보안 코드 정보

AI 주도 개발은 완전히 새로운 범주의 소프트웨어 위험을 도입했습니다. 빠른 주입, RAG 조작, 에이전트의 과도한 권한 부여는 더 이상 이론적 우려 사항이 아니라 현대 애플리케이션에서 활발히 발생하는 현실입니다.

개발자들은 현실 세계의 복잡성을 반영하는 환경에서 이러한 신종 위협 모델에 대한 실전 경험을 필요로 합니다. 이에 따라 제한된 이벤트 경험에 불과했던 사이버몬 2025 AI/LLM missions '보스 격파' 퀘스트 주제로 구성하여 Secure Code Warrior 배포 가능한 형태로 전환했습니다. 새 퀘스트 생성 시 '보안 개념' 하위 메뉴의 '특정 개념' 섹션에서 '사이버몬 2025: 보스 격파' 컬렉션을 확인하실 수 있습니다.

사이버몬 2025: 보스 격파는 조직이 AI와 관련된 매우 복잡한 보안 과제를 언제든지 안전한 코딩 프로그램에 통합할 수 있도록 합니다.

Beat the Boss란 무엇인가요?

Beat the Boss는 현실 세계에서 안전한 AI 개발 능력을 시험하기 위해 고안된 네 가지 고급 AI 및 LLM 도전 과제를 모았습니다.

각 주제는 짧은 소개 영상과 지침, 단계별 안내가 포함된 준비 운동, 그리고 사이버몬 2025의 고난이도 오리지널 보스 미션으로 구성됩니다. 이러한 몰입형 시나리오는 AI 기반 애플리케이션이 발전함에 따라 개발자가 반드시 이해해야 할 실용적인 AI 취약점 유형에 중점을 둡니다.

네 missions 각각 인공지능과 관련된 별개의 위험 영역을 목표로 하며, 인공지능 기반 시스템에서 실제 위협 패턴을 시뮬레이션합니다:

• 바이파사우르 — 직접적이고 신속한 주입
• 키크레이큰 — 간접적 신속 주입
• Promptgeist — 벡터 및 적분과 관련된 취약점
• 프록시서프 — 과도한 대리성

당신만의 방식으로 실행하세요

각 취약점에 필요한 주의를 기울이기 위해 한 번에 하나의 보스만 강조할 것을 권장합니다. 많은 조직이 다음과 같이 관리하기로 선택합니다:

• AI 보안에 초점을 맞춘 스프린트 기간 동안 매주 한 명의 보스
• 또는 한 달에 한 번씩 '이달의 취약점' 이니셔티브의 일환으로

내부 이벤트를 구성하는 관리자를 위한 구조화된 배포 지침 및 다운로드 가능한 브랜드 리소스가 지식 기반에서 제공됩니다:
사이버몬 2025: 나만의 'Beat the Boss' 이벤트를 개최하세요

인공지능(AI) 보안 대비를 구현하다

인공지능(AI)에 의한 가속화된 개발은 소프트웨어 위험 환경을 재정의하고 있습니다. 새롭게 등장하는 취약점 유형들은 단순한 인식 이상의 것을 요구합니다: 적용된 경험이 필요합니다.

Beat the Boss는 기업이 AI 관련 위협 모델의 진화를 개발자를 위한 실용적인 기능으로 전환할 수 있도록 지원합니다.

개발자는 각 과제를 독립적으로 해결한 후, 공격자의 사고방식과 방어 전략을 강화하기 위해 가이드된 해결책을 검토할 수 있습니다. 과제 완료 후 학습을 위해 해결책에 대한 전체 설명 동영상이 제공됩니다:

많은 팀들이 내부 지식 공유 세션을 통해 경험을 확장하며, 사건 기반 학습을 경쟁적 학습에서 협력적 학습으로 전환하고 있습니다. 보안과 개발은 팀 스포츠입니다. 개발자, 보안 담당자, 엔지니어링 팀이 협력하여 AI로 인해 확대되는 공격 표면을 이해하고 완화할 때 조직은 더 잘 보호됩니다. 원활한 보고, 공유된 솔루션 평가, 팀 간 토론을 통해 개별적 문제 해결 능력을 집단적 역량으로 전환할 수 있습니다.

보안 코딩 이니셔티브에 'Beat the Boss'를 통합함으로써, AI의 안전한 채택을 강화하는 동시에 개발 팀 내에서 측정 가능한 AI 보안 성숙도를 발전시킬 수 있습니다.

시작하세요

새 퀘스트 생성 시 '특정 개념' 섹션의 '보안 개념' 항목에서 '사이버몬 2025: 보스 격파' 컬렉션을 확인하실 수 있습니다. Secure Code Warrior 계정에 로그인하여 배포 환경을 구성하고 팀 내 AI 보안 개발을 강화하십시오.

사이버 복원력 법안은 EU 기반 기업뿐만 아니라 유럽 시장에서 디지털 제품을 판매하는 모든 기업에게도 전략적 우선순위로 급부상하고 있습니다. 준수 기한이 2027년까지 연장됨에 따라 엔지니어링 및 보안 팀들은 설계 단계부터의 보안 관행, 취약점 관리, 개발 역량 등에 대해 이미 어려운 질문들을 제기하고 있습니다.

많은 규정들이 문서화와 감사에 중점을 두는 것과 달리, 캐나다 국세청(CRA)은 안전한 소프트웨어 설계 및 개발을 규정 준수의 핵심으로 삼고 있습니다. 설계 단계부터 보안 기능에 조기에 투자하는 기업들은 규정 준수를 더 빠르게 달성할 수 있으며, 제품 보안이 구매 결정 요인이 되는 시장에서 차별화된 경쟁력을 확보할 수 있습니다.

사이버 복원력 법이 요구하는 사항

사이버 복원력 법(CRA)은 소프트웨어, 운영 체제, 연결 장치 및 임베디드 시스템을 포함하여 EU 시장에 출시되는 대부분의 디지털 구성 요소를 포함하는 제품에 대한 기본적인 사이버 보안 요구 사항을 도입합니다.

더욱 중요한 것은, 책임 소재가 어디에 있는지를 바꾼다는 점이다.

보안은 더 이상 실행이나 운영의 문제만이 아닙니다. CRA( 보안 설계 및 구현 )의 틀 안에서 보안은 설계 및 개발의 의무가 되며, 이는 아키텍처, 구현, 유지보수 및 취약점 관리를 포괄합니다.

엔지니어링 및 안전 담당자에게 이는 다음과 같은 의미를 지닙니다:

• 제품은 설계 단계부터 안전 원칙에 따라 제조되어야 합니다.
• 알려진 취약점은 가능한 한 피하고 효과적으로 처리해야 합니다.
• 조직은 안전한 개발 관행이 시행되고 있음을 입증해야 합니다.

요약하자면: 규정 준수는 개발자가 코드를 작성하고 관리하는 방식과 불가분의 관계에 있습니다.

CRA는 누구를 대상으로 하나요?

EU에서 도입되었지만, CRA는 EU 시장에 해당 디지털 제품을 출시하는 전 세계 모든 조직에 적용됩니다. 특히:

• 소프트웨어 공급업체 및 SaaS 공급업체로서 해당 서비스가 커버되는 제품의 원격 데이터 처리 구성 요소로 작동하는 업체
• 디지털 또는 연결된 제품 제조업체
• 수입업체, 유통업체 및 소매업체
• 타사 디지털 구성 요소를 통합하는 조직

글로벌 기업에게 CRA 대비는 지역적 규정 준수 활동이 아닌, 국경을 넘는 사업 확장을 위한 필수 요건입니다.

왜 조직들은 지금 당장 시작하는가

주요 단계:

• 2026년 9월 — 취약점 신고 의무가 시작됩니다
• 2027년 12월 — 완전한 준수 필수

문서상으로는 이 일정이 편안해 보일 수 있다. 실제로는 개발의 변화가 분기별로 일어나지 않고 수년에 걸쳐 점진적으로 이루어진다.

