SQL 인젝션이 애플리케이션 보안계의 바퀴벌레인 이유(그리고 CISO가 SQL 인젝션을 완전히 근절하는 방법)
바퀴벌레는 기본적으로 무엇이든 견뎌내고 살아남을 수 있다는 잘 알려진 이론이 있습니다. 핵폭발조차도 견딜 수 있다는 것입니다. 이 이론은 어느 정도까지만 적용되지만, 단순한 신체 구조 덕분에 몸집에 비해 매우 튼튼하며 대부분의 조건에서 박멸하기 어렵습니다.
오랫동안 생각해왔는데... 디지털 세계에서 바퀴벌레에 필적할 만한 것이 있다면, 그것은 코드 내 SQL 인젝션(SQLi) 취약점일 것입니다.이 취약점은 20년 이상 전부터 알려져 왔음에도 불구하고, 조직들은 계속해서 그 피해를 입고 있습니다. 광범위하게 퍼진 사례는 비용이 많이 드는 표적 공격과 마찬가지로 SQL 인젝션의 결과였습니다. 일리노이주 선거 해킹 사건에서는 20만 건의 유권자 기록이 유출되어 FBI가 모든 IT 관리자들에게 보안 강화 조치를 신속히 취할 것을 권고했습니다.
임퍼바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이에 보고된 모든 데이터 침해 사건의 83%에서 SQLi 공격이 사용된 것으로 밝혀졌습니다. 오늘날에도 인젝션 취약점은 여전히 세계 최대의 위협으로 남아 있습니다. OWASP Top 10에포함된 이 취약점들은 비교적 단순하지만, 결코 사라지지 않습니다.
이와 동일한 취약점이 아직도 상당수의 애플리케이션 보안 스캔에서 발견되고 있다는 것은 터무니없는 일입니다. 우리는 그 메커니즘과 차단 방법을 알고 있습니다. 어떻게 그런 일이 가능할까요? 사실, 우리 소프트웨어 보안에는 개선의 여지가 매우 많습니다.
벨라코드 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반」이라는 놀라운 통계가 밝혀졌습니다. OWASP 상위 10대 정책을 통과한 애플리케이션은 고작 30%에 불과했습니다. 이는 지난 5년간 지속된 현상으로, 새로 스캔된 애플리케이션의 거의 3분의 1에서 SQL 인젝션이 사용되고 있습니다.이는 만연한 문제의 증거입니다. 우리는 자신의 실수로부터 배우지 못하고 있으며, CISO는 충분한 보안 인력을 확보하는 데 고군분투하고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율이 1:100인 것은 불충분합니다.
생명 유지 장치에 소프트웨어 보안이 채택된 이유는 무엇입니까?
보안 전문가가 부족하다는 것은 잘 알려진 사실이지만, 개발자들은 문제가 발생해도 수정하지 않고 있으며, 애초에 취약점을 도입하지 않도록 하는 체계가 마련되어 있지 않다는 점이 분명합니다. 동일한 Veracode 보고서에 따르면, 모든 개발 취약점 중 완화 조치가 문서화된 경우는 고작 14.4%에 불과한 것으로 나타났습니다. 즉, 대부분의 취약점은 개발 완화 조치 없이 제출되었다는 의미입니다.첫 90일 이내에 해결된 취약점은 3분의 1 미만이었으며, 개발 기간 내에 해결되지 않은 취약점은 42%에 달했습니다.
저는 항상 보안 전문가, CISO, CEO와 이야기를 나누는데, 일화지만 많은 기업들이 (오탐지라는 비극에 더해) 발견된 완화 불가능한 취약점의 수에 불만을 느끼고, 스캔을 완전히 중단한 채 최선의 결과를 기대하고 있다는 사실을 깨달았습니다.
왜 애플리케이션 보안 전문가는 이러한 사태를 초래하는 것일까요?
틀림없습니다. AppSec 담당자들은 코드 내 문제를 깊이 인식하고 있습니다. 결국 그것이 그들의 핵심 역량 중 하나이며, 그들을 매우 귀중한 팀 리소스로 만드는 요소입니다. 그러나 그들은 종종 몇 가지 요인에 의해 방해를 받습니다.
