발판형 학습이 보안에 강한 개발자를 양성하는 이유
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 즉시 알 수 있습니다. 매일 심각한 침해, 새로운 취약점, 또는 사이버 공격자나 범죄자에 의한 활발한 악용 위협에 대한 보고가 쏟아지고 있습니다. 그리고 거의 모든 업계 지표와 보고서에는 사이버 위협의 수가 점점 더 위험해지고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년 동안 지속될 것이라고 예측하고 있습니다.
이러한 새로운 위협에 맞서는 것은 IT 보안 담당자의 최전선에서 이루어지고 있으며, 인력 부족과 인력 부족이 심각해지고 있습니다. 높은 급여를 받으며 모든 기업과 조직에 필수적인 존재임에도 불구하고, 보안 담당자가 부족한 상황은 결코 사라지지 않습니다. 최근 조사에 따르면, 전략국제문제연구소(CSIS)가 실시한 설문에서 IT 의사결정권자의 82%가 조직이 사이버보안 기술 부족으로 고통받고 있다고 답했으며, 71%는 그 부족이 조직에 직접적이고 측정 가능한 손해를 끼쳤다고 응답했습니다. 보고서에 따르면, 미국에서만 약 94만 명만이 고용된 이 분야에서 52만 개 이상의 사이버보안 관련 채용 공고가 공석인 것으로 나타났습니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 관련 일자리가 공석 상태입니다. 이는 최고 수준의 전문가를 고용하고 유지하기 위해 막대한 비용을 지불할 의사가 있는 조직조차도 적합한 후보자를 찾기 위해 고군분투하고 있음을 의미합니다. 평균적으로 사이버 보안 직위를 채우는 데 소요되는 시간은 다른 어떤 직위보다 약 21% 더 깁니다.
개발자 지원이 너무 오랫동안 무시되어 왔다
과거 블로그에 여러 차례 기록했듯이, 사이버 보안 방어에서 이러한 중대한 격차를 메우기 위해 개발자를 활용할 수 있다는 점입니다. 다만 기존에는 개발자들이 사이버 보안 관련 교육을 받지 못했습니다. 그들의 업무 수행 능력은 거의 전적으로 도입 속도와 시간에 기반했습니다. 보안은 더 나아가 애플리케이션 보안 팀의 업무였습니다.
안타깝게도 단순히 정책을 변경하고 개발자들에게 갑자기 애플리케이션이나 프로그램에 보안을 추가하도록 요청하는 문제만은 아닙니다. 설령 개발자들이 자발적으로 그러한 변경을 시도하려 해도, 조사 결과 그들 대부분이 그러한 태도를 보인다는 사실이 밝혀졌음에도 불구하고, 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 상위 관리진의 격려와 지원도 필요하지만, 의미 있는 학습이 가능해지는 것이 첫 번째이자 대부분의 경우 가장 큰 장애물이 됩니다.
전 세계적으로 수백만 개의 고소득 안전 IT 보안 직위가 공석인 데는 이유가 있습니다. 그 일이 쉽다면 누구나 그 분야에 뛰어들 것입니다. 위협과 싸우고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 상황은 끊임없이 변화합니다. 비교적 기술에 능숙한 개발자조차도사이버보안을 가르치려 해도 정형화된 교육은 효과적이지 않습니다. 그런 교육은 즉각적으로 진행되지만 오래 기억되지 않으며 긍정적 영향도 최소화됩니다. 특히 이미 과중한 업무 일정에 이러한 요구사항이 추가될 경우 더욱 그렇습니다.
발판을 만들어 고지에 도달하자
기존 방식으로 사이버 보안 기술을 가르치는 것은 땅에서 발을 떼지 않은 채 초고층 빌딩을 짓는 것과 같습니다. 학생들은 사이버 보안과 같은 복잡한 분야의 많은 고급 개념을 습득하는 데 필요한 기초가 부족하기 때문에 이는 불가능합니다. 이를 보완하기 위해 '발판 학습'이라는 개념을 활용할 수 있습니다.
