신뢰 점수는 설계 단계부터 보안을 고려한(Secure-by-Design) 교육 프로그램의 가치를 나타냅니다.
기업의 보안 상태를 개선하는 안전한 방법은 개발자들에게 안전한 프로그래밍을 위한 검증된 방법론을 교육하는 것입니다. 이러한 방법론은 기준선과 벤치마크를 포함한 프레임워크로 제공되어 개발자에게 필요한 구체적인 학습 경로를 제시합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 기업의 DNA에 깊이 뿌리내린 삶의 방식으로 자리잡아야 합니다. 개발자는 단순히 왼쪽으로 전환하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육만 제공하는 것으로는 충분하지 않습니다. 기업은 개발자들이 교육을 완전히 이수하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무의 일부로 모범 사례를 따르도록 보장해야 합니다. 개발자의 성과를 추적하고 내부 기준과 업계 표준을 모두 기준으로 진전을 측정해야 합니다. 이를 통해 교육 투자로 인한 ROI를 효과적으로 측정할 수 있습니다.
Code Warriors는 신뢰할 수 있는 솔루션을 제공하여 개별 개발자의 성과를 파악하고 데이터를 집계하여 기업의 전체적인 성과 평가를 가능하게 합니다. 이는 교육 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 다양한 규제 요건 준수를 보장하는 데 기여합니다.
우리의 연구 결과에 따르면 안전한 코드 교육은 효과가 있습니다. 트러스트 스코어는 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 수집된 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용합니다. 이는 보안 취약점을 해결하는 데 얼마나 효과적인지 보여주며, 이 이니셔티브를 더욱 효과적으로 설계할 수 있는 방법을 제시합니다.
교육은 안전성을 향상시킵니다 — 개발자가 교육을 받을 때
수년간 소프트웨어 업계에서는 검증된 보안 방법을 SDLC 초기 단계에 적용하는 것이 가장 바람직한 목표로 여겨져 왔다. 언젠가는 도입하면 좋겠지만, 현재는 더 이상 우선순위가 아니라는 인식이었다. 그러나 소프트웨어 개발 속도가 지속적으로 가속화되고, 정교해지면서 파괴적인 사이버 위협의 속도도 점점 빨라지고 있습니다. 이러한 위협은 종종 소프트웨어 취약점을 악용하기 때문에 안전한 코딩은 이제 필수불가결한 요소가 되었습니다. 사이버보안 및 인프라 보안국(CISA)은 '설계 단계부터 안전하게(Secure by Design)' 이니셔티브를 통해 안전한 코딩을 핵심으로 삼고 있으며, 이는 국제적인 운동으로 확대되고 있습니다.
우리의 연구는 이를 입증했습니다 — 설계 단계에서의 보안(Secure-by-Design) 접근법과 소프트웨어 취약점 감소 간의 연관성은 분명합니다. 우리는 SCW 고객사의 26%에 해당하는 보안 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점 수를 22%에서 84%까지 감소시키는 것으로 나타났습니다. 이러한 결과의 폭은 참여 기업의 규모(개발자 수가 상대적으로 적은 소규모 기업일수록 결과의 변동폭이 더 컸음)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 더 높은 비율의 결함이 수정됨)와 같은 변수에서 비롯되었습니다.
대기업의 결과는 상당히 일관되었습니다. 개발자 7,000명 이상을 보유한 기업은 보안 분야의 개발자 역량 강화로 인해 보안 취약점이 47~53% 감소할 것으로 예상할 수 있습니다. 예를 들어, 플랫폼 내 선두 기업도 최고 벤치마크 기업도 아닌 통계적 평균 수준의 개발자 10,000명 이상 기업은 보안 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 모든 사람에게 맞는 포괄적인 접근 방식을 요구하지 않습니다. 개발자의 작업 환경과 그들이 수행하는 개발 유형에 맞춰져야 합니다.
