흥미롭고 도전적인 한 해를 보내고 2025년을 앞두고 있는 지금, AI와 소프트웨어 개발의 교차점은 계속해서 의미 있는 방식으로 개발자 커뮤니티를 형성해 나갈 것입니다. 

조직은 장기적인 생산성, 지속 가능성 및 보안 ROI를 지원하기 위해 AI 사용에 대한 어려운 결정에 직면해 있습니다. 지난 몇 년 동안 우리는 AI가 개발자의 역할을 완전히 대체할 수 없다는 사실을 분명히 알게 되었습니다. AI + 개발자 파트너십부터 보안 설계에 대한 기대치에 대한 압박과 혼란의 증가에 이르기까지, 내년에 예상되는 사항을 자세히 살펴보세요:
‍

AI 방정식 다시 쓰기: 개발자 대신 AI가 아닌 AI + 개발자

"2025년에 기업들이 과감한 비용 절감 조치를 취해야 하는 상황에서 개발자가 AI 툴로 대체되는 것은 놀라운 일이 아닐 것입니다. 하지만 제너레이티브 AI가 처음 등장했을 때도 그랬고 앞으로도 수년간의 업데이트가 계속될 것이지만, 특히 코드 작성 시에는 여전히 안전하고 자율적인 생산성 동력이 되지 못합니다. AI는 놀라운 애플리케이션과 사용 사례가 많은 매우 파괴적인 기술이지만 숙련된 인간 개발자를 충분히 대체할 수는 없습니다. 저는 2025년 AI/인간 대체로의 전환이 실패할 가능성이 높으며, 특히 장기적으로는 실패할 것이라는 Forrester의 예측에 동의합니다. AI+개발자의 조합이 AI 단독보다는 이를 달성할 가능성이 더 높다고 생각합니다."

‍

위험과 기회가 뒤섞인 인공지능(AI)

"2025년에는 환각 스쿼팅, 독이 든 라이브러리, 소프트웨어 공급망에 영향을 미치는 익스플로잇과 같은 알려진 문제의 악영향을 포함해 AI가 생성한 코드에서 새로운 위험 사례가 등장할 것입니다. 또한, 방금 구글의 프로젝트 제로에서 보여준 것처럼 AI는 코드의 결함을 찾는 데 훨씬 더 많이 사용될 뿐만 아니라 익스플로잇을 작성하는 데에도 활용될 것입니다. 이와는 대조적으로, 기업 개발자가 이러한 도구를 너무 많은 위험을 추가하지 않고도 업무에 활용할 수 있는 초기 단계의 성숙도에 도달할 것으로 생각되지만 이는 규칙이 아니라 예외일 것이며, 조직이 개발자 위험을 적극적으로 측정하고 그에 따라 보안 프로그램을 조정하는 데 달려 있습니다. 2025년이 가져올 빠르게 진화하는 위협 환경에서 승인된 AI 코딩 도구를 사용하는 숙련되고 보안을 인식하는 개발자는 더 빠르게 코드를 생산할 수 있는 반면, 보안 인식과 일반 기술이 낮은 개발자는 더 많은 문제를 더 빠른 속도로 발생시킬 뿐입니다." 

‍

AI]의 그림자에서 벗어나기

"AI와 관련된 입법 환경은 기술의 빈번한 발전과 채택률을 따라잡기 위해 빠르게 변화하고 있습니다. 2025년에 보안 리더는 잠재적인 지침을 준수할 준비가 되어 있는지 확인해야 합니다. '섀도 AI'의 특성을 이해하고 조직에서 이를 사용하지 않도록 한 다음, 승인되고 검증된 도구만 회사 시스템에 설치하여 엄격하게 사용하는 것이 내년에 조직에 가장 중요한 과제가 될 것입니다. 이를 통해 더 많은 assessment 개발 코호트가 보안 역량을 지속적으로 성장시키고 이를 업무의 모든 측면에 적용하기 위해 최선의 지원을 받아야 하는 방법을 이해하게 될 것입니다."

‍

AI 도구의 보안 상태는 개발자에게 중요한 척도가 될 것입니다.

"현재 LLM 기반 코딩 도구는 자유 경쟁 시장입니다. 더 나은 출력, 보안, 생산성을 자랑하는 새로운 도구가 계속 등장하고 있습니다. 2025년에 접어들면서 각 AI 도구를 벤치마킹하고 보안 상태를 평가할 수 있는 표준이 필요합니다. 여기에는 코딩 기능, 즉 위협 행위자가 악용할 수 없는 안전하고 우수한 코딩 패턴으로 코드를 생성하는 능력이 포함됩니다." 

‍

AI는 주니어 개발자의 현장 진입을 더 어렵게 만들 것입니다.

"개발자는 그 어느 때보다 진입 장벽이 높습니다. 하이브리드 및 분산된 인력과 초급 직책에 필요한 기술 수준으로 인해 주니어 개발자에게 요구되는 기준은 매년 계속 높아지고 있습니다. 2025년에는 고용주들이 주니어 개발자가 실무 교육에 시간을 할애하는 대신 업무를 시작할 때 이미 워크플로 내에서 AI 도구를 안전하게 통합하고 최적화하는 기술과 지식을 갖추고 있기를 기대하기 시작할 것입니다. 내년에 개발 워크플로에서 AI 도구를 활용하는 방법을 배우지 못한 개발자는 자신의 경력 성장에 심각한 결과를 초래할 수 있으며, 취업 기회를 확보하는 데 어려움을 겪게 될 것입니다. 안전한 AI 숙련도가 궁극적으로 핵심이 될 것이기 때문에 '코딩 라이선스'가 부족해져 더 복잡한 프로젝트에 참여하지 못하게 될 위험이 있습니다."

‍

시간이 지나면 조직이 보안 설계를 통해 보안을 달성하지 못하게 됩니다.

"개발자는 "설계에 의한 보안"을 달성하기 위해 올바른 도구와 관행을 숙지하고 기술을 향상시킬 수 있는 충분한 시간과 리소스가 필요합니다." 조직이 보안 및 엔지니어링 리더의 동의를 얻지 못하면 진행에 차질을 빚거나 완전히 중단될 수 있습니다. 조직은 비용을 절감하거나 리소스를 제한하려고 할 때 장기적인 솔루션보다 즉각적인 문제 해결 노력을 우선시하는 경우가 많으며, 일부만 "괜찮게" 해결하고 나머지는 "보통"으로 처리하는 다면적인 문제 해결 도구에 집중하는 경우가 많습니다. 2025년에는 이러한 불균형으로 인해 안전한 소프트웨어 개발을 우선시하는 조직과 변화하는 환경에 발맞추기 위해 빠른 수정을 원하는 조직 간에 더 큰 격차가 발생할 것입니다."

‍

공급망 보안 감사는 글로벌 리스크를 완화하는 데 중요한 역할을 할 것입니다.

"모든 아웃소싱/서드파티 공급업체에 대한 조사가 강화될 것입니다. 내부적으로 최고의 보안 프로그램을 갖추고 있어도 아웃소싱하는 기업이 보안 설계를 실천하지 않는다면 전체 보안 프레임워크가 손상될 수 있습니다. 따라서 기업들은 아웃소싱에 대한 감사를 강화하여 비즈니스 리더에게 엄격한 보안 및 업계 규정 준수 지침을 따르도록 압력을 가하고 있습니다. 궁극적으로 보안팀의 성공 여부는 조직 전체와 외부 파트너에 대한 통합된 접근 방식을 포함한 전체적인 360도 관점에 달려 있습니다."

