마이크로파가 제대로 작동하지 않을 때: 왜 임베디드 시스템의 보안이 개발자들의 다음 전투가 되는가
대중문화에는 불량한 인공지능과 로봇, 그리고 인간 주인을 공격하는 기기들에 대한 수많은 언급이 존재합니다. 이는 공상과학(SF)과 판타지에 깊이 뿌리내리고 있지만, 사물인터넷(IoT)과 연결된 기기들이 우리 가정에서 점점 더 보편화됨에 따라 사이버 보안과 안전에 대한 논의 역시 마찬가지여야 합니다. 소프트웨어는 어디에나 존재하며, 혁신과 편의를 가져다주는 모든 지능형 작업을 수행하기 위해 우리가 얼마나 많은 코드 줄에 의존하는지 잊기 쉽습니다. 웹 소프트웨어, API, 모바일 기기와 마찬가지로 임베디드 시스템의 취약한 코드도 공격자가 발견하면 악용될 수 있습니다.
비록 마이크로파 군대가 인류를 지배할 가능성은 희박하지만( 테슬라 로봇은 다소 우려스럽긴 해도), 사이버 공격으로 인한 악의적인 사이버 사건은 여전히 발생할 수 있습니다. 일부 자동차, 항공기 및 의료 기기 역시 핵심 작업을 수행하기 위해 복잡한 임베디드 시스템 코드에 의존하고 있으며, 이러한 장치들이 해킹당할 가능성은 단순히 우려스러운 수준을 넘어 치명적일 수 있습니다.
다른 모든 소프트웨어 유형과 마찬가지로, 개발자들은 제작 단계 초기부터 코드를 다루는 첫 번째 주체들입니다. 그리고 다른 모든 소프트웨어와 마찬가지로, 이 소프트웨어 역시 제품 출시 전까지 발견되지 않을 수 있는 교묘하고 흔한 취약점의 원인이 될 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 기업도 그들이 그 역할을 수행할 것을 기대해서는 안 됩니다. 그러나 그들은 자신들에게 영향을 미치는 유형의 위협에 대처하기 위해 훨씬 더 강력한 무기를 갖추게 될 수 있습니다. 임베디드 시스템은 주로 C 및 C++로 작성되며, 우리의 기술적 요구가 계속 진화함에 따라 점점 더 자주 사용될 것입니다. 따라서 이 환경의 도구에 대한 개발자 대상 보안 전문 교육이 필수적입니다.
폭발하는 에어프라이어, 불량 차량... 우리는 앉은 오리인가?
비록 안전한 개발과 관련된 몇 가지 표준과 규정이 존재하지만, 우리의 안전을 보장하기 위해서는 소프트웨어 보안의 모든 측면에서 훨씬 더 구체적이고 의미 있는 진전을 이루어야 합니다. 에어프라이어 해킹으로 인한 문제 발생 가능성을 생각하는 것이 과장된 것처럼 보일 수 있지만, 이는 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 함) 형태로 실제로 발생했으며, 차량 제어 장악으로 이어지는 취약점 역시 마찬가지입니다.
특히 차량은 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지 각각 미세 기능을 담당하는 다중 통합 시스템을 탑재하고 있어 매우 복잡합니다. Wi-Fi, 블루투스, GPS 등 점점 더 다양해지는 통신 기술과 결합된 커넥티드 카는 복잡한 디지털 인프라를 형성하며 다중 공격 경로에 노출됩니다. 2023년까지 전 세계적으로 7,630만 대의 커넥티드 카가 운행될 것으로 예상되는 만큼, 진정한 보안을 위해 구축해야 할 방어 기반의 거대한 벽이 될 것입니다.
MISRA는 임베디드 시스템과 관련된 위협에 효과적으로 대응하는 핵심 기관으로, 임베디드 시스템 환경에서 코드의 안전성, 보안성, 이식성 및 신뢰성을 촉진하기 위한 지침을 수립했습니다. 이러한 지침은 각 기업이 임베디드 시스템 프로젝트에서 준수해야 하는 표준의 초석이 됩니다.
그러나 이 기준 표준에 부합하는 코드를 작성하고 실행하려면, 해당 도구에 대한 신뢰는 물론 보안 수준까지 갖춘 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템 보안 역량 강화가 그렇게 특화된 것인가?
