신뢰 점수를 통해 보안 설계 기반 업스킬링 이니셔티브의 가치 확인
조직의 보안 태세를 개선하는 확실한 방법은 개발자에게 필요한 구체적인 학습 경로를 제공하도록 설계된 기준선과 벤치마크가 포함된 프레임워크를 통해 개발자가 보안 코딩 모범 사례에 대한 숙련도를 높이는 것입니다. 그러나 보안 코딩은 일회성으로 해결되는 것이 아니라 조직의 DNA에 암호화된 생활 방식이 되어야 합니다. 개발자는 왼쪽으로 이동하거나 왼쪽에서 시작해야 할 뿐만 아니라 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직은 개발자가 교육을 완전히 흡수하고 소프트웨어 개발 수명 주기(SDLC) 초반에 모범 사례를 일상적인 업무의 일부로 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 표준 및 업계 벤치마크와 비교하여 진행 상황을 측정하여 교육 투자에 대한 ROI를 효과적으로 측정해야 합니다.
Secure Code Warrior의 신뢰 점수는 개별 개발자의 성과에 대한 가시성을 제공하고 데이터를 집계하여 조직의 전반적인 성과에 대한 assessment 을 제공합니다. 개선이 필요한 영역을 파악하는 동시에 업스킬링 프로그램의 효과를 보여줍니다. 또한 일반 데이터 보호 규정(GDPR), 결제 카드 업계 데이터 보안 표준(PCI DSS), 캘리포니아 소비자 개인정보 보호법(CCPA) 등 다양한 규제 준수 요건을 준수할 수 있도록 도와줍니다.
저희의 연구에 따르면 보안 코드 교육은 효과가 있는 것으로 나타났습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 작업한 2,000만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 있어 그 효과와 이니셔티브를 더욱 효과적으로 만드는 방법을 알려줍니다.
개발자가 교육을 받으면 보안이 향상됩니다.
수년 동안 소프트웨어 업계에서 보안 모범 사례를 사용하는 것은 언젠가 실현하면 좋겠지만 현재로서는 우선순위가 아닌 선망의 대상에 불과했습니다. 하지만 소프트웨어 개발 속도가 점점 빨라지고, 소프트웨어 취약점을 노리는 정교하고 파괴적인 사이버 위협의 속도가 빨라지면서 보안 코딩이 필수적인 요소가 되었습니다. 사이버 보안 및 인프라 보안 기관(CISA)은 국제적인 운동으로 성장하고 있는 보안 설계 이 니셔티브를 통해 보안 코드를 전면에 내세우고 있습니다.
보안 설계 접근 방식과 소프트웨어 취약성 감소 사이의 상관관계가 명확하다는 점이 연구를 통해 입증되었습니다. SCW 고객 기반 중 26%의 취약성 감소 데이터를 분석한 결과, 개발자 교육을 통해 소프트웨어 취약성이 22%에서 84%까지 감소한 것으로 나타났습니다. 이러한 범위는 관련 기업의 규모(상대적으로 개발자가 적은 소규모 기업일수록 더 극적인 결과를 보임), 학습 그룹이 특정 문제에 집중하여 더 많은 비율의 결함을 제거했는지 여부 등의 변수에 따라 달라졌습니다.
대기업의 결과는 다소 일관적이었습니다. 개발자가 7,000명 이상인 기업은 개발자의 보안 역량 강화의 결과로 취약성이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 개발자가 10,000명 이상인 통계적으로 평균적인 한 기업(플랫폼에서 최고 성과를 낸 기업도 아니고 벤치마크가 가장 높은 기업도 아님)은 취약점이 53% 감소했습니다.
물론 가장 효과적인 교육은 일률적인 접근 방식을 취하는 것이 아닙니다. 개발자의 업무 환경과 개발 유형에 맞게 조정되어야 합니다.
