개발자를 위한 보안 기술 벤치마킹의 이점
사이버 위협이 점점 더 만연하고 정교해짐에 따라 사이버 보안의 초점은 보안 코드의 중요성에 맞춰지고 있습니다. 백악관의 국가 사이버 보안 전략과 사이버 보안 및 인프라 보안국(CISA)의 보안 설계 이니셔티브는 다른 국가의 이니셔티브 및 법률과 함께 보안에 대한 책임을 소프트웨어 생산자의 어깨에 전적으로 지우고 있습니다. 한때는 있으면 좋은 것으로 여겨졌던 소프트웨어 개발 수명주기(SDLC) 초기에 보안을 확보하는 것이 이제 조직이 데이터와 시스템을 보호하고 보안 침해로 인한 규제를 피하기 위해 필수적인 요소로 자리 잡았습니다.
안전한 코딩 관행을 보장하기 위한 핵심은 개발자 교육에 있습니다. 소프트웨어 엔지니어는 일반적으로 사이버 보안 교육을 거의 또는 전혀 받지 않습니다. 특히 오늘날의 가속화된 DevOps 환경에서 개발자의 역할은 새로운 애플리케이션, 업그레이드 및 서비스를 가능한 한 빨리, 빠르게 작동하는 생성 AI 모델의 도움을 받아 스핀아웃하고 보안 팀이 SDLC의 후반부에 사이버 보안 문제를 해결하도록 하는 것이었습니다. 이는 너무 많은 코드가 생성되면서 발생하는 수많은 결함을 해결하는 비효율적인 방법으로, 종종 소프트웨어 취약점이 에코시스템에 공개되는 결과를 초래합니다.
개발자는 처음부터 안전한 코드를 작성하도록 교육을 받아야 하며, AI가 생성하거나 사용하는 오픈 소스 및 기타 타사 소프트웨어에 안전하지 않은 코드가 있을 때 이를 포착할 수 있어야 합니다. 많은 개발팀과 조직에서 이 영역은 가보지 않은 길입니다. 개발자가 필요한 교육을 받고 있는지 어떻게 알 수 있을까요? 그리고 그 교육이 정기적으로 적용되고 있나요?
개발자 교육을 추구하는 일부 회사는 개발자가 습득할 수 있는 기본 기술을 설정하고 명확하게 정의된 벤치마크에 따라 진행 상황을 측정하는 것이 유익하다는 것을 알게 되었습니다. 이러한 노력을 돕기 위해 Secure Code Warrior 에서는 개발자의 보안 교육 진행 상황을 정확하게 측정할 수 있도록 설계된 벤치마크를 출시했습니다. SCW 신뢰 점수를 통해 조직은 교육이 업무에 얼마나 잘 적용되고 있는지 측정하고 보안, 개발자, 엔지니어링 팀이 협업할 수 있습니다.
이를 통해 보안 코드 교육이 자리를 잡아가고 있다는 증거를 확인하는 동시에 개선이 필요한 부분을 파악할 수 있습니다.
안전한 설계를 위한 사례
소프트웨어 제작자는 프로세스 시작 단계부터 보안을 SDLC에 도입해야 할 모든 이유가 있습니다. 애플리케이션과 서비스에 대한 수요가 증가하고 AI가 개발 프로세스에 가져다주는 속도가 빨라지면서 제너레이티브 AI를 빠르게 도입한 개발자에게는 유용하지만, 필연적으로 버그가 있는 소프트웨어가 파이프라인에 출시되는 결과를 초래하기도 합니다. 생성되는 코드가 많을수록 결함도 많아지는데, 최근 연구에 따르면 애플리케이션의 약 4분의 3(생성 방식에 관계없이)이 적어도 하나의 보안 결함을 포함하고 있으며, 그 중 약 20%는 심각한 것으로 간주되는 것으로 나타났습니다.
SDLC 후반에 취약점을 따라잡는 것은 시간과 비용이 엄청나게 많이 소요됩니다. 미국 국립표준기술연구소(NIST)에 따르면 테스트 중 결함을 수정하는 데는 SDLC를 시작할 때 소프트웨어를 보호하는 것보다 15배 더 오래 걸리고 배포/유지 관리 단계에서 결함을 수정하는 데는 30~100배 더 오래 걸릴 수 있다고 합니다.