예를 들어, 애플리케이션 보안 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 엄격한 기능 제공 스프린트에 대응하느라 바쁘기 때문에 문제를 해결할 시간도, 지원할 적절한 도구도 없습니다. 애플리케이션 보안 전문가 자신은 취약점을 식별할 수 있을지 모르지만, 대부분의 경우 현장에서 바로 수정할 수 있는 기술이나 접근 권한이 없습니다.
또한 모든 문제에는 해결책을 찾아 구현하고 테스트하는 과정이 있다는 점을 인지해야 합니다. 코드에서 발견된 아주 사소한 문제라도 필요한 자원은 물론이고 수정하는 데 드는 시간은 헤아릴 수 없습니다.소프트웨어에는 700개가 넘는 취약점이 존재하지만, 한 사람이 그 모든 것을 방어하는 것은 불가능합니다. 대부분의 기업이 OWASP Top 10에만 집착하는 이유가 바로 여기에 있습니다. 그 동안 개발자들은 계속해서 기능을 구축하고, 결국 자신이 작성한 코드에 취약점을 계속해서 포함시키게 됩니다.
해결책은 무엇인가?
단순한 사실은, 보안 코딩을 성공적으로 수행하기 위한 도구나 교육을 개발자에게 제공하지 않는다는 점입니다. 개발자에게 충분한 보안 기술을 습득하도록 조직이 강제하는 규제도 없습니다. 또한 대부분의 대학이나 인턴십 프로그램이 주니어 개발자가 안전하게 코딩할 수 있도록 준비시키지 않는다는 점도 안타까운 현실입니다.
누군가 비행기를 조종하고 싶다면, 비행 전에 훈련, 실무 경험, 건강 진단, 안전 지식, 시험을 반드시 거쳐야 하는 매우 엄격한 절차가 있습니다. 이러한 철저한 준비와 기술 검증 없이 하늘에 내던져진다는 것은 아무도 상상하지 못하지만, 코드 작성에서는 일상적으로 이런 일이 벌어지고 있습니다.
개발자가 안전한 코드를 작성할 수 있도록 교육하는 데 시간을 투자해야 합니다. 그러나 소프트웨어 개발 속도가 빠르고 우수한 개발자와 보안 전문가가 부족한 오늘날의 세상에서는 이것이 우선순위가 될 수 없을 것 같습니다. 지금이 바로 대화를 바꿀 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제가 존재할 수 없다"고 강조하며, 관련 콘텐츠에서는 보안이 모든 디지털 전환 전략의 핵심이 되어야 한다고 주장합니다. "보안은 기업을 보호할 뿐만 아니라 기업이 혁신을 일으키고 새로운 제품과 서비스를 구축할 수 있도록 합니다. 보안은 방어적인 역할에 머무르지 않고 전략적 성장에서 기업에 우위를 가져다줍니다."
안전한 코딩 기술과 성과를 향상시킴으로써 조직에 강력한 사이버 보호 장치가 추가되고, 더 우수하고 더 빠른 코드를 작성할 수 있게 됩니다. 개발자가 보안 전문가가 될 필요는 없지만,사이버 공격에 대한 방어의 최전선에 서기 위해서는 적극적이고 실천적인 권한이 필요합니다. 개발자는 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑한 사람들로서 창의적인 문제 해결사이며, 일반적으로 기술 향상에 열정적입니다. 그들에게 적합한 전문적인 교육을 통해 그들의 강점을 살리고, 더 높은 소프트웨어 보안 기준에 도전하도록 하십시오. 백서 읽기 더 알아보기.
누군가 비행기를 조종하고 싶다면, 비행 전에 훈련, 실무 경험, 건강 진단, 안전 지식, 시험을 반드시 거쳐야 하는 매우 엄격한 절차가 있습니다. 이러한 철저한 준비와 기술 검증 없이 하늘에 내던져진다는 것은 아무도 상상하지 못하지만, 코드 작성에서는 일상적으로 이런 일이 벌어지고 있습니다.
