왜 스캐폴딩 기반 학습이 확고한 자신감을 가진 개발자를 양성하는가
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 금방 알 수 있습니다. 사이버 공격자와 범죄자들의 대규모 침해, 새로운 취약점, 또는 심각한 악용 위협에 대한 보도가 매일 쏟아지는 듯합니다. 그리고 거의 모든 업계 보고서와 지표는 점점 더 위험해지는 사이버 위협의 수치를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측합니다.
이러한 새로운 위협에 대응하기 위해 최전선에서 근무하는 IT 보안 담당자들은 지치고 인력이 부족한 상태입니다. 높은 급여를 받으며 거의 모든 기업이나 조직에 필수적인 존재임에도 불구하고, 모든 조직에 충분한 보안 인력이 공급되지 못하고 있습니다. 전략국제문제연구소(CSIS)의 최근 설문조사에 따르면, IT 의사결정권자의 82%가 소속 기관이 사이버보안 기술 인력 부족을 겪고 있다고 답했으며, 71%는 이 부족 현상이 기관에 직접적이고 측정 가능한 피해를 초래했다고 밝혔습니다. 이 보고서에 따르면, 미국에서만 약 94만 명의 직원이 근무하는 사이버 보안 분야에서 52만 개 이상의 일자리가 채워지지 않은 상태라고 합니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 관련 일자리가 공석 상태입니다. 이는 고액의 급여를 제시하며 우수한 인재를 채용하고 유지하려는 조직조차도 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직위는 다른 직위에 비해 채용 완료까지 약 21% 더 많은 시간이 소요되며, 이는 채용 자체가 가능할 경우에 한합니다.
개발자 지원은 너무 오랫동안 소홀히 여겨져 왔다
많은 이전 블로그 글에서 사이버 보안 방어 체계의 중대한 취약점을 메우기 위해 개발자를 활용할 수 있다는 점을 지적한 바 있습니다. 문제는 전통적으로 개발자들이 사이버 보안 교육을 전혀 받지 못했다는 점입니다. 그들의 업무 성과는 거의 전적으로 구현 속도와 시간에 기반했습니다. 보안은 이후 AppSec 팀의 몫이었습니다.
안타깝게도 단순히 주제를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램에 보안을 추가하라고 요구하는 것만으로는 해결되지 않습니다. 설령 그들이 그러한 변화를 기꺼이 받아들일 의사가 있다 하더라도(설문조사에 따르면 상당수가 그러한 의사를 보임), 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 첫 번째이자 종종 가장 큰 장애물은 의미 있는 학습 기회를 확보하는 것입니다.
전 세계적으로 수백만 개의 고도로 안전하고 보수가 좋은 IT 보안 직위가 공석으로 남아 있는 데에는 이유가 있습니다. 만약 쉬운 일이었다면 모두가 그 분야로 몰려들었을 것입니다. 위협에 맞서고 코드의 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 환경은 끊임없이 변화합니다. 기술에 비교적 능숙한 개발자들에게조차 사이버보안을 가르치려는 시도는 빠르게 낡아지고 기억하기 어려운 정적인 교육으로는 효율적으로 이루어질 수 없으며, 특히 이미 과중한 업무 일정에 추가되는 요구사항이라면 긍정적인 영향은 미미할 것입니다.
더 높은 지대에 도달하기 위해 비계를 설치하세요
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 발을 땅에서 떼지 않고 고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안처럼 복잡한 분야의 수많은 고급 개념을 숙달하기 위한 필수적인 기초를 갖추지 못했기 때문입니다. 이를 보완하기 위해 '안다미아 학습' 개념을 활용할 수 있습니다.
단계적 또는 '계층적' 접근법을 활용해 기술을 향상시킬 때, 광범위한 주제는 일반적으로 개별적인 학습 경험이나 개념으로 분할됩니다. 이를 통해 학생들은 적절한 연습과 지도를 통해 각 개념을 숙달할 수 있으며, 각 구성 요소에 필요한 모든 지원이 제공됩니다. 새로운 고급 개념들은 이미 숙달된 개념들 위에 중첩됩니다. 마치 건물이 성장함에 따라 물리적 비계가 세워지는 방식과 같습니다. 이를 통해 학생들은 도움 없이 습득할 수 있는 수준보다 더 높은 이해도와 기술 습득 단계에 도달할 수 있습니다.
