개발자들이 보안 의식을 가지고 코딩하도록 하고 싶으신가요? 그들에게 교육을 제공하세요.
소프트웨어 개발 생명주기(SDLC)는 충분히 무해해 보입니다. 그것은 하나의 프로세스이며, 우리 소프트웨어 관계자들은 모두 모여 마법을 실현하고, 사회가 없이는 살아갈 수 없는 디지털 상품을 모두 출하합니다.
다만... 소프트웨어 개발 프로젝트에 참여한 적이 있다면, 그것이 보통 정복해야 할 퀘스트와 처치해야 할 드래곤을 위한 도전이라는 것을 아실 겁니다. 한동안은 즐겁지만, 번아웃 증후군은 현실이며, 소프트웨어 수요로 인해 우리 모두, 특히 개발 팀은 최상의 타이밍에 빛의 속도로 일하고 있습니다.
이번에는 그들이 관여하는 프로젝트 요소에서 보안 책임이라는 또 하나의 수행 과제가 부여되었다고 상상해 보십시오. 이로 인해 최악의 경우 일부 개인에게는 카드 하우스가 무너질 수 있지만, 보다 현실적인 시나리오는 단순히 우선순위가 부여되지 않은 채, 선을 넘을 가능성이 더 시급한 문제들이 우선 처리된다는 것입니다. 또한 대부분의 개발자가 안전한 코딩 훈련을 받지 못한 경우(특히 관리자가 보안을 우선시하지 않을 때),빈번한 데이터 유출, 결함이 있는 앱 출시, 그리고 보안 전문가들 사이에서 버그 투성이 코드의 눈사태가 한계점에 다다른 것도 놀랄 일이 아닙니다.
개발자에게는 AppSec 지지자가 필요합니다.
위 시나리오를 적용해 보면, 코딩 과정에서 보안이 '너무 어려운' 바구니에 담겨 보안 팀에 맡겨져 해결되는 이유를 알 수 있습니다. 경쟁하는 마감일이 너무 많고, 훈련이 부족하며, 다른 일들이 진행되는 와중에 보안에 신경 쓸 실질적인 이유가 없습니다.그러나 이 현상을 유지하기에는 코드에 대한 수요가 너무 높습니다. 바로 그 지점에서 초엘리트 개발자가 다른 개발자들보다 두각을 나타내고, 새로운 기술을 습득하며, 무엇보다도 더 안전한 코드를 구축할 수 있는 것입니다.
다만, 소프트웨어 보안 관리가 전적으로 개발자의 책임은 아니라는 점을 명심하는 것이 중요합니다. 이는 여전히 AppSec 팀의 영역입니다(보안을 의식하는 개발자와 협력하면 흔한 버그를 반복적으로 수정하는 대신 여유 있게 작업할 수 있습니다). 효과적인 DevSecOps 프로세스를 위해서는 팀의 모든 구성원이 보안에 대한 책임을 분담할 수 있도록 필요한 지원과 도구를 제공해야 하며, 올바른 유형의 교육이 최우선 과제입니다. 적절한 도구 세트와 교육의 균형을 맞추기 위해서는 개발자와 긴밀히 협력하여 개발자의 의욕을 고취시키고 긍정적인 변화를 주도하려는 애플리케이션 보안 전문가의 통찰력이 필요합니다.
파괴적인 교육은 효과적이라기보다는 오히려 성가시며, 개발자에게 불쾌한 것은 모두 잘 되지 않습니다. 한 입 크기의 지식에 초점을 맞춘 IDE 또는 이슈 트래커를 통합한 솔루션이 하나의 선택지이며, 필요한 순간에 적절한 정보를 개발자에게 제공할 수 있습니다.
실제 동작은 다음과 같습니다.
「만약을 대비해서」가 아니라, 적시 생산.
상황에 따른 실용적인 학습 한 입 크기의 챕터를 가장 적절한 시점에 제공할 수 있기 때문에, 단연 가장 효과적인 훈련 방법입니다. 이는 '적시(Just-in-Time, JIT)' 훈련이라고도 불리며, 보안 코딩을 배우는 개발자에게 매우 효과적입니다.
