스캐폴딩 학습이 개발자의 안전성을 강화하는 이유
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 금방 이해하게 될 것입니다. 매일같이 대규모 침해 사고, 새로운 취약점, 사이버 공격자와 범죄자들의 활발한 악용 위협이 보고되고 있습니다. 거의 모든 업계 지표와 보고서가 점점 더 위험해지는 사이버 위협의 증가를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측하고 있습니다.
이러한 새로운 위협에 직면하여, 사이버 보안 담당 일선 요원들은 지치고 인력이 부족합니다. 급여가 높고 모든 기업이나 조직에 거의 필수적임에도 불구하고, 모든 조직에 충분한 보안 인력이 공급되지 못하고 있습니다. 전략국제문제연구소(CSIS)의 최근 조사에 따르면, IT 의사결정권자의 82%가 소속 기관이 사이버보안 기술 인력 부족을 겪고 있다고 답했으며, 71%는 이로 인해 기관에 직접적이고 측정 가능한 피해가 발생했다고 밝혔습니다. 보고서에 따르면 미국에서만 52만 개 이상의 사이버 보안 일자리가 공석인 반면, 해당 분야에 종사하는 인력은 94만 명에 불과하다고 합니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 일자리가 공석 상태입니다. 이는 막대한 금액을 지불하고도 고위 전문가를 채용하고 유지하려는 조직조차 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직위는 다른 직종보다 채용 완료까지 약 21% 더 많은 시간이 소요되며, 이는 채용이 가능할 경우의 이야기입니다.
개발자 활성화는 너무 오랫동안 무시되어 왔습니다
우리는 수많은 이전 블로그 글에서 개발자들이 사이버 보안 방어 체계의 이러한 중대한 결함을 메우기 위해 요청받을 수 있음을 지적해 왔습니다. 문제는 전통적으로 개발자들이 사이버 보안 교육을 받은 적이 거의 없다는 점입니다. 그들의 업무 성과는 거의 전적으로 배포 속도와 기한에 기반해 평가되었습니다. 보안은 더 멀리 떨어진 애플리케이션 보안(AppSec) 팀에게 맡겨져 왔습니다.
안타깝게도 단순히 기어를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램의 보안을 강화하라고 요구하는 문제가 아닙니다. 그들이 이러한 변화를 수용할 준비가 되어 있더라도(실제로 많은 개발자들이 그러한 의지를 보인다는 조사 결과가 있습니다), 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 의미 있는 학습 기회를 확보하는 것이 첫 번째이자 종종 가장 큰 장애물입니다.
전 세계적으로 수백만 개의 고소득·고보안 IT 보안 직위가 공석으로 남아 있는 데는 이유가 있습니다. 쉬운 일이었다면 누구나 이 분야에 뛰어들었을 것입니다. 위협에 맞서고 코드의 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 환경은 끊임없이 변화합니다. 기술에 비교적 익숙한 개발자들에게조차 사이버보안을 가르치려는 시도는, 빠르게 구식이 되고 기억에 남지 않으며 긍정적 영향이 미미할 뿐인 정적인 교육으로 효과적으로 이루어질 수 없습니다. 특히 이미 과중한 업무 일정에 이러한 요구사항이 추가된다면 더욱 그렇습니다.
더 높은 지대에 도달하기 위해 비계를 설치하세요
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 발을 땅에 붙인 채로 초고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안과 같은 복잡한 분야의 수많은 고급 개념을 숙달하기 위한 필수 기초 지식이 부족하기 때문입니다. 이를 보완하기 위해 단계적 학습 개념을 활용할 수 있습니다.
