이 인터뷰는 원래 사이버뉴스.
보안 도구와 서비스가 널리 보급되어 있음에도 불구하고 기업들은 끊임없이 진화하는 위협 환경을 따라잡기 위해 여전히 고군분투하고 있습니다.
이는 개발자의 보안 인식과 교육이 부족하기 때문일 수 있으며, 이로 인해 위험한 코드가 공개되어 악의적인 공격자가 악용할 수 있습니다. 바이러스 백신 소프트웨어나 강력한 취약성 검사 솔루션과 같은 보안 조치가 보안을 강화할 수 있지만, 오늘 게스트는 이 모든 것이 보안에 중점을 둔 개발팀에서 시작된다고 설명합니다.
사이버뉴스 팀은 개발자가 보안 위협을 식별하고 완화할 수 있도록 교육하는 방법에 대해 논의하기 위해 보안 위협을 식별하고 완화할 수 있는 도구를 제공하는 회사인 Secure Code Warriorlearning platform 및 개발팀이 보안 취약점을 탐색하는 데 도움이 되는 개발자 중심 도구 제품군을 제공하는 회사입니다.
여정은 어땠나요? Secure Code Warrior 아이디어는 어떻게 떠올랐나요?
어렸을 때 저는 기술을 분해하여 그 안에 무엇이 들어 있고 어떻게 작동하는지 알아내는 데 흥미를 느꼈습니다. 가족과 우리가 공유하는 가전제품에 대한 안도감을 느낀 저는 결국 하드웨어와 소프트웨어에 대해서도 같은 접근 방식을 취해 침입하고 깨뜨릴 방법을 찾게 되었습니다. 보안에 대한 평생의 열정이 생겨났고, 수년 동안 저는 학생, 동료, 보안 커뮤니티에 저의 '깨는' 기술을 공유하면서 소프트웨어의 오류를 찾고, 사용하고, 악용하는 방법을 보여주는 데 집중했습니다. 이후에는 방어자의 기술을 향상시키고, 교실 환경에서 개발자에게 안전하고 좋은 코딩 패턴을 가르치고, 일반적인 취약점과 이를 방지하는 방법을 이해하도록 돕는 데 다시 집중했습니다. 또한 대기업을 대상으로 보안 프로그램, 특히 개발자 참여와 관련하여 보안 프로그램을 개선할 수 있는 방법에 대해 조언하는 컨설팅 업무도 수행했습니다. 이 기간 동안 지금의 창립 팀( Secure Code Warrior)과 인연을 맺게 되었습니다. 우리는 함께 코드 수준의 취약성과 관련하여 보안 팀과 개발 팀 모두 직면한 고충과 개발자 보안 기술 향상을 목표로 하는 대부분의 교육 솔루션에 존재하는 문제점을 이해했습니다. 저희는 개발자가 재미있고 흥미롭게 참여할 수 있으면서도 엔터프라이즈 수준으로 확장할 수 있는 learning platform 이라는 비전을 실현하기 위해 노력하기 시작했습니다. 궁극적으로 개발자의 작업 환경에 맞춤화되고, 업무에 방해가 되지 않으며, 보안을 최우선으로 생각하는 마인드를 구축하는 데 도움이 되는 도구 모음을 만들고 싶었습니다. 그리고 이를 위해 최대한 유연한 언어와 풍부한 콘텐츠를 제공하고자 했습니다.
어떤 일을 하고 계신지 소개해 주시겠어요? 주로 어떤 문제를 해결하는 데 도움을 주나요?
