SQL 인젝션이 애플리케이션 보안 세계의 바퀴벌레인 이유(그리고 CISO가 이를 영원히 근절하는 방법)
잘 알려진 이론에 따르면 바퀴벌레는 핵폭발을 포함해 거의 모든 것을 견딜 수 있다고 한다. 비록 이 이론이 어느 정도만 사실이지만, 그들의 단순한 신체 구조는 몸집에 비해 극도로 강인하게 만들고 대부분의 환경에서 박멸하기 어렵게 만든다.
나는 생각했다... 만약 디지털 세계에 바퀴벌레에 상응하는 존재가 있다면, 그것은 코드 내 SQL 인젝션 취약점(SQLi)이어야 한다고. 이 취약점은 20년 넘게 알려져 왔지만, 조직들은 여전히 반복적으로 피해를 입고 있다. 타겟(Target)을 대상으로 한 광범위하고 막대한 피해를 입힌 공격 역시 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사건에서도 20만 명의 유권자 기록이 유출되어 FBI가 모든 IT 관리자들에게 보안 관행을 신속히 강화할 것을 권고하게 된 사례가 있습니다.
디임페르바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 데이터 유출 사건의 83%에서 SQLi 공격이 사용된 것으로 나타났습니다. 오늘날에도 인젝션 관련 취약점은 OWASP Top 10에서 여전히 주요 위협으로 남아 있습니다. 이들은 비교적 단순하지만, 결코 사라지지 않을 것입니다.
이 같은 취약점이 여전히 상당수의 애플리케이션 보안 분석에서 발견된다는 사실은 우습게 느껴질 정도입니다. 우리는 그 작동 방식과 차단 방법을 알고 있습니다. 어떻게 이런 일이 가능할까요? 진실은 우리 소프트웨어의 보안이 여전히 개선의 여지가 있다는 점입니다.
베라코드 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반 »은 충격적인 통계를 공개했습니다: 단 30%의 애플리케이션만이 OWASP Top 10 정책을 충족했습니다. 이 문제는 지난 5년간 반복적으로 나타났으며, 최근 스캔된 애플리케이션 3개 중 1개에서 SQL 인젝션이 발견되었습니다. 이는 만연한 문제의 증거입니다. 우리는 실수로부터 교훈을 얻지 못하고 있으며, IT 보안 책임자들은 보안 분야에서 충분한 인재를 채용하는 데 어려움을 겪고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 100명당 1명 정도로 부족합니다.
소프트웨어 보안은 왜 생존 모드에 놓여 있는가?
보안 전문가가 부족하다는 것은 공공연한 비밀이지만, 개발자들이 문제가 발생할 때마다 해결하지 못하고 있으며 취약점을 처음부터 도입하지 않도록 충분히 대비하지 못하고 있다는 점에도 주의를 기울여야 합니다. Veracode의 동일한 보고서에서 개발 관련 취약점 전체의 14.4%에 대해서만 문서화된 완화 조치가 마련되어 있는 것으로 드러났습니다. 즉, 대부분의 취약점은 개발 관련 완화 조치 없이 제출된 것입니다. 90일 이내에 수정된 취약점은 3분의 1 미만이었으며, 개발 기간 동안 42%의 취약점은 전혀 수정되지 않았습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 논의합니다. 흥미롭게도 많은 기업들이 탐지된 취약점 중 완화할 수 없는 것들의 수(거짓양성이라는 골칫거리는 물론)에 너무 좌절하여 결국 취약점 탐색 자체를 완전히 중단한 채, 그냥 운에 맡기고 모든 게 잘 되길 바라고 있습니다.
왜 애플리케이션 보안 전문가들은 이런 일이 발생하도록 내버려 두는가?
오해하지 마십시오: AppSec 사용자들은 코드 문제에 대해 매우 잘 알고 있습니다. 결국, 이는 그들을 팀의 소중한 인재로 만드는 핵심 역량 중 하나입니다. 그러나 그들은 종종 여러 요인에 의해 제약을 받습니다.
