왜 우리는 호기심 많은 보안 요원을 지원해야 하며 처벌해서는 안 되는가
청소년 보안 연구원 빌 데미르카피의 최근 보고서는 그가 다니는 학교에서 사용된 소프트웨어의 심각한 보안 취약점을 발견한 내용으로, 분명히 많은 이들의 추억을 떠올리게 했을 것이다. 호기심 많은 아이였던 나는 소프트웨어의 덮개를 벗겨내어 그 이면을 들여다보고 모든 것이 어떻게 작동하는지, 그리고 더 중요한 것은 내가 그것을 망가뜨릴 수 있는지 확인하곤 했다. 수십 년 동안 소프트웨어 엔지니어들은 제품을 지속적으로 개선하고 강화하기 위해 노력해 왔으며, 보안 커뮤니티(때로는 다소 건방진 접근 방식을 보이기도 하지만)는 악의적인 공격자가 같은 일을 하기 전에 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다.
그러나 문제는 그가 자신의 발견에 대한 반응으로 경미한 학교 출석 정지 처분을 받았다는 점이다. 그리고 이는 그가 회사(폴렛 코퍼레이션)에 사적으로 연락할 수 있는 모든 방법을 동원한 후에야 발생했으며, 결국 자신을 드러내고 그들의 시스템을 뚫을 수 있는 자신의 능력을 증명하기 위해 상당히 공개적인 폭로를 선택하게 되었다. 폴렛 코퍼레이션에 윤리적으로 경고하려는 그의 반복적인 시도는 응답 없이 묵살되었으며, 소프트웨어는 여전히 취약한 상태로 남아 있었습니다. 학생 데이터의 상당 부분이 암호화되지 않은 상태였기에, 이 데이터들은 비교적 쉽게 접근 가능한 상태였습니다.
그는 다른 회사인 블랙보드의 소프트웨어에서도 결함을 찾아 나섰다. 블랙보드의 데이터는 적어도 암호화되어 있었지만, 잠재적 공격자가 침투하여 수백만 건의 추가 데이터 세트를 탈취할 수 있었다. 이 소프트웨어와 폴렛의 제품 모두 그의 학교에서 사용되고 있었다.
"악의적인 해커"라는 서사는 문제가 있다.
데미르카피는 올해 열린 '어떤 일이 있어도' 행사에서 자신의 연구 결과를 발표했으며, 그의 장난기 가득한 행동의 세부 사항들은 관중들의 박수를 이끌어냈다. 정당한 박수였다. 비록 처음에는 불명예를 안고 자신의 발견이 인정받기까지 많은 장애물을 겪었지만, 폴렛 코퍼레이션은 그의 노력에 감사하며 그의 조언을 따랐고, 결국 소프트웨어를 더 안전하게 만들어 데이터 유출 사고 통계에 추가될 위기를 막을 수 있었다고 한다. 고등학교 졸업 후 그는 로체스터 공과대학에도 진학할 예정이다. 따라서 그가 수요가 많은 보안 전문가가 되기 위한 올바른 길을 가고 있음은 분명하다.
제가 보안 담당자이기 때문에, 이 상황이 처리된 방식에 대해 우려하지 않을 수 없습니다. 비록 이번 사건은 잘 마무리되었지만, 그는 처음에 참견하지 말아야 할 곳에 코를 들이미는 성가신 시나리오 속 꼬마처럼 취급받았습니다. 이 사건에 대한 구글 검색 결과에는 그를 '해커'로 지칭하는 기사들이 포함되어 있습니다(보안 비전문가들의 눈에는 이런 표현이 그를 여러모로 악당으로 포지셔닝합니다). 하지만 그의 접근 방식(그리고 다른 많은 이들의 방식)은 실제로 우리 데이터를 보호하는 데 기여합니다.