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
바퀴벌레는 기본적으로 무엇이든 견뎌내고 살아남을 수 있다는 잘 알려진 이론이 있습니다. 핵폭발조차도 견딜 수 있다는 것입니다. 이 이론은 어느 정도까지만 적용되지만, 단순한 신체 구조 덕분에 몸집에 비해 매우 튼튼하며 대부분의 조건에서 박멸하기 어렵습니다.
오랫동안 생각해왔는데... 디지털 세계에서 바퀴벌레에 필적할 만한 것이 있다면, 그것은 코드 내 SQL 인젝션(SQLi) 취약점일 것입니다.이 취약점은 20년 이상 전부터 알려져 왔음에도 불구하고, 조직들은 계속해서 그 피해를 입고 있습니다. 광범위하게 퍼진 사례는 비용이 많이 드는 표적 공격과 마찬가지로 SQL 인젝션의 결과였습니다. 일리노이주 선거 해킹 사건에서는 20만 건의 유권자 기록이 유출되어 FBI가 모든 IT 관리자들에게 보안 강화 조치를 신속히 취할 것을 권고했습니다.
임퍼바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이에 보고된 모든 데이터 침해 사건의 83%에서 SQLi 공격이 사용된 것으로 밝혀졌습니다. 오늘날에도 인젝션 취약점은 여전히 세계 최대의 위협으로 남아 있습니다. OWASP Top 10에포함된 이 취약점들은 비교적 단순하지만, 결코 사라지지 않습니다.
이와 동일한 취약점이 아직도 상당수의 애플리케이션 보안 스캔에서 발견되고 있다는 것은 터무니없는 일입니다. 우리는 그 메커니즘과 차단 방법을 알고 있습니다. 어떻게 그런 일이 가능할까요? 사실, 우리 소프트웨어 보안에는 개선의 여지가 매우 많습니다.
벨라코드 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반」이라는 놀라운 통계가 밝혀졌습니다. OWASP 상위 10대 정책을 통과한 애플리케이션은 고작 30%에 불과했습니다. 이는 지난 5년간 지속된 현상으로, 새로 스캔된 애플리케이션의 거의 3분의 1에서 SQL 인젝션이 사용되고 있습니다.이는 만연한 문제의 증거입니다. 우리는 자신의 실수로부터 배우지 못하고 있으며, CISO는 충분한 보안 인력을 확보하는 데 고군분투하고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율이 1:100인 것은 불충분합니다.
생명 유지 장치에 소프트웨어 보안이 채택된 이유는 무엇입니까?
보안 전문가가 부족하다는 것은 잘 알려진 사실이지만, 개발자들은 문제가 발생해도 수정하지 않고 있으며, 애초에 취약점을 도입하지 않도록 하는 체계가 마련되어 있지 않다는 점이 분명합니다. 동일한 Veracode 보고서에 따르면, 모든 개발 취약점 중 완화 조치가 문서화된 경우는 고작 14.4%에 불과한 것으로 나타났습니다. 즉, 대부분의 취약점은 개발 완화 조치 없이 제출되었다는 의미입니다.첫 90일 이내에 해결된 취약점은 3분의 1 미만이었으며, 개발 기간 내에 해결되지 않은 취약점은 42%에 달했습니다.
저는 항상 보안 전문가, CISO, CEO와 이야기를 나누는데, 일화지만 많은 기업들이 (오탐지라는 비극에 더해) 발견된 완화 불가능한 취약점의 수에 불만을 느끼고, 스캔을 완전히 중단한 채 최선의 결과를 기대하고 있다는 사실을 깨달았습니다.
왜 애플리케이션 보안 전문가는 이러한 사태를 초래하는 것일까요?
틀림없습니다. AppSec 담당자들은 코드 내 문제를 깊이 인식하고 있습니다. 결국 그것이 그들의 핵심 역량 중 하나이며, 그들을 매우 귀중한 팀 리소스로 만드는 요소입니다. 그러나 그들은 종종 몇 가지 요인에 의해 방해를 받습니다.