‍

AI는 "소음 차단"에 영향력을 발휘할 것입니다.  

"개발팀은 코드 취약점 스캐너의 오탐률로 인해 어려움을 겪고 있습니다. 할당된 취약점이 실제로 보안 위험인지 어떻게 확신할 수 있을까요? 2025년, AI는 코드 수정과 관련하여 개발자가 코드 자체에 대한 심층적인 이해를 제공함으로써 '잡음을 차단'하는 데 도움이 되는 중요한 도구가 될 것입니다. AI는 머신 러닝을 활용하여 컨텍스트를 기반으로 실제 위협의 우선순위를 더 잘 정할 수 있으므로 보안 경보의 정확성을 높이는 데 소요되는 시간을 줄일 수 있습니다. 이를 통해 팀은 실제로 위험을 초래하는 취약점에 집중할 수 있어 전반적인 효율성이 향상되고 더 빠르고 안전한 개발 주기를 구현할 수 있습니다."

‍

벤치마킹은 조직이 보안 설계 목표를 달성할 수 있는 솔루션이 될 것입니다.

"보안 벤치마크가 없으면 2025년에는 보안 설계 표준을 충족하는 과정을 측정할 수 있는 명확한 기준이 없기 때문에 조직에 해가 될 것입니다. 팀이 보안 코딩 관행을 어떻게 준수하고 있는지 평가할 수 있는 벤치마킹 시스템이 없다면, 이러한 조직은 중대한 침해로 이어질 수 있는 취약점을 실수로 도입할 위험이 있습니다. 또한 침해 사고가 발생하면 벤치마킹 시스템을 구현할 시간이 없을 뿐만 아니라 개발자 팀의 보안 성숙도를 먼저 평가하지 않고 SBD 이니셔티브에 속도를 내야 하기 때문에 결국 조직이 더 큰 위험에 노출될 가능성이 높습니다."

‍

AI 생성 코드의 대가로 발생하는 기술적 부채

"이미 업계에 기술 부채라는 엄청난 문제가 있다는 것은 비밀이 아니며, 이는 이미 작성된 코드와 관련된 문제입니다. 본질적으로 안전하지 않은 AI 생성 코드에 대한 개발자의 맹목적인 의존이 급증하고 있고 경영진의 감독도 제한적이기 때문에 문제는 더욱 악화될 것입니다. 이러한 추세로 인해 내년에 보고된 CVE가 10배 이상 증가할 가능성이 매우 높습니다."

‍

성공적인 2025년을 위해 조직은 개발팀에 대한 적절한 교육 및 위험 완화 투자와 함께 책임감 있고 안전하게 AI를 도입할 의지가 있어야 합니다. 내년은 CISA의 보안 설계 서약 1주년이 되는 해로, AI와 관련된 위험, 타사 보안 문제 및 새로운 위협을 가장 잘 제거할 수 있는 안전한 개발 접근 방식을 우선시하는 브랜드가 경쟁 우위를 유지할 수 있을 것입니다.

소프트웨어 보안을 위한 사전 예방적 접근 방식을 취하려면 최신 표준 및 규정 준수 요건을 선도적으로 준수해야 합니다. 사이버 보안 환경은 특히 새로운 기술이 등장함에 따라 새로운 위협과 취약점으로 끊임없이 변화하고 있습니다. 매일 새로운 진화와 사용 사례가 등장하는 AI의 변곡점에 있는 오늘날이 그 어느 때보다 중요한 시기입니다. 

이러한 문제를 해결하기 위해 OWASP 재단은 최근 개발자, 아키텍트 및 기타 소프트웨어 배포에 기여하는 사람들에게 LLM 및 생성형 AI 애플리케이션을 배포할 때 발생할 수 있는 위험을 알리기 위해 대규모 언어 모델(LLM) 애플리케이션을 위한 OWASP Top 10의 업데이트 버전을 발표했습니다. Secure Code Warrior 또한 이 최신 버전의 변경 사항과 업데이트는 이미 보안 코드( learning platform)에 구현되어 제공되고 있음을 알려드립니다. 새롭게 제공되고 업데이트된 자료를 통해 모든 사용자는 LLM을 활용할 때 위험 완화의 최전선에 설 수 있습니다.

이번 업데이트의 새로운 기능은 무엇인가요?

OWASP는 이전 상위 10위에서 두 가지 항목을 삭제했습니다:

• 안전하지 않은 플러그인 디자인 - LLM이 플러그인과 상호 작용하는 방식 및 플러그인이 외부 저장소 또는 서비스와 상호 작용하는 방식과 관련이 있습니다. 
• 모델 도용 - 머신러닝 모델 또는 AI 시스템의 무단 복제 또는 획득을 의미합니다.

이전 버전의 OWASP Top 10에 따라, Secure Code Warrior 에는 이러한 취약점과 관련된 가이드라인이 LLM Top 10 과정의 일부로 포함되어 있었습니다. 취약성 및 보안 개념에 관한 이해하기 쉬운 정보를 이해하기 쉽고 읽기 쉬운 형식으로 제공하는 이 가이드라인은 이제 이 과정 커리큘럼에서 제거되었습니다. 그러나 이 가이드라인은 다른 모든 학습 자료와 함께 Explore에서 계속 이용할 수 있습니다. 

톱 10을 공식 10으로 유지하면서 OWASP는 두 가지 새로운 항목을 추가했습니다:

• 시스템 프롬프트 누출 - 일반적으로 모델의 행동을 안내하는 숨겨진 프롬프트가 사용자에게 노출되는 경우입니다.
• 벡터 및 임베딩 - 공개되지 않은 특정, 독점 또는 실시간 정보를 노출할 수 있습니다.

이러한 취약점에 대한 가이드라인은 LLM 상위 10개 코스에 추가되었으며, 제거된 가이드라인과 마찬가지로 자기 주도 학습을 활용하려는 사용자를 위해 Explore에서도 이 두 가지 가이드라인에 액세스할 수 있습니다.

마지막으로, OWASP는 목록의 기존 취약성 카테고리를 일부 변경하여 일부 카테고리의 이름을 더 광범위하거나 구체적으로 바꾸고 정의를 수정했습니다. 이러한 주제를 지원하는 가이드라인은 이제 OWASP 지침의 사소한 변경 사항과 새로운 명명 규칙을 모두 반영하도록 업데이트되었습니다. 또한 우선순위에 따른 목록이 OWASP LLM Top 10에 설정된 순서와 일치하도록 업데이트되었습니다.

Secure Code Warrior 에서는 사용자가 최신 트렌드를 앞서갈 수 있도록 최선을 다하고 있습니다. 최신 OWASP 업데이트는 이미 애자일 learning platform 에 반영되어 사용자가 최신 취약점을 다루는 최신 교육 자료에 쉽게 액세스하고 LLM 및 생성 AI 기술을 배포할 때 위험을 완화할 수 있도록 했습니다. 새로 도입된 시스템 프롬프트 유출 또는 벡터와 임베딩의 위협을 탐색하든, 잘못된 정보와 무제한 소비에 대한 이해를 업데이트하든, 저희 플랫폼은 보안 태세를 개선하는 데 필요한 이러한 중요한 개념을 숙달하는 데 필요한 리소스를 제공합니다.