이 모든 것은 개발 주기 초기에 보안을 적용하는 것이 중요하다는 것을 강조하며, 이는 위험을 줄이는 가장 효과적인 방법일 뿐만 아니라 가장 비용 효율적이라는 것이 입증되었습니다. 개발자가 별도의 독립된 조직이 아닌 보안 팀과 협력하는 개발자는 SDLC의 시작 단계부터 보안을 도입할 수 있는 가장 좋은 위치에 있습니다. 또한 보안 모범 사례에 대한 교육을 받은 개발자는 취약성을 줄이는 데 효과적이었습니다. 문제는 교육을 받은 개발자가 너무 적다는 것입니다.
벤치마크의 아름다움
기업의 기본 경로는 보안 기술의 기준을 설정하고, 교육을 제공하며, 개발자가 필요한 기술을 습득했는지 조직과 규제 기관 모두에게 검증하는 것입니다. 이는 모든 경제 부문에 걸쳐 많은 조직에게 어려운 일이지만 반드시 그럴 필요는 없습니다.
보안 리더들이 겪는 어려움 중 하나는 교육 프로그램을 기업 전체로 확장하는 것이 어렵다는 점입니다. 하지만 SCW의 연구에 따르면 조직, 특히 대규모 개발자를 보유한 조직은 보안 설계 접근 방식을 성공적으로 구현할 수 있는 것으로 나타났습니다. 소규모 조직의 결과는 보안 설계 원칙을 얼마나 잘 적용하는지에 따라 큰 차이를 보이는 경향이 있습니다. 하지만 이들도 신뢰 점수를 포함하는 접근 방식의 이점을 누릴 수 있으며 개선 효과가 더 빨리 나타날 가능성이 높습니다.
신뢰 점수는 벤치마킹 지표를 사용하여 개별 학습자의 진행 상황을 측정하고, 점수를 합산하여 전체 팀의 성과를 평가하며, 조직의 진행 상황을 업계 벤치마크 및 모범 사례와 비교합니다. 교육을 추적할 뿐만 아니라 개발자가 새로운 기술을 일상적으로 얼마나 잘 적용하고 있는지도 보여줍니다. 또한 개선이 필요한 영역을 강조하여 조직이 교육/스킬 향상 프로그램을 최적화할 수 있도록 지원합니다.
데이터를 사용할 수 있는 CISA의 주요 인프라 부문 전반에서 대부분의 조직은 보안 설계 원칙을 구현하는 데 있어 거의 동일한 수준이었습니다. 금융 서비스 및 방위 산업 기반부터 의료, IT 및 중요 제조에 이르기까지 다양한 부문의 신뢰 점수는 1,000점 만점에 300점을 조금 넘는 비슷한 범위에서 떨어졌습니다. 규제가 가장 심한 금융 서비스가 가장 앞서 있을 것이라는 일반적인 통념과는 달리 어느 한 산업이 다른 산업을 앞지르지는 못했습니다.
화학, 에너지, 원자력 운영과 같이 신뢰 점수 순위에 포함되지 않은 중요 인프라 부문은 일반적으로 자체 소프트웨어를 개발하지 않고 다른 부문, 특히 IT에 의존합니다. 그러나 원자력 발전소가 손상되는 것을 보고 싶어하는 사람은 아무도 없기 때문에 이러한 부문에서 안전한 시스템을 유지하는 것이 얼마나 중요한지는 애초에 사용하는 소프트웨어의 보안이 얼마나 중요한지를 보여줍니다.
결론
규제 압력이 증가하고 사이버 위협 환경의 현실로 인해 데이터, 시스템, 비즈니스 운영 및 평판을 보호하고자 하는 조직은 보안 설계 접근 방식이 필수적입니다. 안전한 소프트웨어를 만드는 것은 대부분 개발자의 몫이지만, 개발자에게 필요한 교육을 제공하고 적용 방법을 보여주는 철저한 숙련도 향상 및 교육 프로그램의 형태로 지원이 필요합니다.
신뢰도 점수와 같은 도구로 뒷받침되는 벤치마크가 포함된 프로그램은 개발 팀의 중요한 진행 상황을 명확하게 파악할 수 있습니다. 이는 개발자와 개발자가 근무하는 회사 모두 보안 소프트웨어 개발 기술을 지속적으로 개선하는 동시에 새로운 보안 설계 요건을 충족하기 위해 필요한 중요한 새 접근 방식입니다.
