조직의 보안 태세를 개선하는 확실한 방법은 개발자에게 필요한 구체적인 학습 경로를 제공하도록 설계된 기준선과 벤치마크가 포함된 프레임워크를 통해 개발자가 보안 코딩 모범 사례에 대한 숙련도를 높이는 것입니다. 그러나 보안 코딩은 일회성으로 해결되는 것이 아니라 조직의 DNA에 암호화된 생활 방식이 되어야 합니다. 개발자는 왼쪽으로 이동하거나 왼쪽에서 시작해야 할 뿐만 아니라 왼쪽에 머물러야 합니다. 

단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직은 개발자가 교육을 완전히 흡수하고 소프트웨어 개발 수명 주기(SDLC) 초반에 모범 사례를 일상적인 업무의 일부로 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 표준 및 업계 벤치마크와 비교하여 진행 상황을 측정하여 교육 투자에 대한 ROI를 효과적으로 측정해야 합니다.

Secure Code Warrior의 신뢰 점수는 개별 개발자의 성과에 대한 가시성을 제공하고 데이터를 집계하여 조직의 전반적인 성과에 대한 assessment 을 제공합니다. 개선이 필요한 영역을 파악하는 동시에 업스킬링 프로그램의 효과를 보여줍니다. 또한 일반 데이터 보호 규정(GDPR), 결제 카드 업계 데이터 보안 표준(PCI DSS), 캘리포니아 소비자 개인정보 보호법(CCPA) 등 다양한 규제 준수 요건을 준수할 수 있도록 도와줍니다.

저희의 연구에 따르면 보안 코드 교육은 효과가 있는 것으로 나타났습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 작업한 2,000만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 있어 그 효과와 이니셔티브를 더욱 효과적으로 만드는 방법을 알려줍니다.

개발자가 교육을 받으면 보안이 향상됩니다. 

수년 동안 소프트웨어 업계에서 보안 모범 사례를 사용하는 것은 언젠가 실현하면 좋겠지만 현재로서는 우선순위가 아닌 선망의 대상에 불과했습니다. 하지만 소프트웨어 개발 속도가 점점 빨라지고, 소프트웨어 취약점을 노리는 정교하고 파괴적인 사이버 위협의 속도가 빨라지면서 보안 코딩이 필수적인 요소가 되었습니다. 사이버 보안 및 인프라 보안 기관(CISA)은 국제적인 운동으로 성장하고 있는 보안 설계 이 니셔티브를 통해 보안 코드를 전면에 내세우고 있습니다. 

보안 설계 접근 방식과 소프트웨어 취약성 감소 사이의 상관관계가 명확하다는 점이 연구를 통해 입증되었습니다. SCW 고객 기반 중 26%의 취약성 감소 데이터를 분석한 결과, 개발자 교육을 통해 소프트웨어 취약성이 22%에서 84%까지 감소한 것으로 나타났습니다. 이러한 범위는 관련 기업의 규모(상대적으로 개발자가 적은 소규모 기업일수록 더 극적인 결과를 보임), 학습 그룹이 특정 문제에 집중하여 더 많은 비율의 결함을 제거했는지 여부 등의 변수에 따라 달라졌습니다.

대기업의 결과는 다소 일관적이었습니다. 개발자가 7,000명 이상인 기업은 개발자의 보안 역량 강화의 결과로 취약성이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 개발자가 10,000명 이상인 통계적으로 평균적인 한 기업(플랫폼에서 최고 성과를 낸 기업도 아니고 벤치마크가 가장 높은 기업도 아님)은 취약점이 53% 감소했습니다. 

물론 가장 효과적인 교육은 일률적인 접근 방식을 취하는 것이 아닙니다. 개발자의 업무 환경과 개발 유형에 맞게 조정되어야 합니다.

기업은 개발자가 단순히 코드를 작성하는 것만큼이나 자연스럽게 보안 코드를 작성할 수 있도록 개발자가 갖춰야 할 기본 기술을 확립하는 것부터 시작해야 합니다. 업스킬링 프로그램은 개발자가 수행하는 업무 유형과 사용하는 언어에 맞는 실제 시나리오의 실습 위주의 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 업무 일정에 맞출 수 있을 만큼 유연해야 합니다. 

개발자에게는 코드 작성 이상의 기술이 필요합니다. 개발자는 오픈 소스 리포지토리와 같은 타사 및 인공지능 어시스턴트가 만든 소프트웨어를 확인할 수 있어야 합니다. 개발자들은 제너레이티브 AI 모델을 적극 활용해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 작성할 수 있다는 이점을 높이 평가했습니다. 그러나 스닉 설문조사 응답자의 76%는 AI가 생성한 코드가 사람이 만든 코드보다 더 안전하다고 답했지만, 56.4%는 여전히 AI가 가끔 또는 자주 오류를 일으킨다고 답했습니다. 또한 같은 설문조사에 따르면 개발자의 80%가 AI 코드 보안 정책을 적용하지 않는 것으로 나타나 AI 코드의 코드 문제가 해결되지 않고 있는 것으로 나타났습니다.

보안 설계 접근 방식에서는 개발자가 보안 팀과 별도로 작업하는 것이 아니라 보안 팀과 협력하여 SDLC 초기에 이러한 문제를 해결하고 코드가 프로덕션에 적용되기 전에 결함을 식별하고 수정합니다.

개인 및 기업 성과를 측정하는 신뢰 점수

또한 지속적인 교육도 중요합니다. 기업은 회사의 최고위층부터 하위 직급에 이르기까지 모든 곳에 적용되는 보안 우선 문화를 채택해야 합니다. 지속적인 개선과 SDLC 전반에 걸친 모범 보안 사례 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자는 진화를 멈추지 않으며, 사이버 보안도 마찬가지입니다. 소프트웨어를 제작하는 조직의 경우 보안 교육을 받은 개발자가 기본입니다.

그렇기 때문에 교육이 효과적으로 이루어지고 있음을 입증하는 것이 교육 자체만큼이나 중요합니다. Trust Score는 개발자 개인과 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라 성과 데이터를 드릴다운하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 지원합니다. 또한 개별 및 집계된 성과 결과의 데이터는 교육이 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우와 같이 개선이 필요한 영역을 파악하는 데 도움이 됩니다.

Trust Score를 통해 조직은 개발자의 성과를 평가하고 필요한 보안 기술을 습득하고 사용하고 있는지 확인하여 개발자가 코딩 라이선스를 획득했는지 확인할 수 있습니다. 이를 통해 조직은 자격을 갖춘 개발자에게 가장 민감한 데이터와 중요한 소프트웨어 프로젝트에 대한 액세스 권한을 자신 있게 부여하고, 아직 준비가 되지 않은 도구에 대한 액세스는 거부할 수 있습니다.

변화하는 보안 문화의 증거

사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 사이버 보안은 많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 보안 침해는 조직의 운영, 평판, 그리고 잠재적으로 조직의 생존에 영향을 미칩니다. 사이버 보안의 중요성은 규제 기관에서도 놓치지 않고 있으며, 규제 기관은 점점 더 엄격한 규정을 시행하고 있으며, Uber와 SolarWinds의 사례처럼 CISO와 다른 고위 경영진에 대해 형사 고발까지 할 수 있다는 의지를 보이고 있습니다. 