그리고 물리적 지지대가 그러하듯, 그 지원은 더 이상 필요하지 않을 때 점차 제거되며, 학생들이 점점 더 많은 지식을 습득함에 따라 그들에게 더 큰 책임이 부여된다.
스캐폴딩 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 좌절감, 위축감 또는 의욕 상실을 경험할 수 있는 부정적인 감정과 자기인식을 줄이기 위해 사용됩니다. 그러나 현대 사이버보안과 같이 극도로 어려운 개념을 다룰 때에도 매우 유용할 수 있습니다. 개발자들을 어린아이처럼 대하는 방식과는 거리가 멀며, 오히려 보안 팀과의 경험이 좌절감과 의욕 상실을 초래할 수 있을 때 특히 유용합니다. 특히 그들의 고된 노력이 오류 수정과 새로운 비판의 물결로 보답받을 때 더욱 그렇습니다.
개발자가 안전한 코딩의 기초를 이해할 수 있는 도구(일반적으로 OWASP Top 10부터 시작)를 받으면, 보안 오류가 어떻게 발생하는지, 왜 위험한지, 그리고 프로덕션 환경에 반영되기 전에 어떻게 해결할 수 있는지 직접 확인할 수 있습니다. 이를 바탕으로 더 복잡한 취약점을 다루고 적절한 해결책 적용에 대한 실무 경험을 쌓으며 지식을 확장할 수 있습니다. 보안 계층은 점진적으로 성장하며, 불안전한 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제에 직면했을 때 이러한 발전은 더 이상 위협적으로 느껴지지 않으며 정확하게 대응할 수 있게 됩니다.
산업으로서 우리는 개발자들이 보안 전문가가 되기를 기대해서는 안 되지만, 조직은 개발자들이 더 높은 품질의 소프트웨어를 생산할 수 있도록 교육하기 위한 새로운 기준을 채택할 수 있습니다. 엔지니어링 분야에서 일하며 역량을 향상시키는 조직에게 추가적인 이점으로, 프로세스의 각 단계 또는 각 수준의 지원 체계는 학습 과정에서 사이버 보안의 직접적인 개선으로 이어질 것입니다. 과정의 마지막까지 기다려야 결과를 볼 수 있는 것은 아닙니다.
사이버보안 학습은 어렵고, 적절한 도움과 지도가 없다면 숙달하는 것은 거의 불가능합니다. 단계적 학습이 가능한 보안 프로그램을 도입하면 최대 효과를 거둘 수 있는데, 그 혜택이 거의 즉시 드러나기 때문입니다. 개선 효과는 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
우리와 함께 견고한 보안으로 개발자를 양성하세요; 참고:
과정:
미션:
개발자 교육:
... 그리고 더 많은 것들!
산업으로서 우리는 개발자들이 보안 전문가가 되기를 기대해서는 안 되지만, 조직들은 개발자들이 더 높은 품질의 소프트웨어를 생산할 수 있도록 교육하기 위한 새로운 기준을 채택할 수 있습니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 금방 알 수 있습니다. 사이버 공격자와 범죄자들의 대규모 침해, 새로운 취약점, 또는 심각한 악용 위협에 대한 보도가 매일 쏟아지는 듯합니다. 그리고 거의 모든 업계 보고서와 지표는 점점 더 위험해지는 사이버 위협의 수치를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측합니다.
