호기심이 왕성한 보안 마인드를 처벌하기보다는 지원해야 하는 이유
10대 보안 연구원 빌 데밀카피의 최근 보고서는 학교에서 사용하던 소프트웨어의 중대한 취약점을 폭로했는데, 확실히 추억이 되살아났어요. 호기심 많던 어린 시절, 소프트웨어의 보닛을 들어 올려 그 아래를 들여다보며 모든 것이 어떻게 작동하는지, 그리고 더 중요한 것은 그것을 망가뜨릴 수 있는지 살펴보던 기억이 납니다.수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화에 매진해 왔습니다. 보안 커뮤니티(접근 방식은 다소 건방지지만)는 악의적인 공격자들이 같은 일을 하기 전에 결함이나 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다.
그러나 여기서 문제는 그가 발견한 내용을 바탕으로 경미한 정학 처분을 받았다는 점입니다. 그리고 이는 그가 회사(폴렛 코퍼레이션)에 연락하기 위한 모든 수단을 동원한 후에야 비로소 이루어졌습니다. 개인적으로는 결국 자신과 시스템을 침해할 수 있는 능력을 확인하기 위해 상당히 공개적인 방법을 선택했습니다. 폴렛 코퍼레이션에 윤리적 경고를 반복해서 시도했지만, 답변은 없었습니다.한편, 소프트웨어는 여전히 취약했고, 대량의 학생 데이터는 암호화되지 않은 상태였기 때문에 매우 쉽게 공개되었습니다.
또한 다른 회사 소프트웨어인 Blackboard의 버그도 조사했습니다. Blackboard 데이터는 최소한 암호화되어 있었지만, 잠재적 공격자가 수백만 건의 레코드에 접근하여 훔쳐갔을 가능성이 있습니다. 이 소프트웨어와 포렛의 제품은 모두 그의 학교에서 사용되고 있었습니다.
「악의적인 해커」 이야기는 문제가 있습니다.
데밀카피는 올해의 조사 결과를 발표했습니다. 디프코인, 그의 장난스러운 태도의 더 장난기 넘치는 디테일이 관객의 박수갈채를 받고 있습니다.정확히 그렇습니다. 포렛 코퍼레이션은 처음에는 심각한 상황에 처해 자신의 발견이 인정받기까지 많은 장애물에 직면했지만, 그의 노력에 감사하며 그의 조언에 따라 행동하여 결국 소프트웨어의 안전성을 높이고 데이터 유출이라는 또 다른 통계가 될 위기를 피했다고 전해집니다. 고등학교 졸업 후에는 로체스터 공과대학에도 진학할 예정이므로, 수요가 높은 보안 전문가로 성장하기 위한 올바른 길을 걷고 있음은 분명합니다.
보안 담당자로서 이 상황이 어떻게 처리되었는지에 이의를 제기하지 않는 것은 어렵습니다. 이 사건은 결국 순조롭게 마무리되었지만, 처음에는 그가 성가신 시나리오 작가처럼 취급받았고, 본래 어울리지 않는 곳에 참견하고 있었습니다.Google에서 이 사건을 검색하면 그를 '해커'라고 부르는 기사가 있습니다(보안 비전문가들의 생각으로는, 이는 그를 여러 의미에서 악당으로 규정짓는 것입니다). 사실, 그의 접근 방식(그리고 다른 많은 접근 방식들)은 데이터를 안전하게 지키는 데 도움이 됩니다.
호기심이 많고, 똑똑하며, 보안에 중점을 둔, 내부를 꿰뚫어 보는 인재가 필요합니다. 그리고 이를 더 자주 실행해야 합니다. 7월 현재, 올해만 해도 40억 건이 넘는 레코드가 악의적인 데이터 유출 피해를 입었습니다. 8월에 발생한 패션·라이프스타일 브랜드 데이터 유출로 인해 이 숫자에 5천만 건이 더 추가될 가능성이 있습니다. 포쉬마크.
우리는 같은 실수를 반복하고 있지만, 더욱 우려되는 것은 대부분의 경우 얼굴을 찌푸리게 하는 단순한 취약점들 때문에 계속해서 넘어지고 있다는 점입니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았습니다.