우리는 호기심 많고 똑똑하며 보안에 관심이 있는 사람들이 시스템 내부까지 들여다보길 원합니다. 그리고 이런 일이 훨씬 더 자주 일어나야 합니다. 7월 기준으로 올해만 악의적인 데이터 유출로 인해 40억 건 이상의 기록이 노출되었습니다. 패션 및 라이프스타일 브랜드 포쉬마크(Poshmark)의 8월 보안 침해로 인해 이 수치는 5천만 건이 더 늘어날 수 있습니다.
우리는 같은 실수를 반복하고 있으며, 더욱 우려스러운 점은 종종 단순한 보안 취약점들이 우리를 계속해서 넘어지게 만든다는 사실입니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았다.
VERKABELT의 보도에 따르면, Blackboard의 커뮤니티 참여 소프트웨어와 Follett의 학생 정보 시스템은 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 흔히 발생하는 보안 취약점을 포함하고 있어 Demirkapi에 의해 발견되었습니다. 이러한 취약점들은 1990년대부터 보안 전문가들의 골칫거리였습니다. 우리는 이 취약점들의 존재를 꽤 오랫동안 참아왔습니다. 정말 오래전부터 말이죠. 하이퍼컬러 티셔츠나 플로피 디스크처럼 이제는 먼 옛날의 추억이 되어야 할 것입니다.
그러나 현실은 그렇지 않으며, 충분한 보안 의식을 갖춘 개발자가 부족하여 코드에 이러한 취약점이 도입되는 것을 막지 못하고 있음은 분명합니다. 스캔 도구와 수동 코드 검토는 한계가 있으며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재합니다. 이러한 비용과 시간이 많이 드는 조치들은 오히려 그 문제들에 더 효과적으로 활용될 수 있습니다.
빌 데미르카피 같은 사람들은 개발자들이 더 높은 코드 기준을 세우도록 영감을 줘야 한다. 고작 17세의 나이에 그는 두 개의 고빈도 시스템에 침투했는데, 이는 코드가 공개되기 전에 발견되고 수정되었어야 할 위협 경로를 통해 이루어졌다.
게임화: 참여의 열쇠?
개발자들이 여전히 보안 문제와 거리를 두는 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직 차원이나 교육 차원에서 보안 의식을 가진 개발자를 육성하기 위한 노력이 거의 이루어지지 않기 때문입니다. 기업이 시간을 들여 참여를 보상하고 인정하는 보안 문화를 구축하고, 개발자의 언어로 소통하며 계속 시도하도록 동기를 부여하는 교육을 시행한다면, 우리가 사용하는 소프트웨어에서 이러한 성가신 보안 취약점의 잔재들은 점차 사라질 것입니다.
데미르카피는 분명히 학교 밖에서 보안에 관심을 가지고 있으며, 악성코드를 역공학하고, 결함을 발견하고, 겉보기에는 고장 나지 않은 것들을 고장 내는 법을 배우는 데 시간을 투자했습니다. 하지만 LASTER와의 대화(그리고 그의 DEF CON 발표 자료)에서 그는 자기 학습에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
"학교 소프트웨어에서 무언가를 찾아보려는 목표 아래, 스스로 침투 테스트를 배울 수 있는 재미있고 게임 같은 방식이었습니다. 비록 더 배우려는 의도로 조사를 시작했지만, 예상보다 상황이 훨씬 심각하다는 걸 깨달았습니다."라고 그는 말했다.
모든 개발자가 보안 전문가가 되길 원하지는 않겠지만, 각 개발자에게 보안 의식을 갖출 수 있는 기회가 주어져야 합니다. 특히 조직 내에서 방대한 양의 민감한 데이터를 관리하는 이들에게는 보안 기초 지식이 일종의 '프로그래밍 자격증' 역할을 해야 합니다. 가장 기본적인 보안 취약점이 개발자가 코드를 작성하기 전에 누구나 패치할 수 있다면, 우리는 혼란을 일으키려는 자들에 맞서 훨씬 더 안전한 위치에 설 수 있습니다.
게임화 된 교육에 관심이 있으신가요? 저희 '코더스 컨커 시큐리티' 시리즈를 확인해 보세요 XSS 및 SQL 인젝션.
