SQL 인젝션이 애플리케이션 보안 세계의 바퀴벌레인 이유(그리고 CISO가 이를 영원히 근절하는 방법)
바퀴벌레는 핵폭발을 포함해 거의 모든 것을 견딜 수 있다는 잘 알려진 이론이 있다. 비록 이 이론이 어느 정도까지만 사실이지만, 그들의 단순한 신체 구조는 몸집에 비해 극도로 강인하게 만들고 대부분의 환경에서 박멸하기 어렵게 만든다.
저는 생각해 왔습니다... 만약 바퀴벌레가 디지털 세계에 존재한다면, 그것은 코드 내 SQL 인젝션(SQLi) 취약점일 것입니다. 이 취약점은 20년 이상 전부터 알려진 것이지만, 조직들은 계속해서 그 피해자가 되고 있습니다. 타겟(Target)을 대상으로 한 대규모 공격은 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사건 역시 마찬가지였습니다. 이 해킹으로 20만 건의 유권자 기록이 유출되었고, FBI는 모든 IT 관리자들에게 보안 관행을 신속히 강화할 것을 권고했습니다.
해커 인텔리전스 이니셔티브의 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사건의 83%에서 SQLi 공격이 사용되었습니다. 현재도 주입 취약점은 OWASP 상위 10대 취약점 목록에서 주요 위협으로 남아 있습니다. 상대적으로 단순하지만, 이 취약점은 사라지지 않을 것입니다.
이 같은 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며 막는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 사실 우리 소프트웨어의 보안은 개선의 여지가 매우 큽니다.
베라코드(Veracode)의 '소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반'은 충격적인 통계를 공개했습니다: 단 30%의 애플리케이션만이 OWASP 상위 10대 보안 정책을 통과했습니다. 이는 지난 5년간 반복적으로 제기된 문제로, 새로 스캔된 애플리케이션 중 거의 3개 중 1개에서 SQL 인젝션이 발견됩니다. 이는 문제가 만연함을 보여줍니다. 우리는 실수로부터 배우지 못하고 있으며, CISO들은 보안 분야 인재를 충분히 확보하기 위해 고군분투하는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 1:100으로 부적절합니다.
소프트웨어 보안이 왜 생명 유지 장치에 의존하고 있는가?
보안 전문 인력이 부족하다는 것은 공공연한 비밀이지만, 개발자들이 문제가 발생할 때마다 해결하지 못하고 있으며 취약점을 처음부터 도입하지 않도록 제대로 준비되지 않았다는 점에도 주목해야 합니다. Veracode의 동일한 보고서에서 개발 취약점 전체의 14.4%에 대해서만 문서화된 완화 조치가 존재한다고 밝혔습니다. 다시 말해, 대부분의 취약점은 개발 과정에서 어떠한 완화 조치도 없이 노출되었습니다. 취약점의 3분의 1 미만만이 최초 발견 후 90일 이내에 해결되었으며, 42%의 취약점은 개발 기간 내내 전혀 해결되지 않은 채 방치되었습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 대화합니다. 흥미로운 점은 많은 기업들이 발견된 취약점의 양에 대해 너무 좌절감을 느끼고, 이를 완화할 수 없다는 점(거짓양성이라는 골칫거리는 물론) 때문에 아예 취약점을 찾지 않고, 그냥 손가락을 꼬며 최선의 결과를 바라고 있다는 사실입니다.
왜 애플리케이션 보안 전문가들은 이런 일이 일어나도록 방치하는가?
오해하지 마십시오: AppSec 사용자들은 코드 내 문제점을 매우 잘 인지하고 있습니다. 결국, 그것이 바로 그들을 팀의 귀중한 인재로 만드는 핵심 역량 중 하나입니다. 그러나 종종 여러 요인들로 인해 방해를 받곤 합니다.
예를 들어, AppSec 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자들은 기능 출시의 엄격한 마감일을 맞추기 위해 너무 바빠서 이러한 문제를 해결할 시간도, 적절한 도구도 부족합니다. 애플리케이션 보안 전문가들 스스로 취약점을 식별할 수는 있지만, 종종 이를 즉시 수정할 기술이나 접근 권한이 부족합니다.