보고서에 따르면, Demilkap이 유선, Blackboards 커뮤니티 참여 소프트웨어 및 Folletts 학생 정보 시스템에 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 일반적인 보안 결함이 포함되어 있음을 발견했습니다. 이 두 가지 모두 1990년대부터 보안 전문가들의 입에 오르내려 왔습니다. 우리는 그 존재를 수년간 견뎌왔습니다. 정말 하이퍼컬러 티셔츠나 플로피 디스크처럼, 이제는 먼 옛날의 추억이 되어야 마땅합니다.
그러나 그렇지 않습니다. 또한 코드 도입을 중단할 만큼 충분한 보안 의식을 보여주는 개발자가 부족하다는 것은 명백합니다. 스캐닝 도구와 수동 코드 리뷰로 해결할 수 있는 것은 제한적이며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제가 존재합니다. 이러한 경우 고가이고 시간이 많이 소요되는 이러한 대책을 보다 효과적으로 활용할 수 있습니다.
빌 데밀카피 같은 사람들은 개발자들이 더 높은 수준의 코드를 작성하도록 고무해야 합니다. 그는 불과 17세의 나이에, 코드가 커밋되기 전에 탐지하고 수정해야 했던 위협 벡터를 통해 트래픽이 많은 두 시스템에 침투했습니다.
게이미피케이션: 참여의 열쇠는?
개발자들이 보안에 거의 관여하지 않는 이유에 대해 저는 많이 써왔습니다. 간단히 말해, 보안 의식이 높은 개발자를 양성하기 위한 노력이 조직 차원이나 교육 차원에서 거의 이루어지지 않고 있기 때문입니다. 기업이 시간을 들여 참여를 보상하고 평가하는 보안 문화를 구축하고, 개발자의 언어를 구사하며 지속적으로 도전하도록 동기를 부여하는 교육을 실시한다면, 이러한 성가신 취약점의 잔재들은 우리가 사용하는 소프트웨어에서 사라지기 시작할 것입니다.
데미르카피는 보안에 특별한 관심을 가지고 있으며, 오랜 시간 동안 악성코드의 리버스 엔지니어링 방법, 결함 발견 방법, 그리고 외부에서는 고장 나지 않은 것처럼 보이는 것을 파괴하는 방법을 배워왔습니다. 그러나 그와 이야기를 나누다 보면 (그리고 DEF CON 슬라이드를 통해) 그는 독학에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
「학교 소프트웨어에서 무언가를 발견하는 것이 목표였기 때문에, 게임처럼 상당량의 침투 테스트를 독학으로 배울 수 있어서 즐거웠습니다. 더 알고 싶어 연구를 시작했지만, 결국 상황이 예상보다 훨씬 나쁘다는 것을 알게 되었습니다」라고 그는 말합니다.
모든 개발자가 보안에 특화되기를 원하는 것은 아니지만, 모든 개발자에게 보안 의식을 가질 기회를 제공해야 합니다. 그 기본은 조직 내, 특히 대량의 기밀 데이터를 관리하는 조직 내에서 거의 '코드 라이선스' 역할을 수행합니다. 가장 단순한 보안 취약점을 모든 개발자가 생성하기 전에 수정할 수 있다면, 대혼란을 일으키려는 개발자에 대해 훨씬 안전한 입장에 설 수 있습니다.
게이미피케이션 트레이닝에 관심이 있으신가요? 「코더스 콘커 시큐리티 콘커 시리즈」를 확인해 보세요. XSS 그리고 SQL 인젝션.
10대 보안 연구원 빌 데밀카피가 학교에서 사용되는 소프트웨어의 중대한 취약점을 폭로한 사건은 확실히 몇 가지 추억을 되살려주었습니다. 호기심 많은 어린 시절, 소프트웨어의 보닛을 열어 그 내부를 들여다보며 모든 것이 어떻게 작동하는지, 그리고 그것을 망가뜨릴 수 있을지 확인했던 기억이 납니다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
10대 보안 연구원 빌 데밀카피의 최근 보고서는 학교에서 사용하던 소프트웨어의 중대한 취약점을 폭로했는데, 확실히 추억이 되살아났어요. 호기심 많던 어린 시절, 소프트웨어의 보닛을 들어 올려 그 아래를 들여다보며 모든 것이 어떻게 작동하는지, 그리고 더 중요한 것은 그것을 망가뜨릴 수 있는지 살펴보던 기억이 납니다.수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화에 매진해 왔습니다. 보안 커뮤니티(접근 방식은 다소 건방지지만)는 악의적인 공격자들이 같은 일을 하기 전에 결함이나 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다.
