좋은 마이크로웨이브가 고장 나면: 통합 시스템 보안이 개발자들에게 상사와의 다음 전투가 되는 이유
대중문화에는 인공지능과 불량 로봇, 인간 주인에게 반항하는 기기들에 대한 수많은 언급이 등장합니다. 이는 공상과학의 환상과 재미로 가득 차 있지만, 사물인터넷(IoT)과 연결된 기기들이 우리 가정에서 점점 더 흔해짐에 따라 사이버 보안과 안전에 대한 논의 역시 늘어나야 합니다. 소프트웨어는 어디에나 존재하며, 혁신과 편의를 제공하는 모든 지능형 기능을 수행하기 위해 우리가 코드 줄에 얼마나 의존하는지 잊기 쉽습니다. 웹 기반 소프트웨어, API, 모바일 기기와 마찬가지로 임베디드 시스템의 취약한 코드도 공격자가 자연 환경에서 이를 발견할 경우 악용될 수 있습니다.
비록 마이크로웨이브 군대가 인류를 노예화하러 올 가능성은 희박하지만(하지만 봇 테슬라는 다소 우려스럽습니다), 사이버 공격으로 인한 악의적인 사이버 사건이 발생할 가능성은 여전히 존재합니다. 우리의 자동차, 항공기, 의료 기기 중 일부도 핵심 작업을 수행하기 위해 복잡한 임베디드 시스템 코드에 의존하고 있으며, 이러한 대상이 침해당할 가능성은 단순히 우려스러운 수준을 넘어 생명을 위협할 수 있습니다.
다른 모든 소프트웨어와 마찬가지로, 개발자들은 제작 단계 초기에 가장 먼저 코드를 만집니다. 그리고 다른 모든 소프트웨어와 마찬가지로, 이는 제품이 가동되기 전에 간과될 수 있는 흔하고 교묘한 취약점의 온상이 될 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 기업도 그들이 그 역할을 수행하기를 기대해서는 안 됩니다. 그러나 개발자는 자신들에게 관련된 위협 유형에 대처하기 위해 훨씬 더 강력한 무기를 갖추고 있을 수 있습니다. 임베디드 시스템(일반적으로 C 및 C++로 작성됨)은 우리의 기술적 요구가 계속 진화함에 따라 더욱 빈번하게 사용될 것이므로, 개발자들이 이 환경의 도구에 대한 보안 전문 교육을 받는 것이 필수적입니다.
폭발하는 튀김기, 반항적인 차량... 우리는 쉬운 표적인가?
비록 안전한 개발 전반에 관한 몇 가지 표준과 규정이 존재하지만, 우리를 안전하게 지키기 위해서는 모든 유형의 소프트웨어 보안에 대해 훨씬 더 정밀하고 의미 있는 방식으로 나아가야 합니다. 누군가가 튀김기기를 해킹하여 문제를 일으킬 수 있다고 생각하는 것은 터무니없어 보일 수 있지만, 이는 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 함) 형태로 발생했으며, 차량 탈취를 유발하는 취약점과 마찬가지로 실제로 발생했습니다.
특히 차량은 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지 각각 미세 기능을 담당하는 여러 통합 시스템이 탑재되어 있어 특히 복잡합니다. Wi-Fi, 블루투스, GPS 등 점점 더 다양한 통신 기술과 결합되면서 커넥티드 카는 복잡한 디지털 인프라를 형성하며 다중 공격 경로에 노출됩니다. 2023년까지 전 세계 도로에 7,630만 대의 커넥티드 카가 등장할 것으로 예상되는 가운데, 진정한 보안을 구축하기 위한 방어 기반의 거대한 토대가 마련될 것입니다.
MISRA는 임베디드 시스템의 위협에 맞서 싸우는 핵심 기관으로, 임베디드 시스템 환경에서 코드의 보안성, 이식성 및 신뢰성을 촉진하기 위한 지침을 개발했습니다. 이러한 지침은 모든 기업이 임베디드 시스템 프로젝트에서 추구해야 할 표준의 북극성 역할을 합니다.
그러나 이 기준을 충족하는 코드를 작성하고 실행하려면 도구(보안은 말할 것도 없고)를 신뢰할 수 있는 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템의 보안 기능 개선이 그렇게 특화된 것인가?