예를 들어, 애플리케이션 보안(AppSec) 담당자는 문제를 발견하고 개발자에게 "코드를 수정해 주실 수 있나요?"라고 요청할 것입니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 기능 제공을 위한 엄격한 스프린트 일정을 맞추느라 너무 바빠서 이러한 문제를 해결할 시간도, 적절한 도구도 없습니다. 애플리케이션 보안 전문가들 스스로는 취약점을 식별할 수 있을지 모르나, 현장에서 이를 바로 해결할 수 있는 기술 및/또는 접근 권한이 부족한 경우가 많습니다.
또한 우리는 각 문제마다 해결책을 찾아 구현한 후 테스트해야 한다는 점을 인식해야 합니다. 코드에서 발견된 사소한 문제조차 해결하는 데 소요되는 시간은 물론 필요한 자원이 막대합니다. 소프트웨어에는 700개 이상의 취약점이 존재할 수 있으며, 한 사람이 이 모든 취약점을 방어하는 것은 불가능합니다. 이 때문에 대부분의 기업은 OWASP 상위 10개 취약점만 다루는 데 그칩니다. 그 사이 개발자들은 계속해서 기능을 추가하며, 결국 자신이 작성한 코드에 취약점을 도입하게 됩니다.
해결책은 무엇입니까?
사실 우리는 개발자들에게 안전한 코딩의 성공을 촉진하기 위한 필수적인 도구와 교육을 제공하지 않습니다. 기업들이 개발자들이 적절한 보안 역량을 갖추도록 보장하도록 강제하는 규정은 없으며, 안타까운 현실은 대부분의 대학과 인턴십 프로그램 역시 신입 개발자들이 안전하게 코딩할 수 있도록 준비시키지 못한다는 점입니다.
누군가 비행기를 조종하고자 할 때, 비행 전에 반드시 거쳐야 하는 매우 엄격한 절차가 존재합니다. 이 과정은 훈련, 실무 경험, 건강 검진, 안전 지식, 그리고 시험을 보장합니다. 이처럼 철저한 준비와 능력 검증을 거치지 않고 하늘에 내버려질 것이라고는 아무도 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
우리는 개발자들에게 안전한 코드 작성을 교육하는 데 시간을 투자해야 합니다. 그러나 소프트웨어 개발이 빠르게 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 현실에서는 이 일이 결코 우선순위로 여겨지지 않습니다. 이제 대화를 전환할 때입니다.
세계경제포럼의 최근 제목은 "보안 없이는 디지털 경제도 없다"고 외쳤으며, 관련 내용은 모든 디지털 전환 전략의 핵심에 보안을 두어야 할 필요성을 강조했습니다. "보안은 기업을 보호하고 혁신을 가능하게 하며 새로운 제품과 서비스를 창출하게 합니다. 방어적 역할에 그치지 않고, 보안은 기업에 성장 측면에서 전략적 이점을 제공합니다."
보안 코딩 역량과 성과 향상은 조직에 강력한 사이버 보호 계층을 추가하여 보다 효율적이고 신속한 코드 개발을 지원합니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 최전선 방어 역할을 수행할 수 있도록 실질적이고 긍정적인 역량 강화가 필요합니다. 개발자들은 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑한 사람들입니다. 창의적으로 문제를 해결할 줄 알며, 일반적으로 자신의 역량을 발전시키고자 합니다. 그들이 받을 만한 전문 교육을 통해 그들의 강점을 활용하고, 더 엄격한 소프트웨어 보안 기준을 준수하겠다는 약속을 하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하고자 할 때, 비행 전에 반드시 거쳐야 하는 매우 엄격한 절차가 존재합니다. 이 과정은 훈련, 실무 경험, 건강 검진, 안전 지식, 그리고 시험을 보장합니다. 이처럼 철저한 준비와 능력 검증을 거치지 않고 하늘에 내버려질 것이라고는 아무도 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
잘 알려진 이론에 따르면 바퀴벌레는 핵폭발을 포함해 거의 모든 것을 견딜 수 있다고 한다. 비록 이 이론이 어느 정도만 사실이지만, 그들의 단순한 신체 구조는 몸집에 비해 극도로 강인하게 만들고 대부분의 환경에서 박멸하기 어렵게 만든다.