기업은 개발자들이 안전한 코드 작성을 단순히 코드를 작성하는 것만큼 자연스럽게 할 수 있도록 필요한 기본 역량을 개발하는 데 착수해야 합니다. 교육 프로그램은 실제 업무 환경과 그들이 사용하는 언어에 부합하는 실용적이고 민첩한 현장 중심 교육으로 구성되어야 합니다. 또한 교육이 업무 일정에 통합될 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 필요한 역량은 코드 작성 이상의 것을 포함합니다. 그들은 인공지능 어시스턴트나 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용해 왔으며, 더 많은 코드를 더 빠르게 작성하는 데 도움이 된다는 점에서 일반적으로 그 장점을 칭찬해 왔습니다. Snyk의 설문조사에 따르면 응답자의 76%가 AI 생성 코드가 인간이 작성한 코드보다 안전하다고 답했습니다. 그러나 56.4%는 AI가 가끔 또는 자주 오류를 유발한다고 여전히 응답했습니다. 동일한 설문조사에서 개발자의 80%가 AI 코드 보안 정책 적용을 생략한다고 답했으며, 이는 AI 코드 내 코드 문제가 해결되지 않음을 시사합니다.
보안 설계(Secure-by-Design) 접근 방식에서는 개발자가 보안 팀과 분리되지 않고 협력하여 SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션 환경에 배포되기 전에 결함을 식별 및 수정합니다.
신뢰 점수는 개인과 기업의 성과를 측정합니다.
지속적인 교육도 중요합니다. 기업은 최고 경영진부터 일반 직원까지 전 조직에 걸쳐 보안이 최우선이라는 문화를 정착시켜야 합니다. 이는 SDLC 전반에 걸쳐 지속적인 개선과 최상의 보안 관행 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자들은 진화를 멈추지 않으며, 사이버 보안 역시 마찬가지입니다. 소프트웨어를 생산하는 기업에게 보안 교육을 받은 개발자는 기반이 됩니다.
따라서 훈련 자체만큼이나 훈련이 효과적으로 정착되었음을 입증하는 것이 중요합니다. Trust Score는 개별 개발자와 기업 전체의 성과에 대한 통찰력을 제공할 뿐만 아니라, 기업이 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중하기 위해 성과 데이터를 상세히 분석할 수 있도록 합니다. 개별 및 집계된 성과 결과 데이터는 또한 훈련이 개선되어야 할 영역을 식별하는 데 도움이 됩니다. 예를 들어, 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우를 파악할 수 있습니다.
트러스트 스코어는 기업이 개발자의 역량을 평가하고, 그들이 필요한 보안 역량을 습득하고 활용하여 프로그래밍 자격을 획득했는지 확인할 수 있도록 지원합니다. 이를 통해 기업은 자격을 갖춘 개발자에게 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 신뢰할 수 있는 접근 권한을 부여하는 동시에, 아직 완전히 준비되지 않은 도구 사용자에게는 해당 접근을 거부할 수 있습니다.
변화하는 안전 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 기업의 가장 소중한 자산인 데이터의 무결성을 위협하는 비즈니스 문제입니다. 심각한 침해 사고는 기업의 운영, 평판, 그리고 수익성에까지 영향을 미칩니다. 규제 당국도 사이버 보안의 중요성을 간과하지 않았습니다. 그들은 점점 더 엄격한 규정을 도입했으며, 우버(Uber) 와 솔라윈즈(SolarWinds) 사례에서 보듯, CISO(최고정보보안책임자) 및 기타 고위 경영진을 상대로 형사 고발까지 포함한 법적 절차를 진행할 의사를 분명히 했습니다.
기업 전반에 걸친 보안 문화의 도입은 오늘날 환경에서 필수적입니다. 그리고 기업의 가치 대부분이 데이터, 애플리케이션 및 서비스에 있기 때문에 안전한 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일환으로 진행되는 맞춤형 교육 및 재교육, 그리고 교육이 기업 문화 변화에 기여했다는 증거는 기업이 보안 조치를 강화하는 길로 나아갈 수 있도록 합니다.
개발자 중심의 보안 프로그램은 가치 있습니다. 그 증거는 신뢰도 지표에 있습니다.