청소년 보안 연구원 빌 데미르카피가 자신의 학교에서 사용하는 소프트웨어의 심각한 보안 취약점을 발견했을 때 분명 많은 이들의 추억을 떠올리게 했을 것이다. 나 역시 호기심 많은 아이였는데, 소프트웨어의 덮개를 벗겨내어 그 안을 들여다보고 모든 것이 어떻게 작동하는지... 그리고 내가 그것을 망가뜨릴 수 있는지 확인하곤 했다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
청소년 보안 연구원 빌 데미르카피의 최근 보고서는 그가 다니는 학교에서 사용된 소프트웨어의 심각한 보안 취약점을 발견한 내용으로, 분명히 많은 이들의 추억을 떠올리게 했을 것이다. 호기심 많은 아이였던 나는 소프트웨어의 덮개를 벗겨내어 그 이면을 들여다보고 모든 것이 어떻게 작동하는지, 그리고 더 중요한 것은 내가 그것을 망가뜨릴 수 있는지 확인하곤 했다. 수십 년 동안 소프트웨어 엔지니어들은 제품을 지속적으로 개선하고 강화하기 위해 노력해 왔으며, 보안 커뮤니티(때로는 다소 건방진 접근 방식을 보이기도 하지만)는 악의적인 공격자가 같은 일을 하기 전에 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다.
그러나 문제는 그가 자신의 발견에 대한 반응으로 경미한 학교 출석 정지 처분을 받았다는 점이다. 그리고 이는 그가 회사(폴렛 코퍼레이션)에 사적으로 연락할 수 있는 모든 방법을 동원한 후에야 발생했으며, 결국 자신을 드러내고 그들의 시스템을 뚫을 수 있는 자신의 능력을 증명하기 위해 상당히 공개적인 폭로를 선택하게 되었다. 폴렛 코퍼레이션에 윤리적으로 경고하려는 그의 반복적인 시도는 응답 없이 묵살되었으며, 소프트웨어는 여전히 취약한 상태로 남아 있었습니다. 학생 데이터의 상당 부분이 암호화되지 않은 상태였기에, 이 데이터들은 비교적 쉽게 접근 가능한 상태였습니다.
그는 다른 회사인 블랙보드의 소프트웨어에서도 결함을 찾아 나섰다. 블랙보드의 데이터는 적어도 암호화되어 있었지만, 잠재적 공격자가 침투하여 수백만 건의 추가 데이터 세트를 탈취할 수 있었다. 이 소프트웨어와 폴렛의 제품 모두 그의 학교에서 사용되고 있었다.
"악의적인 해커"라는 서사는 문제가 있다.
데미르카피는 올해 열린 '어떤 일이 있어도' 행사에서 자신의 연구 결과를 발표했으며, 그의 장난기 가득한 행동의 세부 사항들은 관중들의 박수를 이끌어냈다. 정당한 박수였다. 비록 처음에는 불명예를 안고 자신의 발견이 인정받기까지 많은 장애물을 겪었지만, 폴렛 코퍼레이션은 그의 노력에 감사하며 그의 조언을 따랐고, 결국 소프트웨어를 더 안전하게 만들어 데이터 유출 사고 통계에 추가될 위기를 막을 수 있었다고 한다. 고등학교 졸업 후 그는 로체스터 공과대학에도 진학할 예정이다. 따라서 그가 수요가 많은 보안 전문가가 되기 위한 올바른 길을 가고 있음은 분명하다.
제가 보안 담당자이기 때문에, 이 상황이 처리된 방식에 대해 우려하지 않을 수 없습니다. 비록 이번 사건은 잘 마무리되었지만, 그는 처음에 참견하지 말아야 할 곳에 코를 들이미는 성가신 시나리오 속 꼬마처럼 취급받았습니다. 이 사건에 대한 구글 검색 결과에는 그를 '해커'로 지칭하는 기사들이 포함되어 있습니다(보안 비전문가들의 눈에는 이런 표현이 그를 여러모로 악당으로 포지셔닝합니다). 하지만 그의 접근 방식(그리고 다른 많은 이들의 방식)은 실제로 우리 데이터를 보호하는 데 기여합니다.