기원은 토요타의 린 제조 원칙, JiT(Just-In-Time) 교육은 상황에 따라 가장 중요한 시점에, 알아야 할 때 수강할 수 있도록 설계되었습니다.개발자가 부적절한 권한을 가진 것으로 보이는 코드를 작성한 적이 있습니까? 공격자가 원격으로 코드를 실행할 수 있는 작은 백도어가 열리면 어떻게 될까요? 개발자가 Confluence 문서를 따라가거나, 교육에서 다룬 내용을 구글에서 검색하는 것보다, 필요한 순간에 즉시 지식에 접근할 수 있다면 훨씬 더 기억에 남을 것입니다.
저스트인타임은 '만일의 경우'를 대비한 학습과는 정반대입니다. 지식을 전달하는 방법으로는 후자가 더 일반적인 방식이지만, 단순히 효율적이지 않습니다. 개발자가 보안 코딩의 모범 사례를 따르기 쉽게 하고, 현재 진행 중인 주요 목표에 집중하면서 동시에 경력 발전의 이점을 쉽게 이해할 수 있도록 해야 합니다.
개발자에게 교육을 계속 받도록 강요하지 맙시다.
하루에 해야 할 일이 너무 많다는 것은 이미 알고 있습니다. 그렇다면 개발자가 서둘러 강의실로 가거나 맥락을 전환하여 정적인 이론 기반 교육을 받기 위해 5단계 과정을 거쳐야 할까요?
일반적인 합의는 데이터 침해의 원인이 되는 취약점의 양과 상관없이 대부분의 조직이 취하는 조치가 그다지 효과적이지 않다는 점입니다. 버라이즌의 2020년 데이터 유출 조사 보고서는 다음과 같이 명시하고 있습니다. 데이터 유출의 43%는 웹 취약성에서 비롯될 수 있습니다. 개발자들은 효과적인 교육을 받지 못하고 있습니다. 고등 교육 과정에서도, 직장 내 역량 강화 프로그램에서도 다루어지지 않습니다. 만약 그렇다면, SQL 인젝션이나 오래된 취약점 같은 일반적인 문제들입니다. 경로 탐색(path traversal ) 같은 취약점이 악용되어 막대한 데이터 유출을 초래하거나, 사이버 보안 기술 부족이 통제 불능 상태로 이어지지도 않습니다.
그렇다면 개발자들이 교육을 받고 보안에 정통한 현재 환경임을 알면서도 그 나쁜 결과에 놀라는 이유는 무엇일까요? Jira, GitHub, IDE 등 실제 작업 공간에서 접근 가능한, 더 매끄럽고 통합되며 번거로움이 적은 교육 경험을 구현하는 것은 개발자와 조직 모두에게 긍정적인 효과를 가져올 수 있습니다.업계는 더 이상 사치품이 아닌 환경에서 나아가야 하며, 보안에 대한 인식을 훨씬 더 쉽게 만들어야 합니다.
개발 워크플로를 보호할 준비가 되셨습니까?
보안 의식이 높은 개발자는 코드 구축 단계부터 조직에 제공할 수 있는 보호 기능과 그 기술력을 높이 평가받고 있습니다. 보안은 더 이상 선택 사항이 아닙니다. 특히 GDPR 벌금, PCI-DSS 규정 준수, NIST 거버넌스... 그리고 수백만 달러 규모의 집단 소송(에퀴팩스 사례처럼)에 휘말릴 가능성까지 고려할 때, 보안은 더 이상 선택 사항이 아닙니다.
통합적인 접근 방식은 혼란을 줄인 학습을 통해 개발자를 확보하는 계기가 될 수 있으며, 보다 심층적인 과정으로의 길을 열어주고, 보안 챔피언을 양성하며, 전 세계 데이터를 안전하고 건전하게 유지하기 위해 필요한 책임 공유를 촉진하는 계기가 될 수 있습니다.
통합 도구 다운로드: Jira 및 GitHub 자, 여러분의 생각을 알려주세요.