단계적 또는 '계층적' 기술 향상 접근법을 사용할 때, 보다 포괄적인 주제는 일반적으로 별개의 학습 경험이나 개념으로 분할됩니다. 이는 학생들이 각 구성 요소에 필요한 모든 지원을 제공받으며 적절한 연습과 지도를 통해 각 개념을 숙달할 수 있도록 보장합니다. 이미 숙달된 개념 위에 더 새롭고 고급 개념이 추가되는 방식은 마치 건물이 올라감에 따라 물리적 비계가 세워지는 것과 같습니다. 이를 통해 학생들은 도움 없이 습득할 수 있는 수준을 넘어선 이해력과 기술 습득 단계에 도달할 수 있습니다.
물리적인 비계와 마찬가지로, 이 지원은 더 이상 필요하지 않을 때 점차 제거되며, 학생들이 더 능숙해질수록 그들에게 더 큰 책임이 부여됩니다.
스캐폴딩 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 좌절감, 위축감 또는 낙담감을 느낄 수 있는 부정적인 감정과 자기 인식을 줄이는 데 사용됩니다. 그러나 현대 사이버 보안과 같은 극도로 어려운 개념을 다룰 때에도 매우 유용할 수 있습니다. 개발자를 어린아이처럼 대하는 방식과는 거리가 먼 이 방법은, 특히 그들의 노력이 버그 수정과 새로운 비판으로 보답받을 때 보안 팀과의 경험이 똑같이 좌절감과 의욕 상실을 유발할 수 있는 상황에서 매우 유용합니다.
개발자가 보안 코딩의 기본 원칙을 이해할 수 있는 도구(일반적으로 OWASP Top 10부터 시작)를 보유하게 되면, 보안 결함이 어떻게 발생하는지, 왜 위험한지, 그리고 실제 배포 전에 이를 어떻게 해결할 수 있는지 직접 확인할 수 있습니다. 이를 바탕으로 더 복잡한 취약점을 해결하고 올바른 수정 사항을 적용하는 실무 경험을 쌓으며 지식을 심화할 수 있습니다. 계층은 조금씩 확대되고, 보안이 취약한 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제의 경우, 이러한 진전이 그렇게 어렵게 느껴지지 않고 정확하게 접근할 수 있게 됩니다.
산업으로서 우리는 개발자들이 보안 전문가가 되기를 기대해서는 안 되지만, 조직들은 개발자들이 더 나은 품질의 소프트웨어를 생산할 수 있도록 돕기 위한 새로운 표준을 채택할 수 있습니다. 추가적으로, 엔지니어링 역량을 지속적으로 향상시키는 조직의 경우, 학습 과정의 각 단계 또는 각 단계별 기반 구축은 곧바로 향상된 사이버 보안으로 이어질 것입니다. 결과를 보기 위해 과정이 끝날 때까지 기다릴 필요가 없습니다.
사이버 보안에 대해 알아보는 것은 어렵고, 적절한 도움과 지침 없이는 이를 숙달하는 것은 거의 불가능합니다. 체계적인 학습이 동반된 보안 프로그램을 도입하면 그 효과를 최대한 활용할 수 있으며, 그 혜택은 거의 즉시 드러납니다. 개선은 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
산업으로서 우리는 개발자들이 보안 전문가가 되기를 기대해서는 안 되지만, 조직들은 개발자들이 더 나은 품질의 소프트웨어를 생산할 수 있도록 돕기 위한 새로운 표준을 채택할 수 있습니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 금방 이해하게 될 것입니다. 매일같이 대규모 침해 사고, 새로운 취약점, 사이버 공격자와 범죄자들의 활발한 악용 위협이 보고되고 있습니다. 거의 모든 업계 지표와 보고서가 점점 더 위험해지는 사이버 위협의 증가를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측하고 있습니다.