설계상 보안은 정책 업데이트가 아닙니다. 이는 다음을 필요로 합니다:

• 수천 명의 개발자들이 모든 언어와 모든 팀에서 역량을 향상시키도록 지원합니다
• 설계 단계부터 보안 요구사항을 일상 업무 흐름에 통합
• 취약점에 대한 사후 대응적 보정에서 예방으로 전환
• 안전한 개발 관행이 일관되게 적용되고 있음을 측정 가능한 증거로 입증한다

이러한 변화는 채용, 통합, 아키텍처 관련 결정, SDLC 프로세스 및 엔지니어링 문화에 영향을 미칩니다. 2026년 말까지 연기하는 조직들은 규제 압박 속에서 역량을 현대화하려 시도할 것이며, 이는 훨씬 더 비용이 많이 들고 혼란을 초래하는 해결책이 될 것입니다.

법률 적용에는 상당한 재정적 위험도 수반됩니다. CRA 제64조에 따라 사이버 보안 핵심 요건 위반 시 최대 1,500만 유로(전 세계 연간 매출액의 2.5%)에 달하는 제재가 부과될 수 있습니다.

2026년 말까지 기다리는 것은 단순히 너무 늦었다.

CRA는 결국 개발자들에게 주어진 역량에 대한 도전이다

많은 규정들이 정책과 문서화에 중점을 둡니다. CRA는 이를 한 단계 더 나아가 규정 준수와 소프트웨어 설계 및 개발에 실제로 사용되는 실무 간 연결고리를 구축합니다. 이는 보안 개발을 단순한 거버넌스 요구사항이 아닌 운영적 규율로서의 기대치를 제시합니다.

엔지니어링 책임자들에게 이는 개발 팀이 안전한 관행을 체계적으로 적용하는 데 달려 있음을 의미합니다. 특히 다음과 같은 사항들이 포함됩니다:

• 일반적인 취약점 등급 이해하기
• 보안 설계 및 아키텍처 원칙 적용
• 비보안 구현 모델을 피하십시오
• 제3자 및 오픈소스 구성요소의 책임 있는 관리

보안 도구는 문제 탐지에 중요한 역할을 합니다. 그러나 코드가 작성된 후에는 도구의 한계가 드러납니다. 설계 단계부터의 보안은 개발자가 취약점을 사전에 방지하도록 요구하며, 모든 팀, 언어, 제품에 걸쳐 일관되게 이를 수행해야 합니다.

도구만으로는 이를 달성할 수 없습니다. 설계 단계부터의 보안 성과는 인간의 역량에 달려 있습니다.

Secure Code Warrior CRA 준비에 어떻게 Secure Code Warrior

Secure Code Warrior CRA에 부합하는 학습 과정을 Secure Code Warrior , 이는 다음을 결합합니다:

• UNE 표준 퀘스트 CRA, 부속서 I 제1부의 기술적 취약성 요구사항에 매핑됨
• UNE 컨셉 컬렉션: 설계 단계에서의 보안
• 언어별 취약점 실습 학습

SCW의 CRA(캐나다 규제 준수) 기준에 부합하는 모든 학습 콘텐츠에 대한 안내서를 참조하십시오. SCW는 규정 준수 인증을 제공하지 않습니다. 우리는 규제 안전 개발 원칙에 따라 체계적인 학습과 측정 가능한 역량 향상을 통해 CRA 준비를 지원합니다 .

지금 바로 CRA를 준비하세요

CRA는 산업의 방향을 반영합니다: 설계 엔지니어링을 통한 보안은 기본적인 기대 사항입니다. 지금 당장 개발자의 역량에 투자하는 조직은 장기적으로 규정 준수를 보장하고 더 탄력적이며 위험이 적은 소프트웨어를 구축하는 데 더 유리한 위치에 설 것입니다.

Secure Code Warrior 규정 준수를 달성하는 데 어떻게 Secure Code Warrior 대한 자세한 내용은 당사 지식 기반을 참조하십시오: Secure Code Warrior 규정 준수를 달성하는 데 어떻게 도움이 Secure Code Warrior

우리는 10가지 성공 요인에 대한 심층 분석을 촉진자 1의 기본 단계인 '명확하고 측정 가능한 성공 기준 설정'으로 시작합니다 . 안전한 코딩 프로그램이 여정이라면, 첫 번째이자 가장 중요한 단계는 정확히 어디로 향하는지 아는 것입니다. 이것이 바로 첫 번째 촉진자의 핵심입니다.

성공 기준을 영업 성과에 연계하기

효과적인 보안 코딩 프로그램의 수립에는 비즈니스 성과와 밀접하게 연계된 명확한 목표가 존재해야 합니다. 이니셔티브 1은 다음과 같은 근본적인 질문에 답합니다: "우리의 보안 코딩 프로그램으로 해결하려는 문제 또는 과제는 매우 구체적이고 측정 가능한 측면에서 무엇인가?"

귀사의 조직은 규정 준수 요구 사항을 충족하거나 보안 취약점 및 사이버 공격을 방지하고자 할 수 있습니다. 또는 개발자들이 처음부터 안전하게 코딩하도록 교육함으로써 조직의 운영 방식을 개선하고, 비용과 수정을 위한 시간을 절감하고자 할 수도 있습니다.

귀사의 동기 부여 요인, 조직의 현재 상태 또는 선택한 보안 교육 플랫폼에 관계없이, 프로그램의 장기적 성공은 비즈니스 목표와 연계된 명확한 목표 설정에 크게 좌우됩니다. 이를 통해 구성원의 동참을 이끌어내고 지속적인 성공을 보장할 수 있습니다.

성공 기준을 설정할 때는 프로그램의 주요 이해관계자를 고려하십시오. 경영진 후원자와 그들의 비즈니스 목표를 파악하면 부서 간에 더 넓은 채택을 유도하는 데 도움이 됩니다.

성공을 가시적이고 측정 가능하게 만들기

이러한 목표는 그 본질상 귀사의 조직에 특화된 것이어야 합니다. 그렇다고 해도, 다음과 같은 일반적인 비즈니스 목표를 검토하고 이를 통해 다른 아이디어를 도출할 수 있는 방법을 고민해 보십시오:

위험 감소: 개발자 위험을 완화하고 코딩 결함으로 인한 취약점을 줄입니다. 여기에는 위험 식별 및 애플리케이션 공격 표면 축소가 포함됩니다.

프로그램은 취약점 밀도나 취약점 주입률 감소 및 회피와 같은 지표를 목표로 삼는 경우가 많다.

운영 속도: 제품 제공 속도를 극대화하여 개발자의 좌절감과 이탈을 줄이고 재작업에 소요되는 시간을 감소시킵니다. 보안 코드 교육은 소프트웨어 개발 생명주기 후반에 발견되는 버그가 있는 코드의 시간 소모적인 재작업을 피하도록 지원함으로써 개발자에게 중요한 동기 부여 역할을 합니다.

프로그램은 종종 개발자의 취약점 평균 복구 시간(MTTR) 단축을 목표로 합니다.

규제 준수: 외부 규정 준수를 달성하십시오. 예를 들어, PCI-DSS(결제 시스템 작업에 참여하는 모든 개발자에게 교육을 의무화하는 표준)와 같은 표준을 준수하는 것이 포함됩니다.

재능과 신뢰: 개발자 조직 내 보안 및 취약점에 대한 참여도와 인식을 제고하는 동시에 고객 신뢰를 유지하고 구축합니다. 일부 기업에서는 보안 역량을 갖춘 개발자가 시장 차별화를 구축하는 데 기여합니다.

프로그램은 종종 개발자를 위한 최소 기술 요건을 설정하거나 심지어 전문적인 보안 챔피언 프로그램을 만들기도 합니다.

