이 기사의 일부는 Forbes에 게재되었습니다.
사이버보안 전략 계획은 대부분의 조직이 사이버 보안에 접근하는 방식에 큰 변화를 추진하고 있으며, 개발자는 이러한 새로운 목표를 달성하는 데 도움을 줄 수 있는 특별한 위치에 있습니다.
사이버보안 및 인프라 보안국(CISA)은 2018년 설립 이래 미국의 중요 인프라와 컴퓨팅 네트워크를 보호하는 데 중요한 역할을 해왔을 뿐만 아니라 그 영향력과 전문성은 전 세계적으로도 반향을 불러일으키고 있습니다. 이 기관의 포괄적인 자문, 보안 권고, 취약성 보고서, 사이버 보안 프로그램은 실행 가능한 모범 사례의 글로벌 벤치마크를 설정했으며, 글로벌 사이버 보안 영역에서 새로 발표된 CISA 2023-2025 전략 계획의 중요성을 강조하고 있습니다.
CISA의 영향력과 성과는 대부분의 정부 기관이 달성할 수 있었던 것보다 훨씬 더 광범위하며, 특히 설립한 지 몇 년 밖에 되지 않았다는 점을 고려하면 더욱 그렇습니다. 이는 위협 환경의 기하급수적인 성장과 공격자들의 침해 및 익스플로잇 시도가 점점 더 숙련되고 있다는 사실에 기인한 바가 적지 않습니다. CISA는 사이버 범죄자 및 기타 소위 위협 행위자들과의 싸움에서 주도적인 역할을 맡아 체계적으로 동향을 추적하고 사이버 보안 모범 사례에 대한 조언을 제공하고 있습니다.
하지만, 미 연방수사국에서는 유용한 조언과 지침을 제공하기 위해 향후 몇 년간 사이버 보안 노력의 전반적인 방향을 설정하기 위한 전반적인 전략 계획을 발표한 적이 없습니다. 이는 단순한 계획이 아니라 많은 조직이 연구하고 궁극적으로 구현하고자 하는 이정표가 될 것입니다. 이 계획은 사이버 보안에 접근하는 방식에 큰 변화를 요구하기 때문에 이 지침을 따르는 것이 어려울 수도 있지만, 개발 커뮤니티는 적절한 지원과 도구, 숙련도 향상 경로가 주어진다면 도움을 줄 수 있는 독보적인 위치에 있습니다.
글로벌 사이버 보안 모범 사례에 변화가 일어나고 있습니다.
언뜻 보면 CISA 전략 계획에서 어느 정도의 좌절감을 느끼기 쉽지만, CISA는 우리가 지금과 같은 일을 계속한다면 계속해서 같은 결과를 보게 될 것이라는 사실을 인정하고 있습니다. 사이버 보안이 더 나아지려면 현재 사용되고 있는 소프트웨어와 애플리케이션을 만드는 기업을 포함하여 전반적으로 큰 변화가 필요합니다.
적어도 부분적으로나마 소프트웨어를 겨냥하는 것은 이전에 도입된 개념입니다. 실제로 미국 국가안보전략에서는 "소프트웨어 보안이 취약하면 디지털 생태계 전반의 시스템적 위험이 크게 증가한다"고 명시하고 있습니다. CISA 전략 계획은 이러한 문제에 접근하고 해결하기 위한 새로운 전략을 제시합니다.
CISA가 주창하는 사이버 보안의 가장 큰 변화는 소프트웨어를 만드는 사람들이 안전한 제품을 출시하도록 하는 것입니다. 보안 코딩 모범 사례가 확립되고 적용되면 공격자가 악용할 수 있는 소프트웨어 내 취약점, 특히 주요 취약점이 훨씬 줄어들 것입니다. 물론 여전히 여기저기서 간과되는 취약점이 있을 수 있고 이를 찾아 수정하려면 부지런히 노력해야 하지만, 매일 수백 개의 취약점이 발견되어 사이버 보안 방어자에게 과부하가 걸리는 현재 상황에 비하면 관리 가능한 제안입니다. CISA는 소프트웨어 및 기타 기술을 만드는 사람들이 자신의 제품 보안에 대한 책임을 져야 한다고 계획에서 매우 명확하게 명시하고 있습니다.
"모든 기술 제품이 출시되는 순간 취약해지고 보안에 대한 압도적인 부담을 개별 조직과 사용자가 지는 모델은 더 이상 우리 사회에서 받아들일 수 없습니다."라고 CISA 전략 계획에 명시되어 있습니다. "기술은 시장에 출시되기 전에 악용 가능한 결함의 수를 최소화하도록 설계, 개발 및 테스트되어야 합니다."
