왜 우리는 호기심 많은 보안 전문가들을 처벌하지 않고 지원해야 하는가
청소년 보안 연구원 빌 데미르카피가 최근 발표한 보고서는 그가 다니는 학교에서 사용하는 소프트웨어의 주요 취약점을 폭로했는데, 이는 분명히 그에게 추억을 불러일으켰을 것이다. 호기심 많은 어린 시절, 나는 소프트웨어의 덮개를 열어 그 안을 들여다보며 모든 것이 어떻게 작동하는지, 그리고 무엇보다도 내가 그것을 해독할 수 있는지 확인했던 기억이 난다. 수십 년간 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화에 힘써왔으며, 보안 커뮤니티(때로는 다소 무모한 접근 방식이긴 해도)는 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다. 악당이 같은 일을 하기 전에 발견되길 바랄 뿐입니다.
그러나 여기서 문제는 그의 발견에 대한 대응으로 학교에서 일시적으로 정학 처분을 받았다는 점이다. 이는 그가 회사(폴렛 코퍼레이션)에 사적으로 연락할 수 있는 모든 방법을 동원한 끝에, 결국 자신을 드러내고 그들의 시스템을 침해할 수 있는 능력을 공개적으로 폭로하기로 선택했을 때야 비로소 발생한 일이다. Follett Corporation에 윤리적으로 경고하려는 그의 반복된 시도는 응답 없이 묵살되었으며, 소프트웨어는 여전히 취약한 상태였고, 상당 부분이 암호화되지 않은 상태라 수많은 학생 데이터가 매우 쉽게 노출되었습니다.
또한 다른 기업인 블랙보드(Blackboard)의 소프트웨어에서도 결함을 찾았습니다. 블랙보드의 데이터는 적어도 암호화되어 있었지만, 잠재적 공격자들은 수백만 건의 추가 기록에 접근하여 이를 탈취할 수 있었습니다. 해당 학교는 이 소프트웨어와 폴렛(Follett) 제품을 모두 사용 중이었습니다.
"악의적인 해커"라는 서사는 문제가 있다.
데미르카피는 자신의 연구 결과를 정의의 아이콘에서 발표했으며, 그의 장난기 넘치는 행동의 세부 사항들은 관객들의 박수를 받았다. 사실, 처음에는 부정적인 평가를 받았고 자신의 발견이 인정받기 위해 많은 장애물에 직면했지만, 폴렛 코퍼레이션은 그의 노력을 인정하고 그의 조언을 따랐으며, 결국 소프트웨어를 더 안전하게 만들어 위기가 또 다른 데이터 침해 통계로 기록되는 것을 막았습니다. 또한 고등학교를 졸업한 후 로체스터 공과대학에 진학할 예정이어서, 그는 수요가 많은 보안 전문가가 되기 위한 길을 잘 걷고 있음이 분명합니다.
보안 담당자로서 이 상황이 처리된 방식에 동의하기 어렵습니다. 비록 이번 사건은 잘 해결되었지만, 처음에는 그가 참견하지 말아야 할 일에 코를 들이미는 성가신 시나리오 작가처럼 취급받았습니다. 해당 사건에 대한 구글 검색 결과에는 그를 '해커'로 규정하는 기사들이 나옵니다(보안 전문가의 관점에서 이는 그를 여러 측면에서 악당으로 위치짓는 표현입니다). 그러나 실제로 그의 접근 방식(그리고 다른 많은 이들의 방식)은 우리의 데이터를 안전하게 지키는 데 기여합니다.
우리는 호기심 많고 똑똑하며 보안에 집중하는 사람들이 은밀하게 살펴보길 필요로 하며, 이런 일이 훨씬 더 자주 일어나길 바랍니다. 올해 7월 기준으로 이미 40억 건 이상의 기록이 악의적인 데이터 유출에 노출되었습니다. 8월에 패션 및 라이프스타일 브랜드 포쉬마크( Poshmark)가 해킹당하면서 이 수치에 5천만 건이 더 추가될 수 있습니다.