공동 성공 계획에 성공을 기록하다

성공 기준을 정의한 후다음 단계는 이를 공동 성공 계획서에 문서화하는 것입니다. 이 계획서는 프로그램의 모든 주요 이해관계자(CSM 교육 플랫폼과 같은 외부 지원 포함)가 참여하는 공동의 기능 간 계획입니다.

성공 계획에는 다음이 포함됩니다:

1. 가치 요소: 여기에는 코드 보안 개선과 프로그램의 '왜'에 대한 답변과 관련된 상위 수준의 비즈니스 목표가 포함됩니다.
2. 현재 상태: 이는 "현재 우리는 어디에 있는가?"라는 질문을 설정합니다(예: 현재의 안전한 코딩 역량 또는 기존 교육 프로그램).
3. 미래 상태(희망): 이후, "우리는 어디에 도달하고자 하는가?"를 문서화하고 안전한 코딩 역량 부족이 어떻게 해소될지 결정합니다.
4. KPI/측정 지표: 이는 프로그램이 진행됨에 따라 현재 상태와 미래 상태 간의 격차가 줄어들고 있음을 나타내며 성공을 보여주는 지표들입니다.

1~2개의 특정 지표로 시작하여 필요 시 점차 확대할 것을 권장합니다. 이러한 KPI/측정 기준은 S.M.A.R.T. 원칙(구체적, 측정 가능, 달성 가능, 관련성 있음, 시한 설정)을 준수해야 합니다. 추적이 용이해야 하며 모호한 해석의 여지가 없어야 합니다. 계획 실행을 위해서는 모든 관계자의 책임이 요구되며, 경영진과 함께 가치와 투자 수익률을 검토하기 위한 정기적이고 합의된 주기가 필요합니다.

이러한 기준을 명시적으로 정의하고 측정함으로써, 귀사의 보안 코딩 프로그램은 단순한 비용 발생처에서 검증 가능한 핵심 비즈니스 성과 창출 동력으로 전환됩니다. 이는 프로그램 성숙도를 달성하기 위한 필수적인 첫걸음입니다.

다음으로, 우리는 '촉진자 2: 최고 경영진의 후원'을 살펴보며 안전한 코딩 프로그램의 성공적인 도입에 있어 리더십이 수행하는 핵심적인 역할에 대해 논의할 것입니다.

추가 질문이 있으신가요? 고객님은 담당 계정 팀 또는 support@securecodewarrior.com으로 문의하실 수 있습니다. 잠재 고객님은 여기에서 저희 영업팀 담당자와 상담하실 수 있습니다.

스타트업에 뛰어들기로 결심한 개인은 '기업가'라는 야망 넘치는 호칭부터 '완전 미친놈'이라는 훨씬 덜 화려한 표현까지 다양한 이름으로 불린다. Secure Code Warrior 11년간 이끌어온 나는 기쁘게도 그 중간 어딘가에 위치해 있다. 

지난 5년은 많은 이들에게 회복력의 교훈이 되었습니다. 지구상 가장 똑똑한 사람들조차 예측하지 못한 경제적, 비경제적 난관이 예상치 못한 방식으로 닥쳤기 때문입니다. 여기서 '적자생존'이 떠오를 수 있지만, 저는 이 말을 더 선호합니다:

종에서 가장 강한 개체가 살아남는 것도 아니고, 가장 지능이 높은 개체가 살아남는 것도 아니다. 변화에 가장 잘 적응하는 개체가 살아남는다.

(이 말은 종종 찰스 다윈의 것으로 잘못 알려져 있지만, 실제로는 다윈의 저서 『종의 기원』 을 요약하던 레온 C. 메긴슨 교수가 한 말이다. 이 정보가 언젠가 펍 퀴즈에서 큰 상을 따는 데 도움이 되길 바란다.)

인공지능보다 변화와 적응력을 더 잘 보여주는 사례가 우리 세상에 또 있을까? 대규모 언어 모델(LLM)이 등장한 지 3년이 넘었지만, 우리는 여전히 이 기술이 무엇인지, 무엇을 할 수 있는지, 그리고 오늘날 존재하는 거의 모든 역할에서 어떻게 가장 효과적으로 활용될 수 있는지 이해하기 위해 분주히 움직이고 있다. 어쨌든 인공지능은 우리 곁에 남을 것이며, 특히 사이버 보안 실무자로서 우리는 공식적인 가이드라인이나 규정이 부재한 상황에서도 이를 보호하기 위해 한 발 앞서 나가야 합니다.

2025년은 인공지능과 사이버 보안, 그리고 SCW에게 중요한 해였습니다. 저는 2026년을 조용한 자신감과 오직 노력의 결실이 가져다주는 낙관으로 맞이하고 있습니다. 

우리는 AI 기반 소프트웨어 개발 보호 분야 진출을 포함해 주요 이정표를 달성했습니다. 우리는:

• 출시됨 트러스트 에이전트: AI 베타 테스트 출시: CCIA의 새로운 연구에 따르면 생성형 AI가 역사상 가장 빠르게 채택된 기술임이 확인되었으며, 개발자들 사이에서 AI 코딩 에이전트 및 어시스턴트의 폭발적인 확산은 놀라운 일이 아닙니다. 특히 보안 프로그램보다 더 빠르게 진행되는 성급한 기업 수준의 도입 사례도 포함됩니다.
  
  최신 기술인 트러스트 에이전트: AI는 AI 생성 코드에 대한 가시성과 거버넌스라는 핵심 요소를 제공합니다. 이 솔루션은 기업 보안 리더들이 보안 수준을 저하시키지 않으면서 소프트웨어 개발 수명주기(SDLC) 내 AI 도입을 자신 있게 관리할 수 있도록 필요한 심층 관측 및 제어 기능을 제공합니다.
• 최신 주요 매출 목표를 달성했습니다: 매출 목표를 초과 달성한 것은 Secure Code Warrior 전체의 끈기와 혁신을 증명하는 것입니다. 이 여정을 시작할 때 우리의 사명은 보안에 대한 '체크박스' 접근 방식을 넘어 개발자들이 첫 줄부터 안전한 코드를 작성할 수 있도록 실질적으로 지원하는 것이었습니다.
  
  이 비전이 수많은 글로벌 기업들에게 공감을 얻고 있다는 사실은 업계가 마침내 개발자 중심 보안으로 초점을 전환하고 있음을 증명합니다. 우리 워리어들이 모두를 위한 소프트웨어 안전성을 높이기 위해 헌신한 모습에 저는 그 어느 때보다 자랑스럽습니다.
• 전략적 파트너와의 전문적 통합: Aikido, OpenText, Black Duck과 같은 우수한 기업들과의 파트너십은 개발자 중심의 원활한 보안 생태계 구축이라는 우리의 사명에 있어 중요한 진전을 의미합니다. 취약점 식별과 이를 해결하는 데 필요한 구체적 기술 제공 사이의 간극을 메움으로써, 우리는 개발자 중심의 소프트웨어 위험에 대한 효과적인 해결 방안을 마련하고 있습니다.
  
  이 파트너십은 분산된 도구 환경에서 벗어나 보안이 개발 워크플로우의 자연스러운 확장으로 자리매김하는 통합 경험으로의 전략적 전환을 의미한다는 점에서 저는 매우 자랑스럽게 생각합니다.

새해를 맞이하며, 저는 점점 더 많은 지지자 여러분, 특히 사이버 보안 커뮤니티의 구성원들에게 감사드립니다. 여러분은 반복되는 취약점, 낮은 보안 인식, 저품질 코드 출력과의 싸움에서 주도적인 역할을 계속해 오셨습니다. 새로운 안전 기준을 채택함으로써, 우리는 소프트웨어, 서비스, 기술의 보안에서 실질적인 개선을 시작할 수 있습니다. 