기업은 개발자가 단순히 코드를 작성하는 것만큼이나 자연스럽게 보안 코드를 작성할 수 있도록 개발자가 갖춰야 할 기본 기술을 확립하는 것부터 시작해야 합니다. 업스킬링 프로그램은 개발자가 수행하는 업무 유형과 사용하는 언어에 맞는 실제 시나리오의 실습 위주의 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 업무 일정에 맞출 수 있을 만큼 유연해야 합니다.
개발자에게는 코드 작성 이상의 기술이 필요합니다. 개발자는 오픈 소스 리포지토리와 같은 타사 및 인공지능 어시스턴트가 만든 소프트웨어를 확인할 수 있어야 합니다. 개발자들은 제너레이티브 AI 모델을 적극 활용해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 작성할 수 있다는 이점을 높이 평가했습니다. 그러나 스닉 설문조사 응답자의 76%는 AI가 생성한 코드가 사람이 만든 코드보다 더 안전하다고 답했지만, 56.4%는 여전히 AI가 가끔 또는 자주 오류를 일으킨다고 답했습니다. 또한 같은 설문조사에 따르면 개발자의 80%가 AI 코드 보안 정책을 적용하지 않는 것으로 나타나 AI 코드의 코드 문제가 해결되지 않고 있는 것으로 나타났습니다.
보안 설계 접근 방식에서는 개발자가 보안 팀과 별도로 작업하는 것이 아니라 보안 팀과 협력하여 SDLC 초기에 이러한 문제를 해결하고 코드가 프로덕션에 적용되기 전에 결함을 식별하고 수정합니다.
개인 및 기업 성과를 측정하는 신뢰 점수
또한 지속적인 교육도 중요합니다. 기업은 회사의 최고위층부터 하위 직급에 이르기까지 모든 곳에 적용되는 보안 우선 문화를 채택해야 합니다. 지속적인 개선과 SDLC 전반에 걸친 모범 보안 사례 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자는 진화를 멈추지 않으며, 사이버 보안도 마찬가지입니다. 소프트웨어를 제작하는 조직의 경우 보안 교육을 받은 개발자가 기본입니다.
그렇기 때문에 교육이 효과적으로 이루어지고 있음을 입증하는 것이 교육 자체만큼이나 중요합니다. Trust Score는 개발자 개인과 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라 성과 데이터를 드릴다운하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 지원합니다. 또한 개별 및 집계된 성과 결과의 데이터는 교육이 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우와 같이 개선이 필요한 영역을 파악하는 데 도움이 됩니다.
Trust Score를 통해 조직은 개발자의 성과를 평가하고 필요한 보안 기술을 습득하고 사용하고 있는지 확인하여 개발자가 코딩 라이선스를 획득했는지 확인할 수 있습니다. 이를 통해 조직은 자격을 갖춘 개발자에게 가장 민감한 데이터와 중요한 소프트웨어 프로젝트에 대한 액세스 권한을 자신 있게 부여하고, 아직 준비가 되지 않은 도구에 대한 액세스는 거부할 수 있습니다.
변화하는 보안 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 사이버 보안은 많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 보안 침해는 조직의 운영, 평판, 그리고 잠재적으로 조직의 생존에 영향을 미칩니다. 사이버 보안의 중요성은 규제 기관에서도 놓치지 않고 있으며, 규제 기관은 점점 더 엄격한 규정을 시행하고 있으며, Uber와 SolarWinds의 사례처럼 CISO와 다른 고위 경영진에 대해 형사 고발까지 할 수 있다는 의지를 보이고 있습니다.
오늘날의 환경에서는 전사적인 보안 문화를 채택하는 것이 필수적입니다. 기업의 가치 중 많은 부분이 데이터, 애플리케이션, 서비스에 있기 때문에 보안 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일부로서 목표 교육 및 스킬 향상과 함께 교육이 문화를 변화시키는 데 도움이 되었다는 증거를 확보하면 조직은 보안 태세를 강화하는 길로 나아갈 수 있습니다.
개발자가 주도하는 보안 프로그램에는 가치가 있습니다. 그 증거는 신뢰 점수에 있습니다.
