신뢰도 점수는 설계 단계부터 안전한 역량 강화 이니셔티브의 가치를 보여줍니다.
기업의 보안 태세를 강화하는 확실한 방법은 개발자의 보안 코딩 모범 사례 역량을 향상시키는 것입니다. 이를 위해 개발자에게 필요한 맞춤형 학습 경로를 제공하는 벤치마크와 기준점을 포함한 프레임워크를 구축해야 합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 이는 조직의 DNA에 새겨진 삶의 방식이 되어야 합니다. 개발자들은 단순히 왼쪽으로 이동하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 기업은 개발자들이 교육을 완전히 숙지하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무에서 모범 사례를 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 기준 및 업계 벤치마크 대비 진척도를 측정함으로써, 교육 투자에 대한 효과적인 투자 수익률(ROI)을 평가해야 합니다.
Secure Code Warrior 신뢰도 점수는 각 개발자의 성과에 대한 가시성을 제공하고 데이터를 통합하여 조직의 전반적인 성과 평가를 제공합니다. 이는 역량 강화 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 모든 규제 준수 요구사항을 충족하도록 보장합니다.
우리의 연구 결과에 따르면 보안 코드 교육은 효과가 있습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 추출한 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 효과적이며, 이 이니셔티브를 더욱 효과적으로 만드는 방법을 보여줍니다.
교육은 개발자가 이를 받으면 안전성을 향상시킵니다.
수년간 SDLC 초기 단계에서 보안 모범 사례를 적용하는 것은 소프트웨어 업계의 목표처럼 여겨져 왔습니다. 언젠가는 달성해야 할 목표이긴 하지만, 현재로서는 최우선 과제가 아닙니다. 그러나 소프트웨어 개발 속도가 가속화되고, 정교하고 파괴적인 사이버 위협이 증가하면서(이는 종종 소프트웨어 취약점을 노리는 방식으로 진행됨) 안전한 코딩은 필수 요소가 되었습니다. 사이버 보안 및 인프라 보안국(CISA)은 '설계 단계부터 안전한 코딩(Secure by Design) ' 이니셔티브를 통해 안전한 코딩을 최우선 과제로 삼고 있으며, 이는 국제적인 움직임으로 자리잡아가고 있습니다.
우리의 연구는 입증했습니다: 설계 단계부터 안전한 접근 방식과 소프트웨어 취약점 감소 사이의 상관관계는 분명합니다. SCW 고객사의 26%에서 수집한 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점을 22%에서 84%까지 감소시키는 것으로 나타났습니다. 이러한 범위는 관련 기업의 규모(개발자 수가 상대적으로 적은 중소기업이 더 놀라운 결과를 보임)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 더 높은 비율의 취약점을 제거함)와 같은 변수에서 비롯되었습니다.
대기업에서 얻은 결과는 상당히 일관성을 보였습니다. 7,000명 이상의 개발자를 보유한 기업들은 개발자의 보안 역량 강화로 인해 취약점이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자를 보유한 통계적 평균 기업(플랫폼 내 최고 성과 기업도, 최고 성과 기업 중 하나도 아님)은 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 포괄적이고 보편적인 접근 방식에 기반하지 않습니다. 개발자의 작업 환경과 수행하는 개발 유형에 맞춰져야 합니다.
기업들은 개발자들이 안전한 코드 작성을 단순히 코드 작성하는 것만큼 자연스럽게 할 수 있도록 기본 역량을 먼저 확보해야 합니다. 역량 강화 프로그램은 실제 업무 유형과 사용하는 언어에 부합하는 현실 시나리오를 바탕으로 한 실용적이고 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 근무 일정에 유연하게 통합할 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 필요한 역량은 코드 작성에만 국한되지 않습니다. 그들은 인공지능(AI) 어시스턴트와 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델 사용을 피하기 위해 노력해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 생성하는 데 도움이 된다는 점에서 그 장점을 인정해 왔습니다. 그러나 Snyk 설문조사 응답자의 76%가 AI 생성 코드가 인간이 작성한 코드보다 안전하다고 답했음에도, 56.4%는 AI가 가끔 또는 자주 오류를 도입한다고 여전히 응답했습니다. 또한 동일한 설문조사에서 개발자의 80%가 AI 코드 보안 정책을 적용하지 않는 것으로 나타났는데, 이는 AI 코드 내의 코드 문제가 해결되지 않고 있음을 시사합니다.