이러한 새로운 위협에 대응하기 위해 최전선에서 근무하는 IT 보안 담당자들은 지치고 인력이 부족한 상태입니다. 높은 급여를 받으며 거의 모든 기업이나 조직에 필수적인 존재임에도 불구하고, 모든 조직에 충분한 보안 인력이 공급되지 못하고 있습니다. 전략국제문제연구소(CSIS)의 최근 설문조사에 따르면, IT 의사결정권자의 82%가 소속 기관이 사이버보안 기술 인력 부족을 겪고 있다고 답했으며, 71%는 이 부족 현상이 기관에 직접적이고 측정 가능한 피해를 초래했다고 밝혔습니다. 이 보고서에 따르면, 미국에서만 약 94만 명의 직원이 근무하는 사이버 보안 분야에서 52만 개 이상의 일자리가 채워지지 않은 상태라고 합니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 관련 일자리가 공석 상태입니다. 이는 고액의 급여를 제시하며 우수한 인재를 채용하고 유지하려는 조직조차도 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직위는 다른 직위에 비해 채용 완료까지 약 21% 더 많은 시간이 소요되며, 이는 채용 자체가 가능할 경우에 한합니다.
개발자 지원은 너무 오랫동안 소홀히 여겨져 왔다
많은 이전 블로그 글에서 사이버 보안 방어 체계의 중대한 취약점을 메우기 위해 개발자를 활용할 수 있다는 점을 지적한 바 있습니다. 문제는 전통적으로 개발자들이 사이버 보안 교육을 전혀 받지 못했다는 점입니다. 그들의 업무 성과는 거의 전적으로 구현 속도와 시간에 기반했습니다. 보안은 이후 AppSec 팀의 몫이었습니다.
안타깝게도 단순히 주제를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램에 보안을 추가하라고 요구하는 것만으로는 해결되지 않습니다. 설령 그들이 그러한 변화를 기꺼이 받아들일 의사가 있다 하더라도(설문조사에 따르면 상당수가 그러한 의사를 보임), 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 첫 번째이자 종종 가장 큰 장애물은 의미 있는 학습 기회를 확보하는 것입니다.
전 세계적으로 수백만 개의 고도로 안전하고 보수가 좋은 IT 보안 직위가 공석으로 남아 있는 데에는 이유가 있습니다. 만약 쉬운 일이었다면 모두가 그 분야로 몰려들었을 것입니다. 위협에 맞서고 코드의 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 환경은 끊임없이 변화합니다. 기술에 비교적 능숙한 개발자들에게조차 사이버보안을 가르치려는 시도는 빠르게 낡아지고 기억하기 어려운 정적인 교육으로는 효율적으로 이루어질 수 없으며, 특히 이미 과중한 업무 일정에 추가되는 요구사항이라면 긍정적인 영향은 미미할 것입니다.
더 높은 지대에 도달하기 위해 비계를 설치하세요
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 발을 땅에서 떼지 않고 고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안처럼 복잡한 분야의 수많은 고급 개념을 숙달하기 위한 필수적인 기초를 갖추지 못했기 때문입니다. 이를 보완하기 위해 '안다미아 학습' 개념을 활용할 수 있습니다.
단계적 또는 '계층적' 접근법을 활용해 기술을 향상시킬 때, 광범위한 주제는 일반적으로 개별적인 학습 경험이나 개념으로 분할됩니다. 이를 통해 학생들은 적절한 연습과 지도를 통해 각 개념을 숙달할 수 있으며, 각 구성 요소에 필요한 모든 지원이 제공됩니다. 새로운 고급 개념들은 이미 숙달된 개념들 위에 중첩됩니다. 마치 건물이 성장함에 따라 물리적 비계가 세워지는 방식과 같습니다. 이를 통해 학생들은 도움 없이 습득할 수 있는 수준보다 더 높은 이해도와 기술 습득 단계에 도달할 수 있습니다.
그리고 물리적 지지대가 그러하듯, 그 지원은 더 이상 필요하지 않을 때 점차 제거되며, 학생들이 점점 더 많은 지식을 습득함에 따라 그들에게 더 큰 책임이 부여된다.