오늘날의 환경에서는 전사적인 보안 문화를 채택하는 것이 필수적입니다. 기업의 가치 중 많은 부분이 데이터, 애플리케이션, 서비스에 있기 때문에 보안 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일부로서 목표 교육 및 스킬 향상과 함께 교육이 문화를 변화시키는 데 도움이 되었다는 증거를 확보하면 조직은 보안 태세를 강화하는 길로 나아갈 수 있습니다. 

개발자가 주도하는 보안 프로그램에는 가치가 있습니다. 그 증거는 신뢰 점수에 있습니다.

보안팀은 오늘날의 클라우드 중심 데브옵스 세계에서 새로운 혁신의 물결을 따라잡기 위해 고군분투하고 있으므로, 공격자가 끊임없이 생성되는 수많은 코드에서 필연적으로 발생하는 취약점을 악용하는 수많은 방법을 따라잡지 못하는 것은 당연한 일입니다. 

하지만 에퀴팩스 데이터 유출, 솔라윈즈 공급망 공격과 같은 중대한 보안 침해부터 최근 몇 년간 체인지 헬스케어, AT&T 등에 대한 성공적인 공격과 같은 더 많은 사건에 이르기까지 보안 침해의 속도가 빨라지고 있음에도 많은 조직은 여전히 보안에 대한 사후 대응 방식에 집중하고 있습니다. 대부분의 보안 리소스를 취약점을 찾아 수정하고 인시던트가 발생하면 이에 대응하는 데 투입합니다. 이러한 접근 방식은 다른 시대에는 적합했을지 모르지만 소프트웨어, 기술 역량 및 IT 인프라의 급속한 발전은 인력이 부족하고 업무가 과중한 보안 팀이 따라잡기에는 너무 벅찹니다.

지속적으로 불이익을 당하지 않으려면 너무 빠르게 움직이는 보안 위협을 쫓거나 데이터 유출이라는 말이 떠날 때까지 기다리지 말아야 합니다. 대신 사후 대응이 아닌 예방적 접근 방식을 취하여 문제를 해결해야 합니다. 레거시 앱과 새로운 애플리케이션의 보안을 개선하려면 소프트웨어 개발 수명 주기(SDLC)를 시작할 때 보안 모범 사례를 적용하고 취약점이 프로덕션에 적용되기 전에 해결되도록 효과적인 개발자 교육으로 강화된 보안 설계 접근 방식이 필요합니다.

지금까지는 말처럼 쉽지 않은 일이었습니다. 

보안 코더의 공급 부족

미국 사이버보안 및 인프라 보안국(CISA)은 보안 코딩과 함께 다단계 인증(MFA)부터 취약성 등급 감소에 이르는 다른 모범 사례들을 장려하고 조직들이 보안 설계 서약에 참여하도록 장려하는 보안 설계 이니셔티브를 통해 예방을 핵심 정책으로 추진하려고 노력해 왔습니다. 호주, 캐나다, 독일, 영국을 비롯한 다른 국가에서도 유사한 프로그램을 시작했습니다. 그럼에도 불구하고 저희의 조사에 따르면 지금까지 이 프로그램에 참여한 조직은 극소수에 불과합니다.

Secure Code Warrior( Learning Platform )의 모든 개발자와 SCW의 경쟁사 개발자까지 합치면 50만 명에서 100만 명 사이의 개발자가 보안 설계 방식을 채택하고 있습니다. 가장 관대하게 추산하면 2024년 말에는 2 ,870만 명에 이를 것으로 예상되는 전 세계 개발자 수의 약 3.5%에 해당합니다. 이는 그 어느 때보다 많은 개발자가 더 많은 코드를 생산하고 있으며, 특히 생성형 인공 지능 프로그램으로 인해 개발 속도가 크게 빨라진 반면 보안 코드로 시작하는 방법을 배우는 개발자는 거의 없다는 것을 의미합니다. 

소프트웨어 엔지니어는 일반적으로 사이버 보안을 배우지 않습니다. 기존 모델에서는 개발자와 보안 전문가가 별도의 독립된 조직으로 일하고 보안 팀은 소프트웨어가 만들어진 후 보안 문제를 해결해야 했기 때문입니다. 하지만 오늘날의 환경에서는 보안 전문가의 수가 턱없이 부족합니다. 가장 최근의 보안 성숙도 모델 구축 보고서인 BSIMM14에 따르면 전 세계적으로 개발자 100명당 평균 3.87명의 앱보안 전문가가 있는 것으로 나타났습니다. 100명의 개발자가 엄청난 속도로 작업하는 결과물을 보호하기 위해 4명 미만의 숙련된 전문가가 노력하는 것은 안전한 코드를 위한 비결이 아닙니다. 

애플리케이션 보안에 대한 소홀함은 다른 보안 분야와 시장 규모를 비교했을 때도 비슷하게 드러납니다. 보안 설계 접근 방식을 구성하는 구성 요소는 애플리케이션 보안 시장에 속하며, 2023년 60억 8천만 달러에서 2031년 175억 1천만 달러로 성장할 것으로 예상됩니다. 이는 빠른 성장처럼 보이지만 2023년 235억 7천만 달러에서 2032년 673억 3천만 달러로 증가할 것으로 예상되는 네트워크 보안이나 2023년 180억 3천만 달러에서 2031년 575억 1천만 달러로 성장할 것으로 예상되는 운영 기술 보안에 지출되는 금액과 비교하면 그다지 크지 않은 수치입니다. 

보안 코드와 애플리케이션의 중요성이 점점 커지고 있는 것에 비해 이 분야에 대한 투자는 부족합니다. 실제로 기업이 애플리케이션 보안과 보안 설계 접근 방식에 더 많이 투자하면 다른 보안 영역에서 비용을 절감할 수 있습니다. 

예방적 보안이 구현하기 어렵고 따라서 최고 경영진에게 설득하기 어렵다고 보는 데에는 여러 가지 다른 요인이 있습니다. 우선, 금융 서비스 부문과 같이 오랜 역사를 가진 기업들은 오래된 레거시 시스템을 사용하고 있으며, 그 중 일부는 지난 세기 중반에 프로그래밍 언어로 선택된 COBOL을 사용하던 시절에 만들어진 시스템입니다. 

최신 애플리케이션과 동시에 레거시 코드와 시스템에 예방적 보안을 적용하는 것은 어렵게 느껴질 수 있지만, 개발자의 역량을 강화하여 보안 모범 사례를 적용하는 설계 기반 보안 접근 방식을 사용하면 이러한 시스템에 보안 모범 사례를 적용할 수 있습니다. 이는 많은 조직이 보안 태세를 개선할 수 있는 최고의 기회입니다. 