우리의 연구 결과에 따르면 안전한 코드 교육은 효과가 있습니다. 트러스트 스코어는 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 수집된 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용합니다. 이는 보안 취약점을 해결하는 데 얼마나 효과적인지 보여주며, 이 이니셔티브를 더욱 효과적으로 설계할 수 있는 방법을 제시합니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
기업의 보안 상태를 개선하는 안전한 방법은 개발자들에게 안전한 프로그래밍을 위한 검증된 방법론을 교육하는 것입니다. 이러한 방법론은 기준선과 벤치마크를 포함한 프레임워크로 제공되어 개발자에게 필요한 구체적인 학습 경로를 제시합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 기업의 DNA에 깊이 뿌리내린 삶의 방식으로 자리잡아야 합니다. 개발자는 단순히 왼쪽으로 전환하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육만 제공하는 것으로는 충분하지 않습니다. 기업은 개발자들이 교육을 완전히 이수하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무의 일부로 모범 사례를 따르도록 보장해야 합니다. 개발자의 성과를 추적하고 내부 기준과 업계 표준을 모두 기준으로 진전을 측정해야 합니다. 이를 통해 교육 투자로 인한 ROI를 효과적으로 측정할 수 있습니다.
Code Warriors는 신뢰할 수 있는 솔루션을 제공하여 개별 개발자의 성과를 파악하고 데이터를 집계하여 기업의 전체적인 성과 평가를 가능하게 합니다. 이는 교육 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 다양한 규제 요건 준수를 보장하는 데 기여합니다.
우리의 연구 결과에 따르면 안전한 코드 교육은 효과가 있습니다. 트러스트 스코어는 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 수집된 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용합니다. 이는 보안 취약점을 해결하는 데 얼마나 효과적인지 보여주며, 이 이니셔티브를 더욱 효과적으로 설계할 수 있는 방법을 제시합니다.
교육은 안전성을 향상시킵니다 — 개발자가 교육을 받을 때
수년간 소프트웨어 업계에서는 검증된 보안 방법을 SDLC 초기 단계에 적용하는 것이 가장 바람직한 목표로 여겨져 왔다. 언젠가는 도입하면 좋겠지만, 현재는 더 이상 우선순위가 아니라는 인식이었다. 그러나 소프트웨어 개발 속도가 지속적으로 가속화되고, 정교해지면서 파괴적인 사이버 위협의 속도도 점점 빨라지고 있습니다. 이러한 위협은 종종 소프트웨어 취약점을 악용하기 때문에 안전한 코딩은 이제 필수불가결한 요소가 되었습니다. 사이버보안 및 인프라 보안국(CISA)은 '설계 단계부터 안전하게(Secure by Design)' 이니셔티브를 통해 안전한 코딩을 핵심으로 삼고 있으며, 이는 국제적인 운동으로 확대되고 있습니다.
우리의 연구는 이를 입증했습니다 — 설계 단계에서의 보안(Secure-by-Design) 접근법과 소프트웨어 취약점 감소 간의 연관성은 분명합니다. 우리는 SCW 고객사의 26%에 해당하는 보안 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점 수를 22%에서 84%까지 감소시키는 것으로 나타났습니다. 이러한 결과의 폭은 참여 기업의 규모(개발자 수가 상대적으로 적은 소규모 기업일수록 결과의 변동폭이 더 컸음)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 더 높은 비율의 결함이 수정됨)와 같은 변수에서 비롯되었습니다.
대기업의 결과는 상당히 일관되었습니다. 개발자 7,000명 이상을 보유한 기업은 보안 분야의 개발자 역량 강화로 인해 보안 취약점이 47~53% 감소할 것으로 예상할 수 있습니다. 예를 들어, 플랫폼 내 선두 기업도 최고 벤치마크 기업도 아닌 통계적 평균 수준의 개발자 10,000명 이상 기업은 보안 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 모든 사람에게 맞는 포괄적인 접근 방식을 요구하지 않습니다. 개발자의 작업 환경과 그들이 수행하는 개발 유형에 맞춰져야 합니다.