그러나 여기서 문제는 그가 발견한 내용을 바탕으로 경미한 정학 처분을 받았다는 점입니다. 그리고 이는 그가 회사(폴렛 코퍼레이션)에 연락하기 위한 모든 수단을 동원한 후에야 비로소 이루어졌습니다. 개인적으로는 결국 자신과 시스템을 침해할 수 있는 능력을 확인하기 위해 상당히 공개적인 방법을 선택했습니다. 폴렛 코퍼레이션에 윤리적 경고를 반복해서 시도했지만, 답변은 없었습니다.한편, 소프트웨어는 여전히 취약했고, 대량의 학생 데이터는 암호화되지 않은 상태였기 때문에 매우 쉽게 공개되었습니다.
또한 다른 회사 소프트웨어인 Blackboard의 버그도 조사했습니다. Blackboard 데이터는 최소한 암호화되어 있었지만, 잠재적 공격자가 수백만 건의 레코드에 접근하여 훔쳐갔을 가능성이 있습니다. 이 소프트웨어와 포렛의 제품은 모두 그의 학교에서 사용되고 있었습니다.
「악의적인 해커」 이야기는 문제가 있습니다.
데밀카피는 올해의 조사 결과를 발표했습니다. 디프코인, 그의 장난스러운 태도의 더 장난기 넘치는 디테일이 관객의 박수갈채를 받고 있습니다.정확히 그렇습니다. 포렛 코퍼레이션은 처음에는 심각한 상황에 처해 자신의 발견이 인정받기까지 많은 장애물에 직면했지만, 그의 노력에 감사하며 그의 조언에 따라 행동하여 결국 소프트웨어의 안전성을 높이고 데이터 유출이라는 또 다른 통계가 될 위기를 피했다고 전해집니다. 고등학교 졸업 후에는 로체스터 공과대학에도 진학할 예정이므로, 수요가 높은 보안 전문가로 성장하기 위한 올바른 길을 걷고 있음은 분명합니다.
보안 담당자로서 이 상황이 어떻게 처리되었는지에 이의를 제기하지 않는 것은 어렵습니다. 이 사건은 결국 순조롭게 마무리되었지만, 처음에는 그가 성가신 시나리오 작가처럼 취급받았고, 본래 어울리지 않는 곳에 참견하고 있었습니다.Google에서 이 사건을 검색하면 그를 '해커'라고 부르는 기사가 있습니다(보안 비전문가들의 생각으로는, 이는 그를 여러 의미에서 악당으로 규정짓는 것입니다). 사실, 그의 접근 방식(그리고 다른 많은 접근 방식들)은 데이터를 안전하게 지키는 데 도움이 됩니다.
호기심이 많고, 똑똑하며, 보안에 중점을 둔, 내부를 꿰뚫어 보는 인재가 필요합니다. 그리고 이를 더 자주 실행해야 합니다. 7월 현재, 올해만 해도 40억 건이 넘는 레코드가 악의적인 데이터 유출 피해를 입었습니다. 8월에 발생한 패션·라이프스타일 브랜드 데이터 유출로 인해 이 숫자에 5천만 건이 더 추가될 가능성이 있습니다. 포쉬마크.
우리는 같은 실수를 반복하고 있지만, 더욱 우려되는 것은 대부분의 경우 얼굴을 찌푸리게 하는 단순한 취약점들 때문에 계속해서 넘어지고 있다는 점입니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았습니다.
보고서에 따르면, Demilkap이 유선, Blackboards 커뮤니티 참여 소프트웨어 및 Folletts 학생 정보 시스템에 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 일반적인 보안 결함이 포함되어 있음을 발견했습니다. 이 두 가지 모두 1990년대부터 보안 전문가들의 입에 오르내려 왔습니다. 우리는 그 존재를 수년간 견뎌왔습니다. 정말 하이퍼컬러 티셔츠나 플로피 디스크처럼, 이제는 먼 옛날의 추억이 되어야 마땅합니다.
그러나 그렇지 않습니다. 또한 코드 도입을 중단할 만큼 충분한 보안 의식을 보여주는 개발자가 부족하다는 것은 명백합니다. 스캐닝 도구와 수동 코드 리뷰로 해결할 수 있는 것은 제한적이며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제가 존재합니다. 이러한 경우 고가이고 시간이 많이 소요되는 이러한 대책을 보다 효과적으로 활용할 수 있습니다.
