탈레스가 개발자 주도형 보안을 구현한 방법
배경
탈레스 그룹은 프랑스의 다국적 기업으로, 항공우주, 방위, 운송, 보안 분야를 위한 전기 시스템과 장치 및 장비의 설계, 개발, 제조를 수행합니다. 비스와나스 S. 치라부리는 탈레스의 소프트웨어 보안 기술 디렉터입니다. 비스와나스, 또는 비스는 프로그래머로 보안 업계에서 경력을 시작했습니다.그는 현재 탈레스의 수석 보안 리더로, 보안 업계에서 18년 이상의 경력을 쌓았으며 CISSP, PMP, GSE를 포함한 30개 이상의 인증을 보유하고 있습니다. 18개국 이상에서 3,000명 이상의 소프트웨어 전문가를 교육해 왔습니다. 또한,Vis는 국제 사이버 보안 대회(Netwars 등)에서 10개 이상의 SANS 챌린지 코인을 획득했으며, GIAC 자문 위원회의 적극적인 멤버이기도 합니다. 우리는 Vis 씨와 이야기를 나누며, 탈레스에서 안전한 코드 학습 프로그램을 성공적으로 운영하기 위해 사람, 프로세스, 기술을 어떻게 결합했는지 들어보았습니다.
상황
Vis가 타레스에 입사했을 때, 그는 비즈니스 유닛에 펜테스트에서 발견된 취약점의 원인을 조사하도록 지시했습니다.이는 미처리된 기술 부채를 줄일 수 있는 해결책입니다. 애플리케이션 보안 팀은 IAST/DAST 도구부터 침투 테스트 도구까지, 협력하던 7개 업체의 다양한 도구를 활용해 보안 체계를 강화했습니다. Vis는 시장 동향을 이해하고 위협을 확장 가능하게 관리하기 위해 프로세스와 기술의 강력한 통합을 통한 완화 전략을 수립하고자 했습니다. 즉, 순수한 도구 기반 접근 방식에서 강력한 학습 요소를 갖춘 전략으로의 전환이 필요했습니다.그는 많은 개발자들이 보안 배경이나 보안 기술을 갖추지 못했다는 점을 깨달았습니다. 그의 초기 접근 방식은 OWASP Top 10과 같은 주제에 대한 교실 기반 교육을 개발자에게 제공하는 것이었지만, 대면 교육을 위해 필요한 출장 비용과 전 세계 수천 명의 개발자에게 도달해야 한다는 점에서 규모에 맞지 않음을 곧 깨달았습니다. Vis 씨는 다음과 같이 지적했습니다.
「보안과 개발의 비율에는 항상 불균형이 발생합니다. 보안과 개발자의 비율이 1:1이었다 하더라도, 개발자를 지속적으로 끌어들이는 것은 불가능했습니다.새로운 공격 경로, 모범 사례, 신규 언어, 새로 발견된 취약점에 대해 개발자에게 지속적으로 최신 정보를 제공하려면, 개발자의 자율 학습을 촉진하고 자신의 속도로 진행할 수 있도록 해야 했습니다. 그들이 도움이 필요할 때 저는 도울 수 있었지만, 그들이 발견한 모든 취약점을 수정하는 방법을 제가 가르칠 수는 없다는 점을 깨달았습니다.」
초기에는 매우 많은 개발자가 제로부터 시작했다는 점을 인지하고, 개발 관리자들로부터 개발자가 안전한 코드 학습에 투자해야 하는 시간에 대한 반발이 있었습니다. Vis는 안전한 코드 학습에 대한 노력이 소프트웨어 출시 주기를 방해하거나 미션 크리티컬한 스프린트를 지연시킬 수 있다는 인식을 해결해야 했습니다.그는 조직이 안전한 코드를 위한 애자일 학습에 시간을 투자하도록 적절한 동기를 부여하는 방법을 찾아야 했습니다. Vis는 사람을 최우선으로 생각하는 태도로 취약성의 근본 원인을 해결했습니다. "보안은 개발에서 시간을 빼앗는다고 흔히 말합니다. 제게는 무언가를 개발했는데 그것이 안전하지 않다면, 애초에 시간 낭비였습니다. 항상 안전한 소프트웨어를 개발하고, 쉽게 피할 수 있었던 취약점을 수정하는 수고를 덜어야 합니다. 신뢰할 수 있는 코드를 제공한다는 공통의 목표를 우리 모두가 가져야 합니다."