나는 생각했다... 만약 디지털 세계에 바퀴벌레에 상응하는 존재가 있다면, 그것은 코드 내 SQL 인젝션 취약점(SQLi)이어야 한다고. 이 취약점은 20년 넘게 알려져 왔지만, 조직들은 여전히 반복적으로 피해를 입고 있다. 타겟(Target)을 대상으로 한 광범위하고 막대한 피해를 입힌 공격 역시 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사건에서도 20만 명의 유권자 기록이 유출되어 FBI가 모든 IT 관리자들에게 보안 관행을 신속히 강화할 것을 권고하게 된 사례가 있습니다.
디임페르바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 데이터 유출 사건의 83%에서 SQLi 공격이 사용된 것으로 나타났습니다. 오늘날에도 인젝션 관련 취약점은 OWASP Top 10에서 여전히 주요 위협으로 남아 있습니다. 이들은 비교적 단순하지만, 결코 사라지지 않을 것입니다.
이 같은 취약점이 여전히 상당수의 애플리케이션 보안 분석에서 발견된다는 사실은 우습게 느껴질 정도입니다. 우리는 그 작동 방식과 차단 방법을 알고 있습니다. 어떻게 이런 일이 가능할까요? 진실은 우리 소프트웨어의 보안이 여전히 개선의 여지가 있다는 점입니다.
베라코드 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반 »은 충격적인 통계를 공개했습니다: 단 30%의 애플리케이션만이 OWASP Top 10 정책을 충족했습니다. 이 문제는 지난 5년간 반복적으로 나타났으며, 최근 스캔된 애플리케이션 3개 중 1개에서 SQL 인젝션이 발견되었습니다. 이는 만연한 문제의 증거입니다. 우리는 실수로부터 교훈을 얻지 못하고 있으며, IT 보안 책임자들은 보안 분야에서 충분한 인재를 채용하는 데 어려움을 겪고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 100명당 1명 정도로 부족합니다.
소프트웨어 보안은 왜 생존 모드에 놓여 있는가?
보안 전문가가 부족하다는 것은 공공연한 비밀이지만, 개발자들이 문제가 발생할 때마다 해결하지 못하고 있으며 취약점을 처음부터 도입하지 않도록 충분히 대비하지 못하고 있다는 점에도 주의를 기울여야 합니다. Veracode의 동일한 보고서에서 개발 관련 취약점 전체의 14.4%에 대해서만 문서화된 완화 조치가 마련되어 있는 것으로 드러났습니다. 즉, 대부분의 취약점은 개발 관련 완화 조치 없이 제출된 것입니다. 90일 이내에 수정된 취약점은 3분의 1 미만이었으며, 개발 기간 동안 42%의 취약점은 전혀 수정되지 않았습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 논의합니다. 흥미롭게도 많은 기업들이 탐지된 취약점 중 완화할 수 없는 것들의 수(거짓양성이라는 골칫거리는 물론)에 너무 좌절하여 결국 취약점 탐색 자체를 완전히 중단한 채, 그냥 운에 맡기고 모든 게 잘 되길 바라고 있습니다.
왜 애플리케이션 보안 전문가들은 이런 일이 발생하도록 내버려 두는가?
오해하지 마십시오: AppSec 사용자들은 코드 문제에 대해 매우 잘 알고 있습니다. 결국, 이는 그들을 팀의 소중한 인재로 만드는 핵심 역량 중 하나입니다. 그러나 그들은 종종 여러 요인에 의해 제약을 받습니다.
