왜 SQL 인젝션이 애플리케이션 보안 세계의 바퀴벌레인지 (그리고 CISO가 이를 영원히 박멸하는 방법)
바퀴벌레는 기본적으로 모든 것을 견딜 수 있다는 유명한 이론이 있습니다 — 심지어 핵폭발도 견딜 수 있다고 합니다. 비록 이 이론이 어느 정도까지만 맞는 것이지만, 바퀴벌레는 몸집에 비해 단순한 신체 구조 덕분에 극도로 튼튼하며 대부분의 환경에서 박멸하기 어렵습니다.
생각해보니... 디지털 세계에서 바퀴벌레에 해당하는 것이 있다면, 그것은 코드 내 SQL 인젝션 취약점(SQLi)일 것이다. 이는 20년 넘게 알려진 보안 취약점임에도 불구하고, 기업들은 계속해서 이에 노출되고 있다. 타겟(Target)을 대상으로 한 광범위하고 비용이 많이 드는 공격은 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사례 역시 마찬가지였습니다. 이 사건으로 20만 명의 유권자 데이터가 유출되었고, FBI는 모든 IT 관리자들에게 보안 관행을 강화하기 위해 신속히 조치할 것을 권고했습니다.
Imperva의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사고의 83%에서 SQLi 공격이 사용된 것으로 드러났습니다. 오늘날에도 인젝션 취약점은 여전히 OWASP Top 10에서 가장 큰 위협 요소입니다. 상대적으로 간단하지만, 이 취약점은 쉽게 사라지지 않을 것입니다.
동일한 보안 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며, 이를 차단하는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 진실은 우리 소프트웨어 보안에 개선의 여지가 매우 많다는 점입니다.
베라코드(Veracode)의 소프트웨어 보안 현황 보고서는 2017년 40만 건의 애플리케이션 스캔을 기반으로 "경고할 만한 통계"를 제시했습니다: 애플리케이션의 단 30%만이 OWASP Top 10 지침을 준수했습니다. 이는 지난 5년간 지속적으로 나타난 현상입니다. 새로 스캔한 애플리케이션 중 거의 3분의 1에서 SQL 인젝션이 발견되었습니다. 이는 광범위하게 퍼진 문제의 증거입니다. 우리는 실수로부터 배우지 못하고 있으며, CISO들은 충분한 보안 인재를 확보하기 위해 고군분투하고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 1:100으로 불충분합니다.
소프트웨어 보안이 생명 유지 장치인 이유는 무엇인가?
전문 보안 인력이 부족하다는 것은 비밀이 아니지만, 개발자들이 문제가 발생했을 때 즉시 해결하지 못하고 보안 취약점을 아예 도입하지 않도록 대비하는 데 명백히 준비가 되어 있지 않다는 점에도 주의를 기울여야 합니다. 동일한 Veracode 보고서에서 개발 과정에서 발견된 전체 보안 취약점 중 문서화된 해결책이 마련된 경우는 14.4%에 불과한 것으로 밝혀졌습니다. 즉, 대부분의 보안 취약점은 해결책 없이 보고된 것입니다. 보안 취약점의 3분의 1 미만이 최초 발견 후 90일 이내에 해결되었으며, 42%는 개발 기간 내내 전혀 해결되지 않은 채 방치되었습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 대화합니다. 경험적으로 알게 된 것은 많은 기업들이 발견된 보안 취약점 중 완화할 수 없는 것들의 수(거짓경보라는 재앙에 더해)에 너무 좌절하여 아예 취약점 탐색을 중단하고, 그냥 손가락을 꼬며 최선의 결과를 바라는 경우가 많다는 점입니다.
왜 앱 보안 전문가들은 이런 일이 일어나도록 내버려 두는가?
오해하지 마십시오: 앱 보안 담당자들은 코드 내 문제점을 뼈저리게 잘 알고 있습니다. 결국 이는 그들을 팀의 소중한 자원으로 만드는 핵심 역량 중 하나입니다. 그러나 그들은 종종 여러 요인에 의해 방해를 받습니다.
