개발자 주도 보안의 ROI
잘못된 코드의 비용
기술의 비약적인 발전으로 개발자는 그 어느 때보다 더 빠르게 코드를 출시할 수 있게 되었습니다. 이는 혁신에 있어서는 흥미롭지만 소프트웨어의 품질과 보안을 확장하는 데 있어서는 부담스러운 일이 될 수 있습니다. 코드 배포 속도가 유지된다면 추가 도구, 교육 프로그램, 개발자 숙련도 향상에 대한 투자는 '있으면 좋은 것'으로 보일 수 있지만 중요한 비즈니스 기능으로 간주될 수 있습니다.
코드를 더 빠르게 전송하는 것은 쉬워졌지만, 안타깝게도 보안 코드를 전송하는 것은 그렇지 않아 조직은 그 어느 때보다 더 많은 위협에 노출되어 있습니다. 전 세계적으로 사이버 범죄로 인한 비용은 엄청나며, 빠르게 증가하고 있습니다. 실제로 2020년에 사이버 범죄로 인한 비용은 약 1조 달러에 달했습니다. 데이터 유출로 인한 평균 비용은 435만 달러로, 현재 고객과 잠재 고객의 비즈니스 손실은 물론 탐지, 에스컬레이션, 재작업에 소요되는 리소스까지 모두 포함됩니다.
이러한 천문학적인 비용에도 불구하고 절반 이상의 조직은 개발자에게 매년 공식적인 보안 코드 교육을 요구하지 않습니다.
보안 전문가라면 누구나 취약점을 찾아 수정하는 것이 마치 두더지 잡기 게임을 하는 것처럼 느껴질 수 있다는 것을 알고 있습니다. 이미 해결 전략이 포함된 보안 프로그램이 있더라도 개선의 기회는 항상 존재합니다. 대부분의 조직은 재해 복구 또는 백업 기능이 시험대에 올랐을 때 보안에 대한 접근 방식이 생각만큼 강력하지 않다는 것을 알게 됩니다. 사이버 공격으로부터 조직의 복원력을 강화하는 것이 최우선 과제 중 하나라면 보안 태세를 지속적으로 개선하기 위해 개발자에게 맡겨두었던 관점을 전환해야 합니다. 처음부터 안전한 코드를 구축하고 취약점을 신속하게 찾아 수정할 수 있는 충분한 지식을 갖춘 숙련되고 권한이 부여된 개발자 팀은 위험을 완화하는 가장 비용 효율적인 수단입니다.
개발자 교육에 대한 오해 중 하나는 개발자 교육이 단순히 비즈니스에 드는 비용이나 보험 정책이라는 것입니다. 알리안츠의 개발자 보안 인식 에반젤리스트인 클라우스 클라우스 클링거는 "모든 것은 경영진의 머리에서 시작되어야 합니다. 개발자 교육에 대한 투자는 손실 투자가 아니라 품질, 생산성 및 회사의 평판에 대한 투자입니다."라고 말합니다.
이 분야에서 ROI는 종종 정량화하기 어려울 수 있지만, 궁극적으로 조직이 고려해야 할 것은 보안 태세가 어떻게 위험을 줄이고 접근 방식을 간소화하며 개발자 팀의 시간과 생산성을 절약하는 데 도움이 되는지에 대한 것입니다.
사이버 보안 비용의 ROI는 어떻게 정량화할 수 있을까요?
ROI는 위험 완화를 통한 비용 절감과 보안 교육이 미치는 영향이라는 두 가지 프레임으로 생각하는 것이 중요합니다.
너무도 흔한 예로, 취약점이나 보안 침해로 인해 이커머스 사이트가 며칠 동안 강제 오프라인 상태가 되어 팀에서 문제와 해결 방법을 찾는 경우를 생각해 보겠습니다. 문제 해결 실패로 인한 비용은 가동 중단 기간 동안의 매출 손실, 자격 증명 도난의 영향, 고객 신뢰 상실(장기적인 매출 감소로 이어짐), 문제를 해결하는 동안 손실된 전반적인 생산성 등으로 정량화할 수 있습니다.