예를 들어, 애플리케이션 보안(AppSec) 담당자는 문제를 발견하고 개발자에게 "코드를 수정해 주실 수 있나요?"라고 요청할 것입니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 기능 제공을 위한 엄격한 스프린트 일정을 맞추느라 너무 바빠서 이러한 문제를 해결할 시간도, 적절한 도구도 없습니다. 애플리케이션 보안 전문가들 스스로는 취약점을 식별할 수 있을지 모르나, 현장에서 이를 바로 해결할 수 있는 기술 및/또는 접근 권한이 부족한 경우가 많습니다.
또한 우리는 각 문제마다 해결책을 찾아 구현한 후 테스트해야 한다는 점을 인식해야 합니다. 코드에서 발견된 사소한 문제조차 해결하는 데 소요되는 시간은 물론 필요한 자원이 막대합니다. 소프트웨어에는 700개 이상의 취약점이 존재할 수 있으며, 한 사람이 이 모든 취약점을 방어하는 것은 불가능합니다. 이 때문에 대부분의 기업은 OWASP 상위 10개 취약점만 다루는 데 그칩니다. 그 사이 개발자들은 계속해서 기능을 추가하며, 결국 자신이 작성한 코드에 취약점을 도입하게 됩니다.
해결책은 무엇입니까?
사실 우리는 개발자들에게 안전한 코딩의 성공을 촉진하기 위한 필수적인 도구와 교육을 제공하지 않습니다. 기업들이 개발자들이 적절한 보안 역량을 갖추도록 보장하도록 강제하는 규정은 없으며, 안타까운 현실은 대부분의 대학과 인턴십 프로그램 역시 신입 개발자들이 안전하게 코딩할 수 있도록 준비시키지 못한다는 점입니다.
누군가 비행기를 조종하고자 할 때, 비행 전에 반드시 거쳐야 하는 매우 엄격한 절차가 존재합니다. 이 과정은 훈련, 실무 경험, 건강 검진, 안전 지식, 그리고 시험을 보장합니다. 이처럼 철저한 준비와 능력 검증을 거치지 않고 하늘에 내버려질 것이라고는 아무도 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
우리는 개발자들에게 안전한 코드 작성을 교육하는 데 시간을 투자해야 합니다. 그러나 소프트웨어 개발이 빠르게 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 현실에서는 이 일이 결코 우선순위로 여겨지지 않습니다. 이제 대화를 전환할 때입니다.
세계경제포럼의 최근 제목은 "보안 없이는 디지털 경제도 없다"고 외쳤으며, 관련 내용은 모든 디지털 전환 전략의 핵심에 보안을 두어야 할 필요성을 강조했습니다. "보안은 기업을 보호하고 혁신을 가능하게 하며 새로운 제품과 서비스를 창출하게 합니다. 방어적 역할에 그치지 않고, 보안은 기업에 성장 측면에서 전략적 이점을 제공합니다."
보안 코딩 역량과 성과 향상은 조직에 강력한 사이버 보호 계층을 추가하여 보다 효율적이고 신속한 코드 개발을 지원합니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 최전선 방어 역할을 수행할 수 있도록 실질적이고 긍정적인 역량 강화가 필요합니다. 개발자들은 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑한 사람들입니다. 창의적으로 문제를 해결할 줄 알며, 일반적으로 자신의 역량을 발전시키고자 합니다. 그들이 받을 만한 전문 교육을 통해 그들의 강점을 활용하고, 더 엄격한 소프트웨어 보안 기준을 준수하겠다는 약속을 하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하고자 할 때, 비행 전에 반드시 거쳐야 하는 매우 엄격한 절차가 존재합니다. 이 과정은 훈련, 실무 경험, 건강 검진, 안전 지식, 그리고 시험을 보장합니다. 이처럼 철저한 준비와 능력 검증을 거치지 않고 하늘에 내버려질 것이라고는 아무도 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
잘 알려진 이론에 따르면 바퀴벌레는 핵폭발을 포함해 거의 모든 것을 견딜 수 있다고 한다. 비록 이 이론이 어느 정도만 사실이지만, 그들의 단순한 신체 구조는 몸집에 비해 극도로 강인하게 만들고 대부분의 환경에서 박멸하기 어렵게 만든다.