또한 우리는 모든 문제에 대해 해결책을 찾고, 구현한 후 테스트하는 과정이 필요하다는 점을 인식해야 합니다. 코드에서 발견되는 가장 사소한 문제조차 해결하는 데 소요되는 시간은 물론 필요한 자원을 고려하면 엄청납니다. 소프트웨어에 도입될 수 있는 취약점은 700개가 넘으며, 한 사람이 이 모든 것을 방어하는 것은 단순히 불가능합니다. 이러한 이유로 대부분의 기업은 OWASP 상위 10개 취약점만 따라가는 데 그칩니다. 한편 개발자들은 계속해서 기능을 추가해 나가며, 동시에 작성하는 코드에 취약점을 계속해서 도입하고 있습니다.
해결책은 무엇인가요?
단순한 사실은 우리가 개발자들에게 안전한 코딩의 성공을 촉진하는 데 필요한 도구나 교육을 제공하지 않는다는 점입니다. 조직이 개발자들이 적절한 보안 기술을 보유하도록 보장하도록 강제하는 규정은 존재하지 않으며, 대부분의 대학과 인턴십 프로그램 역시 젊은 개발자들이 안전하게 프로그래밍할 수 있도록 준비시키지 않는다는 것이 안타까운 현실입니다.
누군가 비행기를 조종하려면 비행 전 반드시 이수해야 하는 매우 엄격한 절차가 있습니다. 이 과정은 교육, 실무 경험, 건강 검진, 안전 지식, 시험 등을 보장합니다. 누구도 이 철저한 준비와 능력 검증을 생략할 수 있다고 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
개발자들에게 안전한 코드 작성법을 교육하는 데 시간을 할애해야 합니다. 그러나 소프트웨어 개발이 빠르게 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 현실에서는 이 일이 결코 우선순위로 여겨지지 않습니다. 이제 대화를 바꿀 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제도 없다"고 외쳤으며, 관련 콘텐츠는 보안이 모든 디지털 전환 전략의 핵심 요소여야 한다고 주장했다. "보안은 기업을 보호하여 혁신과 새로운 제품·서비스 창출을 가능케 합니다. 방어적 기능을 넘어 보안은 기업에 전략적 성장 우위를 제공합니다."
안전한 코딩 기술과 결과물의 향상은 조직에 강력한 사이버 보호 계층을 추가하여 더 나은 코드를 더 빠르게 생성하도록 지원할 것입니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 될 수 있도록 긍정적이고 실용적인 방식으로 역량을 강화해야 합니다. 개발자들은 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑하고 창의적으로 문제를 해결하며, 대체로 역량 개발에 열의를 보입니다. 그들이 마땅히 받아야 할 전문 교육을 통해 강점을 활용하고, 더 높은 수준의 소프트웨어 보안 기준을 약속하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려면 비행 전 반드시 이수해야 하는 매우 엄격한 절차가 있습니다. 이 과정은 교육, 실무 경험, 건강 검진, 안전 지식, 시험 등을 보장합니다. 누구도 이 철저한 준비와 능력 검증을 생략할 수 있다고 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
바퀴벌레는 핵폭발을 포함해 거의 모든 것을 견딜 수 있다는 잘 알려진 이론이 있다. 비록 이 이론이 어느 정도까지만 사실이지만, 그들의 단순한 신체 구조는 몸집에 비해 극도로 강인하게 만들고 대부분의 환경에서 박멸하기 어렵게 만든다.
저는 생각해 왔습니다... 만약 바퀴벌레가 디지털 세계에 존재한다면, 그것은 코드 내 SQL 인젝션(SQLi) 취약점일 것입니다. 이 취약점은 20년 이상 전부터 알려진 것이지만, 조직들은 계속해서 그 피해자가 되고 있습니다. 타겟(Target)을 대상으로 한 대규모 공격은 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사건 역시 마찬가지였습니다. 이 해킹으로 20만 건의 유권자 기록이 유출되었고, FBI는 모든 IT 관리자들에게 보안 관행을 신속히 강화할 것을 권고했습니다.