예방 문화 구축

보안에 대한 예방적 접근 방식으로의 전환은 더디게 진행되고 있지만, 오늘날의 사이버 위협 환경에서 보안 설계 관행의 필요성이 절실하기 때문에 보안 설계 관행 채택에 대한 요구는 사라지지 않을 것입니다. 자동차 업계가 자동차를 더 안전하게 만드는 대신 더 많은 구급차와 응급 구조대에 투자하기로 결정했다면, 많은 조직이 사이버 보안에 관해서는 그 모델을 따르고 있을 것입니다.

조직은 위험을 줄이기 위해 예방적이고 능동적인 접근 방식을 채택해야 합니다. 개발자의 보안 코드 작성 및 오류(예: AI 어시스턴트 또는 타사 코드에서 발생하는 오류) 수정에 대한 역량을 강화하기 위한 프로그램을 SDLC 초기에 구축해야 합니다. 이러한 프로그램에는 개발자의 일정에 맞고 개발자의 업무 환경과 사용하는 프로그래밍 언어에 맞게 조정할 수 있는 민첩한 대화형 교육 프로그램이 포함되어야 합니다. 업스킬링에는 실제 문제를 해결하는 실습 교육이 포함되어야 합니다.

중요한 것은 보안 모범 사례를 일상 생활의 중요한 부분으로 만들었는지 확인하기 위해 진행 상황을 측정할 수 있는 수단이 포함되어야 한다는 것입니다. SCW의 신뢰 점수와 같은 도구는 벤치마크를 사용하여 내부 및 업계 표준에 대한 진행 상황을 측정하는 동시에 개선이 필요한 영역을 식별합니다. 

보안 설계 접근 방식은 보안을 비즈니스 우선 순위로 삼는 조직 내 보안 우선 사고방식을 반영하는 총체적인 접근 방식입니다. 물론 대응과 복구는 조직의 전반적인 보안 태세에서 필수적인 부분입니다. 그러나 예방에 집중함으로써 기업은 위험을 줄이고 비즈니스의 생존을 위협할 수 있는 중대한 침해 사고를 피하는 데 큰 진전을 이룰 수 있습니다.

지금 바로 Secure Code Warrior 에서 실행 가능한 보안 설계 이니셔티브를 실현하는 데 어떻게 도움을 줄 수 있는지 자세히 알아보세요.

사이버 위협이 점점 더 만연하고 정교해짐에 따라 사이버 보안의 초점은 보안 코드의 중요성에 맞춰지고 있습니다. 백악관의 국가 사이버 보안 전략과 사이버 보안 및 인프라 보안국(CISA)의 보안 설계 이니셔티브는 다른 국가의 이니셔티브 및 법률과 함께 보안에 대한 책임을 소프트웨어 생산자의 어깨에 전적으로 지우고 있습니다. 한때는 있으면 좋은 것으로 여겨졌던 소프트웨어 개발 수명주기(SDLC) 초기에 보안을 확보하는 것이 이제 조직이 데이터와 시스템을 보호하고 보안 침해로 인한 규제를 피하기 위해 필수적인 요소로 자리 잡았습니다.

안전한 코딩 관행을 보장하기 위한 핵심은 개발자 교육에 있습니다. 소프트웨어 엔지니어는 일반적으로 사이버 보안 교육을 거의 또는 전혀 받지 않습니다. 특히 오늘날의 가속화된 DevOps 환경에서 개발자의 역할은 새로운 애플리케이션, 업그레이드 및 서비스를 가능한 한 빨리, 빠르게 작동하는 생성 AI 모델의 도움을 받아 스핀아웃하고 보안 팀이 SDLC의 후반부에 사이버 보안 문제를 해결하도록 하는 것이었습니다. 이는 너무 많은 코드가 생성되면서 발생하는 수많은 결함을 해결하는 비효율적인 방법으로, 종종 소프트웨어 취약점이 에코시스템에 공개되는 결과를 초래합니다.

개발자는 처음부터 안전한 코드를 작성하도록 교육을 받아야 하며, AI가 생성하거나 사용하는 오픈 소스 및 기타 타사 소프트웨어에 안전하지 않은 코드가 있을 때 이를 포착할 수 있어야 합니다. 많은 개발팀과 조직에서 이 영역은 가보지 않은 길입니다. 개발자가 필요한 교육을 받고 있는지 어떻게 알 수 있을까요? 그리고 그 교육이 정기적으로 적용되고 있나요?

개발자 교육을 추구하는 일부 회사는 개발자가 습득할 수 있는 기본 기술을 설정하고 명확하게 정의된 벤치마크에 따라 진행 상황을 측정하는 것이 유익하다는 것을 알게 되었습니다. 이러한 노력을 돕기 위해 Secure Code Warrior 에서는 개발자의 보안 교육 진행 상황을 정확하게 측정할 수 있도록 설계된 벤치마크를 출시했습니다. SCW 신뢰 점수를 통해 조직은 교육이 업무에 얼마나 잘 적용되고 있는지 측정하고 보안, 개발자, 엔지니어링 팀이 협업할 수 있습니다.

이를 통해 보안 코드 교육이 자리를 잡아가고 있다는 증거를 확인하는 동시에 개선이 필요한 부분을 파악할 수 있습니다.

안전한 설계를 위한 사례

소프트웨어 제작자는 프로세스 시작 단계부터 보안을 SDLC에 도입해야 할 모든 이유가 있습니다. 애플리케이션과 서비스에 대한 수요가 증가하고 AI가 개발 프로세스에 가져다주는 속도가 빨라지면서 제너레이티브 AI를 빠르게 도입한 개발자에게는 유용하지만, 필연적으로 버그가 있는 소프트웨어가 파이프라인에 출시되는 결과를 초래하기도 합니다. 생성되는 코드가 많을수록 결함도 많아지는데, 최근 연구에 따르면 애플리케이션의 약 4분의 3(생성 방식에 관계없이)이 적어도 하나의 보안 결함을 포함하고 있으며, 그 중 약 20%는 심각한 것으로 간주되는 것으로 나타났습니다. 

SDLC 후반에 취약점을 따라잡는 것은 시간과 비용이 엄청나게 많이 소요됩니다. 미국 국립표준기술연구소(NIST)에 따르면 테스트 중 결함을 수정하는 데는 SDLC를 시작할 때 소프트웨어를 보호하는 것보다 15배 더 오래 걸리고 배포/유지 관리 단계에서 결함을 수정하는 데는 30~100배 더 오래 걸릴 수 있다고 합니다. 

이 모든 것은 개발 주기 초기에 보안을 적용하는 것이 중요하다는 것을 강조하며, 이는 위험을 줄이는 가장 효과적인 방법일 뿐만 아니라 가장 비용 효율적이라는 것이 입증되었습니다. 개발자가 별도의 독립된 조직이 아닌 보안 팀과 협력하는 개발자는 SDLC의 시작 단계부터 보안을 도입할 수 있는 가장 좋은 위치에 있습니다. 또한 보안 모범 사례에 대한 교육을 받은 개발자는 취약성을 줄이는 데 효과적이었습니다. 문제는 교육을 받은 개발자가 너무 적다는 것입니다.