액션
Vis는 자사 소프트웨어 보호와 탈레스 개발팀의 보안 의식 제고라는 두 가지 주요 목표를 염두에 두고 있었습니다.개발자가 독립적으로 자신의 속도에 맞춰 훈련할 수 있는 프로그램을 구현하는 것이 중요했습니다. Vis의 전략은 시간을 들여 보안 커뮤니티를 구축하고, 안전한 코딩을 기업 정책과 연계하며, 조직 내에서 안전한 코드 학습을 의무화하는 것이었습니다. 개발자, 테스터, 아키텍트, 엔지니어를 연결하는 커뮤니티 문화를 장려함으로써동기 부여의 시너지 효과를 볼 수 있었습니다. 일상 업무의 일환으로 보안에 열정을 쏟는 보안 챔피언이 등장하면서 안전한 코딩 기법에 대한 인식이 조직 전체로 확산되었습니다.Vis는 10여 개 보안 교육 벤더를 평가한 끝에 2019년 SCW의 고객이 되었습니다. 탈레스에게는 단편적인 솔루션이 아닌, 환경 내 모든 프로그래밍 언어와 프레임워크를 아우르는 벤더가 있다는 점이 큰 장점이었습니다. Vis는 Secure Code Warrior의 방대한 콘텐츠를 활용해 보안 프로그램 개발자가 이용할 수 있는 교육과 자기 주도 학습을 구축하여 접근 가능하게 했습니다.
OWASP Top 10은 단순히 알아야 할 10가지 사항에 그치지 않습니다. OWASP가 다루는 취약점의 깊이와 다양성, 그리고 수많은 프로그래밍 언어가 결합되면 압도적일 수 있습니다. 이러한 측면에서 우리가 직면한 과제와 광범위한 적용 범위가 SCW를 선택한 주요 이유였습니다. 항상 새로운 내용이 추가되고 있습니다.깊이, 주제의 다양성, 최신 콘텐츠, 안전한 코드 설계 원칙에 대한 집중이 SCW를 진정으로 돋보이게 합니다. 이를 통해 일회성 교육이 아닌 지속적인 프로그램을 구축할 기회를 얻을 수 있었습니다.」
비스와 그의 팀은 엔지니어링 역할별로 서로 다른 마일스톤을 설정하여, 보안 코드 학습 프로그램의 배포를 4단계로 구성했습니다.
중요한 것은 SCW가 취약점 수정 사항에 대한 신뢰할 수 있는 정보원이 되었다는 점입니다.Vis는 문제 해결로 이어질 수 있는 Google 검색에 의존하기보다는 AppSec 팀의 가이드라인과 SCW 콘텐츠 라이브러리의 가이드라인을 모두 공개했습니다. 이를 통해 개발자는 코드 내 취약점 수정에 대한 신뢰할 수 있는 출처를 참조할 수 있습니다. Vis에 따르면:
개발자가 취약점을 수정하는 방법이나 그 과정에서 새로운 취약점을 도입하는 방법을 자유롭게 결정해서는 안 됩니다. 개발자가 취약점을 올바른 방법으로 수정하는 방법을 배울 수 있도록 SCW의 SCORM 통합을 통해 SCW 비디오를 LMS에 통합했습니다. 이를 통해 안전한 소프트웨어를 제공하는 개발자가 확실히 인정받는 방법도 마련했습니다.우리는 개발자에게 일정 수준의 안전한 코딩을 요구합니다. 그리고 개발자가 해결한 취약점을 추적할 수 있으며, 재도입하지 않습니다. 그렇게 하면 그들이 기울인 노력이 회사 내에서 인정받고 평가받을 수 있습니다.」
결과
Vis와 그의 팀은 매월 사내 최고 수준의 학습자를 소개하는 보안 코드 뉴스레터를 발행하고 있습니다.SCW를 활용하여 평가 점수, 토너먼트 참여, 그리고 성취도 향상을 위해 수행한 과제를 분석하고 있습니다. 이를 통해 다른 개발자들의 학습 의욕도 높아집니다. 그가 처음 설정한 KPI는 2년 동안 취약점 총량을 줄이는 데 중점을 두었습니다. SCW를 도입한 후, 트렌드 라인이 감소하는 것을 확인했습니다. 이러한 취약점들은 소스 코드 수준에서 재도입되지 않았습니다. Vis는 이렇게 말합니다.
「경영진에게 제시하는 KPI는 우리가 충분한 정보를 바탕으로 내린 선택을 반영합니다. 우리는 고객에게 비즈니스 신뢰를 제공하는 안전한 코드 교육을 받고 있다는 점을 자랑스럽게 생각합니다. 포괄적인 보안 코드 교육 프로그램이 인정받아 고객과 업계 동료들로부터 존중받고 있습니다. 이러한 프로그램은 회사에 큰 가치를 창출합니다.」
중요한 포인트
Vis는 모든 보안 이니셔티브에서 사람, 프로세스, 기술이 각각 수행해야 할 역할이 있음을 인식했습니다. 소프트웨어 보안, 개발자의 지식, 규정 준수 대응에 중점을 두어 시간이 지남에 따라 소스 코드의 취약점을 줄이는 안전한 코드 프로그램을 위한 애자일 러닝을 통합할 수 있습니다. Vis는 개발자 팀 내에서 보안 기술을 습득하고자 하는 해당 분야의 전문가들에게 이러한 권장 사항을 제시하고 있습니다.