해커 인텔리전스 이니셔티브의 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사건의 83%에서 SQLi 공격이 사용되었습니다. 현재도 주입 취약점은 OWASP 상위 10대 취약점 목록에서 주요 위협으로 남아 있습니다. 상대적으로 단순하지만, 이 취약점은 사라지지 않을 것입니다.
이 같은 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며 막는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 사실 우리 소프트웨어의 보안은 개선의 여지가 매우 큽니다.
베라코드(Veracode)의 '소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반'은 충격적인 통계를 공개했습니다: 단 30%의 애플리케이션만이 OWASP 상위 10대 보안 정책을 통과했습니다. 이는 지난 5년간 반복적으로 제기된 문제로, 새로 스캔된 애플리케이션 중 거의 3개 중 1개에서 SQL 인젝션이 발견됩니다. 이는 문제가 만연함을 보여줍니다. 우리는 실수로부터 배우지 못하고 있으며, CISO들은 보안 분야 인재를 충분히 확보하기 위해 고군분투하는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 1:100으로 부적절합니다.
소프트웨어 보안이 왜 생명 유지 장치에 의존하고 있는가?
보안 전문 인력이 부족하다는 것은 공공연한 비밀이지만, 개발자들이 문제가 발생할 때마다 해결하지 못하고 있으며 취약점을 처음부터 도입하지 않도록 제대로 준비되지 않았다는 점에도 주목해야 합니다. Veracode의 동일한 보고서에서 개발 취약점 전체의 14.4%에 대해서만 문서화된 완화 조치가 존재한다고 밝혔습니다. 다시 말해, 대부분의 취약점은 개발 과정에서 어떠한 완화 조치도 없이 노출되었습니다. 취약점의 3분의 1 미만만이 최초 발견 후 90일 이내에 해결되었으며, 42%의 취약점은 개발 기간 내내 전혀 해결되지 않은 채 방치되었습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 대화합니다. 흥미로운 점은 많은 기업들이 발견된 취약점의 양에 대해 너무 좌절감을 느끼고, 이를 완화할 수 없다는 점(거짓양성이라는 골칫거리는 물론) 때문에 아예 취약점을 찾지 않고, 그냥 손가락을 꼬며 최선의 결과를 바라고 있다는 사실입니다.
왜 애플리케이션 보안 전문가들은 이런 일이 일어나도록 방치하는가?
오해하지 마십시오: AppSec 사용자들은 코드 내 문제점을 매우 잘 인지하고 있습니다. 결국, 그것이 바로 그들을 팀의 귀중한 인재로 만드는 핵심 역량 중 하나입니다. 그러나 종종 여러 요인들로 인해 방해를 받곤 합니다.
예를 들어, AppSec 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자들은 기능 출시의 엄격한 마감일을 맞추기 위해 너무 바빠서 이러한 문제를 해결할 시간도, 적절한 도구도 부족합니다. 애플리케이션 보안 전문가들 스스로 취약점을 식별할 수는 있지만, 종종 이를 즉시 수정할 기술이나 접근 권한이 부족합니다.
또한 우리는 모든 문제에 대해 해결책을 찾고, 구현한 후 테스트하는 과정이 필요하다는 점을 인식해야 합니다. 코드에서 발견되는 가장 사소한 문제조차 해결하는 데 소요되는 시간은 물론 필요한 자원을 고려하면 엄청납니다. 소프트웨어에 도입될 수 있는 취약점은 700개가 넘으며, 한 사람이 이 모든 것을 방어하는 것은 단순히 불가능합니다. 이러한 이유로 대부분의 기업은 OWASP 상위 10개 취약점만 따라가는 데 그칩니다. 한편 개발자들은 계속해서 기능을 추가해 나가며, 동시에 작성하는 코드에 취약점을 계속해서 도입하고 있습니다.
해결책은 무엇인가요?