예를 들어, 앱 보안 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 기능 제공을 위한 엄격한 스프린트 일정을 맞추느라 너무 바빠서 이러한 문제를 해결할 시간이 없으며, 이를 돕기 위한 적절한 도구도 갖추지 못한 경우가 많습니다. 애플리케이션 보안 전문가들은 취약점을 식별할 수는 있지만, 현장에서 이를 해결할 수 있는 기술 및/또는 접근 권한이 부족한 경우가 많습니다.
우리는 또한 모든 문제에는 해결책을 찾고, 구현하고, 테스트해야 하는 과정이 있다는 점을 분명히 인식해야 합니다. 코드에서 발견되는 가장 사소한 문제조차도 해결하는 데 소요되는 시간은 물론 필요한 자원이 엄청납니다. 소프트웨어에 도입될 수 있는 보안 취약점은 700가지가 넘으며, 한 사람이 모든 취약점을 막는 것은 불가능합니다. 이 때문에 대부분의 기업은 OWASP Top 10만 따르는 데 그칩니다. 그 사이 개발자들은 지속적으로 기능을 개발하며, 그 대가로 작성하는 코드에 끊임없이 보안 취약점을 추가하고 있습니다.
해결책은 무엇인가?
간단한 사실은 우리가 개발자들에게 안전한 프로그래밍을 성공적으로 수행할 수 있도록 도구를 제공하고 교육을 실시하지 않는다는 점입니다. 기업이 개발자들에게 적절한 보안 지식을 갖추도록 보장하도록 강제하는 규정이 없으며, 대부분의 대학과 인턴십 프로그램 역시 젊은 개발자들에게 안전한 프로그래밍을 준비시키지 못한다는 것이 안타까운 현실입니다.
누군가 비행기를 조종하려면 매우 엄격한 절차를 거쳐야 합니다. 이 절차는 비행 전 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장합니다. 아무도 이러한 포괄적인 준비와 능력 검증 없이 누군가가 공중을 날아다닐 것이라고 상상조차 하지 않을 것입니다. 그러나 바로 이런 일이 코드 작성 시 매일같이 벌어지고 있습니다.
우리는 개발자들에게 안전한 코드 작성을 가르치는 데 시간을 할애해야 합니다. 그러나 소프트웨어 개발이 급속도로 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 세상에서는 이것이 결코 우선순위가 되지 않는 듯합니다. 이제 우리가 대화를 바꿔야 할 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제도 존재할 수 없다"고 외쳤으며, 관련 콘텐츠에서는 보안의 필요성이 모든 디지털 전환 전략의 핵심 요소임을 논증했다. "보안은 기업을 보호하고 혁신을 가능하게 하며 새로운 제품과 서비스를 개발할 수 있게 합니다. 보안은 방어적 역할에 그치지 않고 기업에 전략적 성장 우위도 제공합니다."
안전한 프로그래밍 기술과 성과 향상을 통해 기업은 강력한 사이버 보안 계층을 확보하고 더 우수하고 신속한 코드 개발을 지원받을 수 있습니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 될 수 있도록 적극적이고 실질적인 역량을 부여받아야 합니다. 개발자는 차세대 보안 및 혁신의 주역이 될 수 있습니다. 그들은 매우 영리한 인재이며, 창의적인 문제 해결사이며, 일반적으로 자신의 역량을 확장하는 데 관심이 있습니다. 그들이 받을 자격이 있는 전문 교육을 통해 그들의 강점을 활용하고, 더 높은 소프트웨어 보안 기준을 위해 노력하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려면 매우 엄격한 절차를 거쳐야 합니다. 이 절차는 비행 전 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장합니다. 아무도 이러한 포괄적인 준비와 능력 검증 없이 누군가가 공중을 날아다닐 것이라고 상상조차 하지 않을 것입니다. 그러나 바로 이런 일이 코드 작성 시 매일같이 벌어지고 있습니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
바퀴벌레는 기본적으로 모든 것을 견딜 수 있다는 유명한 이론이 있습니다 — 심지어 핵폭발도 견딜 수 있다고 합니다. 비록 이 이론이 어느 정도까지만 맞는 것이지만, 바퀴벌레는 몸집에 비해 단순한 신체 구조 덕분에 극도로 튼튼하며 대부분의 환경에서 박멸하기 어렵습니다.