저희의 연구에 따르면 보안 코드 교육은 효과가 있는 것으로 나타났습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 작업한 2,000만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 있어 그 효과와 이니셔티브를 더욱 효과적으로 만드는 방법을 알려줍니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
조직의 보안 태세를 개선하는 확실한 방법은 개발자에게 필요한 구체적인 학습 경로를 제공하도록 설계된 기준선과 벤치마크가 포함된 프레임워크를 통해 개발자가 보안 코딩 모범 사례에 대한 숙련도를 높이는 것입니다. 그러나 보안 코딩은 일회성으로 해결되는 것이 아니라 조직의 DNA에 암호화된 생활 방식이 되어야 합니다. 개발자는 왼쪽으로 이동하거나 왼쪽에서 시작해야 할 뿐만 아니라 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직은 개발자가 교육을 완전히 흡수하고 소프트웨어 개발 수명 주기(SDLC) 초반에 모범 사례를 일상적인 업무의 일부로 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 표준 및 업계 벤치마크와 비교하여 진행 상황을 측정하여 교육 투자에 대한 ROI를 효과적으로 측정해야 합니다.
Secure Code Warrior의 신뢰 점수는 개별 개발자의 성과에 대한 가시성을 제공하고 데이터를 집계하여 조직의 전반적인 성과에 대한 assessment 을 제공합니다. 개선이 필요한 영역을 파악하는 동시에 업스킬링 프로그램의 효과를 보여줍니다. 또한 일반 데이터 보호 규정(GDPR), 결제 카드 업계 데이터 보안 표준(PCI DSS), 캘리포니아 소비자 개인정보 보호법(CCPA) 등 다양한 규제 준수 요건을 준수할 수 있도록 도와줍니다.
저희의 연구에 따르면 보안 코드 교육은 효과가 있는 것으로 나타났습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 작업한 2,000만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 있어 그 효과와 이니셔티브를 더욱 효과적으로 만드는 방법을 알려줍니다.
개발자가 교육을 받으면 보안이 향상됩니다.
수년 동안 소프트웨어 업계에서 보안 모범 사례를 사용하는 것은 언젠가 실현하면 좋겠지만 현재로서는 우선순위가 아닌 선망의 대상에 불과했습니다. 하지만 소프트웨어 개발 속도가 점점 빨라지고, 소프트웨어 취약점을 노리는 정교하고 파괴적인 사이버 위협의 속도가 빨라지면서 보안 코딩이 필수적인 요소가 되었습니다. 사이버 보안 및 인프라 보안 기관(CISA)은 국제적인 운동으로 성장하고 있는 보안 설계 이 니셔티브를 통해 보안 코드를 전면에 내세우고 있습니다.
보안 설계 접근 방식과 소프트웨어 취약성 감소 사이의 상관관계가 명확하다는 점이 연구를 통해 입증되었습니다. SCW 고객 기반 중 26%의 취약성 감소 데이터를 분석한 결과, 개발자 교육을 통해 소프트웨어 취약성이 22%에서 84%까지 감소한 것으로 나타났습니다. 이러한 범위는 관련 기업의 규모(상대적으로 개발자가 적은 소규모 기업일수록 더 극적인 결과를 보임), 학습 그룹이 특정 문제에 집중하여 더 많은 비율의 결함을 제거했는지 여부 등의 변수에 따라 달라졌습니다.
대기업의 결과는 다소 일관적이었습니다. 개발자가 7,000명 이상인 기업은 개발자의 보안 역량 강화의 결과로 취약성이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 개발자가 10,000명 이상인 통계적으로 평균적인 한 기업(플랫폼에서 최고 성과를 낸 기업도 아니고 벤치마크가 가장 높은 기업도 아님)은 취약점이 53% 감소했습니다.
물론 가장 효과적인 교육은 일률적인 접근 방식을 취하는 것이 아닙니다. 개발자의 업무 환경과 개발 유형에 맞게 조정되어야 합니다.