설계 단계부터 보안 접근 방식을 적용함으로써, 개발자들은 보안 팀과 분리되지 않고 협력하여 SDLC 초기 단계부터 이러한 문제들을 다루게 됩니다. 이를 통해 코드가 프로덕션 환경에 배포되기 전에 취약점을 식별하고 수정할 수 있습니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
교육이 지속적으로 이루어지는 것도 매우 중요합니다. 기업은 최고 경영진부터 최하위 직급까지 전 조직에 적용되는 보안 중심 문화를 채택해야 합니다. 이는 SDLC 전반에 걸쳐 보안 모범 사례의 지속적인 개선과 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자들이 끊임없이 진화하듯, 사이버 보안 역시 진화해야 합니다. 소프트웨어를 생산하는 기업에게 보안 교육을 받은 개발자는 핵심 기반입니다.
따라서 교육 자체만큼이나 교육의 효과를 입증하는 것이 중요합니다. Trust Score는 개별 개발자와 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라, 조직이 성과 데이터를 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 및 집계된 성과 결과에서 도출된 데이터는 또한 교육이 개선되어야 할 영역을 식별하는 데 도움이 됩니다. 예를 들어, 교육이 개발자의 일상적인 성과에 기대했던 효과를 내지 못하는 경우를 파악할 수 있습니다.
트러스트 스코어는 기업이 개발자의 역량을 평가하고, 그들이 보안 분야에서 필요한 기술을 습득하고 활용하는지 확인하며, 코드 라이선스를 취득했는지 보장할 수 있게 했습니다. 이를 통해 기업은 자격을 갖춘 개발자에게 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 접근 권한을 안심하고 부여할 수 있으며, 동시에 도구를 활용할 준비가 되지 않은 개발자에게는 접근을 거부할 수 있습니다.
안전 문화 발전의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 수많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 생존 가능성까지 위협합니다. 규제 기관들도 사이버 보안의 중요성을 간과하지 않고 있습니다. 이들은 점점 더 엄격한 규제를 시행하고 있으며, 최고정보보안책임자(CISO) 및 잠재적으로 다른 최고 경영진 구성원들을 상대로 소송을 제기할 준비가 되어 있음을 보여주었습니다. 심지어 우버(Uber) 와 벤트 솔라(Vents solaires) 사례에서처럼 형사 소송까지도 제기할 수 있습니다.
기업 차원의 보안 문화 정착은 현재 환경에서 필수적입니다. 기업의 가치는 데이터, 애플리케이션 및 서비스에 크게 의존하므로, 안전한 코딩은 이러한 문화의 핵심입니다. 문화적 사고방식 속에서 맞춤형 교육과 역량 강화를 수행하고, 이러한 교육이 문화 변화에 기여했다는 증거를 제시함으로써 조직은 보안 태세를 강화할 수 있습니다.
개발자 주도 보안 프로그램은 가치가 있습니다. 그 증거는 신뢰 점수에서 확인할 수 있습니다.
우리의 연구 결과에 따르면 보안 코드 교육은 효과가 있습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 추출한 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 효과적이며, 이 이니셔티브를 더욱 효과적으로 만드는 방법을 보여줍니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
기업의 보안 태세를 강화하는 확실한 방법은 개발자의 보안 코딩 모범 사례 역량을 향상시키는 것입니다. 이를 위해 개발자에게 필요한 맞춤형 학습 경로를 제공하는 벤치마크와 기준점을 포함한 프레임워크를 구축해야 합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 이는 조직의 DNA에 새겨진 삶의 방식이 되어야 합니다. 개발자들은 단순히 왼쪽으로 이동하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 기업은 개발자들이 교육을 완전히 숙지하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무에서 모범 사례를 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 기준 및 업계 벤치마크 대비 진척도를 측정함으로써, 교육 투자에 대한 효과적인 투자 수익률(ROI)을 평가해야 합니다.