스킬 업을 위한 발판형 접근법, 즉 '계층화' 접근법을 사용할 경우, 큰 주제는 일반적으로 개별 학습 경험이나 개념으로 분해됩니다.이를 통해 학생들은 적절한 연습과 지도를 통해 각 개념을 습득하고, 각 요소에 필요한 모든 지원을 받을 수 있습니다. 건물의 높이가 높아짐에 따라 물리적 발판이 구축되는 것과 마찬가지로, 새롭고 고급 개념은 이미 습득된 개념 위에 쌓여 나갑니다. 이렇게 함으로써 학생들은 지원 없이는 습득할 수 없는 수준보다 높은 수준의 이해와 기술 습득이 가능해집니다.
그리고 물리적인 발판과 마찬가지로, 그 지원은 불필요해지면 단계적으로 제거되며, 학생이 숙달해감에 따라 학생에 대한 책임도 커집니다.
발판형 학습은 주로 학생들이 지원 없이 어려운 과제에 도전할 때 경험할 수 있는 좌절감, 두려움, 낙담과 같은 부정적인 감정과 자기 인식을 줄이기 위해 사용됩니다.그러나 현대 사이버 보안과 같은 매우 어려운 개념을 다룰 때에도 큰 가치를 지닙니다. 개발자를 어린아이처럼 대하는 방식과는 거리가 멀며, 특히 그들의 노력이 버그 수정이나 새로운 비판과 함께 반환될 때 보안 팀에서의 경험이 좌절감이나 실망감을 유발할 수 있는 동일한 효과를 가져올 수 있다면 매우 유용합니다.
개발자가 보안 코딩의 기초를 이해할 수 있는 도구(일반적으로 OWASP Top 10)가 제공될 경우, 보안 결함이 어떻게 발생하고 왜 위험한지, 그리고 운영 환경으로 배포하기 전에 직접 수정하는 방법을 확인할 수 있습니다.이를 바탕으로 더 복잡한 취약점을 다루고 적절한 수정 사항을 적용하는 실전 경험을 쌓으며 지식을 확장할 수 있습니다. 보안 계층은 점진적으로 증가하며, 안전하지 않은 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제에 대해서는 이러한 도약이 그리 두려운 것이 아니며 정확하게 접근할 수 있습니다.
업계 차원에서 개발자가 보안 전문가가 되기를 기대해서는 안 되지만, 조직은 개발자를 지원하기 위한 새로운 표준을 채택함으로써 더 높은 품질의 소프트웨어를 만들 수 있습니다. 엔지니어링 부서에서 기술 향상에 힘쓰는 조직을 위한 부가적인 혜택으로, 각 단계 또는 발판의 각 레벨은 학습을 진행해 나가면서 사이버 보안 강화로 직접 연결됩니다. 결과를 보기 위해 과정이 끝날 때까지 기다릴 필요는 없습니다.
사이버보안을 배우는 것은 어렵고, 적절한 지원이나 지도 없이는 습득하는 것이 거의 불가능합니다. 보안 프로그램을 발판으로 삼아 통합함으로써 최대한 활용할 수 있으며, 그 혜택은 거의 즉시 드러납니다. 개선은 거의 즉시 시작되며 시간이 지남에 따라 지속적으로 향상됩니다.
우리와 함께 보안에 강한 개발자 양성을 시작해 보세요. 아래를 확인해 주세요.
코스
미션
개발자 트레이닝
... 그리고 더 많은 것들!
업계로서 개발자가 보안 전문가가 되기를 기대해서는 안 되지만, 조직은 더 높은 품질의 소프트웨어를 만들 수 있도록 개발자를 지원하기 위한 새로운 표준을 채택할 수 있습니다.
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 즉시 알 수 있습니다. 매일 심각한 침해, 새로운 취약점, 또는 사이버 공격자나 범죄자에 의한 활발한 악용 위협에 대한 보고가 쏟아지고 있습니다. 그리고 거의 모든 업계 지표와 보고서에는 사이버 위협의 수가 점점 더 위험해지고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년 동안 지속될 것이라고 예측하고 있습니다.