이러한 새로운 위협에 직면하여, 사이버 보안 담당 일선 요원들은 지치고 인력이 부족합니다. 급여가 높고 모든 기업이나 조직에 거의 필수적임에도 불구하고, 모든 조직에 충분한 보안 인력이 공급되지 못하고 있습니다. 전략국제문제연구소(CSIS)의 최근 조사에 따르면, IT 의사결정권자의 82%가 소속 기관이 사이버보안 기술 인력 부족을 겪고 있다고 답했으며, 71%는 이로 인해 기관에 직접적이고 측정 가능한 피해가 발생했다고 밝혔습니다. 보고서에 따르면 미국에서만 52만 개 이상의 사이버 보안 일자리가 공석인 반면, 해당 분야에 종사하는 인력은 94만 명에 불과하다고 합니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 일자리가 공석 상태입니다. 이는 막대한 금액을 지불하고도 고위 전문가를 채용하고 유지하려는 조직조차 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직위는 다른 직종보다 채용 완료까지 약 21% 더 많은 시간이 소요되며, 이는 채용이 가능할 경우의 이야기입니다.
개발자 활성화는 너무 오랫동안 무시되어 왔습니다
우리는 수많은 이전 블로그 글에서 개발자들이 사이버 보안 방어 체계의 이러한 중대한 결함을 메우기 위해 요청받을 수 있음을 지적해 왔습니다. 문제는 전통적으로 개발자들이 사이버 보안 교육을 받은 적이 거의 없다는 점입니다. 그들의 업무 성과는 거의 전적으로 배포 속도와 기한에 기반해 평가되었습니다. 보안은 더 멀리 떨어진 애플리케이션 보안(AppSec) 팀에게 맡겨져 왔습니다.
안타깝게도 단순히 기어를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램의 보안을 강화하라고 요구하는 문제가 아닙니다. 그들이 이러한 변화를 수용할 준비가 되어 있더라도(실제로 많은 개발자들이 그러한 의지를 보인다는 조사 결과가 있습니다), 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 의미 있는 학습 기회를 확보하는 것이 첫 번째이자 종종 가장 큰 장애물입니다.
전 세계적으로 수백만 개의 고소득·고보안 IT 보안 직위가 공석으로 남아 있는 데는 이유가 있습니다. 쉬운 일이었다면 누구나 이 분야에 뛰어들었을 것입니다. 위협에 맞서고 코드의 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 환경은 끊임없이 변화합니다. 기술에 비교적 익숙한 개발자들에게조차 사이버보안을 가르치려는 시도는, 빠르게 구식이 되고 기억에 남지 않으며 긍정적 영향이 미미할 뿐인 정적인 교육으로 효과적으로 이루어질 수 없습니다. 특히 이미 과중한 업무 일정에 이러한 요구사항이 추가된다면 더욱 그렇습니다.
더 높은 지대에 도달하기 위해 비계를 설치하세요
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 발을 땅에 붙인 채로 초고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안과 같은 복잡한 분야의 수많은 고급 개념을 숙달하기 위한 필수 기초 지식이 부족하기 때문입니다. 이를 보완하기 위해 단계적 학습 개념을 활용할 수 있습니다.
단계적 또는 '계층적' 기술 향상 접근법을 사용할 때, 보다 포괄적인 주제는 일반적으로 별개의 학습 경험이나 개념으로 분할됩니다. 이는 학생들이 각 구성 요소에 필요한 모든 지원을 제공받으며 적절한 연습과 지도를 통해 각 개념을 숙달할 수 있도록 보장합니다. 이미 숙달된 개념 위에 더 새롭고 고급 개념이 추가되는 방식은 마치 건물이 올라감에 따라 물리적 비계가 세워지는 것과 같습니다. 이를 통해 학생들은 도움 없이 습득할 수 있는 수준을 넘어선 이해력과 기술 습득 단계에 도달할 수 있습니다.
물리적인 비계와 마찬가지로, 이 지원은 더 이상 필요하지 않을 때 점차 제거되며, 학생들이 더 능숙해질수록 그들에게 더 큰 책임이 부여됩니다.