이 사례 연구에서는 개발자를 적극적으로 보안 챔피언으로 육성하기 위해 탈레스가 애자일 보안 코드 학습 프로그램을 위한 인재, 프로세스, 기술 접근 방식을 어떻게 개발했는지 알아봅니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
배경
탈레스 그룹은 프랑스의 다국적 기업으로, 항공우주, 방위, 운송, 보안 분야를 위한 전기 시스템과 장치 및 장비의 설계, 개발, 제조를 수행합니다. 비스와나스 S. 치라부리는 탈레스의 소프트웨어 보안 기술 디렉터입니다. 비스와나스, 또는 비스는 프로그래머로 보안 업계에서 경력을 시작했습니다.그는 현재 탈레스의 수석 보안 리더로, 보안 업계에서 18년 이상의 경력을 쌓았으며 CISSP, PMP, GSE를 포함한 30개 이상의 인증을 보유하고 있습니다. 18개국 이상에서 3,000명 이상의 소프트웨어 전문가를 교육해 왔습니다. 또한,Vis는 국제 사이버 보안 대회(Netwars 등)에서 10개 이상의 SANS 챌린지 코인을 획득했으며, GIAC 자문 위원회의 적극적인 멤버이기도 합니다. 우리는 Vis 씨와 이야기를 나누며, 탈레스에서 안전한 코드 학습 프로그램을 성공적으로 운영하기 위해 사람, 프로세스, 기술을 어떻게 결합했는지 들어보았습니다.
상황
Vis가 타레스에 입사했을 때, 그는 비즈니스 유닛에 펜테스트에서 발견된 취약점의 원인을 조사하도록 지시했습니다.이는 미처리된 기술 부채를 줄일 수 있는 해결책입니다. 애플리케이션 보안 팀은 IAST/DAST 도구부터 침투 테스트 도구까지, 협력하던 7개 업체의 다양한 도구를 활용해 보안 체계를 강화했습니다. Vis는 시장 동향을 이해하고 위협을 확장 가능하게 관리하기 위해 프로세스와 기술의 강력한 통합을 통한 완화 전략을 수립하고자 했습니다. 즉, 순수한 도구 기반 접근 방식에서 강력한 학습 요소를 갖춘 전략으로의 전환이 필요했습니다.그는 많은 개발자들이 보안 배경이나 보안 기술을 갖추지 못했다는 점을 깨달았습니다. 그의 초기 접근 방식은 OWASP Top 10과 같은 주제에 대한 교실 기반 교육을 개발자에게 제공하는 것이었지만, 대면 교육을 위해 필요한 출장 비용과 전 세계 수천 명의 개발자에게 도달해야 한다는 점에서 규모에 맞지 않음을 곧 깨달았습니다. Vis 씨는 다음과 같이 지적했습니다.
「보안과 개발의 비율에는 항상 불균형이 발생합니다. 보안과 개발자의 비율이 1:1이었다 하더라도, 개발자를 지속적으로 끌어들이는 것은 불가능했습니다.새로운 공격 경로, 모범 사례, 신규 언어, 새로 발견된 취약점에 대해 개발자에게 지속적으로 최신 정보를 제공하려면, 개발자의 자율 학습을 촉진하고 자신의 속도로 진행할 수 있도록 해야 했습니다. 그들이 도움이 필요할 때 저는 도울 수 있었지만, 그들이 발견한 모든 취약점을 수정하는 방법을 제가 가르칠 수는 없다는 점을 깨달았습니다.」
초기에는 매우 많은 개발자가 제로부터 시작했다는 점을 인지하고, 개발 관리자들로부터 개발자가 안전한 코드 학습에 투자해야 하는 시간에 대한 반발이 있었습니다. Vis는 안전한 코드 학습에 대한 노력이 소프트웨어 출시 주기를 방해하거나 미션 크리티컬한 스프린트를 지연시킬 수 있다는 인식을 해결해야 했습니다.그는 조직이 안전한 코드를 위한 애자일 학습에 시간을 투자하도록 적절한 동기를 부여하는 방법을 찾아야 했습니다. Vis는 사람을 최우선으로 생각하는 태도로 취약성의 근본 원인을 해결했습니다. "보안은 개발에서 시간을 빼앗는다고 흔히 말합니다. 제게는 무언가를 개발했는데 그것이 안전하지 않다면, 애초에 시간 낭비였습니다. 항상 안전한 소프트웨어를 개발하고, 쉽게 피할 수 있었던 취약점을 수정하는 수고를 덜어야 합니다. 신뢰할 수 있는 코드를 제공한다는 공통의 목표를 우리 모두가 가져야 합니다."
