왜 게임화가 소프트웨어 보안 향상의 핵심인가
애플리케이션 보안 관리자, 최고정보보안책임자(CISO), 최고정보책임자(CIO) 및 사이버 보안 전문가: 저는 소프트웨어 개발 및 보안 분야에서 경력을 쌓아오면서 전 세계 다양한 기업에서 근무하는 이들 중 다수와 이야기를 나눈 바 있습니다.
여러분의 상황이 얼마나 다르든, 팀의 경험이 얼마나 풍부하든, 끊임없이 변화하는 이 디지털 세계에서 얼마나 오랜 시간을 보냈든, 항상 똑같은 문제가 존재합니다: 개발 팀을 보안 문제에 적극적으로 참여시키지 못하는 경우가 드물지 않다는 점입니다. 보안은 여전히 금기시되는 주제이며, 팀 간 갈등의 원인이자 업계의 진정한 골칫거리입니다.
그러나 소프트웨어 보안은 너무나 중요하기에 우리의 일반적인 사고방식이 이 길을 계속 가도록 내버려 둘 수 없습니다. 우리는 대화를 바꾸고 보안을 모든 개발자의 업무 생활에 필수적인 부분으로 만들기 위해 노력해야 합니다. 그리고 이를 위한 가장 좋은 방법 중 하나는 게임화 같은 방식을 통해 개발자들에게 권한을 부여하고 보안 문제에 대해 그들과 소통하는 것이라고 생각합니다.
현재 상황
개발자들은 대학을 졸업할 때 안전한 코드 배포에 대한 실용적인 지식이 거의 없으며, 보안 교육이 우선순위가 되는 경우가 드문 직장에서 일합니다(그리고 우선순위가 될 때조차, 대개 건강 및 안전에 관한 의무적인 규정 준수 동영상에 포함되어 있는데, 이 동영상들은 너무 지루해서 아무도 안전한 코딩에 관심을 가지지 않습니다). 대부분의 경우 그들의 첫 보안 경험은 감사나 테스트에서 발견된 결함에 대한 보고서로, 갑작스럽게 향후 버전 출시를 중단시키고 창의적인 사고를 즉시 방해하는 최우선 과제로 다가옵니다. 그들은 보안 보고서를 제출하는 담당자들과 의견 충돌을 겪으며, 결국 '보안'이 '비판'과 동의어가 되어버린다고 생각합니다. 정말 짜증나는 일이죠.
솔직히 말해서, 소프트웨어 보안에 대한 이러한 부정적인 인식이 널리 퍼져 있다는 점이 정말 안타깝습니다. 결국, 제 경력에서 가장 소중한 추억 중 일부는 소프트웨어 보안에 관한 학습과 관련되어 있습니다. 해커로서의 초창기 시절을 컨퍼런스 참석으로 보냈는데, 그곳에서는 동료들 앞에서 제 실력을 시험해 볼 수 있었을 뿐만 아니라(솔직히 말해 조금 자랑도 했죠), 소프트웨어 개발을 저만큼이나 즐기는 생각을 같이 하는 사람들을 만나며 정말 즐거운 시간을 보냈습니다.
브루콘, 디프콘, 블랙햇... 이런 행사들은 저 같은 사람들에게 우호적인 경쟁 속에서 우리의 기술을 발휘할 기회를 제공했습니다. 비록 그런 반사회적인 행사에 참여했다는 사실을 절대 인정하지는 않겠지만, 어떤 이들은 심지어 다른 참가자들의 휴대폰을 해킹해 정보를 훔쳐내 발표 화면에 공개하는 식으로 해커로서의 실력을 과시하기도 했습니다. 이는 결함을 찾아내어(악용하고 해결함으로써) 소프트웨어를 개선하는 게임이 되었습니다. 몇 년 전, 저는 중동 지역에서 수백 명의 아이들 앞에서 사이버 보안에 대해 가르칠 특권을 누렸습니다. 제 제자들 중 한 명인 여덟 살 소녀가 기억에 남습니다. 그녀는 게임을 하면서 무차별 대입 공격으로 비밀번호를 사용하는 법과 base64로 인코딩하는 법을 배우고 있었습니다.
게이미피케이션은 코딩 기술 교육에도 활용됩니다. 전 세계 교육 기관들은 이 접근법을 통해 아주 어린 아이들부터 중학생까지 프로그래밍을 가르치고 있습니다. 이제 네 살짜리 아이들도 코드캠프( CodeCamp) 같은 여름 캠프 프로그램에 정기적으로 참여하며, 파이썬(Python) 등 다양한 언어로 아이들에게 프로그래밍을 가르치는 훌륭한 온라인 프로그램들이 다수 존재합니다. 저는 네 살 난 딸을 위해 화면 없는 놀라운 코딩 도구인 큐베토( Cubetto)도 구입했습니다.