C 및 C++ 프로그래밍 언어는 현재 기준으로 노후화되었지만 여전히 널리 사용되고 있습니다. 이 언어들은 임베디드 시스템 코드베이스의 핵심 기능을 구성하며, Embedded C/C++은 연결된 기기 세계의 일부로서 현대적이고 활기찬 생명력을 누리고 있습니다.
이러한 언어들은 상당히 오래된 뿌리를 가지고 있음에도(인젝션 오류나 버퍼 오버플로우 같은 일반적인 문제 측면에서 유사한 취약성 행동을 보임), 개발자들이 임베디드 시스템의 보안 오류를 완화하는 데 성공하려면 작업 환경을 모방한 코드로 직접 작업에 착수해야 합니다. 일반적인 보안 관행에 대한 일반적인 C 교육은 통합 C 환경에서 작업하는 데 더 많은 시간과 주의를 기울이는 것만큼 효과적이거나 기억하기 쉽지 않을 것입니다.
현대식 차량에는 12개에서 100개 이상의 시스템이 통합되어 있으므로, 개발자들은 IDE 내에서 직접 문제점을 파악하고 해결하는 방법에 대한 정확한 교육을 반드시 받아야 합니다.
임베디드 시스템을 기초부터 보호하는 것은 모두의 책임입니다
많은 조직에서 현 상태는 개발 속도가 보안보다 우선시되는 상황입니다. 적어도 개발자의 책임 측면에서는 그렇습니다. 개발자가 안전한 코드를 생산할 수 있는 능력은 거의 평가되지 않지만, 놀라운 기능을 빠르게 개발하는 것이 기준이 되고 있습니다. 소프트웨어에 대한 수요는 계속 증가할 것이지만, 이러한 문화는 취약점과의 싸움에서 패배하게 만들었고, 그 결과 허용된 사이버 공격으로 이어지고 있습니다.
개발자들이 교육을 받지 못했다면 그건 그들의 잘못이 아니며, 이는 AppSec 팀의 누군가가 적절한 기술 향상 프로그램을 추천함으로써 메워야 할 공백입니다. 이 프로그램들은 개발자 커뮤니티 전체가 접근 가능할 뿐만 아니라 평가 가능해야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 주요 고려 사항 중 하나여야 하며, 특히 개발자를 포함한 모두가 자신의 역할을 수행하는 데 필요한 지원을 받아야 합니다.
임베디드 시스템의 보안 문제에 대해 알아보세요
버퍼 오버플로, 인젝션 결함 및 비즈니스 로직 오류는 임베디드 시스템 개발에서 흔히 발생하는 오류입니다. 단일 차량이나 장치 내 마이크로컨트롤러의 복잡한 구조 깊숙이 묻혀 있을 경우, 보안 측면에서 재앙을 초래할 수 있습니다.
버퍼 오버플로는 특히 빈번하게 발생하며, 앞서 언급한 프라이팬(원격 코드 실행을 허용한)이 어떻게 해킹당했는지 자세히 알고 싶다면 CVE-2020-28592 보고서를 참조하세요.
이제 실제 임베디드 C/C++ 코드에서 버퍼 오버플로 취약점을 직접 다루어 볼 때입니다. 이 도전을 통해 이 교묘한 오류를 유발하는 부실한 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
.png)
어땠나요? 정확하고 효과적인 임베디드 시스템 보안 교육을 받으려면 www.securecodewarrior.com을 방문하세요.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
대중문화에는 인공지능과 불량 로봇, 인간 주인에게 반항하는 기기들에 대한 수많은 언급이 등장합니다. 이는 공상과학의 환상과 재미로 가득 차 있지만, 사물인터넷(IoT)과 연결된 기기들이 우리 가정에서 점점 더 흔해짐에 따라 사이버 보안과 안전에 대한 논의 역시 늘어나야 합니다. 소프트웨어는 어디에나 존재하며, 혁신과 편의를 제공하는 모든 지능형 기능을 수행하기 위해 우리가 코드 줄에 얼마나 의존하는지 잊기 쉽습니다. 웹 기반 소프트웨어, API, 모바일 기기와 마찬가지로 임베디드 시스템의 취약한 코드도 공격자가 자연 환경에서 이를 발견할 경우 악용될 수 있습니다.