C 및 C++ 프로그래밍 언어는 현재 기준으로 노후화되었지만 여전히 널리 사용됩니다. 이 언어들은 임베디드 시스템 코드베이스의 핵심 기능을 구성하며, Embedded C/C++은 연결된 기기 세계에서 현대적이고 빛나는 삶을 누리고 있습니다.
이러한 언어들은 상당히 오래된 뿌리를 가지고 있으며, 주입 취약점이나 버퍼 오버런과 같은 일반적인 문제 측면에서 유사한 취약성 행동을 보이지만, 개발자들이 임베디드 시스템의 보안 결함을 실제로 완화하기 위해서는 작업 환경을 모방한 코드에 익숙해져야 합니다. 일반적인 C 언어 보안 관행에 대한 교육은 단순히 C 기반 환경에서 작업하는 데 더 많은 시간과 노력을 기울이는 것만큼 효과적이거나 기억에 남지 않을 것입니다.
현대식 차량에는 12개에서 100개 이상의 시스템이 통합되어 있으므로, 개발자들은 IDE 내에서 직접 무엇을 찾아야 하고 어떻게 해결해야 하는지에 대한 정확한 교육을 반드시 받아야 합니다.
임베디드 시스템의 보호는 기초 단계부터 시작되며, 이는 모두의 책임입니다.
많은 조직에서 현 상태는 개발 속도가 보안보다 우선시되는 것이며, 적어도 개발자의 책임 측면에서는 그렇습니다. 개발자의 보안 코드 작성 능력은 거의 평가받지 못하지만, 뛰어난 기능의 신속한 개발이 절대적인 기준이 됩니다. 소프트웨어 수요는 계속 증가할 것이지만, 이러한 문화는 취약점과 이를 악용하는 사이버 공격에 맞서 싸울 준비가 되어 있지 않은 상태로 우리를 내몰고 있습니다.
개발자들이 교육을 받지 못했다면 그건 그들의 잘못이 아니며, 이는 AppSec 팀 구성원이 적절한 역량 강화 프로그램을 추천함으로써 메워야 할 공백입니다. 이 프로그램은 개발자 커뮤니티 전체가 접근 가능하고(평가 가능하다는 건 말할 것도 없이) 활용할 수 있어야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 최우선 과제가 되어야 하며, 특히 개발자를 포함한 모든 구성원이 각자의 역할을 수행하는 데 필요한 권한을 부여받아야 합니다.
임베디드 시스템의 보안 문제 해결
버퍼 오버플로, 인젝션 취약점 및 비즈니스 로직 버그는 임베디드 시스템 개발에서 흔히 발생하는 함정입니다. 단일 차량이나 장치 내 마이크로컨트롤러 미로 깊숙이 숨겨진 이러한 문제들은 안전 측면에서 치명적일 수 있습니다.
버퍼 오버플로(Buffer Overflow)는 특히 빈번하게 발생하며, 이전에 언급한 에어프라이어(Air Fryer)의 보안 취약점(원격 코드 실행 가능)에 어떻게 기여했는지 자세히 알고 싶다면 CVE-2020-28592에 대한 이 보고서를 참조하십시오.
이제 실제 C/C++ 임베디드 코드에서 버퍼 오버플로 취약점을 익힐 때입니다. 이 도전을 통해 교묘한 버그의 원인이 되는 잘못된 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
.png)
어떻게 해결하셨나요? 임베디드 시스템 보안에 대한 정확하고 효과적인 교육을 원하시면 www.securecodewarrior.com을 방문하세요.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
대중문화에는 불량한 인공지능과 로봇, 그리고 인간 주인을 공격하는 기기들에 대한 수많은 언급이 존재합니다. 이는 공상과학(SF)과 판타지에 깊이 뿌리내리고 있지만, 사물인터넷(IoT)과 연결된 기기들이 우리 가정에서 점점 더 보편화됨에 따라 사이버 보안과 안전에 대한 논의 역시 마찬가지여야 합니다. 소프트웨어는 어디에나 존재하며, 혁신과 편의를 가져다주는 모든 지능형 작업을 수행하기 위해 우리가 얼마나 많은 코드 줄에 의존하는지 잊기 쉽습니다. 웹 소프트웨어, API, 모바일 기기와 마찬가지로 임베디드 시스템의 취약한 코드도 공격자가 발견하면 악용될 수 있습니다.