그러나 이 모든 재미와 발전에도 불구하고, 한 가지 간극이 존재합니다. 아무도 게임화 기법을 활용해 개발자들에게 안전한 코드 작성법을 교육할 가능성을 고려하지 않았습니다.
음... 거의 아무도 없었죠. 몇 년 전, 저는 보안이 다시 영감을 주고 개발자들이 참여하고 관심을 가지도록 진정으로 동기를 부여해야 한다는 것을 깨달았습니다.
게이미피케이션: 가장 쉬운 길.
저는 개발자들에게 보안 지식을 전수하고 역량을 강화시키고자 하는 깊은 열망을 가지고 있으며, 바로 이 열정이 Secure Code Warrior 창립하게 했습니다. 소프트웨어 보안은 매우 중요할 뿐만 아니라 정말 흥미진진할 수 있습니다.
내 생각 속에 나 혼자만 있는 것은 아니다.
게이미피케이션은 가장 평범한 일조차도 더 재미있게 만들 수 있으며, 사람들이 계속해서 플레이하고, 승리하고, 발전하고 싶어할 만큼 충분히 몰입하게 합니다. 포켓몬 고가 어떻게 작동하는지 보세요! 가장 게으른 사람조차 소파에서 일어나 야외로 나가 상상의 생물을 찾게 만들었습니다. 또는 핏빗이 많은 이들에게 걸음 수 목표를 달성하기 위한 일상의 과제가 되는 것처럼... 목표를 달성하지 못하거나 연속 기록이 끊기고 배지를 획득하지 못하면 진정한 실망감이 생깁니다.
그러니 보안 교육으로 돌아가 보겠습니다. 수많은 고객사를 통해 입증했듯이, 게임화는 조직의 보안 문화를 진정으로 변화시키고, 애플리케이션 보안(AppSec)과 개발 팀 간의 가교 역할을 하며, 전반적으로 더 높은 수준의 소프트웨어를 개발하도록 돕는 핵심 요소입니다.
현재 개발자에게 보안은 최우선 과제가 아닙니다. 훈련 방법에 친근하고 경쟁적이며 매력적인 요소를 추가함으로써, 단순히 '놀게' 하는 것뿐만 아니라 점수를 계속 쌓고, 최고 점수를 경신하며, 정확도를 높이고, 팀원들과 경쟁하도록 동기를 부여하게 됩니다.
우리는 이미 성공적인 교육이 대략 이런 것임을 알고 있습니다:
- 개발자는 실제 코드와 자신들이 선호하는 언어/프레임워크로 작업할 수 있습니다.
- 도전 과제는 짧으며 모든 일반적인 보안 취약점을 다룹니다.
- 도전 과제는 지속적으로 확장되고 업데이트되어 개발자들이 시간이 지남에 따라 자신의 기술을 계속 발전시킬 수 있도록 합니다.
- 과제의 난이도는 다양하므로, 경험이 풍부한 개발자부터 초보 개발자까지 모두에게 매력적입니다.
- 개발자와 관리자는 진행 상황을 확인할 수 있습니다. 여기에는 완료한 과제, 강점과 약점, 교육에 소요된 시간, 그리고 전반적인 정확도가 포함됩니다.
주요 고객사 중 한 곳이 게임화 플랫폼 출시 행사에서 진정한 마법을 선보였습니다. 개발자들에게 테마별 장비를 선물하고, 게임 우승자들에게 놀라운 상품을 제공하며, 토너먼트를 잊지 못할 하루로 만들었죠. 이후 국제 대회를 개최해 왔으며, 현재까지도 전 직원이 오랜 시간 훈련을 계속하고 있습니다.
소프트웨어 혁명이 여기서 시작됩니다. 호주 금융계는 잘못된 코드와의 싸움을 위해 게임화 교육을 도입하는 선두주자로, 기존의 (혹은 지루한) 교육 방식을 완전히 뒤집는 혁신적인 접근법을 선보였습니다. 저희 고객사가 진행한 차원 높은 토너먼트 사례만 봐도 알 수 있죠. 우리와 함께 팀의 역량을 한 단계 끌어올릴 준비가 되셨나요?
우리는 대화를 바꾸고 보안을 모든 개발자의 업무 생활에 필수적인 부분으로 만들기 위해 노력해야 합니다. 그리고 이를 위한 가장 좋은 방법 중 하나는 게임화 같은 방식을 통해 개발자들에게 권한을 부여하고 보안 문제에 대해 그들과 소통하는 것이라고 생각합니다.