이는 비용/편익 분석으로 귀결됩니다. 평가해야 할 주요 영역은 회사의 보안 성숙도, 회사의 위험 수용 수준, 코드에서 유지 관리 또는 개선이 필요한 영역입니다.
사람들은 종종 성공과 가치를 판단하기 위해 잘못된 지표에 집중합니다. 프로그램의 초기 투자 수익률에 신경을 덜 쓰는 대신 프로그램 자체의 영향력을 측정해야 할 수도 있습니다.
영향력을 입증하기 위한 조치
ROI를 설정하려면 측정 가능한 목표를 만들어야 합니다. 이는 개발자의 보안 코딩 지식을 평가하고 개발자의 기술 개발이 필요한 부분을 이해하는 것에서 시작됩니다.
보다 풍부한 교육 프로그램을 구축하는 방법에 대한 전략적 결정을 내리는 데 도움이 되는 참여도를 측정하는 것이 출발점이 될 수 있습니다. 가장 중요한 것은 영향을 측정하는 것입니다. 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 바운티 또는 기존의 취약성 테스트를 통해 소프트웨어 개발 수명 주기에서 발견되는 취약점의 수를 살펴보는 것부터 시작하세요. 교육 프로그램이 원하는 결과를 가져오는지 알 수 있는 가장 간단한 방법 중 하나는 전체적으로 코드베이스에 도입되는 취약점의 감소를 측정하는 것입니다.
ROI를 평가하기 위한 주요 질문:
1. 접근 방식을 간소화하고 있나요?
↪CF_200D↩문제에더 많은 도구를 투입하고 있나요, 아니면 근본 원인에서 문제를 해결하고 있나요? 기술 스택에 더 많은 도구를 추가하면 취약점을 찾고 수정하는 데 '스위스 치즈' 방식의 접근 방식이 만들어집니다. 또한 많은 취약점의 원인인 코드에는 거의 영향을 미치지 않으면서 운영 비용만 증가시킵니다. 스캐닝 및 펜테스팅 도구는 반드시 사용해야 하지만 최후의 방어선이 되어서는 안 됩니다.
2. 효율성과 생산성을 개선하고 있나요?
앱보안팀에서 보낸 코드를 다시 검토하고 재작업하는 데 많은 시간을 소비하면 생산성이 크게 저하될 수 있습니다. 개발자 팀이 보안 코드 교육을 직접 수행할 수 있도록 권한을 부여하고 지원함으로써 모의 훈련을 줄이는 것은 보안 프로그램의 긍정적인 영향을 평가하는 좋은 기준이 될 수 있습니다.
3. 위험을 낮추고 있나요?
취약점을 찾아서 수정하는 것은 마치 커다란 퍼즐을 푸는 것과 같아서 강력한 솔루션으로 완료하는 데 며칠, 몇 주, 심지어 몇 달이 걸릴 수도 있습니다. 개발자가 소스에서 직접 수정할 수 있도록 권한을 부여하면 앱 보안팀은 위험 모니터링과 조직의 보안 태세 강화에 집중할 수 있습니다.
4. 속도를 높이면서도 품질을 유지하고 있나요?
코드를 빠르게 배포하는 것이 항상 좋은 것은 아닙니다. 코드에 취약점을 도입하고 서두르면 향후 많은 골칫거리가 발생하고 기술 부채가 누적될 수 있습니다. 단기적인 사고는 정답이 아닙니다. 처음부터 코드를 안전하게 보호하여 향후 문제가 복잡해지지 않도록 위험을 완화할 수 있습니다.
추적할 권장 메트릭:
- 참여도 - 교육에 얼마나 많은 시간을 할애하고 있으며 개발자가 어떻게 참여하고 있나요? courses , 평가를 완료하고 tournaments 에 참여하고 있나요?
- 기술 - 강점이 있는 분야는 어디인가요? 개선이 필요한 영역은 무엇인가요?
- 취약점 감소 - 코드 검토 중에 취약점이 눈에 띄게 감소한 것을 확인하셨나요? 앱보안으로 인한 재작업이 줄어들었나요?