비록 마이크로파 군대가 인류를 지배할 가능성은 희박하지만( 테슬라 로봇은 다소 우려스럽긴 해도), 사이버 공격으로 인한 악의적인 사이버 사건은 여전히 발생할 수 있습니다. 일부 자동차, 항공기 및 의료 기기 역시 핵심 작업을 수행하기 위해 복잡한 임베디드 시스템 코드에 의존하고 있으며, 이러한 장치들이 해킹당할 가능성은 단순히 우려스러운 수준을 넘어 치명적일 수 있습니다.
다른 모든 소프트웨어 유형과 마찬가지로, 개발자들은 제작 단계 초기부터 코드를 다루는 첫 번째 주체들입니다. 그리고 다른 모든 소프트웨어와 마찬가지로, 이 소프트웨어 역시 제품 출시 전까지 발견되지 않을 수 있는 교묘하고 흔한 취약점의 원인이 될 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 기업도 그들이 그 역할을 수행할 것을 기대해서는 안 됩니다. 그러나 그들은 자신들에게 영향을 미치는 유형의 위협에 대처하기 위해 훨씬 더 강력한 무기를 갖추게 될 수 있습니다. 임베디드 시스템은 주로 C 및 C++로 작성되며, 우리의 기술적 요구가 계속 진화함에 따라 점점 더 자주 사용될 것입니다. 따라서 이 환경의 도구에 대한 개발자 대상 보안 전문 교육이 필수적입니다.
폭발하는 에어프라이어, 불량 차량... 우리는 앉은 오리인가?
비록 안전한 개발과 관련된 몇 가지 표준과 규정이 존재하지만, 우리의 안전을 보장하기 위해서는 소프트웨어 보안의 모든 측면에서 훨씬 더 구체적이고 의미 있는 진전을 이루어야 합니다. 에어프라이어 해킹으로 인한 문제 발생 가능성을 생각하는 것이 과장된 것처럼 보일 수 있지만, 이는 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 함) 형태로 실제로 발생했으며, 차량 제어 장악으로 이어지는 취약점 역시 마찬가지입니다.
특히 차량은 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지 각각 미세 기능을 담당하는 다중 통합 시스템을 탑재하고 있어 매우 복잡합니다. Wi-Fi, 블루투스, GPS 등 점점 더 다양해지는 통신 기술과 결합된 커넥티드 카는 복잡한 디지털 인프라를 형성하며 다중 공격 경로에 노출됩니다. 2023년까지 전 세계적으로 7,630만 대의 커넥티드 카가 운행될 것으로 예상되는 만큼, 진정한 보안을 위해 구축해야 할 방어 기반의 거대한 벽이 될 것입니다.
MISRA는 임베디드 시스템과 관련된 위협에 효과적으로 대응하는 핵심 기관으로, 임베디드 시스템 환경에서 코드의 안전성, 보안성, 이식성 및 신뢰성을 촉진하기 위한 지침을 수립했습니다. 이러한 지침은 각 기업이 임베디드 시스템 프로젝트에서 준수해야 하는 표준의 초석이 됩니다.
그러나 이 기준 표준에 부합하는 코드를 작성하고 실행하려면, 해당 도구에 대한 신뢰는 물론 보안 수준까지 갖춘 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템 보안 역량 강화가 그렇게 특화된 것인가?
C 및 C++ 프로그래밍 언어는 현재 기준으로 노후화되었지만 여전히 널리 사용됩니다. 이 언어들은 임베디드 시스템 코드베이스의 핵심 기능을 구성하며, Embedded C/C++은 연결된 기기 세계에서 현대적이고 빛나는 삶을 누리고 있습니다.
이러한 언어들은 상당히 오래된 뿌리를 가지고 있으며, 주입 취약점이나 버퍼 오버런과 같은 일반적인 문제 측면에서 유사한 취약성 행동을 보이지만, 개발자들이 임베디드 시스템의 보안 결함을 실제로 완화하기 위해서는 작업 환경을 모방한 코드에 익숙해져야 합니다. 일반적인 C 언어 보안 관행에 대한 교육은 단순히 C 기반 환경에서 작업하는 데 더 많은 시간과 노력을 기울이는 것만큼 효과적이거나 기억에 남지 않을 것입니다.
현대식 차량에는 12개에서 100개 이상의 시스템이 통합되어 있으므로, 개발자들은 IDE 내에서 직접 무엇을 찾아야 하고 어떻게 해결해야 하는지에 대한 정확한 교육을 반드시 받아야 합니다.