단순한 사실은 우리가 개발자들에게 안전한 코딩의 성공을 촉진하는 데 필요한 도구나 교육을 제공하지 않는다는 점입니다. 조직이 개발자들이 적절한 보안 기술을 보유하도록 보장하도록 강제하는 규정은 존재하지 않으며, 대부분의 대학과 인턴십 프로그램 역시 젊은 개발자들이 안전하게 프로그래밍할 수 있도록 준비시키지 않는다는 것이 안타까운 현실입니다.
누군가 비행기를 조종하려면 비행 전 반드시 이수해야 하는 매우 엄격한 절차가 있습니다. 이 과정은 교육, 실무 경험, 건강 검진, 안전 지식, 시험 등을 보장합니다. 누구도 이 철저한 준비와 능력 검증을 생략할 수 있다고 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
개발자들에게 안전한 코드 작성법을 교육하는 데 시간을 할애해야 합니다. 그러나 소프트웨어 개발이 빠르게 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 현실에서는 이 일이 결코 우선순위로 여겨지지 않습니다. 이제 대화를 바꿀 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제도 없다"고 외쳤으며, 관련 콘텐츠는 보안이 모든 디지털 전환 전략의 핵심 요소여야 한다고 주장했다. "보안은 기업을 보호하여 혁신과 새로운 제품·서비스 창출을 가능케 합니다. 방어적 기능을 넘어 보안은 기업에 전략적 성장 우위를 제공합니다."
안전한 코딩 기술과 결과물의 향상은 조직에 강력한 사이버 보호 계층을 추가하여 더 나은 코드를 더 빠르게 생성하도록 지원할 것입니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 될 수 있도록 긍정적이고 실용적인 방식으로 역량을 강화해야 합니다. 개발자들은 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑하고 창의적으로 문제를 해결하며, 대체로 역량 개발에 열의를 보입니다. 그들이 마땅히 받아야 할 전문 교육을 통해 강점을 활용하고, 더 높은 수준의 소프트웨어 보안 기준을 약속하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려면 비행 전 반드시 이수해야 하는 매우 엄격한 절차가 있습니다. 이 과정은 교육, 실무 경험, 건강 검진, 안전 지식, 시험 등을 보장합니다. 누구도 이 철저한 준비와 능력 검증을 생략할 수 있다고 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
바퀴벌레는 핵폭발을 포함해 거의 모든 것을 견딜 수 있다는 잘 알려진 이론이 있다. 비록 이 이론이 어느 정도까지만 사실이지만, 그들의 단순한 신체 구조는 몸집에 비해 극도로 강인하게 만들고 대부분의 환경에서 박멸하기 어렵게 만든다.
저는 생각해 왔습니다... 만약 바퀴벌레가 디지털 세계에 존재한다면, 그것은 코드 내 SQL 인젝션(SQLi) 취약점일 것입니다. 이 취약점은 20년 이상 전부터 알려진 것이지만, 조직들은 계속해서 그 피해자가 되고 있습니다. 타겟(Target)을 대상으로 한 대규모 공격은 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사건 역시 마찬가지였습니다. 이 해킹으로 20만 건의 유권자 기록이 유출되었고, FBI는 모든 IT 관리자들에게 보안 관행을 신속히 강화할 것을 권고했습니다.
해커 인텔리전스 이니셔티브의 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사건의 83%에서 SQLi 공격이 사용되었습니다. 현재도 주입 취약점은 OWASP 상위 10대 취약점 목록에서 주요 위협으로 남아 있습니다. 상대적으로 단순하지만, 이 취약점은 사라지지 않을 것입니다.
이 같은 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며 막는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 사실 우리 소프트웨어의 보안은 개선의 여지가 매우 큽니다.
베라코드(Veracode)의 '소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반'은 충격적인 통계를 공개했습니다: 단 30%의 애플리케이션만이 OWASP 상위 10대 보안 정책을 통과했습니다. 이는 지난 5년간 반복적으로 제기된 문제로, 새로 스캔된 애플리케이션 중 거의 3개 중 1개에서 SQL 인젝션이 발견됩니다. 이는 문제가 만연함을 보여줍니다. 우리는 실수로부터 배우지 못하고 있으며, CISO들은 보안 분야 인재를 충분히 확보하기 위해 고군분투하는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 1:100으로 부적절합니다.
