신뢰도 점수는 설계 기반 안전한 역량 강화 이니셔티브의 가치를 보여줍니다.
조직의 보안 태세를 강화하는 안전한 방법은 개발자에게 안전한 코딩 모범 사례에 대한 교육을 제공하는 것입니다. 이 교육은 개발자에게 필요한 구체적인 학습 경로를 제공하도록 설계된 기준선과 벤치마크를 포함하는 프레임워크 내에서 이루어져야 합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 이는 조직의 DNA에 각인된 삶의 방식이 되어야 합니다. 개발자들은 단순히 왼쪽으로 이동하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직은 개발자들이 교육을 완전히 숙지하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무의 일환으로 모범 사례를 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 기준 및 업계 벤치마크와 비교하여 진전을 측정함으로써 교육 투자에 대한 ROI를 효과적으로 평가해야 합니다.
보안 코드: Warrior의 신뢰도 점수는 개별 개발자의 성과 가시성을 제공하고 데이터를 집계하여 조직의 전반적인 성과 평가를 제공합니다. 이는 기술 향상 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 다양한 규정 준수 요구사항을 충족하는 데 도움을 줍니다.
우리의 연구는 보안 코드 교육이 효과적임을 입증했습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 추출한 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점 감소에 있어 그 효과를 보여주며, 이 이니셔티브를 더욱 효과적으로 만드는 방법을 제시합니다.
교육은 안전성을 향상시키며, 개발자가 이를 이해할 때 효과적이다
수년간 SDLC 초기 단계에서 보안 모범 사례를 적용하는 것은 소프트웨어 업계에서 먼 훗날의 이상적인 목표처럼 여겨졌을 뿐, 당장의 우선순위는 아니었습니다. 그러나 소프트웨어 개발 속도가 가속화되고 정교하며 파괴적인 사이버 위협이 급증하면서, 특히 소프트웨어 취약점을 노린 공격이 빈번해짐에 따라 안전한 코딩은 필수 요소가 되었습니다. 미국 사이버보안 및 인프라 보안국(CISA)은 '안전한 설계(Secure Design )' 이니셔티브를 통해 안전한 코딩을 최우선 과제로 부각시키고 있으며, 이는 국제적인 움직임으로 확산되고 있습니다.
우리의 연구는 입증했습니다: 설계 단계부터 안전한 접근 방식과 소프트웨어 취약점 감소 사이의 상관관계는 명확합니다. SCW 고객 기반의 26%에 해당하는 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점을 22%에서 84%까지 감소시키는 데 기여했음을 발견했습니다. 이러한 범위는 참여 기업의 규모(개발자가 상대적으로 적은 소규모 기업일수록 더 큰 효과를 보임)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 결함 제거율이 더 높음)와 같은 변수에 기인합니다.
대기업의 결과는 상당히 일관되었습니다. 7,000명 이상의 개발자를 보유한 기업은 개발자의 보안 역량 향상으로 인해 취약점이 47~53% 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자를 보유한 통계적 평균 기업(플랫폼 최고 성과나 최고 벤치마크 점수를 기록하지 않은 기업)은 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 모든 사람에게 적용되는 포괄적이고 획일적인 접근 방식을 취하지 않습니다. 개발자의 작업 환경과 수행하는 개발 유형에 맞춰 조정되어야 합니다.
기업들은 개발자들이 안전한 코드 작성을 단순한 코드 작성만큼 자연스럽게 할 수 있도록 기본 역량을 먼저 확립해야 합니다. 역량 강화 프로그램은 실제 업무 환경과 사용하는 언어에 맞춘 실용적이고 유연한 현장 중심 교육으로 구성되어야 합니다. 또한 근무 시간에 맞춰 교육 세션을 조정할 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 기술 역량은 단순히 코드 작성 이상의 의미를 지닙니다. 인공지능 어시스턴트나 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 작성하는 데 도움이 된다는 점에서 그 장점을 높이 평가해 왔습니다. 그러나 Snyk 설문조사 응답자의 76%가 AI가 생성한 코드가 인간이 만든 코드보다 더 안전하다고 답했음에도, 56.4%는 AI가 때때로 또는 자주 오류를 도입한다고 여전히 말했습니다. 또한 동일한 설문조사에서 개발자의 80%가 AI 코드와 관련된 보안 정책을 적용하지 않는 것으로 드러나, AI 코드 관련 문제가 제대로 해결되지 않고 있음을 시사합니다.