임베디드 시스템의 보호는 기초 단계부터 시작되며, 이는 모두의 책임입니다.
많은 조직에서 현 상태는 개발 속도가 보안보다 우선시되는 것이며, 적어도 개발자의 책임 측면에서는 그렇습니다. 개발자의 보안 코드 작성 능력은 거의 평가받지 못하지만, 뛰어난 기능의 신속한 개발이 절대적인 기준이 됩니다. 소프트웨어 수요는 계속 증가할 것이지만, 이러한 문화는 취약점과 이를 악용하는 사이버 공격에 맞서 싸울 준비가 되어 있지 않은 상태로 우리를 내몰고 있습니다.
개발자들이 교육을 받지 못했다면 그건 그들의 잘못이 아니며, 이는 AppSec 팀 구성원이 적절한 역량 강화 프로그램을 추천함으로써 메워야 할 공백입니다. 이 프로그램은 개발자 커뮤니티 전체가 접근 가능하고(평가 가능하다는 건 말할 것도 없이) 활용할 수 있어야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 최우선 과제가 되어야 하며, 특히 개발자를 포함한 모든 구성원이 각자의 역할을 수행하는 데 필요한 권한을 부여받아야 합니다.
임베디드 시스템의 보안 문제 해결
버퍼 오버플로, 인젝션 취약점 및 비즈니스 로직 버그는 임베디드 시스템 개발에서 흔히 발생하는 함정입니다. 단일 차량이나 장치 내 마이크로컨트롤러 미로 깊숙이 숨겨진 이러한 문제들은 안전 측면에서 치명적일 수 있습니다.
버퍼 오버플로(Buffer Overflow)는 특히 빈번하게 발생하며, 이전에 언급한 에어프라이어(Air Fryer)의 보안 취약점(원격 코드 실행 가능)에 어떻게 기여했는지 자세히 알고 싶다면 CVE-2020-28592에 대한 이 보고서를 참조하십시오.
이제 실제 C/C++ 임베디드 코드에서 버퍼 오버플로 취약점을 익힐 때입니다. 이 도전을 통해 교묘한 버그의 원인이 되는 잘못된 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
어떻게 해결하셨나요? 임베디드 시스템 보안에 대한 정확하고 효과적인 교육을 원하시면 www.securecodewarrior.com을 방문하세요.
대중문화에는 불량한 인공지능과 로봇, 그리고 인간 주인을 공격하는 기기들에 대한 수많은 언급이 존재합니다. 이는 공상과학(SF)과 판타지에 깊이 뿌리내리고 있지만, 사물인터넷(IoT)과 연결된 기기들이 우리 가정에서 점점 더 보편화됨에 따라 사이버 보안과 안전에 대한 논의 역시 마찬가지여야 합니다. 소프트웨어는 어디에나 존재하며, 혁신과 편의를 가져다주는 모든 지능형 작업을 수행하기 위해 우리가 얼마나 많은 코드 줄에 의존하는지 잊기 쉽습니다. 웹 소프트웨어, API, 모바일 기기와 마찬가지로 임베디드 시스템의 취약한 코드도 공격자가 발견하면 악용될 수 있습니다.
비록 마이크로파 군대가 인류를 지배할 가능성은 희박하지만( 테슬라 로봇은 다소 우려스럽긴 해도), 사이버 공격으로 인한 악의적인 사이버 사건은 여전히 발생할 수 있습니다. 일부 자동차, 항공기 및 의료 기기 역시 핵심 작업을 수행하기 위해 복잡한 임베디드 시스템 코드에 의존하고 있으며, 이러한 장치들이 해킹당할 가능성은 단순히 우려스러운 수준을 넘어 치명적일 수 있습니다.
다른 모든 소프트웨어 유형과 마찬가지로, 개발자들은 제작 단계 초기부터 코드를 다루는 첫 번째 주체들입니다. 그리고 다른 모든 소프트웨어와 마찬가지로, 이 소프트웨어 역시 제품 출시 전까지 발견되지 않을 수 있는 교묘하고 흔한 취약점의 원인이 될 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 기업도 그들이 그 역할을 수행할 것을 기대해서는 안 됩니다. 그러나 그들은 자신들에게 영향을 미치는 유형의 위협에 대처하기 위해 훨씬 더 강력한 무기를 갖추게 될 수 있습니다. 임베디드 시스템은 주로 C 및 C++로 작성되며, 우리의 기술적 요구가 계속 진화함에 따라 점점 더 자주 사용될 것입니다. 따라서 이 환경의 도구에 대한 개발자 대상 보안 전문 교육이 필수적입니다.