조직의 보안 태세를 개선하는 확실한 방법은 개발자에게 필요한 구체적인 학습 경로를 제공하도록 설계된 기준선과 벤치마크가 포함된 프레임워크를 통해 개발자가 보안 코딩 모범 사례에 대한 숙련도를 높이는 것입니다. 그러나 보안 코딩은 일회성으로 해결되는 것이 아니라 조직의 DNA에 암호화된 생활 방식이 되어야 합니다. 개발자는 왼쪽으로 이동하거나 왼쪽에서 시작해야 할 뿐만 아니라 왼쪽에 머물러야 합니다. 

단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직은 개발자가 교육을 완전히 흡수하고 소프트웨어 개발 수명 주기(SDLC) 초반에 모범 사례를 일상적인 업무의 일부로 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 표준 및 업계 벤치마크와 비교하여 진행 상황을 측정하여 교육 투자에 대한 ROI를 효과적으로 측정해야 합니다.

Secure Code Warrior의 신뢰 점수는 개별 개발자의 성과에 대한 가시성을 제공하고 데이터를 집계하여 조직의 전반적인 성과에 대한 assessment 을 제공합니다. 개선이 필요한 영역을 파악하는 동시에 업스킬링 프로그램의 효과를 보여줍니다. 또한 일반 데이터 보호 규정(GDPR), 결제 카드 업계 데이터 보안 표준(PCI DSS), 캘리포니아 소비자 개인정보 보호법(CCPA) 등 다양한 규제 준수 요건을 준수할 수 있도록 도와줍니다.

저희의 연구에 따르면 보안 코드 교육은 효과가 있는 것으로 나타났습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 작업한 2,000만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 있어 그 효과와 이니셔티브를 더욱 효과적으로 만드는 방법을 알려줍니다.

개발자가 교육을 받으면 보안이 향상됩니다. 

수년 동안 소프트웨어 업계에서 보안 모범 사례를 사용하는 것은 언젠가 실현하면 좋겠지만 현재로서는 우선순위가 아닌 선망의 대상에 불과했습니다. 하지만 소프트웨어 개발 속도가 점점 빨라지고, 소프트웨어 취약점을 노리는 정교하고 파괴적인 사이버 위협의 속도가 빨라지면서 보안 코딩이 필수적인 요소가 되었습니다. 사이버 보안 및 인프라 보안 기관(CISA)은 국제적인 운동으로 성장하고 있는 보안 설계 이 니셔티브를 통해 보안 코드를 전면에 내세우고 있습니다. 

보안 설계 접근 방식과 소프트웨어 취약성 감소 사이의 상관관계가 명확하다는 점이 연구를 통해 입증되었습니다. SCW 고객 기반 중 26%의 취약성 감소 데이터를 분석한 결과, 개발자 교육을 통해 소프트웨어 취약성이 22%에서 84%까지 감소한 것으로 나타났습니다. 이러한 범위는 관련 기업의 규모(상대적으로 개발자가 적은 소규모 기업일수록 더 극적인 결과를 보임), 학습 그룹이 특정 문제에 집중하여 더 많은 비율의 결함을 제거했는지 여부 등의 변수에 따라 달라졌습니다.

대기업의 결과는 다소 일관적이었습니다. 개발자가 7,000명 이상인 기업은 개발자의 보안 역량 강화의 결과로 취약성이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 개발자가 10,000명 이상인 통계적으로 평균적인 한 기업(플랫폼에서 최고 성과를 낸 기업도 아니고 벤치마크가 가장 높은 기업도 아님)은 취약점이 53% 감소했습니다. 

물론 가장 효과적인 교육은 일률적인 접근 방식을 취하는 것이 아닙니다. 개발자의 업무 환경과 개발 유형에 맞게 조정되어야 합니다.

기업은 개발자가 단순히 코드를 작성하는 것만큼이나 자연스럽게 보안 코드를 작성할 수 있도록 개발자가 갖춰야 할 기본 기술을 확립하는 것부터 시작해야 합니다. 업스킬링 프로그램은 개발자가 수행하는 업무 유형과 사용하는 언어에 맞는 실제 시나리오의 실습 위주의 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 업무 일정에 맞출 수 있을 만큼 유연해야 합니다. 

개발자에게는 코드 작성 이상의 기술이 필요합니다. 개발자는 오픈 소스 리포지토리와 같은 타사 및 인공지능 어시스턴트가 만든 소프트웨어를 확인할 수 있어야 합니다. 개발자들은 제너레이티브 AI 모델을 적극 활용해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 작성할 수 있다는 이점을 높이 평가했습니다. 그러나 스닉 설문조사 응답자의 76%는 AI가 생성한 코드가 사람이 만든 코드보다 더 안전하다고 답했지만, 56.4%는 여전히 AI가 가끔 또는 자주 오류를 일으킨다고 답했습니다. 또한 같은 설문조사에 따르면 개발자의 80%가 AI 코드 보안 정책을 적용하지 않는 것으로 나타나 AI 코드의 코드 문제가 해결되지 않고 있는 것으로 나타났습니다.

보안 설계 접근 방식에서는 개발자가 보안 팀과 별도로 작업하는 것이 아니라 보안 팀과 협력하여 SDLC 초기에 이러한 문제를 해결하고 코드가 프로덕션에 적용되기 전에 결함을 식별하고 수정합니다.

개인 및 기업 성과를 측정하는 신뢰 점수

또한 지속적인 교육도 중요합니다. 기업은 회사의 최고위층부터 하위 직급에 이르기까지 모든 곳에 적용되는 보안 우선 문화를 채택해야 합니다. 지속적인 개선과 SDLC 전반에 걸친 모범 보안 사례 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자는 진화를 멈추지 않으며, 사이버 보안도 마찬가지입니다. 소프트웨어를 제작하는 조직의 경우 보안 교육을 받은 개발자가 기본입니다.

그렇기 때문에 교육이 효과적으로 이루어지고 있음을 입증하는 것이 교육 자체만큼이나 중요합니다. Trust Score는 개발자 개인과 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라 성과 데이터를 드릴다운하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 지원합니다. 또한 개별 및 집계된 성과 결과의 데이터는 교육이 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우와 같이 개선이 필요한 영역을 파악하는 데 도움이 됩니다.

Trust Score를 통해 조직은 개발자의 성과를 평가하고 필요한 보안 기술을 습득하고 사용하고 있는지 확인하여 개발자가 코딩 라이선스를 획득했는지 확인할 수 있습니다. 이를 통해 조직은 자격을 갖춘 개발자에게 가장 민감한 데이터와 중요한 소프트웨어 프로젝트에 대한 액세스 권한을 자신 있게 부여하고, 아직 준비가 되지 않은 도구에 대한 액세스는 거부할 수 있습니다.

변화하는 보안 문화의 증거

사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 사이버 보안은 많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 보안 침해는 조직의 운영, 평판, 그리고 잠재적으로 조직의 생존에 영향을 미칩니다. 사이버 보안의 중요성은 규제 기관에서도 놓치지 않고 있으며, 규제 기관은 점점 더 엄격한 규정을 시행하고 있으며, Uber와 SolarWinds의 사례처럼 CISO와 다른 고위 경영진에 대해 형사 고발까지 할 수 있다는 의지를 보이고 있습니다. 