우리는 호기심 많고 똑똑하며 보안에 관심이 있는 사람들이 시스템 내부까지 들여다보길 원합니다. 그리고 이런 일이 훨씬 더 자주 일어나야 합니다. 7월 기준으로 올해만 악의적인 데이터 유출로 인해 40억 건 이상의 기록이 노출되었습니다. 패션 및 라이프스타일 브랜드 포쉬마크(Poshmark)의 8월 보안 침해로 인해 이 수치는 5천만 건이 더 늘어날 수 있습니다.
우리는 같은 실수를 반복하고 있으며, 더욱 우려스러운 점은 종종 단순한 보안 취약점들이 우리를 계속해서 넘어지게 만든다는 사실입니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았다.
VERKABELT의 보도에 따르면, Blackboard의 커뮤니티 참여 소프트웨어와 Follett의 학생 정보 시스템은 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 흔히 발생하는 보안 취약점을 포함하고 있어 Demirkapi에 의해 발견되었습니다. 이러한 취약점들은 1990년대부터 보안 전문가들의 골칫거리였습니다. 우리는 이 취약점들의 존재를 꽤 오랫동안 참아왔습니다. 정말 오래전부터 말이죠. 하이퍼컬러 티셔츠나 플로피 디스크처럼 이제는 먼 옛날의 추억이 되어야 할 것입니다.
그러나 현실은 그렇지 않으며, 충분한 보안 의식을 갖춘 개발자가 부족하여 코드에 이러한 취약점이 도입되는 것을 막지 못하고 있음은 분명합니다. 스캔 도구와 수동 코드 검토는 한계가 있으며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재합니다. 이러한 비용과 시간이 많이 드는 조치들은 오히려 그 문제들에 더 효과적으로 활용될 수 있습니다.
빌 데미르카피 같은 사람들은 개발자들이 더 높은 코드 기준을 세우도록 영감을 줘야 한다. 고작 17세의 나이에 그는 두 개의 고빈도 시스템에 침투했는데, 이는 코드가 공개되기 전에 발견되고 수정되었어야 할 위협 경로를 통해 이루어졌다.
게임화: 참여의 열쇠?
개발자들이 여전히 보안 문제와 거리를 두는 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직 차원이나 교육 차원에서 보안 의식을 가진 개발자를 육성하기 위한 노력이 거의 이루어지지 않기 때문입니다. 기업이 시간을 들여 참여를 보상하고 인정하는 보안 문화를 구축하고, 개발자의 언어로 소통하며 계속 시도하도록 동기를 부여하는 교육을 시행한다면, 우리가 사용하는 소프트웨어에서 이러한 성가신 보안 취약점의 잔재들은 점차 사라질 것입니다.
데미르카피는 분명히 학교 밖에서 보안에 관심을 가지고 있으며, 악성코드를 역공학하고, 결함을 발견하고, 겉보기에는 고장 나지 않은 것들을 고장 내는 법을 배우는 데 시간을 투자했습니다. 하지만 LASTER와의 대화(그리고 그의 DEF CON 발표 자료)에서 그는 자기 학습에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
"학교 소프트웨어에서 무언가를 찾아보려는 목표 아래, 스스로 침투 테스트를 배울 수 있는 재미있고 게임 같은 방식이었습니다. 비록 더 배우려는 의도로 조사를 시작했지만, 예상보다 상황이 훨씬 심각하다는 걸 깨달았습니다."라고 그는 말했다.
모든 개발자가 보안 전문가가 되길 원하지는 않겠지만, 각 개발자에게 보안 의식을 갖출 수 있는 기회가 주어져야 합니다. 특히 조직 내에서 방대한 양의 민감한 데이터를 관리하는 이들에게는 보안 기초 지식이 일종의 '프로그래밍 자격증' 역할을 해야 합니다. 가장 기본적인 보안 취약점이 개발자가 코드를 작성하기 전에 누구나 패치할 수 있다면, 우리는 혼란을 일으키려는 자들에 맞서 훨씬 더 안전한 위치에 설 수 있습니다.