폭발하는 에어프라이어, 불량 차량... 우리는 앉은 오리인가?
비록 안전한 개발과 관련된 몇 가지 표준과 규정이 존재하지만, 우리의 안전을 보장하기 위해서는 소프트웨어 보안의 모든 측면에서 훨씬 더 구체적이고 의미 있는 진전을 이루어야 합니다. 에어프라이어 해킹으로 인한 문제 발생 가능성을 생각하는 것이 과장된 것처럼 보일 수 있지만, 이는 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 함) 형태로 실제로 발생했으며, 차량 제어 장악으로 이어지는 취약점 역시 마찬가지입니다.
특히 차량은 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지 각각 미세 기능을 담당하는 다중 통합 시스템을 탑재하고 있어 매우 복잡합니다. Wi-Fi, 블루투스, GPS 등 점점 더 다양해지는 통신 기술과 결합된 커넥티드 카는 복잡한 디지털 인프라를 형성하며 다중 공격 경로에 노출됩니다. 2023년까지 전 세계적으로 7,630만 대의 커넥티드 카가 운행될 것으로 예상되는 만큼, 진정한 보안을 위해 구축해야 할 방어 기반의 거대한 벽이 될 것입니다.
MISRA는 임베디드 시스템과 관련된 위협에 효과적으로 대응하는 핵심 기관으로, 임베디드 시스템 환경에서 코드의 안전성, 보안성, 이식성 및 신뢰성을 촉진하기 위한 지침을 수립했습니다. 이러한 지침은 각 기업이 임베디드 시스템 프로젝트에서 준수해야 하는 표준의 초석이 됩니다.
그러나 이 기준 표준에 부합하는 코드를 작성하고 실행하려면, 해당 도구에 대한 신뢰는 물론 보안 수준까지 갖춘 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템 보안 역량 강화가 그렇게 특화된 것인가?
C 및 C++ 프로그래밍 언어는 현재 기준으로 노후화되었지만 여전히 널리 사용됩니다. 이 언어들은 임베디드 시스템 코드베이스의 핵심 기능을 구성하며, Embedded C/C++은 연결된 기기 세계에서 현대적이고 빛나는 삶을 누리고 있습니다.
이러한 언어들은 상당히 오래된 뿌리를 가지고 있으며, 주입 취약점이나 버퍼 오버런과 같은 일반적인 문제 측면에서 유사한 취약성 행동을 보이지만, 개발자들이 임베디드 시스템의 보안 결함을 실제로 완화하기 위해서는 작업 환경을 모방한 코드에 익숙해져야 합니다. 일반적인 C 언어 보안 관행에 대한 교육은 단순히 C 기반 환경에서 작업하는 데 더 많은 시간과 노력을 기울이는 것만큼 효과적이거나 기억에 남지 않을 것입니다.
현대식 차량에는 12개에서 100개 이상의 시스템이 통합되어 있으므로, 개발자들은 IDE 내에서 직접 무엇을 찾아야 하고 어떻게 해결해야 하는지에 대한 정확한 교육을 반드시 받아야 합니다.
임베디드 시스템의 보호는 기초 단계부터 시작되며, 이는 모두의 책임입니다.
많은 조직에서 현 상태는 개발 속도가 보안보다 우선시되는 것이며, 적어도 개발자의 책임 측면에서는 그렇습니다. 개발자의 보안 코드 작성 능력은 거의 평가받지 못하지만, 뛰어난 기능의 신속한 개발이 절대적인 기준이 됩니다. 소프트웨어 수요는 계속 증가할 것이지만, 이러한 문화는 취약점과 이를 악용하는 사이버 공격에 맞서 싸울 준비가 되어 있지 않은 상태로 우리를 내몰고 있습니다.
개발자들이 교육을 받지 못했다면 그건 그들의 잘못이 아니며, 이는 AppSec 팀 구성원이 적절한 역량 강화 프로그램을 추천함으로써 메워야 할 공백입니다. 이 프로그램은 개발자 커뮤니티 전체가 접근 가능하고(평가 가능하다는 건 말할 것도 없이) 활용할 수 있어야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 최우선 과제가 되어야 하며, 특히 개발자를 포함한 모든 구성원이 각자의 역할을 수행하는 데 필요한 권한을 부여받아야 합니다.