스캐폴딩 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 좌절감, 위축감 또는 의욕 상실을 경험할 수 있는 부정적인 감정과 자기인식을 줄이기 위해 사용됩니다. 그러나 현대 사이버보안과 같이 극도로 어려운 개념을 다룰 때에도 매우 유용할 수 있습니다. 개발자들을 어린아이처럼 대하는 방식과는 거리가 멀며, 오히려 보안 팀과의 경험이 좌절감과 의욕 상실을 초래할 수 있을 때 특히 유용합니다. 특히 그들의 고된 노력이 오류 수정과 새로운 비판의 물결로 보답받을 때 더욱 그렇습니다.
개발자가 안전한 코딩의 기초를 이해할 수 있는 도구(일반적으로 OWASP Top 10부터 시작)를 받으면, 보안 오류가 어떻게 발생하는지, 왜 위험한지, 그리고 프로덕션 환경에 반영되기 전에 어떻게 해결할 수 있는지 직접 확인할 수 있습니다. 이를 바탕으로 더 복잡한 취약점을 다루고 적절한 해결책 적용에 대한 실무 경험을 쌓으며 지식을 확장할 수 있습니다. 보안 계층은 점진적으로 성장하며, 불안전한 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제에 직면했을 때 이러한 발전은 더 이상 위협적으로 느껴지지 않으며 정확하게 대응할 수 있게 됩니다.
산업으로서 우리는 개발자들이 보안 전문가가 되기를 기대해서는 안 되지만, 조직은 개발자들이 더 높은 품질의 소프트웨어를 생산할 수 있도록 교육하기 위한 새로운 기준을 채택할 수 있습니다. 엔지니어링 분야에서 일하며 역량을 향상시키는 조직에게 추가적인 이점으로, 프로세스의 각 단계 또는 각 수준의 지원 체계는 학습 과정에서 사이버 보안의 직접적인 개선으로 이어질 것입니다. 과정의 마지막까지 기다려야 결과를 볼 수 있는 것은 아닙니다.
사이버보안 학습은 어렵고, 적절한 도움과 지도가 없다면 숙달하는 것은 거의 불가능합니다. 단계적 학습이 가능한 보안 프로그램을 도입하면 최대 효과를 거둘 수 있는데, 그 혜택이 거의 즉시 드러나기 때문입니다. 개선 효과는 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
우리와 함께 견고한 보안으로 개발자를 양성하세요; 참고:
과정:
미션:
개발자 교육:
... 그리고 더 많은 것들!
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 금방 알 수 있습니다. 사이버 공격자와 범죄자들의 대규모 침해, 새로운 취약점, 또는 심각한 악용 위협에 대한 보도가 매일 쏟아지는 듯합니다. 그리고 거의 모든 업계 보고서와 지표는 점점 더 위험해지는 사이버 위협의 수치를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측합니다.
이러한 새로운 위협에 대응하기 위해 최전선에서 근무하는 IT 보안 담당자들은 지치고 인력이 부족한 상태입니다. 높은 급여를 받으며 거의 모든 기업이나 조직에 필수적인 존재임에도 불구하고, 모든 조직에 충분한 보안 인력이 공급되지 못하고 있습니다. 전략국제문제연구소(CSIS)의 최근 설문조사에 따르면, IT 의사결정권자의 82%가 소속 기관이 사이버보안 기술 인력 부족을 겪고 있다고 답했으며, 71%는 이 부족 현상이 기관에 직접적이고 측정 가능한 피해를 초래했다고 밝혔습니다. 이 보고서에 따르면, 미국에서만 약 94만 명의 직원이 근무하는 사이버 보안 분야에서 52만 개 이상의 일자리가 채워지지 않은 상태라고 합니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 관련 일자리가 공석 상태입니다. 이는 고액의 급여를 제시하며 우수한 인재를 채용하고 유지하려는 조직조차도 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직위는 다른 직위에 비해 채용 완료까지 약 21% 더 많은 시간이 소요되며, 이는 채용 자체가 가능할 경우에 한합니다.
개발자 지원은 너무 오랫동안 소홀히 여겨져 왔다
많은 이전 블로그 글에서 사이버 보안 방어 체계의 중대한 취약점을 메우기 위해 개발자를 활용할 수 있다는 점을 지적한 바 있습니다. 문제는 전통적으로 개발자들이 사이버 보안 교육을 전혀 받지 못했다는 점입니다. 그들의 업무 성과는 거의 전적으로 구현 속도와 시간에 기반했습니다. 보안은 이후 AppSec 팀의 몫이었습니다.