생각해보니... 디지털 세계에서 바퀴벌레에 해당하는 것이 있다면, 그것은 코드 내 SQL 인젝션 취약점(SQLi)일 것이다. 이는 20년 넘게 알려진 보안 취약점임에도 불구하고, 기업들은 계속해서 이에 노출되고 있다. 타겟(Target)을 대상으로 한 광범위하고 비용이 많이 드는 공격은 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사례 역시 마찬가지였습니다. 이 사건으로 20만 명의 유권자 데이터가 유출되었고, FBI는 모든 IT 관리자들에게 보안 관행을 강화하기 위해 신속히 조치할 것을 권고했습니다.
Imperva의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사고의 83%에서 SQLi 공격이 사용된 것으로 드러났습니다. 오늘날에도 인젝션 취약점은 여전히 OWASP Top 10에서 가장 큰 위협 요소입니다. 상대적으로 간단하지만, 이 취약점은 쉽게 사라지지 않을 것입니다.
동일한 보안 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며, 이를 차단하는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 진실은 우리 소프트웨어 보안에 개선의 여지가 매우 많다는 점입니다.
베라코드(Veracode)의 소프트웨어 보안 현황 보고서는 2017년 40만 건의 애플리케이션 스캔을 기반으로 "경고할 만한 통계"를 제시했습니다: 애플리케이션의 단 30%만이 OWASP Top 10 지침을 준수했습니다. 이는 지난 5년간 지속적으로 나타난 현상입니다. 새로 스캔한 애플리케이션 중 거의 3분의 1에서 SQL 인젝션이 발견되었습니다. 이는 광범위하게 퍼진 문제의 증거입니다. 우리는 실수로부터 배우지 못하고 있으며, CISO들은 충분한 보안 인재를 확보하기 위해 고군분투하고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 1:100으로 불충분합니다.
소프트웨어 보안이 생명 유지 장치인 이유는 무엇인가?
전문 보안 인력이 부족하다는 것은 비밀이 아니지만, 개발자들이 문제가 발생했을 때 즉시 해결하지 못하고 보안 취약점을 아예 도입하지 않도록 대비하는 데 명백히 준비가 되어 있지 않다는 점에도 주의를 기울여야 합니다. 동일한 Veracode 보고서에서 개발 과정에서 발견된 전체 보안 취약점 중 문서화된 해결책이 마련된 경우는 14.4%에 불과한 것으로 밝혀졌습니다. 즉, 대부분의 보안 취약점은 해결책 없이 보고된 것입니다. 보안 취약점의 3분의 1 미만이 최초 발견 후 90일 이내에 해결되었으며, 42%는 개발 기간 내내 전혀 해결되지 않은 채 방치되었습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 대화합니다. 경험적으로 알게 된 것은 많은 기업들이 발견된 보안 취약점 중 완화할 수 없는 것들의 수(거짓경보라는 재앙에 더해)에 너무 좌절하여 아예 취약점 탐색을 중단하고, 그냥 손가락을 꼬며 최선의 결과를 바라는 경우가 많다는 점입니다.
왜 앱 보안 전문가들은 이런 일이 일어나도록 내버려 두는가?
오해하지 마십시오: 앱 보안 담당자들은 코드 내 문제점을 뼈저리게 잘 알고 있습니다. 결국 이는 그들을 팀의 소중한 자원으로 만드는 핵심 역량 중 하나입니다. 그러나 그들은 종종 여러 요인에 의해 방해를 받습니다.