우리는 같은 실수를 반복하며, 더욱 우려되는 점은 종종 손바닥을 내밀어 넘어지게 하는 단순한 취약점들 때문이라는 것이다.
크로스 사이트 스크립팅(XSS) 및 SQL 인젝션은 사라지지 않았습니다.
CABLEADO의 보도에 따르면, Demirkapi는 Blackboards Community Engagement 소프트웨어와 Folletts Student Information System에 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 일반적인 보안 취약점이 존재한다는 사실을 발견했습니다. 이러한 취약점들은 1990년대부터 보안 전문가들의 골칫거리였습니다. 우리는 정말 오래전부터 이 결함들의 존재를 견뎌왔으며, 하이퍼컬러 티셔츠나 플로피 디스크처럼 이제는 먼 옛날의 추억이 되어야 마땅합니다.
그러나 현실은 그렇지 않으며, 코드에 이러한 취약점이 도입되는 것을 막을 만큼 적절한 보안 의식을 갖춘 개발자가 충분하지 않다는 점이 분명합니다. 스캐닝 도구와 수동 코드 검토는 별다른 효과를 내지 못하며, XSS 및 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재하기 때문에 이러한 비용이 많이 들고 느린 조치들은 더 나은 용도로 활용될 수 있습니다.
빌 데미르카피 같은 인물은 개발자들에게 더 높은 코드 기준을 세우도록 영감을 줘야 한다. 고작 17세의 나이에, 그는 코드가 작성되기 전에도 탐지되고 수정되었어야 할 위협 벡터를 통해 두 개의 고트래픽 시스템을 침해했다.
게이미피케이션: 참여의 열쇠인가?
개발자들이 보안에 여전히 크게 무관심한 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직적·교육적 차원에서 개발자들이 보안에 관심을 가지도록 장려하는 노력이 부족하기 때문입니다. 기업들이 보안 문화 조성에 시간을 투자하여 헌신을 보상하고 인정할 때, 개발자들의 언어로 소통하며 계속 도전하도록 동기를 부여하는 교육을 도입할 때, 우리가 사용하는 소프트웨어에서 이런 성가신 취약점 유물들은 사라지기 시작합니다.
분명히 데미르카피는 보안에 대한 특별한 관심을 가지고 있으며, 악성코드를 리버스 엔지니어링하고 결함을 탐지하며, 겉보기엔 고장 나지 않은 것들을 고장 내는 법을 배우는 데 시간을 투자해왔습니다. 그러나 VICIO와의 대화(그리고 DEF CON 발표 자료)에서 그는 자기 학습에 대해 흥미로운 발언을 했습니다... 바로 게임화했다는 점이죠:
«학교 소프트웨어에서 무언가를 찾으려는 목적으로 시작했는데, 이는 상당한 양의 침투 테스트를 재미있고 게임화된 방식으로 가르쳐주는 방법이었습니다. 더 많은 정보를 얻으려는 의도로 조사를 시작했지만, 결국 예상보다 훨씬 더 심각한 문제들이 있다는 사실을 발견하게 되었습니다»,라고 그는 설명합니다.
모든 개발자가 보안에 특화되길 원하지는 않겠지만, 기본적인 보안 인식은 조직 내에서, 특히 우리의 민감한 데이터를 대량으로 관리하는 기업 내에서 '프로그래밍 자격증'과 같은 역할을 하므로 모든 개발자가 이를 습득할 기회를 가져야 합니다. 모든 개발자가 보안 취약점을 코드 작성 단계 이전에 수정할 수 있다면, 우리는 악의적인 공격자들 앞에서 훨씬 더 안전한 위치에 설 수 있을 것입니다.
게임화 교육에 관심이 있으신가요? 저희의 '코더스 컨커 시큐리티' 시리즈를 확인해 보세요. XSS 와 SQL 인젝션에서 확인해 보세요.