기업은 개발자들이 안전한 코드 작성을 단순히 코드를 작성하는 것만큼 자연스럽게 할 수 있도록 필요한 기본 역량을 개발하는 데 착수해야 합니다. 교육 프로그램은 실제 업무 환경과 그들이 사용하는 언어에 부합하는 실용적이고 민첩한 현장 중심 교육으로 구성되어야 합니다. 또한 교육이 업무 일정에 통합될 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 필요한 역량은 코드 작성 이상의 것을 포함합니다. 그들은 인공지능 어시스턴트나 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용해 왔으며, 더 많은 코드를 더 빠르게 작성하는 데 도움이 된다는 점에서 일반적으로 그 장점을 칭찬해 왔습니다. Snyk의 설문조사에 따르면 응답자의 76%가 AI 생성 코드가 인간이 작성한 코드보다 안전하다고 답했습니다. 그러나 56.4%는 AI가 가끔 또는 자주 오류를 유발한다고 여전히 응답했습니다. 동일한 설문조사에서 개발자의 80%가 AI 코드 보안 정책 적용을 생략한다고 답했으며, 이는 AI 코드 내 코드 문제가 해결되지 않음을 시사합니다.
보안 설계(Secure-by-Design) 접근 방식에서는 개발자가 보안 팀과 분리되지 않고 협력하여 SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션 환경에 배포되기 전에 결함을 식별 및 수정합니다.
신뢰 점수는 개인과 기업의 성과를 측정합니다.
지속적인 교육도 중요합니다. 기업은 최고 경영진부터 일반 직원까지 전 조직에 걸쳐 보안이 최우선이라는 문화를 정착시켜야 합니다. 이는 SDLC 전반에 걸쳐 지속적인 개선과 최상의 보안 관행 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자들은 진화를 멈추지 않으며, 사이버 보안 역시 마찬가지입니다. 소프트웨어를 생산하는 기업에게 보안 교육을 받은 개발자는 기반이 됩니다.
따라서 훈련 자체만큼이나 훈련이 효과적으로 정착되었음을 입증하는 것이 중요합니다. Trust Score는 개별 개발자와 기업 전체의 성과에 대한 통찰력을 제공할 뿐만 아니라, 기업이 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중하기 위해 성과 데이터를 상세히 분석할 수 있도록 합니다. 개별 및 집계된 성과 결과 데이터는 또한 훈련이 개선되어야 할 영역을 식별하는 데 도움이 됩니다. 예를 들어, 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우를 파악할 수 있습니다.
트러스트 스코어는 기업이 개발자의 역량을 평가하고, 그들이 필요한 보안 역량을 습득하고 활용하여 프로그래밍 자격을 획득했는지 확인할 수 있도록 지원합니다. 이를 통해 기업은 자격을 갖춘 개발자에게 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 신뢰할 수 있는 접근 권한을 부여하는 동시에, 아직 완전히 준비되지 않은 도구 사용자에게는 해당 접근을 거부할 수 있습니다.
변화하는 안전 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 기업의 가장 소중한 자산인 데이터의 무결성을 위협하는 비즈니스 문제입니다. 심각한 침해 사고는 기업의 운영, 평판, 그리고 수익성에까지 영향을 미칩니다. 규제 당국도 사이버 보안의 중요성을 간과하지 않았습니다. 그들은 점점 더 엄격한 규정을 도입했으며, 우버(Uber) 와 솔라윈즈(SolarWinds) 사례에서 보듯, CISO(최고정보보안책임자) 및 기타 고위 경영진을 상대로 형사 고발까지 포함한 법적 절차를 진행할 의사를 분명히 했습니다.
기업 전반에 걸친 보안 문화의 도입은 오늘날 환경에서 필수적입니다. 그리고 기업의 가치 대부분이 데이터, 애플리케이션 및 서비스에 있기 때문에 안전한 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일환으로 진행되는 맞춤형 교육 및 재교육, 그리고 교육이 기업 문화 변화에 기여했다는 증거는 기업이 보안 조치를 강화하는 길로 나아갈 수 있도록 합니다.