우리는 대화를 바꾸고 보안을 모든 개발자의 업무 생활에 필수적인 부분으로 만들기 위해 노력해야 합니다. 그리고 이를 위한 가장 좋은 방법 중 하나는 게임화 같은 방식을 통해 개발자들에게 권한을 부여하고 보안 문제에 대해 그들과 소통하는 것이라고 생각합니다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
애플리케이션 보안 관리자, 최고정보보안책임자(CISO), 최고정보책임자(CIO) 및 사이버 보안 전문가: 저는 소프트웨어 개발 및 보안 분야에서 경력을 쌓아오면서 전 세계 다양한 기업에서 근무하는 이들 중 다수와 이야기를 나눈 바 있습니다.
여러분의 상황이 얼마나 다르든, 팀의 경험이 얼마나 풍부하든, 끊임없이 변화하는 이 디지털 세계에서 얼마나 오랜 시간을 보냈든, 항상 똑같은 문제가 존재합니다: 개발 팀을 보안 문제에 적극적으로 참여시키지 못하는 경우가 드물지 않다는 점입니다. 보안은 여전히 금기시되는 주제이며, 팀 간 갈등의 원인이자 업계의 진정한 골칫거리입니다.
그러나 소프트웨어 보안은 너무나 중요하기에 우리의 일반적인 사고방식이 이 길을 계속 가도록 내버려 둘 수 없습니다. 우리는 대화를 바꾸고 보안을 모든 개발자의 업무 생활에 필수적인 부분으로 만들기 위해 노력해야 합니다. 그리고 이를 위한 가장 좋은 방법 중 하나는 게임화 같은 방식을 통해 개발자들에게 권한을 부여하고 보안 문제에 대해 그들과 소통하는 것이라고 생각합니다.
현재 상황
개발자들은 대학을 졸업할 때 안전한 코드 배포에 대한 실용적인 지식이 거의 없으며, 보안 교육이 우선순위가 되는 경우가 드문 직장에서 일합니다(그리고 우선순위가 될 때조차, 대개 건강 및 안전에 관한 의무적인 규정 준수 동영상에 포함되어 있는데, 이 동영상들은 너무 지루해서 아무도 안전한 코딩에 관심을 가지지 않습니다). 대부분의 경우 그들의 첫 보안 경험은 감사나 테스트에서 발견된 결함에 대한 보고서로, 갑작스럽게 향후 버전 출시를 중단시키고 창의적인 사고를 즉시 방해하는 최우선 과제로 다가옵니다. 그들은 보안 보고서를 제출하는 담당자들과 의견 충돌을 겪으며, 결국 '보안'이 '비판'과 동의어가 되어버린다고 생각합니다. 정말 짜증나는 일이죠.
솔직히 말해서, 소프트웨어 보안에 대한 이러한 부정적인 인식이 널리 퍼져 있다는 점이 정말 안타깝습니다. 결국, 제 경력에서 가장 소중한 추억 중 일부는 소프트웨어 보안에 관한 학습과 관련되어 있습니다. 해커로서의 초창기 시절을 컨퍼런스 참석으로 보냈는데, 그곳에서는 동료들 앞에서 제 실력을 시험해 볼 수 있었을 뿐만 아니라(솔직히 말해 조금 자랑도 했죠), 소프트웨어 개발을 저만큼이나 즐기는 생각을 같이 하는 사람들을 만나며 정말 즐거운 시간을 보냈습니다.
브루콘, 디프콘, 블랙햇... 이런 행사들은 저 같은 사람들에게 우호적인 경쟁 속에서 우리의 기술을 발휘할 기회를 제공했습니다. 비록 그런 반사회적인 행사에 참여했다는 사실을 절대 인정하지는 않겠지만, 어떤 이들은 심지어 다른 참가자들의 휴대폰을 해킹해 정보를 훔쳐내 발표 화면에 공개하는 식으로 해커로서의 실력을 과시하기도 했습니다. 이는 결함을 찾아내어(악용하고 해결함으로써) 소프트웨어를 개선하는 게임이 되었습니다. 몇 년 전, 저는 중동 지역에서 수백 명의 아이들 앞에서 사이버 보안에 대해 가르칠 특권을 누렸습니다. 제 제자들 중 한 명인 여덟 살 소녀가 기억에 남습니다. 그녀는 게임을 하면서 무차별 대입 공격으로 비밀번호를 사용하는 법과 base64로 인코딩하는 법을 배우고 있었습니다.