청소년 보안 연구원 빌 데미르카피가 자신의 학교에서 사용하는 소프트웨어의 주요 취약점을 폭로했을 때, 분명히 그에게 추억을 불러일으켰을 것이다. 어릴 적 호기심 많은 아이였던 나는 소프트웨어의 덮개를 열어 그 안을 들여다보곤 했다. 모든 것이 어떻게 작동하는지, 그리고 내가 그걸 해독할 수 있을지 알아보기 위해서였다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
청소년 보안 연구원 빌 데미르카피가 최근 발표한 보고서는 그가 다니는 학교에서 사용하는 소프트웨어의 주요 취약점을 폭로했는데, 이는 분명히 그에게 추억을 불러일으켰을 것이다. 호기심 많은 어린 시절, 나는 소프트웨어의 덮개를 열어 그 안을 들여다보며 모든 것이 어떻게 작동하는지, 그리고 무엇보다도 내가 그것을 해독할 수 있는지 확인했던 기억이 난다. 수십 년간 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화에 힘써왔으며, 보안 커뮤니티(때로는 다소 무모한 접근 방식이긴 해도)는 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다. 악당이 같은 일을 하기 전에 발견되길 바랄 뿐입니다.
그러나 여기서 문제는 그의 발견에 대한 대응으로 학교에서 일시적으로 정학 처분을 받았다는 점이다. 이는 그가 회사(폴렛 코퍼레이션)에 사적으로 연락할 수 있는 모든 방법을 동원한 끝에, 결국 자신을 드러내고 그들의 시스템을 침해할 수 있는 능력을 공개적으로 폭로하기로 선택했을 때야 비로소 발생한 일이다. Follett Corporation에 윤리적으로 경고하려는 그의 반복된 시도는 응답 없이 묵살되었으며, 소프트웨어는 여전히 취약한 상태였고, 상당 부분이 암호화되지 않은 상태라 수많은 학생 데이터가 매우 쉽게 노출되었습니다.
또한 다른 기업인 블랙보드(Blackboard)의 소프트웨어에서도 결함을 찾았습니다. 블랙보드의 데이터는 적어도 암호화되어 있었지만, 잠재적 공격자들은 수백만 건의 추가 기록에 접근하여 이를 탈취할 수 있었습니다. 해당 학교는 이 소프트웨어와 폴렛(Follett) 제품을 모두 사용 중이었습니다.
"악의적인 해커"라는 서사는 문제가 있다.
데미르카피는 자신의 연구 결과를 정의의 아이콘에서 발표했으며, 그의 장난기 넘치는 행동의 세부 사항들은 관객들의 박수를 받았다. 사실, 처음에는 부정적인 평가를 받았고 자신의 발견이 인정받기 위해 많은 장애물에 직면했지만, 폴렛 코퍼레이션은 그의 노력을 인정하고 그의 조언을 따랐으며, 결국 소프트웨어를 더 안전하게 만들어 위기가 또 다른 데이터 침해 통계로 기록되는 것을 막았습니다. 또한 고등학교를 졸업한 후 로체스터 공과대학에 진학할 예정이어서, 그는 수요가 많은 보안 전문가가 되기 위한 길을 잘 걷고 있음이 분명합니다.
보안 담당자로서 이 상황이 처리된 방식에 동의하기 어렵습니다. 비록 이번 사건은 잘 해결되었지만, 처음에는 그가 참견하지 말아야 할 일에 코를 들이미는 성가신 시나리오 작가처럼 취급받았습니다. 해당 사건에 대한 구글 검색 결과에는 그를 '해커'로 규정하는 기사들이 나옵니다(보안 전문가의 관점에서 이는 그를 여러 측면에서 악당으로 위치짓는 표현입니다). 그러나 실제로 그의 접근 방식(그리고 다른 많은 이들의 방식)은 우리의 데이터를 안전하게 지키는 데 기여합니다.