하루에 해야 할 일이 너무 많다는 것은 이미 알고 있습니다. 그렇다면 개발자가 서둘러 강의실로 가거나 맥락을 전환하여 정적인 이론 기반 교육을 받기 위해 5단계 과정을 거쳐야 할까요?
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
소프트웨어 개발 생명주기(SDLC)는 충분히 무해해 보입니다. 그것은 하나의 프로세스이며, 우리 소프트웨어 관계자들은 모두 모여 마법을 실현하고, 사회가 없이는 살아갈 수 없는 디지털 상품을 모두 출하합니다.
다만... 소프트웨어 개발 프로젝트에 참여한 적이 있다면, 그것이 보통 정복해야 할 퀘스트와 처치해야 할 드래곤을 위한 도전이라는 것을 아실 겁니다. 한동안은 즐겁지만, 번아웃 증후군은 현실이며, 소프트웨어 수요로 인해 우리 모두, 특히 개발 팀은 최상의 타이밍에 빛의 속도로 일하고 있습니다.
이번에는 그들이 관여하는 프로젝트 요소에서 보안 책임이라는 또 하나의 수행 과제가 부여되었다고 상상해 보십시오. 이로 인해 최악의 경우 일부 개인에게는 카드 하우스가 무너질 수 있지만, 보다 현실적인 시나리오는 단순히 우선순위가 부여되지 않은 채, 선을 넘을 가능성이 더 시급한 문제들이 우선 처리된다는 것입니다. 또한 대부분의 개발자가 안전한 코딩 훈련을 받지 못한 경우(특히 관리자가 보안을 우선시하지 않을 때),빈번한 데이터 유출, 결함이 있는 앱 출시, 그리고 보안 전문가들 사이에서 버그 투성이 코드의 눈사태가 한계점에 다다른 것도 놀랄 일이 아닙니다.
개발자에게는 AppSec 지지자가 필요합니다.
위 시나리오를 적용해 보면, 코딩 과정에서 보안이 '너무 어려운' 바구니에 담겨 보안 팀에 맡겨져 해결되는 이유를 알 수 있습니다. 경쟁하는 마감일이 너무 많고, 훈련이 부족하며, 다른 일들이 진행되는 와중에 보안에 신경 쓸 실질적인 이유가 없습니다.그러나 이 현상을 유지하기에는 코드에 대한 수요가 너무 높습니다. 바로 그 지점에서 초엘리트 개발자가 다른 개발자들보다 두각을 나타내고, 새로운 기술을 습득하며, 무엇보다도 더 안전한 코드를 구축할 수 있는 것입니다.
다만, 소프트웨어 보안 관리가 전적으로 개발자의 책임은 아니라는 점을 명심하는 것이 중요합니다. 이는 여전히 AppSec 팀의 영역입니다(보안을 의식하는 개발자와 협력하면 흔한 버그를 반복적으로 수정하는 대신 여유 있게 작업할 수 있습니다). 효과적인 DevSecOps 프로세스를 위해서는 팀의 모든 구성원이 보안에 대한 책임을 분담할 수 있도록 필요한 지원과 도구를 제공해야 하며, 올바른 유형의 교육이 최우선 과제입니다. 적절한 도구 세트와 교육의 균형을 맞추기 위해서는 개발자와 긴밀히 협력하여 개발자의 의욕을 고취시키고 긍정적인 변화를 주도하려는 애플리케이션 보안 전문가의 통찰력이 필요합니다.
파괴적인 교육은 효과적이라기보다는 오히려 성가시며, 개발자에게 불쾌한 것은 모두 잘 되지 않습니다. 한 입 크기의 지식에 초점을 맞춘 IDE 또는 이슈 트래커를 통합한 솔루션이 하나의 선택지이며, 필요한 순간에 적절한 정보를 개발자에게 제공할 수 있습니다.
실제 동작은 다음과 같습니다.
「만약을 대비해서」가 아니라, 적시 생산.
