시스템에 보안 모범 사례를 적용할 수 있습니다. 이는 많은 조직이 보안 태세를 개선할 수 있는 최고의 기회입니다. 

예방 문화 구축

보안에 대한 예방적 접근 방식으로의 전환은 더디게 진행되고 있지만, 오늘날의 사이버 위협 환경에서 보안 설계 관행의 필요성이 절실하기 때문에 보안 설계 관행 채택에 대한 요구는 사라지지 않을 것입니다. 자동차 업계가 자동차를 더 안전하게 만드는 대신 더 많은 구급차와 응급 구조대에 투자하기로 결정했다면, 많은 조직이 사이버 보안에 관해서는 그 모델을 따르고 있을 것입니다.

조직은 위험을 줄이기 위해 예방적이고 능동적인 접근 방식을 채택해야 합니다. 개발자의 보안 코드 작성 및 오류(예: AI 어시스턴트 또는 타사 코드에서 발생하는 오류) 수정에 대한 역량을 강화하기 위한 프로그램을 SDLC 초기에 구축해야 합니다. 이러한 프로그램에는 개발자의 일정에 맞고 개발자의 업무 환경과 사용하는 프로그래밍 언어에 맞게 조정할 수 있는 민첩한 대화형 교육 프로그램이 포함되어야 합니다. 업스킬링에는 실제 문제를 해결하는 실습 교육이 포함되어야 합니다.

중요한 것은 보안 모범 사례를 일상 생활의 중요한 부분으로 만들었는지 확인하기 위해 진행 상황을 측정할 수 있는 수단이 포함되어야 한다는 것입니다. SCW의 신뢰 점수와 같은 도구는 벤치마크를 사용하여 내부 및 업계 표준에 대한 진행 상황을 측정하는 동시에 개선이 필요한 영역을 식별합니다. 

보안 설계 접근 방식은 보안을 비즈니스 우선 순위로 삼는 조직 내 보안 우선 사고방식을 반영하는 총체적인 접근 방식입니다. 물론 대응과 복구는 조직의 전반적인 보안 태세에서 필수적인 부분입니다. 그러나 예방에 집중함으로써 기업은 위험을 줄이고 비즈니스의 생존을 위협할 수 있는 중대한 침해 사고를 피하는 데 큰 진전을 이룰 수 있습니다.

지금 바로 Secure Code Warrior 에서 실행 가능한 보안 설계 이니셔티브를 실현하는 데 어떻게 도움을 줄 수 있는지 자세히 알아보세요.

리소스 보기
리소스 보기

아래 양식을 작성하여 보고서를 다운로드하세요.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

전송
양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.

보안팀은 오늘날의 클라우드 중심 데브옵스 세계에서 새로운 혁신의 물결을 따라잡기 위해 고군분투하고 있으므로, 공격자가 끊임없이 생성되는 수많은 코드에서 필연적으로 발생하는 취약점을 악용하는 수많은 방법을 따라잡지 못하는 것은 당연한 일입니다. 

하지만 에퀴팩스 데이터 유출, 솔라윈즈 공급망 공격과 같은 중대한 보안 침해부터 최근 몇 년간 체인지 헬스케어, AT&T 등에 대한 성공적인 공격과 같은 더 많은 사건에 이르기까지 보안 침해의 속도가 빨라지고 있음에도 많은 조직은 여전히 보안에 대한 사후 대응 방식에 집중하고 있습니다. 대부분의 보안 리소스를 취약점을 찾아 수정하고 인시던트가 발생하면 이에 대응하는 데 투입합니다. 이러한 접근 방식은 다른 시대에는 적합했을지 모르지만 소프트웨어, 기술 역량 및 IT 인프라의 급속한 발전은 인력이 부족하고 업무가 과중한 보안 팀이 따라잡기에는 너무 벅찹니다.