우리는 호기심 많고 똑똑하며 보안에 집중하는 사람들이 은밀하게 살펴보길 필요로 하며, 이런 일이 훨씬 더 자주 일어나길 바랍니다. 올해 7월 기준으로 이미 40억 건 이상의 기록이 악의적인 데이터 유출에 노출되었습니다. 8월에 패션 및 라이프스타일 브랜드 포쉬마크( Poshmark)가 해킹당하면서 이 수치에 5천만 건이 더 추가될 수 있습니다.
우리는 같은 실수를 반복하며, 더욱 우려되는 점은 종종 손바닥을 내밀어 넘어지게 하는 단순한 취약점들 때문이라는 것이다.
크로스 사이트 스크립팅(XSS) 및 SQL 인젝션은 사라지지 않았습니다.
CABLEADO의 보도에 따르면, Demirkapi는 Blackboards Community Engagement 소프트웨어와 Folletts Student Information System에 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 일반적인 보안 취약점이 존재한다는 사실을 발견했습니다. 이러한 취약점들은 1990년대부터 보안 전문가들의 골칫거리였습니다. 우리는 정말 오래전부터 이 결함들의 존재를 견뎌왔으며, 하이퍼컬러 티셔츠나 플로피 디스크처럼 이제는 먼 옛날의 추억이 되어야 마땅합니다.
그러나 현실은 그렇지 않으며, 코드에 이러한 취약점이 도입되는 것을 막을 만큼 적절한 보안 의식을 갖춘 개발자가 충분하지 않다는 점이 분명합니다. 스캐닝 도구와 수동 코드 검토는 별다른 효과를 내지 못하며, XSS 및 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재하기 때문에 이러한 비용이 많이 들고 느린 조치들은 더 나은 용도로 활용될 수 있습니다.
빌 데미르카피 같은 인물은 개발자들에게 더 높은 코드 기준을 세우도록 영감을 줘야 한다. 고작 17세의 나이에, 그는 코드가 작성되기 전에도 탐지되고 수정되었어야 할 위협 벡터를 통해 두 개의 고트래픽 시스템을 침해했다.
게이미피케이션: 참여의 열쇠인가?
개발자들이 보안에 여전히 크게 무관심한 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직적·교육적 차원에서 개발자들이 보안에 관심을 가지도록 장려하는 노력이 부족하기 때문입니다. 기업들이 보안 문화 조성에 시간을 투자하여 헌신을 보상하고 인정할 때, 개발자들의 언어로 소통하며 계속 도전하도록 동기를 부여하는 교육을 도입할 때, 우리가 사용하는 소프트웨어에서 이런 성가신 취약점 유물들은 사라지기 시작합니다.
분명히 데미르카피는 보안에 대한 특별한 관심을 가지고 있으며, 악성코드를 리버스 엔지니어링하고 결함을 탐지하며, 겉보기엔 고장 나지 않은 것들을 고장 내는 법을 배우는 데 시간을 투자해왔습니다. 그러나 VICIO와의 대화(그리고 DEF CON 발표 자료)에서 그는 자기 학습에 대해 흥미로운 발언을 했습니다... 바로 게임화했다는 점이죠:
«학교 소프트웨어에서 무언가를 찾으려는 목적으로 시작했는데, 이는 상당한 양의 침투 테스트를 재미있고 게임화된 방식으로 가르쳐주는 방법이었습니다. 더 많은 정보를 얻으려는 의도로 조사를 시작했지만, 결국 예상보다 훨씬 더 심각한 문제들이 있다는 사실을 발견하게 되었습니다»,라고 그는 설명합니다.
모든 개발자가 보안에 특화되길 원하지는 않겠지만, 기본적인 보안 인식은 조직 내에서, 특히 우리의 민감한 데이터를 대량으로 관리하는 기업 내에서 '프로그래밍 자격증'과 같은 역할을 하므로 모든 개발자가 이를 습득할 기회를 가져야 합니다. 모든 개발자가 보안 취약점을 코드 작성 단계 이전에 수정할 수 있다면, 우리는 악의적인 공격자들 앞에서 훨씬 더 안전한 위치에 설 수 있을 것입니다.