게이미피케이션은 코딩 기술 교육에도 활용됩니다. 전 세계 교육 기관들은 이 접근법을 통해 아주 어린 아이들부터 중학생까지 프로그래밍을 가르치고 있습니다. 이제 네 살짜리 아이들도 코드캠프( CodeCamp) 같은 여름 캠프 프로그램에 정기적으로 참여하며, 파이썬(Python) 등 다양한 언어로 아이들에게 프로그래밍을 가르치는 훌륭한 온라인 프로그램들이 다수 존재합니다. 저는 네 살 난 딸을 위해 화면 없는 놀라운 코딩 도구인 큐베토( Cubetto)도 구입했습니다.
그러나 이 모든 재미와 발전에도 불구하고, 한 가지 간극이 존재합니다. 아무도 게임화 기법을 활용해 개발자들에게 안전한 코드 작성법을 교육할 가능성을 고려하지 않았습니다.
음... 거의 아무도 없었죠. 몇 년 전, 저는 보안이 다시 영감을 주고 개발자들이 참여하고 관심을 가지도록 진정으로 동기를 부여해야 한다는 것을 깨달았습니다.
게이미피케이션: 가장 쉬운 길.
저는 개발자들에게 보안 지식을 전수하고 역량을 강화시키고자 하는 깊은 열망을 가지고 있으며, 바로 이 열정이 Secure Code Warrior 창립하게 했습니다. 소프트웨어 보안은 매우 중요할 뿐만 아니라 정말 흥미진진할 수 있습니다.
내 생각 속에 나 혼자만 있는 것은 아니다.
게이미피케이션은 가장 평범한 일조차도 더 재미있게 만들 수 있으며, 사람들이 계속해서 플레이하고, 승리하고, 발전하고 싶어할 만큼 충분히 몰입하게 합니다. 포켓몬 고가 어떻게 작동하는지 보세요! 가장 게으른 사람조차 소파에서 일어나 야외로 나가 상상의 생물을 찾게 만들었습니다. 또는 핏빗이 많은 이들에게 걸음 수 목표를 달성하기 위한 일상의 과제가 되는 것처럼... 목표를 달성하지 못하거나 연속 기록이 끊기고 배지를 획득하지 못하면 진정한 실망감이 생깁니다.
그러니 보안 교육으로 돌아가 보겠습니다. 수많은 고객사를 통해 입증했듯이, 게임화는 조직의 보안 문화를 진정으로 변화시키고, 애플리케이션 보안(AppSec)과 개발 팀 간의 가교 역할을 하며, 전반적으로 더 높은 수준의 소프트웨어를 개발하도록 돕는 핵심 요소입니다.
현재 개발자에게 보안은 최우선 과제가 아닙니다. 훈련 방법에 친근하고 경쟁적이며 매력적인 요소를 추가함으로써, 단순히 '놀게' 하는 것뿐만 아니라 점수를 계속 쌓고, 최고 점수를 경신하며, 정확도를 높이고, 팀원들과 경쟁하도록 동기를 부여하게 됩니다.
우리는 이미 성공적인 교육이 대략 이런 것임을 알고 있습니다:
- 개발자는 실제 코드와 자신들이 선호하는 언어/프레임워크로 작업할 수 있습니다.
- 도전 과제는 짧으며 모든 일반적인 보안 취약점을 다룹니다.
- 도전 과제는 지속적으로 확장되고 업데이트되어 개발자들이 시간이 지남에 따라 자신의 기술을 계속 발전시킬 수 있도록 합니다.
- 과제의 난이도는 다양하므로, 경험이 풍부한 개발자부터 초보 개발자까지 모두에게 매력적입니다.
- 개발자와 관리자는 진행 상황을 확인할 수 있습니다. 여기에는 완료한 과제, 강점과 약점, 교육에 소요된 시간, 그리고 전반적인 정확도가 포함됩니다.
주요 고객사 중 한 곳이 게임화 플랫폼 출시 행사에서 진정한 마법을 선보였습니다. 개발자들에게 테마별 장비를 선물하고, 게임 우승자들에게 놀라운 상품을 제공하며, 토너먼트를 잊지 못할 하루로 만들었죠. 이후 국제 대회를 개최해 왔으며, 현재까지도 전 직원이 오랜 시간 훈련을 계속하고 있습니다.
소프트웨어 혁명이 여기서 시작됩니다. 호주 금융계는 잘못된 코드와의 싸움을 위해 게임화 교육을 도입하는 선두주자로, 기존의 (혹은 지루한) 교육 방식을 완전히 뒤집는 혁신적인 접근법을 선보였습니다. 저희 고객사가 진행한 차원 높은 토너먼트 사례만 봐도 알 수 있죠. 우리와 함께 팀의 역량을 한 단계 끌어올릴 준비가 되셨나요?