비록 마이크로웨이브 군대가 인류를 노예화하러 올 가능성은 희박하지만(하지만 봇 테슬라는 다소 우려스럽습니다), 사이버 공격으로 인한 악의적인 사이버 사건이 발생할 가능성은 여전히 존재합니다. 우리의 자동차, 항공기, 의료 기기 중 일부도 핵심 작업을 수행하기 위해 복잡한 임베디드 시스템 코드에 의존하고 있으며, 이러한 대상이 침해당할 가능성은 단순히 우려스러운 수준을 넘어 생명을 위협할 수 있습니다.
다른 모든 소프트웨어와 마찬가지로, 개발자들은 제작 단계 초기에 가장 먼저 코드를 만집니다. 그리고 다른 모든 소프트웨어와 마찬가지로, 이는 제품이 가동되기 전에 간과될 수 있는 흔하고 교묘한 취약점의 온상이 될 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 기업도 그들이 그 역할을 수행하기를 기대해서는 안 됩니다. 그러나 개발자는 자신들에게 관련된 위협 유형에 대처하기 위해 훨씬 더 강력한 무기를 갖추고 있을 수 있습니다. 임베디드 시스템(일반적으로 C 및 C++로 작성됨)은 우리의 기술적 요구가 계속 진화함에 따라 더욱 빈번하게 사용될 것이므로, 개발자들이 이 환경의 도구에 대한 보안 전문 교육을 받는 것이 필수적입니다.
폭발하는 튀김기, 반항적인 차량... 우리는 쉬운 표적인가?
비록 안전한 개발 전반에 관한 몇 가지 표준과 규정이 존재하지만, 우리를 안전하게 지키기 위해서는 모든 유형의 소프트웨어 보안에 대해 훨씬 더 정밀하고 의미 있는 방식으로 나아가야 합니다. 누군가가 튀김기기를 해킹하여 문제를 일으킬 수 있다고 생각하는 것은 터무니없어 보일 수 있지만, 이는 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 함) 형태로 발생했으며, 차량 탈취를 유발하는 취약점과 마찬가지로 실제로 발생했습니다.
특히 차량은 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지 각각 미세 기능을 담당하는 여러 통합 시스템이 탑재되어 있어 특히 복잡합니다. Wi-Fi, 블루투스, GPS 등 점점 더 다양한 통신 기술과 결합되면서 커넥티드 카는 복잡한 디지털 인프라를 형성하며 다중 공격 경로에 노출됩니다. 2023년까지 전 세계 도로에 7,630만 대의 커넥티드 카가 등장할 것으로 예상되는 가운데, 진정한 보안을 구축하기 위한 방어 기반의 거대한 토대가 마련될 것입니다.
MISRA는 임베디드 시스템의 위협에 맞서 싸우는 핵심 기관으로, 임베디드 시스템 환경에서 코드의 보안성, 이식성 및 신뢰성을 촉진하기 위한 지침을 개발했습니다. 이러한 지침은 모든 기업이 임베디드 시스템 프로젝트에서 추구해야 할 표준의 북극성 역할을 합니다.
그러나 이 기준을 충족하는 코드를 작성하고 실행하려면 도구(보안은 말할 것도 없고)를 신뢰할 수 있는 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템의 보안 기능 개선이 그렇게 특화된 것인가?
C 및 C++ 프로그래밍 언어는 현재 기준으로 노후화되었지만 여전히 널리 사용되고 있습니다. 이 언어들은 임베디드 시스템 코드베이스의 핵심 기능을 구성하며, Embedded C/C++은 연결된 기기 세계의 일부로서 현대적이고 활기찬 생명력을 누리고 있습니다.
이러한 언어들은 상당히 오래된 뿌리를 가지고 있음에도(인젝션 오류나 버퍼 오버플로우 같은 일반적인 문제 측면에서 유사한 취약성 행동을 보임), 개발자들이 임베디드 시스템의 보안 오류를 완화하는 데 성공하려면 작업 환경을 모방한 코드로 직접 작업에 착수해야 합니다. 일반적인 보안 관행에 대한 일반적인 C 교육은 통합 C 환경에서 작업하는 데 더 많은 시간과 주의를 기울이는 것만큼 효과적이거나 기억하기 쉽지 않을 것입니다.
현대식 차량에는 12개에서 100개 이상의 시스템이 통합되어 있으므로, 개발자들은 IDE 내에서 직접 문제점을 파악하고 해결하는 방법에 대한 정확한 교육을 반드시 받아야 합니다.