우리는 숙련된 인간의 감독 하에 AI가 대부분의 코드를 작성하는 미래를 향해 전폭적인 투자를 통해 전진하고 있습니다. SCW Learning은 이 새로운 세상의 요구를 충족시키기 위해 빠르게 진화 중이며, SCW Trust Agent: AI는 향후 3개월 내 출시되어 SDLC에서 대규모 언어 모델(LLM), 머신 컴퓨팅 플랫폼(MCP) 등의 안전한 운영을 지원할 예정입니다. 곧 주요 시장 플레이어와의 흥미로운 새로운 파트너십도 발표할 예정입니다.

계속 지켜봐 주세요!

이 글의 일부는 Revue SC에 게재된 바 있습니다. 수정 후 본지에 게재합니다.


도둑이 집에 침입한 경험이 있다면, 무언가 이상하다는 초기 감정을 느끼고, 결국 자신이 실제로 도둑맞고 침해당했다는 사실을 깨닫는 그 느낌을 이해할 것입니다. 이는 일반적으로 지속적인 불편함을 초래하며, 포트 녹스 수준의 보안 조치를 취해야 할 필요성은 말할 것도 없습니다.

이제 여러분의 집에 도둑이 들었다고 상상해 보세요. 도둑들이 열쇠를 만들어 들어온 것입니다. 그들은 마음대로 드나들지만 발각되지 않도록 조심합니다. 그러던 어느 날, 냉동고에 숨겨둔 보석이 사라지고 금고가 털렸으며 개인 소지품이 엉망이 된 것을 너무 늦게 깨닫게 됩니다. 이는 조직이 '제로데이' 유형의 사이버 공격을 당했을 때 마주하는 현실과 같습니다. 2020년 포네몬 연구소(Ponemon Institute)의 연구에 따르면, 성공한 데이터 유출 사건의 80%가 제로데이 공격의 결과였으며, 안타깝게도 대부분의 기업은 여전히 이 통계를 크게 개선할 준비가 되어 있지 않습니다.

제로데이 공격은 정의상 개발자가 악용될 수 있는 기존 취약점을 탐지하고 수정할 시간을 주지 않습니다. 위협 행위자가 먼저 개입했기 때문입니다. 악의적 행위가 이미 발생한 후에는 소프트웨어와 기업 평판 손상을 동시에 복구하기 위한 치열한 경쟁이 벌어집니다. 공격자는 항상 우위를 점하고 있으며, 이 우위를 최대한 축소하는 것이 매우 중요합니다.

아무도 원하지 않았던 크리스마스 선물, Log4Shell이 현재 인터넷을 뒤흔들고 있습니다. 이 치명적인 자바 취약점으로 인해 10억 대 이상의 기기가 영향을 받을 것으로 추정됩니다. 이는 사상 최악의 제로데이 공격으로 기록될 전망이며, 이제 시작에 불과합니다. 공개 전부터 악용이 시작됐다는 일부 보고가 있지만, 2016년 블랙햇 컨퍼런스 발표 자료에 따르면 이 문제는 오래전부터 알려져 있었습니다. 아이고. 더 심각한 건 악용이 극히 쉽다는 점으로, 전 세계의 모든 악성코드 작성자와 위협 행위자들이 이 취약점을 통해 수익을 노리고 있습니다.

그렇다면 소프트웨어 개발 과정에서 발견되지 않은 취약점은 물론, 음험하고 교묘한 위협으로부터 방어하기 위한 최선의 방법은 무엇일까요? 함께 살펴보겠습니다.

대규모 표적을 겨냥한 '제로데이 공격'은 드물며(비용도 많이 든다)

다크 웹에는 악용 코드에 대한 거대한 시장이 존재하며, 제로데이 취약점은 특히 고가에 거래되는 경향이 있습니다. 본 기사에서 언급된 사례만 보더라도 작성 시점에 250만 달러에 달하는 가격표가 붙어 있었습니다. 애플 iOS 취약점으로 보고된 만큼, 보안 연구원이 요구한 가격이 터무니없을 정도로 높은 것은 놀랍지 않다. 결국 이 취약점은 수백만 대의 기기를 침해하고, 수십억 건의 민감한 데이터를 수집하며, 발견 및 수정되기 전까지 최대한 오랫동안 이를 지속할 수 있는 통로가 될 수 있기 때문이다.

하지만 대체 누가 그렇게 많은 돈을 가지고 있겠는가? 일반적으로 조직화된 사이버 범죄 집단은 필요하다고 판단되면 자금을 조달한다. 특히 점점 더 보편화되고 있는 랜섬웨어 공격을 위해 말이다. 그러나 전 세계 정부와 국방부도 위협 정보 수집 목적으로 활용할 수 있는 익스플로잇의 고객층에 속합니다. 더 긍정적인 시나리오에서는 기업들 스스로 잠재적 제로데이 익스플로잇을 구매해 재앙을 완화할 수 있도록 할 수도 있습니다.

2021년에는 실시간 제로데이 취약점 발견 기록이 경신되었으며, 대규모 조직, 정부 기관 및 인프라가 잠재적 취약점을 탐지하기 위한 공격 대상이 될 위험이 가장 큽니다. 제로데이 공격으로부터 완전히 안전할 방법은 없지만, 관대하고 체계적인 버그 바운티 프로그램을 제공함으로써 어느 정도 '게임의 룰을 따를' 수 있습니다. 다크 웹 시장에서 누군가가 소프트웨어 성의 열쇠를 건네주길 기다리기보다는, 합법적인 보안 전문가들을 활용하고 윤리적 공개 및 잠재적 패치에 대해 적절한 보상을 제공하십시오.

만약 이것이 놀라운 제로데이 위협으로 판명된다면, 아마존 기프트 카드 한 장으로는 부족할 거라고 추측할 수 있습니다(그럴 만한 가치가 있겠지만).

귀사의 장비는 보안 요원들에게 장애 요인이 될 수 있습니다

보안 도구의 복잡성은 오랫동안 문제로 지적되어 왔으며, 평균적인 최고정보보안책임자(CISO)는 보안 도구 세트에서 55개에서 75개 사이의 도구를 관리하고 있습니다. 이는 세계에서 가장 복잡한 스위스 군용 칼(비유적으로)이라는 점 외에도, 포네몬 연구소(Ponemon Institute)의 연구에 따르면 53%의 기업은 자신들이 효과적으로 운영되고 있다고 확신하지 못하고 있습니다. 또 다른 연구에 따르면, 보안 책임자(RSSI) 중 단 17%만이 자사 보안 솔루션이 '완전히 효과적'이라고 생각한다고 답했습니다.

전문직의 번아웃, 수요를 충족시킬 수 있는 자격을 갖춘 보안 인력 부족, 그리고 민첩성이 요구되는 분야에서 보안 전문가들에게 데이터, 보고서, 방대한 도구 세트의 모니터링 형태로 과도한 정보 처리를 강요하는 것은 지루한 일입니다. 바로 이러한 유형의 시나리오가 그들로 하여금 중요한 경고를 놓치게 할 수 있으며, Log4j의 취약점을 제대로 평가하는 과정에서 그런 일이 발생했을 가능성이 있습니다.

예방적 보안은 개발자 주도 위협 모델링을 포함해야 합니다

코드 수준의 취약점은 종종 개발자에 의해 도입되며, 이들은 안전한 코딩 기술을 개발하기 위해 구체적인 지침과 정기적인 학습 과정이 필요합니다. 그러나 상위 수준의 보안 개발자들은 소프트웨어 제작 과정 내에서 위협 모델링을 배우고 연습할 기회를 가졌습니다.

Il n'est pas surprenant que les personnes qui connaissent le mieux leur logiciel soient les développeurs qui l'ont créé. Ils possèdent des connaissances approfondies sur la manière dont les utilisateurs interagissent avec celui-ci, sur le lieu où les fonctionnalités sont utilisées et, lorsqu'ils sont suffisamment conscients de la sécurité, sur les scénarios potentiels dans lesquels il pourrait être cassé ou exploité.