임베디드 시스템의 보안 문제 해결
버퍼 오버플로, 인젝션 취약점 및 비즈니스 로직 버그는 임베디드 시스템 개발에서 흔히 발생하는 함정입니다. 단일 차량이나 장치 내 마이크로컨트롤러 미로 깊숙이 숨겨진 이러한 문제들은 안전 측면에서 치명적일 수 있습니다.
버퍼 오버플로(Buffer Overflow)는 특히 빈번하게 발생하며, 이전에 언급한 에어프라이어(Air Fryer)의 보안 취약점(원격 코드 실행 가능)에 어떻게 기여했는지 자세히 알고 싶다면 CVE-2020-28592에 대한 이 보고서를 참조하십시오.
이제 실제 C/C++ 임베디드 코드에서 버퍼 오버플로 취약점을 익힐 때입니다. 이 도전을 통해 교묘한 버그의 원인이 되는 잘못된 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
어떻게 해결하셨나요? 임베디드 시스템 보안에 대한 정확하고 효과적인 교육을 원하시면 www.securecodewarrior.com을 방문하세요.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
대중문화에는 불량한 인공지능과 로봇, 그리고 인간 주인을 공격하는 기기들에 대한 수많은 언급이 존재합니다. 이는 공상과학(SF)과 판타지에 깊이 뿌리내리고 있지만, 사물인터넷(IoT)과 연결된 기기들이 우리 가정에서 점점 더 보편화됨에 따라 사이버 보안과 안전에 대한 논의 역시 마찬가지여야 합니다. 소프트웨어는 어디에나 존재하며, 혁신과 편의를 가져다주는 모든 지능형 작업을 수행하기 위해 우리가 얼마나 많은 코드 줄에 의존하는지 잊기 쉽습니다. 웹 소프트웨어, API, 모바일 기기와 마찬가지로 임베디드 시스템의 취약한 코드도 공격자가 발견하면 악용될 수 있습니다.
비록 마이크로파 군대가 인류를 지배할 가능성은 희박하지만( 테슬라 로봇은 다소 우려스럽긴 해도), 사이버 공격으로 인한 악의적인 사이버 사건은 여전히 발생할 수 있습니다. 일부 자동차, 항공기 및 의료 기기 역시 핵심 작업을 수행하기 위해 복잡한 임베디드 시스템 코드에 의존하고 있으며, 이러한 장치들이 해킹당할 가능성은 단순히 우려스러운 수준을 넘어 치명적일 수 있습니다.
다른 모든 소프트웨어 유형과 마찬가지로, 개발자들은 제작 단계 초기부터 코드를 다루는 첫 번째 주체들입니다. 그리고 다른 모든 소프트웨어와 마찬가지로, 이 소프트웨어 역시 제품 출시 전까지 발견되지 않을 수 있는 교묘하고 흔한 취약점의 원인이 될 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 기업도 그들이 그 역할을 수행할 것을 기대해서는 안 됩니다. 그러나 그들은 자신들에게 영향을 미치는 유형의 위협에 대처하기 위해 훨씬 더 강력한 무기를 갖추게 될 수 있습니다. 임베디드 시스템은 주로 C 및 C++로 작성되며, 우리의 기술적 요구가 계속 진화함에 따라 점점 더 자주 사용될 것입니다. 따라서 이 환경의 도구에 대한 개발자 대상 보안 전문 교육이 필수적입니다.
폭발하는 에어프라이어, 불량 차량... 우리는 앉은 오리인가?
비록 안전한 개발과 관련된 몇 가지 표준과 규정이 존재하지만, 우리의 안전을 보장하기 위해서는 소프트웨어 보안의 모든 측면에서 훨씬 더 구체적이고 의미 있는 진전을 이루어야 합니다. 에어프라이어 해킹으로 인한 문제 발생 가능성을 생각하는 것이 과장된 것처럼 보일 수 있지만, 이는 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 함) 형태로 실제로 발생했으며, 차량 제어 장악으로 이어지는 취약점 역시 마찬가지입니다.
특히 차량은 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지 각각 미세 기능을 담당하는 다중 통합 시스템을 탑재하고 있어 매우 복잡합니다. Wi-Fi, 블루투스, GPS 등 점점 더 다양해지는 통신 기술과 결합된 커넥티드 카는 복잡한 디지털 인프라를 형성하며 다중 공격 경로에 노출됩니다. 2023년까지 전 세계적으로 7,630만 대의 커넥티드 카가 운행될 것으로 예상되는 만큼, 진정한 보안을 위해 구축해야 할 방어 기반의 거대한 벽이 될 것입니다.