예를 들어, 애플리케이션 보안 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 엄격한 기능 제공 스프린트에 대응하느라 바쁘기 때문에 문제를 해결할 시간도, 지원할 적절한 도구도 없습니다. 애플리케이션 보안 전문가 자신은 취약점을 식별할 수 있을지 모르지만, 대부분의 경우 현장에서 바로 수정할 수 있는 기술이나 접근 권한이 없습니다.
또한 모든 문제에는 해결책을 찾아 구현하고 테스트하는 과정이 있다는 점을 인지해야 합니다. 코드에서 발견된 아주 사소한 문제라도 필요한 자원은 물론이고 수정하는 데 드는 시간은 헤아릴 수 없습니다.소프트웨어에는 700개가 넘는 취약점이 존재하지만, 한 사람이 그 모든 것을 방어하는 것은 불가능합니다. 대부분의 기업이 OWASP Top 10에만 집착하는 이유가 바로 여기에 있습니다. 그 동안 개발자들은 계속해서 기능을 구축하고, 결국 자신이 작성한 코드에 취약점을 계속해서 포함시키게 됩니다.
해결책은 무엇인가?
단순한 사실은, 보안 코딩을 성공적으로 수행하기 위한 도구나 교육을 개발자에게 제공하지 않는다는 점입니다. 개발자에게 충분한 보안 기술을 습득하도록 조직이 강제하는 규제도 없습니다. 또한 대부분의 대학이나 인턴십 프로그램이 주니어 개발자가 안전하게 코딩할 수 있도록 준비시키지 않는다는 점도 안타까운 현실입니다.
누군가 비행기를 조종하고 싶다면, 비행 전에 훈련, 실무 경험, 건강 진단, 안전 지식, 시험을 반드시 거쳐야 하는 매우 엄격한 절차가 있습니다. 이러한 철저한 준비와 기술 검증 없이 하늘에 내던져진다는 것은 아무도 상상하지 못하지만, 코드 작성에서는 일상적으로 이런 일이 벌어지고 있습니다.
개발자가 안전한 코드를 작성할 수 있도록 교육하는 데 시간을 투자해야 합니다. 그러나 소프트웨어 개발 속도가 빠르고 우수한 개발자와 보안 전문가가 부족한 오늘날의 세상에서는 이것이 우선순위가 될 수 없을 것 같습니다. 지금이 바로 대화를 바꿀 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제가 존재할 수 없다"고 강조하며, 관련 콘텐츠에서는 보안이 모든 디지털 전환 전략의 핵심이 되어야 한다고 주장합니다. "보안은 기업을 보호할 뿐만 아니라 기업이 혁신을 일으키고 새로운 제품과 서비스를 구축할 수 있도록 합니다. 보안은 방어적인 역할에 머무르지 않고 전략적 성장에서 기업에 우위를 가져다줍니다."
안전한 코딩 기술과 성과를 향상시킴으로써 조직에 강력한 사이버 보호 장치가 추가되고, 더 우수하고 더 빠른 코드를 작성할 수 있게 됩니다. 개발자가 보안 전문가가 될 필요는 없지만,사이버 공격에 대한 방어의 최전선에 서기 위해서는 적극적이고 실천적인 권한이 필요합니다. 개발자는 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑한 사람들로서 창의적인 문제 해결사이며, 일반적으로 기술 향상에 열정적입니다. 그들에게 적합한 전문적인 교육을 통해 그들의 강점을 살리고, 더 높은 소프트웨어 보안 기준에 도전하도록 하십시오. 백서 읽기 더 알아보기.
누군가 비행기를 조종하고 싶다면, 비행 전에 훈련, 실무 경험, 건강 진단, 안전 지식, 시험을 반드시 거쳐야 하는 매우 엄격한 절차가 있습니다. 이러한 철저한 준비와 기술 검증 없이 하늘에 내던져진다는 것은 아무도 상상하지 못하지만, 코드 작성에서는 일상적으로 이런 일이 벌어지고 있습니다.