우리는 대화를 바꾸고 보안을 모든 개발자의 업무 생활에 필수적인 부분으로 만들기 위해 노력해야 합니다. 그리고 이를 위한 가장 좋은 방법 중 하나는 게임화 같은 방식을 통해 개발자들에게 권한을 부여하고 보안 문제에 대해 그들과 소통하는 것이라고 생각합니다.
애플리케이션 보안 관리자, 최고정보보안책임자(CISO), 최고정보책임자(CIO) 및 사이버 보안 전문가: 저는 소프트웨어 개발 및 보안 분야에서 경력을 쌓아오면서 전 세계 다양한 기업에서 근무하는 이들 중 다수와 이야기를 나눈 바 있습니다.
여러분의 상황이 얼마나 다르든, 팀의 경험이 얼마나 풍부하든, 끊임없이 변화하는 이 디지털 세계에서 얼마나 오랜 시간을 보냈든, 항상 똑같은 문제가 존재합니다: 개발 팀을 보안 문제에 적극적으로 참여시키지 못하는 경우가 드물지 않다는 점입니다. 보안은 여전히 금기시되는 주제이며, 팀 간 갈등의 원인이자 업계의 진정한 골칫거리입니다.
그러나 소프트웨어 보안은 너무나 중요하기에 우리의 일반적인 사고방식이 이 길을 계속 가도록 내버려 둘 수 없습니다. 우리는 대화를 바꾸고 보안을 모든 개발자의 업무 생활에 필수적인 부분으로 만들기 위해 노력해야 합니다. 그리고 이를 위한 가장 좋은 방법 중 하나는 게임화 같은 방식을 통해 개발자들에게 권한을 부여하고 보안 문제에 대해 그들과 소통하는 것이라고 생각합니다.
현재 상황
개발자들은 대학을 졸업할 때 안전한 코드 배포에 대한 실용적인 지식이 거의 없으며, 보안 교육이 우선순위가 되는 경우가 드문 직장에서 일합니다(그리고 우선순위가 될 때조차, 대개 건강 및 안전에 관한 의무적인 규정 준수 동영상에 포함되어 있는데, 이 동영상들은 너무 지루해서 아무도 안전한 코딩에 관심을 가지지 않습니다). 대부분의 경우 그들의 첫 보안 경험은 감사나 테스트에서 발견된 결함에 대한 보고서로, 갑작스럽게 향후 버전 출시를 중단시키고 창의적인 사고를 즉시 방해하는 최우선 과제로 다가옵니다. 그들은 보안 보고서를 제출하는 담당자들과 의견 충돌을 겪으며, 결국 '보안'이 '비판'과 동의어가 되어버린다고 생각합니다. 정말 짜증나는 일이죠.
솔직히 말해서, 소프트웨어 보안에 대한 이러한 부정적인 인식이 널리 퍼져 있다는 점이 정말 안타깝습니다. 결국, 제 경력에서 가장 소중한 추억 중 일부는 소프트웨어 보안에 관한 학습과 관련되어 있습니다. 해커로서의 초창기 시절을 컨퍼런스 참석으로 보냈는데, 그곳에서는 동료들 앞에서 제 실력을 시험해 볼 수 있었을 뿐만 아니라(솔직히 말해 조금 자랑도 했죠), 소프트웨어 개발을 저만큼이나 즐기는 생각을 같이 하는 사람들을 만나며 정말 즐거운 시간을 보냈습니다.
브루콘, 디프콘, 블랙햇... 이런 행사들은 저 같은 사람들에게 우호적인 경쟁 속에서 우리의 기술을 발휘할 기회를 제공했습니다. 비록 그런 반사회적인 행사에 참여했다는 사실을 절대 인정하지는 않겠지만, 어떤 이들은 심지어 다른 참가자들의 휴대폰을 해킹해 정보를 훔쳐내 발표 화면에 공개하는 식으로 해커로서의 실력을 과시하기도 했습니다. 이는 결함을 찾아내어(악용하고 해결함으로써) 소프트웨어를 개선하는 게임이 되었습니다. 몇 년 전, 저는 중동 지역에서 수백 명의 아이들 앞에서 사이버 보안에 대해 가르칠 특권을 누렸습니다. 제 제자들 중 한 명인 여덟 살 소녀가 기억에 남습니다. 그녀는 게임을 하면서 무차별 대입 공격으로 비밀번호를 사용하는 법과 base64로 인코딩하는 법을 배우고 있었습니다.
게이미피케이션은 코딩 기술 교육에도 활용됩니다. 전 세계 교육 기관들은 이 접근법을 통해 아주 어린 아이들부터 중학생까지 프로그래밍을 가르치고 있습니다. 이제 네 살짜리 아이들도 코드캠프( CodeCamp) 같은 여름 캠프 프로그램에 정기적으로 참여하며, 파이썬(Python) 등 다양한 언어로 아이들에게 프로그래밍을 가르치는 훌륭한 온라인 프로그램들이 다수 존재합니다. 저는 네 살 난 딸을 위해 화면 없는 놀라운 코딩 도구인 큐베토( Cubetto)도 구입했습니다.