Log4Shell 취약점으로 돌아가 보면, 안타깝게도 전문가와 복잡한 도구 세트조차도 발견하지 못한 치명적인 취약점이 존재하는 상황을 목격하게 됩니다. 하지만 해당 라이브러리가 사용자 입력을 정화하도록 구성되어 있었다면 이런 사태는 아예 발생하지 않았을 것입니다. 이를 하지 않기로 한 결정은 편의성을 위한 모호한 기능으로 보이지만, 결과적으로 악용을 극도로 용이하게 만들었습니다(SQL 인젝션 수준을 생각해보세요, 분명히 좋지 않습니다). 위협 모델링이 보안에 열정적인 개발자 그룹에 의해 수행되었다면, 이러한 시나리오가 이론화되고 고려되었을 가능성이 매우 높습니다.

좋은 보안 프로그램에는 감정적 요소가 포함됩니다. 인간 개입과 미묘한 차이가 인간이 만든 문제 해결의 핵심이기 때문입니다. 위협 모델링은 효과적이기 위해 공감과 경험이 필요하며, 소프트웨어 및 애플리케이션 아키텍처 수준에서의 안전한 코딩과 구성도 마찬가지입니다. 개발자들이 이 과제를 하룻밤 사이에 해결해야 하는 것은 아니지만, 이상적으로는 이들을 보안 팀의 부담을 덜어줄 수준으로 향상시킬 수 있는 명확한 경로를 마련하는 것이 좋습니다(이는 두 팀 간의 관계를 구축하는 훌륭한 방법이기도 합니다).

0일이 n일로 이어진다

제로데이 공격에 대응하기 위한 다음 단계는 패치를 가능한 한 빨리 배포하는 것입니다. 취약한 소프트웨어의 모든 사용자가 공격자가 먼저 도달하기 전에, 그리고 반드시 가능한 한 빨리 해당 패치를 적용하기를 바라는 것이죠. Log4Shell의 경우, 수백만 대의 장치에 통합되고 소프트웨어 설계 내부에 복잡한 의존성을 생성하는 점에서 그 지속성과 영향력 측면에서 하트블리드(Heartbleed)를 능가할 수 있습니다.

사실, 이러한 교묘한 공격을 완전히 막을 방법은 존재하지 않습니다. 그러나 우리가 모든 수단을 동원해 안전하고 우수한 소프트웨어를 만들고, 이를 중대한 인프라를 다루듯 동일한 마음가짐으로 개발에 임한다면, 우리 모두 성공할 기회를 가질 수 있습니다.

인공지능 지원 개발(또는 가장 유행하는 버전인 '바이브 코딩')은 코드 작성에 상당한 변혁적 영향을 미칩니다. 경력 개발자들은 이러한 도구를 대거 도입하고 있으며, 항상 자신만의 소프트웨어를 만들고 싶었지만 필요한 경험이 부족했던 우리들 역시 이 도구를 활용하여 이전에는 비용과 시간 면에서 감당하기 어려웠던 자산을 생성하고 있습니다. 이 기술이 혁신의 새로운 시대를 열 것을 약속하지만, 보안 책임자들이 완화하기 어려운 일련의 새로운 취약점과 위험 프로필을 도입합니다.

InvariantLabs의 최근 연구에서 모델 컨텍스트 프로토콜(MCP)의 치명적 취약점이 발견되었습니다. MCP는 강력한 AI 도구가 다른 소프트웨어 및 데이터베이스와 자율적으로 상호작용할 수 있도록 하는 API 유형 프레임워크로, '도구 중독 공격'이라 불리는 새로운 유형의 취약점을 가능케 합니다. 이는 기업에 특히 치명적일 수 있습니다. Windsurf 및 Cursor와 같은 주요 AI 도구들도 이 취약점에서 자유롭지 않습니다. '이라는 새로운 유형의 취약점을 가능케 합니다. 이는 기업에 특히 치명적일 수 있습니다. Windsurf와 Cursor 같은 주요 AI 도구들도 안전하지 않으며, 수백만 명의 사용자를 보유한 만큼 이 신종 보안 문제를 관리하기 위한 인식과 역량이 절실합니다.

현재 상황에서는 이러한 도구의 결과가 기업에서 사용하기에 적합하다고 분류하기에는 충분히 안전하지 않습니다. 이는 AWS와 Intuit의 보안 연구원인 Vineeth Sai Narajala와 Idan Habler의 최근 연구 논문에서 언급된 바와 같습니다: »AI 시스템이 점점 더 자율적으로 발전하고 MCP(Machine Control Protocol)와 같은 도구를 통해 외부 도구 및 실시간 데이터와 직접 상호작용하기 시작함에 따라, 이러한 상호작용의 보안을 보장하는 것이 절대적으로 중요해지고 있습니다.»

에이전트형 AI 시스템과 모델 컨텍스트 프로토콜의 위험 프로필

모델 컨텍스트 프로토콜은 Anthropic이 개발한 실용적인 소프트웨어로, 대규모 언어 모델(LLM) 기반 AI 에이전트와 다른 도구 간의 통합을 더욱 원활하고 효율적으로 만듭니다. 이는 강력한 활용 사례로, GitHub과 같은 기업 핵심 SaaS 도구와 자체 애플리케이션 간에 최첨단 AI 솔루션과 상호작용하는 무한한 가능성을 열어줍니다. MCP 서버를 작성하고, 원하는 작동 방식과 목적에 대한 지침을 정의하기만 하면 됩니다.

MCP 기술이 보안에 미치는 영향은 사실 대체로 긍정적이다. 대규모 언어 모델(LLM)과 보안 전문가들이 사용하는 기술 간의 보다 직접적인 통합 가능성은 무시하기 어려울 만큼 매력적이며, 이는 보안 작업을 정밀하게 자동화할 수 있는 가능성을 의미한다. 이는 이전에는 불가능했던 수준, 적어도 각 작업마다 맞춤형 코드를 작성하고 배포하지 않고서는 불가능했던 수준이다. MCP가 제공하는 LLM의 향상된 상호운용성은 기업 보안에 흥미로운 전망을 제시합니다. 데이터, 도구, 인력 간의 확장된 가시성과 연결성은 효과적인 보안 방어 및 계획 수립에 필수적이기 때문입니다.

그러나 MCP 사용은 신중하게 관리되지 않을 경우 기업의 공격 표면을 크게 확대하여 다른 잠재적 위협 요인을 도입할 수 있습니다. Invariants 연구소가 지적한 바와 같이, 도구 중독 공격은 민감한 데이터 유출 및 AI 모델의 무단 실행을 초래할 수 있는 새로운 취약점 범주입니다. 이로부터 보안상의 함의는 매우 빠르게 확대됩니다.

InvariantLabs는 도구 중독 공격이 사용자에게는 보이지 않지만 AI 모델이 완전히 읽을 수 있고 실행 가능한 MCP 도구 설명에 악의적인 명령어가 포함될 때 가능해진다고 지적합니다. 이는 사용자가 모르는 사이에 도구가 허가되지 않은 잘못된 작업을 수행하도록 유도합니다. 문제는 MCP가 모든 도구 설명이 신뢰할 수 있다고 가정한다는 점이며, 이는 위협 행위자들에게 안성맞춤인 조건입니다.

그들은 손상된 도구의 가능한 결과를 기록합니다:

• 민감한 파일(예: SSH 키, 구성 파일, 데이터베이스 등)에 접근하도록 AI 모델을 제어합니다.
• AI에게 이러한 데이터를 추출하고 전송하도록 요청하는 행위, 즉 이러한 악의적인 행동이 본질적으로 일반 사용자에게 숨겨진 환경에서 이루어지는 경우;
• 사용자가 보는 것과 AI 모델이 수행하는 작업 사이에 간극을 만들어야 합니다. 이를 위해 도구들의 인자와 출력에 대해 단순해 보이는 사용자 인터페이스 표현 뒤에 숨어야 합니다.