예를 들어, 앱 보안 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 기능 제공을 위한 엄격한 스프린트 일정을 맞추느라 너무 바빠서 이러한 문제를 해결할 시간이 없으며, 이를 돕기 위한 적절한 도구도 갖추지 못한 경우가 많습니다. 애플리케이션 보안 전문가들은 취약점을 식별할 수는 있지만, 현장에서 이를 해결할 수 있는 기술 및/또는 접근 권한이 부족한 경우가 많습니다.
우리는 또한 모든 문제에는 해결책을 찾고, 구현하고, 테스트해야 하는 과정이 있다는 점을 분명히 인식해야 합니다. 코드에서 발견되는 가장 사소한 문제조차도 해결하는 데 소요되는 시간은 물론 필요한 자원이 엄청납니다. 소프트웨어에 도입될 수 있는 보안 취약점은 700가지가 넘으며, 한 사람이 모든 취약점을 막는 것은 불가능합니다. 이 때문에 대부분의 기업은 OWASP Top 10만 따르는 데 그칩니다. 그 사이 개발자들은 지속적으로 기능을 개발하며, 그 대가로 작성하는 코드에 끊임없이 보안 취약점을 추가하고 있습니다.
해결책은 무엇인가?
간단한 사실은 우리가 개발자들에게 안전한 프로그래밍을 성공적으로 수행할 수 있도록 도구를 제공하고 교육을 실시하지 않는다는 점입니다. 기업이 개발자들에게 적절한 보안 지식을 갖추도록 보장하도록 강제하는 규정이 없으며, 대부분의 대학과 인턴십 프로그램 역시 젊은 개발자들에게 안전한 프로그래밍을 준비시키지 못한다는 것이 안타까운 현실입니다.
누군가 비행기를 조종하려면 매우 엄격한 절차를 거쳐야 합니다. 이 절차는 비행 전 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장합니다. 아무도 이러한 포괄적인 준비와 능력 검증 없이 누군가가 공중을 날아다닐 것이라고 상상조차 하지 않을 것입니다. 그러나 바로 이런 일이 코드 작성 시 매일같이 벌어지고 있습니다.
우리는 개발자들에게 안전한 코드 작성을 가르치는 데 시간을 할애해야 합니다. 그러나 소프트웨어 개발이 급속도로 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 세상에서는 이것이 결코 우선순위가 되지 않는 듯합니다. 이제 우리가 대화를 바꿔야 할 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제도 존재할 수 없다"고 외쳤으며, 관련 콘텐츠에서는 보안의 필요성이 모든 디지털 전환 전략의 핵심 요소임을 논증했다. "보안은 기업을 보호하고 혁신을 가능하게 하며 새로운 제품과 서비스를 개발할 수 있게 합니다. 보안은 방어적 역할에 그치지 않고 기업에 전략적 성장 우위도 제공합니다."
안전한 프로그래밍 기술과 성과 향상을 통해 기업은 강력한 사이버 보안 계층을 확보하고 더 우수하고 신속한 코드 개발을 지원받을 수 있습니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 될 수 있도록 적극적이고 실질적인 역량을 부여받아야 합니다. 개발자는 차세대 보안 및 혁신의 주역이 될 수 있습니다. 그들은 매우 영리한 인재이며, 창의적인 문제 해결사이며, 일반적으로 자신의 역량을 확장하는 데 관심이 있습니다. 그들이 받을 자격이 있는 전문 교육을 통해 그들의 강점을 활용하고, 더 높은 소프트웨어 보안 기준을 위해 노력하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려면 매우 엄격한 절차를 거쳐야 합니다. 이 절차는 비행 전 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장합니다. 아무도 이러한 포괄적인 준비와 능력 검증 없이 누군가가 공중을 날아다닐 것이라고 상상조차 하지 않을 것입니다. 그러나 바로 이런 일이 코드 작성 시 매일같이 벌어지고 있습니다.