안타깝게도 단순히 주제를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램에 보안을 추가하라고 요구하는 것만으로는 해결되지 않습니다. 설령 그들이 그러한 변화를 기꺼이 받아들일 의사가 있다 하더라도(설문조사에 따르면 상당수가 그러한 의사를 보임), 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 첫 번째이자 종종 가장 큰 장애물은 의미 있는 학습 기회를 확보하는 것입니다.
전 세계적으로 수백만 개의 고도로 안전하고 보수가 좋은 IT 보안 직위가 공석으로 남아 있는 데에는 이유가 있습니다. 만약 쉬운 일이었다면 모두가 그 분야로 몰려들었을 것입니다. 위협에 맞서고 코드의 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 환경은 끊임없이 변화합니다. 기술에 비교적 능숙한 개발자들에게조차 사이버보안을 가르치려는 시도는 빠르게 낡아지고 기억하기 어려운 정적인 교육으로는 효율적으로 이루어질 수 없으며, 특히 이미 과중한 업무 일정에 추가되는 요구사항이라면 긍정적인 영향은 미미할 것입니다.
더 높은 지대에 도달하기 위해 비계를 설치하세요
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 발을 땅에서 떼지 않고 고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안처럼 복잡한 분야의 수많은 고급 개념을 숙달하기 위한 필수적인 기초를 갖추지 못했기 때문입니다. 이를 보완하기 위해 '안다미아 학습' 개념을 활용할 수 있습니다.
단계적 또는 '계층적' 접근법을 활용해 기술을 향상시킬 때, 광범위한 주제는 일반적으로 개별적인 학습 경험이나 개념으로 분할됩니다. 이를 통해 학생들은 적절한 연습과 지도를 통해 각 개념을 숙달할 수 있으며, 각 구성 요소에 필요한 모든 지원이 제공됩니다. 새로운 고급 개념들은 이미 숙달된 개념들 위에 중첩됩니다. 마치 건물이 성장함에 따라 물리적 비계가 세워지는 방식과 같습니다. 이를 통해 학생들은 도움 없이 습득할 수 있는 수준보다 더 높은 이해도와 기술 습득 단계에 도달할 수 있습니다.
그리고 물리적 지지대가 그러하듯, 그 지원은 더 이상 필요하지 않을 때 점차 제거되며, 학생들이 점점 더 많은 지식을 습득함에 따라 그들에게 더 큰 책임이 부여된다.
스캐폴딩 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 좌절감, 위축감 또는 의욕 상실을 경험할 수 있는 부정적인 감정과 자기인식을 줄이기 위해 사용됩니다. 그러나 현대 사이버보안과 같이 극도로 어려운 개념을 다룰 때에도 매우 유용할 수 있습니다. 개발자들을 어린아이처럼 대하는 방식과는 거리가 멀며, 오히려 보안 팀과의 경험이 좌절감과 의욕 상실을 초래할 수 있을 때 특히 유용합니다. 특히 그들의 고된 노력이 오류 수정과 새로운 비판의 물결로 보답받을 때 더욱 그렇습니다.
개발자가 안전한 코딩의 기초를 이해할 수 있는 도구(일반적으로 OWASP Top 10부터 시작)를 받으면, 보안 오류가 어떻게 발생하는지, 왜 위험한지, 그리고 프로덕션 환경에 반영되기 전에 어떻게 해결할 수 있는지 직접 확인할 수 있습니다. 이를 바탕으로 더 복잡한 취약점을 다루고 적절한 해결책 적용에 대한 실무 경험을 쌓으며 지식을 확장할 수 있습니다. 보안 계층은 점진적으로 성장하며, 불안전한 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제에 직면했을 때 이러한 발전은 더 이상 위협적으로 느껴지지 않으며 정확하게 대응할 수 있게 됩니다.