보안 코드와 보안 설계 원칙에 대한 관심이 높아지면서 개발자는 SDLC를 시작할 때부터 사이버 보안에 대한 교육을 받아야 하며, Secure Code Warrior의 신뢰 점수 같은 도구를 사용하여 진행 상황을 측정하고 개선할 수 있습니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
사이버 위협이 점점 더 만연하고 정교해짐에 따라 사이버 보안의 초점은 보안 코드의 중요성에 맞춰지고 있습니다. 백악관의 국가 사이버 보안 전략과 사이버 보안 및 인프라 보안국(CISA)의 보안 설계 이니셔티브는 다른 국가의 이니셔티브 및 법률과 함께 보안에 대한 책임을 소프트웨어 생산자의 어깨에 전적으로 지우고 있습니다. 한때는 있으면 좋은 것으로 여겨졌던 소프트웨어 개발 수명주기(SDLC) 초기에 보안을 확보하는 것이 이제 조직이 데이터와 시스템을 보호하고 보안 침해로 인한 규제를 피하기 위해 필수적인 요소로 자리 잡았습니다.
안전한 코딩 관행을 보장하기 위한 핵심은 개발자 교육에 있습니다. 소프트웨어 엔지니어는 일반적으로 사이버 보안 교육을 거의 또는 전혀 받지 않습니다. 특히 오늘날의 가속화된 DevOps 환경에서 개발자의 역할은 새로운 애플리케이션, 업그레이드 및 서비스를 가능한 한 빨리, 빠르게 작동하는 생성 AI 모델의 도움을 받아 스핀아웃하고 보안 팀이 SDLC의 후반부에 사이버 보안 문제를 해결하도록 하는 것이었습니다. 이는 너무 많은 코드가 생성되면서 발생하는 수많은 결함을 해결하는 비효율적인 방법으로, 종종 소프트웨어 취약점이 에코시스템에 공개되는 결과를 초래합니다.
개발자는 처음부터 안전한 코드를 작성하도록 교육을 받아야 하며, AI가 생성하거나 사용하는 오픈 소스 및 기타 타사 소프트웨어에 안전하지 않은 코드가 있을 때 이를 포착할 수 있어야 합니다. 많은 개발팀과 조직에서 이 영역은 가보지 않은 길입니다. 개발자가 필요한 교육을 받고 있는지 어떻게 알 수 있을까요? 그리고 그 교육이 정기적으로 적용되고 있나요?
개발자 교육을 추구하는 일부 회사는 개발자가 습득할 수 있는 기본 기술을 설정하고 명확하게 정의된 벤치마크에 따라 진행 상황을 측정하는 것이 유익하다는 것을 알게 되었습니다. 이러한 노력을 돕기 위해 Secure Code Warrior 에서는 개발자의 보안 교육 진행 상황을 정확하게 측정할 수 있도록 설계된 벤치마크를 출시했습니다. SCW 신뢰 점수를 통해 조직은 교육이 업무에 얼마나 잘 적용되고 있는지 측정하고 보안, 개발자, 엔지니어링 팀이 협업할 수 있습니다.
이를 통해 보안 코드 교육이 자리를 잡아가고 있다는 증거를 확인하는 동시에 개선이 필요한 부분을 파악할 수 있습니다.
안전한 설계를 위한 사례
소프트웨어 제작자는 프로세스 시작 단계부터 보안을 SDLC에 도입해야 할 모든 이유가 있습니다. 애플리케이션과 서비스에 대한 수요가 증가하고 AI가 개발 프로세스에 가져다주는 속도가 빨라지면서 제너레이티브 AI를 빠르게 도입한 개발자에게는 유용하지만, 필연적으로 버그가 있는 소프트웨어가 파이프라인에 출시되는 결과를 초래하기도 합니다. 생성되는 코드가 많을수록 결함도 많아지는데, 최근 연구에 따르면 애플리케이션의 약 4분의 3(생성 방식에 관계없이)이 적어도 하나의 보안 결함을 포함하고 있으며, 그 중 약 20%는 심각한 것으로 간주되는 것으로 나타났습니다.
SDLC 후반에 취약점을 따라잡는 것은 시간과 비용이 엄청나게 많이 소요됩니다. 미국 국립표준기술연구소(NIST)에 따르면 테스트 중 결함을 수정하는 데는 SDLC를 시작할 때 소프트웨어를 보호하는 것보다 15배 더 오래 걸리고 배포/유지 관리 단계에서 결함을 수정하는 데는 30~100배 더 오래 걸릴 수 있다고 합니다.