바퀴벌레는 기본적으로 모든 것을 견딜 수 있다는 유명한 이론이 있습니다 — 심지어 핵폭발도 견딜 수 있다고 합니다. 비록 이 이론이 어느 정도까지만 맞는 것이지만, 바퀴벌레는 몸집에 비해 단순한 신체 구조 덕분에 극도로 튼튼하며 대부분의 환경에서 박멸하기 어렵습니다.
생각해보니... 디지털 세계에서 바퀴벌레에 해당하는 것이 있다면, 그것은 코드 내 SQL 인젝션 취약점(SQLi)일 것이다. 이는 20년 넘게 알려진 보안 취약점임에도 불구하고, 기업들은 계속해서 이에 노출되고 있다. 타겟(Target)을 대상으로 한 광범위하고 비용이 많이 드는 공격은 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사례 역시 마찬가지였습니다. 이 사건으로 20만 명의 유권자 데이터가 유출되었고, FBI는 모든 IT 관리자들에게 보안 관행을 강화하기 위해 신속히 조치할 것을 권고했습니다.
Imperva의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사고의 83%에서 SQLi 공격이 사용된 것으로 드러났습니다. 오늘날에도 인젝션 취약점은 여전히 OWASP Top 10에서 가장 큰 위협 요소입니다. 상대적으로 간단하지만, 이 취약점은 쉽게 사라지지 않을 것입니다.
동일한 보안 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며, 이를 차단하는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 진실은 우리 소프트웨어 보안에 개선의 여지가 매우 많다는 점입니다.
베라코드(Veracode)의 소프트웨어 보안 현황 보고서는 2017년 40만 건의 애플리케이션 스캔을 기반으로 "경고할 만한 통계"를 제시했습니다: 애플리케이션의 단 30%만이 OWASP Top 10 지침을 준수했습니다. 이는 지난 5년간 지속적으로 나타난 현상입니다. 새로 스캔한 애플리케이션 중 거의 3분의 1에서 SQL 인젝션이 발견되었습니다. 이는 광범위하게 퍼진 문제의 증거입니다. 우리는 실수로부터 배우지 못하고 있으며, CISO들은 충분한 보안 인재를 확보하기 위해 고군분투하고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 1:100으로 불충분합니다.
소프트웨어 보안이 생명 유지 장치인 이유는 무엇인가?
전문 보안 인력이 부족하다는 것은 비밀이 아니지만, 개발자들이 문제가 발생했을 때 즉시 해결하지 못하고 보안 취약점을 아예 도입하지 않도록 대비하는 데 명백히 준비가 되어 있지 않다는 점에도 주의를 기울여야 합니다. 동일한 Veracode 보고서에서 개발 과정에서 발견된 전체 보안 취약점 중 문서화된 해결책이 마련된 경우는 14.4%에 불과한 것으로 밝혀졌습니다. 즉, 대부분의 보안 취약점은 해결책 없이 보고된 것입니다. 보안 취약점의 3분의 1 미만이 최초 발견 후 90일 이내에 해결되었으며, 42%는 개발 기간 내내 전혀 해결되지 않은 채 방치되었습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 대화합니다. 경험적으로 알게 된 것은 많은 기업들이 발견된 보안 취약점 중 완화할 수 없는 것들의 수(거짓경보라는 재앙에 더해)에 너무 좌절하여 아예 취약점 탐색을 중단하고, 그냥 손가락을 꼬며 최선의 결과를 바라는 경우가 많다는 점입니다.
왜 앱 보안 전문가들은 이런 일이 일어나도록 내버려 두는가?
오해하지 마십시오: 앱 보안 담당자들은 코드 내 문제점을 뼈저리게 잘 알고 있습니다. 결국 이는 그들을 팀의 소중한 자원으로 만드는 핵심 역량 중 하나입니다. 그러나 그들은 종종 여러 요인에 의해 방해를 받습니다.