산업으로서 우리는 개발자들이 보안 전문가가 되기를 기대해서는 안 되지만, 조직은 개발자들이 더 높은 품질의 소프트웨어를 생산할 수 있도록 교육하기 위한 새로운 기준을 채택할 수 있습니다. 엔지니어링 분야에서 일하며 역량을 향상시키는 조직에게 추가적인 이점으로, 프로세스의 각 단계 또는 각 수준의 지원 체계는 학습 과정에서 사이버 보안의 직접적인 개선으로 이어질 것입니다. 과정의 마지막까지 기다려야 결과를 볼 수 있는 것은 아닙니다.
사이버보안 학습은 어렵고, 적절한 도움과 지도가 없다면 숙달하는 것은 거의 불가능합니다. 단계적 학습이 가능한 보안 프로그램을 도입하면 최대 효과를 거둘 수 있는데, 그 혜택이 거의 즉시 드러나기 때문입니다. 개선 효과는 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
우리와 함께 견고한 보안으로 개발자를 양성하세요; 참고:
과정:
미션:
개발자 교육:
... 그리고 더 많은 것들!
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 금방 알 수 있습니다. 사이버 공격자와 범죄자들의 대규모 침해, 새로운 취약점, 또는 심각한 악용 위협에 대한 보도가 매일 쏟아지는 듯합니다. 그리고 거의 모든 업계 보고서와 지표는 점점 더 위험해지는 사이버 위협의 수치를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측합니다.
이러한 새로운 위협에 대응하기 위해 최전선에서 근무하는 IT 보안 담당자들은 지치고 인력이 부족한 상태입니다. 높은 급여를 받으며 거의 모든 기업이나 조직에 필수적인 존재임에도 불구하고, 모든 조직에 충분한 보안 인력이 공급되지 못하고 있습니다. 전략국제문제연구소(CSIS)의 최근 설문조사에 따르면, IT 의사결정권자의 82%가 소속 기관이 사이버보안 기술 인력 부족을 겪고 있다고 답했으며, 71%는 이 부족 현상이 기관에 직접적이고 측정 가능한 피해를 초래했다고 밝혔습니다. 이 보고서에 따르면, 미국에서만 약 94만 명의 직원이 근무하는 사이버 보안 분야에서 52만 개 이상의 일자리가 채워지지 않은 상태라고 합니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 관련 일자리가 공석 상태입니다. 이는 고액의 급여를 제시하며 우수한 인재를 채용하고 유지하려는 조직조차도 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직위는 다른 직위에 비해 채용 완료까지 약 21% 더 많은 시간이 소요되며, 이는 채용 자체가 가능할 경우에 한합니다.
개발자 지원은 너무 오랫동안 소홀히 여겨져 왔다
많은 이전 블로그 글에서 사이버 보안 방어 체계의 중대한 취약점을 메우기 위해 개발자를 활용할 수 있다는 점을 지적한 바 있습니다. 문제는 전통적으로 개발자들이 사이버 보안 교육을 전혀 받지 못했다는 점입니다. 그들의 업무 성과는 거의 전적으로 구현 속도와 시간에 기반했습니다. 보안은 이후 AppSec 팀의 몫이었습니다.
안타깝게도 단순히 주제를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램에 보안을 추가하라고 요구하는 것만으로는 해결되지 않습니다. 설령 그들이 그러한 변화를 기꺼이 받아들일 의사가 있다 하더라도(설문조사에 따르면 상당수가 그러한 의사를 보임), 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 첫 번째이자 종종 가장 큰 장애물은 의미 있는 학습 기회를 확보하는 것입니다.
전 세계적으로 수백만 개의 고도로 안전하고 보수가 좋은 IT 보안 직위가 공석으로 남아 있는 데에는 이유가 있습니다. 만약 쉬운 일이었다면 모두가 그 분야로 몰려들었을 것입니다. 위협에 맞서고 코드의 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 환경은 끊임없이 변화합니다. 기술에 비교적 능숙한 개발자들에게조차 사이버보안을 가르치려는 시도는 빠르게 낡아지고 기억하기 어려운 정적인 교육으로는 효율적으로 이루어질 수 없으며, 특히 이미 과중한 업무 일정에 추가되는 요구사항이라면 긍정적인 영향은 미미할 것입니다.
