보안 코드 인사이트

AI 주도 개발로 인해 완전히 새로운 유형의 소프트웨어 위험이 도입되었습니다. 프롬프트 주입, RAG 조작, 과도한 에이전트 권한은 더 이상 이론상의 문제가 아니라 현대 애플리케이션에서 현실이 되었습니다.

개발자는 현실 세계의 복잡성을 반영한 환경에서 이러한 새로운 위협 패턴을 실제로 접할 필요가 있습니다. 바로 그 이유로, 우리는 사이버몬 2025 AI/LLM 보스 미션을 제한된 이벤트 경험에서 벗어나, 시큐어 코드 워리어 내 배포 가능한 퀘스트 주제 컬렉션으로 전환했습니다. Cybermon 2025: Beat the Boss 컬렉션은 새로운 퀘스트를 생성하면 '보안 개념'의 '특정 개념' 섹션에 표시됩니다 .

사이버몬2025: 보스를 쓰러뜨려라 조직은 이러한 고난이도 AI 보안 과제를 언제든지 안전한 코딩 프로그램에 통합할 수 있습니다.

비트 더 보스란

Beat the Boss는 현실 세계에서 안전한 AI 개발 능력을 테스트하기 위해 설계된 4가지 고급 AI/LLM 챌린지를 모은 것입니다.

각 토픽에는 짧은 소개 영상과 가이드라인, 가이드가 포함된 워크스루 웜업, 그리고 Cybermon 2025의 오리지널 고난이도 보스 미션이 포함되어 있습니다. 이러한 몰입형 시나리오에서는 AI 대응 애플리케이션이 진화함에 따라 개발자가 반드시 이해해야 할 실용적인 AI 취약성 클래스에 초점을 맞추고 있습니다.

4개의 보스 미션은 각각 다른 AI 위험 영역을 대상으로 하며, AI 탑재 시스템에서 현실 세계의 위협 패턴을 시뮬레이션합니다.

• 바이파소 — 다이렉트 프롬프트 인젝션
• Keykraken — 간접 프롬프트 주입
• 프롬프트 가이스트 — 벡터와 임베딩의 취약점
• 프로키서퍼 — 과잉 에이전시

원하는 대로 실행하십시오

한 번에 한 명의 보스에게 집중하여 각자의 취약점에 맞는 적절한 관심을 기울이는 것이 좋습니다. 많은 조직이 다음과 같은 방식을 선택하고 있습니다.

• 주요 AI 보안 스프린트로 매주 1명의 보스를 배치
• 또는, 「이달의 취약점」 이니셔티브로 매월 1회

사내 이벤트를 설정하는 관리자를 위해 구조화된 롤아웃 가이드와 다운로드 가능한 브랜딩 자산을 지식베이스에서 제공합니다.
사이버몬 2025: 나만의 비트 더 보스 이벤트 개최

AI 보안 대책의 운영화

AI 가속화를 통한 개발은 소프트웨어 위험 환경을 완전히 바꾸어 놓고 있습니다. 새롭게 등장하는 취약성 유형들은 단순한 인식 이상의 것이 필요하며, 실제 적용 경험이 요구됩니다.

Beat the Boss를 사용하면 조직은 진화하는 AI 위협 패턴을 실용적인 개발자 역량으로 전환할 수 있습니다.

개발자는 각 과제를 개별적으로 시험해 보고 가이드가 포함된 단계별 해결 방안을 확인함으로써 공격자의 사고 방식과 방어 전략을 강화할 수 있습니다. 과제 수행 후 학습을 위해 전체 해결 과정의 단계별 동영상 가이드가 제공됩니다.

많은 팀이 사내 지식 공유 세션을 통해 경험을 확대하며, 이벤트 기반 학습을 경쟁형에서 협력형 학습으로 전환하고 있습니다. 보안과 개발은 팀 스포츠입니다. 개발자, 보안 리더, 엔지니어링 팀이 협력하여 확대되는 AI 공격 표적 영역을 이해하고 완화하는 것이 조직을 가장 효과적으로 보호합니다. 디브리핑, 솔루션 리뷰 공유, 팀 간 토론 촉진은 개별 과제 해결을 집단적 역량으로 전환하는 데 도움이 됩니다.

Beat the Boss를 안전한 코딩 활동에 통합함으로써, 개발 팀 전체에서 측정 가능한 AI 보안 성숙도를 높이는 동시에 안전한 AI 도입을 강화할 수 있습니다.

시작하자

사이버몬 2025: 보스 격파 컬렉션은 새로운 퀘스트를 생성하면 '보안 컨셉트'의 '특정 컨셉트' 섹션에 표시됩니다. 시큐어 코드 워리어 계정에 로그인합니다. 롤아웃을 설정하여 팀 전체의 안전한 AI 개발을 강화할 수 있습니다.

사이버 복원력 법안은 EU에 기반을 둔 기업뿐만 아니라 디지털 제품을 유럽 시장에 판매하는 모든 기업에게 빠르게 전략적 우선순위가 되고 있습니다. 규정 준수 기한은 2027년까지이지만, 엔지니어링 팀과 보안 팀은 이미 보안 설계 관행, 취약점 처리, 개발 역량에 대해 엄격한 질문을 제기하고 있습니다.

문서화와 감사에 초점을 맞춘 많은 규정과 달리, CRA는 안전한 소프트웨어 설계 및 개발을 규정 준수 핵심으로 규정합니다. 보안 설계(Security by Design) 기능에 초기 단계에서 투자한 조직은 더 빠르게 규정 준수를 달성하고, 제품 보안이 구매 결정 요소가 되어가는 시장에서 두각을 나타낼 수 있습니다.

사이버 복원력법이 요구하는 것

사이버 복원력 법(CRA)은 소프트웨어, 운영 체제, 연결된 장치, 임베디드 시스템 등 디지털 구성 요소가 포함된 대부분의 제품에 기본적인 사이버 보안 요건을 도입하고 있습니다.

더 중요한 것은 책임을 지는 위치를전환하는 것입니다.

보안은 더 이상 실행 시나 운영상의 문제만이 아닙니다. CRA 하에서는 다음과 같습니다. 설계 및 개발 의무 아키텍처, 구현, 유지보수, 취약점 처리에 걸쳐 있습니다.

엔지니어링 및 보안 리더에게 이는 다음을 의미합니다.

• 제품은 보안 설계 원칙에 따라 제조되어야 합니다.
• 알려진 취약점은 가능한 한 예방하고 효과적으로 처리해야 합니다.
• 조직은 안전한 개발 관행이 시행되고 있음을 증명해야 합니다.

즉, 컴플라이언스는 개발자가 코드를 작성하고 관리하는 방식과 분리할 수 없다는 것입니다.