소프트웨어 보안이 왜 생명 유지 장치에 의존하고 있는가?
보안 전문 인력이 부족하다는 것은 공공연한 비밀이지만, 개발자들이 문제가 발생할 때마다 해결하지 못하고 있으며 취약점을 처음부터 도입하지 않도록 제대로 준비되지 않았다는 점에도 주목해야 합니다. Veracode의 동일한 보고서에서 개발 취약점 전체의 14.4%에 대해서만 문서화된 완화 조치가 존재한다고 밝혔습니다. 다시 말해, 대부분의 취약점은 개발 과정에서 어떠한 완화 조치도 없이 노출되었습니다. 취약점의 3분의 1 미만만이 최초 발견 후 90일 이내에 해결되었으며, 42%의 취약점은 개발 기간 내내 전혀 해결되지 않은 채 방치되었습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 대화합니다. 흥미로운 점은 많은 기업들이 발견된 취약점의 양에 대해 너무 좌절감을 느끼고, 이를 완화할 수 없다는 점(거짓양성이라는 골칫거리는 물론) 때문에 아예 취약점을 찾지 않고, 그냥 손가락을 꼬며 최선의 결과를 바라고 있다는 사실입니다.
왜 애플리케이션 보안 전문가들은 이런 일이 일어나도록 방치하는가?
오해하지 마십시오: AppSec 사용자들은 코드 내 문제점을 매우 잘 인지하고 있습니다. 결국, 그것이 바로 그들을 팀의 귀중한 인재로 만드는 핵심 역량 중 하나입니다. 그러나 종종 여러 요인들로 인해 방해를 받곤 합니다.
예를 들어, AppSec 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자들은 기능 출시의 엄격한 마감일을 맞추기 위해 너무 바빠서 이러한 문제를 해결할 시간도, 적절한 도구도 부족합니다. 애플리케이션 보안 전문가들 스스로 취약점을 식별할 수는 있지만, 종종 이를 즉시 수정할 기술이나 접근 권한이 부족합니다.
또한 우리는 모든 문제에 대해 해결책을 찾고, 구현한 후 테스트하는 과정이 필요하다는 점을 인식해야 합니다. 코드에서 발견되는 가장 사소한 문제조차 해결하는 데 소요되는 시간은 물론 필요한 자원을 고려하면 엄청납니다. 소프트웨어에 도입될 수 있는 취약점은 700개가 넘으며, 한 사람이 이 모든 것을 방어하는 것은 단순히 불가능합니다. 이러한 이유로 대부분의 기업은 OWASP 상위 10개 취약점만 따라가는 데 그칩니다. 한편 개발자들은 계속해서 기능을 추가해 나가며, 동시에 작성하는 코드에 취약점을 계속해서 도입하고 있습니다.
해결책은 무엇인가요?
단순한 사실은 우리가 개발자들에게 안전한 코딩의 성공을 촉진하는 데 필요한 도구나 교육을 제공하지 않는다는 점입니다. 조직이 개발자들이 적절한 보안 기술을 보유하도록 보장하도록 강제하는 규정은 존재하지 않으며, 대부분의 대학과 인턴십 프로그램 역시 젊은 개발자들이 안전하게 프로그래밍할 수 있도록 준비시키지 않는다는 것이 안타까운 현실입니다.
누군가 비행기를 조종하려면 비행 전 반드시 이수해야 하는 매우 엄격한 절차가 있습니다. 이 과정은 교육, 실무 경험, 건강 검진, 안전 지식, 시험 등을 보장합니다. 누구도 이 철저한 준비와 능력 검증을 생략할 수 있다고 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
개발자들에게 안전한 코드 작성법을 교육하는 데 시간을 할애해야 합니다. 그러나 소프트웨어 개발이 빠르게 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 현실에서는 이 일이 결코 우선순위로 여겨지지 않습니다. 이제 대화를 바꿀 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제도 없다"고 외쳤으며, 관련 콘텐츠는 보안이 모든 디지털 전환 전략의 핵심 요소여야 한다고 주장했다. "보안은 기업을 보호하여 혁신과 새로운 제품·서비스 창출을 가능케 합니다. 방어적 기능을 넘어 보안은 기업에 전략적 성장 우위를 제공합니다."