더 높은 지대에 도달하기 위해 비계를 설치하세요
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 발을 땅에서 떼지 않고 고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안처럼 복잡한 분야의 수많은 고급 개념을 숙달하기 위한 필수적인 기초를 갖추지 못했기 때문입니다. 이를 보완하기 위해 '안다미아 학습' 개념을 활용할 수 있습니다.
단계적 또는 '계층적' 접근법을 활용해 기술을 향상시킬 때, 광범위한 주제는 일반적으로 개별적인 학습 경험이나 개념으로 분할됩니다. 이를 통해 학생들은 적절한 연습과 지도를 통해 각 개념을 숙달할 수 있으며, 각 구성 요소에 필요한 모든 지원이 제공됩니다. 새로운 고급 개념들은 이미 숙달된 개념들 위에 중첩됩니다. 마치 건물이 성장함에 따라 물리적 비계가 세워지는 방식과 같습니다. 이를 통해 학생들은 도움 없이 습득할 수 있는 수준보다 더 높은 이해도와 기술 습득 단계에 도달할 수 있습니다.
그리고 물리적 지지대가 그러하듯, 그 지원은 더 이상 필요하지 않을 때 점차 제거되며, 학생들이 점점 더 많은 지식을 습득함에 따라 그들에게 더 큰 책임이 부여된다.
스캐폴딩 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 좌절감, 위축감 또는 의욕 상실을 경험할 수 있는 부정적인 감정과 자기인식을 줄이기 위해 사용됩니다. 그러나 현대 사이버보안과 같이 극도로 어려운 개념을 다룰 때에도 매우 유용할 수 있습니다. 개발자들을 어린아이처럼 대하는 방식과는 거리가 멀며, 오히려 보안 팀과의 경험이 좌절감과 의욕 상실을 초래할 수 있을 때 특히 유용합니다. 특히 그들의 고된 노력이 오류 수정과 새로운 비판의 물결로 보답받을 때 더욱 그렇습니다.
개발자가 안전한 코딩의 기초를 이해할 수 있는 도구(일반적으로 OWASP Top 10부터 시작)를 받으면, 보안 오류가 어떻게 발생하는지, 왜 위험한지, 그리고 프로덕션 환경에 반영되기 전에 어떻게 해결할 수 있는지 직접 확인할 수 있습니다. 이를 바탕으로 더 복잡한 취약점을 다루고 적절한 해결책 적용에 대한 실무 경험을 쌓으며 지식을 확장할 수 있습니다. 보안 계층은 점진적으로 성장하며, 불안전한 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제에 직면했을 때 이러한 발전은 더 이상 위협적으로 느껴지지 않으며 정확하게 대응할 수 있게 됩니다.
산업으로서 우리는 개발자들이 보안 전문가가 되기를 기대해서는 안 되지만, 조직은 개발자들이 더 높은 품질의 소프트웨어를 생산할 수 있도록 교육하기 위한 새로운 기준을 채택할 수 있습니다. 엔지니어링 분야에서 일하며 역량을 향상시키는 조직에게 추가적인 이점으로, 프로세스의 각 단계 또는 각 수준의 지원 체계는 학습 과정에서 사이버 보안의 직접적인 개선으로 이어질 것입니다. 과정의 마지막까지 기다려야 결과를 볼 수 있는 것은 아닙니다.
사이버보안 학습은 어렵고, 적절한 도움과 지도가 없다면 숙달하는 것은 거의 불가능합니다. 단계적 학습이 가능한 보안 프로그램을 도입하면 최대 효과를 거둘 수 있는데, 그 혜택이 거의 즉시 드러나기 때문입니다. 개선 효과는 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
우리와 함께 견고한 보안으로 개발자를 양성하세요; 참고:
과정:
미션:
개발자 교육:
... 그리고 더 많은 것들!
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