이 모든 것은 개발 주기 초기에 보안을 적용하는 것이 중요하다는 것을 강조하며, 이는 위험을 줄이는 가장 효과적인 방법일 뿐만 아니라 가장 비용 효율적이라는 것이 입증되었습니다. 개발자가 별도의 독립된 조직이 아닌 보안 팀과 협력하는 개발자는 SDLC의 시작 단계부터 보안을 도입할 수 있는 가장 좋은 위치에 있습니다. 또한 보안 모범 사례에 대한 교육을 받은 개발자는 취약성을 줄이는 데 효과적이었습니다. 문제는 교육을 받은 개발자가 너무 적다는 것입니다.
벤치마크의 아름다움
기업의 기본 경로는 보안 기술의 기준을 설정하고, 교육을 제공하며, 개발자가 필요한 기술을 습득했는지 조직과 규제 기관 모두에게 검증하는 것입니다. 이는 모든 경제 부문에 걸쳐 많은 조직에게 어려운 일이지만 반드시 그럴 필요는 없습니다.
보안 리더들이 겪는 어려움 중 하나는 교육 프로그램을 기업 전체로 확장하는 것이 어렵다는 점입니다. 하지만 SCW의 연구에 따르면 조직, 특히 대규모 개발자를 보유한 조직은 보안 설계 접근 방식을 성공적으로 구현할 수 있는 것으로 나타났습니다. 소규모 조직의 결과는 보안 설계 원칙을 얼마나 잘 적용하는지에 따라 큰 차이를 보이는 경향이 있습니다. 하지만 이들도 신뢰 점수를 포함하는 접근 방식의 이점을 누릴 수 있으며 개선 효과가 더 빨리 나타날 가능성이 높습니다.
신뢰 점수는 벤치마킹 지표를 사용하여 개별 학습자의 진행 상황을 측정하고, 점수를 합산하여 전체 팀의 성과를 평가하며, 조직의 진행 상황을 업계 벤치마크 및 모범 사례와 비교합니다. 교육을 추적할 뿐만 아니라 개발자가 새로운 기술을 일상적으로 얼마나 잘 적용하고 있는지도 보여줍니다. 또한 개선이 필요한 영역을 강조하여 조직이 교육/스킬 향상 프로그램을 최적화할 수 있도록 지원합니다.
데이터를 사용할 수 있는 CISA의 주요 인프라 부문 전반에서 대부분의 조직은 보안 설계 원칙을 구현하는 데 있어 거의 동일한 수준이었습니다. 금융 서비스 및 방위 산업 기반부터 의료, IT 및 중요 제조에 이르기까지 다양한 부문의 신뢰 점수는 1,000점 만점에 300점을 조금 넘는 비슷한 범위에서 떨어졌습니다. 규제가 가장 심한 금융 서비스가 가장 앞서 있을 것이라는 일반적인 통념과는 달리 어느 한 산업이 다른 산업을 앞지르지는 못했습니다.
화학, 에너지, 원자력 운영과 같이 신뢰 점수 순위에 포함되지 않은 중요 인프라 부문은 일반적으로 자체 소프트웨어를 개발하지 않고 다른 부문, 특히 IT에 의존합니다. 그러나 원자력 발전소가 손상되는 것을 보고 싶어하는 사람은 아무도 없기 때문에 이러한 부문에서 안전한 시스템을 유지하는 것이 얼마나 중요한지는 애초에 사용하는 소프트웨어의 보안이 얼마나 중요한지를 보여줍니다.
결론
규제 압력이 증가하고 사이버 위협 환경의 현실로 인해 데이터, 시스템, 비즈니스 운영 및 평판을 보호하고자 하는 조직은 보안 설계 접근 방식이 필수적입니다. 안전한 소프트웨어를 만드는 것은 대부분 개발자의 몫이지만, 개발자에게 필요한 교육을 제공하고 적용 방법을 보여주는 철저한 숙련도 향상 및 교육 프로그램의 형태로 지원이 필요합니다.
신뢰도 점수와 같은 도구로 뒷받침되는 벤치마크가 포함된 프로그램은 개발 팀의 중요한 진행 상황을 명확하게 파악할 수 있습니다. 이는 개발자와 개발자가 근무하는 회사 모두 보안 소프트웨어 개발 기술을 지속적으로 개선하는 동시에 새로운 보안 설계 요건을 충족하기 위해 필요한 중요한 새 접근 방식입니다.