궁극적으로 저희는 코드에 잘못된 보안 패턴을 사용함으로써 종종 발생하는 보안 마찰과 지연을 제거하여 기업이 소프트웨어 개발 속도를 높일 수 있도록 지원합니다. 저희는 개발 팀이 수십 년 동안 존재해 왔으며 오늘날에도 계속해서 기업을 사이버 위험에 노출시키는 일반적인 보안 취약점을 탐색하는 데 도움이 되는 개발자 중심 도구 제품군( learning platform )을 만들었습니다. 이러한 문제가 지속되는 이유는 개발자가 이러한 코드 수준의 문제를 해결할 수 있는 교육과 기술이 부족하고, 잘못된 코딩 패턴과 기술을 계속 사용함으로써 문제를 처음에 도입하는 경우가 많기 때문입니다. 개발자는 3차 수준에서 안전한 코딩을 배우지 않으며, 대부분의 직장 교육 프로그램은 일상 업무와 관련된 콘텐츠를 제공하는 데 효과적이지 않을 뿐만 아니라 시간이 지나도 코드 품질과 보안에 실질적인 영향을 미치기에는 너무 빈번합니다. 유니티의 솔루션은 코딩 행동을 변화시키고 실제 업무에서 보안을 최우선으로 고려할 수 있도록 관련성 높은 기술 개발을 제공하는 것을 목표로 합니다. 개발자가 가장 익숙한 환경과 점점 더 통합하고 있으며, 상황별 학습에 중점을 두어 사용자가 주요 교육 결과를 유지할 수 있는 최상의 기회를 제공합니다. 또한 개발자가 보안을 긍정적이고 재미있는 시각으로 바라보고 성공에 대한 보상과 커뮤니티를 구축하는 데 도움이 되는 방식으로 이를 달성하기 위해 노력합니다.
보안 코딩에 대해 배우는 것이 지루하게 느껴질 수 있는데, 어떻게 하면 교육을 효과적이면서도 재미있게 진행할 수 있을까요?
저희의 플래그십 사이트( learning platform )는 개발자 참여를 염두에 두고 설계되었습니다. 가장 인기 있는 기능 중 하나는 Tournament 모드로, 참가자가 교육 중에 습득한 지식을 동료들과 테스트할 수 있습니다. 정답을 맞힐 때마다 점수가 매겨지고 tournament 세션 내내 실시간 순위표가 업데이트됩니다. 커뮤니티 이벤트와 컨퍼런스에서 이 모드를 진행했으며, 일부 고객은 모두가 코스튬을 입고 참가하는 매우 복잡한 테마를 수행하기도 했습니다. 이는 훌륭한 팀 빌딩 경험이며 피자, 상품, 일상에서 벗어나 휴식을 취하면서 기술 향상에 대한 노력을 축하하기에 완벽한 시간입니다. 또한 일반적으로 60개 이상의 프로그래밍 프레임워크에서 제공되는 콘텐츠는 일상 업무에서 실제로 볼 수 있는 실제 코드 스니펫을 사용하고 있습니다. 동영상이나 연례 규정 준수 시험을 보는 것보다 관련성이 높고 실제 문제 해결에 도움이 되는 콘텐츠가 있으면 참여도를 유지하기가 훨씬 쉽습니다.
오늘날 개발자들이 직면하는 주요 과제는 무엇이라고 생각하시나요?
개발자들이 보안을 잘하고 싶지만 교육이나 경력 과정에서 보안에 대한 적절한 교육을 받지 못했다는 사실을 인정하는 것이 중요하다고 생각합니다. 이는 보안 관점에서 개발자가 직면하는 많은 문제의 핵심입니다. 또한 개발자는 보안을 자신의 책임 범위 밖에 있는 것으로 간주하는 경향이 있으며, 대다수 조직에서 KPI에 안전한 코딩 결과와 관련된 항목이 포함되어 있지 않습니다. 코드 수준 취약성의 양에 변화를 보려면 이러한 현 상태를 깨뜨려야 합니다. 그러나 우리가 원하는 변화를 이루기 위해서는 개발자에게 적절한 지원과 도구가 필요하며, 문제는 효과적인 지원, 교육에 필요한 시간 제공, 그리고 나중에 빠른 속도로 보안을 달성하기 위한 기술 향상에 지금 투자하는 데 있습니다.
최근의 글로벌 이벤트가 업무 분야에 어떤 영향을 미쳤나요?
모든 기업이 현재의 글로벌 환경이 목표, 예상, 예산에 미치는 영향을 어느 정도 느끼고 있지만, 다행히도 지금까지는 폭풍우를 잘 극복해 왔습니다. 사이버 보안은 대부분의 기업에서 타협할 수 없는 요소이며, 저희는 고객 및 잠재 고객과의 대화에 계속 참여하기 위해 열심히 노력하고 있습니다.
조직이 소프트웨어 또는 애플리케이션을 개발할 때 따라야 할 모범 사례에는 어떤 것이 있나요?