지속적으로 불이익을 당하지 않으려면 너무 빠르게 움직이는 보안 위협을 쫓거나 데이터 유출이라는 말이 떠날 때까지 기다리지 말아야 합니다. 대신 사후 대응이 아닌 예방적 접근 방식을 취하여 문제를 해결해야 합니다. 레거시 앱과 새로운 애플리케이션의 보안을 개선하려면 소프트웨어 개발 수명 주기(SDLC)를 시작할 때 보안 모범 사례를 적용하고 취약점이 프로덕션에 적용되기 전에 해결되도록 효과적인 개발자 교육으로 강화된 보안 설계 접근 방식이 필요합니다.

지금까지는 말처럼 쉽지 않은 일이었습니다. 

보안 코더의 공급 부족

미국 사이버보안 및 인프라 보안국(CISA)은 보안 코딩과 함께 다단계 인증(MFA)부터 취약성 등급 감소에 이르는 다른 모범 사례들을 장려하고 조직들이 보안 설계 서약에 참여하도록 장려하는 보안 설계 이니셔티브를 통해 예방을 핵심 정책으로 추진하려고 노력해 왔습니다. 호주, 캐나다, 독일, 영국을 비롯한 다른 국가에서도 유사한 프로그램을 시작했습니다. 그럼에도 불구하고 저희의 조사에 따르면 지금까지 이 프로그램에 참여한 조직은 극소수에 불과합니다.

Secure Code Warrior( Learning Platform )의 모든 개발자와 SCW의 경쟁사 개발자까지 합치면 50만 명에서 100만 명 사이의 개발자가 보안 설계 방식을 채택하고 있습니다. 가장 관대하게 추산하면 2024년 말에는 2 ,870만 명에 이를 것으로 예상되는 전 세계 개발자 수의 약 3.5%에 해당합니다. 이는 그 어느 때보다 많은 개발자가 더 많은 코드를 생산하고 있으며, 특히 생성형 인공 지능 프로그램으로 인해 개발 속도가 크게 빨라진 반면 보안 코드로 시작하는 방법을 배우는 개발자는 거의 없다는 것을 의미합니다. 

소프트웨어 엔지니어는 일반적으로 사이버 보안을 배우지 않습니다. 기존 모델에서는 개발자와 보안 전문가가 별도의 독립된 조직으로 일하고 보안 팀은 소프트웨어가 만들어진 후 보안 문제를 해결해야 했기 때문입니다. 하지만 오늘날의 환경에서는 보안 전문가의 수가 턱없이 부족합니다. 가장 최근의 보안 성숙도 모델 구축 보고서인 BSIMM14에 따르면 전 세계적으로 개발자 100명당 평균 3.87명의 앱보안 전문가가 있는 것으로 나타났습니다. 100명의 개발자가 엄청난 속도로 작업하는 결과물을 보호하기 위해 4명 미만의 숙련된 전문가가 노력하는 것은 안전한 코드를 위한 비결이 아닙니다. 

애플리케이션 보안에 대한 소홀함은 다른 보안 분야와 시장 규모를 비교했을 때도 비슷하게 드러납니다. 보안 설계 접근 방식을 구성하는 구성 요소는 애플리케이션 보안 시장에 속하며, 2023년 60억 8천만 달러에서 2031년 175억 1천만 달러로 성장할 것으로 예상됩니다. 이는 빠른 성장처럼 보이지만 2023년 235억 7천만 달러에서 2032년 673억 3천만 달러로 증가할 것으로 예상되는 네트워크 보안이나 2023년 180억 3천만 달러에서 2031년 575억 1천만 달러로 성장할 것으로 예상되는 운영 기술 보안에 지출되는 금액과 비교하면 그다지 크지 않은 수치입니다. 

보안 코드와 애플리케이션의 중요성이 점점 커지고 있는 것에 비해 이 분야에 대한 투자는 부족합니다. 실제로 기업이 애플리케이션 보안과 보안 설계 접근 방식에 더 많이 투자하면 다른 보안 영역에서 비용을 절감할 수 있습니다. 