안전한 코딩 기술과 결과물의 향상은 조직에 강력한 사이버 보호 계층을 추가하여 더 나은 코드를 더 빠르게 생성하도록 지원할 것입니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 될 수 있도록 긍정적이고 실용적인 방식으로 역량을 강화해야 합니다. 개발자들은 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑하고 창의적으로 문제를 해결하며, 대체로 역량 개발에 열의를 보입니다. 그들이 마땅히 받아야 할 전문 교육을 통해 강점을 활용하고, 더 높은 수준의 소프트웨어 보안 기준을 약속하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려면 비행 전 반드시 이수해야 하는 매우 엄격한 절차가 있습니다. 이 과정은 교육, 실무 경험, 건강 검진, 안전 지식, 시험 등을 보장합니다. 누구도 이 철저한 준비와 능력 검증을 생략할 수 있다고 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
바퀴벌레는 핵폭발을 포함해 거의 모든 것을 견딜 수 있다는 잘 알려진 이론이 있다. 비록 이 이론이 어느 정도까지만 사실이지만, 그들의 단순한 신체 구조는 몸집에 비해 극도로 강인하게 만들고 대부분의 환경에서 박멸하기 어렵게 만든다.
저는 생각해 왔습니다... 만약 바퀴벌레가 디지털 세계에 존재한다면, 그것은 코드 내 SQL 인젝션(SQLi) 취약점일 것입니다. 이 취약점은 20년 이상 전부터 알려진 것이지만, 조직들은 계속해서 그 피해자가 되고 있습니다. 타겟(Target)을 대상으로 한 대규모 공격은 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사건 역시 마찬가지였습니다. 이 해킹으로 20만 건의 유권자 기록이 유출되었고, FBI는 모든 IT 관리자들에게 보안 관행을 신속히 강화할 것을 권고했습니다.
해커 인텔리전스 이니셔티브의 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사건의 83%에서 SQLi 공격이 사용되었습니다. 현재도 주입 취약점은 OWASP 상위 10대 취약점 목록에서 주요 위협으로 남아 있습니다. 상대적으로 단순하지만, 이 취약점은 사라지지 않을 것입니다.
이 같은 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며 막는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 사실 우리 소프트웨어의 보안은 개선의 여지가 매우 큽니다.
베라코드(Veracode)의 '소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반'은 충격적인 통계를 공개했습니다: 단 30%의 애플리케이션만이 OWASP 상위 10대 보안 정책을 통과했습니다. 이는 지난 5년간 반복적으로 제기된 문제로, 새로 스캔된 애플리케이션 중 거의 3개 중 1개에서 SQL 인젝션이 발견됩니다. 이는 문제가 만연함을 보여줍니다. 우리는 실수로부터 배우지 못하고 있으며, CISO들은 보안 분야 인재를 충분히 확보하기 위해 고군분투하는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 1:100으로 부적절합니다.
소프트웨어 보안이 왜 생명 유지 장치에 의존하고 있는가?
보안 전문 인력이 부족하다는 것은 공공연한 비밀이지만, 개발자들이 문제가 발생할 때마다 해결하지 못하고 있으며 취약점을 처음부터 도입하지 않도록 제대로 준비되지 않았다는 점에도 주목해야 합니다. Veracode의 동일한 보고서에서 개발 취약점 전체의 14.4%에 대해서만 문서화된 완화 조치가 존재한다고 밝혔습니다. 다시 말해, 대부분의 취약점은 개발 과정에서 어떠한 완화 조치도 없이 노출되었습니다. 취약점의 3분의 1 미만만이 최초 발견 후 90일 이내에 해결되었으며, 42%의 취약점은 개발 기간 내내 전혀 해결되지 않은 채 방치되었습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 대화합니다. 흥미로운 점은 많은 기업들이 발견된 취약점의 양에 대해 너무 좌절감을 느끼고, 이를 완화할 수 없다는 점(거짓양성이라는 골칫거리는 물론) 때문에 아예 취약점을 찾지 않고, 그냥 손가락을 꼬며 최선의 결과를 바라고 있다는 사실입니다.