이러한 새로운 위협에 맞서는 것은 IT 보안 담당자의 최전선에서 이루어지고 있으며, 인력 부족과 인력 부족이 심각해지고 있습니다. 높은 급여를 받으며 모든 기업과 조직에 필수적인 존재임에도 불구하고, 보안 담당자가 부족한 상황은 결코 사라지지 않습니다. 최근 조사에 따르면, 전략국제문제연구소(CSIS)가 실시한 설문에서 IT 의사결정권자의 82%가 조직이 사이버보안 기술 부족으로 고통받고 있다고 답했으며, 71%는 그 부족이 조직에 직접적이고 측정 가능한 손해를 끼쳤다고 응답했습니다. 보고서에 따르면, 미국에서만 약 94만 명만이 고용된 이 분야에서 52만 개 이상의 사이버보안 관련 채용 공고가 공석인 것으로 나타났습니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 관련 일자리가 공석 상태입니다. 이는 최고 수준의 전문가를 고용하고 유지하기 위해 막대한 비용을 지불할 의사가 있는 조직조차도 적합한 후보자를 찾기 위해 고군분투하고 있음을 의미합니다. 평균적으로 사이버 보안 직위를 채우는 데 소요되는 시간은 다른 어떤 직위보다 약 21% 더 깁니다.
개발자 지원이 너무 오랫동안 무시되어 왔다
과거 블로그에 여러 차례 기록했듯이, 사이버 보안 방어에서 이러한 중대한 격차를 메우기 위해 개발자를 활용할 수 있다는 점입니다. 다만 기존에는 개발자들이 사이버 보안 관련 교육을 받지 못했습니다. 그들의 업무 수행 능력은 거의 전적으로 도입 속도와 시간에 기반했습니다. 보안은 더 나아가 애플리케이션 보안 팀의 업무였습니다.
안타깝게도 단순히 정책을 변경하고 개발자들에게 갑자기 애플리케이션이나 프로그램에 보안을 추가하도록 요청하는 문제만은 아닙니다. 설령 개발자들이 자발적으로 그러한 변경을 시도하려 해도, 조사 결과 그들 대부분이 그러한 태도를 보인다는 사실이 밝혀졌음에도 불구하고, 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 상위 관리진의 격려와 지원도 필요하지만, 의미 있는 학습이 가능해지는 것이 첫 번째이자 대부분의 경우 가장 큰 장애물이 됩니다.
전 세계적으로 수백만 개의 고소득 안전 IT 보안 직위가 공석인 데는 이유가 있습니다. 그 일이 쉽다면 누구나 그 분야에 뛰어들 것입니다. 위협과 싸우고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 상황은 끊임없이 변화합니다. 비교적 기술에 능숙한 개발자조차도사이버보안을 가르치려 해도 정형화된 교육은 효과적이지 않습니다. 그런 교육은 즉각적으로 진행되지만 오래 기억되지 않으며 긍정적 영향도 최소화됩니다. 특히 이미 과중한 업무 일정에 이러한 요구사항이 추가될 경우 더욱 그렇습니다.
발판을 만들어 고지에 도달하자
기존 방식으로 사이버 보안 기술을 가르치는 것은 땅에서 발을 떼지 않은 채 초고층 빌딩을 짓는 것과 같습니다. 학생들은 사이버 보안과 같은 복잡한 분야의 많은 고급 개념을 습득하는 데 필요한 기초가 부족하기 때문에 이는 불가능합니다. 이를 보완하기 위해 '발판 학습'이라는 개념을 활용할 수 있습니다.
스킬 업을 위한 발판형 접근법, 즉 '계층화' 접근법을 사용할 경우, 큰 주제는 일반적으로 개별 학습 경험이나 개념으로 분해됩니다.이를 통해 학생들은 적절한 연습과 지도를 통해 각 개념을 습득하고, 각 요소에 필요한 모든 지원을 받을 수 있습니다. 건물의 높이가 높아짐에 따라 물리적 발판이 구축되는 것과 마찬가지로, 새롭고 고급 개념은 이미 습득된 개념 위에 쌓여 나갑니다. 이렇게 함으로써 학생들은 지원 없이는 습득할 수 없는 수준보다 높은 수준의 이해와 기술 습득이 가능해집니다.
그리고 물리적인 발판과 마찬가지로, 그 지원은 불필요해지면 단계적으로 제거되며, 학생이 숙달해감에 따라 학생에 대한 책임도 커집니다.