예방적 보안이 구현하기 어렵고 따라서 최고 경영진에게 설득하기 어렵다고 보는 데에는 여러 가지 다른 요인이 있습니다. 우선, 금융 서비스 부문과 같이 오랜 역사를 가진 기업들은 오래된 레거시 시스템을 사용하고 있으며, 그 중 일부는 지난 세기 중반에 프로그래밍 언어로 선택된 COBOL을 사용하던 시절에 만들어진 시스템입니다. 

최신 애플리케이션과 동시에 레거시 코드와 시스템에 예방적 보안을 적용하는 것은 어렵게 느껴질 수 있지만, 개발자의 역량을 강화하여 보안 모범 사례를 적용하는 설계 기반 보안 접근 방식을 사용하면 이러한 시스템에 보안 모범 사례를 적용할 수 있습니다. 이는 많은 조직이 보안 태세를 개선할 수 있는 최고의 기회입니다. 

예방 문화 구축

보안에 대한 예방적 접근 방식으로의 전환은 더디게 진행되고 있지만, 오늘날의 사이버 위협 환경에서 보안 설계 관행의 필요성이 절실하기 때문에 보안 설계 관행 채택에 대한 요구는 사라지지 않을 것입니다. 자동차 업계가 자동차를 더 안전하게 만드는 대신 더 많은 구급차와 응급 구조대에 투자하기로 결정했다면, 많은 조직이 사이버 보안에 관해서는 그 모델을 따르고 있을 것입니다.

조직은 위험을 줄이기 위해 예방적이고 능동적인 접근 방식을 채택해야 합니다. 개발자의 보안 코드 작성 및 오류(예: AI 어시스턴트 또는 타사 코드에서 발생하는 오류) 수정에 대한 역량을 강화하기 위한 프로그램을 SDLC 초기에 구축해야 합니다. 이러한 프로그램에는 개발자의 일정에 맞고 개발자의 업무 환경과 사용하는 프로그래밍 언어에 맞게 조정할 수 있는 민첩한 대화형 교육 프로그램이 포함되어야 합니다. 업스킬링에는 실제 문제를 해결하는 실습 교육이 포함되어야 합니다.

중요한 것은 보안 모범 사례를 일상 생활의 중요한 부분으로 만들었는지 확인하기 위해 진행 상황을 측정할 수 있는 수단이 포함되어야 한다는 것입니다. SCW의 신뢰 점수와 같은 도구는 벤치마크를 사용하여 내부 및 업계 표준에 대한 진행 상황을 측정하는 동시에 개선이 필요한 영역을 식별합니다. 

보안 설계 접근 방식은 보안을 비즈니스 우선 순위로 삼는 조직 내 보안 우선 사고방식을 반영하는 총체적인 접근 방식입니다. 물론 대응과 복구는 조직의 전반적인 보안 태세에서 필수적인 부분입니다. 그러나 예방에 집중함으로써 기업은 위험을 줄이고 비즈니스의 생존을 위협할 수 있는 중대한 침해 사고를 피하는 데 큰 진전을 이룰 수 있습니다.

지금 바로 Secure Code Warrior 에서 실행 가능한 보안 설계 이니셔티브를 실현하는 데 어떻게 도움을 줄 수 있는지 자세히 알아보세요.

리소스에 접근

아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

보고서 보기데모 예약
공유하세요:
더 알고 싶으신가요?

공유하세요:
저자
마티아스 마두, Ph.
2024년 10월 31일 게시

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

공유하세요:

보안팀은 오늘날의 클라우드 중심 데브옵스 세계에서 새로운 혁신의 물결을 따라잡기 위해 고군분투하고 있으므로, 공격자가 끊임없이 생성되는 수많은 코드에서 필연적으로 발생하는 취약점을 악용하는 수많은 방법을 따라잡지 못하는 것은 당연한 일입니다. 