개발자 중심의 보안 프로그램은 가치 있습니다. 그 증거는 신뢰도 지표에 있습니다.
기업의 보안 상태를 개선하는 안전한 방법은 개발자들에게 안전한 프로그래밍을 위한 검증된 방법론을 교육하는 것입니다. 이러한 방법론은 기준선과 벤치마크를 포함한 프레임워크로 제공되어 개발자에게 필요한 구체적인 학습 경로를 제시합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 기업의 DNA에 깊이 뿌리내린 삶의 방식으로 자리잡아야 합니다. 개발자는 단순히 왼쪽으로 전환하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육만 제공하는 것으로는 충분하지 않습니다. 기업은 개발자들이 교육을 완전히 이수하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무의 일부로 모범 사례를 따르도록 보장해야 합니다. 개발자의 성과를 추적하고 내부 기준과 업계 표준을 모두 기준으로 진전을 측정해야 합니다. 이를 통해 교육 투자로 인한 ROI를 효과적으로 측정할 수 있습니다.
Code Warriors는 신뢰할 수 있는 솔루션을 제공하여 개별 개발자의 성과를 파악하고 데이터를 집계하여 기업의 전체적인 성과 평가를 가능하게 합니다. 이는 교육 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 다양한 규제 요건 준수를 보장하는 데 기여합니다.
우리의 연구 결과에 따르면 안전한 코드 교육은 효과가 있습니다. 트러스트 스코어는 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 수집된 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용합니다. 이는 보안 취약점을 해결하는 데 얼마나 효과적인지 보여주며, 이 이니셔티브를 더욱 효과적으로 설계할 수 있는 방법을 제시합니다.
교육은 안전성을 향상시킵니다 — 개발자가 교육을 받을 때
수년간 소프트웨어 업계에서는 검증된 보안 방법을 SDLC 초기 단계에 적용하는 것이 가장 바람직한 목표로 여겨져 왔다. 언젠가는 도입하면 좋겠지만, 현재는 더 이상 우선순위가 아니라는 인식이었다. 그러나 소프트웨어 개발 속도가 지속적으로 가속화되고, 정교해지면서 파괴적인 사이버 위협의 속도도 점점 빨라지고 있습니다. 이러한 위협은 종종 소프트웨어 취약점을 악용하기 때문에 안전한 코딩은 이제 필수불가결한 요소가 되었습니다. 사이버보안 및 인프라 보안국(CISA)은 '설계 단계부터 안전하게(Secure by Design)' 이니셔티브를 통해 안전한 코딩을 핵심으로 삼고 있으며, 이는 국제적인 운동으로 확대되고 있습니다.
우리의 연구는 이를 입증했습니다 — 설계 단계에서의 보안(Secure-by-Design) 접근법과 소프트웨어 취약점 감소 간의 연관성은 분명합니다. 우리는 SCW 고객사의 26%에 해당하는 보안 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점 수를 22%에서 84%까지 감소시키는 것으로 나타났습니다. 이러한 결과의 폭은 참여 기업의 규모(개발자 수가 상대적으로 적은 소규모 기업일수록 결과의 변동폭이 더 컸음)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 더 높은 비율의 결함이 수정됨)와 같은 변수에서 비롯되었습니다.
대기업의 결과는 상당히 일관되었습니다. 개발자 7,000명 이상을 보유한 기업은 보안 분야의 개발자 역량 강화로 인해 보안 취약점이 47~53% 감소할 것으로 예상할 수 있습니다. 예를 들어, 플랫폼 내 선두 기업도 최고 벤치마크 기업도 아닌 통계적 평균 수준의 개발자 10,000명 이상 기업은 보안 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 모든 사람에게 맞는 포괄적인 접근 방식을 요구하지 않습니다. 개발자의 작업 환경과 그들이 수행하는 개발 유형에 맞춰져야 합니다.