게임화 된 교육에 관심이 있으신가요? 저희 '코더스 컨커 시큐리티' 시리즈를 확인해 보세요 XSS 및 SQL 인젝션.
청소년 보안 연구원 빌 데미르카피의 최근 보고서는 그가 다니는 학교에서 사용된 소프트웨어의 심각한 보안 취약점을 발견한 내용으로, 분명히 많은 이들의 추억을 떠올리게 했을 것이다. 호기심 많은 아이였던 나는 소프트웨어의 덮개를 벗겨내어 그 이면을 들여다보고 모든 것이 어떻게 작동하는지, 그리고 더 중요한 것은 내가 그것을 망가뜨릴 수 있는지 확인하곤 했다. 수십 년 동안 소프트웨어 엔지니어들은 제품을 지속적으로 개선하고 강화하기 위해 노력해 왔으며, 보안 커뮤니티(때로는 다소 건방진 접근 방식을 보이기도 하지만)는 악의적인 공격자가 같은 일을 하기 전에 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다.
그러나 문제는 그가 자신의 발견에 대한 반응으로 경미한 학교 출석 정지 처분을 받았다는 점이다. 그리고 이는 그가 회사(폴렛 코퍼레이션)에 사적으로 연락할 수 있는 모든 방법을 동원한 후에야 발생했으며, 결국 자신을 드러내고 그들의 시스템을 뚫을 수 있는 자신의 능력을 증명하기 위해 상당히 공개적인 폭로를 선택하게 되었다. 폴렛 코퍼레이션에 윤리적으로 경고하려는 그의 반복적인 시도는 응답 없이 묵살되었으며, 소프트웨어는 여전히 취약한 상태로 남아 있었습니다. 학생 데이터의 상당 부분이 암호화되지 않은 상태였기에, 이 데이터들은 비교적 쉽게 접근 가능한 상태였습니다.
그는 다른 회사인 블랙보드의 소프트웨어에서도 결함을 찾아 나섰다. 블랙보드의 데이터는 적어도 암호화되어 있었지만, 잠재적 공격자가 침투하여 수백만 건의 추가 데이터 세트를 탈취할 수 있었다. 이 소프트웨어와 폴렛의 제품 모두 그의 학교에서 사용되고 있었다.
"악의적인 해커"라는 서사는 문제가 있다.
데미르카피는 올해 열린 '어떤 일이 있어도' 행사에서 자신의 연구 결과를 발표했으며, 그의 장난기 가득한 행동의 세부 사항들은 관중들의 박수를 이끌어냈다. 정당한 박수였다. 비록 처음에는 불명예를 안고 자신의 발견이 인정받기까지 많은 장애물을 겪었지만, 폴렛 코퍼레이션은 그의 노력에 감사하며 그의 조언을 따랐고, 결국 소프트웨어를 더 안전하게 만들어 데이터 유출 사고 통계에 추가될 위기를 막을 수 있었다고 한다. 고등학교 졸업 후 그는 로체스터 공과대학에도 진학할 예정이다. 따라서 그가 수요가 많은 보안 전문가가 되기 위한 올바른 길을 가고 있음은 분명하다.
제가 보안 담당자이기 때문에, 이 상황이 처리된 방식에 대해 우려하지 않을 수 없습니다. 비록 이번 사건은 잘 마무리되었지만, 그는 처음에 참견하지 말아야 할 곳에 코를 들이미는 성가신 시나리오 속 꼬마처럼 취급받았습니다. 이 사건에 대한 구글 검색 결과에는 그를 '해커'로 지칭하는 기사들이 포함되어 있습니다(보안 비전문가들의 눈에는 이런 표현이 그를 여러모로 악당으로 포지셔닝합니다). 하지만 그의 접근 방식(그리고 다른 많은 이들의 방식)은 실제로 우리 데이터를 보호하는 데 기여합니다.