나는 생각했다... 만약 디지털 세계에 바퀴벌레에 상응하는 존재가 있다면, 그것은 코드 내 SQL 인젝션 취약점(SQLi)이어야 한다고. 이 취약점은 20년 넘게 알려져 왔지만, 조직들은 여전히 반복적으로 피해를 입고 있다. 타겟(Target)을 대상으로 한 광범위하고 막대한 피해를 입힌 공격 역시 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사건에서도 20만 명의 유권자 기록이 유출되어 FBI가 모든 IT 관리자들에게 보안 관행을 신속히 강화할 것을 권고하게 된 사례가 있습니다.
디임페르바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 데이터 유출 사건의 83%에서 SQLi 공격이 사용된 것으로 나타났습니다. 오늘날에도 인젝션 관련 취약점은 OWASP Top 10에서 여전히 주요 위협으로 남아 있습니다. 이들은 비교적 단순하지만, 결코 사라지지 않을 것입니다.
이 같은 취약점이 여전히 상당수의 애플리케이션 보안 분석에서 발견된다는 사실은 우습게 느껴질 정도입니다. 우리는 그 작동 방식과 차단 방법을 알고 있습니다. 어떻게 이런 일이 가능할까요? 진실은 우리 소프트웨어의 보안이 여전히 개선의 여지가 있다는 점입니다.
베라코드 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반 »은 충격적인 통계를 공개했습니다: 단 30%의 애플리케이션만이 OWASP Top 10 정책을 충족했습니다. 이 문제는 지난 5년간 반복적으로 나타났으며, 최근 스캔된 애플리케이션 3개 중 1개에서 SQL 인젝션이 발견되었습니다. 이는 만연한 문제의 증거입니다. 우리는 실수로부터 교훈을 얻지 못하고 있으며, IT 보안 책임자들은 보안 분야에서 충분한 인재를 채용하는 데 어려움을 겪고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 100명당 1명 정도로 부족합니다.
소프트웨어 보안은 왜 생존 모드에 놓여 있는가?
보안 전문가가 부족하다는 것은 공공연한 비밀이지만, 개발자들이 문제가 발생할 때마다 해결하지 못하고 있으며 취약점을 처음부터 도입하지 않도록 충분히 대비하지 못하고 있다는 점에도 주의를 기울여야 합니다. Veracode의 동일한 보고서에서 개발 관련 취약점 전체의 14.4%에 대해서만 문서화된 완화 조치가 마련되어 있는 것으로 드러났습니다. 즉, 대부분의 취약점은 개발 관련 완화 조치 없이 제출된 것입니다. 90일 이내에 수정된 취약점은 3분의 1 미만이었으며, 개발 기간 동안 42%의 취약점은 전혀 수정되지 않았습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 논의합니다. 흥미롭게도 많은 기업들이 탐지된 취약점 중 완화할 수 없는 것들의 수(거짓양성이라는 골칫거리는 물론)에 너무 좌절하여 결국 취약점 탐색 자체를 완전히 중단한 채, 그냥 운에 맡기고 모든 게 잘 되길 바라고 있습니다.
왜 애플리케이션 보안 전문가들은 이런 일이 발생하도록 내버려 두는가?
오해하지 마십시오: AppSec 사용자들은 코드 문제에 대해 매우 잘 알고 있습니다. 결국, 이는 그들을 팀의 소중한 인재로 만드는 핵심 역량 중 하나입니다. 그러나 그들은 종종 여러 요인에 의해 제약을 받습니다.