왜 애플리케이션 보안 전문가들은 이런 일이 일어나도록 방치하는가?
오해하지 마십시오: AppSec 사용자들은 코드 내 문제점을 매우 잘 인지하고 있습니다. 결국, 그것이 바로 그들을 팀의 귀중한 인재로 만드는 핵심 역량 중 하나입니다. 그러나 종종 여러 요인들로 인해 방해를 받곤 합니다.
예를 들어, AppSec 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자들은 기능 출시의 엄격한 마감일을 맞추기 위해 너무 바빠서 이러한 문제를 해결할 시간도, 적절한 도구도 부족합니다. 애플리케이션 보안 전문가들 스스로 취약점을 식별할 수는 있지만, 종종 이를 즉시 수정할 기술이나 접근 권한이 부족합니다.
또한 우리는 모든 문제에 대해 해결책을 찾고, 구현한 후 테스트하는 과정이 필요하다는 점을 인식해야 합니다. 코드에서 발견되는 가장 사소한 문제조차 해결하는 데 소요되는 시간은 물론 필요한 자원을 고려하면 엄청납니다. 소프트웨어에 도입될 수 있는 취약점은 700개가 넘으며, 한 사람이 이 모든 것을 방어하는 것은 단순히 불가능합니다. 이러한 이유로 대부분의 기업은 OWASP 상위 10개 취약점만 따라가는 데 그칩니다. 한편 개발자들은 계속해서 기능을 추가해 나가며, 동시에 작성하는 코드에 취약점을 계속해서 도입하고 있습니다.
해결책은 무엇인가요?
단순한 사실은 우리가 개발자들에게 안전한 코딩의 성공을 촉진하는 데 필요한 도구나 교육을 제공하지 않는다는 점입니다. 조직이 개발자들이 적절한 보안 기술을 보유하도록 보장하도록 강제하는 규정은 존재하지 않으며, 대부분의 대학과 인턴십 프로그램 역시 젊은 개발자들이 안전하게 프로그래밍할 수 있도록 준비시키지 않는다는 것이 안타까운 현실입니다.
누군가 비행기를 조종하려면 비행 전 반드시 이수해야 하는 매우 엄격한 절차가 있습니다. 이 과정은 교육, 실무 경험, 건강 검진, 안전 지식, 시험 등을 보장합니다. 누구도 이 철저한 준비와 능력 검증을 생략할 수 있다고 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
개발자들에게 안전한 코드 작성법을 교육하는 데 시간을 할애해야 합니다. 그러나 소프트웨어 개발이 빠르게 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 현실에서는 이 일이 결코 우선순위로 여겨지지 않습니다. 이제 대화를 바꿀 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제도 없다"고 외쳤으며, 관련 콘텐츠는 보안이 모든 디지털 전환 전략의 핵심 요소여야 한다고 주장했다. "보안은 기업을 보호하여 혁신과 새로운 제품·서비스 창출을 가능케 합니다. 방어적 기능을 넘어 보안은 기업에 전략적 성장 우위를 제공합니다."
안전한 코딩 기술과 결과물의 향상은 조직에 강력한 사이버 보호 계층을 추가하여 더 나은 코드를 더 빠르게 생성하도록 지원할 것입니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 될 수 있도록 긍정적이고 실용적인 방식으로 역량을 강화해야 합니다. 개발자들은 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑하고 창의적으로 문제를 해결하며, 대체로 역량 개발에 열의를 보입니다. 그들이 마땅히 받아야 할 전문 교육을 통해 강점을 활용하고, 더 높은 수준의 소프트웨어 보안 기준을 약속하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려면 비행 전 반드시 이수해야 하는 매우 엄격한 절차가 있습니다. 이 과정은 교육, 실무 경험, 건강 검진, 안전 지식, 시험 등을 보장합니다. 누구도 이 철저한 준비와 능력 검증을 생략할 수 있다고 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