- 생산성 - 문제를 해결하는 데 시간이 얼마나 걸리나요? 취약성 감소로 생산성이나 속도가 향상되었나요?
왼쪽으로 이동하여 가치 창출
보안 침해와 취약성은 매년 급격히 증가하고 있습니다. 보안에 대한 총체적인 접근 방식을 선제적으로 구축하는 것이 중요하며, 그 시작은 코드부터 시작해야 합니다. 다음과 같은 방법이 도움이 될 것입니다:
- 문제의 일부만 해결하는 도구에 비용을 투자하는 대신 가장 귀중한 리소스인 인력에 투자하여 복잡성을 줄이세요.
- 코드 배포 후 일반적으로 앱보안에서 식별할 수 있는 재작업이나 수정 사항을 제한하여 효율성과 전반적인 효과를 개선합니다.
- 위험을 완화하고 규정 준수를 달성하여 값비싼 벌금, 고객 신뢰 상실, 데이터 유출로 인한 비용 발생을 방지하세요.
단기적인 사고와 임시방편은 피하세요. 이는 기술 부채와 더 많은 비용을 초래할 뿐입니다. 업스킬링의 힘을 활용하여 개발자가 취약성과 사이버 범죄에 대한 최선의 방어선이 될 수 있도록 지원함으로써 장기적인 계획을 세우고, 그 영향과 비용 절감 효과를 직접 확인해 보세요.
더 자세히 알고 싶으신가요?
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
Secure Code Warrior
Secure Code Warrior 는 개발자에게 안전하게 코딩할 수 있는 기술을 제공하여 보안 중심의 개발자 문화를 구축합니다. Atlassian의 대표적인 애자일( Learning Platform )은 관련 기술 기반 경로, 실습( missions) 및 상황에 맞는 도구를 제공하여 개발자가 빠르게 기술을 배우고, 구축하고, 적용하여 보안 코드를 빠르게 작성할 수 있도록 지원합니다.
시작할 수 있는 리소스
트러스트 에이전트 기준 Secure Code Warrior
개발자의 보안 코드 지식과 기술을 커밋하는 작업과 연계하여 보안을 강화하도록 설계된 혁신적인 솔루션인 SCW Trust Agent에 대해 알아보세요. 이 솔루션은 조직의 전체 코드 리포지토리에 대한 포괄적인 가시성과 제어 기능을 제공하여 개발자의 보안 코드 프로필과 비교하여 각 커밋을 분석합니다. SCW Trust Agent를 통해 조직은 보안 태세를 강화하고, 개발 수명 주기를 최적화하며, 개발자 중심의 보안을 확장할 수 있습니다.
시작할 수 있는 리소스
.webp)
개발자 주도 보안의 ROI
잘못된 코드의 비용
기술의 비약적인 발전으로 개발자는 그 어느 때보다 더 빠르게 코드를 출시할 수 있게 되었습니다. 이는 혁신에 있어서는 흥미롭지만 소프트웨어의 품질과 보안을 확장하는 데 있어서는 부담스러운 일이 될 수 있습니다. 코드 배포 속도가 유지된다면 추가 도구, 교육 프로그램, 개발자 숙련도 향상에 대한 투자는 '있으면 좋은 것'으로 보일 수 있지만 중요한 비즈니스 기능으로 간주될 수 있습니다.
코드를 더 빠르게 전송하는 것은 쉬워졌지만, 안타깝게도 보안 코드를 전송하는 것은 그렇지 않아 조직은 그 어느 때보다 더 많은 위협에 노출되어 있습니다. 전 세계적으로 사이버 범죄로 인한 비용은 엄청나며, 빠르게 증가하고 있습니다. 실제로 2020년에 사이버 범죄로 인한 비용은 약 1조 달러에 달했습니다. 데이터 유출로 인한 평균 비용은 435만 달러로, 현재 고객과 잠재 고객의 비즈니스 손실은 물론 탐지, 에스컬레이션, 재작업에 소요되는 리소스까지 모두 포함됩니다.
이러한 천문학적인 비용에도 불구하고 절반 이상의 조직은 개발자에게 매년 공식적인 보안 코드 교육을 요구하지 않습니다.