상황에 따른 실용적인 학습 한 입 크기의 챕터를 가장 적절한 시점에 제공할 수 있기 때문에, 단연 가장 효과적인 훈련 방법입니다. 이는 '적시(Just-in-Time, JIT)' 훈련이라고도 불리며, 보안 코딩을 배우는 개발자에게 매우 효과적입니다.
기원은 토요타의 린 제조 원칙, JiT(Just-In-Time) 교육은 상황에 따라 가장 중요한 시점에, 알아야 할 때 수강할 수 있도록 설계되었습니다.개발자가 부적절한 권한을 가진 것으로 보이는 코드를 작성한 적이 있습니까? 공격자가 원격으로 코드를 실행할 수 있는 작은 백도어가 열리면 어떻게 될까요? 개발자가 Confluence 문서를 따라가거나, 교육에서 다룬 내용을 구글에서 검색하는 것보다, 필요한 순간에 즉시 지식에 접근할 수 있다면 훨씬 더 기억에 남을 것입니다.
저스트인타임은 '만일의 경우'를 대비한 학습과는 정반대입니다. 지식을 전달하는 방법으로는 후자가 더 일반적인 방식이지만, 단순히 효율적이지 않습니다. 개발자가 보안 코딩의 모범 사례를 따르기 쉽게 하고, 현재 진행 중인 주요 목표에 집중하면서 동시에 경력 발전의 이점을 쉽게 이해할 수 있도록 해야 합니다.
개발자에게 교육을 계속 받도록 강요하지 맙시다.
하루에 해야 할 일이 너무 많다는 것은 이미 알고 있습니다. 그렇다면 개발자가 서둘러 강의실로 가거나 맥락을 전환하여 정적인 이론 기반 교육을 받기 위해 5단계 과정을 거쳐야 할까요?
일반적인 합의는 데이터 침해의 원인이 되는 취약점의 양과 상관없이 대부분의 조직이 취하는 조치가 그다지 효과적이지 않다는 점입니다. 버라이즌의 2020년 데이터 유출 조사 보고서는 다음과 같이 명시하고 있습니다. 데이터 유출의 43%는 웹 취약성에서 비롯될 수 있습니다. 개발자들은 효과적인 교육을 받지 못하고 있습니다. 고등 교육 과정에서도, 직장 내 역량 강화 프로그램에서도 다루어지지 않습니다. 만약 그렇다면, SQL 인젝션이나 오래된 취약점 같은 일반적인 문제들입니다. 경로 탐색(path traversal ) 같은 취약점이 악용되어 막대한 데이터 유출을 초래하거나, 사이버 보안 기술 부족이 통제 불능 상태로 이어지지도 않습니다.
그렇다면 개발자들이 교육을 받고 보안에 정통한 현재 환경임을 알면서도 그 나쁜 결과에 놀라는 이유는 무엇일까요? Jira, GitHub, IDE 등 실제 작업 공간에서 접근 가능한, 더 매끄럽고 통합되며 번거로움이 적은 교육 경험을 구현하는 것은 개발자와 조직 모두에게 긍정적인 효과를 가져올 수 있습니다.업계는 더 이상 사치품이 아닌 환경에서 나아가야 하며, 보안에 대한 인식을 훨씬 더 쉽게 만들어야 합니다.
개발 워크플로를 보호할 준비가 되셨습니까?
보안 의식이 높은 개발자는 코드 구축 단계부터 조직에 제공할 수 있는 보호 기능과 그 기술력을 높이 평가받고 있습니다. 보안은 더 이상 선택 사항이 아닙니다. 특히 GDPR 벌금, PCI-DSS 규정 준수, NIST 거버넌스... 그리고 수백만 달러 규모의 집단 소송(에퀴팩스 사례처럼)에 휘말릴 가능성까지 고려할 때, 보안은 더 이상 선택 사항이 아닙니다.
통합적인 접근 방식은 혼란을 줄인 학습을 통해 개발자를 확보하는 계기가 될 수 있으며, 보다 심층적인 과정으로의 길을 열어주고, 보안 챔피언을 양성하며, 전 세계 데이터를 안전하고 건전하게 유지하기 위해 필요한 책임 공유를 촉진하는 계기가 될 수 있습니다.