벤치마크의 아름다움 

기업의 기본 경로는 보안 기술의 기준을 설정하고, 교육을 제공하며, 개발자가 필요한 기술을 습득했는지 조직과 규제 기관 모두에게 검증하는 것입니다. 이는 모든 경제 부문에 걸쳐 많은 조직에게 어려운 일이지만 반드시 그럴 필요는 없습니다.

보안 리더들이 겪는 어려움 중 하나는 교육 프로그램을 기업 전체로 확장하는 것이 어렵다는 점입니다. 하지만 SCW의 연구에 따르면 조직, 특히 대규모 개발자를 보유한 조직은 보안 설계 접근 방식을 성공적으로 구현할 수 있는 것으로 나타났습니다. 소규모 조직의 결과는 보안 설계 원칙을 얼마나 잘 적용하는지에 따라 큰 차이를 보이는 경향이 있습니다. 하지만 이들도 신뢰 점수를 포함하는 접근 방식의 이점을 누릴 수 있으며 개선 효과가 더 빨리 나타날 가능성이 높습니다.

신뢰 점수는 벤치마킹 지표를 사용하여 개별 학습자의 진행 상황을 측정하고, 점수를 합산하여 전체 팀의 성과를 평가하며, 조직의 진행 상황을 업계 벤치마크 및 모범 사례와 비교합니다. 교육을 추적할 뿐만 아니라 개발자가 새로운 기술을 일상적으로 얼마나 잘 적용하고 있는지도 보여줍니다. 또한 개선이 필요한 영역을 강조하여 조직이 교육/스킬 향상 프로그램을 최적화할 수 있도록 지원합니다. 

데이터를 사용할 수 있는 CISA의 주요 인프라 부문 전반에서 대부분의 조직은 보안 설계 원칙을 구현하는 데 있어 거의 동일한 수준이었습니다. 금융 서비스 및 방위 산업 기반부터 의료, IT 및 중요 제조에 이르기까지 다양한 부문의 신뢰 점수는 1,000점 만점에 300점을 조금 넘는 비슷한 범위에서 떨어졌습니다. 규제가 가장 심한 금융 서비스가 가장 앞서 있을 것이라는 일반적인 통념과는 달리 어느 한 산업이 다른 산업을 앞지르지는 못했습니다.

화학, 에너지, 원자력 운영과 같이 신뢰 점수 순위에 포함되지 않은 중요 인프라 부문은 일반적으로 자체 소프트웨어를 개발하지 않고 다른 부문, 특히 IT에 의존합니다. 그러나 원자력 발전소가 손상되는 것을 보고 싶어하는 사람은 아무도 없기 때문에 이러한 부문에서 안전한 시스템을 유지하는 것이 얼마나 중요한지는 애초에 사용하는 소프트웨어의 보안이 얼마나 중요한지를 보여줍니다.

결론

규제 압력이 증가하고 사이버 위협 환경의 현실로 인해 데이터, 시스템, 비즈니스 운영 및 평판을 보호하고자 하는 조직은 보안 설계 접근 방식이 필수적입니다. 안전한 소프트웨어를 만드는 것은 대부분 개발자의 몫이지만, 개발자에게 필요한 교육을 제공하고 적용 방법을 보여주는 철저한 숙련도 향상 및 교육 프로그램의 형태로 지원이 필요합니다. 

신뢰도 점수와 같은 도구로 뒷받침되는 벤치마크가 포함된 프로그램은 개발 팀의 중요한 진행 상황을 명확하게 파악할 수 있습니다. 이는 개발자와 개발자가 근무하는 회사 모두 보안 소프트웨어 개발 기술을 지속적으로 개선하는 동시에 새로운 보안 설계 요건을 충족하기 위해 필요한 중요한 새 접근 방식입니다.

‍

미국, 호주, 뉴질랜드, 캐나다, 싱가포르, 일본, 독일, 영국이 유사한 가이드라인을 광범위한 사이버 보안 전략에 도입하기로 약속하고 이들 국가 중 다수가 원래 권고안에 기여하면서 CISA의 보안 설계(SBD) 운동이 전 세계적으로 탄력을 받는 것을 목격하게 되어 매우 기쁩니다.

2024년 4월 이후 다음을 포함한 200개 이상의 기업이 보안 설계 서약에 참여했습니다. Secure Code Warrior를 포함한 200개 이상의 기업이 보안 설계 서약에 서명하여 더 높은 소프트웨어 품질과 보안 표준에 대한 업계의 광범위한 의지를 표명했습니다. 이번 가이드라인은 사이버 보안 리더들이 소프트웨어 개발의 중요한 문화적 변화를 위해 처음으로 글로벌 정부의 지원을 받는 중요한 순간이라고 생각합니다. 미국 정부에 직접 판매하는 소프트웨어 공급업체 외에는 아직 이러한 권장 사항을 의무적으로 준수해야 하는 것은 아니지만, 저는 이것이 미래가 아니라 위협 행위자들에 맞서 싸울 수 있는 절호의 기회라고 생각합니다. 이 가이드라인의 핵심은 취약성 범주를 제거하기 위해 노력하는 것이며, 업계 전반에서 이 목표에 집중한다면 수십 년 만에 디지털 안전에 가장 중요하고 긍정적인 영향을 미칠 수 있을 것입니다.

이러한 움직임이 매우 중요하다고 생각하며, 최신 연구 보고서도 이를 뒷받침합니다, 보안 기술 벤치마킹: 기업에서 보안 설계 간소화하기 은 기업 차원의 실제 보안 설계 이니셔티브를 심층 분석하고 데이터 기반 조사 결과를 바탕으로 모범 사례 접근법을 도출한 결과물입니다. 

조직의 보안 설계 노력에 대한 ROI 측정

오랫동안 확립된 소프트웨어 개발 관행을 정비하는 것은 결코 작은 일이 아닙니다. CISO는 보안 프로그램 활동의 투자 수익률(ROI)과 사업적 가치를 사람과 회사 수준에서 모두 증명하려고 할 때 종종 어려움을 겪습니다. 많은 사람이 예산 감소에 대한 좌절감과 새로운 사이버 이니셔티브에 대한 최고 경영진의 지지 부족을 표현합니다. 그러나 데이터 기반 제안이 여기에서 모든 차이를 만들어낼 것입니다. 

최근 몇 년 동안, 조직이 업계 표준에 대한 추적을 평가할 수 있는 기술 벤치마크가 없는 것이 주요 과제였습니다. 이로 인해 적절한 영역에 영향을 미치고 개발 코호트의 지속적인 개선을 촉진하는 보안 프로그램을 고안하고 구현하는 것이 엄청나게 어려워졌습니다. 이는 성공적인 소프트웨어 보안 관행의 중요한 요소입니다. 

Secure-by-Design 이니셔티브를 작동시키는 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 해당 기술이 제자리에 있음을 보장하는 것입니다. 그래서 우리는 개발자 팀의 준비 상태를 분석하기로 했고, 그 결과는 놀라울 수 있습니다.