빌 데밀카피 같은 사람들은 개발자들이 더 높은 수준의 코드를 작성하도록 고무해야 합니다. 그는 불과 17세의 나이에, 코드가 커밋되기 전에 탐지하고 수정해야 했던 위협 벡터를 통해 트래픽이 많은 두 시스템에 침투했습니다.
게이미피케이션: 참여의 열쇠는?
개발자들이 보안에 거의 관여하지 않는 이유에 대해 저는 많이 써왔습니다. 간단히 말해, 보안 의식이 높은 개발자를 양성하기 위한 노력이 조직 차원이나 교육 차원에서 거의 이루어지지 않고 있기 때문입니다. 기업이 시간을 들여 참여를 보상하고 평가하는 보안 문화를 구축하고, 개발자의 언어를 구사하며 지속적으로 도전하도록 동기를 부여하는 교육을 실시한다면, 이러한 성가신 취약점의 잔재들은 우리가 사용하는 소프트웨어에서 사라지기 시작할 것입니다.
데미르카피는 보안에 특별한 관심을 가지고 있으며, 오랜 시간 동안 악성코드의 리버스 엔지니어링 방법, 결함 발견 방법, 그리고 외부에서는 고장 나지 않은 것처럼 보이는 것을 파괴하는 방법을 배워왔습니다. 그러나 그와 이야기를 나누다 보면 (그리고 DEF CON 슬라이드를 통해) 그는 독학에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
「학교 소프트웨어에서 무언가를 발견하는 것이 목표였기 때문에, 게임처럼 상당량의 침투 테스트를 독학으로 배울 수 있어서 즐거웠습니다. 더 알고 싶어 연구를 시작했지만, 결국 상황이 예상보다 훨씬 나쁘다는 것을 알게 되었습니다」라고 그는 말합니다.
모든 개발자가 보안에 특화되기를 원하는 것은 아니지만, 모든 개발자에게 보안 의식을 가질 기회를 제공해야 합니다. 그 기본은 조직 내, 특히 대량의 기밀 데이터를 관리하는 조직 내에서 거의 '코드 라이선스' 역할을 수행합니다. 가장 단순한 보안 취약점을 모든 개발자가 생성하기 전에 수정할 수 있다면, 대혼란을 일으키려는 개발자에 대해 훨씬 안전한 입장에 설 수 있습니다.
게이미피케이션 트레이닝에 관심이 있으신가요? 「코더스 콘커 시큐리티 콘커 시리즈」를 확인해 보세요. XSS 그리고 SQL 인젝션.
10대 보안 연구원 빌 데밀카피의 최근 보고서는 학교에서 사용하던 소프트웨어의 중대한 취약점을 폭로했는데, 확실히 추억이 되살아났어요. 호기심 많던 어린 시절, 소프트웨어의 보닛을 들어 올려 그 아래를 들여다보며 모든 것이 어떻게 작동하는지, 그리고 더 중요한 것은 그것을 망가뜨릴 수 있는지 살펴보던 기억이 납니다.수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화에 매진해 왔습니다. 보안 커뮤니티(접근 방식은 다소 건방지지만)는 악의적인 공격자들이 같은 일을 하기 전에 결함이나 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다.
그러나 여기서 문제는 그가 발견한 내용을 바탕으로 경미한 정학 처분을 받았다는 점입니다. 그리고 이는 그가 회사(폴렛 코퍼레이션)에 연락하기 위한 모든 수단을 동원한 후에야 비로소 이루어졌습니다. 개인적으로는 결국 자신과 시스템을 침해할 수 있는 능력을 확인하기 위해 상당히 공개적인 방법을 선택했습니다. 폴렛 코퍼레이션에 윤리적 경고를 반복해서 시도했지만, 답변은 없었습니다.한편, 소프트웨어는 여전히 취약했고, 대량의 학생 데이터는 암호화되지 않은 상태였기 때문에 매우 쉽게 공개되었습니다.
또한 다른 회사 소프트웨어인 Blackboard의 버그도 조사했습니다. Blackboard 데이터는 최소한 암호화되어 있었지만, 잠재적 공격자가 수백만 건의 레코드에 접근하여 훔쳐갔을 가능성이 있습니다. 이 소프트웨어와 포렛의 제품은 모두 그의 학교에서 사용되고 있었습니다.
「악의적인 해커」 이야기는 문제가 있습니다.