발판형 학습은 주로 학생들이 지원 없이 어려운 과제에 도전할 때 경험할 수 있는 좌절감, 두려움, 낙담과 같은 부정적인 감정과 자기 인식을 줄이기 위해 사용됩니다.그러나 현대 사이버 보안과 같은 매우 어려운 개념을 다룰 때에도 큰 가치를 지닙니다. 개발자를 어린아이처럼 대하는 방식과는 거리가 멀며, 특히 그들의 노력이 버그 수정이나 새로운 비판과 함께 반환될 때 보안 팀에서의 경험이 좌절감이나 실망감을 유발할 수 있는 동일한 효과를 가져올 수 있다면 매우 유용합니다.
개발자가 보안 코딩의 기초를 이해할 수 있는 도구(일반적으로 OWASP Top 10)가 제공될 경우, 보안 결함이 어떻게 발생하고 왜 위험한지, 그리고 운영 환경으로 배포하기 전에 직접 수정하는 방법을 확인할 수 있습니다.이를 바탕으로 더 복잡한 취약점을 다루고 적절한 수정 사항을 적용하는 실전 경험을 쌓으며 지식을 확장할 수 있습니다. 보안 계층은 점진적으로 증가하며, 안전하지 않은 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제에 대해서는 이러한 도약이 그리 두려운 것이 아니며 정확하게 접근할 수 있습니다.
업계 차원에서 개발자가 보안 전문가가 되기를 기대해서는 안 되지만, 조직은 개발자를 지원하기 위한 새로운 표준을 채택함으로써 더 높은 품질의 소프트웨어를 만들 수 있습니다. 엔지니어링 부서에서 기술 향상에 힘쓰는 조직을 위한 부가적인 혜택으로, 각 단계 또는 발판의 각 레벨은 학습을 진행해 나가면서 사이버 보안 강화로 직접 연결됩니다. 결과를 보기 위해 과정이 끝날 때까지 기다릴 필요는 없습니다.
사이버보안을 배우는 것은 어렵고, 적절한 지원이나 지도 없이는 습득하는 것이 거의 불가능합니다. 보안 프로그램을 발판으로 삼아 통합함으로써 최대한 활용할 수 있으며, 그 혜택은 거의 즉시 드러납니다. 개선은 거의 즉시 시작되며 시간이 지남에 따라 지속적으로 향상됩니다.
우리와 함께 보안에 강한 개발자 양성을 시작해 보세요. 아래를 확인해 주세요.
코스
미션
개발자 트레이닝
... 그리고 더 많은 것들!
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 즉시 알 수 있습니다. 매일 심각한 침해, 새로운 취약점, 또는 사이버 공격자나 범죄자에 의한 활발한 악용 위협에 대한 보고가 쏟아지고 있습니다. 그리고 거의 모든 업계 지표와 보고서에는 사이버 위협의 수가 점점 더 위험해지고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년 동안 지속될 것이라고 예측하고 있습니다.
이러한 새로운 위협에 맞서는 것은 IT 보안 담당자의 최전선에서 이루어지고 있으며, 인력 부족과 인력 부족이 심각해지고 있습니다. 높은 급여를 받으며 모든 기업과 조직에 필수적인 존재임에도 불구하고, 보안 담당자가 부족한 상황은 결코 사라지지 않습니다. 최근 조사에 따르면, 전략국제문제연구소(CSIS)가 실시한 설문에서 IT 의사결정권자의 82%가 조직이 사이버보안 기술 부족으로 고통받고 있다고 답했으며, 71%는 그 부족이 조직에 직접적이고 측정 가능한 손해를 끼쳤다고 응답했습니다. 보고서에 따르면, 미국에서만 약 94만 명만이 고용된 이 분야에서 52만 개 이상의 사이버보안 관련 채용 공고가 공석인 것으로 나타났습니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 관련 일자리가 공석 상태입니다. 이는 최고 수준의 전문가를 고용하고 유지하기 위해 막대한 비용을 지불할 의사가 있는 조직조차도 적합한 후보자를 찾기 위해 고군분투하고 있음을 의미합니다. 평균적으로 사이버 보안 직위를 채우는 데 소요되는 시간은 다른 어떤 직위보다 약 21% 더 깁니다.
개발자 지원이 너무 오랫동안 무시되어 왔다
과거 블로그에 여러 차례 기록했듯이, 사이버 보안 방어에서 이러한 중대한 격차를 메우기 위해 개발자를 활용할 수 있다는 점입니다. 다만 기존에는 개발자들이 사이버 보안 관련 교육을 받지 못했습니다. 그들의 업무 수행 능력은 거의 전적으로 도입 속도와 시간에 기반했습니다. 보안은 더 나아가 애플리케이션 보안 팀의 업무였습니다.