우리는 호기심 많고 똑똑하며 보안에 관심이 있는 사람들이 시스템 내부까지 들여다보길 원합니다. 그리고 이런 일이 훨씬 더 자주 일어나야 합니다. 7월 기준으로 올해만 악의적인 데이터 유출로 인해 40억 건 이상의 기록이 노출되었습니다. 패션 및 라이프스타일 브랜드 포쉬마크(Poshmark)의 8월 보안 침해로 인해 이 수치는 5천만 건이 더 늘어날 수 있습니다.
우리는 같은 실수를 반복하고 있으며, 더욱 우려스러운 점은 종종 단순한 보안 취약점들이 우리를 계속해서 넘어지게 만든다는 사실입니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았다.
VERKABELT의 보도에 따르면, Blackboard의 커뮤니티 참여 소프트웨어와 Follett의 학생 정보 시스템은 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 흔히 발생하는 보안 취약점을 포함하고 있어 Demirkapi에 의해 발견되었습니다. 이러한 취약점들은 1990년대부터 보안 전문가들의 골칫거리였습니다. 우리는 이 취약점들의 존재를 꽤 오랫동안 참아왔습니다. 정말 오래전부터 말이죠. 하이퍼컬러 티셔츠나 플로피 디스크처럼 이제는 먼 옛날의 추억이 되어야 할 것입니다.
그러나 현실은 그렇지 않으며, 충분한 보안 의식을 갖춘 개발자가 부족하여 코드에 이러한 취약점이 도입되는 것을 막지 못하고 있음은 분명합니다. 스캔 도구와 수동 코드 검토는 한계가 있으며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재합니다. 이러한 비용과 시간이 많이 드는 조치들은 오히려 그 문제들에 더 효과적으로 활용될 수 있습니다.
빌 데미르카피 같은 사람들은 개발자들이 더 높은 코드 기준을 세우도록 영감을 줘야 한다. 고작 17세의 나이에 그는 두 개의 고빈도 시스템에 침투했는데, 이는 코드가 공개되기 전에 발견되고 수정되었어야 할 위협 경로를 통해 이루어졌다.
게임화: 참여의 열쇠?
개발자들이 여전히 보안 문제와 거리를 두는 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직 차원이나 교육 차원에서 보안 의식을 가진 개발자를 육성하기 위한 노력이 거의 이루어지지 않기 때문입니다. 기업이 시간을 들여 참여를 보상하고 인정하는 보안 문화를 구축하고, 개발자의 언어로 소통하며 계속 시도하도록 동기를 부여하는 교육을 시행한다면, 우리가 사용하는 소프트웨어에서 이러한 성가신 보안 취약점의 잔재들은 점차 사라질 것입니다.
데미르카피는 분명히 학교 밖에서 보안에 관심을 가지고 있으며, 악성코드를 역공학하고, 결함을 발견하고, 겉보기에는 고장 나지 않은 것들을 고장 내는 법을 배우는 데 시간을 투자했습니다. 하지만 LASTER와의 대화(그리고 그의 DEF CON 발표 자료)에서 그는 자기 학습에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
"학교 소프트웨어에서 무언가를 찾아보려는 목표 아래, 스스로 침투 테스트를 배울 수 있는 재미있고 게임 같은 방식이었습니다. 비록 더 배우려는 의도로 조사를 시작했지만, 예상보다 상황이 훨씬 심각하다는 걸 깨달았습니다."라고 그는 말했다.
모든 개발자가 보안 전문가가 되길 원하지는 않겠지만, 각 개발자에게 보안 의식을 갖출 수 있는 기회가 주어져야 합니다. 특히 조직 내에서 방대한 양의 민감한 데이터를 관리하는 이들에게는 보안 기초 지식이 일종의 '프로그래밍 자격증' 역할을 해야 합니다. 가장 기본적인 보안 취약점이 개발자가 코드를 작성하기 전에 누구나 패치할 수 있다면, 우리는 혼란을 일으키려는 자들에 맞서 훨씬 더 안전한 위치에 설 수 있습니다.