안전한 설계 접근 방식을 통해 개발자들은(보안 팀과 분리되지 않고 함께 작업함으로써) SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션에 배포되기 전에 취약점을 식별하고 해결할 것입니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
지속적인 교육 역시 매우 중요합니다. 기업은 최고 경영진부터 현장 직원까지 전 조직에 걸쳐 보안을 최우선으로 하는 문화를 정착시켜야 합니다. SDLC 전반에 걸쳐 보안 모범 사례를 적용하고 지속적으로 개선하는 데 주력해야 합니다. 기술과 사이버 범죄자들은 끊임없이 진화합니다. 사이버 보안 역시 진화해야 합니다. 소프트웨어를 생산하는 조직에게 핵심은 보안 교육을 받은 개발자들입니다.
따라서 교육이 효과적으로 정착되었음을 입증하는 것은 교육 자체만큼 중요합니다. Trust Score는 개별 개발자 및 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라, 조직이 성과 데이터를 상세히 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 및 집계된 성과 결과 데이터는 또한 교육이 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우와 같이, 교육 개선이 필요한 영역을 식별하는 데 도움이 됩니다.
신뢰 점수는 조직이 개발자의 성과를 평가하고 필요한 보안 기술을 습득(및 활용)했는지 확인하여 프로그래밍 자격을 부여할 수 있도록 합니다. 이를 통해 조직은 자격을 갖춘 개발자에게는 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 접근 권한을 자신 있게 부여하는 동시에, 도구를 사용하지만 아직 이를 활용할 준비가 되지 않은 이들에게는 접근을 제한할 수 있습니다.
변화하는 안전 문화의 시험
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 생존 가능성까지 위협합니다. 규제 기관들도 사이버 보안의 중요성을 간과하지 않았으며, 점점 더 엄격한 규제를 시행해 왔습니다. 또한 CISO(최고정보보안책임자)를 비롯해 잠재적으로 다른 최고 경영진 구성원들에게까지 법적 조치를 취할 의지를 보여왔으며, 우버(Uber) 와 솔라윈즈(SolarWinds) 사례에서처럼 형사 고발에 이르기까지 했습니다.
현재 환경에서는 전사적 보안 문화 정착이 필수적입니다. 기업의 가치 대부분이 데이터, 애플리케이션 및 서비스에 기반한다는 점을 고려할 때, 안전한 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일환으로 특정 교육과 역량 강화를 수행하고, 이러한 교육이 문화 변화에 기여했음을 입증하는 것은 조직이 보안 태세를 강화하는 길로 나아가는 데 도움이 될 수 있습니다.
개발자가 주도하는 보안 프로그램은 가치가 있습니다. 그 증거는 신뢰 점수에 있습니다.
우리의 연구는 보안 코드 교육이 효과적임을 입증했습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 추출한 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점 감소에 있어 그 효과를 보여주며, 이 이니셔티브를 더욱 효과적으로 만드는 방법을 제시합니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
조직의 보안 태세를 강화하는 안전한 방법은 개발자에게 안전한 코딩 모범 사례에 대한 교육을 제공하는 것입니다. 이 교육은 개발자에게 필요한 구체적인 학습 경로를 제공하도록 설계된 기준선과 벤치마크를 포함하는 프레임워크 내에서 이루어져야 합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 이는 조직의 DNA에 각인된 삶의 방식이 되어야 합니다. 개발자들은 단순히 왼쪽으로 이동하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직은 개발자들이 교육을 완전히 숙지하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무의 일환으로 모범 사례를 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 기준 및 업계 벤치마크와 비교하여 진전을 측정함으로써 교육 투자에 대한 ROI를 효과적으로 평가해야 합니다.