통합 도구 다운로드: Jira 및 GitHub 자, 여러분의 생각을 알려주세요.
소프트웨어 개발 생명주기(SDLC)는 충분히 무해해 보입니다. 그것은 하나의 프로세스이며, 우리 소프트웨어 관계자들은 모두 모여 마법을 실현하고, 사회가 없이는 살아갈 수 없는 디지털 상품을 모두 출하합니다.
다만... 소프트웨어 개발 프로젝트에 참여한 적이 있다면, 그것이 보통 정복해야 할 퀘스트와 처치해야 할 드래곤을 위한 도전이라는 것을 아실 겁니다. 한동안은 즐겁지만, 번아웃 증후군은 현실이며, 소프트웨어 수요로 인해 우리 모두, 특히 개발 팀은 최상의 타이밍에 빛의 속도로 일하고 있습니다.
이번에는 그들이 관여하는 프로젝트 요소에서 보안 책임이라는 또 하나의 수행 과제가 부여되었다고 상상해 보십시오. 이로 인해 최악의 경우 일부 개인에게는 카드 하우스가 무너질 수 있지만, 보다 현실적인 시나리오는 단순히 우선순위가 부여되지 않은 채, 선을 넘을 가능성이 더 시급한 문제들이 우선 처리된다는 것입니다. 또한 대부분의 개발자가 안전한 코딩 훈련을 받지 못한 경우(특히 관리자가 보안을 우선시하지 않을 때),빈번한 데이터 유출, 결함이 있는 앱 출시, 그리고 보안 전문가들 사이에서 버그 투성이 코드의 눈사태가 한계점에 다다른 것도 놀랄 일이 아닙니다.
개발자에게는 AppSec 지지자가 필요합니다.
위 시나리오를 적용해 보면, 코딩 과정에서 보안이 '너무 어려운' 바구니에 담겨 보안 팀에 맡겨져 해결되는 이유를 알 수 있습니다. 경쟁하는 마감일이 너무 많고, 훈련이 부족하며, 다른 일들이 진행되는 와중에 보안에 신경 쓸 실질적인 이유가 없습니다.그러나 이 현상을 유지하기에는 코드에 대한 수요가 너무 높습니다. 바로 그 지점에서 초엘리트 개발자가 다른 개발자들보다 두각을 나타내고, 새로운 기술을 습득하며, 무엇보다도 더 안전한 코드를 구축할 수 있는 것입니다.
다만, 소프트웨어 보안 관리가 전적으로 개발자의 책임은 아니라는 점을 명심하는 것이 중요합니다. 이는 여전히 AppSec 팀의 영역입니다(보안을 의식하는 개발자와 협력하면 흔한 버그를 반복적으로 수정하는 대신 여유 있게 작업할 수 있습니다). 효과적인 DevSecOps 프로세스를 위해서는 팀의 모든 구성원이 보안에 대한 책임을 분담할 수 있도록 필요한 지원과 도구를 제공해야 하며, 올바른 유형의 교육이 최우선 과제입니다. 적절한 도구 세트와 교육의 균형을 맞추기 위해서는 개발자와 긴밀히 협력하여 개발자의 의욕을 고취시키고 긍정적인 변화를 주도하려는 애플리케이션 보안 전문가의 통찰력이 필요합니다.
파괴적인 교육은 효과적이라기보다는 오히려 성가시며, 개발자에게 불쾌한 것은 모두 잘 되지 않습니다. 한 입 크기의 지식에 초점을 맞춘 IDE 또는 이슈 트래커를 통합한 솔루션이 하나의 선택지이며, 필요한 순간에 적절한 정보를 개발자에게 제공할 수 있습니다.
실제 동작은 다음과 같습니다.
「만약을 대비해서」가 아니라, 적시 생산.
상황에 따른 실용적인 학습 한 입 크기의 챕터를 가장 적절한 시점에 제공할 수 있기 때문에, 단연 가장 효과적인 훈련 방법입니다. 이는 '적시(Just-in-Time, JIT)' 훈련이라고도 불리며, 보안 코딩을 배우는 개발자에게 매우 효과적입니다.