안타깝게도 단순히 정책을 변경하고 개발자들에게 갑자기 애플리케이션이나 프로그램에 보안을 추가하도록 요청하는 문제만은 아닙니다. 설령 개발자들이 자발적으로 그러한 변경을 시도하려 해도, 조사 결과 그들 대부분이 그러한 태도를 보인다는 사실이 밝혀졌음에도 불구하고, 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 상위 관리진의 격려와 지원도 필요하지만, 의미 있는 학습이 가능해지는 것이 첫 번째이자 대부분의 경우 가장 큰 장애물이 됩니다.
전 세계적으로 수백만 개의 고소득 안전 IT 보안 직위가 공석인 데는 이유가 있습니다. 그 일이 쉽다면 누구나 그 분야에 뛰어들 것입니다. 위협과 싸우고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 상황은 끊임없이 변화합니다. 비교적 기술에 능숙한 개발자조차도사이버보안을 가르치려 해도 정형화된 교육은 효과적이지 않습니다. 그런 교육은 즉각적으로 진행되지만 오래 기억되지 않으며 긍정적 영향도 최소화됩니다. 특히 이미 과중한 업무 일정에 이러한 요구사항이 추가될 경우 더욱 그렇습니다.
발판을 만들어 고지에 도달하자
기존 방식으로 사이버 보안 기술을 가르치는 것은 땅에서 발을 떼지 않은 채 초고층 빌딩을 짓는 것과 같습니다. 학생들은 사이버 보안과 같은 복잡한 분야의 많은 고급 개념을 습득하는 데 필요한 기초가 부족하기 때문에 이는 불가능합니다. 이를 보완하기 위해 '발판 학습'이라는 개념을 활용할 수 있습니다.
스킬 업을 위한 발판형 접근법, 즉 '계층화' 접근법을 사용할 경우, 큰 주제는 일반적으로 개별 학습 경험이나 개념으로 분해됩니다.이를 통해 학생들은 적절한 연습과 지도를 통해 각 개념을 습득하고, 각 요소에 필요한 모든 지원을 받을 수 있습니다. 건물의 높이가 높아짐에 따라 물리적 발판이 구축되는 것과 마찬가지로, 새롭고 고급 개념은 이미 습득된 개념 위에 쌓여 나갑니다. 이렇게 함으로써 학생들은 지원 없이는 습득할 수 없는 수준보다 높은 수준의 이해와 기술 습득이 가능해집니다.
그리고 물리적인 발판과 마찬가지로, 그 지원은 불필요해지면 단계적으로 제거되며, 학생이 숙달해감에 따라 학생에 대한 책임도 커집니다.
발판형 학습은 주로 학생들이 지원 없이 어려운 과제에 도전할 때 경험할 수 있는 좌절감, 두려움, 낙담과 같은 부정적인 감정과 자기 인식을 줄이기 위해 사용됩니다.그러나 현대 사이버 보안과 같은 매우 어려운 개념을 다룰 때에도 큰 가치를 지닙니다. 개발자를 어린아이처럼 대하는 방식과는 거리가 멀며, 특히 그들의 노력이 버그 수정이나 새로운 비판과 함께 반환될 때 보안 팀에서의 경험이 좌절감이나 실망감을 유발할 수 있는 동일한 효과를 가져올 수 있다면 매우 유용합니다.
개발자가 보안 코딩의 기초를 이해할 수 있는 도구(일반적으로 OWASP Top 10)가 제공될 경우, 보안 결함이 어떻게 발생하고 왜 위험한지, 그리고 운영 환경으로 배포하기 전에 직접 수정하는 방법을 확인할 수 있습니다.이를 바탕으로 더 복잡한 취약점을 다루고 적절한 수정 사항을 적용하는 실전 경험을 쌓으며 지식을 확장할 수 있습니다. 보안 계층은 점진적으로 증가하며, 안전하지 않은 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제에 대해서는 이러한 도약이 그리 두려운 것이 아니며 정확하게 접근할 수 있습니다.