보안 코드: Warrior의 신뢰도 점수는 개별 개발자의 성과 가시성을 제공하고 데이터를 집계하여 조직의 전반적인 성과 평가를 제공합니다. 이는 기술 향상 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 다양한 규정 준수 요구사항을 충족하는 데 도움을 줍니다.
우리의 연구는 보안 코드 교육이 효과적임을 입증했습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 추출한 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점 감소에 있어 그 효과를 보여주며, 이 이니셔티브를 더욱 효과적으로 만드는 방법을 제시합니다.
교육은 안전성을 향상시키며, 개발자가 이를 이해할 때 효과적이다
수년간 SDLC 초기 단계에서 보안 모범 사례를 적용하는 것은 소프트웨어 업계에서 먼 훗날의 이상적인 목표처럼 여겨졌을 뿐, 당장의 우선순위는 아니었습니다. 그러나 소프트웨어 개발 속도가 가속화되고 정교하며 파괴적인 사이버 위협이 급증하면서, 특히 소프트웨어 취약점을 노린 공격이 빈번해짐에 따라 안전한 코딩은 필수 요소가 되었습니다. 미국 사이버보안 및 인프라 보안국(CISA)은 '안전한 설계(Secure Design )' 이니셔티브를 통해 안전한 코딩을 최우선 과제로 부각시키고 있으며, 이는 국제적인 움직임으로 확산되고 있습니다.
우리의 연구는 입증했습니다: 설계 단계부터 안전한 접근 방식과 소프트웨어 취약점 감소 사이의 상관관계는 명확합니다. SCW 고객 기반의 26%에 해당하는 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점을 22%에서 84%까지 감소시키는 데 기여했음을 발견했습니다. 이러한 범위는 참여 기업의 규모(개발자가 상대적으로 적은 소규모 기업일수록 더 큰 효과를 보임)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 결함 제거율이 더 높음)와 같은 변수에 기인합니다.
대기업의 결과는 상당히 일관되었습니다. 7,000명 이상의 개발자를 보유한 기업은 개발자의 보안 역량 향상으로 인해 취약점이 47~53% 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자를 보유한 통계적 평균 기업(플랫폼 최고 성과나 최고 벤치마크 점수를 기록하지 않은 기업)은 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 모든 사람에게 적용되는 포괄적이고 획일적인 접근 방식을 취하지 않습니다. 개발자의 작업 환경과 수행하는 개발 유형에 맞춰 조정되어야 합니다.
기업들은 개발자들이 안전한 코드 작성을 단순한 코드 작성만큼 자연스럽게 할 수 있도록 기본 역량을 먼저 확립해야 합니다. 역량 강화 프로그램은 실제 업무 환경과 사용하는 언어에 맞춘 실용적이고 유연한 현장 중심 교육으로 구성되어야 합니다. 또한 근무 시간에 맞춰 교육 세션을 조정할 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 기술 역량은 단순히 코드 작성 이상의 의미를 지닙니다. 인공지능 어시스턴트나 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 작성하는 데 도움이 된다는 점에서 그 장점을 높이 평가해 왔습니다. 그러나 Snyk 설문조사 응답자의 76%가 AI가 생성한 코드가 인간이 만든 코드보다 더 안전하다고 답했음에도, 56.4%는 AI가 때때로 또는 자주 오류를 도입한다고 여전히 말했습니다. 또한 동일한 설문조사에서 개발자의 80%가 AI 코드와 관련된 보안 정책을 적용하지 않는 것으로 드러나, AI 코드 관련 문제가 제대로 해결되지 않고 있음을 시사합니다.
안전한 설계 접근 방식을 통해 개발자들은(보안 팀과 분리되지 않고 함께 작업함으로써) SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션에 배포되기 전에 취약점을 식별하고 해결할 것입니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
지속적인 교육 역시 매우 중요합니다. 기업은 최고 경영진부터 현장 직원까지 전 조직에 걸쳐 보안을 최우선으로 하는 문화를 정착시켜야 합니다. SDLC 전반에 걸쳐 보안 모범 사례를 적용하고 지속적으로 개선하는 데 주력해야 합니다. 기술과 사이버 범죄자들은 끊임없이 진화합니다. 사이버 보안 역시 진화해야 합니다. 소프트웨어를 생산하는 조직에게 핵심은 보안 교육을 받은 개발자들입니다.