게임화 된 교육에 관심이 있으신가요? 저희 '코더스 컨커 시큐리티' 시리즈를 확인해 보세요 XSS 및 SQL 인젝션.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
청소년 보안 연구원 빌 데미르카피의 최근 보고서는 그가 다니는 학교에서 사용된 소프트웨어의 심각한 보안 취약점을 발견한 내용으로, 분명히 많은 이들의 추억을 떠올리게 했을 것이다. 호기심 많은 아이였던 나는 소프트웨어의 덮개를 벗겨내어 그 이면을 들여다보고 모든 것이 어떻게 작동하는지, 그리고 더 중요한 것은 내가 그것을 망가뜨릴 수 있는지 확인하곤 했다. 수십 년 동안 소프트웨어 엔지니어들은 제품을 지속적으로 개선하고 강화하기 위해 노력해 왔으며, 보안 커뮤니티(때로는 다소 건방진 접근 방식을 보이기도 하지만)는 악의적인 공격자가 같은 일을 하기 전에 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다.
그러나 문제는 그가 자신의 발견에 대한 반응으로 경미한 학교 출석 정지 처분을 받았다는 점이다. 그리고 이는 그가 회사(폴렛 코퍼레이션)에 사적으로 연락할 수 있는 모든 방법을 동원한 후에야 발생했으며, 결국 자신을 드러내고 그들의 시스템을 뚫을 수 있는 자신의 능력을 증명하기 위해 상당히 공개적인 폭로를 선택하게 되었다. 폴렛 코퍼레이션에 윤리적으로 경고하려는 그의 반복적인 시도는 응답 없이 묵살되었으며, 소프트웨어는 여전히 취약한 상태로 남아 있었습니다. 학생 데이터의 상당 부분이 암호화되지 않은 상태였기에, 이 데이터들은 비교적 쉽게 접근 가능한 상태였습니다.
그는 다른 회사인 블랙보드의 소프트웨어에서도 결함을 찾아 나섰다. 블랙보드의 데이터는 적어도 암호화되어 있었지만, 잠재적 공격자가 침투하여 수백만 건의 추가 데이터 세트를 탈취할 수 있었다. 이 소프트웨어와 폴렛의 제품 모두 그의 학교에서 사용되고 있었다.
"악의적인 해커"라는 서사는 문제가 있다.
데미르카피는 올해 열린 '어떤 일이 있어도' 행사에서 자신의 연구 결과를 발표했으며, 그의 장난기 가득한 행동의 세부 사항들은 관중들의 박수를 이끌어냈다. 정당한 박수였다. 비록 처음에는 불명예를 안고 자신의 발견이 인정받기까지 많은 장애물을 겪었지만, 폴렛 코퍼레이션은 그의 노력에 감사하며 그의 조언을 따랐고, 결국 소프트웨어를 더 안전하게 만들어 데이터 유출 사고 통계에 추가될 위기를 막을 수 있었다고 한다. 고등학교 졸업 후 그는 로체스터 공과대학에도 진학할 예정이다. 따라서 그가 수요가 많은 보안 전문가가 되기 위한 올바른 길을 가고 있음은 분명하다.
제가 보안 담당자이기 때문에, 이 상황이 처리된 방식에 대해 우려하지 않을 수 없습니다. 비록 이번 사건은 잘 마무리되었지만, 그는 처음에 참견하지 말아야 할 곳에 코를 들이미는 성가신 시나리오 속 꼬마처럼 취급받았습니다. 이 사건에 대한 구글 검색 결과에는 그를 '해커'로 지칭하는 기사들이 포함되어 있습니다(보안 비전문가들의 눈에는 이런 표현이 그를 여러모로 악당으로 포지셔닝합니다). 하지만 그의 접근 방식(그리고 다른 많은 이들의 방식)은 실제로 우리 데이터를 보호하는 데 기여합니다.