Secure Code Warrior 신뢰도 점수는 각 개발자의 성과에 대한 가시성을 제공하고 데이터를 통합하여 조직의 전반적인 성과 평가를 제공합니다. 이는 역량 강화 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 모든 규제 준수 요구사항을 충족하도록 보장합니다.
우리의 연구 결과에 따르면 보안 코드 교육은 효과가 있습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 추출한 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 효과적이며, 이 이니셔티브를 더욱 효과적으로 만드는 방법을 보여줍니다.
교육은 개발자가 이를 받으면 안전성을 향상시킵니다.
수년간 SDLC 초기 단계에서 보안 모범 사례를 적용하는 것은 소프트웨어 업계의 목표처럼 여겨져 왔습니다. 언젠가는 달성해야 할 목표이긴 하지만, 현재로서는 최우선 과제가 아닙니다. 그러나 소프트웨어 개발 속도가 가속화되고, 정교하고 파괴적인 사이버 위협이 증가하면서(이는 종종 소프트웨어 취약점을 노리는 방식으로 진행됨) 안전한 코딩은 필수 요소가 되었습니다. 사이버 보안 및 인프라 보안국(CISA)은 '설계 단계부터 안전한 코딩(Secure by Design) ' 이니셔티브를 통해 안전한 코딩을 최우선 과제로 삼고 있으며, 이는 국제적인 움직임으로 자리잡아가고 있습니다.
우리의 연구는 입증했습니다: 설계 단계부터 안전한 접근 방식과 소프트웨어 취약점 감소 사이의 상관관계는 분명합니다. SCW 고객사의 26%에서 수집한 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점을 22%에서 84%까지 감소시키는 것으로 나타났습니다. 이러한 범위는 관련 기업의 규모(개발자 수가 상대적으로 적은 중소기업이 더 놀라운 결과를 보임)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 더 높은 비율의 취약점을 제거함)와 같은 변수에서 비롯되었습니다.
대기업에서 얻은 결과는 상당히 일관성을 보였습니다. 7,000명 이상의 개발자를 보유한 기업들은 개발자의 보안 역량 강화로 인해 취약점이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자를 보유한 통계적 평균 기업(플랫폼 내 최고 성과 기업도, 최고 성과 기업 중 하나도 아님)은 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 포괄적이고 보편적인 접근 방식에 기반하지 않습니다. 개발자의 작업 환경과 수행하는 개발 유형에 맞춰져야 합니다.
기업들은 개발자들이 안전한 코드 작성을 단순히 코드 작성하는 것만큼 자연스럽게 할 수 있도록 기본 역량을 먼저 확보해야 합니다. 역량 강화 프로그램은 실제 업무 유형과 사용하는 언어에 부합하는 현실 시나리오를 바탕으로 한 실용적이고 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 근무 일정에 유연하게 통합할 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 필요한 역량은 코드 작성에만 국한되지 않습니다. 그들은 인공지능(AI) 어시스턴트와 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델 사용을 피하기 위해 노력해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 생성하는 데 도움이 된다는 점에서 그 장점을 인정해 왔습니다. 그러나 Snyk 설문조사 응답자의 76%가 AI 생성 코드가 인간이 작성한 코드보다 안전하다고 답했음에도, 56.4%는 AI가 가끔 또는 자주 오류를 도입한다고 여전히 응답했습니다. 또한 동일한 설문조사에서 개발자의 80%가 AI 코드 보안 정책을 적용하지 않는 것으로 나타났는데, 이는 AI 코드 내의 코드 문제가 해결되지 않고 있음을 시사합니다.