하지만 에퀴팩스 데이터 유출, 솔라윈즈 공급망 공격과 같은 중대한 보안 침해부터 최근 몇 년간 체인지 헬스케어, AT&T 등에 대한 성공적인 공격과 같은 더 많은 사건에 이르기까지 보안 침해의 속도가 빨라지고 있음에도 많은 조직은 여전히 보안에 대한 사후 대응 방식에 집중하고 있습니다. 대부분의 보안 리소스를 취약점을 찾아 수정하고 인시던트가 발생하면 이에 대응하는 데 투입합니다. 이러한 접근 방식은 다른 시대에는 적합했을지 모르지만 소프트웨어, 기술 역량 및 IT 인프라의 급속한 발전은 인력이 부족하고 업무가 과중한 보안 팀이 따라잡기에는 너무 벅찹니다.

지속적으로 불이익을 당하지 않으려면 너무 빠르게 움직이는 보안 위협을 쫓거나 데이터 유출이라는 말이 떠날 때까지 기다리지 말아야 합니다. 대신 사후 대응이 아닌 예방적 접근 방식을 취하여 문제를 해결해야 합니다. 레거시 앱과 새로운 애플리케이션의 보안을 개선하려면 소프트웨어 개발 수명 주기(SDLC)를 시작할 때 보안 모범 사례를 적용하고 취약점이 프로덕션에 적용되기 전에 해결되도록 효과적인 개발자 교육으로 강화된 보안 설계 접근 방식이 필요합니다.

지금까지는 말처럼 쉽지 않은 일이었습니다. 

보안 코더의 공급 부족

미국 사이버보안 및 인프라 보안국(CISA)은 보안 코딩과 함께 다단계 인증(MFA)부터 취약성 등급 감소에 이르는 다른 모범 사례들을 장려하고 조직들이 보안 설계 서약에 참여하도록 장려하는 보안 설계 이니셔티브를 통해 예방을 핵심 정책으로 추진하려고 노력해 왔습니다. 호주, 캐나다, 독일, 영국을 비롯한 다른 국가에서도 유사한 프로그램을 시작했습니다. 그럼에도 불구하고 저희의 조사에 따르면 지금까지 이 프로그램에 참여한 조직은 극소수에 불과합니다.

Secure Code Warrior( Learning Platform )의 모든 개발자와 SCW의 경쟁사 개발자까지 합치면 50만 명에서 100만 명 사이의 개발자가 보안 설계 방식을 채택하고 있습니다. 가장 관대하게 추산하면 2024년 말에는 2 ,870만 명에 이를 것으로 예상되는 전 세계 개발자 수의 약 3.5%에 해당합니다. 이는 그 어느 때보다 많은 개발자가 더 많은 코드를 생산하고 있으며, 특히 생성형 인공 지능 프로그램으로 인해 개발 속도가 크게 빨라진 반면 보안 코드로 시작하는 방법을 배우는 개발자는 거의 없다는 것을 의미합니다. 

소프트웨어 엔지니어는 일반적으로 사이버 보안을 배우지 않습니다. 기존 모델에서는 개발자와 보안 전문가가 별도의 독립된 조직으로 일하고 보안 팀은 소프트웨어가 만들어진 후 보안 문제를 해결해야 했기 때문입니다. 하지만 오늘날의 환경에서는 보안 전문가의 수가 턱없이 부족합니다. 가장 최근의 보안 성숙도 모델 구축 보고서인 BSIMM14에 따르면 전 세계적으로 개발자 100명당 평균 3.87명의 앱보안 전문가가 있는 것으로 나타났습니다. 100명의 개발자가 엄청난 속도로 작업하는 결과물을 보호하기 위해 4명 미만의 숙련된 전문가가 노력하는 것은 안전한 코드를 위한 비결이 아닙니다. 

애플리케이션 보안에 대한 소홀함은 다른 보안 분야와 시장 규모를 비교했을 때도 비슷하게 드러납니다. 보안 설계 접근 방식을 구성하는 구성 요소는 애플리케이션 보안 시장에 속하며, 2023년 60억 8천만 달러에서 2031년 175억 1천만 달러로 성장할 것으로 예상됩니다. 이는 빠른 성장처럼 보이지만 2023년 235억 7천만 달러에서 2032년 673억 3천만 달러로 증가할 것으로 예상되는 네트워크 보안이나 2023년 180억 3천만 달러에서 2031년 575억 1천만 달러로 성장할 것으로 예상되는 운영 기술 보안에 지출되는 금액과 비교하면 그다지 크지 않은 수치입니다. 