이 계획은 궁극적으로 이 새로운 접근 방식이 "조직 리더의 위험 결정에 영향을 미치기 위해 사용 가능한 모든 수단을 사용할 것"이라고 말하며 암시 이상의 의미를 가질 수 있음을 시사합니다. 또한 현재 사이버 사고 보고를 규율하는 2022년 중요 인프라에 대한 사이버 사고 보고법(CIRCIA)과 같은 법률이 이러한 새로운 규정에 대한 자발적 준수를 궁극적으로 의무로 전환하는 모델로 작용할 수 있음을 암시하고 있습니다. 어쨌든 오늘날 소프트웨어 및 기타 기술을 만드는 대부분의 기업은 이 새로운 지침을 따르는 것이 도움이 될 것입니다.
CISA의 지침은 중요한 기회입니다.
조직은 더 많은 잠재적 규제에 대해 불안감을 느끼는 대신 CISA 전략 계획을 활용하여 더 나은 고품질 소프트웨어를 위해 노력할 수 있는 기회로 삼아야 합니다. 이는 단순히 규정 준수만을 요구하는 것이 아니라 개발자가 자신의 기술을 연마하고 보다 안전한 디지털 환경에 기여할 수 있는 기회이기도 합니다. 궁극적으로 안전한 소프트웨어를 제작하는 것은 소프트웨어를 만드는 회사, 소프트웨어를 사용하는 사용자, 해당 소프트웨어나 애플리케이션에 액세스하거나 데이터를 저장하는 사람 등 모두에게 도움이 됩니다. 대부분의 소프트웨어와 애플리케이션을 구성하는 코드가 프로덕션 환경으로 넘어가기 전에 최대한 안전하게 만들어지면 공격자만 빈손으로 남게 됩니다.
이러한 새로운 방향을 고려할 때, 모든 코드를 작성하거나 소스를 제공하는 조직의 개발자가 보다 안전한 코딩을 구현하고 CISA 계획을 준수하기 위한 노력을 시작하기에 가장 적합한 곳이라는 것은 당연한 일입니다. 그러나 개발자는 조직의 나머지 구성원, 특히 고위 경영진의 지원 없이는 혼자서 이를 수행할 수 없습니다. 취약점을 이해하고, 안전한 코드를 작성하는 방법과 프로덕션 환경에 도달하기 훨씬 전에 문제를 인식하는 방법을 아는 개발자를 확보하는 것이 궁극적으로 조직이 코드 배포에 대한 책임을 지고, CISA의 말처럼 "공격자가 취약점을 사용하여 피해를 입히기 전에 취약점을 발견하고 수정하도록 보장"하는 열쇠가 될 것입니다.
주목해야 할 한 가지 중요한 점은 개발자에게 필요한 교육이 상당히 고급이라는 것입니다. 보안 코드를 일관성 있게 작성하는 데 능숙해지는 것은 매우 어려운 일이며, 일반적인 규정 준수 조치만으로는 이를 달성하기 어렵습니다. 개발자는 새로운 CISA 계획에서 요구하는 보안 수준을 유지하는 데 필요한 기술을 갖추기 위해 전반적인 보안 인식 프로그램의 일부로 실습하고 소화 가능하며 지속적인 학습 결과를 제공하는 높은 수준의 민첩한 학습 방법이 필요합니다.
이상적으로는 CISA 계획에 대비하기 위한 스킬 향상에는 애자일 개발의 원칙과 같이 개발자가 매일 사용하는 많은 고급 방법과 프로그램도 포함되어야 합니다. 예를 들어 애자일 개발에서는 작업을 관리하기 쉬운 덩어리로 나누고 연속적인 주기로 스프린트를 겹쳐서 진행합니다. 애자일 관행을 통합하는 좋은 교육 프로그램은 개발자가 CISA 계획을 지원하는 데 필요한 기술을 빠르게 익힐 수 있도록 도와주므로 개발자는 거의 즉시 혜택을 보고 더 안전하게 코딩을 시작할 수 있습니다.
좋은 소식은 대부분의 개발자가 보안 코딩 관행을 지지하고 조직이 새로운 CISA 지침을 준수하도록 돕고 싶어한다는 것입니다. 전 세계에서 활동 중인 1,200명 이상의 전문 개발자를 대상으로 실시한 설문조사에서 압도적인 다수가 보안 코드를 작성하고 조직에 더 나은 보안 문화를 구축하는 개념을 지지한다고 답했습니다.
개발자에게는 정확한 교육 경로와 적절한 지원이 필요합니다. 조직이 이를 제공할 수 있다면 코드의 보안이 더욱 강화될 뿐만 아니라 새로운 CISA 사이버 보안 전략 계획에 명시된 지침을 준수하거나 이를 뛰어넘기 위한 노력에서 앞서 나갈 수 있을 것입니다.
이 보안 문화의 변화는 쉽지 않은 일이지만, 사이버 보안의 본질을 바꾸고 우리의 삶을 개선하는 기술이 악의적인 목적을 위해 끊임없이 악용하려는 공격자들로 인해 고통받지 않는 세상을 만들 수 있는 놀라운 기회이기도 합니다. 우리는 이들을 막을 힘이 있으며, CISA 계획은 그 놀랍고 궁극적으로 달성 가능한 목표를 향한 유망한 경로를 보여줍니다.