기업은 개발자들이 안전한 코드 작성을 단순히 코드를 작성하는 것만큼 자연스럽게 할 수 있도록 필요한 기본 역량을 개발하는 데 착수해야 합니다. 교육 프로그램은 실제 업무 환경과 그들이 사용하는 언어에 부합하는 실용적이고 민첩한 현장 중심 교육으로 구성되어야 합니다. 또한 교육이 업무 일정에 통합될 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 필요한 역량은 코드 작성 이상의 것을 포함합니다. 그들은 인공지능 어시스턴트나 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용해 왔으며, 더 많은 코드를 더 빠르게 작성하는 데 도움이 된다는 점에서 일반적으로 그 장점을 칭찬해 왔습니다. Snyk의 설문조사에 따르면 응답자의 76%가 AI 생성 코드가 인간이 작성한 코드보다 안전하다고 답했습니다. 그러나 56.4%는 AI가 가끔 또는 자주 오류를 유발한다고 여전히 응답했습니다. 동일한 설문조사에서 개발자의 80%가 AI 코드 보안 정책 적용을 생략한다고 답했으며, 이는 AI 코드 내 코드 문제가 해결되지 않음을 시사합니다.
보안 설계(Secure-by-Design) 접근 방식에서는 개발자가 보안 팀과 분리되지 않고 협력하여 SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션 환경에 배포되기 전에 결함을 식별 및 수정합니다.
신뢰 점수는 개인과 기업의 성과를 측정합니다.
지속적인 교육도 중요합니다. 기업은 최고 경영진부터 일반 직원까지 전 조직에 걸쳐 보안이 최우선이라는 문화를 정착시켜야 합니다. 이는 SDLC 전반에 걸쳐 지속적인 개선과 최상의 보안 관행 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자들은 진화를 멈추지 않으며, 사이버 보안 역시 마찬가지입니다. 소프트웨어를 생산하는 기업에게 보안 교육을 받은 개발자는 기반이 됩니다.
따라서 훈련 자체만큼이나 훈련이 효과적으로 정착되었음을 입증하는 것이 중요합니다. Trust Score는 개별 개발자와 기업 전체의 성과에 대한 통찰력을 제공할 뿐만 아니라, 기업이 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중하기 위해 성과 데이터를 상세히 분석할 수 있도록 합니다. 개별 및 집계된 성과 결과 데이터는 또한 훈련이 개선되어야 할 영역을 식별하는 데 도움이 됩니다. 예를 들어, 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우를 파악할 수 있습니다.
트러스트 스코어는 기업이 개발자의 역량을 평가하고, 그들이 필요한 보안 역량을 습득하고 활용하여 프로그래밍 자격을 획득했는지 확인할 수 있도록 지원합니다. 이를 통해 기업은 자격을 갖춘 개발자에게 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 신뢰할 수 있는 접근 권한을 부여하는 동시에, 아직 완전히 준비되지 않은 도구 사용자에게는 해당 접근을 거부할 수 있습니다.
변화하는 안전 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 기업의 가장 소중한 자산인 데이터의 무결성을 위협하는 비즈니스 문제입니다. 심각한 침해 사고는 기업의 운영, 평판, 그리고 수익성에까지 영향을 미칩니다. 규제 당국도 사이버 보안의 중요성을 간과하지 않았습니다. 그들은 점점 더 엄격한 규정을 도입했으며, 우버(Uber) 와 솔라윈즈(SolarWinds) 사례에서 보듯, CISO(최고정보보안책임자) 및 기타 고위 경영진을 상대로 형사 고발까지 포함한 법적 절차를 진행할 의사를 분명히 했습니다.
기업 전반에 걸친 보안 문화의 도입은 오늘날 환경에서 필수적입니다. 그리고 기업의 가치 대부분이 데이터, 애플리케이션 및 서비스에 있기 때문에 안전한 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일환으로 진행되는 맞춤형 교육 및 재교육, 그리고 교육이 기업 문화 변화에 기여했다는 증거는 기업이 보안 조치를 강화하는 길로 나아갈 수 있도록 합니다.