업계 차원에서 개발자가 보안 전문가가 되기를 기대해서는 안 되지만, 조직은 개발자를 지원하기 위한 새로운 표준을 채택함으로써 더 높은 품질의 소프트웨어를 만들 수 있습니다. 엔지니어링 부서에서 기술 향상에 힘쓰는 조직을 위한 부가적인 혜택으로, 각 단계 또는 발판의 각 레벨은 학습을 진행해 나가면서 사이버 보안 강화로 직접 연결됩니다. 결과를 보기 위해 과정이 끝날 때까지 기다릴 필요는 없습니다.
사이버보안을 배우는 것은 어렵고, 적절한 지원이나 지도 없이는 습득하는 것이 거의 불가능합니다. 보안 프로그램을 발판으로 삼아 통합함으로써 최대한 활용할 수 있으며, 그 혜택은 거의 즉시 드러납니다. 개선은 거의 즉시 시작되며 시간이 지남에 따라 지속적으로 향상됩니다.
우리와 함께 보안에 강한 개발자 양성을 시작해 보세요. 아래를 확인해 주세요.
코스
미션
개발자 트레이닝
... 그리고 더 많은 것들!
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 즉시 알 수 있습니다. 매일 심각한 침해, 새로운 취약점, 또는 사이버 공격자나 범죄자에 의한 활발한 악용 위협에 대한 보고가 쏟아지고 있습니다. 그리고 거의 모든 업계 지표와 보고서에는 사이버 위협의 수가 점점 더 위험해지고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년 동안 지속될 것이라고 예측하고 있습니다.
이러한 새로운 위협에 맞서는 것은 IT 보안 담당자의 최전선에서 이루어지고 있으며, 인력 부족과 인력 부족이 심각해지고 있습니다. 높은 급여를 받으며 모든 기업과 조직에 필수적인 존재임에도 불구하고, 보안 담당자가 부족한 상황은 결코 사라지지 않습니다. 최근 조사에 따르면, 전략국제문제연구소(CSIS)가 실시한 설문에서 IT 의사결정권자의 82%가 조직이 사이버보안 기술 부족으로 고통받고 있다고 답했으며, 71%는 그 부족이 조직에 직접적이고 측정 가능한 손해를 끼쳤다고 응답했습니다. 보고서에 따르면, 미국에서만 약 94만 명만이 고용된 이 분야에서 52만 개 이상의 사이버보안 관련 채용 공고가 공석인 것으로 나타났습니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 관련 일자리가 공석 상태입니다. 이는 최고 수준의 전문가를 고용하고 유지하기 위해 막대한 비용을 지불할 의사가 있는 조직조차도 적합한 후보자를 찾기 위해 고군분투하고 있음을 의미합니다. 평균적으로 사이버 보안 직위를 채우는 데 소요되는 시간은 다른 어떤 직위보다 약 21% 더 깁니다.
개발자 지원이 너무 오랫동안 무시되어 왔다
과거 블로그에 여러 차례 기록했듯이, 사이버 보안 방어에서 이러한 중대한 격차를 메우기 위해 개발자를 활용할 수 있다는 점입니다. 다만 기존에는 개발자들이 사이버 보안 관련 교육을 받지 못했습니다. 그들의 업무 수행 능력은 거의 전적으로 도입 속도와 시간에 기반했습니다. 보안은 더 나아가 애플리케이션 보안 팀의 업무였습니다.
안타깝게도 단순히 정책을 변경하고 개발자들에게 갑자기 애플리케이션이나 프로그램에 보안을 추가하도록 요청하는 문제만은 아닙니다. 설령 개발자들이 자발적으로 그러한 변경을 시도하려 해도, 조사 결과 그들 대부분이 그러한 태도를 보인다는 사실이 밝혀졌음에도 불구하고, 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 상위 관리진의 격려와 지원도 필요하지만, 의미 있는 학습이 가능해지는 것이 첫 번째이자 대부분의 경우 가장 큰 장애물이 됩니다.
전 세계적으로 수백만 개의 고소득 안전 IT 보안 직위가 공석인 데는 이유가 있습니다. 그 일이 쉽다면 누구나 그 분야에 뛰어들 것입니다. 위협과 싸우고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 상황은 끊임없이 변화합니다. 비교적 기술에 능숙한 개발자조차도사이버보안을 가르치려 해도 정형화된 교육은 효과적이지 않습니다. 그런 교육은 즉각적으로 진행되지만 오래 기억되지 않으며 긍정적 영향도 최소화됩니다. 특히 이미 과중한 업무 일정에 이러한 요구사항이 추가될 경우 더욱 그렇습니다.