그러나 이 모든 재미와 발전에도 불구하고, 한 가지 간극이 존재합니다. 아무도 게임화 기법을 활용해 개발자들에게 안전한 코드 작성법을 교육할 가능성을 고려하지 않았습니다.
음... 거의 아무도 없었죠. 몇 년 전, 저는 보안이 다시 영감을 주고 개발자들이 참여하고 관심을 가지도록 진정으로 동기를 부여해야 한다는 것을 깨달았습니다.
게이미피케이션: 가장 쉬운 길.
저는 개발자들에게 보안 지식을 전수하고 역량을 강화시키고자 하는 깊은 열망을 가지고 있으며, 바로 이 열정이 Secure Code Warrior 창립하게 했습니다. 소프트웨어 보안은 매우 중요할 뿐만 아니라 정말 흥미진진할 수 있습니다.
내 생각 속에 나 혼자만 있는 것은 아니다.
게이미피케이션은 가장 평범한 일조차도 더 재미있게 만들 수 있으며, 사람들이 계속해서 플레이하고, 승리하고, 발전하고 싶어할 만큼 충분히 몰입하게 합니다. 포켓몬 고가 어떻게 작동하는지 보세요! 가장 게으른 사람조차 소파에서 일어나 야외로 나가 상상의 생물을 찾게 만들었습니다. 또는 핏빗이 많은 이들에게 걸음 수 목표를 달성하기 위한 일상의 과제가 되는 것처럼... 목표를 달성하지 못하거나 연속 기록이 끊기고 배지를 획득하지 못하면 진정한 실망감이 생깁니다.
그러니 보안 교육으로 돌아가 보겠습니다. 수많은 고객사를 통해 입증했듯이, 게임화는 조직의 보안 문화를 진정으로 변화시키고, 애플리케이션 보안(AppSec)과 개발 팀 간의 가교 역할을 하며, 전반적으로 더 높은 수준의 소프트웨어를 개발하도록 돕는 핵심 요소입니다.
현재 개발자에게 보안은 최우선 과제가 아닙니다. 훈련 방법에 친근하고 경쟁적이며 매력적인 요소를 추가함으로써, 단순히 '놀게' 하는 것뿐만 아니라 점수를 계속 쌓고, 최고 점수를 경신하며, 정확도를 높이고, 팀원들과 경쟁하도록 동기를 부여하게 됩니다.
우리는 이미 성공적인 교육이 대략 이런 것임을 알고 있습니다:
- 개발자는 실제 코드와 자신들이 선호하는 언어/프레임워크로 작업할 수 있습니다.
- 도전 과제는 짧으며 모든 일반적인 보안 취약점을 다룹니다.
- 도전 과제는 지속적으로 확장되고 업데이트되어 개발자들이 시간이 지남에 따라 자신의 기술을 계속 발전시킬 수 있도록 합니다.
- 과제의 난이도는 다양하므로, 경험이 풍부한 개발자부터 초보 개발자까지 모두에게 매력적입니다.
- 개발자와 관리자는 진행 상황을 확인할 수 있습니다. 여기에는 완료한 과제, 강점과 약점, 교육에 소요된 시간, 그리고 전반적인 정확도가 포함됩니다.
주요 고객사 중 한 곳이 게임화 플랫폼 출시 행사에서 진정한 마법을 선보였습니다. 개발자들에게 테마별 장비를 선물하고, 게임 우승자들에게 놀라운 상품을 제공하며, 토너먼트를 잊지 못할 하루로 만들었죠. 이후 국제 대회를 개최해 왔으며, 현재까지도 전 직원이 오랜 시간 훈련을 계속하고 있습니다.
소프트웨어 혁명이 여기서 시작됩니다. 호주 금융계는 잘못된 코드와의 싸움을 위해 게임화 교육을 도입하는 선두주자로, 기존의 (혹은 지루한) 교육 방식을 완전히 뒤집는 혁신적인 접근법을 선보였습니다. 저희 고객사가 진행한 차원 높은 토너먼트 사례만 봐도 알 수 있죠. 우리와 함께 팀의 역량을 한 단계 끌어올릴 준비가 되셨나요?