사이버 위협이 점점 더 만연하고 정교해짐에 따라 사이버 보안의 초점은 보안 코드의 중요성에 맞춰지고 있습니다. 백악관의 국가 사이버 보안 전략과 사이버 보안 및 인프라 보안국(CISA)의 보안 설계 이니셔티브는 다른 국가의 이니셔티브 및 법률과 함께 보안에 대한 책임을 소프트웨어 생산자의 어깨에 전적으로 지우고 있습니다. 한때는 있으면 좋은 것으로 여겨졌던 소프트웨어 개발 수명주기(SDLC) 초기에 보안을 확보하는 것이 이제 조직이 데이터와 시스템을 보호하고 보안 침해로 인한 규제를 피하기 위해 필수적인 요소로 자리 잡았습니다.
안전한 코딩 관행을 보장하기 위한 핵심은 개발자 교육에 있습니다. 소프트웨어 엔지니어는 일반적으로 사이버 보안 교육을 거의 또는 전혀 받지 않습니다. 특히 오늘날의 가속화된 DevOps 환경에서 개발자의 역할은 새로운 애플리케이션, 업그레이드 및 서비스를 가능한 한 빨리, 빠르게 작동하는 생성 AI 모델의 도움을 받아 스핀아웃하고 보안 팀이 SDLC의 후반부에 사이버 보안 문제를 해결하도록 하는 것이었습니다. 이는 너무 많은 코드가 생성되면서 발생하는 수많은 결함을 해결하는 비효율적인 방법으로, 종종 소프트웨어 취약점이 에코시스템에 공개되는 결과를 초래합니다.
개발자는 처음부터 안전한 코드를 작성하도록 교육을 받아야 하며, AI가 생성하거나 사용하는 오픈 소스 및 기타 타사 소프트웨어에 안전하지 않은 코드가 있을 때 이를 포착할 수 있어야 합니다. 많은 개발팀과 조직에서 이 영역은 가보지 않은 길입니다. 개발자가 필요한 교육을 받고 있는지 어떻게 알 수 있을까요? 그리고 그 교육이 정기적으로 적용되고 있나요?
개발자 교육을 추구하는 일부 회사는 개발자가 습득할 수 있는 기본 기술을 설정하고 명확하게 정의된 벤치마크에 따라 진행 상황을 측정하는 것이 유익하다는 것을 알게 되었습니다. 이러한 노력을 돕기 위해 Secure Code Warrior 에서는 개발자의 보안 교육 진행 상황을 정확하게 측정할 수 있도록 설계된 벤치마크를 출시했습니다. SCW 신뢰 점수를 통해 조직은 교육이 업무에 얼마나 잘 적용되고 있는지 측정하고 보안, 개발자, 엔지니어링 팀이 협업할 수 있습니다.
이를 통해 보안 코드 교육이 자리를 잡아가고 있다는 증거를 확인하는 동시에 개선이 필요한 부분을 파악할 수 있습니다.
안전한 설계를 위한 사례
소프트웨어 제작자는 프로세스 시작 단계부터 보안을 SDLC에 도입해야 할 모든 이유가 있습니다. 애플리케이션과 서비스에 대한 수요가 증가하고 AI가 개발 프로세스에 가져다주는 속도가 빨라지면서 제너레이티브 AI를 빠르게 도입한 개발자에게는 유용하지만, 필연적으로 버그가 있는 소프트웨어가 파이프라인에 출시되는 결과를 초래하기도 합니다. 생성되는 코드가 많을수록 결함도 많아지는데, 최근 연구에 따르면 애플리케이션의 약 4분의 3(생성 방식에 관계없이)이 적어도 하나의 보안 결함을 포함하고 있으며, 그 중 약 20%는 심각한 것으로 간주되는 것으로 나타났습니다.
SDLC 후반에 취약점을 따라잡는 것은 시간과 비용이 엄청나게 많이 소요됩니다. 미국 국립표준기술연구소(NIST)에 따르면 테스트 중 결함을 수정하는 데는 SDLC를 시작할 때 소프트웨어를 보호하는 것보다 15배 더 오래 걸리고 배포/유지 관리 단계에서 결함을 수정하는 데는 30~100배 더 오래 걸릴 수 있다고 합니다.