조직마다 미묘한 차이는 있지만 일반적으로 최고의 보안 관행으로 운영되는 기업은 틀에 박힌 사고에서 벗어나 다양한 접근 방식을 기꺼이 시도합니다. 이들은 보안 결과에 긍정적인 변화를 가져올 수 있는 사람의 힘을 잊지 않습니다. 대부분의 경우 개발자는 보안 프로그램에서 큰 고려 대상이 아닙니다. 그러나 전 세계적으로 보안 기술 격차가 조만간 해소될 것 같지 않은 상황에서 보안 역량을 갖춘 개발자는 소프트웨어 개발 관점에서 위험을 줄이고 규정 준수를 달성하는 데 도움을 줄 수 있습니다. 이들은 프로세스의 가장 초기 단계부터 가장 저렴한 비용으로 영향을 미칠 수 있습니다.
보안 코딩 도구 외에 비즈니스 운영을 향상시킬 뿐만 아니라 보안을 강화할 수 있는 다른 조치나 관행에는 어떤 것이 있다고 생각하시나요?
모든 기업은 일종의 역할 기반 보안 교육을 받아야 합니다. 위협 행위자가 악용하려는 코드 수준의 익스플로잇 외에도 수많은 위협이 존재하므로 조직의 모든 사람은 자신의 업무에 적용되는 보안 원칙을 정기적으로 숙지해야 하며, 이러한 의미에서 사무실 관리자부터 회계팀에 이르기까지 모든 사람이 사이버 보안 조치 및 인식에 있어 자신의 역할을 이해하고 수용해야 합니다.
현재의 경제 상황을 고려할 때 CISO는 최저 비용으로 비즈니스를 안전하게 보호해야 한다는 압박을 많이 받고 있는데, 이들에게 어떤 조언을 해주시겠어요?
특히 사이버 보안 법규가 점점 더 까다로워지고, 경우에 따라서는 침해 사고 발생 시 CISO가 개인적으로 책임을 져야 하는 경우도 있기 때문에 이러한 환경에서는 창의력을 발휘할 필요가 있습니다. 여기에 해고까지 더해지면 같은 양의 소프트웨어를 작성하면서 더 적은 수의 엔지니어가 더 많은 책임을 져야 하는 상황에 처하게 됩니다. CISO는 비즈니스의 성장을 저해하는 주요 장애물 중 하나인 보안 문제를 해결함으로써 비즈니스의 성공을 도울 수 있습니다.
코드 수준의 보안 취약성 및 잘못된 구성을 해결할 수 있는 가장 저렴한 단계는 소프트웨어가 출시되기 전이므로 개발자는 당연히 이러한 위험을 줄일 수 있는 가장 유리한 위치에 서게 됩니다. 하지만 이를 위해서는 맞춤형 지원이 필요합니다. 현재 워크플로와 기술 스택을 고려하여 개발자를 최우선으로 고려한 도구를 엔지니어링 집단에 제공하면 빠른 속도로 보안을 확보할 수 있습니다. 빠른 속도로 보안 정확도를 달성하려면 보안 코딩 패턴을 사용하고 문제를 더 빠르게 수정하는 방법을 보여줌으로써 이 문제를 가장 잘 해결할 수 있습니다.
포괄적인 개발자 교육에 드는 비용으로 근본적으로 취약점을 원천적으로 제거하여 소프트웨어 개발 수명 주기(SDLC) 후반의 시간과 비용을 절약할 수 있습니다. 역사상 그 어느 때보다 대규모 공격이 빈번하게 발생하고 CISO의 책임이 커지고 있는 지금, 사이버 보안 기술 부족을 뒤처진 탓으로 돌리는 것은 이제 그만두어야 합니다. 방어적 보안 관행의 우선순위를 정하고 이미 확보된 인력의 역량을 강화해야 합니다.
Secure Code Warrior 의 미래는 어떻게 될까요?
저희는 시장에 출시하는 솔루션에서 개발자를 최우선으로 생각하며 혁신을 지속하고자 합니다. 개발자가 여러 우선순위를 조정할 때 기능 제공 속도나 정신력을 저하시키지 않으면서도 보안을 제공할 수 있도록 지원하는 데 중점을 두고 있습니다.
조직의 방어적 보안 프로그램을 혁신하는 데 도움을 주고자 하며, 보안을 지원하는 개발자가 그 이야기의 주인공이 되기를 바랍니다. 이 공간을 주목하세요.