스캐폴딩 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 좌절감, 위축감 또는 낙담감을 느낄 수 있는 부정적인 감정과 자기 인식을 줄이는 데 사용됩니다. 그러나 현대 사이버 보안과 같은 극도로 어려운 개념을 다룰 때에도 매우 유용할 수 있습니다. 개발자를 어린아이처럼 대하는 방식과는 거리가 먼 이 방법은, 특히 그들의 노력이 버그 수정과 새로운 비판으로 보답받을 때 보안 팀과의 경험이 똑같이 좌절감과 의욕 상실을 유발할 수 있는 상황에서 매우 유용합니다.
개발자가 보안 코딩의 기본 원칙을 이해할 수 있는 도구(일반적으로 OWASP Top 10부터 시작)를 보유하게 되면, 보안 결함이 어떻게 발생하는지, 왜 위험한지, 그리고 실제 배포 전에 이를 어떻게 해결할 수 있는지 직접 확인할 수 있습니다. 이를 바탕으로 더 복잡한 취약점을 해결하고 올바른 수정 사항을 적용하는 실무 경험을 쌓으며 지식을 심화할 수 있습니다. 계층은 조금씩 확대되고, 보안이 취약한 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제의 경우, 이러한 진전이 그렇게 어렵게 느껴지지 않고 정확하게 접근할 수 있게 됩니다.
산업으로서 우리는 개발자들이 보안 전문가가 되기를 기대해서는 안 되지만, 조직들은 개발자들이 더 나은 품질의 소프트웨어를 생산할 수 있도록 돕기 위한 새로운 표준을 채택할 수 있습니다. 추가적으로, 엔지니어링 역량을 지속적으로 향상시키는 조직의 경우, 학습 과정의 각 단계 또는 각 단계별 기반 구축은 곧바로 향상된 사이버 보안으로 이어질 것입니다. 결과를 보기 위해 과정이 끝날 때까지 기다릴 필요가 없습니다.
사이버 보안에 대해 알아보는 것은 어렵고, 적절한 도움과 지침 없이는 이를 숙달하는 것은 거의 불가능합니다. 체계적인 학습이 동반된 보안 프로그램을 도입하면 그 효과를 최대한 활용할 수 있으며, 그 혜택은 거의 즉시 드러납니다. 개선은 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 금방 이해하게 될 것입니다. 매일같이 대규모 침해 사고, 새로운 취약점, 사이버 공격자와 범죄자들의 활발한 악용 위협이 보고되고 있습니다. 거의 모든 업계 지표와 보고서가 점점 더 위험해지는 사이버 위협의 증가를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측하고 있습니다.
이러한 새로운 위협에 직면하여, 사이버 보안 담당 일선 요원들은 지치고 인력이 부족합니다. 급여가 높고 모든 기업이나 조직에 거의 필수적임에도 불구하고, 모든 조직에 충분한 보안 인력이 공급되지 못하고 있습니다. 전략국제문제연구소(CSIS)의 최근 조사에 따르면, IT 의사결정권자의 82%가 소속 기관이 사이버보안 기술 인력 부족을 겪고 있다고 답했으며, 71%는 이로 인해 기관에 직접적이고 측정 가능한 피해가 발생했다고 밝혔습니다. 보고서에 따르면 미국에서만 52만 개 이상의 사이버 보안 일자리가 공석인 반면, 해당 분야에 종사하는 인력은 94만 명에 불과하다고 합니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 일자리가 공석 상태입니다. 이는 막대한 금액을 지불하고도 고위 전문가를 채용하고 유지하려는 조직조차 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직위는 다른 직종보다 채용 완료까지 약 21% 더 많은 시간이 소요되며, 이는 채용이 가능할 경우의 이야기입니다.
개발자 활성화는 너무 오랫동안 무시되어 왔습니다
우리는 수많은 이전 블로그 글에서 개발자들이 사이버 보안 방어 체계의 이러한 중대한 결함을 메우기 위해 요청받을 수 있음을 지적해 왔습니다. 문제는 전통적으로 개발자들이 사이버 보안 교육을 받은 적이 거의 없다는 점입니다. 그들의 업무 성과는 거의 전적으로 배포 속도와 기한에 기반해 평가되었습니다. 보안은 더 멀리 떨어진 애플리케이션 보안(AppSec) 팀에게 맡겨져 왔습니다.