게임화 교육에 관심이 있으신가요? 저희의 '코더스 컨커 시큐리티' 시리즈를 확인해 보세요. XSS 와 SQL 인젝션에서 확인해 보세요.
청소년 보안 연구원 빌 데미르카피가 최근 발표한 보고서는 그가 다니는 학교에서 사용하는 소프트웨어의 주요 취약점을 폭로했는데, 이는 분명히 그에게 추억을 불러일으켰을 것이다. 호기심 많은 어린 시절, 나는 소프트웨어의 덮개를 열어 그 안을 들여다보며 모든 것이 어떻게 작동하는지, 그리고 무엇보다도 내가 그것을 해독할 수 있는지 확인했던 기억이 난다. 수십 년간 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화에 힘써왔으며, 보안 커뮤니티(때로는 다소 무모한 접근 방식이긴 해도)는 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다. 악당이 같은 일을 하기 전에 발견되길 바랄 뿐입니다.
그러나 여기서 문제는 그의 발견에 대한 대응으로 학교에서 일시적으로 정학 처분을 받았다는 점이다. 이는 그가 회사(폴렛 코퍼레이션)에 사적으로 연락할 수 있는 모든 방법을 동원한 끝에, 결국 자신을 드러내고 그들의 시스템을 침해할 수 있는 능력을 공개적으로 폭로하기로 선택했을 때야 비로소 발생한 일이다. Follett Corporation에 윤리적으로 경고하려는 그의 반복된 시도는 응답 없이 묵살되었으며, 소프트웨어는 여전히 취약한 상태였고, 상당 부분이 암호화되지 않은 상태라 수많은 학생 데이터가 매우 쉽게 노출되었습니다.
또한 다른 기업인 블랙보드(Blackboard)의 소프트웨어에서도 결함을 찾았습니다. 블랙보드의 데이터는 적어도 암호화되어 있었지만, 잠재적 공격자들은 수백만 건의 추가 기록에 접근하여 이를 탈취할 수 있었습니다. 해당 학교는 이 소프트웨어와 폴렛(Follett) 제품을 모두 사용 중이었습니다.
"악의적인 해커"라는 서사는 문제가 있다.
데미르카피는 자신의 연구 결과를 정의의 아이콘에서 발표했으며, 그의 장난기 넘치는 행동의 세부 사항들은 관객들의 박수를 받았다. 사실, 처음에는 부정적인 평가를 받았고 자신의 발견이 인정받기 위해 많은 장애물에 직면했지만, 폴렛 코퍼레이션은 그의 노력을 인정하고 그의 조언을 따랐으며, 결국 소프트웨어를 더 안전하게 만들어 위기가 또 다른 데이터 침해 통계로 기록되는 것을 막았습니다. 또한 고등학교를 졸업한 후 로체스터 공과대학에 진학할 예정이어서, 그는 수요가 많은 보안 전문가가 되기 위한 길을 잘 걷고 있음이 분명합니다.
보안 담당자로서 이 상황이 처리된 방식에 동의하기 어렵습니다. 비록 이번 사건은 잘 해결되었지만, 처음에는 그가 참견하지 말아야 할 일에 코를 들이미는 성가신 시나리오 작가처럼 취급받았습니다. 해당 사건에 대한 구글 검색 결과에는 그를 '해커'로 규정하는 기사들이 나옵니다(보안 전문가의 관점에서 이는 그를 여러 측면에서 악당으로 위치짓는 표현입니다). 그러나 실제로 그의 접근 방식(그리고 다른 많은 이들의 방식)은 우리의 데이터를 안전하게 지키는 데 기여합니다.
우리는 호기심 많고 똑똑하며 보안에 집중하는 사람들이 은밀하게 살펴보길 필요로 하며, 이런 일이 훨씬 더 자주 일어나길 바랍니다. 올해 7월 기준으로 이미 40억 건 이상의 기록이 악의적인 데이터 유출에 노출되었습니다. 8월에 패션 및 라이프스타일 브랜드 포쉬마크( Poshmark)가 해킹당하면서 이 수치에 5천만 건이 더 추가될 수 있습니다.