기업은 개발자가 단순히 코드를 작성하는 것만큼이나 자연스럽게 보안 코드를 작성할 수 있도록 개발자가 갖춰야 할 기본 기술을 확립하는 것부터 시작해야 합니다. 업스킬링 프로그램은 개발자가 수행하는 업무 유형과 사용하는 언어에 맞는 실제 시나리오의 실습 위주의 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 업무 일정에 맞출 수 있을 만큼 유연해야 합니다.
개발자에게는 코드 작성 이상의 기술이 필요합니다. 개발자는 오픈 소스 리포지토리와 같은 타사 및 인공지능 어시스턴트가 만든 소프트웨어를 확인할 수 있어야 합니다. 개발자들은 제너레이티브 AI 모델을 적극 활용해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 작성할 수 있다는 이점을 높이 평가했습니다. 그러나 스닉 설문조사 응답자의 76%는 AI가 생성한 코드가 사람이 만든 코드보다 더 안전하다고 답했지만, 56.4%는 여전히 AI가 가끔 또는 자주 오류를 일으킨다고 답했습니다. 또한 같은 설문조사에 따르면 개발자의 80%가 AI 코드 보안 정책을 적용하지 않는 것으로 나타나 AI 코드의 코드 문제가 해결되지 않고 있는 것으로 나타났습니다.
보안 설계 접근 방식에서는 개발자가 보안 팀과 별도로 작업하는 것이 아니라 보안 팀과 협력하여 SDLC 초기에 이러한 문제를 해결하고 코드가 프로덕션에 적용되기 전에 결함을 식별하고 수정합니다.
개인 및 기업 성과를 측정하는 신뢰 점수
또한 지속적인 교육도 중요합니다. 기업은 회사의 최고위층부터 하위 직급에 이르기까지 모든 곳에 적용되는 보안 우선 문화를 채택해야 합니다. 지속적인 개선과 SDLC 전반에 걸친 모범 보안 사례 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자는 진화를 멈추지 않으며, 사이버 보안도 마찬가지입니다. 소프트웨어를 제작하는 조직의 경우 보안 교육을 받은 개발자가 기본입니다.
그렇기 때문에 교육이 효과적으로 이루어지고 있음을 입증하는 것이 교육 자체만큼이나 중요합니다. Trust Score는 개발자 개인과 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라 성과 데이터를 드릴다운하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 지원합니다. 또한 개별 및 집계된 성과 결과의 데이터는 교육이 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우와 같이 개선이 필요한 영역을 파악하는 데 도움이 됩니다.
Trust Score를 통해 조직은 개발자의 성과를 평가하고 필요한 보안 기술을 습득하고 사용하고 있는지 확인하여 개발자가 코딩 라이선스를 획득했는지 확인할 수 있습니다. 이를 통해 조직은 자격을 갖춘 개발자에게 가장 민감한 데이터와 중요한 소프트웨어 프로젝트에 대한 액세스 권한을 자신 있게 부여하고, 아직 준비가 되지 않은 도구에 대한 액세스는 거부할 수 있습니다.
변화하는 보안 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 사이버 보안은 많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 보안 침해는 조직의 운영, 평판, 그리고 잠재적으로 조직의 생존에 영향을 미칩니다. 사이버 보안의 중요성은 규제 기관에서도 놓치지 않고 있으며, 규제 기관은 점점 더 엄격한 규정을 시행하고 있으며, Uber와 SolarWinds의 사례처럼 CISO와 다른 고위 경영진에 대해 형사 고발까지 할 수 있다는 의지를 보이고 있습니다.
오늘날의 환경에서는 전사적인 보안 문화를 채택하는 것이 필수적입니다. 기업의 가치 중 많은 부분이 데이터, 애플리케이션, 서비스에 있기 때문에 보안 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일부로서 목표 교육 및 스킬 향상과 함께 교육이 문화를 변화시키는 데 도움이 되었다는 증거를 확보하면 조직은 보안 태세를 강화하는 길로 나아갈 수 있습니다.