따라서 교육이 효과적으로 정착되었음을 입증하는 것은 교육 자체만큼 중요합니다. Trust Score는 개별 개발자 및 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라, 조직이 성과 데이터를 상세히 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 및 집계된 성과 결과 데이터는 또한 교육이 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우와 같이, 교육 개선이 필요한 영역을 식별하는 데 도움이 됩니다.
신뢰 점수는 조직이 개발자의 성과를 평가하고 필요한 보안 기술을 습득(및 활용)했는지 확인하여 프로그래밍 자격을 부여할 수 있도록 합니다. 이를 통해 조직은 자격을 갖춘 개발자에게는 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 접근 권한을 자신 있게 부여하는 동시에, 도구를 사용하지만 아직 이를 활용할 준비가 되지 않은 이들에게는 접근을 제한할 수 있습니다.
변화하는 안전 문화의 시험
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 생존 가능성까지 위협합니다. 규제 기관들도 사이버 보안의 중요성을 간과하지 않았으며, 점점 더 엄격한 규제를 시행해 왔습니다. 또한 CISO(최고정보보안책임자)를 비롯해 잠재적으로 다른 최고 경영진 구성원들에게까지 법적 조치를 취할 의지를 보여왔으며, 우버(Uber) 와 솔라윈즈(SolarWinds) 사례에서처럼 형사 고발에 이르기까지 했습니다.
현재 환경에서는 전사적 보안 문화 정착이 필수적입니다. 기업의 가치 대부분이 데이터, 애플리케이션 및 서비스에 기반한다는 점을 고려할 때, 안전한 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일환으로 특정 교육과 역량 강화를 수행하고, 이러한 교육이 문화 변화에 기여했음을 입증하는 것은 조직이 보안 태세를 강화하는 길로 나아가는 데 도움이 될 수 있습니다.
개발자가 주도하는 보안 프로그램은 가치가 있습니다. 그 증거는 신뢰 점수에 있습니다.
조직의 보안 태세를 강화하는 안전한 방법은 개발자에게 안전한 코딩 모범 사례에 대한 교육을 제공하는 것입니다. 이 교육은 개발자에게 필요한 구체적인 학습 경로를 제공하도록 설계된 기준선과 벤치마크를 포함하는 프레임워크 내에서 이루어져야 합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 이는 조직의 DNA에 각인된 삶의 방식이 되어야 합니다. 개발자들은 단순히 왼쪽으로 이동하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직은 개발자들이 교육을 완전히 숙지하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무의 일환으로 모범 사례를 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 기준 및 업계 벤치마크와 비교하여 진전을 측정함으로써 교육 투자에 대한 ROI를 효과적으로 평가해야 합니다.
보안 코드: Warrior의 신뢰도 점수는 개별 개발자의 성과 가시성을 제공하고 데이터를 집계하여 조직의 전반적인 성과 평가를 제공합니다. 이는 기술 향상 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 다양한 규정 준수 요구사항을 충족하는 데 도움을 줍니다.
우리의 연구는 보안 코드 교육이 효과적임을 입증했습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 추출한 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점 감소에 있어 그 효과를 보여주며, 이 이니셔티브를 더욱 효과적으로 만드는 방법을 제시합니다.
교육은 안전성을 향상시키며, 개발자가 이를 이해할 때 효과적이다
수년간 SDLC 초기 단계에서 보안 모범 사례를 적용하는 것은 소프트웨어 업계에서 먼 훗날의 이상적인 목표처럼 여겨졌을 뿐, 당장의 우선순위는 아니었습니다. 그러나 소프트웨어 개발 속도가 가속화되고 정교하며 파괴적인 사이버 위협이 급증하면서, 특히 소프트웨어 취약점을 노린 공격이 빈번해짐에 따라 안전한 코딩은 필수 요소가 되었습니다. 미국 사이버보안 및 인프라 보안국(CISA)은 '안전한 설계(Secure Design )' 이니셔티브를 통해 안전한 코딩을 최우선 과제로 부각시키고 있으며, 이는 국제적인 움직임으로 확산되고 있습니다.