우리는 같은 실수를 반복하며, 더욱 우려되는 점은 종종 손바닥을 내밀어 넘어지게 하는 단순한 취약점들 때문이라는 것이다.
크로스 사이트 스크립팅(XSS) 및 SQL 인젝션은 사라지지 않았습니다.
CABLEADO의 보도에 따르면, Demirkapi는 Blackboards Community Engagement 소프트웨어와 Folletts Student Information System에 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 일반적인 보안 취약점이 존재한다는 사실을 발견했습니다. 이러한 취약점들은 1990년대부터 보안 전문가들의 골칫거리였습니다. 우리는 정말 오래전부터 이 결함들의 존재를 견뎌왔으며, 하이퍼컬러 티셔츠나 플로피 디스크처럼 이제는 먼 옛날의 추억이 되어야 마땅합니다.
그러나 현실은 그렇지 않으며, 코드에 이러한 취약점이 도입되는 것을 막을 만큼 적절한 보안 의식을 갖춘 개발자가 충분하지 않다는 점이 분명합니다. 스캐닝 도구와 수동 코드 검토는 별다른 효과를 내지 못하며, XSS 및 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재하기 때문에 이러한 비용이 많이 들고 느린 조치들은 더 나은 용도로 활용될 수 있습니다.
빌 데미르카피 같은 인물은 개발자들에게 더 높은 코드 기준을 세우도록 영감을 줘야 한다. 고작 17세의 나이에, 그는 코드가 작성되기 전에도 탐지되고 수정되었어야 할 위협 벡터를 통해 두 개의 고트래픽 시스템을 침해했다.
게이미피케이션: 참여의 열쇠인가?
개발자들이 보안에 여전히 크게 무관심한 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직적·교육적 차원에서 개발자들이 보안에 관심을 가지도록 장려하는 노력이 부족하기 때문입니다. 기업들이 보안 문화 조성에 시간을 투자하여 헌신을 보상하고 인정할 때, 개발자들의 언어로 소통하며 계속 도전하도록 동기를 부여하는 교육을 도입할 때, 우리가 사용하는 소프트웨어에서 이런 성가신 취약점 유물들은 사라지기 시작합니다.
분명히 데미르카피는 보안에 대한 특별한 관심을 가지고 있으며, 악성코드를 리버스 엔지니어링하고 결함을 탐지하며, 겉보기엔 고장 나지 않은 것들을 고장 내는 법을 배우는 데 시간을 투자해왔습니다. 그러나 VICIO와의 대화(그리고 DEF CON 발표 자료)에서 그는 자기 학습에 대해 흥미로운 발언을 했습니다... 바로 게임화했다는 점이죠:
«학교 소프트웨어에서 무언가를 찾으려는 목적으로 시작했는데, 이는 상당한 양의 침투 테스트를 재미있고 게임화된 방식으로 가르쳐주는 방법이었습니다. 더 많은 정보를 얻으려는 의도로 조사를 시작했지만, 결국 예상보다 훨씬 더 심각한 문제들이 있다는 사실을 발견하게 되었습니다»,라고 그는 설명합니다.
모든 개발자가 보안에 특화되길 원하지는 않겠지만, 기본적인 보안 인식은 조직 내에서, 특히 우리의 민감한 데이터를 대량으로 관리하는 기업 내에서 '프로그래밍 자격증'과 같은 역할을 하므로 모든 개발자가 이를 습득할 기회를 가져야 합니다. 모든 개발자가 보안 취약점을 코드 작성 단계 이전에 수정할 수 있다면, 우리는 악의적인 공격자들 앞에서 훨씬 더 안전한 위치에 설 수 있을 것입니다.