CRA가 적용되는 대상은 누구인가

EU에 의해 도입되었지만, CRA의 적용 대상은 전 세계 모든 조직입니다. 이로 인해 다음을 포함한 대상 디지털 제품이 EU 시장에 진입합니다.

• 대상 제품의 원격 데이터 처리 구성 요소로 기능하는 서비스를 제공하는 소프트웨어 벤더 및 SaaS 공급자
• 디지털 제품 또는 커넥티드 제품의 제조업체
• 수입업자, 유통업자, 소매업자
• 타사 디지털 구성 요소를 통합하는 조직

글로벌 기업에게 CRA 대응은 국경을 초월한 개발 요건이나지역별 규정 준수 활동이 아닙니다.

조직이 지금 시작하는 이유

주요 마일스톤:

• 2026년 9월 — 취약점 보고 의무 시작
• 2027년 12월 — 완전한 준수가 필요합니다

종이 위에서는 그 타임라인이 편안해 보일 수 있습니다. 실제로는 개발의 변혁은 분기 단위가 아니라 수년에 걸쳐 일어납니다.

보안 설계는 정책 업데이트가 아닙니다. 다음이 필요합니다.

• 언어와 팀을 넘어 수천 명의 개발자의 역량을 강화합니다
• 설계 단계부터 고려한 보안적 기대를 일상적인 워크플로우에 통합한다
• 사후 대응형 취약점 수리에서 예방으로의 전환
• 안전한 개발 방법론이 일관되게 적용되고 있음을 입증하는 측정 가능한 증거의 생성

이러한 변화는 채용, 온보딩, 아키텍처 결정, SDLC 프로세스, 엔지니어링 문화에 영향을 미칩니다. 2026년 후반까지 연기하는 조직은 규제 압박 속에서 역량 개선을 시도하게 되지만, 이는 훨씬 더 많은 비용이 들고 혼란을 초래하는 방법입니다.

이행에는 중대한 재무적 위험도 수반됩니다. CRA 제64조에 따르면, 중요한 사이버 보안 요건을 위반할 경우 벌금은 1,500만 유로, 즉 전 세계 연간 매출액의 2.5%에 달할 수 있습니다.

2026년 후반까지 기다리는 것은 너무 늦습니다.

CRA는 궁극적으로는 개발자 역량의 과제입니다

많은 규제는 정책과 문서화에 중점을 둡니다. CRA는 한 걸음 더 나아가 컴플라이언스를 소프트웨어 설계 및 구축에 사용되는 실제 관행과 연결합니다. 이를 통해 단순한 거버넌스 요구사항이 아닌 운영상의 규율로서 안전한 개발에 대한 기대가 높아집니다.

엔지니어링 리더에게 있어 컴플라이언스는 개발 팀이 다음과 같은 안전한 관행을 일관되게 적용하고 있는지에 달려 있습니다.

• 일반적인 취약점 클래스의 이해
• 안전한 설계 및 아키텍처 원칙의 적용
• 안전하지 않은 구현 패턴의 회피
• 제3자 및 오픈소스 구성 요소의 책임 있는 취급

보안 도구는 문제를 탐지하는 데 중요한 역할을 합니다. 그러나 도구의 취약점은 코드가 작성된 후에야 드러납니다. 보안 설계(Security by Design)를 실현하려면 개발자는 먼저 취약점을 방지해야 하며, 팀, 언어, 제품을 막론하고 일관되게 방지해야 합니다.

도구만으로는 이를 실현할 수 없습니다. 보안 설계(Security by Design)의 성과는 다음에 의해 결정됩니다. 인간의 능력.

시큐어 코드 워리어가 CRA 준비를 어떻게 지원하는가

시큐어 코드 워리어(Secure Code Warrior)가 제공하는 CAR(Code of Practice for Secure Coding)에 부합하는 학습 경로 그것이 결합된 것:

• CRA 표준 퀘스트 부록 I, 파트 I의 기술적 취약성 요구사항에 매핑
• 보안 설계 개념 컬렉션
• 언어 특화 실용적 취약점 학습

SCW의 CRA에 맞춰진 모든 학습 콘텐츠에 대한 원시트 가이드를 참조하십시오. SCW는 컴플라이언스를 증명하지 않습니다. 당사는 CRA 준비 상태를 다음을 통해 지원합니다. 규제 안전 개발 원칙에 부합하는 체계적인 학습과 측정 가능한 역량 향상

CRA 준비 태세 구축을 지금 바로 시작하십시오

CRA는 업계가 나아가고 있는 방향성을 반영합니다. 즉, 기본적으로 설계 엔지니어링을 통한 보안이 요구되고 있습니다. 현재 개발자의 역량에 투자하는 조직은 규정 준수는 물론, 장기적으로 더 탄력적이고 위험이 낮은 소프트웨어를 구축하는 데에도 유리한 입장에 있습니다.

Secure Code Warrior가 컴플라이언스 달성에 어떻게 도움이 되는지에 대한 자세한 내용은 아래 지식베이스를 참조하십시오. Secure Code Warrior가 컴플라이언스 달성에 어떻게 도움이 되는지

성공을 실현하는 10가지 요인이라는 기본적인 단계를 깊이 파고들기 시작합니다 . 이네이블러 1: 정의되고 측정 가능한 성공 기준. 보안 코딩 프로그램이 여정과 같다면, 첫 번째이자 가장 중요한 단계는 자신이 어디로 향하는지 정확히 아는 것입니다. 이것이 첫 번째 이네이블러의 본질입니다.

성공 기준을 비즈니스 성과와 연계시키다

성공적인 보안 코딩 프로그램을 구축하려면 비즈니스 성과와 밀접하게 연관된 명확한 목표가 필요합니다. 이네이블러 1은 "보안 코딩 프로그램으로 해결하려는 문제나 과제는 매우 구체적이고 측정 가능한 용어로 표현하면 무엇인가"라는 핵심 질문에 답합니다.

아마도 귀사는 규정 준수 요구사항을충족하거나 보안 침해 및 사이버 공격을 방지하기위한 방법을 모색 중일 것입니다. 또는 조직 차원에서 처음부터 안전하게 코딩할 수 있도록 개발자를 교육함으로써 재작업에 소요되는 비용과 시간을 절감하기 위한 방안을 찾고 계실 수도 있습니다.

동기 부여, 조직의 현황 또는 선택한 보안 교육 플랫폼과 관계없이 프로그램의 장기적 성공은 지지 기반을 확보하고 지속적인 성공을 보장하기 위해 비즈니스 목표와 연계된 명확한 목표를 설정하는 데 크게 좌우됩니다.