안타깝게도 단순히 기어를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램의 보안을 강화하라고 요구하는 문제가 아닙니다. 그들이 이러한 변화를 수용할 준비가 되어 있더라도(실제로 많은 개발자들이 그러한 의지를 보인다는 조사 결과가 있습니다), 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 의미 있는 학습 기회를 확보하는 것이 첫 번째이자 종종 가장 큰 장애물입니다.
전 세계적으로 수백만 개의 고소득·고보안 IT 보안 직위가 공석으로 남아 있는 데는 이유가 있습니다. 쉬운 일이었다면 누구나 이 분야에 뛰어들었을 것입니다. 위협에 맞서고 코드의 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 환경은 끊임없이 변화합니다. 기술에 비교적 익숙한 개발자들에게조차 사이버보안을 가르치려는 시도는, 빠르게 구식이 되고 기억에 남지 않으며 긍정적 영향이 미미할 뿐인 정적인 교육으로 효과적으로 이루어질 수 없습니다. 특히 이미 과중한 업무 일정에 이러한 요구사항이 추가된다면 더욱 그렇습니다.
더 높은 지대에 도달하기 위해 비계를 설치하세요
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 발을 땅에 붙인 채로 초고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안과 같은 복잡한 분야의 수많은 고급 개념을 숙달하기 위한 필수 기초 지식이 부족하기 때문입니다. 이를 보완하기 위해 단계적 학습 개념을 활용할 수 있습니다.
단계적 또는 '계층적' 기술 향상 접근법을 사용할 때, 보다 포괄적인 주제는 일반적으로 별개의 학습 경험이나 개념으로 분할됩니다. 이는 학생들이 각 구성 요소에 필요한 모든 지원을 제공받으며 적절한 연습과 지도를 통해 각 개념을 숙달할 수 있도록 보장합니다. 이미 숙달된 개념 위에 더 새롭고 고급 개념이 추가되는 방식은 마치 건물이 올라감에 따라 물리적 비계가 세워지는 것과 같습니다. 이를 통해 학생들은 도움 없이 습득할 수 있는 수준을 넘어선 이해력과 기술 습득 단계에 도달할 수 있습니다.
물리적인 비계와 마찬가지로, 이 지원은 더 이상 필요하지 않을 때 점차 제거되며, 학생들이 더 능숙해질수록 그들에게 더 큰 책임이 부여됩니다.
스캐폴딩 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 좌절감, 위축감 또는 낙담감을 느낄 수 있는 부정적인 감정과 자기 인식을 줄이는 데 사용됩니다. 그러나 현대 사이버 보안과 같은 극도로 어려운 개념을 다룰 때에도 매우 유용할 수 있습니다. 개발자를 어린아이처럼 대하는 방식과는 거리가 먼 이 방법은, 특히 그들의 노력이 버그 수정과 새로운 비판으로 보답받을 때 보안 팀과의 경험이 똑같이 좌절감과 의욕 상실을 유발할 수 있는 상황에서 매우 유용합니다.
개발자가 보안 코딩의 기본 원칙을 이해할 수 있는 도구(일반적으로 OWASP Top 10부터 시작)를 보유하게 되면, 보안 결함이 어떻게 발생하는지, 왜 위험한지, 그리고 실제 배포 전에 이를 어떻게 해결할 수 있는지 직접 확인할 수 있습니다. 이를 바탕으로 더 복잡한 취약점을 해결하고 올바른 수정 사항을 적용하는 실무 경험을 쌓으며 지식을 심화할 수 있습니다. 계층은 조금씩 확대되고, 보안이 취약한 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제의 경우, 이러한 진전이 그렇게 어렵게 느껴지지 않고 정확하게 접근할 수 있게 됩니다.