설계 단계부터 보안 접근 방식을 적용함으로써, 개발자들은 보안 팀과 분리되지 않고 협력하여 SDLC 초기 단계부터 이러한 문제들을 다루게 됩니다. 이를 통해 코드가 프로덕션 환경에 배포되기 전에 취약점을 식별하고 수정할 수 있습니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
교육이 지속적으로 이루어지는 것도 매우 중요합니다. 기업은 최고 경영진부터 최하위 직급까지 전 조직에 적용되는 보안 중심 문화를 채택해야 합니다. 이는 SDLC 전반에 걸쳐 보안 모범 사례의 지속적인 개선과 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자들이 끊임없이 진화하듯, 사이버 보안 역시 진화해야 합니다. 소프트웨어를 생산하는 기업에게 보안 교육을 받은 개발자는 핵심 기반입니다.
따라서 교육 자체만큼이나 교육의 효과를 입증하는 것이 중요합니다. Trust Score는 개별 개발자와 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라, 조직이 성과 데이터를 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 및 집계된 성과 결과에서 도출된 데이터는 또한 교육이 개선되어야 할 영역을 식별하는 데 도움이 됩니다. 예를 들어, 교육이 개발자의 일상적인 성과에 기대했던 효과를 내지 못하는 경우를 파악할 수 있습니다.
트러스트 스코어는 기업이 개발자의 역량을 평가하고, 그들이 보안 분야에서 필요한 기술을 습득하고 활용하는지 확인하며, 코드 라이선스를 취득했는지 보장할 수 있게 했습니다. 이를 통해 기업은 자격을 갖춘 개발자에게 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 접근 권한을 안심하고 부여할 수 있으며, 동시에 도구를 활용할 준비가 되지 않은 개발자에게는 접근을 거부할 수 있습니다.
안전 문화 발전의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 수많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 생존 가능성까지 위협합니다. 규제 기관들도 사이버 보안의 중요성을 간과하지 않고 있습니다. 이들은 점점 더 엄격한 규제를 시행하고 있으며, 최고정보보안책임자(CISO) 및 잠재적으로 다른 최고 경영진 구성원들을 상대로 소송을 제기할 준비가 되어 있음을 보여주었습니다. 심지어 우버(Uber) 와 벤트 솔라(Vents solaires) 사례에서처럼 형사 소송까지도 제기할 수 있습니다.
기업 차원의 보안 문화 정착은 현재 환경에서 필수적입니다. 기업의 가치는 데이터, 애플리케이션 및 서비스에 크게 의존하므로, 안전한 코딩은 이러한 문화의 핵심입니다. 문화적 사고방식 속에서 맞춤형 교육과 역량 강화를 수행하고, 이러한 교육이 문화 변화에 기여했다는 증거를 제시함으로써 조직은 보안 태세를 강화할 수 있습니다.
개발자 주도 보안 프로그램은 가치가 있습니다. 그 증거는 신뢰 점수에서 확인할 수 있습니다.
기업의 보안 태세를 강화하는 확실한 방법은 개발자의 보안 코딩 모범 사례 역량을 향상시키는 것입니다. 이를 위해 개발자에게 필요한 맞춤형 학습 경로를 제공하는 벤치마크와 기준점을 포함한 프레임워크를 구축해야 합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 이는 조직의 DNA에 새겨진 삶의 방식이 되어야 합니다. 개발자들은 단순히 왼쪽으로 이동하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 기업은 개발자들이 교육을 완전히 숙지하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무에서 모범 사례를 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 기준 및 업계 벤치마크 대비 진척도를 측정함으로써, 교육 투자에 대한 효과적인 투자 수익률(ROI)을 평가해야 합니다.
Secure Code Warrior 신뢰도 점수는 각 개발자의 성과에 대한 가시성을 제공하고 데이터를 통합하여 조직의 전반적인 성과 평가를 제공합니다. 이는 역량 강화 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 모든 규제 준수 요구사항을 충족하도록 보장합니다.