바퀴벌레는 기본적으로 무엇이든 견뎌내고 살아남을 수 있다는 잘 알려진 이론이 있습니다. 핵폭발조차도 견딜 수 있다는 것입니다. 이 이론은 어느 정도까지만 적용되지만, 단순한 신체 구조 덕분에 몸집에 비해 매우 튼튼하며 대부분의 조건에서 박멸하기 어렵습니다.
오랫동안 생각해왔는데... 디지털 세계에서 바퀴벌레에 필적할 만한 것이 있다면, 그것은 코드 내 SQL 인젝션(SQLi) 취약점일 것입니다.이 취약점은 20년 이상 전부터 알려져 왔음에도 불구하고, 조직들은 계속해서 그 피해를 입고 있습니다. 광범위하게 퍼진 사례는 비용이 많이 드는 표적 공격과 마찬가지로 SQL 인젝션의 결과였습니다. 일리노이주 선거 해킹 사건에서는 20만 건의 유권자 기록이 유출되어 FBI가 모든 IT 관리자들에게 보안 강화 조치를 신속히 취할 것을 권고했습니다.
임퍼바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이에 보고된 모든 데이터 침해 사건의 83%에서 SQLi 공격이 사용된 것으로 밝혀졌습니다. 오늘날에도 인젝션 취약점은 여전히 세계 최대의 위협으로 남아 있습니다. OWASP Top 10에포함된 이 취약점들은 비교적 단순하지만, 결코 사라지지 않습니다.
이와 동일한 취약점이 아직도 상당수의 애플리케이션 보안 스캔에서 발견되고 있다는 것은 터무니없는 일입니다. 우리는 그 메커니즘과 차단 방법을 알고 있습니다. 어떻게 그런 일이 가능할까요? 사실, 우리 소프트웨어 보안에는 개선의 여지가 매우 많습니다.
벨라코드 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반」이라는 놀라운 통계가 밝혀졌습니다. OWASP 상위 10대 정책을 통과한 애플리케이션은 고작 30%에 불과했습니다. 이는 지난 5년간 지속된 현상으로, 새로 스캔된 애플리케이션의 거의 3분의 1에서 SQL 인젝션이 사용되고 있습니다.이는 만연한 문제의 증거입니다. 우리는 자신의 실수로부터 배우지 못하고 있으며, CISO는 충분한 보안 인력을 확보하는 데 고군분투하고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율이 1:100인 것은 불충분합니다.
생명 유지 장치에 소프트웨어 보안이 채택된 이유는 무엇입니까?
보안 전문가가 부족하다는 것은 잘 알려진 사실이지만, 개발자들은 문제가 발생해도 수정하지 않고 있으며, 애초에 취약점을 도입하지 않도록 하는 체계가 마련되어 있지 않다는 점이 분명합니다. 동일한 Veracode 보고서에 따르면, 모든 개발 취약점 중 완화 조치가 문서화된 경우는 고작 14.4%에 불과한 것으로 나타났습니다. 즉, 대부분의 취약점은 개발 완화 조치 없이 제출되었다는 의미입니다.첫 90일 이내에 해결된 취약점은 3분의 1 미만이었으며, 개발 기간 내에 해결되지 않은 취약점은 42%에 달했습니다.
저는 항상 보안 전문가, CISO, CEO와 이야기를 나누는데, 일화지만 많은 기업들이 (오탐지라는 비극에 더해) 발견된 완화 불가능한 취약점의 수에 불만을 느끼고, 스캔을 완전히 중단한 채 최선의 결과를 기대하고 있다는 사실을 깨달았습니다.
왜 애플리케이션 보안 전문가는 이러한 사태를 초래하는 것일까요?
틀림없습니다. AppSec 담당자들은 코드 내 문제를 깊이 인식하고 있습니다. 결국 그것이 그들의 핵심 역량 중 하나이며, 그들을 매우 귀중한 팀 리소스로 만드는 요소입니다. 그러나 그들은 종종 몇 가지 요인에 의해 방해를 받습니다.