게임화 교육에 관심이 있으신가요? 저희의 '코더스 컨커 시큐리티' 시리즈를 확인해 보세요. XSS 와 SQL 인젝션에서 확인해 보세요.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
청소년 보안 연구원 빌 데미르카피가 최근 발표한 보고서는 그가 다니는 학교에서 사용하는 소프트웨어의 주요 취약점을 폭로했는데, 이는 분명히 그에게 추억을 불러일으켰을 것이다. 호기심 많은 어린 시절, 나는 소프트웨어의 덮개를 열어 그 안을 들여다보며 모든 것이 어떻게 작동하는지, 그리고 무엇보다도 내가 그것을 해독할 수 있는지 확인했던 기억이 난다. 수십 년간 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화에 힘써왔으며, 보안 커뮤니티(때로는 다소 무모한 접근 방식이긴 해도)는 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다. 악당이 같은 일을 하기 전에 발견되길 바랄 뿐입니다.
그러나 여기서 문제는 그의 발견에 대한 대응으로 학교에서 일시적으로 정학 처분을 받았다는 점이다. 이는 그가 회사(폴렛 코퍼레이션)에 사적으로 연락할 수 있는 모든 방법을 동원한 끝에, 결국 자신을 드러내고 그들의 시스템을 침해할 수 있는 능력을 공개적으로 폭로하기로 선택했을 때야 비로소 발생한 일이다. Follett Corporation에 윤리적으로 경고하려는 그의 반복된 시도는 응답 없이 묵살되었으며, 소프트웨어는 여전히 취약한 상태였고, 상당 부분이 암호화되지 않은 상태라 수많은 학생 데이터가 매우 쉽게 노출되었습니다.
또한 다른 기업인 블랙보드(Blackboard)의 소프트웨어에서도 결함을 찾았습니다. 블랙보드의 데이터는 적어도 암호화되어 있었지만, 잠재적 공격자들은 수백만 건의 추가 기록에 접근하여 이를 탈취할 수 있었습니다. 해당 학교는 이 소프트웨어와 폴렛(Follett) 제품을 모두 사용 중이었습니다.
"악의적인 해커"라는 서사는 문제가 있다.
데미르카피는 자신의 연구 결과를 정의의 아이콘에서 발표했으며, 그의 장난기 넘치는 행동의 세부 사항들은 관객들의 박수를 받았다. 사실, 처음에는 부정적인 평가를 받았고 자신의 발견이 인정받기 위해 많은 장애물에 직면했지만, 폴렛 코퍼레이션은 그의 노력을 인정하고 그의 조언을 따랐으며, 결국 소프트웨어를 더 안전하게 만들어 위기가 또 다른 데이터 침해 통계로 기록되는 것을 막았습니다. 또한 고등학교를 졸업한 후 로체스터 공과대학에 진학할 예정이어서, 그는 수요가 많은 보안 전문가가 되기 위한 길을 잘 걷고 있음이 분명합니다.
보안 담당자로서 이 상황이 처리된 방식에 동의하기 어렵습니다. 비록 이번 사건은 잘 해결되었지만, 처음에는 그가 참견하지 말아야 할 일에 코를 들이미는 성가신 시나리오 작가처럼 취급받았습니다. 해당 사건에 대한 구글 검색 결과에는 그를 '해커'로 규정하는 기사들이 나옵니다(보안 전문가의 관점에서 이는 그를 여러 측면에서 악당으로 위치짓는 표현입니다). 그러나 실제로 그의 접근 방식(그리고 다른 많은 이들의 방식)은 우리의 데이터를 안전하게 지키는 데 기여합니다.
우리는 호기심 많고 똑똑하며 보안에 집중하는 사람들이 은밀하게 살펴보길 필요로 하며, 이런 일이 훨씬 더 자주 일어나길 바랍니다. 올해 7월 기준으로 이미 40억 건 이상의 기록이 악의적인 데이터 유출에 노출되었습니다. 8월에 패션 및 라이프스타일 브랜드 포쉬마크( Poshmark)가 해킹당하면서 이 수치에 5천만 건이 더 추가될 수 있습니다.