개발자가 주도하는 보안 프로그램에는 가치가 있습니다. 그 증거는 신뢰 점수에 있습니다.
조직의 보안 태세를 개선하는 확실한 방법은 개발자에게 필요한 구체적인 학습 경로를 제공하도록 설계된 기준선과 벤치마크가 포함된 프레임워크를 통해 개발자가 보안 코딩 모범 사례에 대한 숙련도를 높이는 것입니다. 그러나 보안 코딩은 일회성으로 해결되는 것이 아니라 조직의 DNA에 암호화된 생활 방식이 되어야 합니다. 개발자는 왼쪽으로 이동하거나 왼쪽에서 시작해야 할 뿐만 아니라 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직은 개발자가 교육을 완전히 흡수하고 소프트웨어 개발 수명 주기(SDLC) 초반에 모범 사례를 일상적인 업무의 일부로 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 표준 및 업계 벤치마크와 비교하여 진행 상황을 측정하여 교육 투자에 대한 ROI를 효과적으로 측정해야 합니다.
Secure Code Warrior의 신뢰 점수는 개별 개발자의 성과에 대한 가시성을 제공하고 데이터를 집계하여 조직의 전반적인 성과에 대한 assessment 을 제공합니다. 개선이 필요한 영역을 파악하는 동시에 업스킬링 프로그램의 효과를 보여줍니다. 또한 일반 데이터 보호 규정(GDPR), 결제 카드 업계 데이터 보안 표준(PCI DSS), 캘리포니아 소비자 개인정보 보호법(CCPA) 등 다양한 규제 준수 요건을 준수할 수 있도록 도와줍니다.
저희의 연구에 따르면 보안 코드 교육은 효과가 있는 것으로 나타났습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 작업한 2,000만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 있어 그 효과와 이니셔티브를 더욱 효과적으로 만드는 방법을 알려줍니다.
개발자가 교육을 받으면 보안이 향상됩니다.
수년 동안 소프트웨어 업계에서 보안 모범 사례를 사용하는 것은 언젠가 실현하면 좋겠지만 현재로서는 우선순위가 아닌 선망의 대상에 불과했습니다. 하지만 소프트웨어 개발 속도가 점점 빨라지고, 소프트웨어 취약점을 노리는 정교하고 파괴적인 사이버 위협의 속도가 빨라지면서 보안 코딩이 필수적인 요소가 되었습니다. 사이버 보안 및 인프라 보안 기관(CISA)은 국제적인 운동으로 성장하고 있는 보안 설계 이 니셔티브를 통해 보안 코드를 전면에 내세우고 있습니다.
보안 설계 접근 방식과 소프트웨어 취약성 감소 사이의 상관관계가 명확하다는 점이 연구를 통해 입증되었습니다. SCW 고객 기반 중 26%의 취약성 감소 데이터를 분석한 결과, 개발자 교육을 통해 소프트웨어 취약성이 22%에서 84%까지 감소한 것으로 나타났습니다. 이러한 범위는 관련 기업의 규모(상대적으로 개발자가 적은 소규모 기업일수록 더 극적인 결과를 보임), 학습 그룹이 특정 문제에 집중하여 더 많은 비율의 결함을 제거했는지 여부 등의 변수에 따라 달라졌습니다.
대기업의 결과는 다소 일관적이었습니다. 개발자가 7,000명 이상인 기업은 개발자의 보안 역량 강화의 결과로 취약성이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 개발자가 10,000명 이상인 통계적으로 평균적인 한 기업(플랫폼에서 최고 성과를 낸 기업도 아니고 벤치마크가 가장 높은 기업도 아님)은 취약점이 53% 감소했습니다.
물론 가장 효과적인 교육은 일률적인 접근 방식을 취하는 것이 아닙니다. 개발자의 업무 환경과 개발 유형에 맞게 조정되어야 합니다.