우리는 대화를 바꾸고 보안을 모든 개발자의 업무 생활에 필수적인 부분으로 만들기 위해 노력해야 합니다. 그리고 이를 위한 가장 좋은 방법 중 하나는 게임화 같은 방식을 통해 개발자들에게 권한을 부여하고 보안 문제에 대해 그들과 소통하는 것이라고 생각합니다.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
애플리케이션 보안 관리자, 최고정보보안책임자(CISO), 최고정보책임자(CIO) 및 사이버 보안 전문가: 저는 소프트웨어 개발 및 보안 분야에서 경력을 쌓아오면서 전 세계 다양한 기업에서 근무하는 이들 중 다수와 이야기를 나눈 바 있습니다.
여러분의 상황이 얼마나 다르든, 팀의 경험이 얼마나 풍부하든, 끊임없이 변화하는 이 디지털 세계에서 얼마나 오랜 시간을 보냈든, 항상 똑같은 문제가 존재합니다: 개발 팀을 보안 문제에 적극적으로 참여시키지 못하는 경우가 드물지 않다는 점입니다. 보안은 여전히 금기시되는 주제이며, 팀 간 갈등의 원인이자 업계의 진정한 골칫거리입니다.
그러나 소프트웨어 보안은 너무나 중요하기에 우리의 일반적인 사고방식이 이 길을 계속 가도록 내버려 둘 수 없습니다. 우리는 대화를 바꾸고 보안을 모든 개발자의 업무 생활에 필수적인 부분으로 만들기 위해 노력해야 합니다. 그리고 이를 위한 가장 좋은 방법 중 하나는 게임화 같은 방식을 통해 개발자들에게 권한을 부여하고 보안 문제에 대해 그들과 소통하는 것이라고 생각합니다.
현재 상황
개발자들은 대학을 졸업할 때 안전한 코드 배포에 대한 실용적인 지식이 거의 없으며, 보안 교육이 우선순위가 되는 경우가 드문 직장에서 일합니다(그리고 우선순위가 될 때조차, 대개 건강 및 안전에 관한 의무적인 규정 준수 동영상에 포함되어 있는데, 이 동영상들은 너무 지루해서 아무도 안전한 코딩에 관심을 가지지 않습니다). 대부분의 경우 그들의 첫 보안 경험은 감사나 테스트에서 발견된 결함에 대한 보고서로, 갑작스럽게 향후 버전 출시를 중단시키고 창의적인 사고를 즉시 방해하는 최우선 과제로 다가옵니다. 그들은 보안 보고서를 제출하는 담당자들과 의견 충돌을 겪으며, 결국 '보안'이 '비판'과 동의어가 되어버린다고 생각합니다. 정말 짜증나는 일이죠.
솔직히 말해서, 소프트웨어 보안에 대한 이러한 부정적인 인식이 널리 퍼져 있다는 점이 정말 안타깝습니다. 결국, 제 경력에서 가장 소중한 추억 중 일부는 소프트웨어 보안에 관한 학습과 관련되어 있습니다. 해커로서의 초창기 시절을 컨퍼런스 참석으로 보냈는데, 그곳에서는 동료들 앞에서 제 실력을 시험해 볼 수 있었을 뿐만 아니라(솔직히 말해 조금 자랑도 했죠), 소프트웨어 개발을 저만큼이나 즐기는 생각을 같이 하는 사람들을 만나며 정말 즐거운 시간을 보냈습니다.
브루콘, 디프콘, 블랙햇... 이런 행사들은 저 같은 사람들에게 우호적인 경쟁 속에서 우리의 기술을 발휘할 기회를 제공했습니다. 비록 그런 반사회적인 행사에 참여했다는 사실을 절대 인정하지는 않겠지만, 어떤 이들은 심지어 다른 참가자들의 휴대폰을 해킹해 정보를 훔쳐내 발표 화면에 공개하는 식으로 해커로서의 실력을 과시하기도 했습니다. 이는 결함을 찾아내어(악용하고 해결함으로써) 소프트웨어를 개선하는 게임이 되었습니다. 몇 년 전, 저는 중동 지역에서 수백 명의 아이들 앞에서 사이버 보안에 대해 가르칠 특권을 누렸습니다. 제 제자들 중 한 명인 여덟 살 소녀가 기억에 남습니다. 그녀는 게임을 하면서 무차별 대입 공격으로 비밀번호를 사용하는 법과 base64로 인코딩하는 법을 배우고 있었습니다.
게이미피케이션은 코딩 기술 교육에도 활용됩니다. 전 세계 교육 기관들은 이 접근법을 통해 아주 어린 아이들부터 중학생까지 프로그래밍을 가르치고 있습니다. 이제 네 살짜리 아이들도 코드캠프( CodeCamp) 같은 여름 캠프 프로그램에 정기적으로 참여하며, 파이썬(Python) 등 다양한 언어로 아이들에게 프로그래밍을 가르치는 훌륭한 온라인 프로그램들이 다수 존재합니다. 저는 네 살 난 딸을 위해 화면 없는 놀라운 코딩 도구인 큐베토( Cubetto)도 구입했습니다.