개발자 중심의 보안 프로그램은 가치 있습니다. 그 증거는 신뢰도 지표에 있습니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
기업의 보안 상태를 개선하는 안전한 방법은 개발자들에게 안전한 프로그래밍을 위한 검증된 방법론을 교육하는 것입니다. 이러한 방법론은 기준선과 벤치마크를 포함한 프레임워크로 제공되어 개발자에게 필요한 구체적인 학습 경로를 제시합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 기업의 DNA에 깊이 뿌리내린 삶의 방식으로 자리잡아야 합니다. 개발자는 단순히 왼쪽으로 전환하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육만 제공하는 것으로는 충분하지 않습니다. 기업은 개발자들이 교육을 완전히 이수하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무의 일부로 모범 사례를 따르도록 보장해야 합니다. 개발자의 성과를 추적하고 내부 기준과 업계 표준을 모두 기준으로 진전을 측정해야 합니다. 이를 통해 교육 투자로 인한 ROI를 효과적으로 측정할 수 있습니다.
Code Warriors는 신뢰할 수 있는 솔루션을 제공하여 개별 개발자의 성과를 파악하고 데이터를 집계하여 기업의 전체적인 성과 평가를 가능하게 합니다. 이는 교육 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 다양한 규제 요건 준수를 보장하는 데 기여합니다.
우리의 연구 결과에 따르면 안전한 코드 교육은 효과가 있습니다. 트러스트 스코어는 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 수집된 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용합니다. 이는 보안 취약점을 해결하는 데 얼마나 효과적인지 보여주며, 이 이니셔티브를 더욱 효과적으로 설계할 수 있는 방법을 제시합니다.
교육은 안전성을 향상시킵니다 — 개발자가 교육을 받을 때
수년간 소프트웨어 업계에서는 검증된 보안 방법을 SDLC 초기 단계에 적용하는 것이 가장 바람직한 목표로 여겨져 왔다. 언젠가는 도입하면 좋겠지만, 현재는 더 이상 우선순위가 아니라는 인식이었다. 그러나 소프트웨어 개발 속도가 지속적으로 가속화되고, 정교해지면서 파괴적인 사이버 위협의 속도도 점점 빨라지고 있습니다. 이러한 위협은 종종 소프트웨어 취약점을 악용하기 때문에 안전한 코딩은 이제 필수불가결한 요소가 되었습니다. 사이버보안 및 인프라 보안국(CISA)은 '설계 단계부터 안전하게(Secure by Design)' 이니셔티브를 통해 안전한 코딩을 핵심으로 삼고 있으며, 이는 국제적인 운동으로 확대되고 있습니다.
우리의 연구는 이를 입증했습니다 — 설계 단계에서의 보안(Secure-by-Design) 접근법과 소프트웨어 취약점 감소 간의 연관성은 분명합니다. 우리는 SCW 고객사의 26%에 해당하는 보안 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점 수를 22%에서 84%까지 감소시키는 것으로 나타났습니다. 이러한 결과의 폭은 참여 기업의 규모(개발자 수가 상대적으로 적은 소규모 기업일수록 결과의 변동폭이 더 컸음)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 더 높은 비율의 결함이 수정됨)와 같은 변수에서 비롯되었습니다.
대기업의 결과는 상당히 일관되었습니다. 개발자 7,000명 이상을 보유한 기업은 보안 분야의 개발자 역량 강화로 인해 보안 취약점이 47~53% 감소할 것으로 예상할 수 있습니다. 예를 들어, 플랫폼 내 선두 기업도 최고 벤치마크 기업도 아닌 통계적 평균 수준의 개발자 10,000명 이상 기업은 보안 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 모든 사람에게 맞는 포괄적인 접근 방식을 요구하지 않습니다. 개발자의 작업 환경과 그들이 수행하는 개발 유형에 맞춰져야 합니다.