기원은 토요타의 린 제조 원칙, JiT(Just-In-Time) 교육은 상황에 따라 가장 중요한 시점에, 알아야 할 때 수강할 수 있도록 설계되었습니다.개발자가 부적절한 권한을 가진 것으로 보이는 코드를 작성한 적이 있습니까? 공격자가 원격으로 코드를 실행할 수 있는 작은 백도어가 열리면 어떻게 될까요? 개발자가 Confluence 문서를 따라가거나, 교육에서 다룬 내용을 구글에서 검색하는 것보다, 필요한 순간에 즉시 지식에 접근할 수 있다면 훨씬 더 기억에 남을 것입니다.
저스트인타임은 '만일의 경우'를 대비한 학습과는 정반대입니다. 지식을 전달하는 방법으로는 후자가 더 일반적인 방식이지만, 단순히 효율적이지 않습니다. 개발자가 보안 코딩의 모범 사례를 따르기 쉽게 하고, 현재 진행 중인 주요 목표에 집중하면서 동시에 경력 발전의 이점을 쉽게 이해할 수 있도록 해야 합니다.
개발자에게 교육을 계속 받도록 강요하지 맙시다.
하루에 해야 할 일이 너무 많다는 것은 이미 알고 있습니다. 그렇다면 개발자가 서둘러 강의실로 가거나 맥락을 전환하여 정적인 이론 기반 교육을 받기 위해 5단계 과정을 거쳐야 할까요?
일반적인 합의는 데이터 침해의 원인이 되는 취약점의 양과 상관없이 대부분의 조직이 취하는 조치가 그다지 효과적이지 않다는 점입니다. 버라이즌의 2020년 데이터 유출 조사 보고서는 다음과 같이 명시하고 있습니다. 데이터 유출의 43%는 웹 취약성에서 비롯될 수 있습니다. 개발자들은 효과적인 교육을 받지 못하고 있습니다. 고등 교육 과정에서도, 직장 내 역량 강화 프로그램에서도 다루어지지 않습니다. 만약 그렇다면, SQL 인젝션이나 오래된 취약점 같은 일반적인 문제들입니다. 경로 탐색(path traversal ) 같은 취약점이 악용되어 막대한 데이터 유출을 초래하거나, 사이버 보안 기술 부족이 통제 불능 상태로 이어지지도 않습니다.
그렇다면 개발자들이 교육을 받고 보안에 정통한 현재 환경임을 알면서도 그 나쁜 결과에 놀라는 이유는 무엇일까요? Jira, GitHub, IDE 등 실제 작업 공간에서 접근 가능한, 더 매끄럽고 통합되며 번거로움이 적은 교육 경험을 구현하는 것은 개발자와 조직 모두에게 긍정적인 효과를 가져올 수 있습니다.업계는 더 이상 사치품이 아닌 환경에서 나아가야 하며, 보안에 대한 인식을 훨씬 더 쉽게 만들어야 합니다.
개발 워크플로를 보호할 준비가 되셨습니까?
보안 의식이 높은 개발자는 코드 구축 단계부터 조직에 제공할 수 있는 보호 기능과 그 기술력을 높이 평가받고 있습니다. 보안은 더 이상 선택 사항이 아닙니다. 특히 GDPR 벌금, PCI-DSS 규정 준수, NIST 거버넌스... 그리고 수백만 달러 규모의 집단 소송(에퀴팩스 사례처럼)에 휘말릴 가능성까지 고려할 때, 보안은 더 이상 선택 사항이 아닙니다.
통합적인 접근 방식은 혼란을 줄인 학습을 통해 개발자를 확보하는 계기가 될 수 있으며, 보다 심층적인 과정으로의 길을 열어주고, 보안 챔피언을 양성하며, 전 세계 데이터를 안전하고 건전하게 유지하기 위해 필요한 책임 공유를 촉진하는 계기가 될 수 있습니다.