그러나 이 모든 재미와 발전에도 불구하고, 한 가지 간극이 존재합니다. 아무도 게임화 기법을 활용해 개발자들에게 안전한 코드 작성법을 교육할 가능성을 고려하지 않았습니다.
음... 거의 아무도 없었죠. 몇 년 전, 저는 보안이 다시 영감을 주고 개발자들이 참여하고 관심을 가지도록 진정으로 동기를 부여해야 한다는 것을 깨달았습니다.
게이미피케이션: 가장 쉬운 길.
저는 개발자들에게 보안 지식을 전수하고 역량을 강화시키고자 하는 깊은 열망을 가지고 있으며, 바로 이 열정이 Secure Code Warrior 창립하게 했습니다. 소프트웨어 보안은 매우 중요할 뿐만 아니라 정말 흥미진진할 수 있습니다.
내 생각 속에 나 혼자만 있는 것은 아니다.
게이미피케이션은 가장 평범한 일조차도 더 재미있게 만들 수 있으며, 사람들이 계속해서 플레이하고, 승리하고, 발전하고 싶어할 만큼 충분히 몰입하게 합니다. 포켓몬 고가 어떻게 작동하는지 보세요! 가장 게으른 사람조차 소파에서 일어나 야외로 나가 상상의 생물을 찾게 만들었습니다. 또는 핏빗이 많은 이들에게 걸음 수 목표를 달성하기 위한 일상의 과제가 되는 것처럼... 목표를 달성하지 못하거나 연속 기록이 끊기고 배지를 획득하지 못하면 진정한 실망감이 생깁니다.
그러니 보안 교육으로 돌아가 보겠습니다. 수많은 고객사를 통해 입증했듯이, 게임화는 조직의 보안 문화를 진정으로 변화시키고, 애플리케이션 보안(AppSec)과 개발 팀 간의 가교 역할을 하며, 전반적으로 더 높은 수준의 소프트웨어를 개발하도록 돕는 핵심 요소입니다.
현재 개발자에게 보안은 최우선 과제가 아닙니다. 훈련 방법에 친근하고 경쟁적이며 매력적인 요소를 추가함으로써, 단순히 '놀게' 하는 것뿐만 아니라 점수를 계속 쌓고, 최고 점수를 경신하며, 정확도를 높이고, 팀원들과 경쟁하도록 동기를 부여하게 됩니다.
우리는 이미 성공적인 교육이 대략 이런 것임을 알고 있습니다:
- 개발자는 실제 코드와 자신들이 선호하는 언어/프레임워크로 작업할 수 있습니다.
- 도전 과제는 짧으며 모든 일반적인 보안 취약점을 다룹니다.
- 도전 과제는 지속적으로 확장되고 업데이트되어 개발자들이 시간이 지남에 따라 자신의 기술을 계속 발전시킬 수 있도록 합니다.
- 과제의 난이도는 다양하므로, 경험이 풍부한 개발자부터 초보 개발자까지 모두에게 매력적입니다.
- 개발자와 관리자는 진행 상황을 확인할 수 있습니다. 여기에는 완료한 과제, 강점과 약점, 교육에 소요된 시간, 그리고 전반적인 정확도가 포함됩니다.
주요 고객사 중 한 곳이 게임화 플랫폼 출시 행사에서 진정한 마법을 선보였습니다. 개발자들에게 테마별 장비를 선물하고, 게임 우승자들에게 놀라운 상품을 제공하며, 토너먼트를 잊지 못할 하루로 만들었죠. 이후 국제 대회를 개최해 왔으며, 현재까지도 전 직원이 오랜 시간 훈련을 계속하고 있습니다.
소프트웨어 혁명이 여기서 시작됩니다. 호주 금융계는 잘못된 코드와의 싸움을 위해 게임화 교육을 도입하는 선두주자로, 기존의 (혹은 지루한) 교육 방식을 완전히 뒤집는 혁신적인 접근법을 선보였습니다. 저희 고객사가 진행한 차원 높은 토너먼트 사례만 봐도 알 수 있죠. 우리와 함께 팀의 역량을 한 단계 끌어올릴 준비가 되셨나요?
우리는 대화를 바꾸고 보안을 모든 개발자의 업무 생활에 필수적인 부분으로 만들기 위해 노력해야 합니다. 그리고 이를 위한 가장 좋은 방법 중 하나는 게임화 같은 방식을 통해 개발자들에게 권한을 부여하고 보안 문제에 대해 그들과 소통하는 것이라고 생각합니다.
%20(1).avif)
.avif)