성공 기준을 설정할 때는 프로그램의 주요 이해관계자를 고려하십시오. 경영진 후원자와 그들의 비즈니스 목표를 파악하면 부서 간에 더 넓은 채택을 유도하는 데 도움이 됩니다.

성공을 구체적이고 측정 가능한 것으로 만든다

이러한 목표는 그 특성상 조직 고유의 것이어야 합니다. 그럼에도 불구하고, 아래의 전형적인 비즈니스 목표를 재검토하고, 그들이 어떻게 새로운 아이디어를 창출하는지 검토해 보십시오.

위험 감소: 개발자 위험을 완화하고 코딩 결함으로 인한 취약점을 줄입니다. 여기에는 위험 식별 및 애플리케이션 공격 표면 축소가 포함됩니다.

프로그램은 취약점 밀도나 취약점 주입률 감소 및 회피와 같은 지표를 목표로 삼는 경우가 많다.

운영 속도: 제품 제공 속도를 극대화하여 개발자의 좌절감과 이탈을 줄이고 재작업에 소요되는 시간을 감소시킵니다. 보안 코드 교육은 소프트웨어 개발 생명주기 후반에 발견되는 버그가 있는 코드의 시간 소모적인 재작업을 피하도록 지원함으로써 개발자에게 중요한 동기 부여 역할을 합니다.

프로그램은 종종 개발자의 취약점 평균 복구 시간(MTTR) 단축을 목표로 합니다.

규제 준수: 외부 규정 준수를 달성하십시오. 예를 들어, PCI-DSS(결제 시스템 작업에 참여하는 모든 개발자에게 교육을 의무화하는 표준)와 같은 표준을 준수하는 것이 포함됩니다.

재능과 신뢰: 개발자 조직 내 보안 및 취약점에 대한 참여도와 인식을 제고하는 동시에 고객 신뢰를 유지하고 구축합니다. 일부 기업에서는 보안 역량을 갖춘 개발자가 시장 차별화를 구축하는 데 기여합니다.

프로그램은 종종 개발자를 위한 최소 기술 요건을 설정하거나 심지어 전문적인 보안 챔피언 프로그램을 만들기도 합니다.

공동 성공 계획에서의 성공 사례 문서화

달성 기준을정의한 후 다음 단계는 해당 기준을 문서화하는 것입니다. 공동 성공 계획. 이 계획은 교육 플랫폼, CSM 등의 외부 지원을 포함하여 프로그램의 주요 이해관계자 및 부서 간에 공유되는 설계도입니다.

성공 계획에는 다음이 포함됩니다.

1. 가치 드라이버: 여기에는 코드 보안 향상과 프로그램의 '이유'에 대한 답변과 관련된 대략적인 비즈니스 목표가 포함됩니다.
2. 현재 상태: 이를 통해 "우리는 지금 어디에 있는가?"라는 점이 명확해집니다. (예: 현재의 보안 코딩 기술이나 기존 교육 프로그램).
3. 미래(바람직한) 상태: 다음으로, "우리는 어디에 도달하고 싶은가?"를 기록합니다. 그리고 보안 코딩 기술의 격차를 어떻게 메울 것인지 명확히 하십시오.
4. KPI / 주요 성과 지표: 이들은 성공을 나타내는 지표이며, 프로그램의 전개와 함께 현재 상태와 미래 상태 간의 격차가 점차 좁혀지고 있음을 보여줍니다.

하나 또는 두 개의 특정 지표로 시작하는 것을 권장합니다. 필요에 따라 나중에 확장하세요.이러한 KPI/대책은 S.M.A.R.T. 원칙(구체적, 측정 가능, 달성 가능, 관련성, 기한 설정)을 따라야 합니다. 추적하기 쉬워야 하며, 느슨한 해석을 허용하지 않아야 합니다. 계획을 실행에 옮기기 위해서는 모든 측면에서의 책임이 필요하며, 리더와 함께 가치와 ROI를 정기적이고 합의된 빈도로 검토해야 합니다.

이러한 기준을 명시적으로 정의하고 측정함으로써, 보안 코딩 프로그램은 단순한 비용 센터에서 중요한 비즈니스 성과에 대한 검증 가능한 추진력으로 전환됩니다. 이는 프로그램을 성숙시키기 위해 필요한 첫 번째 단계입니다.

다음으로, 자세히 설명하겠습니다. 이네이블러 2: 시니어 리더십 스폰서십 보안 코딩 프로그램의 성공적인 전개를 위해 리더십이 수행하는 중요한 역할에 대해 논의하겠습니다.

다른 질문이 있으신가요?고객님은 계정 팀에 문의하시거나 support@securecodewarrior.com으로연락하실 수 있습니다. 잠재 고객은 영업 팀 구성원과 상담하시려면 여기로문의해 주시기 바랍니다.

스타트업에 뛰어들기로 결심한 개인은 '기업가'라는 야망 넘치는 호칭부터 '완전 미친놈'이라는 훨씬 덜 화려한 표현까지 다양한 이름으로 불린다. Secure Code Warrior 11년간 이끌어온 나는 기쁘게도 그 중간 어딘가에 위치해 있다. 

지난 5년은 많은 이들에게 회복력의 교훈이 되었습니다. 지구상 가장 똑똑한 사람들조차 예측하지 못한 경제적, 비경제적 난관이 예상치 못한 방식으로 닥쳤기 때문입니다. 여기서 '적자생존'이 떠오를 수 있지만, 저는 이 말을 더 선호합니다:

종에서 가장 강한 개체가 살아남는 것도 아니고, 가장 지능이 높은 개체가 살아남는 것도 아니다. 변화에 가장 잘 적응하는 개체가 살아남는다.

(이 말은 종종 찰스 다윈의 것으로 잘못 알려져 있지만, 실제로는 다윈의 저서 『종의 기원』 을 요약하던 레온 C. 메긴슨 교수가 한 말이다. 이 정보가 언젠가 펍 퀴즈에서 큰 상을 따는 데 도움이 되길 바란다.)

인공지능보다 변화와 적응력을 더 잘 보여주는 사례가 우리 세상에 또 있을까? 대규모 언어 모델(LLM)이 등장한 지 3년이 넘었지만, 우리는 여전히 이 기술이 무엇인지, 무엇을 할 수 있는지, 그리고 오늘날 존재하는 거의 모든 역할에서 어떻게 가장 효과적으로 활용될 수 있는지 이해하기 위해 분주히 움직이고 있다. 어쨌든 인공지능은 우리 곁에 남을 것이며, 특히 사이버 보안 실무자로서 우리는 공식적인 가이드라인이나 규정이 부재한 상황에서도 이를 보호하기 위해 한 발 앞서 나가야 합니다.