예를 들어, 애플리케이션 보안(AppSec) 담당자는 문제를 발견하고 개발자에게 "코드를 수정해 주실 수 있나요?"라고 요청할 것입니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 기능 제공을 위한 엄격한 스프린트 일정을 맞추느라 너무 바빠서 이러한 문제를 해결할 시간도, 적절한 도구도 없습니다. 애플리케이션 보안 전문가들 스스로는 취약점을 식별할 수 있을지 모르나, 현장에서 이를 바로 해결할 수 있는 기술 및/또는 접근 권한이 부족한 경우가 많습니다.
또한 우리는 각 문제마다 해결책을 찾아 구현한 후 테스트해야 한다는 점을 인식해야 합니다. 코드에서 발견된 사소한 문제조차 해결하는 데 소요되는 시간은 물론 필요한 자원이 막대합니다. 소프트웨어에는 700개 이상의 취약점이 존재할 수 있으며, 한 사람이 이 모든 취약점을 방어하는 것은 불가능합니다. 이 때문에 대부분의 기업은 OWASP 상위 10개 취약점만 다루는 데 그칩니다. 그 사이 개발자들은 계속해서 기능을 추가하며, 결국 자신이 작성한 코드에 취약점을 도입하게 됩니다.
해결책은 무엇입니까?
사실 우리는 개발자들에게 안전한 코딩의 성공을 촉진하기 위한 필수적인 도구와 교육을 제공하지 않습니다. 기업들이 개발자들이 적절한 보안 역량을 갖추도록 보장하도록 강제하는 규정은 없으며, 안타까운 현실은 대부분의 대학과 인턴십 프로그램 역시 신입 개발자들이 안전하게 코딩할 수 있도록 준비시키지 못한다는 점입니다.
누군가 비행기를 조종하고자 할 때, 비행 전에 반드시 거쳐야 하는 매우 엄격한 절차가 존재합니다. 이 과정은 훈련, 실무 경험, 건강 검진, 안전 지식, 그리고 시험을 보장합니다. 이처럼 철저한 준비와 능력 검증을 거치지 않고 하늘에 내버려질 것이라고는 아무도 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
우리는 개발자들에게 안전한 코드 작성을 교육하는 데 시간을 투자해야 합니다. 그러나 소프트웨어 개발이 빠르게 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 현실에서는 이 일이 결코 우선순위로 여겨지지 않습니다. 이제 대화를 전환할 때입니다.
세계경제포럼의 최근 제목은 "보안 없이는 디지털 경제도 없다"고 외쳤으며, 관련 내용은 모든 디지털 전환 전략의 핵심에 보안을 두어야 할 필요성을 강조했습니다. "보안은 기업을 보호하고 혁신을 가능하게 하며 새로운 제품과 서비스를 창출하게 합니다. 방어적 역할에 그치지 않고, 보안은 기업에 성장 측면에서 전략적 이점을 제공합니다."
보안 코딩 역량과 성과 향상은 조직에 강력한 사이버 보호 계층을 추가하여 보다 효율적이고 신속한 코드 개발을 지원합니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 최전선 방어 역할을 수행할 수 있도록 실질적이고 긍정적인 역량 강화가 필요합니다. 개발자들은 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑한 사람들입니다. 창의적으로 문제를 해결할 줄 알며, 일반적으로 자신의 역량을 발전시키고자 합니다. 그들이 받을 만한 전문 교육을 통해 그들의 강점을 활용하고, 더 엄격한 소프트웨어 보안 기준을 준수하겠다는 약속을 하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하고자 할 때, 비행 전에 반드시 거쳐야 하는 매우 엄격한 절차가 존재합니다. 이 과정은 훈련, 실무 경험, 건강 검진, 안전 지식, 그리고 시험을 보장합니다. 이처럼 철저한 준비와 능력 검증을 거치지 않고 하늘에 내버려질 것이라고는 아무도 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
잘 알려진 이론에 따르면 바퀴벌레는 핵폭발을 포함해 거의 모든 것을 견딜 수 있다고 한다. 비록 이 이론이 어느 정도만 사실이지만, 그들의 단순한 신체 구조는 몸집에 비해 극도로 강인하게 만들고 대부분의 환경에서 박멸하기 어렵게 만든다.