예를 들어, 앱 보안 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 기능 제공을 위한 엄격한 스프린트 일정을 맞추느라 너무 바빠서 이러한 문제를 해결할 시간이 없으며, 이를 돕기 위한 적절한 도구도 갖추지 못한 경우가 많습니다. 애플리케이션 보안 전문가들은 취약점을 식별할 수는 있지만, 현장에서 이를 해결할 수 있는 기술 및/또는 접근 권한이 부족한 경우가 많습니다.
우리는 또한 모든 문제에는 해결책을 찾고, 구현하고, 테스트해야 하는 과정이 있다는 점을 분명히 인식해야 합니다. 코드에서 발견되는 가장 사소한 문제조차도 해결하는 데 소요되는 시간은 물론 필요한 자원이 엄청납니다. 소프트웨어에 도입될 수 있는 보안 취약점은 700가지가 넘으며, 한 사람이 모든 취약점을 막는 것은 불가능합니다. 이 때문에 대부분의 기업은 OWASP Top 10만 따르는 데 그칩니다. 그 사이 개발자들은 지속적으로 기능을 개발하며, 그 대가로 작성하는 코드에 끊임없이 보안 취약점을 추가하고 있습니다.
해결책은 무엇인가?
간단한 사실은 우리가 개발자들에게 안전한 프로그래밍을 성공적으로 수행할 수 있도록 도구를 제공하고 교육을 실시하지 않는다는 점입니다. 기업이 개발자들에게 적절한 보안 지식을 갖추도록 보장하도록 강제하는 규정이 없으며, 대부분의 대학과 인턴십 프로그램 역시 젊은 개발자들에게 안전한 프로그래밍을 준비시키지 못한다는 것이 안타까운 현실입니다.
누군가 비행기를 조종하려면 매우 엄격한 절차를 거쳐야 합니다. 이 절차는 비행 전 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장합니다. 아무도 이러한 포괄적인 준비와 능력 검증 없이 누군가가 공중을 날아다닐 것이라고 상상조차 하지 않을 것입니다. 그러나 바로 이런 일이 코드 작성 시 매일같이 벌어지고 있습니다.
우리는 개발자들에게 안전한 코드 작성을 가르치는 데 시간을 할애해야 합니다. 그러나 소프트웨어 개발이 급속도로 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 세상에서는 이것이 결코 우선순위가 되지 않는 듯합니다. 이제 우리가 대화를 바꿔야 할 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제도 존재할 수 없다"고 외쳤으며, 관련 콘텐츠에서는 보안의 필요성이 모든 디지털 전환 전략의 핵심 요소임을 논증했다. "보안은 기업을 보호하고 혁신을 가능하게 하며 새로운 제품과 서비스를 개발할 수 있게 합니다. 보안은 방어적 역할에 그치지 않고 기업에 전략적 성장 우위도 제공합니다."
안전한 프로그래밍 기술과 성과 향상을 통해 기업은 강력한 사이버 보안 계층을 확보하고 더 우수하고 신속한 코드 개발을 지원받을 수 있습니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 될 수 있도록 적극적이고 실질적인 역량을 부여받아야 합니다. 개발자는 차세대 보안 및 혁신의 주역이 될 수 있습니다. 그들은 매우 영리한 인재이며, 창의적인 문제 해결사이며, 일반적으로 자신의 역량을 확장하는 데 관심이 있습니다. 그들이 받을 자격이 있는 전문 교육을 통해 그들의 강점을 활용하고, 더 높은 소프트웨어 보안 기준을 위해 노력하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려면 매우 엄격한 절차를 거쳐야 합니다. 이 절차는 비행 전 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장합니다. 아무도 이러한 포괄적인 준비와 능력 검증 없이 누군가가 공중을 날아다닐 것이라고 상상조차 하지 않을 것입니다. 그러나 바로 이런 일이 코드 작성 시 매일같이 벌어지고 있습니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
바퀴벌레는 기본적으로 모든 것을 견딜 수 있다는 유명한 이론이 있습니다 — 심지어 핵폭발도 견딜 수 있다고 합니다. 비록 이 이론이 어느 정도까지만 맞는 것이지만, 바퀴벌레는 몸집에 비해 단순한 신체 구조 덕분에 극도로 튼튼하며 대부분의 환경에서 박멸하기 어렵습니다.