우리의 연구 결과에 따르면 보안 코드 교육은 효과가 있습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 추출한 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 효과적이며, 이 이니셔티브를 더욱 효과적으로 만드는 방법을 보여줍니다.
교육은 개발자가 이를 받으면 안전성을 향상시킵니다.
수년간 SDLC 초기 단계에서 보안 모범 사례를 적용하는 것은 소프트웨어 업계의 목표처럼 여겨져 왔습니다. 언젠가는 달성해야 할 목표이긴 하지만, 현재로서는 최우선 과제가 아닙니다. 그러나 소프트웨어 개발 속도가 가속화되고, 정교하고 파괴적인 사이버 위협이 증가하면서(이는 종종 소프트웨어 취약점을 노리는 방식으로 진행됨) 안전한 코딩은 필수 요소가 되었습니다. 사이버 보안 및 인프라 보안국(CISA)은 '설계 단계부터 안전한 코딩(Secure by Design) ' 이니셔티브를 통해 안전한 코딩을 최우선 과제로 삼고 있으며, 이는 국제적인 움직임으로 자리잡아가고 있습니다.
우리의 연구는 입증했습니다: 설계 단계부터 안전한 접근 방식과 소프트웨어 취약점 감소 사이의 상관관계는 분명합니다. SCW 고객사의 26%에서 수집한 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점을 22%에서 84%까지 감소시키는 것으로 나타났습니다. 이러한 범위는 관련 기업의 규모(개발자 수가 상대적으로 적은 중소기업이 더 놀라운 결과를 보임)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 더 높은 비율의 취약점을 제거함)와 같은 변수에서 비롯되었습니다.
대기업에서 얻은 결과는 상당히 일관성을 보였습니다. 7,000명 이상의 개발자를 보유한 기업들은 개발자의 보안 역량 강화로 인해 취약점이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자를 보유한 통계적 평균 기업(플랫폼 내 최고 성과 기업도, 최고 성과 기업 중 하나도 아님)은 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 포괄적이고 보편적인 접근 방식에 기반하지 않습니다. 개발자의 작업 환경과 수행하는 개발 유형에 맞춰져야 합니다.
기업들은 개발자들이 안전한 코드 작성을 단순히 코드 작성하는 것만큼 자연스럽게 할 수 있도록 기본 역량을 먼저 확보해야 합니다. 역량 강화 프로그램은 실제 업무 유형과 사용하는 언어에 부합하는 현실 시나리오를 바탕으로 한 실용적이고 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 근무 일정에 유연하게 통합할 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 필요한 역량은 코드 작성에만 국한되지 않습니다. 그들은 인공지능(AI) 어시스턴트와 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델 사용을 피하기 위해 노력해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 생성하는 데 도움이 된다는 점에서 그 장점을 인정해 왔습니다. 그러나 Snyk 설문조사 응답자의 76%가 AI 생성 코드가 인간이 작성한 코드보다 안전하다고 답했음에도, 56.4%는 AI가 가끔 또는 자주 오류를 도입한다고 여전히 응답했습니다. 또한 동일한 설문조사에서 개발자의 80%가 AI 코드 보안 정책을 적용하지 않는 것으로 나타났는데, 이는 AI 코드 내의 코드 문제가 해결되지 않고 있음을 시사합니다.
설계 단계부터 보안 접근 방식을 적용함으로써, 개발자들은 보안 팀과 분리되지 않고 협력하여 SDLC 초기 단계부터 이러한 문제들을 다루게 됩니다. 이를 통해 코드가 프로덕션 환경에 배포되기 전에 취약점을 식별하고 수정할 수 있습니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
교육이 지속적으로 이루어지는 것도 매우 중요합니다. 기업은 최고 경영진부터 최하위 직급까지 전 조직에 적용되는 보안 중심 문화를 채택해야 합니다. 이는 SDLC 전반에 걸쳐 보안 모범 사례의 지속적인 개선과 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자들이 끊임없이 진화하듯, 사이버 보안 역시 진화해야 합니다. 소프트웨어를 생산하는 기업에게 보안 교육을 받은 개발자는 핵심 기반입니다.