우리는 같은 실수를 반복하며, 더욱 우려되는 점은 종종 손바닥을 내밀어 넘어지게 하는 단순한 취약점들 때문이라는 것이다.
크로스 사이트 스크립팅(XSS) 및 SQL 인젝션은 사라지지 않았습니다.
CABLEADO의 보도에 따르면, Demirkapi는 Blackboards Community Engagement 소프트웨어와 Folletts Student Information System에 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 일반적인 보안 취약점이 존재한다는 사실을 발견했습니다. 이러한 취약점들은 1990년대부터 보안 전문가들의 골칫거리였습니다. 우리는 정말 오래전부터 이 결함들의 존재를 견뎌왔으며, 하이퍼컬러 티셔츠나 플로피 디스크처럼 이제는 먼 옛날의 추억이 되어야 마땅합니다.
그러나 현실은 그렇지 않으며, 코드에 이러한 취약점이 도입되는 것을 막을 만큼 적절한 보안 의식을 갖춘 개발자가 충분하지 않다는 점이 분명합니다. 스캐닝 도구와 수동 코드 검토는 별다른 효과를 내지 못하며, XSS 및 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재하기 때문에 이러한 비용이 많이 들고 느린 조치들은 더 나은 용도로 활용될 수 있습니다.
빌 데미르카피 같은 인물은 개발자들에게 더 높은 코드 기준을 세우도록 영감을 줘야 한다. 고작 17세의 나이에, 그는 코드가 작성되기 전에도 탐지되고 수정되었어야 할 위협 벡터를 통해 두 개의 고트래픽 시스템을 침해했다.
게이미피케이션: 참여의 열쇠인가?
개발자들이 보안에 여전히 크게 무관심한 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직적·교육적 차원에서 개발자들이 보안에 관심을 가지도록 장려하는 노력이 부족하기 때문입니다. 기업들이 보안 문화 조성에 시간을 투자하여 헌신을 보상하고 인정할 때, 개발자들의 언어로 소통하며 계속 도전하도록 동기를 부여하는 교육을 도입할 때, 우리가 사용하는 소프트웨어에서 이런 성가신 취약점 유물들은 사라지기 시작합니다.
분명히 데미르카피는 보안에 대한 특별한 관심을 가지고 있으며, 악성코드를 리버스 엔지니어링하고 결함을 탐지하며, 겉보기엔 고장 나지 않은 것들을 고장 내는 법을 배우는 데 시간을 투자해왔습니다. 그러나 VICIO와의 대화(그리고 DEF CON 발표 자료)에서 그는 자기 학습에 대해 흥미로운 발언을 했습니다... 바로 게임화했다는 점이죠:
«학교 소프트웨어에서 무언가를 찾으려는 목적으로 시작했는데, 이는 상당한 양의 침투 테스트를 재미있고 게임화된 방식으로 가르쳐주는 방법이었습니다. 더 많은 정보를 얻으려는 의도로 조사를 시작했지만, 결국 예상보다 훨씬 더 심각한 문제들이 있다는 사실을 발견하게 되었습니다»,라고 그는 설명합니다.
모든 개발자가 보안에 특화되길 원하지는 않겠지만, 기본적인 보안 인식은 조직 내에서, 특히 우리의 민감한 데이터를 대량으로 관리하는 기업 내에서 '프로그래밍 자격증'과 같은 역할을 하므로 모든 개발자가 이를 습득할 기회를 가져야 합니다. 모든 개발자가 보안 취약점을 코드 작성 단계 이전에 수정할 수 있다면, 우리는 악의적인 공격자들 앞에서 훨씬 더 안전한 위치에 설 수 있을 것입니다.
게임화 교육에 관심이 있으신가요? 저희의 '코더스 컨커 시큐리티' 시리즈를 확인해 보세요. XSS 와 SQL 인젝션에서 확인해 보세요.
%20(1).avif)
.avif)