나는 생각했다... 만약 디지털 세계에 바퀴벌레에 상응하는 존재가 있다면, 그것은 코드 내 SQL 인젝션 취약점(SQLi)이어야 한다고. 이 취약점은 20년 넘게 알려져 왔지만, 조직들은 여전히 반복적으로 피해를 입고 있다. 타겟(Target)을 대상으로 한 광범위하고 막대한 피해를 입힌 공격 역시 SQL 인젝션의 결과였으며, 일리노이주 선거 해킹 사건에서도 20만 명의 유권자 기록이 유출되어 FBI가 모든 IT 관리자들에게 보안 관행을 신속히 강화할 것을 권고하게 된 사례가 있습니다.
디임페르바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 데이터 유출 사건의 83%에서 SQLi 공격이 사용된 것으로 나타났습니다. 오늘날에도 인젝션 관련 취약점은 OWASP Top 10에서 여전히 주요 위협으로 남아 있습니다. 이들은 비교적 단순하지만, 결코 사라지지 않을 것입니다.
이 같은 취약점이 여전히 상당수의 애플리케이션 보안 분석에서 발견된다는 사실은 우습게 느껴질 정도입니다. 우리는 그 작동 방식과 차단 방법을 알고 있습니다. 어떻게 이런 일이 가능할까요? 진실은 우리 소프트웨어의 보안이 여전히 개선의 여지가 있다는 점입니다.
베라코드 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반 »은 충격적인 통계를 공개했습니다: 단 30%의 애플리케이션만이 OWASP Top 10 정책을 충족했습니다. 이 문제는 지난 5년간 반복적으로 나타났으며, 최근 스캔된 애플리케이션 3개 중 1개에서 SQL 인젝션이 발견되었습니다. 이는 만연한 문제의 증거입니다. 우리는 실수로부터 교훈을 얻지 못하고 있으며, IT 보안 책임자들은 보안 분야에서 충분한 인재를 채용하는 데 어려움을 겪고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율은 100명당 1명 정도로 부족합니다.
소프트웨어 보안은 왜 생존 모드에 놓여 있는가?
보안 전문가가 부족하다는 것은 공공연한 비밀이지만, 개발자들이 문제가 발생할 때마다 해결하지 못하고 있으며 취약점을 처음부터 도입하지 않도록 충분히 대비하지 못하고 있다는 점에도 주의를 기울여야 합니다. Veracode의 동일한 보고서에서 개발 관련 취약점 전체의 14.4%에 대해서만 문서화된 완화 조치가 마련되어 있는 것으로 드러났습니다. 즉, 대부분의 취약점은 개발 관련 완화 조치 없이 제출된 것입니다. 90일 이내에 수정된 취약점은 3분의 1 미만이었으며, 개발 기간 동안 42%의 취약점은 전혀 수정되지 않았습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 끊임없이 논의합니다. 흥미롭게도 많은 기업들이 탐지된 취약점 중 완화할 수 없는 것들의 수(거짓양성이라는 골칫거리는 물론)에 너무 좌절하여 결국 취약점 탐색 자체를 완전히 중단한 채, 그냥 운에 맡기고 모든 게 잘 되길 바라고 있습니다.
왜 애플리케이션 보안 전문가들은 이런 일이 발생하도록 내버려 두는가?
오해하지 마십시오: AppSec 사용자들은 코드 문제에 대해 매우 잘 알고 있습니다. 결국, 이는 그들을 팀의 소중한 인재로 만드는 핵심 역량 중 하나입니다. 그러나 그들은 종종 여러 요인에 의해 제약을 받습니다.