2025년은 인공지능과 사이버 보안, 그리고 SCW에게 중요한 해였습니다. 저는 2026년을 조용한 자신감과 오직 노력의 결실이 가져다주는 낙관으로 맞이하고 있습니다. 

우리는 AI 기반 소프트웨어 개발 보호 분야 진출을 포함해 주요 이정표를 달성했습니다. 우리는:

• 출시됨 트러스트 에이전트: AI 베타 테스트 출시: CCIA의 새로운 연구에 따르면 생성형 AI가 역사상 가장 빠르게 채택된 기술임이 확인되었으며, 개발자들 사이에서 AI 코딩 에이전트 및 어시스턴트의 폭발적인 확산은 놀라운 일이 아닙니다. 특히 보안 프로그램보다 더 빠르게 진행되는 성급한 기업 수준의 도입 사례도 포함됩니다.
  
  최신 기술인 트러스트 에이전트: AI는 AI 생성 코드에 대한 가시성과 거버넌스라는 핵심 요소를 제공합니다. 이 솔루션은 기업 보안 리더들이 보안 수준을 저하시키지 않으면서 소프트웨어 개발 수명주기(SDLC) 내 AI 도입을 자신 있게 관리할 수 있도록 필요한 심층 관측 및 제어 기능을 제공합니다.
• 최신 주요 매출 목표를 달성했습니다: 매출 목표를 초과 달성한 것은 Secure Code Warrior 전체의 끈기와 혁신을 증명하는 것입니다. 이 여정을 시작할 때 우리의 사명은 보안에 대한 '체크박스' 접근 방식을 넘어 개발자들이 첫 줄부터 안전한 코드를 작성할 수 있도록 실질적으로 지원하는 것이었습니다.
  
  이 비전이 수많은 글로벌 기업들에게 공감을 얻고 있다는 사실은 업계가 마침내 개발자 중심 보안으로 초점을 전환하고 있음을 증명합니다. 우리 워리어들이 모두를 위한 소프트웨어 안전성을 높이기 위해 헌신한 모습에 저는 그 어느 때보다 자랑스럽습니다.
• 전략적 파트너와의 전문적 통합: Aikido, OpenText, Black Duck과 같은 우수한 기업들과의 파트너십은 개발자 중심의 원활한 보안 생태계 구축이라는 우리의 사명에 있어 중요한 진전을 의미합니다. 취약점 식별과 이를 해결하는 데 필요한 구체적 기술 제공 사이의 간극을 메움으로써, 우리는 개발자 중심의 소프트웨어 위험에 대한 효과적인 해결 방안을 마련하고 있습니다.
  
  이 파트너십은 분산된 도구 환경에서 벗어나 보안이 개발 워크플로우의 자연스러운 확장으로 자리매김하는 통합 경험으로의 전략적 전환을 의미한다는 점에서 저는 매우 자랑스럽게 생각합니다.

새해를 맞이하며, 저는 점점 더 많은 지지자 여러분, 특히 사이버 보안 커뮤니티의 구성원들에게 감사드립니다. 여러분은 반복되는 취약점, 낮은 보안 인식, 저품질 코드 출력과의 싸움에서 주도적인 역할을 계속해 오셨습니다. 새로운 안전 기준을 채택함으로써, 우리는 소프트웨어, 서비스, 기술의 보안에서 실질적인 개선을 시작할 수 있습니다. 

우리는 숙련된 인간의 감독 하에 AI가 대부분의 코드를 작성하는 미래를 향해 전폭적인 투자를 통해 전진하고 있습니다. SCW Learning은 이 새로운 세상의 요구를 충족시키기 위해 빠르게 진화 중이며, SCW Trust Agent: AI는 향후 3개월 내 출시되어 SDLC에서 대규모 언어 모델(LLM), 머신 컴퓨팅 플랫폼(MCP) 등의 안전한 운영을 지원할 예정입니다. 곧 주요 시장 플레이어와의 흥미로운 새로운 파트너십도 발표할 예정입니다.

계속 지켜봐 주세요!

이 기사의 버전이 게재되었습니다 SC 매거진. 여기에서 수정 및 신디케이트되었습니다.


집에 도둑이 침입한 적이 있다면, 처음에는 뭔가 이상하다는 느낌이 들다가, 그 후 자신이 실제로 도둑맞고 침해당했다는 사실을 깨닫게 될 것입니다. 포트녹스에 필적하는 보안 대책으로 전환하는 것은 물론이고, 일반적으로 불쾌감이 오래 지속됩니다.

도둑이 직접 열쇠를 만들어 집이 파괴된 상황을 상상해 보십시오. 그들은 몰래 접근해 마음대로 드나들지만, 들키지 않도록 조심합니다. 그러다 어느 날, 냉동고에 숨겨둔 보석이 사라지거나 금고가 비워지거나 개인 소지품이 약탈당한 사실을 너무 늦게 깨닫게 됩니다.이는 제로데이 사이버 공격 피해를 입었을 때 조직이 직면하는 현실과 완전히 동일합니다. 2020년 포네몬 연구소의 조사에 따르면, 데이터 유출 성공 사례의 80%가 제로데이 익스플로잇의 결과였으며, 안타깝게도 대부분의 기업은 이 통계를 크게 개선할 준비가 되어 있지 않습니다.

제로데이 공격은 당연히 공격자가 최초로 침투하기 때문에 개발자가 악용될 수 있는 기존 취약점을 발견하고 패치를 적용할 시간이 전혀 없습니다. 피해가 발생하면 비즈니스에 대한 소프트웨어와 평판 저하를 모두 수정하려는 광란의 경쟁이 벌어집니다. 공격자는 항상 유리한 입장에 있으며, 그 우위를 최대한 막는 것이 중요합니다.

아무도 원하지 않았던 휴일 선물인 Log4Shell이 현재 인터넷을 휩쓸고 있으며, 10억 대가 넘는 기기가 이 파괴적인 자바 취약점의 영향을 받고 있다고 합니다. 이는 기록상 최악의 제로데이 공격이 되어가고 있으며, 아직 시작에 불과합니다. 그럼에도 일부 보고서에 따르면 익스플로잇은 공개 며칠 전부터 시작되었다고 합니다. 2016년 블랙햇 컨퍼런스 발표 자료에 따르면 이 문제는 한동안 알려진 상태였던 것으로 보입니다. 참으로 안타까운 일입니다. 더욱 심각한 것은 이 취약점이 매우 쉽게 악용될 수 있어 전 세계의 모든 스크립트 소년이나 위협 행위자들이 이 취약점을 노리고 있다는 점입니다.