따라서 교육 자체만큼이나 교육의 효과를 입증하는 것이 중요합니다. Trust Score는 개별 개발자와 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라, 조직이 성과 데이터를 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 및 집계된 성과 결과에서 도출된 데이터는 또한 교육이 개선되어야 할 영역을 식별하는 데 도움이 됩니다. 예를 들어, 교육이 개발자의 일상적인 성과에 기대했던 효과를 내지 못하는 경우를 파악할 수 있습니다.
트러스트 스코어는 기업이 개발자의 역량을 평가하고, 그들이 보안 분야에서 필요한 기술을 습득하고 활용하는지 확인하며, 코드 라이선스를 취득했는지 보장할 수 있게 했습니다. 이를 통해 기업은 자격을 갖춘 개발자에게 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 접근 권한을 안심하고 부여할 수 있으며, 동시에 도구를 활용할 준비가 되지 않은 개발자에게는 접근을 거부할 수 있습니다.
안전 문화 발전의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 수많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 생존 가능성까지 위협합니다. 규제 기관들도 사이버 보안의 중요성을 간과하지 않고 있습니다. 이들은 점점 더 엄격한 규제를 시행하고 있으며, 최고정보보안책임자(CISO) 및 잠재적으로 다른 최고 경영진 구성원들을 상대로 소송을 제기할 준비가 되어 있음을 보여주었습니다. 심지어 우버(Uber) 와 벤트 솔라(Vents solaires) 사례에서처럼 형사 소송까지도 제기할 수 있습니다.
기업 차원의 보안 문화 정착은 현재 환경에서 필수적입니다. 기업의 가치는 데이터, 애플리케이션 및 서비스에 크게 의존하므로, 안전한 코딩은 이러한 문화의 핵심입니다. 문화적 사고방식 속에서 맞춤형 교육과 역량 강화를 수행하고, 이러한 교육이 문화 변화에 기여했다는 증거를 제시함으로써 조직은 보안 태세를 강화할 수 있습니다.
개발자 주도 보안 프로그램은 가치가 있습니다. 그 증거는 신뢰 점수에서 확인할 수 있습니다.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
기업의 보안 태세를 강화하는 확실한 방법은 개발자의 보안 코딩 모범 사례 역량을 향상시키는 것입니다. 이를 위해 개발자에게 필요한 맞춤형 학습 경로를 제공하는 벤치마크와 기준점을 포함한 프레임워크를 구축해야 합니다. 그러나 안전한 코딩은 일회성 해결책이 아닙니다. 이는 조직의 DNA에 새겨진 삶의 방식이 되어야 합니다. 개발자들은 단순히 왼쪽으로 이동하거나 왼쪽에서 시작하는 것뿐만 아니라, 왼쪽에 머물러야 합니다.
단순히 교육을 제공하는 것만으로는 충분하지 않습니다. 기업은 개발자들이 교육을 완전히 숙지하고 소프트웨어 개발 생명주기(SDLC) 초기 단계부터 일상 업무에서 모범 사례를 따르고 있는지 확인해야 합니다. 개발자의 성과를 추적하고 내부 기준 및 업계 벤치마크 대비 진척도를 측정함으로써, 교육 투자에 대한 효과적인 투자 수익률(ROI)을 평가해야 합니다.
Secure Code Warrior 신뢰도 점수는 각 개발자의 성과에 대한 가시성을 제공하고 데이터를 통합하여 조직의 전반적인 성과 평가를 제공합니다. 이는 역량 강화 프로그램의 효과를 보여주는 동시에 개선이 필요한 영역을 식별합니다. 또한GDPR(일반 데이터 보호 규정),PCI DSS(지불 카드 산업 데이터 보안 표준),CCPA(캘리포니아 소비자 개인정보 보호법) 등 모든 규제 준수 요구사항을 충족하도록 보장합니다.