임베디드 시스템을 기초부터 보호하는 것은 모두의 책임입니다
많은 조직에서 현 상태는 개발 속도가 보안보다 우선시되는 상황입니다. 적어도 개발자의 책임 측면에서는 그렇습니다. 개발자가 안전한 코드를 생산할 수 있는 능력은 거의 평가되지 않지만, 놀라운 기능을 빠르게 개발하는 것이 기준이 되고 있습니다. 소프트웨어에 대한 수요는 계속 증가할 것이지만, 이러한 문화는 취약점과의 싸움에서 패배하게 만들었고, 그 결과 허용된 사이버 공격으로 이어지고 있습니다.
개발자들이 교육을 받지 못했다면 그건 그들의 잘못이 아니며, 이는 AppSec 팀의 누군가가 적절한 기술 향상 프로그램을 추천함으로써 메워야 할 공백입니다. 이 프로그램들은 개발자 커뮤니티 전체가 접근 가능할 뿐만 아니라 평가 가능해야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 주요 고려 사항 중 하나여야 하며, 특히 개발자를 포함한 모두가 자신의 역할을 수행하는 데 필요한 지원을 받아야 합니다.
임베디드 시스템의 보안 문제에 대해 알아보세요
버퍼 오버플로, 인젝션 결함 및 비즈니스 로직 오류는 임베디드 시스템 개발에서 흔히 발생하는 오류입니다. 단일 차량이나 장치 내 마이크로컨트롤러의 복잡한 구조 깊숙이 묻혀 있을 경우, 보안 측면에서 재앙을 초래할 수 있습니다.
버퍼 오버플로는 특히 빈번하게 발생하며, 앞서 언급한 프라이팬(원격 코드 실행을 허용한)이 어떻게 해킹당했는지 자세히 알고 싶다면 CVE-2020-28592 보고서를 참조하세요.
이제 실제 임베디드 C/C++ 코드에서 버퍼 오버플로 취약점을 직접 다루어 볼 때입니다. 이 도전을 통해 이 교묘한 오류를 유발하는 부실한 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
어땠나요? 정확하고 효과적인 임베디드 시스템 보안 교육을 받으려면 www.securecodewarrior.com을 방문하세요.
대중문화에는 인공지능과 불량 로봇, 인간 주인에게 반항하는 기기들에 대한 수많은 언급이 등장합니다. 이는 공상과학의 환상과 재미로 가득 차 있지만, 사물인터넷(IoT)과 연결된 기기들이 우리 가정에서 점점 더 흔해짐에 따라 사이버 보안과 안전에 대한 논의 역시 늘어나야 합니다. 소프트웨어는 어디에나 존재하며, 혁신과 편의를 제공하는 모든 지능형 기능을 수행하기 위해 우리가 코드 줄에 얼마나 의존하는지 잊기 쉽습니다. 웹 기반 소프트웨어, API, 모바일 기기와 마찬가지로 임베디드 시스템의 취약한 코드도 공격자가 자연 환경에서 이를 발견할 경우 악용될 수 있습니다.
비록 마이크로웨이브 군대가 인류를 노예화하러 올 가능성은 희박하지만(하지만 봇 테슬라는 다소 우려스럽습니다), 사이버 공격으로 인한 악의적인 사이버 사건이 발생할 가능성은 여전히 존재합니다. 우리의 자동차, 항공기, 의료 기기 중 일부도 핵심 작업을 수행하기 위해 복잡한 임베디드 시스템 코드에 의존하고 있으며, 이러한 대상이 침해당할 가능성은 단순히 우려스러운 수준을 넘어 생명을 위협할 수 있습니다.
다른 모든 소프트웨어와 마찬가지로, 개발자들은 제작 단계 초기에 가장 먼저 코드를 만집니다. 그리고 다른 모든 소프트웨어와 마찬가지로, 이는 제품이 가동되기 전에 간과될 수 있는 흔하고 교묘한 취약점의 온상이 될 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 기업도 그들이 그 역할을 수행하기를 기대해서는 안 됩니다. 그러나 개발자는 자신들에게 관련된 위협 유형에 대처하기 위해 훨씬 더 강력한 무기를 갖추고 있을 수 있습니다. 임베디드 시스템(일반적으로 C 및 C++로 작성됨)은 우리의 기술적 요구가 계속 진화함에 따라 더욱 빈번하게 사용될 것이므로, 개발자들이 이 환경의 도구에 대한 보안 전문 교육을 받는 것이 필수적입니다.