오늘날의 환경에서는 전사적인 보안 문화를 채택하는 것이 필수적입니다. 기업의 가치 중 많은 부분이 데이터, 애플리케이션, 서비스에 있기 때문에 보안 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일부로서 목표 교육 및 스킬 향상과 함께 교육이 문화를 변화시키는 데 도움이 되었다는 증거를 확보하면 조직은 보안 태세를 강화하는 길로 나아갈 수 있습니다. 

개발자가 주도하는 보안 프로그램에는 가치가 있습니다. 그 증거는 신뢰 점수에 있습니다.

보안팀은 오늘날의 클라우드 중심 데브옵스 세계에서 새로운 혁신의 물결을 따라잡기 위해 고군분투하고 있으므로, 공격자가 끊임없이 생성되는 수많은 코드에서 필연적으로 발생하는 취약점을 악용하는 수많은 방법을 따라잡지 못하는 것은 당연한 일입니다. 

하지만 에퀴팩스 데이터 유출, 솔라윈즈 공급망 공격과 같은 중대한 보안 침해부터 최근 몇 년간 체인지 헬스케어, AT&T 등에 대한 성공적인 공격과 같은 더 많은 사건에 이르기까지 보안 침해의 속도가 빨라지고 있음에도 많은 조직은 여전히 보안에 대한 사후 대응 방식에 집중하고 있습니다. 대부분의 보안 리소스를 취약점을 찾아 수정하고 인시던트가 발생하면 이에 대응하는 데 투입합니다. 이러한 접근 방식은 다른 시대에는 적합했을지 모르지만 소프트웨어, 기술 역량 및 IT 인프라의 급속한 발전은 인력이 부족하고 업무가 과중한 보안 팀이 따라잡기에는 너무 벅찹니다.

지속적으로 불이익을 당하지 않으려면 너무 빠르게 움직이는 보안 위협을 쫓거나 데이터 유출이라는 말이 떠날 때까지 기다리지 말아야 합니다. 대신 사후 대응이 아닌 예방적 접근 방식을 취하여 문제를 해결해야 합니다. 레거시 앱과 새로운 애플리케이션의 보안을 개선하려면 소프트웨어 개발 수명 주기(SDLC)를 시작할 때 보안 모범 사례를 적용하고 취약점이 프로덕션에 적용되기 전에 해결되도록 효과적인 개발자 교육으로 강화된 보안 설계 접근 방식이 필요합니다.

지금까지는 말처럼 쉽지 않은 일이었습니다. 

보안 코더의 공급 부족

미국 사이버보안 및 인프라 보안국(CISA)은 보안 코딩과 함께 다단계 인증(MFA)부터 취약성 등급 감소에 이르는 다른 모범 사례들을 장려하고 조직들이 보안 설계 서약에 참여하도록 장려하는 보안 설계 이니셔티브를 통해 예방을 핵심 정책으로 추진하려고 노력해 왔습니다. 호주, 캐나다, 독일, 영국을 비롯한 다른 국가에서도 유사한 프로그램을 시작했습니다. 그럼에도 불구하고 저희의 조사에 따르면 지금까지 이 프로그램에 참여한 조직은 극소수에 불과합니다.

Secure Code Warrior( Learning Platform )의 모든 개발자와 SCW의 경쟁사 개발자까지 합치면 50만 명에서 100만 명 사이의 개발자가 보안 설계 방식을 채택하고 있습니다. 가장 관대하게 추산하면 2024년 말에는 2 ,870만 명에 이를 것으로 예상되는 전 세계 개발자 수의 약 3.5%에 해당합니다. 이는 그 어느 때보다 많은 개발자가 더 많은 코드를 생산하고 있으며, 특히 생성형 인공 지능 프로그램으로 인해 개발 속도가 크게 빨라진 반면 보안 코드로 시작하는 방법을 배우는 개발자는 거의 없다는 것을 의미합니다. 

소프트웨어 엔지니어는 일반적으로 사이버 보안을 배우지 않습니다. 기존 모델에서는 개발자와 보안 전문가가 별도의 독립된 조직으로 일하고 보안 팀은 소프트웨어가 만들어진 후 보안 문제를 해결해야 했기 때문입니다. 하지만 오늘날의 환경에서는 보안 전문가의 수가 턱없이 부족합니다. 가장 최근의 보안 성숙도 모델 구축 보고서인 BSIMM14에 따르면 전 세계적으로 개발자 100명당 평균 3.87명의 앱보안 전문가가 있는 것으로 나타났습니다. 100명의 개발자가 엄청난 속도로 작업하는 결과물을 보호하기 위해 4명 미만의 숙련된 전문가가 노력하는 것은 안전한 코드를 위한 비결이 아닙니다. 

애플리케이션 보안에 대한 소홀함은 다른 보안 분야와 시장 규모를 비교했을 때도 비슷하게 드러납니다. 보안 설계 접근 방식을 구성하는 구성 요소는 애플리케이션 보안 시장에 속하며, 2023년 60억 8천만 달러에서 2031년 175억 1천만 달러로 성장할 것으로 예상됩니다. 이는 빠른 성장처럼 보이지만 2023년 235억 7천만 달러에서 2032년 673억 3천만 달러로 증가할 것으로 예상되는 네트워크 보안이나 2023년 180억 3천만 달러에서 2031년 575억 1천만 달러로 성장할 것으로 예상되는 운영 기술 보안에 지출되는 금액과 비교하면 그다지 크지 않은 수치입니다. 

보안 코드와 애플리케이션의 중요성이 점점 커지고 있는 것에 비해 이 분야에 대한 투자는 부족합니다. 실제로 기업이 애플리케이션 보안과 보안 설계 접근 방식에 더 많이 투자하면 다른 보안 영역에서 비용을 절감할 수 있습니다. 

예방적 보안이 구현하기 어렵고 따라서 최고 경영진에게 설득하기 어렵다고 보는 데에는 여러 가지 다른 요인이 있습니다. 우선, 금융 서비스 부문과 같이 오랜 역사를 가진 기업들은 오래된 레거시 시스템을 사용하고 있으며, 그 중 일부는 지난 세기 중반에 프로그래밍 언어로 선택된 COBOL을 사용하던 시절에 만들어진 시스템입니다. 

최신 애플리케이션과 동시에 레거시 코드와 시스템에 예방적 보안을 적용하는 것은 어렵게 느껴질 수 있지만, 개발자의 역량을 강화하여 보안 모범 사례를 적용하는 설계 기반 보안 접근 방식을 사용하면 이러한 시스템에 보안 모범 사례를 적용할 수 있습니다. 이는 많은 조직이 보안 태세를 개선할 수 있는 최고의 기회입니다. 

예방 문화 구축

보안에 대한 예방적 접근 방식으로의 전환은 더디게 진행되고 있지만, 오늘날의 사이버 위협 환경에서 보안 설계 관행의 필요성이 절실하기 때문에 보안 설계 관행 채택에 대한 요구는 사라지지 않을 것입니다. 자동차 업계가 자동차를 더 안전하게 만드는 대신 더 많은 구급차와 응급 구조대에 투자하기로 결정했다면, 많은 조직이 사이버 보안에 관해서는 그 모델을 따르고 있을 것입니다.