SBD 이니셔티브를 가속화하려는 회사가 신뢰 점수를 활용할 수 있는 방법

어디에서 시작하고 어디로 가야 하는지에 대한 확실한 아이디어 없이 효율적으로 개선하는 것은 사실상 불가능합니다. 그러나 수백 개의 기업 고객이 개발자 팀의 보안 역량을 정량화하는 글로벌 벤치마크인 SCW Trust Score를 효과적으로 활용하여 이러한 유용하고 세부적인 데이터 포인트를 제공합니다. 이러한 통찰력은 성공적인 Secure-by-Design 이니셔티브에 도움이 되는 매우 효과적이고 개발자 중심의 보안 프로그램을 형성합니다.

백서에서 밝힌 분석에 따르면, 주요 중요 인프라 산업 전반의 조직이 개발자를 준비시켜 SBD 이니셔티브를 발전시키는 데 진전을 이루고 있습니다. 또한 이러한 산업의 개발자 팀은 평균적인 보안 태세를 갖추고 있다는 사실도 발견했습니다.

Secure Code Warrior '의 중요 인프라 산업 전반의 개발자 업스킬링 분석은 전 세계 600개 기업 고객과 250,000명 이상의 활동적인 개발자를 대상으로 2,000만 개 이상의 데이터 포인트에서 얻은 통찰력을 기반으로 합니다. 분석 결과 다음과 같은 결과가 나왔습니다.

• 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하는 개발자의 총 수는 전 세계 개발자의 4% 미만입니다.
• 금융 서비스 산업은 336으로 가장 높은 신뢰 점수를 기록했습니다.
• 대부분의 대규모 Secure-by-Design 업스킬링 이니셔티브는 성공적이지만, 소규모 이니셔티브는 분산되는 경향이 있습니다. 그러나 위임을 받으면 측정 가능한 투자 수익률(ROI)을 더 빨리 제공하는 것으로 나타났습니다.
• 업스킬링 이니셔티브가 확고히 자리 잡으면 애플리케이션에서 개발자가 도입하는 위험이 상당히 줄어듭니다. 분석 결과 대규모 업스킬링 이니셔티브(단일 회사에서 개발자 7,000명 이상)에 참여하는 개발자는 취약성을 47-53%까지 예측 가능하게 줄일 수 있는 것으로 나타났습니다.

해결책 | 결론

SCW 신뢰 점수는 모든 보안 리더의 무기고에 있는 강력한 도구로, 조직 내의 특정 영역에 대한 포괄적인 드릴다운을 허용합니다. 보고서는 언어, 팀 또는 범주에 따라 필터링하여 회사가 개발자 또는 팀의 특정 요구 사항을 해결하고 추가 교육 또는 코칭이 필요한 영역을 식별할 수 있는 맞춤형 보고서를 생성할 수 있습니다. 결국 보안은 끝없는 노력이며, 성과를 효과적으로 벤치마킹하면 지속적인 개선의 기회를 식별하는 데 도움이 됩니다.

가속화된 소프트웨어 개발 및 배포, 점점 더 위협적인 사이버 위협 환경, 점점 더 예민해지는 규제 기관과 더불어 사이버 보안이 최우선이 되었습니다. 조직은 아직 그렇지 않다면 기업 전체의 보안 우선 문화를 개발하는 것을 우선시해야 합니다.

지난 몇 년 동안 여러 가지 심각도가 높은 취약점이 다양한 방식으로 시스템에 영향을 미친 것으로 알려지면서 Linux 사용자들은 최근 쉽지 않은 시간을 보냈습니다. 이제 보안 연구원들이 풀어야 할 또 다른 취약점 클러스터가 있는데, 모두 강력한 원격 코드 실행(RCE)을 위한 잠재적인 경로를 가진 GNU/Linux 시스템을 대상으로 하는 CUPS(Common UNIX Printing System) 기능과 관련된 것입니다.

2024년 9월 27일, evilsocket.net의 Simone Margaritelli는 CUPS의 여러 악용 가능한 취약점에 대한 중요한 정보를 발표했으며, 이후 4개에 CVE가 할당되었습니다. 이 숫자는 더 늘어날 수 있지만 이 글을 쓰는 시점에서 보안 커뮤니티는 이러한 발견의 실제 심각성에 대해 논의하고 있습니다. CVE 중 하나인 CVE-2024-47177은 현재 MITRE의 심각도 등급이 9.1이지만, 이 명령 인젝션 결함을 성공적으로 조작하려면 CUPS 서비스가 활성화된 서버에 의존해야 하며, 추가로 UDP 포트 631 또는 DNS-SD에 대한 액세스가 필요합니다. 그러나 RedHat은 CUPS를 다른 포트로 리매핑하는 것이 가능하다고 언급합니다. 

마가리텔리가 이 사건을 종합적으로 분석한 결과, 커뮤니티의 의견 차이에도 불구하고 무시해서는 안 되는 교묘하고 복잡한 공격의 사슬이 드러났습니다. 이 사건은 위협 행위자가 충분히 결심하고 잘못된 코딩 패턴으로 인해 작은 기회의 창이 열려 있다면 겉보기에 무해해 보이는 종속성이 심각하게 악용될 수 있다는 교훈을 제공합니다.

CUPS 시나리오는 많은 개발자와 앱 보안 전문가가 이전에 경험했던 것과는 조금 다르므로, 이를 살펴보면서 자신의 실력을 테스트해 보시기 바랍니다.

취약점입니다: CUPS를 통한 원격 코드 실행(RCE)

Evilsocket 블로그는 이러한 익스플로잇에 대한 타의 추종을 불허하는 철저한 배경 지식을 제공하며, 앞으로도 계속 면밀히 살펴볼 리소스입니다. 또한 마가리텔리는 기사에서 익명의 소식통을 인용하고 있는데, 그는 Linux의 일반적인 보안 견고성에 대해 낙관적이지 않은 것으로 보입니다:

"일반적인 보안 관점에서 볼 때, 현재와 같은 Linux 시스템 전체는 악용되기를 기다리는 끝없는 보안 허점 덩어리일 뿐입니다."

이는 오픈 소스 환경에 여전히 만연한 내재된 보안 위험을 냉정하게 상기시켜 주며, 전 세계 개발 커뮤니티에서 보안 인식 제고와 안전한 코딩 기술이 절실히 필요하다는 사실을 일깨워 줍니다.

CVE를 살펴보겠습니다:

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

취약점 체인은광범위하게 퍼져 있으며 현재 다음 패키지의 모든 현재 및 이전 버전에 영향을 미칩니다:

• distrotech/컵-필터
• 오픈프린팅/컵 필터
• 컵 브라우징
• libcupsfilters
• libppd
  
  

CUPS는 20년 넘게 UNIX 및 Linux 운영 체제의 레거시 구성 요소로 사용되어 왔습니다. 인쇄 서비스 종속 기능으로 인해 네트워크 요청을 열심히 수행하기 때문에 RCE급 취약점의 주요 표적이 되고 있습니다.