액션
Vis는 자사 소프트웨어 보호와 탈레스 개발팀의 보안 의식 제고라는 두 가지 주요 목표를 염두에 두고 있었습니다.개발자가 독립적으로 자신의 속도에 맞춰 훈련할 수 있는 프로그램을 구현하는 것이 중요했습니다. Vis의 전략은 시간을 들여 보안 커뮤니티를 구축하고, 안전한 코딩을 기업 정책과 연계하며, 조직 내에서 안전한 코드 학습을 의무화하는 것이었습니다. 개발자, 테스터, 아키텍트, 엔지니어를 연결하는 커뮤니티 문화를 장려함으로써동기 부여의 시너지 효과를 볼 수 있었습니다. 일상 업무의 일환으로 보안에 열정을 쏟는 보안 챔피언이 등장하면서 안전한 코딩 기법에 대한 인식이 조직 전체로 확산되었습니다.Vis는 10여 개 보안 교육 벤더를 평가한 끝에 2019년 SCW의 고객이 되었습니다. 탈레스에게는 단편적인 솔루션이 아닌, 환경 내 모든 프로그래밍 언어와 프레임워크를 아우르는 벤더가 있다는 점이 큰 장점이었습니다. Vis는 Secure Code Warrior의 방대한 콘텐츠를 활용해 보안 프로그램 개발자가 이용할 수 있는 교육과 자기 주도 학습을 구축하여 접근 가능하게 했습니다.
OWASP Top 10은 단순히 알아야 할 10가지 사항에 그치지 않습니다. OWASP가 다루는 취약점의 깊이와 다양성, 그리고 수많은 프로그래밍 언어가 결합되면 압도적일 수 있습니다. 이러한 측면에서 우리가 직면한 과제와 광범위한 적용 범위가 SCW를 선택한 주요 이유였습니다. 항상 새로운 내용이 추가되고 있습니다.깊이, 주제의 다양성, 최신 콘텐츠, 안전한 코드 설계 원칙에 대한 집중이 SCW를 진정으로 돋보이게 합니다. 이를 통해 일회성 교육이 아닌 지속적인 프로그램을 구축할 기회를 얻을 수 있었습니다.」
비스와 그의 팀은 엔지니어링 역할별로 서로 다른 마일스톤을 설정하여, 보안 코드 학습 프로그램의 배포를 4단계로 구성했습니다.
중요한 것은 SCW가 취약점 수정 사항에 대한 신뢰할 수 있는 정보원이 되었다는 점입니다.Vis는 문제 해결로 이어질 수 있는 Google 검색에 의존하기보다는 AppSec 팀의 가이드라인과 SCW 콘텐츠 라이브러리의 가이드라인을 모두 공개했습니다. 이를 통해 개발자는 코드 내 취약점 수정에 대한 신뢰할 수 있는 출처를 참조할 수 있습니다. Vis에 따르면:
개발자가 취약점을 수정하는 방법이나 그 과정에서 새로운 취약점을 도입하는 방법을 자유롭게 결정해서는 안 됩니다. 개발자가 취약점을 올바른 방법으로 수정하는 방법을 배울 수 있도록 SCW의 SCORM 통합을 통해 SCW 비디오를 LMS에 통합했습니다. 이를 통해 안전한 소프트웨어를 제공하는 개발자가 확실히 인정받는 방법도 마련했습니다.우리는 개발자에게 일정 수준의 안전한 코딩을 요구합니다. 그리고 개발자가 해결한 취약점을 추적할 수 있으며, 재도입하지 않습니다. 그렇게 하면 그들이 기울인 노력이 회사 내에서 인정받고 평가받을 수 있습니다.」
결과
Vis와 그의 팀은 매월 사내 최고 수준의 학습자를 소개하는 보안 코드 뉴스레터를 발행하고 있습니다.SCW를 활용하여 평가 점수, 토너먼트 참여, 그리고 성취도 향상을 위해 수행한 과제를 분석하고 있습니다. 이를 통해 다른 개발자들의 학습 의욕도 높아집니다. 그가 처음 설정한 KPI는 2년 동안 취약점 총량을 줄이는 데 중점을 두었습니다. SCW를 도입한 후, 트렌드 라인이 감소하는 것을 확인했습니다. 이러한 취약점들은 소스 코드 수준에서 재도입되지 않았습니다. Vis는 이렇게 말합니다.
「경영진에게 제시하는 KPI는 우리가 충분한 정보를 바탕으로 내린 선택을 반영합니다. 우리는 고객에게 비즈니스 신뢰를 제공하는 안전한 코드 교육을 받고 있다는 점을 자랑스럽게 생각합니다. 포괄적인 보안 코드 교육 프로그램이 인정받아 고객과 업계 동료들로부터 존중받고 있습니다. 이러한 프로그램은 회사에 큰 가치를 창출합니다.」
중요한 포인트
Vis는 모든 보안 이니셔티브에서 사람, 프로세스, 기술이 각각 수행해야 할 역할이 있음을 인식했습니다. 소프트웨어 보안, 개발자의 지식, 규정 준수 대응에 중점을 두어 시간이 지남에 따라 소스 코드의 취약점을 줄이는 안전한 코드 프로그램을 위한 애자일 러닝을 통합할 수 있습니다. Vis는 개발자 팀 내에서 보안 기술을 습득하고자 하는 해당 분야의 전문가들에게 이러한 권장 사항을 제시하고 있습니다.