조직은 위험을 줄이기 위해 예방적이고 능동적인 접근 방식을 채택해야 합니다. 개발자의 보안 코드 작성 및 오류(예: AI 어시스턴트 또는 타사 코드에서 발생하는 오류) 수정에 대한 역량을 강화하기 위한 프로그램을 SDLC 초기에 구축해야 합니다. 이러한 프로그램에는 개발자의 일정에 맞고 개발자의 업무 환경과 사용하는 프로그래밍 언어에 맞게 조정할 수 있는 민첩한 대화형 교육 프로그램이 포함되어야 합니다. 업스킬링에는 실제 문제를 해결하는 실습 교육이 포함되어야 합니다.

중요한 것은 보안 모범 사례를 일상 생활의 중요한 부분으로 만들었는지 확인하기 위해 진행 상황을 측정할 수 있는 수단이 포함되어야 한다는 것입니다. SCW의 신뢰 점수와 같은 도구는 벤치마크를 사용하여 내부 및 업계 표준에 대한 진행 상황을 측정하는 동시에 개선이 필요한 영역을 식별합니다. 

보안 설계 접근 방식은 보안을 비즈니스 우선 순위로 삼는 조직 내 보안 우선 사고방식을 반영하는 총체적인 접근 방식입니다. 물론 대응과 복구는 조직의 전반적인 보안 태세에서 필수적인 부분입니다. 그러나 예방에 집중함으로써 기업은 위험을 줄이고 비즈니스의 생존을 위협할 수 있는 중대한 침해 사고를 피하는 데 큰 진전을 이룰 수 있습니다.

지금 바로 Secure Code Warrior 에서 실행 가능한 보안 설계 이니셔티브를 실현하는 데 어떻게 도움을 줄 수 있는지 자세히 알아보세요.

사이버 위협이 점점 더 만연하고 정교해짐에 따라 사이버 보안의 초점은 보안 코드의 중요성에 맞춰지고 있습니다. 백악관의 국가 사이버 보안 전략과 사이버 보안 및 인프라 보안국(CISA)의 보안 설계 이니셔티브는 다른 국가의 이니셔티브 및 법률과 함께 보안에 대한 책임을 소프트웨어 생산자의 어깨에 전적으로 지우고 있습니다. 한때는 있으면 좋은 것으로 여겨졌던 소프트웨어 개발 수명주기(SDLC) 초기에 보안을 확보하는 것이 이제 조직이 데이터와 시스템을 보호하고 보안 침해로 인한 규제를 피하기 위해 필수적인 요소로 자리 잡았습니다.

안전한 코딩 관행을 보장하기 위한 핵심은 개발자 교육에 있습니다. 소프트웨어 엔지니어는 일반적으로 사이버 보안 교육을 거의 또는 전혀 받지 않습니다. 특히 오늘날의 가속화된 DevOps 환경에서 개발자의 역할은 새로운 애플리케이션, 업그레이드 및 서비스를 가능한 한 빨리, 빠르게 작동하는 생성 AI 모델의 도움을 받아 스핀아웃하고 보안 팀이 SDLC의 후반부에 사이버 보안 문제를 해결하도록 하는 것이었습니다. 이는 너무 많은 코드가 생성되면서 발생하는 수많은 결함을 해결하는 비효율적인 방법으로, 종종 소프트웨어 취약점이 에코시스템에 공개되는 결과를 초래합니다.

개발자는 처음부터 안전한 코드를 작성하도록 교육을 받아야 하며, AI가 생성하거나 사용하는 오픈 소스 및 기타 타사 소프트웨어에 안전하지 않은 코드가 있을 때 이를 포착할 수 있어야 합니다. 많은 개발팀과 조직에서 이 영역은 가보지 않은 길입니다. 개발자가 필요한 교육을 받고 있는지 어떻게 알 수 있을까요? 그리고 그 교육이 정기적으로 적용되고 있나요?

개발자 교육을 추구하는 일부 회사는 개발자가 습득할 수 있는 기본 기술을 설정하고 명확하게 정의된 벤치마크에 따라 진행 상황을 측정하는 것이 유익하다는 것을 알게 되었습니다. 이러한 노력을 돕기 위해 Secure Code Warrior 에서는 개발자의 보안 교육 진행 상황을 정확하게 측정할 수 있도록 설계된 벤치마크를 출시했습니다. SCW 신뢰 점수를 통해 조직은 교육이 업무에 얼마나 잘 적용되고 있는지 측정하고 보안, 개발자, 엔지니어링 팀이 협업할 수 있습니다.

이를 통해 보안 코드 교육이 자리를 잡아가고 있다는 증거를 확인하는 동시에 개선이 필요한 부분을 파악할 수 있습니다.

안전한 설계를 위한 사례

소프트웨어 제작자는 프로세스 시작 단계부터 보안을 SDLC에 도입해야 할 모든 이유가 있습니다. 애플리케이션과 서비스에 대한 수요가 증가하고 AI가 개발 프로세스에 가져다주는 속도가 빨라지면서 제너레이티브 AI를 빠르게 도입한 개발자에게는 유용하지만, 필연적으로 버그가 있는 소프트웨어가 파이프라인에 출시되는 결과를 초래하기도 합니다. 생성되는 코드가 많을수록 결함도 많아지는데, 최근 연구에 따르면 애플리케이션의 약 4분의 3(생성 방식에 관계없이)이 적어도 하나의 보안 결함을 포함하고 있으며, 그 중 약 20%는 심각한 것으로 간주되는 것으로 나타났습니다. 

SDLC 후반에 취약점을 따라잡는 것은 시간과 비용이 엄청나게 많이 소요됩니다. 미국 국립표준기술연구소(NIST)에 따르면 테스트 중 결함을 수정하는 데는 SDLC를 시작할 때 소프트웨어를 보호하는 것보다 15배 더 오래 걸리고 배포/유지 관리 단계에서 결함을 수정하는 데는 30~100배 더 오래 걸릴 수 있다고 합니다. 

이 모든 것은 개발 주기 초기에 보안을 적용하는 것이 중요하다는 것을 강조하며, 이는 위험을 줄이는 가장 효과적인 방법일 뿐만 아니라 가장 비용 효율적이라는 것이 입증되었습니다. 개발자가 별도의 독립된 조직이 아닌 보안 팀과 협력하는 개발자는 SDLC의 시작 단계부터 보안을 도입할 수 있는 가장 좋은 위치에 있습니다. 또한 보안 모범 사례에 대한 교육을 받은 개발자는 취약성을 줄이는 데 효과적이었습니다. 문제는 교육을 받은 개발자가 너무 적다는 것입니다.

벤치마크의 아름다움 

기업의 기본 경로는 보안 기술의 기준을 설정하고, 교육을 제공하며, 개발자가 필요한 기술을 습득했는지 조직과 규제 기관 모두에게 검증하는 것입니다. 이는 모든 경제 부문에 걸쳐 많은 조직에게 어려운 일이지만 반드시 그럴 필요는 없습니다.

보안 리더들이 겪는 어려움 중 하나는 교육 프로그램을 기업 전체로 확장하는 것이 어렵다는 점입니다. 하지만 SCW의 연구에 따르면 조직, 특히 대규모 개발자를 보유한 조직은 보안 설계 접근 방식을 성공적으로 구현할 수 있는 것으로 나타났습니다. 소규모 조직의 결과는 보안 설계 원칙을 얼마나 잘 적용하는지에 따라 큰 차이를 보이는 경향이 있습니다. 하지만 이들도 신뢰 점수를 포함하는 접근 방식의 이점을 누릴 수 있으며 개선 효과가 더 빨리 나타날 가능성이 높습니다.