예를 들어, 애플리케이션 보안 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 엄격한 기능 제공 스프린트에 대응하느라 바쁘기 때문에 문제를 해결할 시간도, 지원할 적절한 도구도 없습니다. 애플리케이션 보안 전문가 자신은 취약점을 식별할 수 있을지 모르지만, 대부분의 경우 현장에서 바로 수정할 수 있는 기술이나 접근 권한이 없습니다.
또한 모든 문제에는 해결책을 찾아 구현하고 테스트하는 과정이 있다는 점을 인지해야 합니다. 코드에서 발견된 아주 사소한 문제라도 필요한 자원은 물론이고 수정하는 데 드는 시간은 헤아릴 수 없습니다.소프트웨어에는 700개가 넘는 취약점이 존재하지만, 한 사람이 그 모든 것을 방어하는 것은 불가능합니다. 대부분의 기업이 OWASP Top 10에만 집착하는 이유가 바로 여기에 있습니다. 그 동안 개발자들은 계속해서 기능을 구축하고, 결국 자신이 작성한 코드에 취약점을 계속해서 포함시키게 됩니다.
해결책은 무엇인가?
단순한 사실은, 보안 코딩을 성공적으로 수행하기 위한 도구나 교육을 개발자에게 제공하지 않는다는 점입니다. 개발자에게 충분한 보안 기술을 습득하도록 조직이 강제하는 규제도 없습니다. 또한 대부분의 대학이나 인턴십 프로그램이 주니어 개발자가 안전하게 코딩할 수 있도록 준비시키지 않는다는 점도 안타까운 현실입니다.
누군가 비행기를 조종하고 싶다면, 비행 전에 훈련, 실무 경험, 건강 진단, 안전 지식, 시험을 반드시 거쳐야 하는 매우 엄격한 절차가 있습니다. 이러한 철저한 준비와 기술 검증 없이 하늘에 내던져진다는 것은 아무도 상상하지 못하지만, 코드 작성에서는 일상적으로 이런 일이 벌어지고 있습니다.
개발자가 안전한 코드를 작성할 수 있도록 교육하는 데 시간을 투자해야 합니다. 그러나 소프트웨어 개발 속도가 빠르고 우수한 개발자와 보안 전문가가 부족한 오늘날의 세상에서는 이것이 우선순위가 될 수 없을 것 같습니다. 지금이 바로 대화를 바꿀 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제가 존재할 수 없다"고 강조하며, 관련 콘텐츠에서는 보안이 모든 디지털 전환 전략의 핵심이 되어야 한다고 주장합니다. "보안은 기업을 보호할 뿐만 아니라 기업이 혁신을 일으키고 새로운 제품과 서비스를 구축할 수 있도록 합니다. 보안은 방어적인 역할에 머무르지 않고 전략적 성장에서 기업에 우위를 가져다줍니다."
안전한 코딩 기술과 성과를 향상시킴으로써 조직에 강력한 사이버 보호 장치가 추가되고, 더 우수하고 더 빠른 코드를 작성할 수 있게 됩니다. 개발자가 보안 전문가가 될 필요는 없지만,사이버 공격에 대한 방어의 최전선에 서기 위해서는 적극적이고 실천적인 권한이 필요합니다. 개발자는 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑한 사람들로서 창의적인 문제 해결사이며, 일반적으로 기술 향상에 열정적입니다. 그들에게 적합한 전문적인 교육을 통해 그들의 강점을 살리고, 더 높은 소프트웨어 보안 기준에 도전하도록 하십시오. 백서 읽기 더 알아보기.
누군가 비행기를 조종하고 싶다면, 비행 전에 훈련, 실무 경험, 건강 진단, 안전 지식, 시험을 반드시 거쳐야 하는 매우 엄격한 절차가 있습니다. 이러한 철저한 준비와 기술 검증 없이 하늘에 내던져진다는 것은 아무도 상상하지 못하지만, 코드 작성에서는 일상적으로 이런 일이 벌어지고 있습니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
바퀴벌레는 기본적으로 무엇이든 견뎌내고 살아남을 수 있다는 잘 알려진 이론이 있습니다. 핵폭발조차도 견딜 수 있다는 것입니다. 이 이론은 어느 정도까지만 적용되지만, 단순한 신체 구조 덕분에 몸집에 비해 매우 튼튼하며 대부분의 조건에서 박멸하기 어렵습니다.