발판을 만들어 고지에 도달하자
기존 방식으로 사이버 보안 기술을 가르치는 것은 땅에서 발을 떼지 않은 채 초고층 빌딩을 짓는 것과 같습니다. 학생들은 사이버 보안과 같은 복잡한 분야의 많은 고급 개념을 습득하는 데 필요한 기초가 부족하기 때문에 이는 불가능합니다. 이를 보완하기 위해 '발판 학습'이라는 개념을 활용할 수 있습니다.
스킬 업을 위한 발판형 접근법, 즉 '계층화' 접근법을 사용할 경우, 큰 주제는 일반적으로 개별 학습 경험이나 개념으로 분해됩니다.이를 통해 학생들은 적절한 연습과 지도를 통해 각 개념을 습득하고, 각 요소에 필요한 모든 지원을 받을 수 있습니다. 건물의 높이가 높아짐에 따라 물리적 발판이 구축되는 것과 마찬가지로, 새롭고 고급 개념은 이미 습득된 개념 위에 쌓여 나갑니다. 이렇게 함으로써 학생들은 지원 없이는 습득할 수 없는 수준보다 높은 수준의 이해와 기술 습득이 가능해집니다.
그리고 물리적인 발판과 마찬가지로, 그 지원은 불필요해지면 단계적으로 제거되며, 학생이 숙달해감에 따라 학생에 대한 책임도 커집니다.
발판형 학습은 주로 학생들이 지원 없이 어려운 과제에 도전할 때 경험할 수 있는 좌절감, 두려움, 낙담과 같은 부정적인 감정과 자기 인식을 줄이기 위해 사용됩니다.그러나 현대 사이버 보안과 같은 매우 어려운 개념을 다룰 때에도 큰 가치를 지닙니다. 개발자를 어린아이처럼 대하는 방식과는 거리가 멀며, 특히 그들의 노력이 버그 수정이나 새로운 비판과 함께 반환될 때 보안 팀에서의 경험이 좌절감이나 실망감을 유발할 수 있는 동일한 효과를 가져올 수 있다면 매우 유용합니다.
개발자가 보안 코딩의 기초를 이해할 수 있는 도구(일반적으로 OWASP Top 10)가 제공될 경우, 보안 결함이 어떻게 발생하고 왜 위험한지, 그리고 운영 환경으로 배포하기 전에 직접 수정하는 방법을 확인할 수 있습니다.이를 바탕으로 더 복잡한 취약점을 다루고 적절한 수정 사항을 적용하는 실전 경험을 쌓으며 지식을 확장할 수 있습니다. 보안 계층은 점진적으로 증가하며, 안전하지 않은 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제에 대해서는 이러한 도약이 그리 두려운 것이 아니며 정확하게 접근할 수 있습니다.
업계 차원에서 개발자가 보안 전문가가 되기를 기대해서는 안 되지만, 조직은 개발자를 지원하기 위한 새로운 표준을 채택함으로써 더 높은 품질의 소프트웨어를 만들 수 있습니다. 엔지니어링 부서에서 기술 향상에 힘쓰는 조직을 위한 부가적인 혜택으로, 각 단계 또는 발판의 각 레벨은 학습을 진행해 나가면서 사이버 보안 강화로 직접 연결됩니다. 결과를 보기 위해 과정이 끝날 때까지 기다릴 필요는 없습니다.
사이버보안을 배우는 것은 어렵고, 적절한 지원이나 지도 없이는 습득하는 것이 거의 불가능합니다. 보안 프로그램을 발판으로 삼아 통합함으로써 최대한 활용할 수 있으며, 그 혜택은 거의 즉시 드러납니다. 개선은 거의 즉시 시작되며 시간이 지남에 따라 지속적으로 향상됩니다.
우리와 함께 보안에 강한 개발자 양성을 시작해 보세요. 아래를 확인해 주세요.
코스
미션
개발자 트레이닝
... 그리고 더 많은 것들!
목차
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약[다운로드]
%20(1).avif)
.avif)