그렇다면 소프트웨어 개발 과정에서 간과되어 온 취약점은 물론이고, 미끄러운 악의적인 위협으로부터 자신을 보호하기 위한 최선의 방법은 무엇일까요? 그럼 살펴보겠습니다.

대규모 표적을 대상으로 한 제로데이 공격은 드물며(그리고 비용이 많이 듭니다)

다크 웹에는 악용 코드에 대한 거대한 시장이 존재하며, 예를 들어 제로데이 취약점은 상당한 금액에 거래되는 경향이 있습니다. 이 글을 작성하는 시점에서 250만 달러에 거래되고 있습니다.애플 iOS 악용으로 보고되었지만, 보안 연구자들의 제시 가격이 치솟는 것은 놀라운 일이 아니다. 결국 이는 실제로 수백만 대의 기기를 침해하고, 수십억 건의 기밀 데이터 레코드를 수집하며, 발견되어 패치되기 전까지 가능한 한 오랫동안 이를 수행할 수 있는 관문이 될 수 있기 때문이다.

그러나 애초에 누가 그런 돈을 가지고 있을까요? 일반적으로 조직화된 사이버 범죄 조직은 특히 인기 있는 랜섬웨어 공격에 대해 가치가 있다고 판단되면 자금을 조달합니다. 그러나 전 세계 정부와 방위 부문은 위협 인텔리전스를 위해 활용 가능한 익스플로잇의 고객이며, 더 긍정적인 시나리오에서는 기업 자체가 잠재적인 제로데이 익스플로잇의 구매자가 되어 재해를 완화할 수 있습니다.

2021년에는 기록이 깨졌습니다. 제로데이 익스플로잇의 실시간 발견 대상이며, 취약점에 대한 조사를 받을 위험이 가장 높은 곳은 대규모 조직, 정부 기관 및 인프라입니다. 제로데이 공격 가능성으로부터 완전히 보호하는 방법은 없지만,관대하고 잘 구성된 버그 보상 프로그램을 제공함으로써 어느 정도 '게임을 할' 수 있습니다. 다크 웹 마켓플레이스에서 누군가가 소프트웨어 성의 열쇠를 내놓을 때까지 기다리지 말고, 합법적인 보안 매니아들을 아군으로 삼아 윤리적 공개와 잠재적 수정 사항에 대해 적절한 보상을 제공하십시오.

그리고 그것이 우연히 소름 끼치는 제로데이 위협이라면, 아마존 기프트 카드 이상의 대가를 치러야 한다고 생각하는 것이 틀림없습니다(그만한 가치가 있습니다).

도구 사용은 보안 담당자의 부담이 될 수 있습니다.

복잡한 보안 도구는 오랫동안 문제였으며, 평균적인 CISO는 보안 무기고에서 55개에서 75개에 이르는 도구를 관리하고 있습니다. 세계에서 가장 복잡한 (비유적으로) 스위스 군용 칼이라는 점은 차치하고서라도, 53%의 기업이 자신들이 효과적으로 운영되고 있다는 점조차 확신하지 못한다고 응답했습니다. 포네몬 연구소(Ponemon Institute)의 한 연구에 따르면, 자사 보안 스택이 '완전히 효과적'이라고 생각하는 CISO는 불과 17%에 불과하다는 사실이 밝혀졌습니다.

번아웃 증후군, 수요를 충족시킬 보안 기술을 보유한 인재 부족, 민첩성의 필요성으로 알려진 이 분야에서는 방대한 도구 세트의 데이터, 보고서, 모니터링 형태로 보안 전문가들이 정보 과잉 처리를 강요당하는 것이 큰 부담이 되고 있습니다. 이는 바로 Log4j 취약점을 적절히 평가할 때에도 적용될 수 있는, 중요한 경고를 놓치는 원인이 되는 시나리오입니다.

예방적 보안에는 개발자 주도 위협 모델링을 포함해야 합니다

코드 수준의 취약점은 개발자에 의해 도입되는 경우가 많으며, 안전한 코딩 기술을 습득하려면 정확한 지침과 정기적인 학습 경로가 필요합니다. 그러나 다음 단계의 보안 개발자에게는 소프트웨어 제작 과정의 일환으로 위협 모델링을 배우고 실천할 기회가 주어집니다.

자사 소프트웨어를 가장 잘 아는 사람들이 바로 그 자리에 앉아 개발한 개발자라는 것은 놀라운 일이 아닙니다. 그들은 사용자가 소프트웨어를 조작하는 방식, 기능이 사용되는 위치, 그리고 보안이 충분히 인식된다면 소프트웨어가 손상되거나 악용될 수 있는 시나리오에 대해 강력한 지식을 보유하고 있습니다.

Log4Shell 익스플로잇으로 돌아가 보면, 안타깝게도 전문가나 복잡한 도구 세트로는 치명적인 취약점을 탐지하지 못하는 시나리오가 나타납니다. 다만,라이브러리가 사용자 입력을 정제하도록 구성되어 있었다면, 이 문제는 전혀 발생하지 않았을 수도 있습니다. 그렇게 하지 않기로 한 결정은 편의성을 높이기 위한 모호한 기능이었던 것 같습니다만, 악용하기가 매우 쉬워졌습니다(SQL 인젝션 수준을 생각해 보십시오. 확실히 천재적인 것은 아닙니다). 보안에 정통한 열성적인 개발자 그룹이 위협 모델링을 수행하고 있었다면, 이 시나리오는 이론화되고 검토되었을 가능성이 높습니다.

우수한 보안 프로그램에는 감정적 요소가 있으며, 인간이 만든 문제 해결의 중심에는 인간의 개입과 미묘한 차이가 존재합니다. 위협 모델링을 효과적으로 수행하려면 공감과 경험이 필요하며, 소프트웨어와 애플리케이션 아키텍처 수준에서의 안전한 코딩과 구성도 요구됩니다. 이는 개발자가 하룻밤 사이에 해결해야 할 과제는 아니지만, 이 중요한 작업에 대한 보안 팀의 부담을 덜어줄 수 있을 만큼 개발자의 역량을 향상시키는 명확한 로드맵을 마련하는 것이 이상적입니다 (또한 양 팀 간의 신뢰 관계를 구축하기 위한 훌륭한 방법이기도 합니다).

제로데이는 n일로 이어진다

제로데이 대응의 다음 단계는 패치를 가능한 한 빨리 배포하는 것입니다. 취약한 소프트웨어의 모든 사용자가 가능한 한 빨리, 그리고 공격자가 먼저 패치를 적용하기 전에 확실히 패치를 적용하기를 바랍니다. Log4Shell의 경우, 수백만 개의 장치에 내장되어 소프트웨어 빌드 전반에 걸쳐 복잡한 의존성을 생성하고 있음에도 불구하고, 그 내구성과 높은 효력으로 인해 하트블리드를 완전히 압도할 수도 있습니다.