이는 우려되는 신종 취약점 범주로서, MCP 사용의 불가피한 증가가 지속됨에 따라 앞으로 더욱 빈번하게 접하게 될 것입니다. 기업 보안 프로그램이 발전함에 따라 이 위협을 탐지하고 완화하기 위한 세심한 조치가 필요하며, 개발자들이 해결 과정에 참여할 수 있도록 적절히 준비시키는 것이 핵심입니다.

왜 보안에 능숙한 개발자들만이 에이전트형 AI 도구를 활용해야 하는가

에이전틱 AI 코딩 도구는 소프트웨어 개발에서 향상된 효율성, 생산성 및 유연성을 제공하는 능력을 강화함으로써 AI 지원 코딩의 차세대 진화로 간주됩니다. 컨텍스트와 의도를 이해하는 능력이 향상되어 특히 유용하지만, 빠른 주입, 환각 또는 공격자의 행동 조작과 같은 위협으로부터 완전히 자유롭지는 않습니다.

개발자는 올바른 코드 검증과 잘못된 코드 검증 사이의 방어선 역할을 하며, 안전한 소프트웨어 개발의 미래를 위해 보안 역량과 비판적 사고 능력을 모두 유지하는 것이 근본적으로 중요할 것입니다.

인공지능의 결과는 맹목적인 신뢰를 바탕으로 실행되어서는 안 되며, 보안 분야에서 경험이 풍부한 개발자들이 맥락적 사고와 비판적 사고를 적용할 때만 이 기술이 제공하는 생산성 향상을 안전하게 활용할 수 있습니다. 그러나 이는 인간 전문가가 위협을 평가하고 모델링하며, 궁극적으로 도구가 생성한 작업을 승인할 수 있는 협업 프로그래밍 환경이어야 합니다.

개발자가 AI를 통해 역량을 향상시키고 생산성을 높이는 방법을 여기에서 알아보세요.

실용적인 완화 기법 및 추가 참고 자료: 최신 연구 논문에서

인공지능 기반 코딩 도구와 MCP 기술은 사이버 보안의 미래에서 중요한 역할을 할 것으로 예상되지만, 그 분야를 탐구하기 전에 반드시 실태를 확인하는 것이 필수적이다.

나라잘라와 하블러 페이퍼는 기업 차원의 MCP 구현 및 지속적인 위험 관리를 위한 포괄적인 완화 전략을 상세히 설명합니다. 궁극적으로 이 문서는 다층 방어 및 제로 트러스트 원칙에 중점을 두며, 이 새로운 생태계가 기업 환경에 가져오는 고유한 위험 프로필을 명시적으로 겨냥합니다. 특히 개발자에게는 다음 영역에서의 지식 격차를 메우는 것이 필수적입니다:

• 인증 및 접근 제어: 에이전트형 AI 도구는 인간이 엔지니어링 작업을 수행하는 방식과 유사하게, 설정된 목표를 달성하기 위해 문제를 해결하고 자율적으로 의사결정을 내릴 수 있습니다. 그러나 앞서 확인한 바와 같이, 이러한 프로세스에 대한 숙련된 인간의 감독은 무시할 수 없으며, 워크플로에서 이러한 도구를 사용하는 개발자는 자신이 어떤 접근 권한을 가지고 있는지, 어떤 데이터를 수집하거나 노출할 가능성이 있는지, 그리고 해당 데이터가 어디에서 공유될 수 있는지 정확히 이해해야 합니다.
• 일반적인 위협 탐지 및 완화: 대부분의 AI 프로세스와 마찬가지로, 도구 결과에서 잠재적인 결함 및 부정확성을 탐지하기 위해서는 사용자가 직접 작업을 숙달해야 합니다. 개발자는 보안 프로세스를 효과적으로 검토하고 AI가 생성한 코드를 보안 측면에서 정확하고 권위 있게 분석 하기 위해 이러한 역량을 지속적으로 업그레이드하고 검증받아야 합니다.
• 인공지능(AI) 보안 정책 및 거버넌스와의 조화: 개발자는 승인된 도구에 대해 인지하고, 역량을 향상시키며 해당 도구에 접근할 수 있는 기회를 제공받아야 합니다. 커밋이 승인되기 전에 개발자와 도구 모두 보안 비교 분석을 거쳐야 합니다.

우리는 최근 진동 기반 코딩과 AI 지원 코딩의 부상에 관한 연구 문서를 발표했으며, 기업이 AI 기반 차세대 소프트웨어 엔지니어를 양성하기 위해 취해야 할 조치에 대해서도 다루었습니다. 지금 바로 확인하시고, 개발 인력을 강화하기 위해 당사에 문의하십시오.

이 글의 초고는 Zone D에 게재되었습니다. 이후 업데이트되어 본지에 게재되었습니다.

결제 카드 산업 데이터 보안 표준(PCI DSS) 4.0 버전은 전자 결제를 수용하는 모든 기업 또는 조직(대다수를 차지함)의 보안 관련 거의 모든 측면을 변화시킬 것입니다. 이 업데이트는 대부분의 기업을 변화시킬 것이며, 보안 프로세스의 상당 부분을 업그레이드하고 암호화, 인증, 접근 제어, 키 관리 및 이전에 도입하는 데 시간이 걸렸을 수 있는 다른 영역에 대한 새로운 보호 장치를 배포하도록 강제할 것입니다.

새로운 요구사항의 복잡성으로 인해 조직들은 2025년 3월까지 완전히 준수해야 합니다. 그러나 이 마감일은 대부분의 사람들이 생각하는 것보다 훨씬 빨리 다가올 것입니다. 실제로 선구적인 많은 기업들은 현재 개발자들이 다가올 규정 준수 환경을 헤쳐 나갈 수 있도록 조치를 취하고 있습니다.

체크박스를 선택하는 훈련을 넘어

기업의 개발자들은 해당 인프라의 상당 부분을 구성하는 코드를 작성합니다. 따라서 PCI DSS 4.0의 새로운 요구사항을 구현할 때 개발자들이 좋은 출발점이 되는 것은 당연합니다. 그러나 대부분의 개발자들은 업데이트된 보안 인식 프로그램의 일환으로 역량을 향상시키기 위해 전략적 지원이 필요할 것입니다. 이를 통해 개발자들이 새로운 표준이 요구하는 더 높은 수준의 보안을 구현하고 유지하는 데 필요한 경험을 갖추도록 보장할 수 있습니다.

사실, PCI DSS 4.0 표준의 요구사항 12.6.2는 기업이 공식적인 보안 프로그램을 구현하고 최신 위협 정보 및 방어 기법으로 이를 지속적으로 업데이트할 것을 요구합니다. 기존 표준에서는 기본적인 보안 프로그램이나 심지어 '체크리스트 방식'의 연간 규정 준수 교육만으로도 목표를 달성할 수 있었습니다. 그러나 새 규정은 훨씬 더 엄격해져 보안 교육 프로그램이 기업 환경 내 특정 위협과 취약점을 다루도록 요구합니다. 예를 들어, 신원 도용이 조직에 심각한 문제라면 교육은 이를 해결해야 합니다.

최소한의 교육만으로는 더 이상 충분하지 않다는 점이 분명합니다. 실무적 관점에서도, 새로운 규정을 준수하기 위해서도 마찬가지입니다. 기업들은 개발자들에게 일상 업무에 보안 모범 사례를 적용하는 방법을 가르치는 포괄적이고 유연한 학습 과정을 제공해야 합니다. 최소한의 규정 준수 노력을 넘어 개발자들이 보안에 대한 진정한 이해를 얻을 수 있도록 필요한 자원을 제공함으로써, 기업은 개발자들이 전반적인 보안 측면에서 더 나은 결정을 내릴 수 있는 역량을 부여함과 동시에 PCI DSS 4.0 표준을 준수할 수 있습니다.