데밀카피는 올해의 조사 결과를 발표했습니다. 디프코인, 그의 장난스러운 태도의 더 장난기 넘치는 디테일이 관객의 박수갈채를 받고 있습니다.정확히 그렇습니다. 포렛 코퍼레이션은 처음에는 심각한 상황에 처해 자신의 발견이 인정받기까지 많은 장애물에 직면했지만, 그의 노력에 감사하며 그의 조언에 따라 행동하여 결국 소프트웨어의 안전성을 높이고 데이터 유출이라는 또 다른 통계가 될 위기를 피했다고 전해집니다. 고등학교 졸업 후에는 로체스터 공과대학에도 진학할 예정이므로, 수요가 높은 보안 전문가로 성장하기 위한 올바른 길을 걷고 있음은 분명합니다.
보안 담당자로서 이 상황이 어떻게 처리되었는지에 이의를 제기하지 않는 것은 어렵습니다. 이 사건은 결국 순조롭게 마무리되었지만, 처음에는 그가 성가신 시나리오 작가처럼 취급받았고, 본래 어울리지 않는 곳에 참견하고 있었습니다.Google에서 이 사건을 검색하면 그를 '해커'라고 부르는 기사가 있습니다(보안 비전문가들의 생각으로는, 이는 그를 여러 의미에서 악당으로 규정짓는 것입니다). 사실, 그의 접근 방식(그리고 다른 많은 접근 방식들)은 데이터를 안전하게 지키는 데 도움이 됩니다.
호기심이 많고, 똑똑하며, 보안에 중점을 둔, 내부를 꿰뚫어 보는 인재가 필요합니다. 그리고 이를 더 자주 실행해야 합니다. 7월 현재, 올해만 해도 40억 건이 넘는 레코드가 악의적인 데이터 유출 피해를 입었습니다. 8월에 발생한 패션·라이프스타일 브랜드 데이터 유출로 인해 이 숫자에 5천만 건이 더 추가될 가능성이 있습니다. 포쉬마크.
우리는 같은 실수를 반복하고 있지만, 더욱 우려되는 것은 대부분의 경우 얼굴을 찌푸리게 하는 단순한 취약점들 때문에 계속해서 넘어지고 있다는 점입니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았습니다.
보고서에 따르면, Demilkap이 유선, Blackboards 커뮤니티 참여 소프트웨어 및 Folletts 학생 정보 시스템에 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 일반적인 보안 결함이 포함되어 있음을 발견했습니다. 이 두 가지 모두 1990년대부터 보안 전문가들의 입에 오르내려 왔습니다. 우리는 그 존재를 수년간 견뎌왔습니다. 정말 하이퍼컬러 티셔츠나 플로피 디스크처럼, 이제는 먼 옛날의 추억이 되어야 마땅합니다.
그러나 그렇지 않습니다. 또한 코드 도입을 중단할 만큼 충분한 보안 의식을 보여주는 개발자가 부족하다는 것은 명백합니다. 스캐닝 도구와 수동 코드 리뷰로 해결할 수 있는 것은 제한적이며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제가 존재합니다. 이러한 경우 고가이고 시간이 많이 소요되는 이러한 대책을 보다 효과적으로 활용할 수 있습니다.
빌 데밀카피 같은 사람들은 개발자들이 더 높은 수준의 코드를 작성하도록 고무해야 합니다. 그는 불과 17세의 나이에, 코드가 커밋되기 전에 탐지하고 수정해야 했던 위협 벡터를 통해 트래픽이 많은 두 시스템에 침투했습니다.
게이미피케이션: 참여의 열쇠는?
개발자들이 보안에 거의 관여하지 않는 이유에 대해 저는 많이 써왔습니다. 간단히 말해, 보안 의식이 높은 개발자를 양성하기 위한 노력이 조직 차원이나 교육 차원에서 거의 이루어지지 않고 있기 때문입니다. 기업이 시간을 들여 참여를 보상하고 평가하는 보안 문화를 구축하고, 개발자의 언어를 구사하며 지속적으로 도전하도록 동기를 부여하는 교육을 실시한다면, 이러한 성가신 취약점의 잔재들은 우리가 사용하는 소프트웨어에서 사라지기 시작할 것입니다.