우리의 연구는 입증했습니다: 설계 단계부터 안전한 접근 방식과 소프트웨어 취약점 감소 사이의 상관관계는 명확합니다. SCW 고객 기반의 26%에 해당하는 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점을 22%에서 84%까지 감소시키는 데 기여했음을 발견했습니다. 이러한 범위는 참여 기업의 규모(개발자가 상대적으로 적은 소규모 기업일수록 더 큰 효과를 보임)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 결함 제거율이 더 높음)와 같은 변수에 기인합니다.
대기업의 결과는 상당히 일관되었습니다. 7,000명 이상의 개발자를 보유한 기업은 개발자의 보안 역량 향상으로 인해 취약점이 47~53% 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자를 보유한 통계적 평균 기업(플랫폼 최고 성과나 최고 벤치마크 점수를 기록하지 않은 기업)은 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 모든 사람에게 적용되는 포괄적이고 획일적인 접근 방식을 취하지 않습니다. 개발자의 작업 환경과 수행하는 개발 유형에 맞춰 조정되어야 합니다.
기업들은 개발자들이 안전한 코드 작성을 단순한 코드 작성만큼 자연스럽게 할 수 있도록 기본 역량을 먼저 확립해야 합니다. 역량 강화 프로그램은 실제 업무 환경과 사용하는 언어에 맞춘 실용적이고 유연한 현장 중심 교육으로 구성되어야 합니다. 또한 근무 시간에 맞춰 교육 세션을 조정할 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 기술 역량은 단순히 코드 작성 이상의 의미를 지닙니다. 인공지능 어시스턴트나 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 작성하는 데 도움이 된다는 점에서 그 장점을 높이 평가해 왔습니다. 그러나 Snyk 설문조사 응답자의 76%가 AI가 생성한 코드가 인간이 만든 코드보다 더 안전하다고 답했음에도, 56.4%는 AI가 때때로 또는 자주 오류를 도입한다고 여전히 말했습니다. 또한 동일한 설문조사에서 개발자의 80%가 AI 코드와 관련된 보안 정책을 적용하지 않는 것으로 드러나, AI 코드 관련 문제가 제대로 해결되지 않고 있음을 시사합니다.
안전한 설계 접근 방식을 통해 개발자들은(보안 팀과 분리되지 않고 함께 작업함으로써) SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션에 배포되기 전에 취약점을 식별하고 해결할 것입니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
지속적인 교육 역시 매우 중요합니다. 기업은 최고 경영진부터 현장 직원까지 전 조직에 걸쳐 보안을 최우선으로 하는 문화를 정착시켜야 합니다. SDLC 전반에 걸쳐 보안 모범 사례를 적용하고 지속적으로 개선하는 데 주력해야 합니다. 기술과 사이버 범죄자들은 끊임없이 진화합니다. 사이버 보안 역시 진화해야 합니다. 소프트웨어를 생산하는 조직에게 핵심은 보안 교육을 받은 개발자들입니다.
따라서 교육이 효과적으로 정착되었음을 입증하는 것은 교육 자체만큼 중요합니다. Trust Score는 개별 개발자 및 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라, 조직이 성과 데이터를 상세히 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 및 집계된 성과 결과 데이터는 또한 교육이 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우와 같이, 교육 개선이 필요한 영역을 식별하는 데 도움이 됩니다.
신뢰 점수는 조직이 개발자의 성과를 평가하고 필요한 보안 기술을 습득(및 활용)했는지 확인하여 프로그래밍 자격을 부여할 수 있도록 합니다. 이를 통해 조직은 자격을 갖춘 개발자에게는 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 접근 권한을 자신 있게 부여하는 동시에, 도구를 사용하지만 아직 이를 활용할 준비가 되지 않은 이들에게는 접근을 제한할 수 있습니다.