현실적으로, 이러한 종류의 은밀한 공격을 완전히 차단하는 방법은 없습니다. 그러나 모든 수단을 동원하여 고품질의 안전한 소프트웨어를 만들고, 중요한 인프라와 동일한 사고방식으로 개발에 임하겠다는 약속을 한다면 우리 모두에게 싸울 기회가 있습니다.

AI 지원 개발(또는 더 트렌디한 버전인 '바이브 코딩') 는 코드 작성에 큰 변혁을 가져오고 있습니다. 정평 있는 개발자들이 이러한 도구를 대량으로 채택하고 있으며, 우리 중에서도 항상 독자적인 소프트웨어를 만들고 싶어 했지만 관련 경험이 없었던 사람들도 이전에는 비용과 시간이 너무 많이 들었을 법한 자산을 구축하기 위해 이러한 도구를 활용하고 있습니다. 이 기술은 혁신의 새로운 시대 도래를 알리는 것으로 기대되지만, 보안 리더들이 완화에 어려움을 겪고 있는 다양한 새로운 취약점과 위험 프로필을 가져옵니다.

최근 InvariantLabs는 강력한 AI 도구가 다른 소프트웨어나 데이터베이스와 자율적으로 상호작용할 수 있도록 하는 API와 같은 프레임워크인 모델 컨텍스트 프로토콜(MCP)의 중대한 취약점을 발견했습니다. 이로 인해 기업에 특히 피해를 줄 수 있는 새로운 취약점 범주인 '도구 중독 공격(Tool Poisoning Attack)'이 가능해집니다.Windsurf나 Cursor 같은 주요 AI 도구들도 예외가 아닙니다. 수백만 명의 사용자가 이용하고 있기 때문에, 이 새로운 보안 문제를 관리하기 위한 인식과 기술이 가장 중요합니다.

현재로서는 이러한 도구의 출력이 기업 환경에 적합하다고 라벨링될 만큼 일관되게 안전하다고 말하기는 어렵습니다. 최근 AWS와 Intuit의 보안 연구원 비네스 사이 나라자라와 이단 하블러의 연구 논문에 따르면: "AI 시스템이 더욱 자율적으로 발전하고 MCP 등을 통해 외부 도구 및 실시간 데이터와 직접 상호작용하게 됨에 따라, 이러한 상호작용이 안전함을 보장하는 것이 절대적으로 필수적입니다."

에이전시 AI 시스템과 모델 컨텍스트 프로토콜의 위험 프로파일

모델 컨텍스트 프로토콜은 편리한 소프트웨어입니다. 앤솔로픽(Anthropic)에서 제작한 이 프로토콜은 대규모 언어 모델(LLM) AI 에이전트와 다른 도구 간의 보다 적절하고 원활한 통합을 가능하게 합니다. 이는 강력한 사용 사례로, 독점 애플리케이션과 GitHub 같은 비즈니스에 필수적인 SaaS 도구, 그리고 최첨단 AI 솔루션 사이에서 다양한 가능성을 열어줍니다.MCP 서버를 작성하기만 하면, 이를 어떻게 작동시키고 어떤 목적으로 활용할지에 대한 가이드라인 설정 작업에 착수할 수 있습니다.

MCP 기술이 보안에 미치는 영향은 실제로 거의 긍정적입니다. LLM과 보안 전문가가 사용하는 기술 스택을 보다 쉽게 통합할 수 있다는 약속은 무시할 수 없을 만큼 매력적이며, 적어도 각 작업용 맞춤형 코드를 작성하고 배포하지 않으면 불가능했던 수준의 정밀한 보안 작업 자동화 가능성을 보여줍니다. 데이터,도구, 담당자 간의 광범위한 가시성과 연결성이 효과적인 보안 방어 및 계획의 기본이라는 점을 고려할 때, MCP가 제공하는 LLM 상호운용성 강화는 엔터프라이즈 보안에 유망한 전망입니다.

다만 MCP를 사용하면 다른 위협 벡터가 발생할 수 있으며, 신중하게 관리하지 않으면 기업의 공격 대상 영역이 크게 확대될 수 있습니다. 인바리언트 랩이지적했듯이, 도구 중독 공격은 AI 모델에 의한 기밀 데이터 유출 및 부정 행위 가능성을 초래할 수 있는 새로운 취약점 범주이며, 이로부터 보안에 미치는 영향은 즉시 매우 심각해질 수 있습니다.

InvariantLabs에 따르면, 툴 포이즌 공격은 사용자에게는 표시되지 않지만 AI 모델이 완전히 읽을 수 있는(실행 가능한) 악의적인 지시가 MCP 툴 설명에 포함된 경우 가능해집니다. 이로 인해 툴은 사용자에게 들키지 않고 부정행위를 수행하도록 유도됩니다. 문제는 MCP가 모든 툴 설명이 신뢰할 수 있다고 가정하는 데 있으며, 이는 위협 행위자들에게 매력적으로 다가옵니다.

그들은 도구가 위험에 노출될 경우 다음과 같은 결과가 발생할 수 있다고 지적하고 있습니다.

• AI 모델에게 기밀 파일(SSH 키, 설정 파일, 데이터베이스 등)에 접근하도록 지시한다.
• 이러한 악의적인 행위가 본질적으로 모르는 사용자에게 숨겨진 환경에서, 이 데이터를 추출하여 전송하도록 AI에 지시한다.
• 도구의 인수와 출력을 단순해 보이는 UI 표현 뒤에 숨김으로써, 사용자가 보는 것과 AI 모델이 실행하는 것 사이에 단절이 발생합니다.

이는 우려되는 새로운 취약점 범주이며, MCP 사용이 불가피하게 증가함에 따라 이 범주가 빈번하게 발견될 것이 거의 확실합니다. 기업 보안 프로그램이 진화함에 따라 이 위협을 발견하고 완화하기 위한 신중한 조치가 취해질 것이므로, 개발자가 솔루션에 참여할 수 있도록 충분한 준비를 갖추는 것이 중요합니다.

보안 기술을 갖춘 개발자만이 에이전트 AI 도구를 활용해야 하는 이유

에이전트형 AI 코딩 도구는 소프트웨어 개발의 효율성, 생산성, 유연성을 향상시키는 기능 외에도 AI 지원 코딩의 다음 진화로 간주됩니다. 컨텍스트와 의도를 이해하는 능력이 강화되어 특히 유용하지만, 공격자에 의한 즉각적인 주입, 환각, 행동 조작 등의 위협으로부터 자유로울 수는 없습니다.