통합 도구 다운로드: Jira 및 GitHub 자, 여러분의 생각을 알려주세요.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
소프트웨어 개발 생명주기(SDLC)는 충분히 무해해 보입니다. 그것은 하나의 프로세스이며, 우리 소프트웨어 관계자들은 모두 모여 마법을 실현하고, 사회가 없이는 살아갈 수 없는 디지털 상품을 모두 출하합니다.
다만... 소프트웨어 개발 프로젝트에 참여한 적이 있다면, 그것이 보통 정복해야 할 퀘스트와 처치해야 할 드래곤을 위한 도전이라는 것을 아실 겁니다. 한동안은 즐겁지만, 번아웃 증후군은 현실이며, 소프트웨어 수요로 인해 우리 모두, 특히 개발 팀은 최상의 타이밍에 빛의 속도로 일하고 있습니다.
이번에는 그들이 관여하는 프로젝트 요소에서 보안 책임이라는 또 하나의 수행 과제가 부여되었다고 상상해 보십시오. 이로 인해 최악의 경우 일부 개인에게는 카드 하우스가 무너질 수 있지만, 보다 현실적인 시나리오는 단순히 우선순위가 부여되지 않은 채, 선을 넘을 가능성이 더 시급한 문제들이 우선 처리된다는 것입니다. 또한 대부분의 개발자가 안전한 코딩 훈련을 받지 못한 경우(특히 관리자가 보안을 우선시하지 않을 때),빈번한 데이터 유출, 결함이 있는 앱 출시, 그리고 보안 전문가들 사이에서 버그 투성이 코드의 눈사태가 한계점에 다다른 것도 놀랄 일이 아닙니다.
개발자에게는 AppSec 지지자가 필요합니다.
위 시나리오를 적용해 보면, 코딩 과정에서 보안이 '너무 어려운' 바구니에 담겨 보안 팀에 맡겨져 해결되는 이유를 알 수 있습니다. 경쟁하는 마감일이 너무 많고, 훈련이 부족하며, 다른 일들이 진행되는 와중에 보안에 신경 쓸 실질적인 이유가 없습니다.그러나 이 현상을 유지하기에는 코드에 대한 수요가 너무 높습니다. 바로 그 지점에서 초엘리트 개발자가 다른 개발자들보다 두각을 나타내고, 새로운 기술을 습득하며, 무엇보다도 더 안전한 코드를 구축할 수 있는 것입니다.
다만, 소프트웨어 보안 관리가 전적으로 개발자의 책임은 아니라는 점을 명심하는 것이 중요합니다. 이는 여전히 AppSec 팀의 영역입니다(보안을 의식하는 개발자와 협력하면 흔한 버그를 반복적으로 수정하는 대신 여유 있게 작업할 수 있습니다). 효과적인 DevSecOps 프로세스를 위해서는 팀의 모든 구성원이 보안에 대한 책임을 분담할 수 있도록 필요한 지원과 도구를 제공해야 하며, 올바른 유형의 교육이 최우선 과제입니다. 적절한 도구 세트와 교육의 균형을 맞추기 위해서는 개발자와 긴밀히 협력하여 개발자의 의욕을 고취시키고 긍정적인 변화를 주도하려는 애플리케이션 보안 전문가의 통찰력이 필요합니다.
파괴적인 교육은 효과적이라기보다는 오히려 성가시며, 개발자에게 불쾌한 것은 모두 잘 되지 않습니다. 한 입 크기의 지식에 초점을 맞춘 IDE 또는 이슈 트래커를 통합한 솔루션이 하나의 선택지이며, 필요한 순간에 적절한 정보를 개발자에게 제공할 수 있습니다.
실제 동작은 다음과 같습니다.
「만약을 대비해서」가 아니라, 적시 생산.
상황에 따른 실용적인 학습 한 입 크기의 챕터를 가장 적절한 시점에 제공할 수 있기 때문에, 단연 가장 효과적인 훈련 방법입니다. 이는 '적시(Just-in-Time, JIT)' 훈련이라고도 불리며, 보안 코딩을 배우는 개발자에게 매우 효과적입니다.