폭발하는 튀김기, 반항적인 차량... 우리는 쉬운 표적인가?
비록 안전한 개발 전반에 관한 몇 가지 표준과 규정이 존재하지만, 우리를 안전하게 지키기 위해서는 모든 유형의 소프트웨어 보안에 대해 훨씬 더 정밀하고 의미 있는 방식으로 나아가야 합니다. 누군가가 튀김기기를 해킹하여 문제를 일으킬 수 있다고 생각하는 것은 터무니없어 보일 수 있지만, 이는 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 함) 형태로 발생했으며, 차량 탈취를 유발하는 취약점과 마찬가지로 실제로 발생했습니다.
특히 차량은 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지 각각 미세 기능을 담당하는 여러 통합 시스템이 탑재되어 있어 특히 복잡합니다. Wi-Fi, 블루투스, GPS 등 점점 더 다양한 통신 기술과 결합되면서 커넥티드 카는 복잡한 디지털 인프라를 형성하며 다중 공격 경로에 노출됩니다. 2023년까지 전 세계 도로에 7,630만 대의 커넥티드 카가 등장할 것으로 예상되는 가운데, 진정한 보안을 구축하기 위한 방어 기반의 거대한 토대가 마련될 것입니다.
MISRA는 임베디드 시스템의 위협에 맞서 싸우는 핵심 기관으로, 임베디드 시스템 환경에서 코드의 보안성, 이식성 및 신뢰성을 촉진하기 위한 지침을 개발했습니다. 이러한 지침은 모든 기업이 임베디드 시스템 프로젝트에서 추구해야 할 표준의 북극성 역할을 합니다.
그러나 이 기준을 충족하는 코드를 작성하고 실행하려면 도구(보안은 말할 것도 없고)를 신뢰할 수 있는 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템의 보안 기능 개선이 그렇게 특화된 것인가?
C 및 C++ 프로그래밍 언어는 현재 기준으로 노후화되었지만 여전히 널리 사용되고 있습니다. 이 언어들은 임베디드 시스템 코드베이스의 핵심 기능을 구성하며, Embedded C/C++은 연결된 기기 세계의 일부로서 현대적이고 활기찬 생명력을 누리고 있습니다.
이러한 언어들은 상당히 오래된 뿌리를 가지고 있음에도(인젝션 오류나 버퍼 오버플로우 같은 일반적인 문제 측면에서 유사한 취약성 행동을 보임), 개발자들이 임베디드 시스템의 보안 오류를 완화하는 데 성공하려면 작업 환경을 모방한 코드로 직접 작업에 착수해야 합니다. 일반적인 보안 관행에 대한 일반적인 C 교육은 통합 C 환경에서 작업하는 데 더 많은 시간과 주의를 기울이는 것만큼 효과적이거나 기억하기 쉽지 않을 것입니다.
현대식 차량에는 12개에서 100개 이상의 시스템이 통합되어 있으므로, 개발자들은 IDE 내에서 직접 문제점을 파악하고 해결하는 방법에 대한 정확한 교육을 반드시 받아야 합니다.
임베디드 시스템을 기초부터 보호하는 것은 모두의 책임입니다
많은 조직에서 현 상태는 개발 속도가 보안보다 우선시되는 상황입니다. 적어도 개발자의 책임 측면에서는 그렇습니다. 개발자가 안전한 코드를 생산할 수 있는 능력은 거의 평가되지 않지만, 놀라운 기능을 빠르게 개발하는 것이 기준이 되고 있습니다. 소프트웨어에 대한 수요는 계속 증가할 것이지만, 이러한 문화는 취약점과의 싸움에서 패배하게 만들었고, 그 결과 허용된 사이버 공격으로 이어지고 있습니다.
개발자들이 교육을 받지 못했다면 그건 그들의 잘못이 아니며, 이는 AppSec 팀의 누군가가 적절한 기술 향상 프로그램을 추천함으로써 메워야 할 공백입니다. 이 프로그램들은 개발자 커뮤니티 전체가 접근 가능할 뿐만 아니라 평가 가능해야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 주요 고려 사항 중 하나여야 하며, 특히 개발자를 포함한 모두가 자신의 역할을 수행하는 데 필요한 지원을 받아야 합니다.