우리는 호기심 많고 똑똑하며 보안에 관심이 있는 사람들이 시스템 내부까지 들여다보길 원합니다. 그리고 이런 일이 훨씬 더 자주 일어나야 합니다. 7월 기준으로 올해만 악의적인 데이터 유출로 인해 40억 건 이상의 기록이 노출되었습니다. 패션 및 라이프스타일 브랜드 포쉬마크(Poshmark)의 8월 보안 침해로 인해 이 수치는 5천만 건이 더 늘어날 수 있습니다.
우리는 같은 실수를 반복하고 있으며, 더욱 우려스러운 점은 종종 단순한 보안 취약점들이 우리를 계속해서 넘어지게 만든다는 사실입니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았다.
VERKABELT의 보도에 따르면, Blackboard의 커뮤니티 참여 소프트웨어와 Follett의 학생 정보 시스템은 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 흔히 발생하는 보안 취약점을 포함하고 있어 Demirkapi에 의해 발견되었습니다. 이러한 취약점들은 1990년대부터 보안 전문가들의 골칫거리였습니다. 우리는 이 취약점들의 존재를 꽤 오랫동안 참아왔습니다. 정말 오래전부터 말이죠. 하이퍼컬러 티셔츠나 플로피 디스크처럼 이제는 먼 옛날의 추억이 되어야 할 것입니다.
그러나 현실은 그렇지 않으며, 충분한 보안 의식을 갖춘 개발자가 부족하여 코드에 이러한 취약점이 도입되는 것을 막지 못하고 있음은 분명합니다. 스캔 도구와 수동 코드 검토는 한계가 있으며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재합니다. 이러한 비용과 시간이 많이 드는 조치들은 오히려 그 문제들에 더 효과적으로 활용될 수 있습니다.
빌 데미르카피 같은 사람들은 개발자들이 더 높은 코드 기준을 세우도록 영감을 줘야 한다. 고작 17세의 나이에 그는 두 개의 고빈도 시스템에 침투했는데, 이는 코드가 공개되기 전에 발견되고 수정되었어야 할 위협 경로를 통해 이루어졌다.
게임화: 참여의 열쇠?
개발자들이 여전히 보안 문제와 거리를 두는 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직 차원이나 교육 차원에서 보안 의식을 가진 개발자를 육성하기 위한 노력이 거의 이루어지지 않기 때문입니다. 기업이 시간을 들여 참여를 보상하고 인정하는 보안 문화를 구축하고, 개발자의 언어로 소통하며 계속 시도하도록 동기를 부여하는 교육을 시행한다면, 우리가 사용하는 소프트웨어에서 이러한 성가신 보안 취약점의 잔재들은 점차 사라질 것입니다.
데미르카피는 분명히 학교 밖에서 보안에 관심을 가지고 있으며, 악성코드를 역공학하고, 결함을 발견하고, 겉보기에는 고장 나지 않은 것들을 고장 내는 법을 배우는 데 시간을 투자했습니다. 하지만 LASTER와의 대화(그리고 그의 DEF CON 발표 자료)에서 그는 자기 학습에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
"학교 소프트웨어에서 무언가를 찾아보려는 목표 아래, 스스로 침투 테스트를 배울 수 있는 재미있고 게임 같은 방식이었습니다. 비록 더 배우려는 의도로 조사를 시작했지만, 예상보다 상황이 훨씬 심각하다는 걸 깨달았습니다."라고 그는 말했다.
모든 개발자가 보안 전문가가 되길 원하지는 않겠지만, 각 개발자에게 보안 의식을 갖출 수 있는 기회가 주어져야 합니다. 특히 조직 내에서 방대한 양의 민감한 데이터를 관리하는 이들에게는 보안 기초 지식이 일종의 '프로그래밍 자격증' 역할을 해야 합니다. 가장 기본적인 보안 취약점이 개발자가 코드를 작성하기 전에 누구나 패치할 수 있다면, 우리는 혼란을 일으키려는 자들에 맞서 훨씬 더 안전한 위치에 설 수 있습니다.
게임화 된 교육에 관심이 있으신가요? 저희 '코더스 컨커 시큐리티' 시리즈를 확인해 보세요 XSS 및 SQL 인젝션.
%20(1).avif)
.avif)