기업은 개발자가 단순히 코드를 작성하는 것만큼이나 자연스럽게 보안 코드를 작성할 수 있도록 개발자가 갖춰야 할 기본 기술을 확립하는 것부터 시작해야 합니다. 업스킬링 프로그램은 개발자가 수행하는 업무 유형과 사용하는 언어에 맞는 실제 시나리오의 실습 위주의 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 업무 일정에 맞출 수 있을 만큼 유연해야 합니다.
개발자에게는 코드 작성 이상의 기술이 필요합니다. 개발자는 오픈 소스 리포지토리와 같은 타사 및 인공지능 어시스턴트가 만든 소프트웨어를 확인할 수 있어야 합니다. 개발자들은 제너레이티브 AI 모델을 적극 활용해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 작성할 수 있다는 이점을 높이 평가했습니다. 그러나 스닉 설문조사 응답자의 76%는 AI가 생성한 코드가 사람이 만든 코드보다 더 안전하다고 답했지만, 56.4%는 여전히 AI가 가끔 또는 자주 오류를 일으킨다고 답했습니다. 또한 같은 설문조사에 따르면 개발자의 80%가 AI 코드 보안 정책을 적용하지 않는 것으로 나타나 AI 코드의 코드 문제가 해결되지 않고 있는 것으로 나타났습니다.
보안 설계 접근 방식에서는 개발자가 보안 팀과 별도로 작업하는 것이 아니라 보안 팀과 협력하여 SDLC 초기에 이러한 문제를 해결하고 코드가 프로덕션에 적용되기 전에 결함을 식별하고 수정합니다.
개인 및 기업 성과를 측정하는 신뢰 점수
또한 지속적인 교육도 중요합니다. 기업은 회사의 최고위층부터 하위 직급에 이르기까지 모든 곳에 적용되는 보안 우선 문화를 채택해야 합니다. 지속적인 개선과 SDLC 전반에 걸친 모범 보안 사례 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자는 진화를 멈추지 않으며, 사이버 보안도 마찬가지입니다. 소프트웨어를 제작하는 조직의 경우 보안 교육을 받은 개발자가 기본입니다.
그렇기 때문에 교육이 효과적으로 이루어지고 있음을 입증하는 것이 교육 자체만큼이나 중요합니다. Trust Score는 개발자 개인과 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라 성과 데이터를 드릴다운하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 지원합니다. 또한 개별 및 집계된 성과 결과의 데이터는 교육이 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우와 같이 개선이 필요한 영역을 파악하는 데 도움이 됩니다.
Trust Score를 통해 조직은 개발자의 성과를 평가하고 필요한 보안 기술을 습득하고 사용하고 있는지 확인하여 개발자가 코딩 라이선스를 획득했는지 확인할 수 있습니다. 이를 통해 조직은 자격을 갖춘 개발자에게 가장 민감한 데이터와 중요한 소프트웨어 프로젝트에 대한 액세스 권한을 자신 있게 부여하고, 아직 준비가 되지 않은 도구에 대한 액세스는 거부할 수 있습니다.
변화하는 보안 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 사이버 보안은 많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 보안 침해는 조직의 운영, 평판, 그리고 잠재적으로 조직의 생존에 영향을 미칩니다. 사이버 보안의 중요성은 규제 기관에서도 놓치지 않고 있으며, 규제 기관은 점점 더 엄격한 규정을 시행하고 있으며, Uber와 SolarWinds의 사례처럼 CISO와 다른 고위 경영진에 대해 형사 고발까지 할 수 있다는 의지를 보이고 있습니다.
오늘날의 환경에서는 전사적인 보안 문화를 채택하는 것이 필수적입니다. 기업의 가치 중 많은 부분이 데이터, 애플리케이션, 서비스에 있기 때문에 보안 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일부로서 목표 교육 및 스킬 향상과 함께 교육이 문화를 변화시키는 데 도움이 되었다는 증거를 확보하면 조직은 보안 태세를 강화하는 길로 나아갈 수 있습니다.