배경
탈레스 그룹은 프랑스의 다국적 기업으로, 항공우주, 방위, 운송, 보안 분야를 위한 전기 시스템과 장치 및 장비의 설계, 개발, 제조를 수행합니다. 비스와나스 S. 치라부리는 탈레스의 소프트웨어 보안 기술 디렉터입니다. 비스와나스, 또는 비스는 프로그래머로 보안 업계에서 경력을 시작했습니다.그는 현재 탈레스의 수석 보안 리더로, 보안 업계에서 18년 이상의 경력을 쌓았으며 CISSP, PMP, GSE를 포함한 30개 이상의 인증을 보유하고 있습니다. 18개국 이상에서 3,000명 이상의 소프트웨어 전문가를 교육해 왔습니다. 또한,Vis는 국제 사이버 보안 대회(Netwars 등)에서 10개 이상의 SANS 챌린지 코인을 획득했으며, GIAC 자문 위원회의 적극적인 멤버이기도 합니다. 우리는 Vis 씨와 이야기를 나누며, 탈레스에서 안전한 코드 학습 프로그램을 성공적으로 운영하기 위해 사람, 프로세스, 기술을 어떻게 결합했는지 들어보았습니다.
상황
Vis가 타레스에 입사했을 때, 그는 비즈니스 유닛에 펜테스트에서 발견된 취약점의 원인을 조사하도록 지시했습니다.이는 미처리된 기술 부채를 줄일 수 있는 해결책입니다. 애플리케이션 보안 팀은 IAST/DAST 도구부터 침투 테스트 도구까지, 협력하던 7개 업체의 다양한 도구를 활용해 보안 체계를 강화했습니다. Vis는 시장 동향을 이해하고 위협을 확장 가능하게 관리하기 위해 프로세스와 기술의 강력한 통합을 통한 완화 전략을 수립하고자 했습니다. 즉, 순수한 도구 기반 접근 방식에서 강력한 학습 요소를 갖춘 전략으로의 전환이 필요했습니다.그는 많은 개발자들이 보안 배경이나 보안 기술을 갖추지 못했다는 점을 깨달았습니다. 그의 초기 접근 방식은 OWASP Top 10과 같은 주제에 대한 교실 기반 교육을 개발자에게 제공하는 것이었지만, 대면 교육을 위해 필요한 출장 비용과 전 세계 수천 명의 개발자에게 도달해야 한다는 점에서 규모에 맞지 않음을 곧 깨달았습니다. Vis 씨는 다음과 같이 지적했습니다.
「보안과 개발의 비율에는 항상 불균형이 발생합니다. 보안과 개발자의 비율이 1:1이었다 하더라도, 개발자를 지속적으로 끌어들이는 것은 불가능했습니다.새로운 공격 경로, 모범 사례, 신규 언어, 새로 발견된 취약점에 대해 개발자에게 지속적으로 최신 정보를 제공하려면, 개발자의 자율 학습을 촉진하고 자신의 속도로 진행할 수 있도록 해야 했습니다. 그들이 도움이 필요할 때 저는 도울 수 있었지만, 그들이 발견한 모든 취약점을 수정하는 방법을 제가 가르칠 수는 없다는 점을 깨달았습니다.」
초기에는 매우 많은 개발자가 제로부터 시작했다는 점을 인지하고, 개발 관리자들로부터 개발자가 안전한 코드 학습에 투자해야 하는 시간에 대한 반발이 있었습니다. Vis는 안전한 코드 학습에 대한 노력이 소프트웨어 출시 주기를 방해하거나 미션 크리티컬한 스프린트를 지연시킬 수 있다는 인식을 해결해야 했습니다.그는 조직이 안전한 코드를 위한 애자일 학습에 시간을 투자하도록 적절한 동기를 부여하는 방법을 찾아야 했습니다. Vis는 사람을 최우선으로 생각하는 태도로 취약성의 근본 원인을 해결했습니다. "보안은 개발에서 시간을 빼앗는다고 흔히 말합니다. 제게는 무언가를 개발했는데 그것이 안전하지 않다면, 애초에 시간 낭비였습니다. 항상 안전한 소프트웨어를 개발하고, 쉽게 피할 수 있었던 취약점을 수정하는 수고를 덜어야 합니다. 신뢰할 수 있는 코드를 제공한다는 공통의 목표를 우리 모두가 가져야 합니다."