좋은 소식은 PCI DSS 4.0의 새로운 요구사항 상당수가 인증, 암호화, 접근 제어, 키 관리 등 대부분의 개발자가 이미 알고 있는 영역과 관련되어 있다는 점입니다. 개발자들이 자신의 역량을 개발하기 위해 적절하고 관련성 있으며 익숙한 리소스를 확보할 수 있을 때, 조직은 PCI DSS 4.0이 요구하는 새로운 표준과 증가된 책임에 개발자들을 더 쉽게 대비시킬 수 있습니다.

PCI DSS 4.0 표준을 활용하여 전반적인 보안 강화의 발판으로 삼기

새로운 PCI DSS 4.0 표준을 성공적으로 준수하기 위해서는 개발자의 요구를 충족시키는 적절한 보안 교육을 제공하는 것이 필수적이지만, 조직의 사이버 보안 수준을 향상시키기 위한 노력은 여기서 멈춰서는 안 됩니다. 요구 사항이 까다롭기는 하지만, 대부분의 조직이 이를 준수하기 위해 노력해야 하는 만큼, 이러한 노력을 발판 삼아 전반적인 보안 인식과 교육을 강화할 이유가 없습니다. 이를 통해 조직은 규정 준수 요구 사항을 충족할 뿐만 아니라, 모범 사례를 우선시하고 조직의 모든 구성원이 동일한 보안 중심 목표를 향해 노력하도록 보장하는 긍정적인 보안 문화를 조성하기 시작할 수 있습니다.

물론 학습 곡선은 존재하지만, 개발자들은 이러한 노력에 동의할 가능성이 높습니다. 에반 스 리서치의 조사에 따르면 전 세계에서 활발히 활동 중인 1,200명 이상의 전문 개발자 중 압도적 다수가 안전한 코드 작성과 조직 내 보안 문화 개선이라는 개념을 지지한다고 답했습니다. 대다수의 개발자들이 안전한 코딩으로의 전략적 전환과 개발 프로세스 내 보안 우선순위 재정립을 지지한다는 점이 분명합니다.

PCI DSS 4.0 표준이 요구하는 보안 업그레이드는 기업이 보안 모범 사례 및 교육 개선에 투자하고 조직 전반에 걸쳐 더 나은 보안 문화를 정착시키려는 데 완벽한 명분이 됩니다.

개발자들은 기업이 안전한 코딩 기술을 관련 도구 및 교육과 통합할 수 있는 프로그램에 투자할 경우 보안 성숙도 수준을 보다 쉽게 달성할 수 있습니다. 이는 개발자들이 조직의 전반적인 보안 태세를 강화하는 더 나은 결정을 내릴 수 있는 보안 문화를 조성하는 데 기여할 수 있으며, 이는 엄격한 새로운 PCI DSS 4.0 표준을 훨씬 뛰어넘는 수준입니다.
‍

기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 금방 이해하게 될 것입니다. 매일같이 대규모 침해 사고, 새로운 취약점, 사이버 공격자와 범죄자들의 활발한 악용 위협이 보고되고 있습니다. 거의 모든 업계 지표와 보고서가 점점 더 위험해지는 사이버 위협의 증가를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측하고 있습니다.

이러한 새로운 위협에 직면하여, 사이버 보안 담당 일선 요원들은 지치고 인력이 부족합니다. 급여가 높고 모든 기업이나 조직에 거의 필수적임에도 불구하고, 모든 조직에 충분한 보안 인력이 공급되지 못하고 있습니다. 전략국제문제연구소(CSIS)의 최근 조사에 따르면, IT 의사결정권자의 82%가 소속 기관이 사이버보안 기술 인력 부족을 겪고 있다고 답했으며, 71%는 이로 인해 기관에 직접적이고 측정 가능한 피해가 발생했다고 밝혔습니다. 보고서에 따르면 미국에서만 52만 개 이상의 사이버 보안 일자리가 공석인 반면, 해당 분야에 종사하는 인력은 94만 명에 불과하다고 합니다.

전 세계적으로 현재 약 350만 개의 사이버 보안 일자리가 공석 상태입니다. 이는 막대한 금액을 지불하고도 고위 전문가를 채용하고 유지하려는 조직조차 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직위는 다른 직종보다 채용 완료까지 약 21% 더 많은 시간이 소요되며, 이는 채용이 가능할 경우의 이야기입니다.

개발자 활성화는 너무 오랫동안 무시되어 왔습니다

우리는 수많은 이전 블로그 글에서 개발자들이 사이버 보안 방어 체계의 이러한 중대한 결함을 메우기 위해 요청받을 수 있음을 지적해 왔습니다. 문제는 전통적으로 개발자들이 사이버 보안 교육을 받은 적이 거의 없다는 점입니다. 그들의 업무 성과는 거의 전적으로 배포 속도와 기한에 기반해 평가되었습니다. 보안은 더 멀리 떨어진 애플리케이션 보안(AppSec) 팀에게 맡겨져 왔습니다.

안타깝게도 단순히 기어를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램의 보안을 강화하라고 요구하는 문제가 아닙니다. 그들이 이러한 변화를 수용할 준비가 되어 있더라도(실제로 많은 개발자들이 그러한 의지를 보인다는 조사 결과가 있습니다), 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 의미 있는 학습 기회를 확보하는 것이 첫 번째이자 종종 가장 큰 장애물입니다.

전 세계적으로 수백만 개의 고소득·고보안 IT 보안 직위가 공석으로 남아 있는 데는 이유가 있습니다. 쉬운 일이었다면 누구나 이 분야에 뛰어들었을 것입니다. 위협에 맞서고 코드의 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 환경은 끊임없이 변화합니다. 기술에 비교적 익숙한 개발자들에게조차 사이버보안을 가르치려는 시도는, 빠르게 구식이 되고 기억에 남지 않으며 긍정적 영향이 미미할 뿐인 정적인 교육으로 효과적으로 이루어질 수 없습니다. 특히 이미 과중한 업무 일정에 이러한 요구사항이 추가된다면 더욱 그렇습니다.

더 높은 지대에 도달하기 위해 비계를 설치하세요

전통적인 방법으로 사이버 보안 기술을 가르치는 것은 발을 땅에 붙인 채로 초고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안과 같은 복잡한 분야의 수많은 고급 개념을 숙달하기 위한 필수 기초 지식이 부족하기 때문입니다. 이를 보완하기 위해 단계적 학습 개념을 활용할 수 있습니다.

단계적 또는 '계층적' 기술 향상 접근법을 사용할 때, 보다 포괄적인 주제는 일반적으로 별개의 학습 경험이나 개념으로 분할됩니다. 이는 학생들이 각 구성 요소에 필요한 모든 지원을 제공받으며 적절한 연습과 지도를 통해 각 개념을 숙달할 수 있도록 보장합니다. 이미 숙달된 개념 위에 더 새롭고 고급 개념이 추가되는 방식은 마치 건물이 올라감에 따라 물리적 비계가 세워지는 것과 같습니다. 이를 통해 학생들은 도움 없이 습득할 수 있는 수준을 넘어선 이해력과 기술 습득 단계에 도달할 수 있습니다.

물리적인 비계와 마찬가지로, 이 지원은 더 이상 필요하지 않을 때 점차 제거되며, 학생들이 더 능숙해질수록 그들에게 더 큰 책임이 부여됩니다.