산업으로서 우리는 개발자들이 보안 전문가가 되기를 기대해서는 안 되지만, 조직들은 개발자들이 더 나은 품질의 소프트웨어를 생산할 수 있도록 돕기 위한 새로운 표준을 채택할 수 있습니다. 추가적으로, 엔지니어링 역량을 지속적으로 향상시키는 조직의 경우, 학습 과정의 각 단계 또는 각 단계별 기반 구축은 곧바로 향상된 사이버 보안으로 이어질 것입니다. 결과를 보기 위해 과정이 끝날 때까지 기다릴 필요가 없습니다.
사이버 보안에 대해 알아보는 것은 어렵고, 적절한 도움과 지침 없이는 이를 숙달하는 것은 거의 불가능합니다. 체계적인 학습이 동반된 보안 프로그램을 도입하면 그 효과를 최대한 활용할 수 있으며, 그 혜택은 거의 즉시 드러납니다. 개선은 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 금방 이해하게 될 것입니다. 매일같이 대규모 침해 사고, 새로운 취약점, 사이버 공격자와 범죄자들의 활발한 악용 위협이 보고되고 있습니다. 거의 모든 업계 지표와 보고서가 점점 더 위험해지는 사이버 위협의 증가를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측하고 있습니다.
이러한 새로운 위협에 직면하여, 사이버 보안 담당 일선 요원들은 지치고 인력이 부족합니다. 급여가 높고 모든 기업이나 조직에 거의 필수적임에도 불구하고, 모든 조직에 충분한 보안 인력이 공급되지 못하고 있습니다. 전략국제문제연구소(CSIS)의 최근 조사에 따르면, IT 의사결정권자의 82%가 소속 기관이 사이버보안 기술 인력 부족을 겪고 있다고 답했으며, 71%는 이로 인해 기관에 직접적이고 측정 가능한 피해가 발생했다고 밝혔습니다. 보고서에 따르면 미국에서만 52만 개 이상의 사이버 보안 일자리가 공석인 반면, 해당 분야에 종사하는 인력은 94만 명에 불과하다고 합니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 일자리가 공석 상태입니다. 이는 막대한 금액을 지불하고도 고위 전문가를 채용하고 유지하려는 조직조차 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직위는 다른 직종보다 채용 완료까지 약 21% 더 많은 시간이 소요되며, 이는 채용이 가능할 경우의 이야기입니다.
개발자 활성화는 너무 오랫동안 무시되어 왔습니다
우리는 수많은 이전 블로그 글에서 개발자들이 사이버 보안 방어 체계의 이러한 중대한 결함을 메우기 위해 요청받을 수 있음을 지적해 왔습니다. 문제는 전통적으로 개발자들이 사이버 보안 교육을 받은 적이 거의 없다는 점입니다. 그들의 업무 성과는 거의 전적으로 배포 속도와 기한에 기반해 평가되었습니다. 보안은 더 멀리 떨어진 애플리케이션 보안(AppSec) 팀에게 맡겨져 왔습니다.
안타깝게도 단순히 기어를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램의 보안을 강화하라고 요구하는 문제가 아닙니다. 그들이 이러한 변화를 수용할 준비가 되어 있더라도(실제로 많은 개발자들이 그러한 의지를 보인다는 조사 결과가 있습니다), 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 의미 있는 학습 기회를 확보하는 것이 첫 번째이자 종종 가장 큰 장애물입니다.
전 세계적으로 수백만 개의 고소득·고보안 IT 보안 직위가 공석으로 남아 있는 데는 이유가 있습니다. 쉬운 일이었다면 누구나 이 분야에 뛰어들었을 것입니다. 위협에 맞서고 코드의 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 환경은 끊임없이 변화합니다. 기술에 비교적 익숙한 개발자들에게조차 사이버보안을 가르치려는 시도는, 빠르게 구식이 되고 기억에 남지 않으며 긍정적 영향이 미미할 뿐인 정적인 교육으로 효과적으로 이루어질 수 없습니다. 특히 이미 과중한 업무 일정에 이러한 요구사항이 추가된다면 더욱 그렇습니다.