보안 코드와 애플리케이션의 중요성이 점점 커지고 있는 것에 비해 이 분야에 대한 투자는 부족합니다. 실제로 기업이 애플리케이션 보안과 보안 설계 접근 방식에 더 많이 투자하면 다른 보안 영역에서 비용을 절감할 수 있습니다. 

예방적 보안이 구현하기 어렵고 따라서 최고 경영진에게 설득하기 어렵다고 보는 데에는 여러 가지 다른 요인이 있습니다. 우선, 금융 서비스 부문과 같이 오랜 역사를 가진 기업들은 오래된 레거시 시스템을 사용하고 있으며, 그 중 일부는 지난 세기 중반에 프로그래밍 언어로 선택된 COBOL을 사용하던 시절에 만들어진 시스템입니다. 

최신 애플리케이션과 동시에 레거시 코드와 시스템에 예방적 보안을 적용하는 것은 어렵게 느껴질 수 있지만, 개발자의 역량을 강화하여 보안 모범 사례를 적용하는 설계 기반 보안 접근 방식을 사용하면 이러한 시스템에 보안 모범 사례를 적용할 수 있습니다. 이는 많은 조직이 보안 태세를 개선할 수 있는 최고의 기회입니다. 

예방 문화 구축

보안에 대한 예방적 접근 방식으로의 전환은 더디게 진행되고 있지만, 오늘날의 사이버 위협 환경에서 보안 설계 관행의 필요성이 절실하기 때문에 보안 설계 관행 채택에 대한 요구는 사라지지 않을 것입니다. 자동차 업계가 자동차를 더 안전하게 만드는 대신 더 많은 구급차와 응급 구조대에 투자하기로 결정했다면, 많은 조직이 사이버 보안에 관해서는 그 모델을 따르고 있을 것입니다.

조직은 위험을 줄이기 위해 예방적이고 능동적인 접근 방식을 채택해야 합니다. 개발자의 보안 코드 작성 및 오류(예: AI 어시스턴트 또는 타사 코드에서 발생하는 오류) 수정에 대한 역량을 강화하기 위한 프로그램을 SDLC 초기에 구축해야 합니다. 이러한 프로그램에는 개발자의 일정에 맞고 개발자의 업무 환경과 사용하는 프로그래밍 언어에 맞게 조정할 수 있는 민첩한 대화형 교육 프로그램이 포함되어야 합니다. 업스킬링에는 실제 문제를 해결하는 실습 교육이 포함되어야 합니다.

중요한 것은 보안 모범 사례를 일상 생활의 중요한 부분으로 만들었는지 확인하기 위해 진행 상황을 측정할 수 있는 수단이 포함되어야 한다는 것입니다. SCW의 신뢰 점수와 같은 도구는 벤치마크를 사용하여 내부 및 업계 표준에 대한 진행 상황을 측정하는 동시에 개선이 필요한 영역을 식별합니다. 

보안 설계 접근 방식은 보안을 비즈니스 우선 순위로 삼는 조직 내 보안 우선 사고방식을 반영하는 총체적인 접근 방식입니다. 물론 대응과 복구는 조직의 전반적인 보안 태세에서 필수적인 부분입니다. 그러나 예방에 집중함으로써 기업은 위험을 줄이고 비즈니스의 생존을 위협할 수 있는 중대한 침해 사고를 피하는 데 큰 진전을 이룰 수 있습니다.

지금 바로 Secure Code Warrior 에서 실행 가능한 보안 설계 이니셔티브를 실현하는 데 어떻게 도움을 줄 수 있는지 자세히 알아보세요.

목차

리소스 보기
더 알고 싶으신가요?

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약다운로드
공유하세요:
리소스 허브

시작할 수 있는 리소스

더 많은 게시물
리소스 허브

시작할 수 있는 리소스

더 많은 게시물