이 모든 것은 개발 주기 초기에 보안을 적용하는 것이 중요하다는 것을 강조하며, 이는 위험을 줄이는 가장 효과적인 방법일 뿐만 아니라 가장 비용 효율적이라는 것이 입증되었습니다. 개발자가 별도의 독립된 조직이 아닌 보안 팀과 협력하는 개발자는 SDLC의 시작 단계부터 보안을 도입할 수 있는 가장 좋은 위치에 있습니다. 또한 보안 모범 사례에 대한 교육을 받은 개발자는 취약성을 줄이는 데 효과적이었습니다. 문제는 교육을 받은 개발자가 너무 적다는 것입니다.
벤치마크의 아름다움
기업의 기본 경로는 보안 기술의 기준을 설정하고, 교육을 제공하며, 개발자가 필요한 기술을 습득했는지 조직과 규제 기관 모두에게 검증하는 것입니다. 이는 모든 경제 부문에 걸쳐 많은 조직에게 어려운 일이지만 반드시 그럴 필요는 없습니다.
보안 리더들이 겪는 어려움 중 하나는 교육 프로그램을 기업 전체로 확장하는 것이 어렵다는 점입니다. 하지만 SCW의 연구에 따르면 조직, 특히 대규모 개발자를 보유한 조직은 보안 설계 접근 방식을 성공적으로 구현할 수 있는 것으로 나타났습니다. 소규모 조직의 결과는 보안 설계 원칙을 얼마나 잘 적용하는지에 따라 큰 차이를 보이는 경향이 있습니다. 하지만 이들도 신뢰 점수를 포함하는 접근 방식의 이점을 누릴 수 있으며 개선 효과가 더 빨리 나타날 가능성이 높습니다.
신뢰 점수는 벤치마킹 지표를 사용하여 개별 학습자의 진행 상황을 측정하고, 점수를 합산하여 전체 팀의 성과를 평가하며, 조직의 진행 상황을 업계 벤치마크 및 모범 사례와 비교합니다. 교육을 추적할 뿐만 아니라 개발자가 새로운 기술을 일상적으로 얼마나 잘 적용하고 있는지도 보여줍니다. 또한 개선이 필요한 영역을 강조하여 조직이 교육/스킬 향상 프로그램을 최적화할 수 있도록 지원합니다.
데이터를 사용할 수 있는 CISA의 주요 인프라 부문 전반에서 대부분의 조직은 보안 설계 원칙을 구현하는 데 있어 거의 동일한 수준이었습니다. 금융 서비스 및 방위 산업 기반부터 의료, IT 및 중요 제조에 이르기까지 다양한 부문의 신뢰 점수는 1,000점 만점에 300점을 조금 넘는 비슷한 범위에서 떨어졌습니다. 규제가 가장 심한 금융 서비스가 가장 앞서 있을 것이라는 일반적인 통념과는 달리 어느 한 산업이 다른 산업을 앞지르지는 못했습니다.
화학, 에너지, 원자력 운영과 같이 신뢰 점수 순위에 포함되지 않은 중요 인프라 부문은 일반적으로 자체 소프트웨어를 개발하지 않고 다른 부문, 특히 IT에 의존합니다. 그러나 원자력 발전소가 손상되는 것을 보고 싶어하는 사람은 아무도 없기 때문에 이러한 부문에서 안전한 시스템을 유지하는 것이 얼마나 중요한지는 애초에 사용하는 소프트웨어의 보안이 얼마나 중요한지를 보여줍니다.
결론
규제 압력이 증가하고 사이버 위협 환경의 현실로 인해 데이터, 시스템, 비즈니스 운영 및 평판을 보호하고자 하는 조직은 보안 설계 접근 방식이 필수적입니다. 안전한 소프트웨어를 만드는 것은 대부분 개발자의 몫이지만, 개발자에게 필요한 교육을 제공하고 적용 방법을 보여주는 철저한 숙련도 향상 및 교육 프로그램의 형태로 지원이 필요합니다.