기업은 개발자들이 안전한 코드 작성을 단순히 코드를 작성하는 것만큼 자연스럽게 할 수 있도록 필요한 기본 역량을 개발하는 데 착수해야 합니다. 교육 프로그램은 실제 업무 환경과 그들이 사용하는 언어에 부합하는 실용적이고 민첩한 현장 중심 교육으로 구성되어야 합니다. 또한 교육이 업무 일정에 통합될 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 필요한 역량은 코드 작성 이상의 것을 포함합니다. 그들은 인공지능 어시스턴트나 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용해 왔으며, 더 많은 코드를 더 빠르게 작성하는 데 도움이 된다는 점에서 일반적으로 그 장점을 칭찬해 왔습니다. Snyk의 설문조사에 따르면 응답자의 76%가 AI 생성 코드가 인간이 작성한 코드보다 안전하다고 답했습니다. 그러나 56.4%는 AI가 가끔 또는 자주 오류를 유발한다고 여전히 응답했습니다. 동일한 설문조사에서 개발자의 80%가 AI 코드 보안 정책 적용을 생략한다고 답했으며, 이는 AI 코드 내 코드 문제가 해결되지 않음을 시사합니다.
보안 설계(Secure-by-Design) 접근 방식에서는 개발자가 보안 팀과 분리되지 않고 협력하여 SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션 환경에 배포되기 전에 결함을 식별 및 수정합니다.
신뢰 점수는 개인과 기업의 성과를 측정합니다.
지속적인 교육도 중요합니다. 기업은 최고 경영진부터 일반 직원까지 전 조직에 걸쳐 보안이 최우선이라는 문화를 정착시켜야 합니다. 이는 SDLC 전반에 걸쳐 지속적인 개선과 최상의 보안 관행 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자들은 진화를 멈추지 않으며, 사이버 보안 역시 마찬가지입니다. 소프트웨어를 생산하는 기업에게 보안 교육을 받은 개발자는 기반이 됩니다.
따라서 훈련 자체만큼이나 훈련이 효과적으로 정착되었음을 입증하는 것이 중요합니다. Trust Score는 개별 개발자와 기업 전체의 성과에 대한 통찰력을 제공할 뿐만 아니라, 기업이 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중하기 위해 성과 데이터를 상세히 분석할 수 있도록 합니다. 개별 및 집계된 성과 결과 데이터는 또한 훈련이 개선되어야 할 영역을 식별하는 데 도움이 됩니다. 예를 들어, 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우를 파악할 수 있습니다.
트러스트 스코어는 기업이 개발자의 역량을 평가하고, 그들이 필요한 보안 역량을 습득하고 활용하여 프로그래밍 자격을 획득했는지 확인할 수 있도록 지원합니다. 이를 통해 기업은 자격을 갖춘 개발자에게 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 신뢰할 수 있는 접근 권한을 부여하는 동시에, 아직 완전히 준비되지 않은 도구 사용자에게는 해당 접근을 거부할 수 있습니다.
변화하는 안전 문화의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 기업의 가장 소중한 자산인 데이터의 무결성을 위협하는 비즈니스 문제입니다. 심각한 침해 사고는 기업의 운영, 평판, 그리고 수익성에까지 영향을 미칩니다. 규제 당국도 사이버 보안의 중요성을 간과하지 않았습니다. 그들은 점점 더 엄격한 규정을 도입했으며, 우버(Uber) 와 솔라윈즈(SolarWinds) 사례에서 보듯, CISO(최고정보보안책임자) 및 기타 고위 경영진을 상대로 형사 고발까지 포함한 법적 절차를 진행할 의사를 분명히 했습니다.
기업 전반에 걸친 보안 문화의 도입은 오늘날 환경에서 필수적입니다. 그리고 기업의 가치 대부분이 데이터, 애플리케이션 및 서비스에 있기 때문에 안전한 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일환으로 진행되는 맞춤형 교육 및 재교육, 그리고 교육이 기업 문화 변화에 기여했다는 증거는 기업이 보안 조치를 강화하는 길로 나아갈 수 있도록 합니다.
개발자 중심의 보안 프로그램은 가치 있습니다. 그 증거는 신뢰도 지표에 있습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