보안 전문가라면 누구나 취약점을 찾아 수정하는 것이 마치 두더지 잡기 게임을 하는 것처럼 느껴질 수 있다는 것을 알고 있습니다. 이미 해결 전략이 포함된 보안 프로그램이 있더라도 개선의 기회는 항상 존재합니다. 대부분의 조직은 재해 복구 또는 백업 기능이 시험대에 올랐을 때 보안에 대한 접근 방식이 생각만큼 강력하지 않다는 것을 알게 됩니다. 사이버 공격으로부터 조직의 복원력을 강화하는 것이 최우선 과제 중 하나라면 보안 태세를 지속적으로 개선하기 위해 개발자에게 맡겨두었던 관점을 전환해야 합니다. 처음부터 안전한 코드를 구축하고 취약점을 신속하게 찾아 수정할 수 있는 충분한 지식을 갖춘 숙련되고 권한이 부여된 개발자 팀은 위험을 완화하는 가장 비용 효율적인 수단입니다.
개발자 교육에 대한 오해 중 하나는 개발자 교육이 단순히 비즈니스에 드는 비용이나 보험 정책이라는 것입니다. 알리안츠의 개발자 보안 인식 에반젤리스트인 클라우스 클라우스 클링거는 "모든 것은 경영진의 머리에서 시작되어야 합니다. 개발자 교육에 대한 투자는 손실 투자가 아니라 품질, 생산성 및 회사의 평판에 대한 투자입니다."라고 말합니다.
이 분야에서 ROI는 종종 정량화하기 어려울 수 있지만, 궁극적으로 조직이 고려해야 할 것은 보안 태세가 어떻게 위험을 줄이고 접근 방식을 간소화하며 개발자 팀의 시간과 생산성을 절약하는 데 도움이 되는지에 대한 것입니다.
사이버 보안 비용의 ROI는 어떻게 정량화할 수 있을까요?
ROI는 위험 완화를 통한 비용 절감과 보안 교육이 미치는 영향이라는 두 가지 프레임으로 생각하는 것이 중요합니다.
너무도 흔한 예로, 취약점이나 보안 침해로 인해 이커머스 사이트가 며칠 동안 강제 오프라인 상태가 되어 팀에서 문제와 해결 방법을 찾는 경우를 생각해 보겠습니다. 문제 해결 실패로 인한 비용은 가동 중단 기간 동안의 매출 손실, 자격 증명 도난의 영향, 고객 신뢰 상실(장기적인 매출 감소로 이어짐), 문제를 해결하는 동안 손실된 전반적인 생산성 등으로 정량화할 수 있습니다.
이는 비용/편익 분석으로 귀결됩니다. 평가해야 할 주요 영역은 회사의 보안 성숙도, 회사의 위험 수용 수준, 코드에서 유지 관리 또는 개선이 필요한 영역입니다.
사람들은 종종 성공과 가치를 판단하기 위해 잘못된 지표에 집중합니다. 프로그램의 초기 투자 수익률에 신경을 덜 쓰는 대신 프로그램 자체의 영향력을 측정해야 할 수도 있습니다.
영향력을 입증하기 위한 조치
ROI를 설정하려면 측정 가능한 목표를 만들어야 합니다. 이는 개발자의 보안 코딩 지식을 평가하고 개발자의 기술 개발이 필요한 부분을 이해하는 것에서 시작됩니다.
보다 풍부한 교육 프로그램을 구축하는 방법에 대한 전략적 결정을 내리는 데 도움이 되는 참여도를 측정하는 것이 출발점이 될 수 있습니다. 가장 중요한 것은 영향을 측정하는 것입니다. 각 팀에서 프로그램을 시작하기 전에 코드 분석, 버그 바운티 또는 기존의 취약성 테스트를 통해 소프트웨어 개발 수명 주기에서 발견되는 취약점의 수를 살펴보는 것부터 시작하세요. 교육 프로그램이 원하는 결과를 가져오는지 알 수 있는 가장 간단한 방법 중 하나는 전체적으로 코드베이스에 도입되는 취약점의 감소를 측정하는 것입니다.