개발자는 좋은 코드 커밋과 나쁜 코드 커밋 사이의 방어선이며, 보안과 비판적 사고 모두의 기술을 연마하는 것은 안전한 소프트웨어 개발의 미래를 위한 기초가 될 것입니다.

AI의 출력은 결코 맹목적으로 신뢰하여 구현해서는 안 됩니다. 이 기술이 가져다주는 생산성 향상을 안전하게 활용할 수 있는 것은 상황에 맞는 비판적 사고를 할 수 있는 보안 역량을 갖춘 개발자입니다. 그럼에도 불구하고, 인간 전문가가 도구가 생성한 작업을 평가하고 위협 모델링을 수행하며 최종적으로 승인할 수 있는 페어 프로그래밍 환경과 같은 환경이어야 합니다.

개발자가 AI를 활용하여 기술을 향상시키고 생산성을 높이는 방법에 대한 자세한 내용은 여기에서확인하세요.

실용적인 완화 기법 및 최신 연구 논문에서 더 자세히

AI 코딩 도구와 MCP 기술은 사이버 보안의 미래에서 중요한 요소가 될 것으로 예상되지만, 상황을 확인하기 전에 깊이 파고들지 않는 것이 중요합니다.

나라자라와 하브라 논문은 기업 차원에서 MCP를 구현하기 위한 포괄적인 완화 전략과 그 위험의 지속적인 관리에 대해 상세히 설명합니다. 궁극적으로 이 새로운 생태계가 기업 환경에 가져오는 고유한 위험 프로파일을 명확히 대상으로 삼으며, 다층 방어와 제로 트러스트 원칙을 중심으로 합니다. 특히 개발자에게는 다음 분야의 지식 격차를 메우는 것이 필수적입니다.

• 인증 및 접근 제어: 에이전트형 AI 도구는 인간이 엔지니어링 작업에 임하는 것과 거의 동일한 방식으로 문제를 해결하고 계획된 목표를 달성하기 위한 자율적 의사 결정을 수행하도록 설계되었습니다. 그러나 이미 입증된 바와 같이 숙련된 인력이 이러한 프로세스를 감독하는 것은 무시할 수 없는 요소이므로, 워크플로우에서 이러한 도구를 사용하는 개발자는 자신이 어떤 접근 권한을 보유하고 있는지, 어떤 데이터를 획득하거나 공개할 가능성이 있는지, 그리고 어디에서 공유되는지 정확히 파악해야 합니다.
• 일반적인 위협 탐지 및 완화: 대부분의 AI 프로세스에 적용되는 사항이지만, 도구 출력물의 잠재적 결함이나 부정확성을 발견하려면 사용자가 해당 작업에 숙련되어야 합니다. 개발자는 보안 프로세스를 효과적으로 검토하기 위해 지속적인 역량 강화와 기술 검증을 받아야 합니다. 이를 통해 AI가 생성한 코드를 보안 측면에서 정확성과 신뢰성을 바탕으로 검토할 수 있습니다.
• 보안 정책과 AI 거버넌스의 연계: 개발자는 승인된 도구에 대해 인지하고, 기술 향상 및 도구 접근 기회를 제공받아야 합니다. 커밋을 신뢰하기 전에 개발자와 도구 모두 보안 벤치마크의 대상이 되어야 합니다.

최근 발표한 연구 논문에서 바이브 코딩과 AI 어시스트 코딩의 등장, 그리고 AI를 활용한 차세대 소프트웨어 엔지니어를 양성하기 위해 기업이 취해야 할 조치에 대해 다루었습니다. 지금 바로 확인하고 개발 팀을 강화하기 위해 연락주세요.

이 기사의 버전은 처음 게재되었습니다 D존에서 처음 게시되었습니다. 여기에서 업데이트 및 신디케이트되었습니다.

지불 카드 산업 데이터 보안 표준(PCI DSS) 버전 4.0은 전자 결제를 수용하는 기업 및 조직(대다수)의 보안에 대해 거의 모든 것을 바꿉니다 . 그리고 이 업데이트는 대부분의 기업에게 확실히 변혁을 가져올 것입니다. 보안 프로세스의 상당 부분을 업그레이드하고, 암호화, 인증, 접근 제어, 키 관리 등 지금까지 도입이 더뎠을 수 있는 분야에 대한 새로운 보호 조치를 도입해야 합니다.

새로운 요건은 복잡하기 때문에 조직은 2025년 3월까지 완전히 준수해야 합니다. 그러나 그 기한은 대부분의 사람들이 인식하는 것보다 훨씬 빨리 다가옵니다. 실제로 선견지명을 가진 많은 기업들은 개발자들이 미해결된 규정 준수 상황을 극복할 수 있도록 지금 당장 조치를 취하고 있습니다.

기존 개념에 얽매이지 않는 훈련의 틀을 넘어

조직의 개발자는 인프라의 상당 부분이 의존하는 코드를 작성하므로, 새로운 PCI DSS 4.0 요구사항 구현과 관련하여 개발자가 시작점으로 적합하다는 것은 타당합니다. 그러나 대부분의 개발자는 최신 보안 인식 향상 프로그램의 일환으로, 새로운 표준에서 요구하는 더 높은 수준의 보안을 구현하고 유지하는 데 필요한 경험을 쌓기 위한 전략적 지원을 필요로 합니다.

실제로 PCI DSS 4.0의 요구사항 12.6.2는 조직이 공식적인 보안 프로그램을 구현하고 최신 위협 정보와 방어 기술로 항상 최신 상태를 유지하도록 지시합니다.기존 표준에서는 기본적인 보안 프로그램이나 '체크리스트 방식'의 연간 규정 준수 교육으로도 목적을 달성할 수 있었습니다. 그러나 이 새로운 기준에서는 더 많은 사항이 의무화되었으며, 기업 환경 내 특정 위협이나 취약점을 다루는 보안 교육 프로그램도 의무적으로 마련해야 합니다. 예를 들어, 개인정보 도용이 조직에 큰 문제라면 교육에서 이를 다루어야 합니다.

실무적인 관점에서도, 새로운 기준을 준수하는 경우에도 최소한의 교육으로는 더 이상 충분하지 않다는 것이 명백합니다. 대신,조직은 개발자에게 보안 모범 사례를 실제 일상 업무에 적용하는 방법을 가르치는 포괄적이고 민첩한 학습 경로를 제공해야 합니다. 최소한의 규정 준수 노력에 그치지 않고 개발자가 보안을 진정으로 이해하는 데 필요한 자원을 제공함으로써, 조직은 개발자가 PCI DSS 4.0을 준수하면서도 전반적으로 더 적절한 보안 의사 결정을 내릴 수 있도록 할 수 있습니다.