변화하는 안전 문화의 시험
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 생존 가능성까지 위협합니다. 규제 기관들도 사이버 보안의 중요성을 간과하지 않았으며, 점점 더 엄격한 규제를 시행해 왔습니다. 또한 CISO(최고정보보안책임자)를 비롯해 잠재적으로 다른 최고 경영진 구성원들에게까지 법적 조치를 취할 의지를 보여왔으며, 우버(Uber) 와 솔라윈즈(SolarWinds) 사례에서처럼 형사 고발에 이르기까지 했습니다.
현재 환경에서는 전사적 보안 문화 정착이 필수적입니다. 기업의 가치 대부분이 데이터, 애플리케이션 및 서비스에 기반한다는 점을 고려할 때, 안전한 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일환으로 특정 교육과 역량 강화를 수행하고, 이러한 교육이 문화 변화에 기여했음을 입증하는 것은 조직이 보안 태세를 강화하는 길로 나아가는 데 도움이 될 수 있습니다.
개발자가 주도하는 보안 프로그램은 가치가 있습니다. 그 증거는 신뢰 점수에 있습니다.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
조직의 보안 태세를 강화하는 안전한 방법은 개발자에게 안전한 코딩 모범 사례에 대한 교육을 제공하는 것입니다. 이 교육은 개발자에게 필요한 구체적인 학습 경로를 제공하도록 설계된 기준선과 벤치마크를 포함하는 프레임워크 내에서 이루어져야 합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 이는 조직의 DNA에 각인된 삶의 방식이 되어야 합니다. 개발자들은 단순히 왼쪽으로 이동하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 조직은 개발자들이 교육을 완전히 숙지하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무의 일환으로 모범 사례를 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 기준 및 업계 벤치마크와 비교하여 진전을 측정함으로써 교육 투자에 대한 ROI를 효과적으로 평가해야 합니다.
보안 코드: Warrior의 신뢰도 점수는 개별 개발자의 성과 가시성을 제공하고 데이터를 집계하여 조직의 전반적인 성과 평가를 제공합니다. 이는 기술 향상 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 다양한 규정 준수 요구사항을 충족하는 데 도움을 줍니다.
우리의 연구는 보안 코드 교육이 효과적임을 입증했습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 추출한 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점 감소에 있어 그 효과를 보여주며, 이 이니셔티브를 더욱 효과적으로 만드는 방법을 제시합니다.
교육은 안전성을 향상시키며, 개발자가 이를 이해할 때 효과적이다
수년간 SDLC 초기 단계에서 보안 모범 사례를 적용하는 것은 소프트웨어 업계에서 먼 훗날의 이상적인 목표처럼 여겨졌을 뿐, 당장의 우선순위는 아니었습니다. 그러나 소프트웨어 개발 속도가 가속화되고 정교하며 파괴적인 사이버 위협이 급증하면서, 특히 소프트웨어 취약점을 노린 공격이 빈번해짐에 따라 안전한 코딩은 필수 요소가 되었습니다. 미국 사이버보안 및 인프라 보안국(CISA)은 '안전한 설계(Secure Design )' 이니셔티브를 통해 안전한 코딩을 최우선 과제로 부각시키고 있으며, 이는 국제적인 움직임으로 확산되고 있습니다.
우리의 연구는 입증했습니다: 설계 단계부터 안전한 접근 방식과 소프트웨어 취약점 감소 사이의 상관관계는 명확합니다. SCW 고객 기반의 26%에 해당하는 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점을 22%에서 84%까지 감소시키는 데 기여했음을 발견했습니다. 이러한 범위는 참여 기업의 규모(개발자가 상대적으로 적은 소규모 기업일수록 더 큰 효과를 보임)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 결함 제거율이 더 높음)와 같은 변수에 기인합니다.
대기업의 결과는 상당히 일관되었습니다. 7,000명 이상의 개발자를 보유한 기업은 개발자의 보안 역량 향상으로 인해 취약점이 47~53% 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자를 보유한 통계적 평균 기업(플랫폼 최고 성과나 최고 벤치마크 점수를 기록하지 않은 기업)은 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 모든 사람에게 적용되는 포괄적이고 획일적인 접근 방식을 취하지 않습니다. 개발자의 작업 환경과 수행하는 개발 유형에 맞춰 조정되어야 합니다.