데미르카피는 보안에 특별한 관심을 가지고 있으며, 오랜 시간 동안 악성코드의 리버스 엔지니어링 방법, 결함 발견 방법, 그리고 외부에서는 고장 나지 않은 것처럼 보이는 것을 파괴하는 방법을 배워왔습니다. 그러나 그와 이야기를 나누다 보면 (그리고 DEF CON 슬라이드를 통해) 그는 독학에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
「학교 소프트웨어에서 무언가를 발견하는 것이 목표였기 때문에, 게임처럼 상당량의 침투 테스트를 독학으로 배울 수 있어서 즐거웠습니다. 더 알고 싶어 연구를 시작했지만, 결국 상황이 예상보다 훨씬 나쁘다는 것을 알게 되었습니다」라고 그는 말합니다.
모든 개발자가 보안에 특화되기를 원하는 것은 아니지만, 모든 개발자에게 보안 의식을 가질 기회를 제공해야 합니다. 그 기본은 조직 내, 특히 대량의 기밀 데이터를 관리하는 조직 내에서 거의 '코드 라이선스' 역할을 수행합니다. 가장 단순한 보안 취약점을 모든 개발자가 생성하기 전에 수정할 수 있다면, 대혼란을 일으키려는 개발자에 대해 훨씬 안전한 입장에 설 수 있습니다.
게이미피케이션 트레이닝에 관심이 있으신가요? 「코더스 콘커 시큐리티 콘커 시리즈」를 확인해 보세요. XSS 그리고 SQL 인젝션.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
10대 보안 연구원 빌 데밀카피의 최근 보고서는 학교에서 사용하던 소프트웨어의 중대한 취약점을 폭로했는데, 확실히 추억이 되살아났어요. 호기심 많던 어린 시절, 소프트웨어의 보닛을 들어 올려 그 아래를 들여다보며 모든 것이 어떻게 작동하는지, 그리고 더 중요한 것은 그것을 망가뜨릴 수 있는지 살펴보던 기억이 납니다.수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화에 매진해 왔습니다. 보안 커뮤니티(접근 방식은 다소 건방지지만)는 악의적인 공격자들이 같은 일을 하기 전에 결함이나 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다.
그러나 여기서 문제는 그가 발견한 내용을 바탕으로 경미한 정학 처분을 받았다는 점입니다. 그리고 이는 그가 회사(폴렛 코퍼레이션)에 연락하기 위한 모든 수단을 동원한 후에야 비로소 이루어졌습니다. 개인적으로는 결국 자신과 시스템을 침해할 수 있는 능력을 확인하기 위해 상당히 공개적인 방법을 선택했습니다. 폴렛 코퍼레이션에 윤리적 경고를 반복해서 시도했지만, 답변은 없었습니다.한편, 소프트웨어는 여전히 취약했고, 대량의 학생 데이터는 암호화되지 않은 상태였기 때문에 매우 쉽게 공개되었습니다.
또한 다른 회사 소프트웨어인 Blackboard의 버그도 조사했습니다. Blackboard 데이터는 최소한 암호화되어 있었지만, 잠재적 공격자가 수백만 건의 레코드에 접근하여 훔쳐갔을 가능성이 있습니다. 이 소프트웨어와 포렛의 제품은 모두 그의 학교에서 사용되고 있었습니다.
「악의적인 해커」 이야기는 문제가 있습니다.
데밀카피는 올해의 조사 결과를 발표했습니다. 디프코인, 그의 장난스러운 태도의 더 장난기 넘치는 디테일이 관객의 박수갈채를 받고 있습니다.정확히 그렇습니다. 포렛 코퍼레이션은 처음에는 심각한 상황에 처해 자신의 발견이 인정받기까지 많은 장애물에 직면했지만, 그의 노력에 감사하며 그의 조언에 따라 행동하여 결국 소프트웨어의 안전성을 높이고 데이터 유출이라는 또 다른 통계가 될 위기를 피했다고 전해집니다. 고등학교 졸업 후에는 로체스터 공과대학에도 진학할 예정이므로, 수요가 높은 보안 전문가로 성장하기 위한 올바른 길을 걷고 있음은 분명합니다.
보안 담당자로서 이 상황이 어떻게 처리되었는지에 이의를 제기하지 않는 것은 어렵습니다. 이 사건은 결국 순조롭게 마무리되었지만, 처음에는 그가 성가신 시나리오 작가처럼 취급받았고, 본래 어울리지 않는 곳에 참견하고 있었습니다.Google에서 이 사건을 검색하면 그를 '해커'라고 부르는 기사가 있습니다(보안 비전문가들의 생각으로는, 이는 그를 여러 의미에서 악당으로 규정짓는 것입니다). 사실, 그의 접근 방식(그리고 다른 많은 접근 방식들)은 데이터를 안전하게 지키는 데 도움이 됩니다.