개발자가 주도하는 보안 프로그램에는 가치가 있습니다. 그 증거는 신뢰 점수에 있습니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
조직의 보안 태세를 개선하는 확실한 방법은 개발자에게 필요한 구체적인 학습 경로를 제공하도록 설계된 기준선과 벤치마크가 포함된 프레임워크를 통해 개발자가 보안 코딩 모범 사례에 대한 숙련도를 높이는 것입니다. 그러나 보안 코딩은 일회성으로 해결되는 것이 아니라 조직의 DNA에 암호화된 생활 방식이 되어야 합니다. 개발자는 왼쪽으로 이동하거나 왼쪽에서 시작해야 할 뿐만 아니라 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직은 개발자가 교육을 완전히 흡수하고 소프트웨어 개발 수명 주기(SDLC) 초반에 모범 사례를 일상적인 업무의 일부로 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 표준 및 업계 벤치마크와 비교하여 진행 상황을 측정하여 교육 투자에 대한 ROI를 효과적으로 측정해야 합니다.
Secure Code Warrior의 신뢰 점수는 개별 개발자의 성과에 대한 가시성을 제공하고 데이터를 집계하여 조직의 전반적인 성과에 대한 assessment 을 제공합니다. 개선이 필요한 영역을 파악하는 동시에 업스킬링 프로그램의 효과를 보여줍니다. 또한 일반 데이터 보호 규정(GDPR), 결제 카드 업계 데이터 보안 표준(PCI DSS), 캘리포니아 소비자 개인정보 보호법(CCPA) 등 다양한 규제 준수 요건을 준수할 수 있도록 도와줍니다.
저희의 연구에 따르면 보안 코드 교육은 효과가 있는 것으로 나타났습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 작업한 2,000만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 있어 그 효과와 이니셔티브를 더욱 효과적으로 만드는 방법을 알려줍니다.
개발자가 교육을 받으면 보안이 향상됩니다.
수년 동안 소프트웨어 업계에서 보안 모범 사례를 사용하는 것은 언젠가 실현하면 좋겠지만 현재로서는 우선순위가 아닌 선망의 대상에 불과했습니다. 하지만 소프트웨어 개발 속도가 점점 빨라지고, 소프트웨어 취약점을 노리는 정교하고 파괴적인 사이버 위협의 속도가 빨라지면서 보안 코딩이 필수적인 요소가 되었습니다. 사이버 보안 및 인프라 보안 기관(CISA)은 국제적인 운동으로 성장하고 있는 보안 설계 이 니셔티브를 통해 보안 코드를 전면에 내세우고 있습니다.
보안 설계 접근 방식과 소프트웨어 취약성 감소 사이의 상관관계가 명확하다는 점이 연구를 통해 입증되었습니다. SCW 고객 기반 중 26%의 취약성 감소 데이터를 분석한 결과, 개발자 교육을 통해 소프트웨어 취약성이 22%에서 84%까지 감소한 것으로 나타났습니다. 이러한 범위는 관련 기업의 규모(상대적으로 개발자가 적은 소규모 기업일수록 더 극적인 결과를 보임), 학습 그룹이 특정 문제에 집중하여 더 많은 비율의 결함을 제거했는지 여부 등의 변수에 따라 달라졌습니다.
대기업의 결과는 다소 일관적이었습니다. 개발자가 7,000명 이상인 기업은 개발자의 보안 역량 강화의 결과로 취약성이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 개발자가 10,000명 이상인 통계적으로 평균적인 한 기업(플랫폼에서 최고 성과를 낸 기업도 아니고 벤치마크가 가장 높은 기업도 아님)은 취약점이 53% 감소했습니다.
물론 가장 효과적인 교육은 일률적인 접근 방식을 취하는 것이 아닙니다. 개발자의 업무 환경과 개발 유형에 맞게 조정되어야 합니다.