스캐폴딩 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 좌절감, 위축감 또는 낙담감을 느낄 수 있는 부정적인 감정과 자기 인식을 줄이는 데 사용됩니다. 그러나 현대 사이버 보안과 같은 극도로 어려운 개념을 다룰 때에도 매우 유용할 수 있습니다. 개발자를 어린아이처럼 대하는 방식과는 거리가 먼 이 방법은, 특히 그들의 노력이 버그 수정과 새로운 비판으로 보답받을 때 보안 팀과의 경험이 똑같이 좌절감과 의욕 상실을 유발할 수 있는 상황에서 매우 유용합니다.

개발자가 보안 코딩의 기본 원칙을 이해할 수 있는 도구(일반적으로 OWASP Top 10부터 시작)를 보유하게 되면, 보안 결함이 어떻게 발생하는지, 왜 위험한지, 그리고 실제 배포 전에 이를 어떻게 해결할 수 있는지 직접 확인할 수 있습니다. 이를 바탕으로 더 복잡한 취약점을 해결하고 올바른 수정 사항을 적용하는 실무 경험을 쌓으며 지식을 심화할 수 있습니다. 계층은 조금씩 확대되고, 보안이 취약한 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제의 경우, 이러한 진전이 그렇게 어렵게 느껴지지 않고 정확하게 접근할 수 있게 됩니다.

산업으로서 우리는 개발자들이 보안 전문가가 되기를 기대해서는 안 되지만, 조직들은 개발자들이 더 나은 품질의 소프트웨어를 생산할 수 있도록 돕기 위한 새로운 표준을 채택할 수 있습니다. 추가적으로, 엔지니어링 역량을 지속적으로 향상시키는 조직의 경우, 학습 과정의 각 단계 또는 각 단계별 기반 구축은 곧바로 향상된 사이버 보안으로 이어질 것입니다. 결과를 보기 위해 과정이 끝날 때까지 기다릴 필요가 없습니다.

사이버 보안에 대해 알아보는 것은 어렵고, 적절한 도움과 지침 없이는 이를 숙달하는 것은 거의 불가능합니다. 체계적인 학습이 동반된 보안 프로그램을 도입하면 그 효과를 최대한 활용할 수 있으며, 그 혜택은 거의 즉시 드러납니다. 개선은 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.

Missions


개발자 교육... 그 이상!

최근 저희는 피터 단휴(Pieter Danhieux) 대표이사가 포브스 테크놀로지 위원회(Forbes Technology Council)에 기고한 첫 번째 글이 게재된 것을 매우 기쁘게 생각합니다. 해당 글은 개발자의 역량을 강화해 보다 안전한 코드를 작성하는 것이 사이버 공격과 데이터 유출을 방지하는 데 필수적임을 설명했습니다. 또한 보안에 민감한 개발자들이 어떻게 더 나은 품질의 안전한 코드를 제공할 수 있는지, 그리고 많은 IT 부서가 생각하는 것보다 더 빠르게 이를 실현할 수 있는 방법도 제시했습니다. 이러한 접근 방식의 필요성은 분명히 시급합니다. 최근 연구에 따르면 사이버 공격은 이제 39초마다 발생하며, 우리는 콜로니얼 파이프라인에 대한 단 한 번의 성공적인 랜섬웨어 공격이 초래한 혼란을 목격했습니다. 이 공격은 전반적으로 SolarWinds 해킹만큼 파괴적이지는 않았습니다.

‍

많은 일반적인 취약점이 지속되는 이유는 개발자들에게 잘못된 코딩 패턴을 더 안전하고 보안적으로 동일한 기능을 수행하는 더 나은 방법으로 대체하는 방법을 가르쳐 준 사람이 없기 때문입니다. 그리고 소프트웨어 개발 후기 단계에서 결함을 수정하는 데 드는 비용은 소요 시간과 배포 지연 측면에서 극도로 높습니다. 특히 공격자가 이전에 발견되지 않은 취약점을 악용한 경우, 배포된 코드를 수정하는 데는 때로 수백만 달러가 소요될 수 있습니다. 이는 대규모 침해 사고로 인한 기업 평판 손실은 고려조차 하지 않은 금액입니다.

보안 교육을 받은 개발자는 자연스럽게 더 나은 코더가 됩니다. CISO(최고정보보안책임자)가 당장 보안 도구를 포기해서는 안 되지만, 상위에서부터 포괄적이고 예방적인 보안 접근 방식을 채택함으로써 CISO는 특히 소프트웨어 개발 주기 초기부터 코딩을 안전하게 보호하는 데 있어 기업의 가장 큰 자원인 인적 요소를 활용할 수 있습니다.

이를 위해 염두에 두어야 할 세 가지 주요 상위 전략은 다음과 같습니다.

1. 능동적으로 행동하라, 수동적으로 반응하지 마라

기업들은 종종 반응적 사고의 함정에 빠지곤 합니다. 예를 들어, 독자적인 비전을 개발하고 추구하기보다는 경쟁사가 하는 일에 대응하는 식이죠. 많은 기업들이 코드 내 보안 취약점 문제에서도 같은 접근법을 취합니다. 성공적인 침해 사고가 발생한 후에야 어쩔 수 없이 사이버보안을 진지하게 고려하는 식이죠. 안타깝게도 그때쯤이면 이미 피해는 발생했습니다: 벌금, 복구 비용, 고객 이탈, 브랜드 회복 등이 재무 실적에 영향을 미칩니다. 또 다른 반응적 접근 방식은 안전한 코드 작성 자체에 집중하기보다 기존 코드의 취약점을 자동 또는 수동 분석에 의존하는 것입니다. 안타깝게도 코드 디지털화는 완벽한 해결책이 아니기 때문에, 코드에 취약점이 많을수록 일부 취약점이 누락될 가능성이 커집니다.

개발자와 협력하여 초기 단계부터 안전한 코드를 작성하도록 지원하는 적극적인 접근 방식을 채택해야만, 코딩 취약점이 사용자에게 노출될 가능성을 크게 줄이는 소프트웨어 개발 라이프사이클을 구축할 수 있습니다.

2. 실력을 향상시키되, 과장하지 마세요

개발자에게 안전한 코드 작성에 필요한 지식을 제공하기로 결정했다면 접근 방식을 신중하게 선택하십시오. 코딩 작업을 중단시키는 내부 교육 워크숍은 개발자와 관리자 모두를 좌절시킵니다. 야간이나 주말에 참여해야 하는 외부 교육 과정은 더욱 인기가 없습니다. 가장 효과적인 접근법은 코딩 역량을 점진적으로 향상시키는 것입니다. 즉, 코딩 과정 중에 단계별로 관련 정보를 제공하는 것이 핵심입니다. 개발자의 집중을 크게 방해하거나 개발 속도를 저하시키지 않으면서 역량을 향상시키는 방식이죠.

3. 권유하라, 추측하지 마라

개발자들은 보안 역량 강화를 처벌이나 완전한 부담으로 여겨서는 안 됩니다. 관리자들은 안전한 코드가 기업의 성공에 중요한 역할을 한다는 점을 설명함으로써 개발자들에게 동기를 부여해야 합니다. 또한 안전한 코딩을 하는 개발자가 기업에 더 가치 있으며, 향후 더 넓은 경력 기회를 누릴 수 있다는 점을 이해시키는 것도 중요합니다.

바이든 행정부는 호의적으로 받아들여지고 있다 행정명령 사이버 보안과 "개발자 및 공급업체 자체의 보안 관행을 평가하고 안전한 관행 준수를 입증하기 위한 혁신적인 도구 또는 방법을 식별하기 위한 기준을 포함할 필요성"에 더욱 중점을 두었습니다. 그러나 도구는 필수적이지만 충분하지 않습니다. 어떤 도구도 개인이 구축된 시스템과 도구를 무시하거나 오해하거나 악용하거나 우회하는 능력을 완전히 제거하지는 못합니다. 기업 보안을 최적화하기 위해 최고정보보안책임자(CISO)는 인적 요소를 활용하고 개발자들이 보안의 지지자이자 자발적인 실천자가 되도록 장려해야 합니다.