신뢰 점수는 벤치마킹 지표를 사용하여 개별 학습자의 진행 상황을 측정하고, 점수를 합산하여 전체 팀의 성과를 평가하며, 조직의 진행 상황을 업계 벤치마크 및 모범 사례와 비교합니다. 교육을 추적할 뿐만 아니라 개발자가 새로운 기술을 일상적으로 얼마나 잘 적용하고 있는지도 보여줍니다. 또한 개선이 필요한 영역을 강조하여 조직이 교육/스킬 향상 프로그램을 최적화할 수 있도록 지원합니다. 

데이터를 사용할 수 있는 CISA의 주요 인프라 부문 전반에서 대부분의 조직은 보안 설계 원칙을 구현하는 데 있어 거의 동일한 수준이었습니다. 금융 서비스 및 방위 산업 기반부터 의료, IT 및 중요 제조에 이르기까지 다양한 부문의 신뢰 점수는 1,000점 만점에 300점을 조금 넘는 비슷한 범위에서 떨어졌습니다. 규제가 가장 심한 금융 서비스가 가장 앞서 있을 것이라는 일반적인 통념과는 달리 어느 한 산업이 다른 산업을 앞지르지는 못했습니다.

화학, 에너지, 원자력 운영과 같이 신뢰 점수 순위에 포함되지 않은 중요 인프라 부문은 일반적으로 자체 소프트웨어를 개발하지 않고 다른 부문, 특히 IT에 의존합니다. 그러나 원자력 발전소가 손상되는 것을 보고 싶어하는 사람은 아무도 없기 때문에 이러한 부문에서 안전한 시스템을 유지하는 것이 얼마나 중요한지는 애초에 사용하는 소프트웨어의 보안이 얼마나 중요한지를 보여줍니다.

결론

규제 압력이 증가하고 사이버 위협 환경의 현실로 인해 데이터, 시스템, 비즈니스 운영 및 평판을 보호하고자 하는 조직은 보안 설계 접근 방식이 필수적입니다. 안전한 소프트웨어를 만드는 것은 대부분 개발자의 몫이지만, 개발자에게 필요한 교육을 제공하고 적용 방법을 보여주는 철저한 숙련도 향상 및 교육 프로그램의 형태로 지원이 필요합니다. 

신뢰도 점수와 같은 도구로 뒷받침되는 벤치마크가 포함된 프로그램은 개발 팀의 중요한 진행 상황을 명확하게 파악할 수 있습니다. 이는 개발자와 개발자가 근무하는 회사 모두 보안 소프트웨어 개발 기술을 지속적으로 개선하는 동시에 새로운 보안 설계 요건을 충족하기 위해 필요한 중요한 새 접근 방식입니다.

‍

미국, 호주, 뉴질랜드, 캐나다, 싱가포르, 일본, 독일, 영국이 유사한 가이드라인을 광범위한 사이버 보안 전략에 도입하기로 약속하고 이들 국가 중 다수가 원래 권고안에 기여하면서 CISA의 보안 설계(SBD) 운동이 전 세계적으로 탄력을 받는 것을 목격하게 되어 매우 기쁩니다.

2024년 4월 이후 다음을 포함한 200개 이상의 기업이 보안 설계 서약에 참여했습니다. Secure Code Warrior를 포함한 200개 이상의 기업이 보안 설계 서약에 서명하여 더 높은 소프트웨어 품질과 보안 표준에 대한 업계의 광범위한 의지를 표명했습니다. 이번 가이드라인은 사이버 보안 리더들이 소프트웨어 개발의 중요한 문화적 변화를 위해 처음으로 글로벌 정부의 지원을 받는 중요한 순간이라고 생각합니다. 미국 정부에 직접 판매하는 소프트웨어 공급업체 외에는 아직 이러한 권장 사항을 의무적으로 준수해야 하는 것은 아니지만, 저는 이것이 미래가 아니라 위협 행위자들에 맞서 싸울 수 있는 절호의 기회라고 생각합니다. 이 가이드라인의 핵심은 취약성 범주를 제거하기 위해 노력하는 것이며, 업계 전반에서 이 목표에 집중한다면 수십 년 만에 디지털 안전에 가장 중요하고 긍정적인 영향을 미칠 수 있을 것입니다.

이러한 움직임이 매우 중요하다고 생각하며, 최신 연구 보고서도 이를 뒷받침합니다, 보안 기술 벤치마킹: 기업에서 보안 설계 간소화하기 은 기업 차원의 실제 보안 설계 이니셔티브를 심층 분석하고 데이터 기반 조사 결과를 바탕으로 모범 사례 접근법을 도출한 결과물입니다. 

조직의 보안 설계 노력에 대한 ROI 측정

오랫동안 확립된 소프트웨어 개발 관행을 정비하는 것은 결코 작은 일이 아닙니다. CISO는 보안 프로그램 활동의 투자 수익률(ROI)과 사업적 가치를 사람과 회사 수준에서 모두 증명하려고 할 때 종종 어려움을 겪습니다. 많은 사람이 예산 감소에 대한 좌절감과 새로운 사이버 이니셔티브에 대한 최고 경영진의 지지 부족을 표현합니다. 그러나 데이터 기반 제안이 여기에서 모든 차이를 만들어낼 것입니다. 

최근 몇 년 동안, 조직이 업계 표준에 대한 추적을 평가할 수 있는 기술 벤치마크가 없는 것이 주요 과제였습니다. 이로 인해 적절한 영역에 영향을 미치고 개발 코호트의 지속적인 개선을 촉진하는 보안 프로그램을 고안하고 구현하는 것이 엄청나게 어려워졌습니다. 이는 성공적인 소프트웨어 보안 관행의 중요한 요소입니다. 

Secure-by-Design 이니셔티브를 작동시키는 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 해당 기술이 제자리에 있음을 보장하는 것입니다. 그래서 우리는 개발자 팀의 준비 상태를 분석하기로 했고, 그 결과는 놀라울 수 있습니다.

SBD 이니셔티브를 가속화하려는 회사가 신뢰 점수를 활용할 수 있는 방법

어디에서 시작하고 어디로 가야 하는지에 대한 확실한 아이디어 없이 효율적으로 개선하는 것은 사실상 불가능합니다. 그러나 수백 개의 기업 고객이 개발자 팀의 보안 역량을 정량화하는 글로벌 벤치마크인 SCW Trust Score를 효과적으로 활용하여 이러한 유용하고 세부적인 데이터 포인트를 제공합니다. 이러한 통찰력은 성공적인 Secure-by-Design 이니셔티브에 도움이 되는 매우 효과적이고 개발자 중심의 보안 프로그램을 형성합니다.

백서에서 밝힌 분석에 따르면, 주요 중요 인프라 산업 전반의 조직이 개발자를 준비시켜 SBD 이니셔티브를 발전시키는 데 진전을 이루고 있습니다. 또한 이러한 산업의 개발자 팀은 평균적인 보안 태세를 갖추고 있다는 사실도 발견했습니다.

Secure Code Warrior '의 중요 인프라 산업 전반의 개발자 업스킬링 분석은 전 세계 600개 기업 고객과 250,000명 이상의 활동적인 개발자를 대상으로 2,000만 개 이상의 데이터 포인트에서 얻은 통찰력을 기반으로 합니다. 분석 결과 다음과 같은 결과가 나왔습니다.