신뢰도 점수와 같은 도구로 뒷받침되는 벤치마크가 포함된 프로그램은 개발 팀의 중요한 진행 상황을 명확하게 파악할 수 있습니다. 이는 개발자와 개발자가 근무하는 회사 모두 보안 소프트웨어 개발 기술을 지속적으로 개선하는 동시에 새로운 보안 설계 요건을 충족하기 위해 필요한 중요한 새 접근 방식입니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
사이버 위협이 점점 더 만연하고 정교해짐에 따라 사이버 보안의 초점은 보안 코드의 중요성에 맞춰지고 있습니다. 백악관의 국가 사이버 보안 전략과 사이버 보안 및 인프라 보안국(CISA)의 보안 설계 이니셔티브는 다른 국가의 이니셔티브 및 법률과 함께 보안에 대한 책임을 소프트웨어 생산자의 어깨에 전적으로 지우고 있습니다. 한때는 있으면 좋은 것으로 여겨졌던 소프트웨어 개발 수명주기(SDLC) 초기에 보안을 확보하는 것이 이제 조직이 데이터와 시스템을 보호하고 보안 침해로 인한 규제를 피하기 위해 필수적인 요소로 자리 잡았습니다.
안전한 코딩 관행을 보장하기 위한 핵심은 개발자 교육에 있습니다. 소프트웨어 엔지니어는 일반적으로 사이버 보안 교육을 거의 또는 전혀 받지 않습니다. 특히 오늘날의 가속화된 DevOps 환경에서 개발자의 역할은 새로운 애플리케이션, 업그레이드 및 서비스를 가능한 한 빨리, 빠르게 작동하는 생성 AI 모델의 도움을 받아 스핀아웃하고 보안 팀이 SDLC의 후반부에 사이버 보안 문제를 해결하도록 하는 것이었습니다. 이는 너무 많은 코드가 생성되면서 발생하는 수많은 결함을 해결하는 비효율적인 방법으로, 종종 소프트웨어 취약점이 에코시스템에 공개되는 결과를 초래합니다.
개발자는 처음부터 안전한 코드를 작성하도록 교육을 받아야 하며, AI가 생성하거나 사용하는 오픈 소스 및 기타 타사 소프트웨어에 안전하지 않은 코드가 있을 때 이를 포착할 수 있어야 합니다. 많은 개발팀과 조직에서 이 영역은 가보지 않은 길입니다. 개발자가 필요한 교육을 받고 있는지 어떻게 알 수 있을까요? 그리고 그 교육이 정기적으로 적용되고 있나요?
개발자 교육을 추구하는 일부 회사는 개발자가 습득할 수 있는 기본 기술을 설정하고 명확하게 정의된 벤치마크에 따라 진행 상황을 측정하는 것이 유익하다는 것을 알게 되었습니다. 이러한 노력을 돕기 위해 Secure Code Warrior 에서는 개발자의 보안 교육 진행 상황을 정확하게 측정할 수 있도록 설계된 벤치마크를 출시했습니다. SCW 신뢰 점수를 통해 조직은 교육이 업무에 얼마나 잘 적용되고 있는지 측정하고 보안, 개발자, 엔지니어링 팀이 협업할 수 있습니다.
이를 통해 보안 코드 교육이 자리를 잡아가고 있다는 증거를 확인하는 동시에 개선이 필요한 부분을 파악할 수 있습니다.
안전한 설계를 위한 사례
소프트웨어 제작자는 프로세스 시작 단계부터 보안을 SDLC에 도입해야 할 모든 이유가 있습니다. 애플리케이션과 서비스에 대한 수요가 증가하고 AI가 개발 프로세스에 가져다주는 속도가 빨라지면서 제너레이티브 AI를 빠르게 도입한 개발자에게는 유용하지만, 필연적으로 버그가 있는 소프트웨어가 파이프라인에 출시되는 결과를 초래하기도 합니다. 생성되는 코드가 많을수록 결함도 많아지는데, 최근 연구에 따르면 애플리케이션의 약 4분의 3(생성 방식에 관계없이)이 적어도 하나의 보안 결함을 포함하고 있으며, 그 중 약 20%는 심각한 것으로 간주되는 것으로 나타났습니다.
SDLC 후반에 취약점을 따라잡는 것은 시간과 비용이 엄청나게 많이 소요됩니다. 미국 국립표준기술연구소(NIST)에 따르면 테스트 중 결함을 수정하는 데는 SDLC를 시작할 때 소프트웨어를 보호하는 것보다 15배 더 오래 걸리고 배포/유지 관리 단계에서 결함을 수정하는 데는 30~100배 더 오래 걸릴 수 있다고 합니다.