오랫동안 생각해왔는데... 디지털 세계에서 바퀴벌레에 필적할 만한 것이 있다면, 그것은 코드 내 SQL 인젝션(SQLi) 취약점일 것입니다.이 취약점은 20년 이상 전부터 알려져 왔음에도 불구하고, 조직들은 계속해서 그 피해를 입고 있습니다. 광범위하게 퍼진 사례는 비용이 많이 드는 표적 공격과 마찬가지로 SQL 인젝션의 결과였습니다. 일리노이주 선거 해킹 사건에서는 20만 건의 유권자 기록이 유출되어 FBI가 모든 IT 관리자들에게 보안 강화 조치를 신속히 취할 것을 권고했습니다.
임퍼바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이에 보고된 모든 데이터 침해 사건의 83%에서 SQLi 공격이 사용된 것으로 밝혀졌습니다. 오늘날에도 인젝션 취약점은 여전히 세계 최대의 위협으로 남아 있습니다. OWASP Top 10에포함된 이 취약점들은 비교적 단순하지만, 결코 사라지지 않습니다.
이와 동일한 취약점이 아직도 상당수의 애플리케이션 보안 스캔에서 발견되고 있다는 것은 터무니없는 일입니다. 우리는 그 메커니즘과 차단 방법을 알고 있습니다. 어떻게 그런 일이 가능할까요? 사실, 우리 소프트웨어 보안에는 개선의 여지가 매우 많습니다.
벨라코드 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반」이라는 놀라운 통계가 밝혀졌습니다. OWASP 상위 10대 정책을 통과한 애플리케이션은 고작 30%에 불과했습니다. 이는 지난 5년간 지속된 현상으로, 새로 스캔된 애플리케이션의 거의 3분의 1에서 SQL 인젝션이 사용되고 있습니다.이는 만연한 문제의 증거입니다. 우리는 자신의 실수로부터 배우지 못하고 있으며, CISO는 충분한 보안 인력을 확보하는 데 고군분투하고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안 전문가와 개발자의 비율이 1:100인 것은 불충분합니다.
생명 유지 장치에 소프트웨어 보안이 채택된 이유는 무엇입니까?
보안 전문가가 부족하다는 것은 잘 알려진 사실이지만, 개발자들은 문제가 발생해도 수정하지 않고 있으며, 애초에 취약점을 도입하지 않도록 하는 체계가 마련되어 있지 않다는 점이 분명합니다. 동일한 Veracode 보고서에 따르면, 모든 개발 취약점 중 완화 조치가 문서화된 경우는 고작 14.4%에 불과한 것으로 나타났습니다. 즉, 대부분의 취약점은 개발 완화 조치 없이 제출되었다는 의미입니다.첫 90일 이내에 해결된 취약점은 3분의 1 미만이었으며, 개발 기간 내에 해결되지 않은 취약점은 42%에 달했습니다.
저는 항상 보안 전문가, CISO, CEO와 이야기를 나누는데, 일화지만 많은 기업들이 (오탐지라는 비극에 더해) 발견된 완화 불가능한 취약점의 수에 불만을 느끼고, 스캔을 완전히 중단한 채 최선의 결과를 기대하고 있다는 사실을 깨달았습니다.
왜 애플리케이션 보안 전문가는 이러한 사태를 초래하는 것일까요?
틀림없습니다. AppSec 담당자들은 코드 내 문제를 깊이 인식하고 있습니다. 결국 그것이 그들의 핵심 역량 중 하나이며, 그들을 매우 귀중한 팀 리소스로 만드는 요소입니다. 그러나 그들은 종종 몇 가지 요인에 의해 방해를 받습니다.