MISRA는 임베디드 시스템과 관련된 위협에 효과적으로 대응하는 핵심 기관으로, 임베디드 시스템 환경에서 코드의 안전성, 보안성, 이식성 및 신뢰성을 촉진하기 위한 지침을 수립했습니다. 이러한 지침은 각 기업이 임베디드 시스템 프로젝트에서 준수해야 하는 표준의 초석이 됩니다.
그러나 이 기준 표준에 부합하는 코드를 작성하고 실행하려면, 해당 도구에 대한 신뢰는 물론 보안 수준까지 갖춘 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템 보안 역량 강화가 그렇게 특화된 것인가?
C 및 C++ 프로그래밍 언어는 현재 기준으로 노후화되었지만 여전히 널리 사용됩니다. 이 언어들은 임베디드 시스템 코드베이스의 핵심 기능을 구성하며, Embedded C/C++은 연결된 기기 세계에서 현대적이고 빛나는 삶을 누리고 있습니다.
이러한 언어들은 상당히 오래된 뿌리를 가지고 있으며, 주입 취약점이나 버퍼 오버런과 같은 일반적인 문제 측면에서 유사한 취약성 행동을 보이지만, 개발자들이 임베디드 시스템의 보안 결함을 실제로 완화하기 위해서는 작업 환경을 모방한 코드에 익숙해져야 합니다. 일반적인 C 언어 보안 관행에 대한 교육은 단순히 C 기반 환경에서 작업하는 데 더 많은 시간과 노력을 기울이는 것만큼 효과적이거나 기억에 남지 않을 것입니다.
현대식 차량에는 12개에서 100개 이상의 시스템이 통합되어 있으므로, 개발자들은 IDE 내에서 직접 무엇을 찾아야 하고 어떻게 해결해야 하는지에 대한 정확한 교육을 반드시 받아야 합니다.
임베디드 시스템의 보호는 기초 단계부터 시작되며, 이는 모두의 책임입니다.
많은 조직에서 현 상태는 개발 속도가 보안보다 우선시되는 것이며, 적어도 개발자의 책임 측면에서는 그렇습니다. 개발자의 보안 코드 작성 능력은 거의 평가받지 못하지만, 뛰어난 기능의 신속한 개발이 절대적인 기준이 됩니다. 소프트웨어 수요는 계속 증가할 것이지만, 이러한 문화는 취약점과 이를 악용하는 사이버 공격에 맞서 싸울 준비가 되어 있지 않은 상태로 우리를 내몰고 있습니다.
개발자들이 교육을 받지 못했다면 그건 그들의 잘못이 아니며, 이는 AppSec 팀 구성원이 적절한 역량 강화 프로그램을 추천함으로써 메워야 할 공백입니다. 이 프로그램은 개발자 커뮤니티 전체가 접근 가능하고(평가 가능하다는 건 말할 것도 없이) 활용할 수 있어야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 최우선 과제가 되어야 하며, 특히 개발자를 포함한 모든 구성원이 각자의 역할을 수행하는 데 필요한 권한을 부여받아야 합니다.
임베디드 시스템의 보안 문제 해결
버퍼 오버플로, 인젝션 취약점 및 비즈니스 로직 버그는 임베디드 시스템 개발에서 흔히 발생하는 함정입니다. 단일 차량이나 장치 내 마이크로컨트롤러 미로 깊숙이 숨겨진 이러한 문제들은 안전 측면에서 치명적일 수 있습니다.
버퍼 오버플로(Buffer Overflow)는 특히 빈번하게 발생하며, 이전에 언급한 에어프라이어(Air Fryer)의 보안 취약점(원격 코드 실행 가능)에 어떻게 기여했는지 자세히 알고 싶다면 CVE-2020-28592에 대한 이 보고서를 참조하십시오.
이제 실제 C/C++ 임베디드 코드에서 버퍼 오버플로 취약점을 익힐 때입니다. 이 도전을 통해 교묘한 버그의 원인이 되는 잘못된 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
어떻게 해결하셨나요? 임베디드 시스템 보안에 대한 정확하고 효과적인 교육을 원하시면 www.securecodewarrior.com을 방문하세요.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