임베디드 시스템의 보안 문제에 대해 알아보세요
버퍼 오버플로, 인젝션 결함 및 비즈니스 로직 오류는 임베디드 시스템 개발에서 흔히 발생하는 오류입니다. 단일 차량이나 장치 내 마이크로컨트롤러의 복잡한 구조 깊숙이 묻혀 있을 경우, 보안 측면에서 재앙을 초래할 수 있습니다.
버퍼 오버플로는 특히 빈번하게 발생하며, 앞서 언급한 프라이팬(원격 코드 실행을 허용한)이 어떻게 해킹당했는지 자세히 알고 싶다면 CVE-2020-28592 보고서를 참조하세요.
이제 실제 임베디드 C/C++ 코드에서 버퍼 오버플로 취약점을 직접 다루어 볼 때입니다. 이 도전을 통해 이 교묘한 오류를 유발하는 부실한 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
어땠나요? 정확하고 효과적인 임베디드 시스템 보안 교육을 받으려면 www.securecodewarrior.com을 방문하세요.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
대중문화에는 인공지능과 불량 로봇, 인간 주인에게 반항하는 기기들에 대한 수많은 언급이 등장합니다. 이는 공상과학의 환상과 재미로 가득 차 있지만, 사물인터넷(IoT)과 연결된 기기들이 우리 가정에서 점점 더 흔해짐에 따라 사이버 보안과 안전에 대한 논의 역시 늘어나야 합니다. 소프트웨어는 어디에나 존재하며, 혁신과 편의를 제공하는 모든 지능형 기능을 수행하기 위해 우리가 코드 줄에 얼마나 의존하는지 잊기 쉽습니다. 웹 기반 소프트웨어, API, 모바일 기기와 마찬가지로 임베디드 시스템의 취약한 코드도 공격자가 자연 환경에서 이를 발견할 경우 악용될 수 있습니다.
비록 마이크로웨이브 군대가 인류를 노예화하러 올 가능성은 희박하지만(하지만 봇 테슬라는 다소 우려스럽습니다), 사이버 공격으로 인한 악의적인 사이버 사건이 발생할 가능성은 여전히 존재합니다. 우리의 자동차, 항공기, 의료 기기 중 일부도 핵심 작업을 수행하기 위해 복잡한 임베디드 시스템 코드에 의존하고 있으며, 이러한 대상이 침해당할 가능성은 단순히 우려스러운 수준을 넘어 생명을 위협할 수 있습니다.
다른 모든 소프트웨어와 마찬가지로, 개발자들은 제작 단계 초기에 가장 먼저 코드를 만집니다. 그리고 다른 모든 소프트웨어와 마찬가지로, 이는 제품이 가동되기 전에 간과될 수 있는 흔하고 교묘한 취약점의 온상이 될 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 기업도 그들이 그 역할을 수행하기를 기대해서는 안 됩니다. 그러나 개발자는 자신들에게 관련된 위협 유형에 대처하기 위해 훨씬 더 강력한 무기를 갖추고 있을 수 있습니다. 임베디드 시스템(일반적으로 C 및 C++로 작성됨)은 우리의 기술적 요구가 계속 진화함에 따라 더욱 빈번하게 사용될 것이므로, 개발자들이 이 환경의 도구에 대한 보안 전문 교육을 받는 것이 필수적입니다.
폭발하는 튀김기, 반항적인 차량... 우리는 쉬운 표적인가?
비록 안전한 개발 전반에 관한 몇 가지 표준과 규정이 존재하지만, 우리를 안전하게 지키기 위해서는 모든 유형의 소프트웨어 보안에 대해 훨씬 더 정밀하고 의미 있는 방식으로 나아가야 합니다. 누군가가 튀김기기를 해킹하여 문제를 일으킬 수 있다고 생각하는 것은 터무니없어 보일 수 있지만, 이는 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 함) 형태로 발생했으며, 차량 탈취를 유발하는 취약점과 마찬가지로 실제로 발생했습니다.