액션
Vis는 자사 소프트웨어 보호와 탈레스 개발팀의 보안 의식 제고라는 두 가지 주요 목표를 염두에 두고 있었습니다.개발자가 독립적으로 자신의 속도에 맞춰 훈련할 수 있는 프로그램을 구현하는 것이 중요했습니다. Vis의 전략은 시간을 들여 보안 커뮤니티를 구축하고, 안전한 코딩을 기업 정책과 연계하며, 조직 내에서 안전한 코드 학습을 의무화하는 것이었습니다. 개발자, 테스터, 아키텍트, 엔지니어를 연결하는 커뮤니티 문화를 장려함으로써동기 부여의 시너지 효과를 볼 수 있었습니다. 일상 업무의 일환으로 보안에 열정을 쏟는 보안 챔피언이 등장하면서 안전한 코딩 기법에 대한 인식이 조직 전체로 확산되었습니다.Vis는 10여 개 보안 교육 벤더를 평가한 끝에 2019년 SCW의 고객이 되었습니다. 탈레스에게는 단편적인 솔루션이 아닌, 환경 내 모든 프로그래밍 언어와 프레임워크를 아우르는 벤더가 있다는 점이 큰 장점이었습니다. Vis는 Secure Code Warrior의 방대한 콘텐츠를 활용해 보안 프로그램 개발자가 이용할 수 있는 교육과 자기 주도 학습을 구축하여 접근 가능하게 했습니다.
OWASP Top 10은 단순히 알아야 할 10가지 사항에 그치지 않습니다. OWASP가 다루는 취약점의 깊이와 다양성, 그리고 수많은 프로그래밍 언어가 결합되면 압도적일 수 있습니다. 이러한 측면에서 우리가 직면한 과제와 광범위한 적용 범위가 SCW를 선택한 주요 이유였습니다. 항상 새로운 내용이 추가되고 있습니다.깊이, 주제의 다양성, 최신 콘텐츠, 안전한 코드 설계 원칙에 대한 집중이 SCW를 진정으로 돋보이게 합니다. 이를 통해 일회성 교육이 아닌 지속적인 프로그램을 구축할 기회를 얻을 수 있었습니다.」
비스와 그의 팀은 엔지니어링 역할별로 서로 다른 마일스톤을 설정하여, 보안 코드 학습 프로그램의 배포를 4단계로 구성했습니다.
중요한 것은 SCW가 취약점 수정 사항에 대한 신뢰할 수 있는 정보원이 되었다는 점입니다.Vis는 문제 해결로 이어질 수 있는 Google 검색에 의존하기보다는 AppSec 팀의 가이드라인과 SCW 콘텐츠 라이브러리의 가이드라인을 모두 공개했습니다. 이를 통해 개발자는 코드 내 취약점 수정에 대한 신뢰할 수 있는 출처를 참조할 수 있습니다. Vis에 따르면:
개발자가 취약점을 수정하는 방법이나 그 과정에서 새로운 취약점을 도입하는 방법을 자유롭게 결정해서는 안 됩니다. 개발자가 취약점을 올바른 방법으로 수정하는 방법을 배울 수 있도록 SCW의 SCORM 통합을 통해 SCW 비디오를 LMS에 통합했습니다. 이를 통해 안전한 소프트웨어를 제공하는 개발자가 확실히 인정받는 방법도 마련했습니다.우리는 개발자에게 일정 수준의 안전한 코딩을 요구합니다. 그리고 개발자가 해결한 취약점을 추적할 수 있으며, 재도입하지 않습니다. 그렇게 하면 그들이 기울인 노력이 회사 내에서 인정받고 평가받을 수 있습니다.」
결과
Vis와 그의 팀은 매월 사내 최고 수준의 학습자를 소개하는 보안 코드 뉴스레터를 발행하고 있습니다.SCW를 활용하여 평가 점수, 토너먼트 참여, 그리고 성취도 향상을 위해 수행한 과제를 분석하고 있습니다. 이를 통해 다른 개발자들의 학습 의욕도 높아집니다. 그가 처음 설정한 KPI는 2년 동안 취약점 총량을 줄이는 데 중점을 두었습니다. SCW를 도입한 후, 트렌드 라인이 감소하는 것을 확인했습니다. 이러한 취약점들은 소스 코드 수준에서 재도입되지 않았습니다. Vis는 이렇게 말합니다.