예를 들어, 애플리케이션 보안 관리자가 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자는 엄격한 기능 제공 스프린트에 대응하느라 바쁘기 때문에 문제를 해결할 시간도, 지원할 적절한 도구도 없습니다. 애플리케이션 보안 전문가 자신은 취약점을 식별할 수 있을지 모르지만, 대부분의 경우 현장에서 바로 수정할 수 있는 기술이나 접근 권한이 없습니다.
또한 모든 문제에는 해결책을 찾아 구현하고 테스트하는 과정이 있다는 점을 인지해야 합니다. 코드에서 발견된 아주 사소한 문제라도 필요한 자원은 물론이고 수정하는 데 드는 시간은 헤아릴 수 없습니다.소프트웨어에는 700개가 넘는 취약점이 존재하지만, 한 사람이 그 모든 것을 방어하는 것은 불가능합니다. 대부분의 기업이 OWASP Top 10에만 집착하는 이유가 바로 여기에 있습니다. 그 동안 개발자들은 계속해서 기능을 구축하고, 결국 자신이 작성한 코드에 취약점을 계속해서 포함시키게 됩니다.
해결책은 무엇인가?
단순한 사실은, 보안 코딩을 성공적으로 수행하기 위한 도구나 교육을 개발자에게 제공하지 않는다는 점입니다. 개발자에게 충분한 보안 기술을 습득하도록 조직이 강제하는 규제도 없습니다. 또한 대부분의 대학이나 인턴십 프로그램이 주니어 개발자가 안전하게 코딩할 수 있도록 준비시키지 않는다는 점도 안타까운 현실입니다.
누군가 비행기를 조종하고 싶다면, 비행 전에 훈련, 실무 경험, 건강 진단, 안전 지식, 시험을 반드시 거쳐야 하는 매우 엄격한 절차가 있습니다. 이러한 철저한 준비와 기술 검증 없이 하늘에 내던져진다는 것은 아무도 상상하지 못하지만, 코드 작성에서는 일상적으로 이런 일이 벌어지고 있습니다.
개발자가 안전한 코드를 작성할 수 있도록 교육하는 데 시간을 투자해야 합니다. 그러나 소프트웨어 개발 속도가 빠르고 우수한 개발자와 보안 전문가가 부족한 오늘날의 세상에서는 이것이 우선순위가 될 수 없을 것 같습니다. 지금이 바로 대화를 바꿀 때입니다.
세계경제포럼의 최근 헤드라인은 "보안 없이는 디지털 경제가 존재할 수 없다"고 강조하며, 관련 콘텐츠에서는 보안이 모든 디지털 전환 전략의 핵심이 되어야 한다고 주장합니다. "보안은 기업을 보호할 뿐만 아니라 기업이 혁신을 일으키고 새로운 제품과 서비스를 구축할 수 있도록 합니다. 보안은 방어적인 역할에 머무르지 않고 전략적 성장에서 기업에 우위를 가져다줍니다."
안전한 코딩 기술과 성과를 향상시킴으로써 조직에 강력한 사이버 보호 장치가 추가되고, 더 우수하고 더 빠른 코드를 작성할 수 있게 됩니다. 개발자가 보안 전문가가 될 필요는 없지만,사이버 공격에 대한 방어의 최전선에 서기 위해서는 적극적이고 실천적인 권한이 필요합니다. 개발자는 보안과 혁신의 차세대 주역이 될 수 있습니다. 그들은 매우 똑똑한 사람들로서 창의적인 문제 해결사이며, 일반적으로 기술 향상에 열정적입니다. 그들에게 적합한 전문적인 교육을 통해 그들의 강점을 살리고, 더 높은 소프트웨어 보안 기준에 도전하도록 하십시오. 백서 읽기 더 알아보기.
누군가 비행기를 조종하고 싶다면, 비행 전에 훈련, 실무 경험, 건강 진단, 안전 지식, 시험을 반드시 거쳐야 하는 매우 엄격한 절차가 있습니다. 이러한 철저한 준비와 기술 검증 없이 하늘에 내던져진다는 것은 아무도 상상하지 못하지만, 코드 작성에서는 일상적으로 이런 일이 벌어지고 있습니다.
목차
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약[다운로드]
%20(1).avif)
.avif)