특히 차량은 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지 각각 미세 기능을 담당하는 여러 통합 시스템이 탑재되어 있어 특히 복잡합니다. Wi-Fi, 블루투스, GPS 등 점점 더 다양한 통신 기술과 결합되면서 커넥티드 카는 복잡한 디지털 인프라를 형성하며 다중 공격 경로에 노출됩니다. 2023년까지 전 세계 도로에 7,630만 대의 커넥티드 카가 등장할 것으로 예상되는 가운데, 진정한 보안을 구축하기 위한 방어 기반의 거대한 토대가 마련될 것입니다.
MISRA는 임베디드 시스템의 위협에 맞서 싸우는 핵심 기관으로, 임베디드 시스템 환경에서 코드의 보안성, 이식성 및 신뢰성을 촉진하기 위한 지침을 개발했습니다. 이러한 지침은 모든 기업이 임베디드 시스템 프로젝트에서 추구해야 할 표준의 북극성 역할을 합니다.
그러나 이 기준을 충족하는 코드를 작성하고 실행하려면 도구(보안은 말할 것도 없고)를 신뢰할 수 있는 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템의 보안 기능 개선이 그렇게 특화된 것인가?
C 및 C++ 프로그래밍 언어는 현재 기준으로 노후화되었지만 여전히 널리 사용되고 있습니다. 이 언어들은 임베디드 시스템 코드베이스의 핵심 기능을 구성하며, Embedded C/C++은 연결된 기기 세계의 일부로서 현대적이고 활기찬 생명력을 누리고 있습니다.
이러한 언어들은 상당히 오래된 뿌리를 가지고 있음에도(인젝션 오류나 버퍼 오버플로우 같은 일반적인 문제 측면에서 유사한 취약성 행동을 보임), 개발자들이 임베디드 시스템의 보안 오류를 완화하는 데 성공하려면 작업 환경을 모방한 코드로 직접 작업에 착수해야 합니다. 일반적인 보안 관행에 대한 일반적인 C 교육은 통합 C 환경에서 작업하는 데 더 많은 시간과 주의를 기울이는 것만큼 효과적이거나 기억하기 쉽지 않을 것입니다.
현대식 차량에는 12개에서 100개 이상의 시스템이 통합되어 있으므로, 개발자들은 IDE 내에서 직접 문제점을 파악하고 해결하는 방법에 대한 정확한 교육을 반드시 받아야 합니다.
임베디드 시스템을 기초부터 보호하는 것은 모두의 책임입니다
많은 조직에서 현 상태는 개발 속도가 보안보다 우선시되는 상황입니다. 적어도 개발자의 책임 측면에서는 그렇습니다. 개발자가 안전한 코드를 생산할 수 있는 능력은 거의 평가되지 않지만, 놀라운 기능을 빠르게 개발하는 것이 기준이 되고 있습니다. 소프트웨어에 대한 수요는 계속 증가할 것이지만, 이러한 문화는 취약점과의 싸움에서 패배하게 만들었고, 그 결과 허용된 사이버 공격으로 이어지고 있습니다.
개발자들이 교육을 받지 못했다면 그건 그들의 잘못이 아니며, 이는 AppSec 팀의 누군가가 적절한 기술 향상 프로그램을 추천함으로써 메워야 할 공백입니다. 이 프로그램들은 개발자 커뮤니티 전체가 접근 가능할 뿐만 아니라 평가 가능해야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 주요 고려 사항 중 하나여야 하며, 특히 개발자를 포함한 모두가 자신의 역할을 수행하는 데 필요한 지원을 받아야 합니다.
임베디드 시스템의 보안 문제에 대해 알아보세요
버퍼 오버플로, 인젝션 결함 및 비즈니스 로직 오류는 임베디드 시스템 개발에서 흔히 발생하는 오류입니다. 단일 차량이나 장치 내 마이크로컨트롤러의 복잡한 구조 깊숙이 묻혀 있을 경우, 보안 측면에서 재앙을 초래할 수 있습니다.
버퍼 오버플로는 특히 빈번하게 발생하며, 앞서 언급한 프라이팬(원격 코드 실행을 허용한)이 어떻게 해킹당했는지 자세히 알고 싶다면 CVE-2020-28592 보고서를 참조하세요.
이제 실제 임베디드 C/C++ 코드에서 버퍼 오버플로 취약점을 직접 다루어 볼 때입니다. 이 도전을 통해 이 교묘한 오류를 유발하는 부실한 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
어땠나요? 정확하고 효과적인 임베디드 시스템 보안 교육을 받으려면 www.securecodewarrior.com을 방문하세요.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