예를 들어, 애플리케이션 보안(AppSec) 담당자는 문제를 발견하고 개발자에게 "코드를 수정해 주실 수 있나요?"라고 요청할 것입니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 기능 제공을 위한 엄격한 스프린트 일정을 맞추느라 너무 바빠서 이러한 문제를 해결할 시간도, 적절한 도구도 없습니다. 애플리케이션 보안 전문가들 스스로는 취약점을 식별할 수 있을지 모르나, 현장에서 이를 바로 해결할 수 있는 기술 및/또는 접근 권한이 부족한 경우가 많습니다.
또한 우리는 각 문제마다 해결책을 찾아 구현한 후 테스트해야 한다는 점을 인식해야 합니다. 코드에서 발견된 사소한 문제조차 해결하는 데 소요되는 시간은 물론 필요한 자원이 막대합니다. 소프트웨어에는 700개 이상의 취약점이 존재할 수 있으며, 한 사람이 이 모든 취약점을 방어하는 것은 불가능합니다. 이 때문에 대부분의 기업은 OWASP 상위 10개 취약점만 다루는 데 그칩니다. 그 사이 개발자들은 계속해서 기능을 추가하며, 결국 자신이 작성한 코드에 취약점을 도입하게 됩니다.
해결책은 무엇입니까?
사실 우리는 개발자들에게 안전한 코딩의 성공을 촉진하기 위한 필수적인 도구와 교육을 제공하지 않습니다. 기업들이 개발자들이 적절한 보안 역량을 갖추도록 보장하도록 강제하는 규정은 없으며, 안타까운 현실은 대부분의 대학과 인턴십 프로그램 역시 신입 개발자들이 안전하게 코딩할 수 있도록 준비시키지 못한다는 점입니다.
누군가 비행기를 조종하고자 할 때, 비행 전에 반드시 거쳐야 하는 매우 엄격한 절차가 존재합니다. 이 과정은 훈련, 실무 경험, 건강 검진, 안전 지식, 그리고 시험을 보장합니다. 이처럼 철저한 준비와 능력 검증을 거치지 않고 하늘에 내버려질 것이라고는 아무도 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
우리는 개발자들에게 안전한 코드 작성을 교육하는 데 시간을 투자해야 합니다. 그러나 소프트웨어 개발이 빠르게 진행되고 우수한 개발자와 보안 전문가가 부족한 오늘날의 현실에서는 이 일이 결코 우선순위로 여겨지지 않습니다. 이제 대화를 전환할 때입니다.
세계경제포럼의 최근 제목은 "보안 없이는 디지털 경제도 없다"고 외쳤으며, 관련 내용은 모든 디지털 전환 전략의 핵심에 보안을 두어야 할 필요성을 강조했습니다. "보안은 기업을 보호하고 혁신을 가능하게 하며 새로운 제품과 서비스를 창출하게 합니다. 방어적 역할에 그치지 않고, 보안은 기업에 성장 측면에서 전략적 이점을 제공합니다."
보안 코딩 역량과 성과 향상은 조직에 강력한 사이버 보호 계층을 추가하여 보다 효율적이고 신속한 코드 개발을 지원합니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 최전선 방어 역할을 수행할 수 있도록 실질적이고 긍정적인 역량 강화가 필요합니다. 개발자들은 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑한 사람들입니다. 창의적으로 문제를 해결할 줄 알며, 일반적으로 자신의 역량을 발전시키고자 합니다. 그들이 받을 만한 전문 교육을 통해 그들의 강점을 활용하고, 더 엄격한 소프트웨어 보안 기준을 준수하겠다는 약속을 하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하고자 할 때, 비행 전에 반드시 거쳐야 하는 매우 엄격한 절차가 존재합니다. 이 과정은 훈련, 실무 경험, 건강 검진, 안전 지식, 그리고 시험을 보장합니다. 이처럼 철저한 준비와 능력 검증을 거치지 않고 하늘에 내버려질 것이라고는 아무도 상상하지 못할 것입니다. 그러나 코드 작성에서는 이런 일이 일상적으로 벌어지고 있습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