기업들은 개발자들이 안전한 코드 작성을 단순한 코드 작성만큼 자연스럽게 할 수 있도록 기본 역량을 먼저 확립해야 합니다. 역량 강화 프로그램은 실제 업무 환경과 사용하는 언어에 맞춘 실용적이고 유연한 현장 중심 교육으로 구성되어야 합니다. 또한 근무 시간에 맞춰 교육 세션을 조정할 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 기술 역량은 단순히 코드 작성 이상의 의미를 지닙니다. 인공지능 어시스턴트나 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델을 적극적으로 활용해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 작성하는 데 도움이 된다는 점에서 그 장점을 높이 평가해 왔습니다. 그러나 Snyk 설문조사 응답자의 76%가 AI가 생성한 코드가 인간이 만든 코드보다 더 안전하다고 답했음에도, 56.4%는 AI가 때때로 또는 자주 오류를 도입한다고 여전히 말했습니다. 또한 동일한 설문조사에서 개발자의 80%가 AI 코드와 관련된 보안 정책을 적용하지 않는 것으로 드러나, AI 코드 관련 문제가 제대로 해결되지 않고 있음을 시사합니다.
안전한 설계 접근 방식을 통해 개발자들은(보안 팀과 분리되지 않고 함께 작업함으로써) SDLC 초기 단계에서 이러한 문제를 해결하고, 코드가 프로덕션에 배포되기 전에 취약점을 식별하고 해결할 것입니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
지속적인 교육 역시 매우 중요합니다. 기업은 최고 경영진부터 현장 직원까지 전 조직에 걸쳐 보안을 최우선으로 하는 문화를 정착시켜야 합니다. SDLC 전반에 걸쳐 보안 모범 사례를 적용하고 지속적으로 개선하는 데 주력해야 합니다. 기술과 사이버 범죄자들은 끊임없이 진화합니다. 사이버 보안 역시 진화해야 합니다. 소프트웨어를 생산하는 조직에게 핵심은 보안 교육을 받은 개발자들입니다.
따라서 교육이 효과적으로 정착되었음을 입증하는 것은 교육 자체만큼 중요합니다. Trust Score는 개별 개발자 및 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라, 조직이 성과 데이터를 상세히 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 및 집계된 성과 결과 데이터는 또한 교육이 개발자의 일상적인 성과에 원하는 효과를 내지 못하는 경우와 같이, 교육 개선이 필요한 영역을 식별하는 데 도움이 됩니다.
신뢰 점수는 조직이 개발자의 성과를 평가하고 필요한 보안 기술을 습득(및 활용)했는지 확인하여 프로그래밍 자격을 부여할 수 있도록 합니다. 이를 통해 조직은 자격을 갖춘 개발자에게는 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 접근 권한을 자신 있게 부여하는 동시에, 도구를 사용하지만 아직 이를 활용할 준비가 되지 않은 이들에게는 접근을 제한할 수 있습니다.
변화하는 안전 문화의 시험
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 생존 가능성까지 위협합니다. 규제 기관들도 사이버 보안의 중요성을 간과하지 않았으며, 점점 더 엄격한 규제를 시행해 왔습니다. 또한 CISO(최고정보보안책임자)를 비롯해 잠재적으로 다른 최고 경영진 구성원들에게까지 법적 조치를 취할 의지를 보여왔으며, 우버(Uber) 와 솔라윈즈(SolarWinds) 사례에서처럼 형사 고발에 이르기까지 했습니다.
현재 환경에서는 전사적 보안 문화 정착이 필수적입니다. 기업의 가치 대부분이 데이터, 애플리케이션 및 서비스에 기반한다는 점을 고려할 때, 안전한 코딩은 이러한 문화의 핵심 요소입니다. 문화적 사고방식의 일환으로 특정 교육과 역량 강화를 수행하고, 이러한 교육이 문화 변화에 기여했음을 입증하는 것은 조직이 보안 태세를 강화하는 길로 나아가는 데 도움이 될 수 있습니다.
개발자가 주도하는 보안 프로그램은 가치가 있습니다. 그 증거는 신뢰 점수에 있습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