그러나 이 경우에는 공격이 결합되어 성공적인 결과를 제공하는 방식에 약간의 독창성이 있습니다. 즉, 인증되지 않은 탐지되지 않은 공격자가 인터넷 인쇄 프로토콜(IPP) URL을 악성 URL로 대체하고, 새로 추가된 프린터의 기능을 설명하는 데 사용되는 파일인 'PPD(포스트스크립트 프린터 설명) 파일'에 명령 인젝션을 유발할 수 있는 지시어를 수정하는 것이 핵심입니다. 이로 인해 인쇄 작업이 활성화되면 명령 실행 공격이 발생하며, CUPS 구성 요소 내의 입력 유효성 검사 부족에 의존합니다.

또한 이 특정 취약점을 수정하는 것은 양날의 검과 같다고 Evilsocket은 지적합니다. CUPS에는 고위험, 익스플로잇이 가능한 구성 요소로 알려진 실행 파일인 푸마틱-리프 필터가 포함되어 있습니다. 이 구성 요소와 관련된 CVE는 2011년으로 거슬러 올라가며, foomatic-rip이 OS 명령을 실행하는 데 활용될 수 있다는 사실이 확인되었지만, 이를 수정하면 안정성 문제가 발생하고 많은 구형 프린터에 대한 지원이 끊어집니다. 이는 극복해야 할 복잡한 문제입니다.

1. 위협 행위자가 공격을 개시합니다.
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. 피해자 시스템에서 프린터 속성을 처리합니다.
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. 피해자 시스템이 공격자-제어자 IPP 서버에 연결됩니다.
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

RCE 리스크를 어떻게 완화할 수 있나요?

비즈니스 운영의 일부로 CUPS를 사용하는 회사의 경우, Evilsocket과 RedHat에서 권장하는 해결 방법을 따라야 합니다. 여기에는 긴급 수준의 우선 순위로 보안 패치를 적용하는 것이 포함되지만 이에 국한되지 않습니다.

명령어 인젝션에 대한 일반적인 내용은 종합 가이드를 참조하세요.

더 많은 무료 코딩 가이드라인에 관심이 있다면 보안 코딩 모범 사례를 파악하는 데 도움이 되는 Secure Code Coach를 확인하세요.

보안 코드 학습 노력을 측정하는 실행 가능한 인사이트 

보안 코드 학습 프로그램의 가치를 극대화하려면 사용자의 참여도에 따라 크게 달라집니다. 사이버 보안의 세계는 새로운 위협과 함께 전반적인 보안 태세를 강화할 수 있는 기회로 끊임없이 진화하는 환경입니다. 코드 보안에 대한 사전 예방적 접근 방식을 취하려면 프로그램의 효과와 관련성을 극대화하기 위해 지속적인 보안 코드 학습이 필요합니다. 이를 위해 프로그램 리더는 특정 시점뿐만 아니라 장기간에 걸친 사용자 참여를 명확히 파악하여 추세를 파악하고 프로그램의 성과를 최적화해야 합니다.

따라서 조직 내에서 주요 트렌드를 쉽게 파악하고 조치를 취해야 할 시점을 파악할 수 있도록 사용자의 참여도를 측정하도록 설계된 새로운 보고서를 발표하게 되어 기쁘게 생각합니다. 이러한 새로운 인사이트를 통해 조직은 보안 코드 학습에 대한 투자 수익을 극대화할 수 있을 뿐만 아니라 사이버 보안 태세를 지속적으로 개선할 수 있습니다.

이 보고서의 새로운 기능은 무엇인가요?

참여 인사이트 보고서는 선택한 기간(기본적으로 지난 12개월) 동안 애자일 학습 프로그램과 관련된 여러 가지 주요 통계를 제공하며, 이 모든 통계는 보고 API를 통해서도 액세스할 수 있습니다. 참여도 보고서는 이 기간 동안 SCW 애자일( learning platform )에 적극적으로 참여한 신규 학습자 수, 플랫폼에 참여한 활성 학습자 수, 현재 활성화된 학습자 수를 빠르고 쉽게 볼 수 있도록 해줍니다.

‍

‍

이러한 총계는 시작에 불과합니다. 학습자가 플랫폼에 어떻게 참여했는지 세분화하여 선택한 기간 동안 활동적인 학습자의 트렌드를 발견할 수 있습니다. 이 정보를 바탕으로 커뮤니케이션(내부 뉴스레터, 블로그) 또는 기타 참여 활동을 계획하여 개발자가 계속 돌아와서 기술을 연마할 수 있도록 할 수 있습니다.

‍

마찬가지로 마지막 학습 활동 분석은 학습자가 마지막으로 SCW 플랫폼에 얼마나 최근에 참여했는지 보여줍니다. 모든 형태의 학습과 마찬가지로 개념에 대한 기억은 시간이 지남에 따라 희미해집니다. 이상적인 상태는 대부분의 학습자가 최근 참여를 나타내는 첫 두 괄호 안에 그룹화되어 있는 것입니다. 이러한 종류의 그룹화는 개발자의 기술을 최신 상태로 유지할 뿐만 아니라 시간이 지남에 따라 기술이 전체적으로 퇴색하는 것을 방지하여 조직의 SCW 신뢰 점수를 향상시킵니다.

‍

‍

또한 인사이트는 빈도와 최근성을 뛰어넘습니다. 사용자가 보안 코드 학습 활동에 어떻게 참여하고 있는지 자세히 살펴볼 수 있습니다. 참여 보고서는 학습자가 선택한 기간 동안 Secure Code Warrior 플랫폼의 여러 부분에서 보낸 시간을 분석하여 제공합니다. 관리자는 이 정보를 사용하여 사용자층의 참여를 유도하는 요소를 파악할 수 있습니다. SCW( tournament)를 마지막으로 실행한 지 얼마 되지 않았는데 개발자 코호트의 일부를 다시 참여시킬 기회가 있을까요? 학습자가 Courses 또는 평가의 구조화된 학습 콘텐츠 외에 시야를 넓히기 위해 탐색 모듈을 사용하고 있나요? 참여도가 높은 유형과 상위 수준의 사용자를 파악하면 개발자가 좋아할 프로그램을 설계하고 활동적인 리더를 축하할 수 있는 기회를 얻을 수 있습니다.

‍

보시다시피 애자일 학습 프로그램에 대한 학습자의 참여도를 측정하는 방법에는 여러 가지가 있습니다. 저희는 조직의 사이버 보안 태세를 개선하고 가장 효과적인 학습 결과를 이끌어내기 위해 더 많은 인사이트와 보고서를 제공하기 위해 최선을 다하고 있습니다. 다음 새로운 인사이트를 기대해 주시고, 프로그램 최적화에 도움이 되는 질문, 피드백 또는 특정 데이터를 더 보고 싶은 경우 알려주세요!

‍

보안 부채를 줄이는 것은 모든 기업이 달성하기 위해 노력하는 목표입니다. 어떻게 하면 보안 취약점을 최소화할 수 있을까요? 생성되는 코드의 품질을 최고 수준으로 유지하면서 시장 출시 시간을 단축하려면 어떻게 해야 할까요?  