「경영진에게 제시하는 KPI는 우리가 충분한 정보를 바탕으로 내린 선택을 반영합니다. 우리는 고객에게 비즈니스 신뢰를 제공하는 안전한 코드 교육을 받고 있다는 점을 자랑스럽게 생각합니다. 포괄적인 보안 코드 교육 프로그램이 인정받아 고객과 업계 동료들로부터 존중받고 있습니다. 이러한 프로그램은 회사에 큰 가치를 창출합니다.」
중요한 포인트
Vis는 모든 보안 이니셔티브에서 사람, 프로세스, 기술이 각각 수행해야 할 역할이 있음을 인식했습니다. 소프트웨어 보안, 개발자의 지식, 규정 준수 대응에 중점을 두어 시간이 지남에 따라 소스 코드의 취약점을 줄이는 안전한 코드 프로그램을 위한 애자일 러닝을 통합할 수 있습니다. Vis는 개발자 팀 내에서 보안 기술을 습득하고자 하는 해당 분야의 전문가들에게 이러한 권장 사항을 제시하고 있습니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
배경
탈레스 그룹은 프랑스의 다국적 기업으로, 항공우주, 방위, 운송, 보안 분야를 위한 전기 시스템과 장치 및 장비의 설계, 개발, 제조를 수행합니다. 비스와나스 S. 치라부리는 탈레스의 소프트웨어 보안 기술 디렉터입니다. 비스와나스, 또는 비스는 프로그래머로 보안 업계에서 경력을 시작했습니다.그는 현재 탈레스의 수석 보안 리더로, 보안 업계에서 18년 이상의 경력을 쌓았으며 CISSP, PMP, GSE를 포함한 30개 이상의 인증을 보유하고 있습니다. 18개국 이상에서 3,000명 이상의 소프트웨어 전문가를 교육해 왔습니다. 또한,Vis는 국제 사이버 보안 대회(Netwars 등)에서 10개 이상의 SANS 챌린지 코인을 획득했으며, GIAC 자문 위원회의 적극적인 멤버이기도 합니다. 우리는 Vis 씨와 이야기를 나누며, 탈레스에서 안전한 코드 학습 프로그램을 성공적으로 운영하기 위해 사람, 프로세스, 기술을 어떻게 결합했는지 들어보았습니다.
상황
Vis가 타레스에 입사했을 때, 그는 비즈니스 유닛에 펜테스트에서 발견된 취약점의 원인을 조사하도록 지시했습니다.이는 미처리된 기술 부채를 줄일 수 있는 해결책입니다. 애플리케이션 보안 팀은 IAST/DAST 도구부터 침투 테스트 도구까지, 협력하던 7개 업체의 다양한 도구를 활용해 보안 체계를 강화했습니다. Vis는 시장 동향을 이해하고 위협을 확장 가능하게 관리하기 위해 프로세스와 기술의 강력한 통합을 통한 완화 전략을 수립하고자 했습니다. 즉, 순수한 도구 기반 접근 방식에서 강력한 학습 요소를 갖춘 전략으로의 전환이 필요했습니다.그는 많은 개발자들이 보안 배경이나 보안 기술을 갖추지 못했다는 점을 깨달았습니다. 그의 초기 접근 방식은 OWASP Top 10과 같은 주제에 대한 교실 기반 교육을 개발자에게 제공하는 것이었지만, 대면 교육을 위해 필요한 출장 비용과 전 세계 수천 명의 개발자에게 도달해야 한다는 점에서 규모에 맞지 않음을 곧 깨달았습니다. Vis 씨는 다음과 같이 지적했습니다.
「보안과 개발의 비율에는 항상 불균형이 발생합니다. 보안과 개발자의 비율이 1:1이었다 하더라도, 개발자를 지속적으로 끌어들이는 것은 불가능했습니다.새로운 공격 경로, 모범 사례, 신규 언어, 새로 발견된 취약점에 대해 개발자에게 지속적으로 최신 정보를 제공하려면, 개발자의 자율 학습을 촉진하고 자신의 속도로 진행할 수 있도록 해야 했습니다. 그들이 도움이 필요할 때 저는 도울 수 있었지만, 그들이 발견한 모든 취약점을 수정하는 방법을 제가 가르칠 수는 없다는 점을 깨달았습니다.」
초기에는 매우 많은 개발자가 제로부터 시작했다는 점을 인지하고, 개발 관리자들로부터 개발자가 안전한 코드 학습에 투자해야 하는 시간에 대한 반발이 있었습니다. Vis는 안전한 코드 학습에 대한 노력이 소프트웨어 출시 주기를 방해하거나 미션 크리티컬한 스프린트를 지연시킬 수 있다는 인식을 해결해야 했습니다.그는 조직이 안전한 코드를 위한 애자일 학습에 시간을 투자하도록 적절한 동기를 부여하는 방법을 찾아야 했습니다. Vis는 사람을 최우선으로 생각하는 태도로 취약성의 근본 원인을 해결했습니다. "보안은 개발에서 시간을 빼앗는다고 흔히 말합니다. 제게는 무언가를 개발했는데 그것이 안전하지 않다면, 애초에 시간 낭비였습니다. 항상 안전한 소프트웨어를 개발하고, 쉽게 피할 수 있었던 취약점을 수정하는 수고를 덜어야 합니다. 신뢰할 수 있는 코드를 제공한다는 공통의 목표를 우리 모두가 가져야 합니다."