생각해보니... 디지털 세계에서 바퀴벌레에 해당하는 것이 있다면, 그것은 코드 내 SQL 인젝션 취약점(SQLi)일 것이다. 이는 20년 넘게 알려진 보안 취약점임에도 불구하고, 기업들은 계속해서 이에 노출되고 있다. 타겟(Target)을 대상으로 한 광범위하고 비용이 많이 드는 공격은 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사례 역시 마찬가지였습니다. 이 사건으로 20만 명의 유권자 데이터가 유출되었고, FBI는 모든 IT 관리자들에게 보안 관행을 강화하기 위해 신속히 조치할 것을 권고했습니다.
Imperva의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사고의 83%에서 SQLi 공격이 사용된 것으로 드러났습니다. 오늘날에도 인젝션 취약점은 여전히 OWASP Top 10에서 가장 큰 위협 요소입니다. 상대적으로 간단하지만, 이 취약점은 쉽게 사라지지 않을 것입니다.
동일한 보안 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며, 이를 차단하는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 진실은 우리 소프트웨어 보안에 개선의 여지가 매우 많다는 점입니다.
베라코드(Veracode)의 소프트웨어 보안 현황 보고서는 2017년 40만 건의 애플리케이션 스캔을 기반으로 "경고할 만한 통계"를 제시했습니다: 애플리케이션의 단 30%만이 OWASP Top 10 지침을 준수했습니다. 이는 지난 5년간 지속적으로 나타난 현상입니다. 새로 스캔한 애플리케이션 중 거의 3분의 1에서 SQL 인젝션이 발견되었습니다. 이는 광범위하게 퍼진 문제의 증거입니다. 우리는 실수로부터 배우지 못하고 있으며, CISO들은 충분한 보안 인재를 확보하기 위해 고군분투하고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 1:100으로 불충분합니다.
소프트웨어 보안이 생명 유지 장치인 이유는 무엇인가?
전문 보안 인력이 부족하다는 것은 비밀이 아니지만, 개발자들이 문제가 발생했을 때 즉시 해결하지 못하고 보안 취약점을 아예 도입하지 않도록 대비하는 데 명백히 준비가 되어 있지 않다는 점에도 주의를 기울여야 합니다. 동일한 Veracode 보고서에서 개발 과정에서 발견된 전체 보안 취약점 중 문서화된 해결책이 마련된 경우는 14.4%에 불과한 것으로 밝혀졌습니다. 즉, 대부분의 보안 취약점은 해결책 없이 보고된 것입니다. 보안 취약점의 3분의 1 미만이 최초 발견 후 90일 이내에 해결되었으며, 42%는 개발 기간 내내 전혀 해결되지 않은 채 방치되었습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 대화합니다. 경험적으로 알게 된 것은 많은 기업들이 발견된 보안 취약점 중 완화할 수 없는 것들의 수(거짓경보라는 재앙에 더해)에 너무 좌절하여 아예 취약점 탐색을 중단하고, 그냥 손가락을 꼬며 최선의 결과를 바라는 경우가 많다는 점입니다.
왜 앱 보안 전문가들은 이런 일이 일어나도록 내버려 두는가?
오해하지 마십시오: 앱 보안 담당자들은 코드 내 문제점을 뼈저리게 잘 알고 있습니다. 결국 이는 그들을 팀의 소중한 자원으로 만드는 핵심 역량 중 하나입니다. 그러나 그들은 종종 여러 요인에 의해 방해를 받습니다.