이 모든 것은 개발 주기 초기에 보안을 적용하는 것이 중요하다는 것을 강조하며, 이는 위험을 줄이는 가장 효과적인 방법일 뿐만 아니라 가장 비용 효율적이라는 것이 입증되었습니다. 개발자가 별도의 독립된 조직이 아닌 보안 팀과 협력하는 개발자는 SDLC의 시작 단계부터 보안을 도입할 수 있는 가장 좋은 위치에 있습니다. 또한 보안 모범 사례에 대한 교육을 받은 개발자는 취약성을 줄이는 데 효과적이었습니다. 문제는 교육을 받은 개발자가 너무 적다는 것입니다.
벤치마크의 아름다움
기업의 기본 경로는 보안 기술의 기준을 설정하고, 교육을 제공하며, 개발자가 필요한 기술을 습득했는지 조직과 규제 기관 모두에게 검증하는 것입니다. 이는 모든 경제 부문에 걸쳐 많은 조직에게 어려운 일이지만 반드시 그럴 필요는 없습니다.
보안 리더들이 겪는 어려움 중 하나는 교육 프로그램을 기업 전체로 확장하는 것이 어렵다는 점입니다. 하지만 SCW의 연구에 따르면 조직, 특히 대규모 개발자를 보유한 조직은 보안 설계 접근 방식을 성공적으로 구현할 수 있는 것으로 나타났습니다. 소규모 조직의 결과는 보안 설계 원칙을 얼마나 잘 적용하는지에 따라 큰 차이를 보이는 경향이 있습니다. 하지만 이들도 신뢰 점수를 포함하는 접근 방식의 이점을 누릴 수 있으며 개선 효과가 더 빨리 나타날 가능성이 높습니다.
신뢰 점수는 벤치마킹 지표를 사용하여 개별 학습자의 진행 상황을 측정하고, 점수를 합산하여 전체 팀의 성과를 평가하며, 조직의 진행 상황을 업계 벤치마크 및 모범 사례와 비교합니다. 교육을 추적할 뿐만 아니라 개발자가 새로운 기술을 일상적으로 얼마나 잘 적용하고 있는지도 보여줍니다. 또한 개선이 필요한 영역을 강조하여 조직이 교육/스킬 향상 프로그램을 최적화할 수 있도록 지원합니다.
데이터를 사용할 수 있는 CISA의 주요 인프라 부문 전반에서 대부분의 조직은 보안 설계 원칙을 구현하는 데 있어 거의 동일한 수준이었습니다. 금융 서비스 및 방위 산업 기반부터 의료, IT 및 중요 제조에 이르기까지 다양한 부문의 신뢰 점수는 1,000점 만점에 300점을 조금 넘는 비슷한 범위에서 떨어졌습니다. 규제가 가장 심한 금융 서비스가 가장 앞서 있을 것이라는 일반적인 통념과는 달리 어느 한 산업이 다른 산업을 앞지르지는 못했습니다.
화학, 에너지, 원자력 운영과 같이 신뢰 점수 순위에 포함되지 않은 중요 인프라 부문은 일반적으로 자체 소프트웨어를 개발하지 않고 다른 부문, 특히 IT에 의존합니다. 그러나 원자력 발전소가 손상되는 것을 보고 싶어하는 사람은 아무도 없기 때문에 이러한 부문에서 안전한 시스템을 유지하는 것이 얼마나 중요한지는 애초에 사용하는 소프트웨어의 보안이 얼마나 중요한지를 보여줍니다.
결론
규제 압력이 증가하고 사이버 위협 환경의 현실로 인해 데이터, 시스템, 비즈니스 운영 및 평판을 보호하고자 하는 조직은 보안 설계 접근 방식이 필수적입니다. 안전한 소프트웨어를 만드는 것은 대부분 개발자의 몫이지만, 개발자에게 필요한 교육을 제공하고 적용 방법을 보여주는 철저한 숙련도 향상 및 교육 프로그램의 형태로 지원이 필요합니다.
신뢰도 점수와 같은 도구로 뒷받침되는 벤치마크가 포함된 프로그램은 개발 팀의 중요한 진행 상황을 명확하게 파악할 수 있습니다. 이는 개발자와 개발자가 근무하는 회사 모두 보안 소프트웨어 개발 기술을 지속적으로 개선하는 동시에 새로운 보안 설계 요건을 충족하기 위해 필요한 중요한 새 접근 방식입니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드