기원은 토요타의 린 제조 원칙, JiT(Just-In-Time) 교육은 상황에 따라 가장 중요한 시점에, 알아야 할 때 수강할 수 있도록 설계되었습니다.개발자가 부적절한 권한을 가진 것으로 보이는 코드를 작성한 적이 있습니까? 공격자가 원격으로 코드를 실행할 수 있는 작은 백도어가 열리면 어떻게 될까요? 개발자가 Confluence 문서를 따라가거나, 교육에서 다룬 내용을 구글에서 검색하는 것보다, 필요한 순간에 즉시 지식에 접근할 수 있다면 훨씬 더 기억에 남을 것입니다.
저스트인타임은 '만일의 경우'를 대비한 학습과는 정반대입니다. 지식을 전달하는 방법으로는 후자가 더 일반적인 방식이지만, 단순히 효율적이지 않습니다. 개발자가 보안 코딩의 모범 사례를 따르기 쉽게 하고, 현재 진행 중인 주요 목표에 집중하면서 동시에 경력 발전의 이점을 쉽게 이해할 수 있도록 해야 합니다.
개발자에게 교육을 계속 받도록 강요하지 맙시다.
하루에 해야 할 일이 너무 많다는 것은 이미 알고 있습니다. 그렇다면 개발자가 서둘러 강의실로 가거나 맥락을 전환하여 정적인 이론 기반 교육을 받기 위해 5단계 과정을 거쳐야 할까요?
일반적인 합의는 데이터 침해의 원인이 되는 취약점의 양과 상관없이 대부분의 조직이 취하는 조치가 그다지 효과적이지 않다는 점입니다. 버라이즌의 2020년 데이터 유출 조사 보고서는 다음과 같이 명시하고 있습니다. 데이터 유출의 43%는 웹 취약성에서 비롯될 수 있습니다. 개발자들은 효과적인 교육을 받지 못하고 있습니다. 고등 교육 과정에서도, 직장 내 역량 강화 프로그램에서도 다루어지지 않습니다. 만약 그렇다면, SQL 인젝션이나 오래된 취약점 같은 일반적인 문제들입니다. 경로 탐색(path traversal ) 같은 취약점이 악용되어 막대한 데이터 유출을 초래하거나, 사이버 보안 기술 부족이 통제 불능 상태로 이어지지도 않습니다.
그렇다면 개발자들이 교육을 받고 보안에 정통한 현재 환경임을 알면서도 그 나쁜 결과에 놀라는 이유는 무엇일까요? Jira, GitHub, IDE 등 실제 작업 공간에서 접근 가능한, 더 매끄럽고 통합되며 번거로움이 적은 교육 경험을 구현하는 것은 개발자와 조직 모두에게 긍정적인 효과를 가져올 수 있습니다.업계는 더 이상 사치품이 아닌 환경에서 나아가야 하며, 보안에 대한 인식을 훨씬 더 쉽게 만들어야 합니다.
개발 워크플로를 보호할 준비가 되셨습니까?
보안 의식이 높은 개발자는 코드 구축 단계부터 조직에 제공할 수 있는 보호 기능과 그 기술력을 높이 평가받고 있습니다. 보안은 더 이상 선택 사항이 아닙니다. 특히 GDPR 벌금, PCI-DSS 규정 준수, NIST 거버넌스... 그리고 수백만 달러 규모의 집단 소송(에퀴팩스 사례처럼)에 휘말릴 가능성까지 고려할 때, 보안은 더 이상 선택 사항이 아닙니다.
통합적인 접근 방식은 혼란을 줄인 학습을 통해 개발자를 확보하는 계기가 될 수 있으며, 보다 심층적인 과정으로의 길을 열어주고, 보안 챔피언을 양성하며, 전 세계 데이터를 안전하고 건전하게 유지하기 위해 필요한 책임 공유를 촉진하는 계기가 될 수 있습니다.
통합 도구 다운로드: Jira 및 GitHub 자, 여러분의 생각을 알려주세요.
목차
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약[다운로드]
%20(1).avif)
.avif)