예를 들어, 앱 보안 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 기능 제공을 위한 엄격한 스프린트 일정을 맞추느라 너무 바빠서 이러한 문제를 해결할 시간이 없으며, 이를 돕기 위한 적절한 도구도 갖추지 못한 경우가 많습니다. 애플리케이션 보안 전문가들은 취약점을 식별할 수는 있지만, 현장에서 이를 해결할 수 있는 기술 및/또는 접근 권한이 부족한 경우가 많습니다.
우리는 또한 모든 문제에는 해결책을 찾고, 구현하고, 테스트해야 하는 과정이 있다는 점을 분명히 인식해야 합니다. 코드에서 발견되는 가장 사소한 문제조차도 해결하는 데 소요되는 시간은 물론 필요한 자원이 엄청납니다. 소프트웨어에 도입될 수 있는 보안 취약점은 700가지가 넘으며, 한 사람이 모든 취약점을 막는 것은 불가능합니다. 이 때문에 대부분의 기업은 OWASP Top 10만 따르는 데 그칩니다. 그 사이 개발자들은 지속적으로 기능을 개발하며, 그 대가로 작성하는 코드에 끊임없이 보안 취약점을 추가하고 있습니다.
해결책은 무엇인가?
간단한 사실은 우리가 개발자들에게 안전한 프로그래밍을 성공적으로 수행할 수 있도록 도구를 제공하고 교육을 실시하지 않는다는 점입니다. 기업이 개발자들에게 적절한 보안 지식을 갖추도록 보장하도록 강제하는 규정이 없으며, 대부분의 대학과 인턴십 프로그램 역시 젊은 개발자들에게 안전한 프로그래밍을 준비시키지 못한다는 것이 안타까운 현실입니다.
누군가 비행기를 조종하려면 매우 엄격한 절차를 거쳐야 합니다. 이 절차는 비행 전 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장합니다. 아무도 이러한 포괄적인 준비와 능력 검증 없이 누군가가 공중을 날아다닐 것이라고 상상조차 하지 않을 것입니다. 그러나 바로 이런 일이 코드 작성 시 매일같이 벌어지고 있습니다.
우리는 개발자들에게 안전한 코드 작성을 가르치는 데 시간을 할애해야 합니다. 그러나 소프트웨어 개발이 급속도로 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 세상에서는 이것이 결코 우선순위가 되지 않는 듯합니다. 이제 우리가 대화를 바꿔야 할 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제도 존재할 수 없다"고 외쳤으며, 관련 콘텐츠에서는 보안의 필요성이 모든 디지털 전환 전략의 핵심 요소임을 논증했다. "보안은 기업을 보호하고 혁신을 가능하게 하며 새로운 제품과 서비스를 개발할 수 있게 합니다. 보안은 방어적 역할에 그치지 않고 기업에 전략적 성장 우위도 제공합니다."
안전한 프로그래밍 기술과 성과 향상을 통해 기업은 강력한 사이버 보안 계층을 확보하고 더 우수하고 신속한 코드 개발을 지원받을 수 있습니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 될 수 있도록 적극적이고 실질적인 역량을 부여받아야 합니다. 개발자는 차세대 보안 및 혁신의 주역이 될 수 있습니다. 그들은 매우 영리한 인재이며, 창의적인 문제 해결사이며, 일반적으로 자신의 역량을 확장하는 데 관심이 있습니다. 그들이 받을 자격이 있는 전문 교육을 통해 그들의 강점을 활용하고, 더 높은 소프트웨어 보안 기준을 위해 노력하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려면 매우 엄격한 절차를 거쳐야 합니다. 이 절차는 비행 전 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장합니다. 아무도 이러한 포괄적인 준비와 능력 검증 없이 누군가가 공중을 날아다닐 것이라고 상상조차 하지 않을 것입니다. 그러나 바로 이런 일이 코드 작성 시 매일같이 벌어지고 있습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