• 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하는 개발자의 총 수는 전 세계 개발자의 4% 미만입니다.
• 금융 서비스 산업은 336으로 가장 높은 신뢰 점수를 기록했습니다.
• 대부분의 대규모 Secure-by-Design 업스킬링 이니셔티브는 성공적이지만, 소규모 이니셔티브는 분산되는 경향이 있습니다. 그러나 위임을 받으면 측정 가능한 투자 수익률(ROI)을 더 빨리 제공하는 것으로 나타났습니다.
• 업스킬링 이니셔티브가 확고히 자리 잡으면 애플리케이션에서 개발자가 도입하는 위험이 상당히 줄어듭니다. 분석 결과 대규모 업스킬링 이니셔티브(단일 회사에서 개발자 7,000명 이상)에 참여하는 개발자는 취약성을 47-53%까지 예측 가능하게 줄일 수 있는 것으로 나타났습니다.

해결책 | 결론

SCW 신뢰 점수는 모든 보안 리더의 무기고에 있는 강력한 도구로, 조직 내의 특정 영역에 대한 포괄적인 드릴다운을 허용합니다. 보고서는 언어, 팀 또는 범주에 따라 필터링하여 회사가 개발자 또는 팀의 특정 요구 사항을 해결하고 추가 교육 또는 코칭이 필요한 영역을 식별할 수 있는 맞춤형 보고서를 생성할 수 있습니다. 결국 보안은 끝없는 노력이며, 성과를 효과적으로 벤치마킹하면 지속적인 개선의 기회를 식별하는 데 도움이 됩니다.

가속화된 소프트웨어 개발 및 배포, 점점 더 위협적인 사이버 위협 환경, 점점 더 예민해지는 규제 기관과 더불어 사이버 보안이 최우선이 되었습니다. 조직은 아직 그렇지 않다면 기업 전체의 보안 우선 문화를 개발하는 것을 우선시해야 합니다.

지난 몇 년 동안 여러 가지 심각도가 높은 취약점이 다양한 방식으로 시스템에 영향을 미친 것으로 알려지면서 Linux 사용자들은 최근 쉽지 않은 시간을 보냈습니다. 이제 보안 연구원들이 풀어야 할 또 다른 취약점 클러스터가 있는데, 모두 강력한 원격 코드 실행(RCE)을 위한 잠재적인 경로를 가진 GNU/Linux 시스템을 대상으로 하는 CUPS(Common UNIX Printing System) 기능과 관련된 것입니다.

2024년 9월 27일, evilsocket.net의 Simone Margaritelli는 CUPS의 여러 악용 가능한 취약점에 대한 중요한 정보를 발표했으며, 이후 4개에 CVE가 할당되었습니다. 이 숫자는 더 늘어날 수 있지만 이 글을 쓰는 시점에서 보안 커뮤니티는 이러한 발견의 실제 심각성에 대해 논의하고 있습니다. CVE 중 하나인 CVE-2024-47177은 현재 MITRE의 심각도 등급이 9.1이지만, 이 명령 인젝션 결함을 성공적으로 조작하려면 CUPS 서비스가 활성화된 서버에 의존해야 하며, 추가로 UDP 포트 631 또는 DNS-SD에 대한 액세스가 필요합니다. 그러나 RedHat은 CUPS를 다른 포트로 리매핑하는 것이 가능하다고 언급합니다. 

마가리텔리가 이 사건을 종합적으로 분석한 결과, 커뮤니티의 의견 차이에도 불구하고 무시해서는 안 되는 교묘하고 복잡한 공격의 사슬이 드러났습니다. 이 사건은 위협 행위자가 충분히 결심하고 잘못된 코딩 패턴으로 인해 작은 기회의 창이 열려 있다면 겉보기에 무해해 보이는 종속성이 심각하게 악용될 수 있다는 교훈을 제공합니다.

CUPS 시나리오는 많은 개발자와 앱 보안 전문가가 이전에 경험했던 것과는 조금 다르므로, 이를 살펴보면서 자신의 실력을 테스트해 보시기 바랍니다.

취약점입니다: CUPS를 통한 원격 코드 실행(RCE)

Evilsocket 블로그는 이러한 익스플로잇에 대한 타의 추종을 불허하는 철저한 배경 지식을 제공하며, 앞으로도 계속 면밀히 살펴볼 리소스입니다. 또한 마가리텔리는 기사에서 익명의 소식통을 인용하고 있는데, 그는 Linux의 일반적인 보안 견고성에 대해 낙관적이지 않은 것으로 보입니다:

"일반적인 보안 관점에서 볼 때, 현재와 같은 Linux 시스템 전체는 악용되기를 기다리는 끝없는 보안 허점 덩어리일 뿐입니다."

이는 오픈 소스 환경에 여전히 만연한 내재된 보안 위험을 냉정하게 상기시켜 주며, 전 세계 개발 커뮤니티에서 보안 인식 제고와 안전한 코딩 기술이 절실히 필요하다는 사실을 일깨워 줍니다.

CVE를 살펴보겠습니다:

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

취약점 체인은광범위하게 퍼져 있으며 현재 다음 패키지의 모든 현재 및 이전 버전에 영향을 미칩니다:

• distrotech/컵-필터
• 오픈프린팅/컵 필터
• 컵 브라우징
• libcupsfilters
• libppd
  
  

CUPS는 20년 넘게 UNIX 및 Linux 운영 체제의 레거시 구성 요소로 사용되어 왔습니다. 인쇄 서비스 종속 기능으로 인해 네트워크 요청을 열심히 수행하기 때문에 RCE급 취약점의 주요 표적이 되고 있습니다.

그러나 이 경우에는 공격이 결합되어 성공적인 결과를 제공하는 방식에 약간의 독창성이 있습니다. 즉, 인증되지 않은 탐지되지 않은 공격자가 인터넷 인쇄 프로토콜(IPP) URL을 악성 URL로 대체하고, 새로 추가된 프린터의 기능을 설명하는 데 사용되는 파일인 'PPD(포스트스크립트 프린터 설명) 파일'에 명령 인젝션을 유발할 수 있는 지시어를 수정하는 것이 핵심입니다. 이로 인해 인쇄 작업이 활성화되면 명령 실행 공격이 발생하며, CUPS 구성 요소 내의 입력 유효성 검사 부족에 의존합니다.

또한 이 특정 취약점을 수정하는 것은 양날의 검과 같다고 Evilsocket은 지적합니다. CUPS에는 고위험, 익스플로잇이 가능한 구성 요소로 알려진 실행 파일인 푸마틱-리프 필터가 포함되어 있습니다. 이 구성 요소와 관련된 CVE는 2011년으로 거슬러 올라가며, foomatic-rip이 OS 명령을 실행하는 데 활용될 수 있다는 사실이 확인되었지만, 이를 수정하면 안정성 문제가 발생하고 많은 구형 프린터에 대한 지원이 끊어집니다. 이는 극복해야 할 복잡한 문제입니다.

1. 위협 행위자가 공격을 개시합니다.
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. 피해자 시스템에서 프린터 속성을 처리합니다.
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. 피해자 시스템이 공격자-제어자 IPP 서버에 연결됩니다.
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

RCE 리스크를 어떻게 완화할 수 있나요?