많은 기업과 마찬가지로 DigitalOcean은 보안을 인식하는 개발자와 함께 처음부터 양질의 코드를 구축하고 공개함으로써 디지털 혁신과 현대화를 추진하기 위해 Secure Code Warrior 을 선택했습니다.  

확장 가능한 컴퓨팅 리소스와 개발자가 애플리케이션을 손쉽게 배포, 관리 및 확장할 수 있는 클라우드 솔루션 제품군을 제공하는 DigitalOcean은 엔지니어링 팀을 확장하고 성장시키면서 Secure Code Warrior 을 선택했습니다. 빠르게 변화하는 기술 업계에서 이 회사는 개발자가 설계 검토에서 발생하는 일반적인 잘못된 코딩 패턴을 식별하여 재발을 사전에 방지할 수 있도록 해야 했습니다. 

제품 보안 수석 관리자인 Ari Kalfus는 "개발자에게 특화된, 실무적이며 조직이 직면한 위험에 초점을 맞춘 솔루션이 필요했습니다." Secure Code Warrior 가장 주목할 만한 결과 중 하나는 보안 코딩 관행을 신속하고 정기적으로 강화할 수 있게 되었다는 점입니다. 그 결과 팀 전반에서 보안 부채가 현저히 감소했습니다. 전반적으로 DigitalOcean은 SCW로 훈련받은 팀이 보안 문제를 식별하고 완화하는 데 더 능숙해졌을 뿐만 아니라 보안을 손상하지 않고 혁신의 경계를 넓힐 수 있는 자신감을 갖게 되었다는 사실을 발견했습니다.

디지털오션이 어떻게 전체 보안 부채를 줄이고, 이제 보안 잉여금을 생산성과 혁신의 경계를 더욱 넓히는 데 사용하고 있는지 여기에서 자세히 알아보세요.

시큐어 바이 디자인은 모든 사람의 입에 오르내리는 최신 이니셔티브로, 호주 정부는 최고 수준의 글로벌 거버넌스에서 CISA와 협력하여 공급업체의 소프트웨어 품질과 보안에 대한 높은 표준을 유도하고 있습니다.

소프트웨어 보안이 크게 향상되려면 보안 기술 구축을 위한 지원과 개발자의 경우 보안 코딩 모범 사례에 대한 지속적인 학습이 강조되어야 할 것입니다. 글로벌 정부가 모범을 보이고 교묘한 코드 수준의 취약점을 완화하기 위한 적절한 지침을 제공하는 업계의 새로운 장을 목격하게 되어 매우 반갑습니다.

호주 여성 보안 네트워크 (AWSN)는 호주에서 더 많은 여성이 사이버 보안 역할을 맡을 수 있도록 끊임없이 노력해 왔습니다. 최근 커먼웰스 은행 (CBA)과 함께 보안에 정통한 개발자와 전문가들이 우호적이고 경쟁적인 환경에서 자신의 기술을 뽐낼 수 있는 시큐어 코딩( tournament )을 개최했습니다.

이번 7월 17일 행사에는 다양한 업계를 대표하는 훌륭한 여성들이 참석했으며, 이들의 기여가 2030년까지 호주를 세계에서 가장 사이버에 안전한 국가로 만드는 데 도움이 될 것이라고 확신할 수 있습니다.

보다 안전한 미래를 위한 보증

호주 사이버 보안 코디네이터인 미셸 맥기니스 중령이 AWSN/CBA/SCW 공동 행사( tournament )를 지원하게 되어 운이 좋았습니다. 호주의 6가지 사이버 실드 이니셔티브와 보안 설계 원칙을 지지하는 그녀의 연설은 긍정적인 변화와 소프트웨어 설계 및 실행의 더 높은 기준을 위해 헌신하는 사이버 전문가들의 공감을 불러일으켰습니다:

‍

‍

"우리는 국가 전체가 [사이버 보안] 문제를 해결하는 데 동참하기를 원하며, 여기에는 강력하고 다양하며 포용적이고 환영하는 사이버 인력을 구축하는 것이 포함됩니다.

Facebook의 전략은 비즈니스, 조직, 시민을 보호하는 6가지 사이버 방패를 중심으로 구축되었습니다. 오늘 행사와 가장 관련성이 높은 것은 '설계부터 안전한 보안'과 '기본 보안'에 중점을 둔 전략에 따른 작업입니다. 우리는 디지털 기기나 소프트웨어를 구매할 때 불필요한 위험에 노출되지 않을 것이라는 확신을 가져야 합니다.

물론 업계는 회사의 이익, 우리 경제의 이익, 국가의 안보를 위해 이러한 경로를 육성, 성장, 지원하는 데 큰 역할을 하고 있습니다... 오늘 행사를 개최하는 데 앞장서 준 Secure Code Warrior 및 CBA와 AWSN에 감사를 표합니다."

여자처럼 코딩하면 어떻게 되나요?

이번과 같은 대규모 tournament 이벤트가 열릴 때마다 항상 눈에 띄는 놀라운 사실이 있습니다. 일반적으로 수만 명의 개발자가 참여하며, 업계 전반의 통계와 마찬가지로 참가자 중 여성은 매우 적은 비율을 차지합니다.

하지만 여성 참가자가 우승자 시상대에 올라 상금을 나눠 갖는 경우가 많습니다. 이는 전통적으로 남성이 지배적인 영역에 여성이 포함되었다는 것을 의미한다고 생각합니다. 여성은 소속감을 가질 뿐만 아니라 팀 내에서 뛰어난 능력을 발휘하고 열망하는 세력이 될 수 있습니다.

이번 대회에서는 경쟁이 치열했으며, 전체 우승자인 벨라 하워드와 샤넬 헤어는 개발자 중심 보안 관행의 최전선에서 밝은 미래를 열어갈 것이 분명합니다. 그들은 우승 소감을 이렇게 말했습니다:

"우승하게 되어 정말 기쁩니다! 한 팀으로 일한 것이 성공에 큰 도움이 되었으며, 서로의 다양한 기술과 경험이 서로를 완벽하게 보완해 주었다고 생각합니다.

또한 모두가 뛰어난 활약을 펼쳤다는 점을 인정하고 싶습니다. 우승하게 되어 정말 영광이고 이번 행사를 정말 즐겼습니다. 다음 대회에서 다시 뵙기를 기대합니다!"

이들에 대해 좀 더 자세히 알아봅시다:

‍

• 보안 코딩 기술을 연마한 지 얼마나 되셨나요?

저희 둘 다 IT 분야에서 복수 학위를 취득하면서 보안 코딩 기술이 구체화되기 시작했습니다. Bella는 사이버 보안에 큰 관심을 갖게 되었고, 둘 다 보안 분야에 대한 지식을 넓히기 위해 이벤트와 워크샵에 참석했습니다.