우리의 연구 결과에 따르면 보안 코드 교육은 효과가 있습니다. 600개 이상의 조직에서 25만 명 이상의 학습자가 수행한 작업에서 추출한 2천만 개 이상의 학습 데이터 포인트를 기반으로 한 알고리즘을 사용하는 Trust Score는 취약점을 줄이는 데 효과적이며, 이 이니셔티브를 더욱 효과적으로 만드는 방법을 보여줍니다.
교육은 개발자가 이를 받으면 안전성을 향상시킵니다.
수년간 SDLC 초기 단계에서 보안 모범 사례를 적용하는 것은 소프트웨어 업계의 목표처럼 여겨져 왔습니다. 언젠가는 달성해야 할 목표이긴 하지만, 현재로서는 최우선 과제가 아닙니다. 그러나 소프트웨어 개발 속도가 가속화되고, 정교하고 파괴적인 사이버 위협이 증가하면서(이는 종종 소프트웨어 취약점을 노리는 방식으로 진행됨) 안전한 코딩은 필수 요소가 되었습니다. 사이버 보안 및 인프라 보안국(CISA)은 '설계 단계부터 안전한 코딩(Secure by Design) ' 이니셔티브를 통해 안전한 코딩을 최우선 과제로 삼고 있으며, 이는 국제적인 움직임으로 자리잡아가고 있습니다.
우리의 연구는 입증했습니다: 설계 단계부터 안전한 접근 방식과 소프트웨어 취약점 감소 사이의 상관관계는 분명합니다. SCW 고객사의 26%에서 수집한 취약점 감소 데이터를 분석한 결과, 개발자 교육이 소프트웨어 취약점을 22%에서 84%까지 감소시키는 것으로 나타났습니다. 이러한 범위는 관련 기업의 규모(개발자 수가 상대적으로 적은 중소기업이 더 놀라운 결과를 보임)와 학습 그룹이 특정 문제에 집중했는지 여부(이 경우 더 높은 비율의 취약점을 제거함)와 같은 변수에서 비롯되었습니다.
대기업에서 얻은 결과는 상당히 일관성을 보였습니다. 7,000명 이상의 개발자를 보유한 기업들은 개발자의 보안 역량 강화로 인해 취약점이 47%에서 53%까지 감소할 것으로 예상할 수 있습니다. 예를 들어, 10,000명 이상의 개발자를 보유한 통계적 평균 기업(플랫폼 내 최고 성과 기업도, 최고 성과 기업 중 하나도 아님)은 취약점이 53% 감소한 것으로 나타났습니다.
물론 가장 효과적인 교육은 포괄적이고 보편적인 접근 방식에 기반하지 않습니다. 개발자의 작업 환경과 수행하는 개발 유형에 맞춰져야 합니다.
기업들은 개발자들이 안전한 코드 작성을 단순히 코드 작성하는 것만큼 자연스럽게 할 수 있도록 기본 역량을 먼저 확보해야 합니다. 역량 강화 프로그램은 실제 업무 유형과 사용하는 언어에 부합하는 현실 시나리오를 바탕으로 한 실용적이고 민첩한 교육으로 구성되어야 합니다. 또한 교육 세션을 근무 일정에 유연하게 통합할 수 있을 만큼 충분히 유연해야 합니다.
개발자에게 필요한 역량은 코드 작성에만 국한되지 않습니다. 그들은 인공지능(AI) 어시스턴트와 오픈소스 저장소 같은 제3자가 생성한 소프트웨어를 검증할 수 있어야 합니다. 개발자들은 생성형 AI 모델 사용을 피하기 위해 노력해 왔으며, 일반적으로 더 많은 코드를 더 빠르게 생성하는 데 도움이 된다는 점에서 그 장점을 인정해 왔습니다. 그러나 Snyk 설문조사 응답자의 76%가 AI 생성 코드가 인간이 작성한 코드보다 안전하다고 답했음에도, 56.4%는 AI가 가끔 또는 자주 오류를 도입한다고 여전히 응답했습니다. 또한 동일한 설문조사에서 개발자의 80%가 AI 코드 보안 정책을 적용하지 않는 것으로 나타났는데, 이는 AI 코드 내의 코드 문제가 해결되지 않고 있음을 시사합니다.