비즈니스 운영의 일부로 CUPS를 사용하는 회사의 경우, Evilsocket과 RedHat에서 권장하는 해결 방법을 따라야 합니다. 여기에는 긴급 수준의 우선 순위로 보안 패치를 적용하는 것이 포함되지만 이에 국한되지 않습니다.

명령어 인젝션에 대한 일반적인 내용은 종합 가이드를 참조하세요.

더 많은 무료 코딩 가이드라인에 관심이 있다면 보안 코딩 모범 사례를 파악하는 데 도움이 되는 Secure Code Coach를 확인하세요.

보안 코드 학습 노력을 측정하는 실행 가능한 인사이트 

보안 코드 학습 프로그램의 가치를 극대화하려면 사용자의 참여도에 따라 크게 달라집니다. 사이버 보안의 세계는 새로운 위협과 함께 전반적인 보안 태세를 강화할 수 있는 기회로 끊임없이 진화하는 환경입니다. 코드 보안에 대한 사전 예방적 접근 방식을 취하려면 프로그램의 효과와 관련성을 극대화하기 위해 지속적인 보안 코드 학습이 필요합니다. 이를 위해 프로그램 리더는 특정 시점뿐만 아니라 장기간에 걸친 사용자 참여를 명확히 파악하여 추세를 파악하고 프로그램의 성과를 최적화해야 합니다.

따라서 조직 내에서 주요 트렌드를 쉽게 파악하고 조치를 취해야 할 시점을 파악할 수 있도록 사용자의 참여도를 측정하도록 설계된 새로운 보고서를 발표하게 되어 기쁘게 생각합니다. 이러한 새로운 인사이트를 통해 조직은 보안 코드 학습에 대한 투자 수익을 극대화할 수 있을 뿐만 아니라 사이버 보안 태세를 지속적으로 개선할 수 있습니다.

이 보고서의 새로운 기능은 무엇인가요?

참여 인사이트 보고서는 선택한 기간(기본적으로 지난 12개월) 동안 애자일 학습 프로그램과 관련된 여러 가지 주요 통계를 제공하며, 이 모든 통계는 보고 API를 통해서도 액세스할 수 있습니다. 참여도 보고서는 이 기간 동안 SCW 애자일( learning platform )에 적극적으로 참여한 신규 학습자 수, 플랫폼에 참여한 활성 학습자 수, 현재 활성화된 학습자 수를 빠르고 쉽게 볼 수 있도록 해줍니다.

‍

‍

이러한 총계는 시작에 불과합니다. 학습자가 플랫폼에 어떻게 참여했는지 세분화하여 선택한 기간 동안 활동적인 학습자의 트렌드를 발견할 수 있습니다. 이 정보를 바탕으로 커뮤니케이션(내부 뉴스레터, 블로그) 또는 기타 참여 활동을 계획하여 개발자가 계속 돌아와서 기술을 연마할 수 있도록 할 수 있습니다.

‍

마찬가지로 마지막 학습 활동 분석은 학습자가 마지막으로 SCW 플랫폼에 얼마나 최근에 참여했는지 보여줍니다. 모든 형태의 학습과 마찬가지로 개념에 대한 기억은 시간이 지남에 따라 희미해집니다. 이상적인 상태는 대부분의 학습자가 최근 참여를 나타내는 첫 두 괄호 안에 그룹화되어 있는 것입니다. 이러한 종류의 그룹화는 개발자의 기술을 최신 상태로 유지할 뿐만 아니라 시간이 지남에 따라 기술이 전체적으로 퇴색하는 것을 방지하여 조직의 SCW 신뢰 점수를 향상시킵니다.

‍

‍

또한 인사이트는 빈도와 최근성을 뛰어넘습니다. 사용자가 보안 코드 학습 활동에 어떻게 참여하고 있는지 자세히 살펴볼 수 있습니다. 참여 보고서는 학습자가 선택한 기간 동안 Secure Code Warrior 플랫폼의 여러 부분에서 보낸 시간을 분석하여 제공합니다. 관리자는 이 정보를 사용하여 사용자층의 참여를 유도하는 요소를 파악할 수 있습니다. SCW( tournament)를 마지막으로 실행한 지 얼마 되지 않았는데 개발자 코호트의 일부를 다시 참여시킬 기회가 있을까요? 학습자가 Courses 또는 평가의 구조화된 학습 콘텐츠 외에 시야를 넓히기 위해 탐색 모듈을 사용하고 있나요? 참여도가 높은 유형과 상위 수준의 사용자를 파악하면 개발자가 좋아할 프로그램을 설계하고 활동적인 리더를 축하할 수 있는 기회를 얻을 수 있습니다.

‍

보시다시피 애자일 학습 프로그램에 대한 학습자의 참여도를 측정하는 방법에는 여러 가지가 있습니다. 저희는 조직의 사이버 보안 태세를 개선하고 가장 효과적인 학습 결과를 이끌어내기 위해 더 많은 인사이트와 보고서를 제공하기 위해 최선을 다하고 있습니다. 다음 새로운 인사이트를 기대해 주시고, 프로그램 최적화에 도움이 되는 질문, 피드백 또는 특정 데이터를 더 보고 싶은 경우 알려주세요!

‍

보안 부채를 줄이는 것은 모든 기업이 달성하기 위해 노력하는 목표입니다. 어떻게 하면 보안 취약점을 최소화할 수 있을까요? 생성되는 코드의 품질을 최고 수준으로 유지하면서 시장 출시 시간을 단축하려면 어떻게 해야 할까요?  

많은 기업과 마찬가지로 DigitalOcean은 보안을 인식하는 개발자와 함께 처음부터 양질의 코드를 구축하고 공개함으로써 디지털 혁신과 현대화를 추진하기 위해 Secure Code Warrior 을 선택했습니다.  

확장 가능한 컴퓨팅 리소스와 개발자가 애플리케이션을 손쉽게 배포, 관리 및 확장할 수 있는 클라우드 솔루션 제품군을 제공하는 DigitalOcean은 엔지니어링 팀을 확장하고 성장시키면서 Secure Code Warrior 을 선택했습니다. 빠르게 변화하는 기술 업계에서 이 회사는 개발자가 설계 검토에서 발생하는 일반적인 잘못된 코딩 패턴을 식별하여 재발을 사전에 방지할 수 있도록 해야 했습니다. 

제품 보안 수석 관리자인 Ari Kalfus는 "개발자에게 특화된, 실무적이며 조직이 직면한 위험에 초점을 맞춘 솔루션이 필요했습니다." Secure Code Warrior 가장 주목할 만한 결과 중 하나는 보안 코딩 관행을 신속하고 정기적으로 강화할 수 있게 되었다는 점입니다. 그 결과 팀 전반에서 보안 부채가 현저히 감소했습니다. 전반적으로 DigitalOcean은 SCW로 훈련받은 팀이 보안 문제를 식별하고 완화하는 데 더 능숙해졌을 뿐만 아니라 보안을 손상하지 않고 혁신의 경계를 넓힐 수 있는 자신감을 갖게 되었다는 사실을 발견했습니다.

디지털오션이 어떻게 전체 보안 부채를 줄이고, 이제 보안 잉여금을 생산성과 혁신의 경계를 더욱 넓히는 데 사용하고 있는지 여기에서 자세히 알아보세요.