액션
Vis는 자사 소프트웨어 보호와 탈레스 개발팀의 보안 의식 제고라는 두 가지 주요 목표를 염두에 두고 있었습니다.개발자가 독립적으로 자신의 속도에 맞춰 훈련할 수 있는 프로그램을 구현하는 것이 중요했습니다. Vis의 전략은 시간을 들여 보안 커뮤니티를 구축하고, 안전한 코딩을 기업 정책과 연계하며, 조직 내에서 안전한 코드 학습을 의무화하는 것이었습니다. 개발자, 테스터, 아키텍트, 엔지니어를 연결하는 커뮤니티 문화를 장려함으로써동기 부여의 시너지 효과를 볼 수 있었습니다. 일상 업무의 일환으로 보안에 열정을 쏟는 보안 챔피언이 등장하면서 안전한 코딩 기법에 대한 인식이 조직 전체로 확산되었습니다.Vis는 10여 개 보안 교육 벤더를 평가한 끝에 2019년 SCW의 고객이 되었습니다. 탈레스에게는 단편적인 솔루션이 아닌, 환경 내 모든 프로그래밍 언어와 프레임워크를 아우르는 벤더가 있다는 점이 큰 장점이었습니다. Vis는 Secure Code Warrior의 방대한 콘텐츠를 활용해 보안 프로그램 개발자가 이용할 수 있는 교육과 자기 주도 학습을 구축하여 접근 가능하게 했습니다.
OWASP Top 10은 단순히 알아야 할 10가지 사항에 그치지 않습니다. OWASP가 다루는 취약점의 깊이와 다양성, 그리고 수많은 프로그래밍 언어가 결합되면 압도적일 수 있습니다. 이러한 측면에서 우리가 직면한 과제와 광범위한 적용 범위가 SCW를 선택한 주요 이유였습니다. 항상 새로운 내용이 추가되고 있습니다.깊이, 주제의 다양성, 최신 콘텐츠, 안전한 코드 설계 원칙에 대한 집중이 SCW를 진정으로 돋보이게 합니다. 이를 통해 일회성 교육이 아닌 지속적인 프로그램을 구축할 기회를 얻을 수 있었습니다.」
비스와 그의 팀은 엔지니어링 역할별로 서로 다른 마일스톤을 설정하여, 보안 코드 학습 프로그램의 배포를 4단계로 구성했습니다.
중요한 것은 SCW가 취약점 수정 사항에 대한 신뢰할 수 있는 정보원이 되었다는 점입니다.Vis는 문제 해결로 이어질 수 있는 Google 검색에 의존하기보다는 AppSec 팀의 가이드라인과 SCW 콘텐츠 라이브러리의 가이드라인을 모두 공개했습니다. 이를 통해 개발자는 코드 내 취약점 수정에 대한 신뢰할 수 있는 출처를 참조할 수 있습니다. Vis에 따르면:
개발자가 취약점을 수정하는 방법이나 그 과정에서 새로운 취약점을 도입하는 방법을 자유롭게 결정해서는 안 됩니다. 개발자가 취약점을 올바른 방법으로 수정하는 방법을 배울 수 있도록 SCW의 SCORM 통합을 통해 SCW 비디오를 LMS에 통합했습니다. 이를 통해 안전한 소프트웨어를 제공하는 개발자가 확실히 인정받는 방법도 마련했습니다.우리는 개발자에게 일정 수준의 안전한 코딩을 요구합니다. 그리고 개발자가 해결한 취약점을 추적할 수 있으며, 재도입하지 않습니다. 그렇게 하면 그들이 기울인 노력이 회사 내에서 인정받고 평가받을 수 있습니다.」
결과
Vis와 그의 팀은 매월 사내 최고 수준의 학습자를 소개하는 보안 코드 뉴스레터를 발행하고 있습니다.SCW를 활용하여 평가 점수, 토너먼트 참여, 그리고 성취도 향상을 위해 수행한 과제를 분석하고 있습니다. 이를 통해 다른 개발자들의 학습 의욕도 높아집니다. 그가 처음 설정한 KPI는 2년 동안 취약점 총량을 줄이는 데 중점을 두었습니다. SCW를 도입한 후, 트렌드 라인이 감소하는 것을 확인했습니다. 이러한 취약점들은 소스 코드 수준에서 재도입되지 않았습니다. Vis는 이렇게 말합니다.
「경영진에게 제시하는 KPI는 우리가 충분한 정보를 바탕으로 내린 선택을 반영합니다. 우리는 고객에게 비즈니스 신뢰를 제공하는 안전한 코드 교육을 받고 있다는 점을 자랑스럽게 생각합니다. 포괄적인 보안 코드 교육 프로그램이 인정받아 고객과 업계 동료들로부터 존중받고 있습니다. 이러한 프로그램은 회사에 큰 가치를 창출합니다.」
중요한 포인트
Vis는 모든 보안 이니셔티브에서 사람, 프로세스, 기술이 각각 수행해야 할 역할이 있음을 인식했습니다. 소프트웨어 보안, 개발자의 지식, 규정 준수 대응에 중점을 두어 시간이 지남에 따라 소스 코드의 취약점을 줄이는 안전한 코드 프로그램을 위한 애자일 러닝을 통합할 수 있습니다. Vis는 개발자 팀 내에서 보안 기술을 습득하고자 하는 해당 분야의 전문가들에게 이러한 권장 사항을 제시하고 있습니다.
%20(1).avif)
.avif)