기업은 개발자가 단순히 코드를 작성하는 것만큼이나 자연스럽게 보안 코드를 작성할 수 있도록 개발자가 갖춰야 할 기본 기술을 확립하는 것부터 시작해야 합니다. 업스킬링 프로그램은 개발자가 수행하는 업무 유형과 사용하는 언어에 맞는 실제 시나리오의 실습 위주의 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 업무 일정에 맞출 수 있을 만큼 유연해야 합니다.
개발자에게는 코드 작성 이상의 기술이 필요합니다. 개발자는 오픈 소스 리포지토리와 같은 타사 및 인공지능 어시스턴트가 만든 소프트웨어를 확인할 수 있어야 합니다. 개발자들은 제너레이티브 AI 모델을 적극 활용해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 작성할 수 있다는 이점을 높이 평가했습니다. 그러나 스닉 설문조사 응답자의 76%는 AI가 생성한 코드가 사람이 만든 코드보다 더 안전하다고 답했지만, 56.4%는 여전히 AI가 가끔 또는 자주 오류를 일으킨다고 답했습니다. 또한 같은 설문조사에 따르면 개발자의 80%가 AI 코드 보안 정책을 적용하지 않는 것으로 나타나 AI 코드의 코드 문제가 해결되지 않고 있는 것으로 나타났습니다.
보안 설계 접근 방식에서는 개발자가 보안 팀과 별도로 작업하는 것이 아니라 보안 팀과 협력하여 SDLC 초기에 이러한 문제를 해결하고 코드가 프로덕션에 적용되기 전에 결함을 식별하고 수정합니다.
개인 및 기업 성과를 측정하는 신뢰 점수
또한 지속적인 교육도 중요합니다. 기업은 회사의 최고위층부터 하위 직급에 이르기까지 모든 곳에 적용되는 보안 우선 문화를 채택해야 합니다. 지속적인 개선과 SDLC 전반에 걸친 모범 보안 사례 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자는 진화를 멈추지 않으며, 사이버 보안도 마찬가지입니다. 소프트웨어를 제작하는 조직의 경우 보안 교육을 받은 개발자가 기본입니다.
그렇기 때문에 교육이 효과적으로 이루어지고 있음을 입증하는 것이 교육 자체만큼이나 중요합니다. Trust Score는 개발자 개인과 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라 성과 데이터를 드릴다운하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 지원합니다. 또한 개별 및 집계된 성과 결과의 데이터는 교육이 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우와 같이 개선이 필요한 영역을 파악하는 데 도움이 됩니다.
Trust Score를 통해 조직은 개발자의 성과를 평가하고 필요한 보안 기술을 습득하고 사용하고 있는지 확인하여 개발자가 코딩 라이선스를 획득했는지 확인할 수 있습니다. 이를 통해 조직은 자격을 갖춘 개발자에게 가장 민감한 데이터와 중요한 소프트웨어 프로젝트에 대한 액세스 권한을 자신 있게 부여하고, 아직 준비가 되지 않은 도구에 대한 액세스는 거부할 수 있습니다.
변화하는 보안 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 사이버 보안은 많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 보안 침해는 조직의 운영, 평판, 그리고 잠재적으로 조직의 생존에 영향을 미칩니다. 사이버 보안의 중요성은 규제 기관에서도 놓치지 않고 있으며, 규제 기관은 점점 더 엄격한 규정을 시행하고 있으며, Uber와 SolarWinds의 사례처럼 CISO와 다른 고위 경영진에 대해 형사 고발까지 할 수 있다는 의지를 보이고 있습니다.
오늘날의 환경에서는 전사적인 보안 문화를 채택하는 것이 필수적입니다. 기업의 가치 중 많은 부분이 데이터, 애플리케이션, 서비스에 있기 때문에 보안 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일부로서 목표 교육 및 스킬 향상과 함께 교육이 문화를 변화시키는 데 도움이 되었다는 증거를 확보하면 조직은 보안 태세를 강화하는 길로 나아갈 수 있습니다.
개발자가 주도하는 보안 프로그램에는 가치가 있습니다. 그 증거는 신뢰 점수에 있습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드