설계 단계부터 보안 접근 방식을 적용함으로써, 개발자들은 보안 팀과 분리되지 않고 협력하여 SDLC 초기 단계부터 이러한 문제들을 다루게 됩니다. 이를 통해 코드가 프로덕션 환경에 배포되기 전에 취약점을 식별하고 수정할 수 있습니다.
신뢰 점수는 개인 및 기업의 성과를 측정합니다.
교육이 지속적으로 이루어지는 것도 매우 중요합니다. 기업은 최고 경영진부터 최하위 직급까지 전 조직에 적용되는 보안 중심 문화를 채택해야 합니다. 이는 SDLC 전반에 걸쳐 보안 모범 사례의 지속적인 개선과 적용에 초점을 맞춰야 합니다. 기술과 사이버 범죄자들이 끊임없이 진화하듯, 사이버 보안 역시 진화해야 합니다. 소프트웨어를 생산하는 기업에게 보안 교육을 받은 개발자는 핵심 기반입니다.
따라서 교육 자체만큼이나 교육의 효과를 입증하는 것이 중요합니다. Trust Score는 개별 개발자와 조직 전체의 성과에 대한 가시성을 제공할 뿐만 아니라, 조직이 성과 데이터를 분석하여 특정 언어, 개발자 팀 또는 소프트웨어 범주에 집중할 수 있도록 합니다. 개별 및 집계된 성과 결과에서 도출된 데이터는 또한 교육이 개선되어야 할 영역을 식별하는 데 도움이 됩니다. 예를 들어, 교육이 개발자의 일상적인 성과에 기대했던 효과를 내지 못하는 경우를 파악할 수 있습니다.
트러스트 스코어는 기업이 개발자의 역량을 평가하고, 그들이 보안 분야에서 필요한 기술을 습득하고 활용하는지 확인하며, 코드 라이선스를 취득했는지 보장할 수 있게 했습니다. 이를 통해 기업은 자격을 갖춘 개발자에게 가장 민감한 데이터와 핵심 소프트웨어 프로젝트에 대한 접근 권한을 안심하고 부여할 수 있으며, 동시에 도구를 활용할 준비가 되지 않은 개발자에게는 접근을 거부할 수 있습니다.
안전 문화 발전의 증거
사이버 보안은 더 이상 단순한 보안 문제가 아닙니다. 이는 수많은 조직의 가장 소중한 자산인 데이터의 무결성에 영향을 미치는 비즈니스 문제입니다. 심각한 침해는 조직의 운영, 평판, 그리고 잠재적으로 생존 가능성까지 위협합니다. 규제 기관들도 사이버 보안의 중요성을 간과하지 않고 있습니다. 이들은 점점 더 엄격한 규제를 시행하고 있으며, 최고정보보안책임자(CISO) 및 잠재적으로 다른 최고 경영진 구성원들을 상대로 소송을 제기할 준비가 되어 있음을 보여주었습니다. 심지어 우버(Uber) 와 벤트 솔라(Vents solaires) 사례에서처럼 형사 소송까지도 제기할 수 있습니다.
기업 차원의 보안 문화 정착은 현재 환경에서 필수적입니다. 기업의 가치는 데이터, 애플리케이션 및 서비스에 크게 의존하므로, 안전한 코딩은 이러한 문화의 핵심입니다. 문화적 사고방식 속에서 맞춤형 교육과 역량 강화를 수행하고, 이러한 교육이 문화 변화에 기여했다는 증거를 제시함으로써 조직은 보안 태세를 강화할 수 있습니다.
개발자 주도 보안 프로그램은 가치가 있습니다. 그 증거는 신뢰 점수에서 확인할 수 있습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