호기심이 많고, 똑똑하며, 보안에 중점을 둔, 내부를 꿰뚫어 보는 인재가 필요합니다. 그리고 이를 더 자주 실행해야 합니다. 7월 현재, 올해만 해도 40억 건이 넘는 레코드가 악의적인 데이터 유출 피해를 입었습니다. 8월에 발생한 패션·라이프스타일 브랜드 데이터 유출로 인해 이 숫자에 5천만 건이 더 추가될 가능성이 있습니다. 포쉬마크.
우리는 같은 실수를 반복하고 있지만, 더욱 우려되는 것은 대부분의 경우 얼굴을 찌푸리게 하는 단순한 취약점들 때문에 계속해서 넘어지고 있다는 점입니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았습니다.
보고서에 따르면, Demilkap이 유선, Blackboards 커뮤니티 참여 소프트웨어 및 Folletts 학생 정보 시스템에 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 일반적인 보안 결함이 포함되어 있음을 발견했습니다. 이 두 가지 모두 1990년대부터 보안 전문가들의 입에 오르내려 왔습니다. 우리는 그 존재를 수년간 견뎌왔습니다. 정말 하이퍼컬러 티셔츠나 플로피 디스크처럼, 이제는 먼 옛날의 추억이 되어야 마땅합니다.
그러나 그렇지 않습니다. 또한 코드 도입을 중단할 만큼 충분한 보안 의식을 보여주는 개발자가 부족하다는 것은 명백합니다. 스캐닝 도구와 수동 코드 리뷰로 해결할 수 있는 것은 제한적이며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제가 존재합니다. 이러한 경우 고가이고 시간이 많이 소요되는 이러한 대책을 보다 효과적으로 활용할 수 있습니다.
빌 데밀카피 같은 사람들은 개발자들이 더 높은 수준의 코드를 작성하도록 고무해야 합니다. 그는 불과 17세의 나이에, 코드가 커밋되기 전에 탐지하고 수정해야 했던 위협 벡터를 통해 트래픽이 많은 두 시스템에 침투했습니다.
게이미피케이션: 참여의 열쇠는?
개발자들이 보안에 거의 관여하지 않는 이유에 대해 저는 많이 써왔습니다. 간단히 말해, 보안 의식이 높은 개발자를 양성하기 위한 노력이 조직 차원이나 교육 차원에서 거의 이루어지지 않고 있기 때문입니다. 기업이 시간을 들여 참여를 보상하고 평가하는 보안 문화를 구축하고, 개발자의 언어를 구사하며 지속적으로 도전하도록 동기를 부여하는 교육을 실시한다면, 이러한 성가신 취약점의 잔재들은 우리가 사용하는 소프트웨어에서 사라지기 시작할 것입니다.
데미르카피는 보안에 특별한 관심을 가지고 있으며, 오랜 시간 동안 악성코드의 리버스 엔지니어링 방법, 결함 발견 방법, 그리고 외부에서는 고장 나지 않은 것처럼 보이는 것을 파괴하는 방법을 배워왔습니다. 그러나 그와 이야기를 나누다 보면 (그리고 DEF CON 슬라이드를 통해) 그는 독학에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
「학교 소프트웨어에서 무언가를 발견하는 것이 목표였기 때문에, 게임처럼 상당량의 침투 테스트를 독학으로 배울 수 있어서 즐거웠습니다. 더 알고 싶어 연구를 시작했지만, 결국 상황이 예상보다 훨씬 나쁘다는 것을 알게 되었습니다」라고 그는 말합니다.
모든 개발자가 보안에 특화되기를 원하는 것은 아니지만, 모든 개발자에게 보안 의식을 가질 기회를 제공해야 합니다. 그 기본은 조직 내, 특히 대량의 기밀 데이터를 관리하는 조직 내에서 거의 '코드 라이선스' 역할을 수행합니다. 가장 단순한 보안 취약점을 모든 개발자가 생성하기 전에 수정할 수 있다면, 대혼란을 일으키려는 개발자에 대해 훨씬 안전한 입장에 설 수 있습니다.
게이미피케이션 트레이닝에 관심이 있으신가요? 「코더스 콘커 시큐리티 콘커 시리즈」를 확인해 보세요. XSS 그리고 SQL 인젝션.
%20(1).avif)
.avif)