더 높은 지대에 도달하기 위해 비계를 설치하세요
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 발을 땅에 붙인 채로 초고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안과 같은 복잡한 분야의 수많은 고급 개념을 숙달하기 위한 필수 기초 지식이 부족하기 때문입니다. 이를 보완하기 위해 단계적 학습 개념을 활용할 수 있습니다.
단계적 또는 '계층적' 기술 향상 접근법을 사용할 때, 보다 포괄적인 주제는 일반적으로 별개의 학습 경험이나 개념으로 분할됩니다. 이는 학생들이 각 구성 요소에 필요한 모든 지원을 제공받으며 적절한 연습과 지도를 통해 각 개념을 숙달할 수 있도록 보장합니다. 이미 숙달된 개념 위에 더 새롭고 고급 개념이 추가되는 방식은 마치 건물이 올라감에 따라 물리적 비계가 세워지는 것과 같습니다. 이를 통해 학생들은 도움 없이 습득할 수 있는 수준을 넘어선 이해력과 기술 습득 단계에 도달할 수 있습니다.
물리적인 비계와 마찬가지로, 이 지원은 더 이상 필요하지 않을 때 점차 제거되며, 학생들이 더 능숙해질수록 그들에게 더 큰 책임이 부여됩니다.
스캐폴딩 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 좌절감, 위축감 또는 낙담감을 느낄 수 있는 부정적인 감정과 자기 인식을 줄이는 데 사용됩니다. 그러나 현대 사이버 보안과 같은 극도로 어려운 개념을 다룰 때에도 매우 유용할 수 있습니다. 개발자를 어린아이처럼 대하는 방식과는 거리가 먼 이 방법은, 특히 그들의 노력이 버그 수정과 새로운 비판으로 보답받을 때 보안 팀과의 경험이 똑같이 좌절감과 의욕 상실을 유발할 수 있는 상황에서 매우 유용합니다.
개발자가 보안 코딩의 기본 원칙을 이해할 수 있는 도구(일반적으로 OWASP Top 10부터 시작)를 보유하게 되면, 보안 결함이 어떻게 발생하는지, 왜 위험한지, 그리고 실제 배포 전에 이를 어떻게 해결할 수 있는지 직접 확인할 수 있습니다. 이를 바탕으로 더 복잡한 취약점을 해결하고 올바른 수정 사항을 적용하는 실무 경험을 쌓으며 지식을 심화할 수 있습니다. 계층은 조금씩 확대되고, 보안이 취약한 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제의 경우, 이러한 진전이 그렇게 어렵게 느껴지지 않고 정확하게 접근할 수 있게 됩니다.
산업으로서 우리는 개발자들이 보안 전문가가 되기를 기대해서는 안 되지만, 조직들은 개발자들이 더 나은 품질의 소프트웨어를 생산할 수 있도록 돕기 위한 새로운 표준을 채택할 수 있습니다. 추가적으로, 엔지니어링 역량을 지속적으로 향상시키는 조직의 경우, 학습 과정의 각 단계 또는 각 단계별 기반 구축은 곧바로 향상된 사이버 보안으로 이어질 것입니다. 결과를 보기 위해 과정이 끝날 때까지 기다릴 필요가 없습니다.
사이버 보안에 대해 알아보는 것은 어렵고, 적절한 도움과 지침 없이는 이를 숙달하는 것은 거의 불가능합니다. 체계적인 학습이 동반된 보안 프로그램을 도입하면 그 효과를 최대한 활용할 수 있으며, 그 혜택은 거의 즉시 드러납니다. 개선은 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