ROI를 평가하기 위한 주요 질문:
1. 접근 방식을 간소화하고 있나요?
↪CF_200D↩문제에더 많은 도구를 투입하고 있나요, 아니면 근본 원인에서 문제를 해결하고 있나요? 기술 스택에 더 많은 도구를 추가하면 취약점을 찾고 수정하는 데 '스위스 치즈' 방식의 접근 방식이 만들어집니다. 또한 많은 취약점의 원인인 코드에는 거의 영향을 미치지 않으면서 운영 비용만 증가시킵니다. 스캐닝 및 펜테스팅 도구는 반드시 사용해야 하지만 최후의 방어선이 되어서는 안 됩니다.
2. 효율성과 생산성을 개선하고 있나요?
앱보안팀에서 보낸 코드를 다시 검토하고 재작업하는 데 많은 시간을 소비하면 생산성이 크게 저하될 수 있습니다. 개발자 팀이 보안 코드 교육을 직접 수행할 수 있도록 권한을 부여하고 지원함으로써 모의 훈련을 줄이는 것은 보안 프로그램의 긍정적인 영향을 평가하는 좋은 기준이 될 수 있습니다.
3. 위험을 낮추고 있나요?
취약점을 찾아서 수정하는 것은 마치 커다란 퍼즐을 푸는 것과 같아서 강력한 솔루션으로 완료하는 데 며칠, 몇 주, 심지어 몇 달이 걸릴 수도 있습니다. 개발자가 소스에서 직접 수정할 수 있도록 권한을 부여하면 앱 보안팀은 위험 모니터링과 조직의 보안 태세 강화에 집중할 수 있습니다.
4. 속도를 높이면서도 품질을 유지하고 있나요?
코드를 빠르게 배포하는 것이 항상 좋은 것은 아닙니다. 코드에 취약점을 도입하고 서두르면 향후 많은 골칫거리가 발생하고 기술 부채가 누적될 수 있습니다. 단기적인 사고는 정답이 아닙니다. 처음부터 코드를 안전하게 보호하여 향후 문제가 복잡해지지 않도록 위험을 완화할 수 있습니다.
추적할 권장 메트릭:
- 참여도 - 교육에 얼마나 많은 시간을 할애하고 있으며 개발자가 어떻게 참여하고 있나요? courses , 평가를 완료하고 tournaments 에 참여하고 있나요?
- 기술 - 강점이 있는 분야는 어디인가요? 개선이 필요한 영역은 무엇인가요?
- 취약점 감소 - 코드 검토 중에 취약점이 눈에 띄게 감소한 것을 확인하셨나요? 앱보안으로 인한 재작업이 줄어들었나요?
- 생산성 - 문제를 해결하는 데 시간이 얼마나 걸리나요? 취약성 감소로 생산성이나 속도가 향상되었나요?
왼쪽으로 이동하여 가치 창출
보안 침해와 취약성은 매년 급격히 증가하고 있습니다. 보안에 대한 총체적인 접근 방식을 선제적으로 구축하는 것이 중요하며, 그 시작은 코드부터 시작해야 합니다. 다음과 같은 방법이 도움이 될 것입니다:
- 문제의 일부만 해결하는 도구에 비용을 투자하는 대신 가장 귀중한 리소스인 인력에 투자하여 복잡성을 줄이세요.
- 코드 배포 후 일반적으로 앱보안에서 식별할 수 있는 재작업이나 수정 사항을 제한하여 효율성과 전반적인 효과를 개선합니다.
- 위험을 완화하고 규정 준수를 달성하여 값비싼 벌금, 고객 신뢰 상실, 데이터 유출로 인한 비용 발생을 방지하세요.
단기적인 사고와 임시방편은 피하세요. 이는 기술 부채와 더 많은 비용을 초래할 뿐입니다. 업스킬링의 힘을 활용하여 개발자가 취약성과 사이버 범죄에 대한 최선의 방어선이 될 수 있도록 지원함으로써 장기적인 계획을 세우고, 그 영향과 비용 절감 효과를 직접 확인해 보세요.