저희는 고용을 통해 Secure Code Warrior 을 활용할 기회를 가졌고, 이는 저희의 발전에 큰 도움이 되었습니다. 보안 코딩 관행에 중점을 둔 Bella는 보안 분석가로서의 지식을 향상시켰고, 샤넬은 소프트웨어 엔지니어로서 보안 사고방식을 요구하기 때문에 보안 코딩을 책임의 필수적인 부분으로 삼았습니다.

• 보안 코딩 경력을 시작하는 STEM 분야 여성을 위한 팁이 있나요?

보안 커뮤니티에 참여하여 이미 현업에 종사하고 있는 사람들로부터 배우는 것을 적극 권장합니다. 여성이 주도하는 커뮤니티에 가입하는 것도 같은 처지에 있는 여성들로부터 귀중한 조언과 격려를 얻을 수 있는 훌륭한 방법입니다.

보안 코딩( Tournament ) 및 기타 업계 관련 워크숍과 같은 이벤트에 참석하여 즐기면서 배우고 네트워크를 형성하세요. 여러분의 커리어를 안내하고 귀중한 인사이트를 제공할 수 있는 멘토를 찾아보세요. 모든 것을 다 안다고 느낄 때까지 기다리지 마세요. 직접 경험하는 것이 가장 좋은 학습 방법입니다.

• 사이버 보안 모범 사례의 중요성을 알리기 위해 할 수 있는 한 가지는 무엇인가요?

보안은 모두의 책임이라는 점을 강조하는 것이 중요합니다. 효과적인 심층 보안을 위해서는 기술 스택 전반에서 일하는 모든 개인과 모든 기술 사용자가 보안 모범 사례를 숙지하고 준수해야 합니다. 보안을 공동의 책임으로 여기는 문화를 조성함으로써 시스템과 데이터를 더 잘 보호할 수 있습니다.

‍

모든 참가자에게 감사드리며 향후 프로젝트에서 AWSN과 협력할 수 있기를 기대합니다.

‍

조직은 설계에 의한 보안 원칙이 개발자 주도의 보안을 통해서만 성공적으로 구현된다는 것을 알고 있습니다. 결국 개발자는 조직의 소프트웨어를 구동하는 코드를 설계, 구축 및 궁극적으로 커밋하는 사람입니다. 이 귀중한 기여자들이 보안 코드 모범 사례를 구현할 수 있는 지식과 기술을 갖추도록 하는 것은 매우 중요합니다. 그러나 이를 구현하는 데 있어 개발자의 보안 코드 지식과 기술을 소프트웨어 구축 시 사용하는 프로그래밍 언어에 맞추는 것이 어려운 과제입니다.

이 문제는 조직의 코드베이스에서 사용되는 프로그래밍 언어의 양과 혼합으로 인해 더욱 복잡해지며, 보안팀도 모르는 경우가 많습니다. 그렇다면 CISO, 앱 보안 및 엔지니어링 리더는 생산 및 커밋되는 코드가 해당 커밋의 특정 프로그래밍 언어에 대한 개발자의 보안 코드 지식과 기술로 뒷받침되도록 어떻게 보장할 수 있을까요?
‍

SCW 트러스트 에이전트 소개

Secure Code Warrior 는 이 어려운 질문에 답하기 위해 SCW Trust Agent를 출시했습니다. SCW Trust Agent는 보안 리더에게 개발자 주도 보안을 확장하는 데 필요한 가시성과 제어 기능을 제공하여 개발자와 팀이 커밋된 코드의 보안을 유지 및 개선하면서 코드를 더 빠르게 제공할 수 있도록 지원합니다.
‍

SCW 트러스트 에이전트는 어떻게 작동하나요?

SCW Trust Agent는 코드 리포지토리에 연결하여 모든 코드 커밋의 메타데이터를 평가합니다. 커밋을 수행한 개발자, 사용 중인 프로그래밍 언어, 코드가 배포된 정확한 타임스탬프를 검사합니다. 그런 다음 이 분석 결과를 SCW의 애자일( learning platform )의 데이터 및 인사이트와 결합하여 개발자가 해당 특정 프로그래밍 언어에 대한 충분한 보안 지식을 보유하고 있는지 확인합니다. 이 정보를 바탕으로 정책 구성에 따라 해당 커밋의 상태에 대한 등급을 반환합니다. 이러한 정책은 관리자가 사용자 지정 및 구성할 수 있으며, 관리자는 해당 프로젝트 또는 리포지토리의 전반적인 민감도에 따라 커밋에 대한 특정 가이드라인과 요구 사항을 설정하여 더 높거나 낮은 임계값을 가질 수 있습니다.
‍

보안 태세 강화

이러한 가시성과 사용자 지정 가능한 제어 기능을 통해 조직은 모든 리포지토리의 전반적인 커밋 상태에 대한 인사이트를 얻을 수 있을 뿐만 아니라 보안 상태를 강화하는 데 필요한 도구도 확보하여 사전 예방적 접근 방식을 취함으로써 위험을 완화할 수 있습니다. SCW Trust Agent는 개발자가 커밋을 수행할 때 사용하는 특정 코딩 언어의 보안 영향에 대해 잘 알고 숙련되어 있는지 확인합니다. 이러한 보증은 악용될 수 있는 취약점을 실수로 코드에 도입할 가능성을 줄여줍니다.
‍

개발 수명 주기 최적화

이러한 사전 예방적 접근 방식은 조직의 전반적인 보안 태세를 개선할 뿐만 아니라 개발 수명 주기에서 새로운 최적화를 추진할 수도 있습니다. 개발자가 커밋하는 언어에 대한 보안 코드 지식과 기술을 갖추게 되면 나중에 식별하고 수정해야 하는 취약점의 수가 줄어듭니다. 수정 및 재작업은 개발자에게 많은 시간을 소모하는 경향이 있으며, 종종 워크플로우를 중단시키고 속도에 영향을 미칩니다. 사전 예방적 접근 방식을 통해 취약성을 줄이면 이러한 수정 주기를 최소화하여 개발 팀이 높은 가치의 코드와 기능을 제공하는 데 집중할 수 있습니다.
‍

개발자 중심 보안 확장

SCW Trust Agent는 조직이 개발자 중심 보안 프로그램을 확장하는 데 필요한 도구를 제공합니다. CISO와 앱 보안 팀은 정책 설계, 적용 및 준수에 대한 자세한 인사이트를 통해 적절한 거버넌스를 적용하고 규정 준수 표준을 충족하거나 초과 달성하는 데 필요한 가시성과 제어력을 확보할 수 있습니다. 또한 개발자는 자신이 제공하는 코드에 사용하는 언어에 특화된 보안 코드 교육을 통해 안전한 코드를 더 빠르게 제공할 수 있습니다.

SCW Trust Agent는 모든 Git 기반 소스 코드 관리 도구와 함께 작동하며 온프레미스, 클라우드 기반, 수동 업로드 등 다양한 연결 옵션을 통해 코드 리포지토리를 쉽게 연결할 수 있습니다. 자세한 내용은 www.scwtrustagent.com 또는 문의를 통해 조직의 보안 태세를 강화하고 개발자 중심 보안을 확장하는 데 어떻게 도움을 드릴 수 있는지 논의해 보세요.

‍