다행히도, PCI DSS 4.0의 새로운 요구사항 대부분은 인증, 암호화, 접근 제어, 키 관리 등 대부분의 개발자가 이미 익숙한 분야를 대상으로 합니다. 개발자에게 기술 향상을 위한 적절하고 관련성 있으며 익숙한 리소스가 제공된다면, 조직은 개발자가 PCI DSS 4.0이 요구하는 새로운 표준과 증가된 책임에 더 쉽게 대비할 수 있도록 할 수 있습니다.

PCI DSS 4.0을 기반으로 전체적인 보안을 강화한다

새로운 PCI DSS 4.0 표준 준수를 성공적으로 이루기 위해서는 적절한 보안 교육을 통해 개발자의 요구를 충족시키는 것이 핵심이지만, 조직의 사이버 보안 강화를 위한 노력은 그것으로 끝나지 않습니다.요구사항이 엄격한 것은 사실이지만, 대부분의 조직이 이를 준수하기 위해 노력해야 하므로, 이 작업을 전반적인 보안 인식과 교육 수준을 높이기 위한 발판으로 삼지 않을 이유가 없습니다. 이는 조직이 규정 준수 요건을 충족하는 데 도움이 될 뿐만 아니라, 모범 사례를 우선시하고 조직 내 모든 구성원이 동일한 보안 중심 목표를 향해 협력하도록 보장하는 긍정적인 보안 문화 조성으로 이어집니다.

확실히 학습에는 시간이 걸리지만, 개발자들은 그러한 노력으로 참여할 것입니다. 에반스데이터의 조사에 따르면 전 세계적으로 활발히 활동 중인 1,200명 이상의 전문 개발자 중 압도적 다수가 안전한 코드 작성과 조직 내 더 나은 보안 문화 정착이라는 개념을 지지한다고 답했습니다. 대부분의 개발자들이 개발 프로세스의 일환으로 전략적이고 지원되는 안전한 코딩으로의 전환과 보안 우선순위 변경을 환영하고 있음이 분명합니다.

PCI DSS 4.0에서 의무화하는 보안 업그레이드는 기업이 보안 모범 사례와 교육 개선에 투자하고 조직 내에서 더 나은 전반적인 보안 문화를 정착시키기 위한 최적의 계기가 됩니다.

기업이 보안 코딩 기술을 관련 도구 및 교육과 통합할 수 있는 프로그램에 투자하면 개발자가 보다 쉽게 보안 성숙도를 높일 수 있습니다. 그 결과 개발자가 보다 정확한 의사 결정을 내릴 수 있게 되어, 새로운 엄격한 PCI DSS 4.0 표준을 훨씬 뛰어넘어 조직의 전반적인 보안 체계를 개선하는 데 기여하는 보안 문화 조성에 도움이 됩니다.
‍

기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해지고 있는지 즉시 알 수 있습니다. 매일 심각한 침해, 새로운 취약점, 또는 사이버 공격자나 범죄자에 의한 활발한 악용 위협에 대한 보고가 쏟아지고 있습니다. 그리고 거의 모든 업계 지표와 보고서에는 사이버 위협의 수가 점점 더 위험해지고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년 동안 지속될 것이라고 예측하고 있습니다.

이러한 새로운 위협에 맞서는 것은 IT 보안 담당자의 최전선에서 이루어지고 있으며, 인력 부족과 인력 부족이 심각해지고 있습니다. 높은 급여를 받으며 모든 기업과 조직에 필수적인 존재임에도 불구하고, 보안 담당자가 부족한 상황은 결코 사라지지 않습니다. 최근 조사에 따르면, 전략국제문제연구소(CSIS)가 실시한 설문에서 IT 의사결정권자의 82%가 조직이 사이버보안 기술 부족으로 고통받고 있다고 답했으며, 71%는 그 부족이 조직에 직접적이고 측정 가능한 손해를 끼쳤다고 응답했습니다. 보고서에 따르면, 미국에서만 약 94만 명만이 고용된 이 분야에서 52만 개 이상의 사이버보안 관련 채용 공고가 공석인 것으로 나타났습니다.

전 세계적으로 현재 약 350만 개의 사이버 보안 관련 일자리가 공석 상태입니다. 이는 최고 수준의 전문가를 고용하고 유지하기 위해 막대한 비용을 지불할 의사가 있는 조직조차도 적합한 후보자를 찾기 위해 고군분투하고 있음을 의미합니다. 평균적으로 사이버 보안 직위를 채우는 데 소요되는 시간은 다른 어떤 직위보다 약 21% 더 깁니다.

개발자 지원이 너무 오랫동안 무시되어 왔다

과거 블로그에 여러 차례 기록했듯이, 사이버 보안 방어에서 이러한 중대한 격차를 메우기 위해 개발자를 활용할 수 있다는 점입니다. 다만 기존에는 개발자들이 사이버 보안 관련 교육을 받지 못했습니다. 그들의 업무 수행 능력은 거의 전적으로 도입 속도와 시간에 기반했습니다. 보안은 더 나아가 애플리케이션 보안 팀의 업무였습니다.

안타깝게도 단순히 정책을 변경하고 개발자들에게 갑자기 애플리케이션이나 프로그램에 보안을 추가하도록 요청하는 문제만은 아닙니다. 설령 개발자들이 자발적으로 그러한 변경을 시도하려 해도, 조사 결과 그들 대부분이 그러한 태도를 보인다는 사실이 밝혀졌음에도 불구하고, 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 상위 관리진의 격려와 지원도 필요하지만, 의미 있는 학습이 가능해지는 것이 첫 번째이자 대부분의 경우 가장 큰 장애물이 됩니다.

전 세계적으로 수백만 개의 고소득 안전 IT 보안 직위가 공석인 데는 이유가 있습니다. 그 일이 쉽다면 누구나 그 분야에 뛰어들 것입니다. 위협과 싸우고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵고, 위협 상황은 끊임없이 변화합니다. 비교적 기술에 능숙한 개발자조차도사이버보안을 가르치려 해도 정형화된 교육은 효과적이지 않습니다. 그런 교육은 즉각적으로 진행되지만 오래 기억되지 않으며 긍정적 영향도 최소화됩니다. 특히 이미 과중한 업무 일정에 이러한 요구사항이 추가될 경우 더욱 그렇습니다.

발판을 만들어 고지에 도달하자

기존 방식으로 사이버 보안 기술을 가르치는 것은 땅에서 발을 떼지 않은 채 초고층 빌딩을 짓는 것과 같습니다. 학생들은 사이버 보안과 같은 복잡한 분야의 많은 고급 개념을 습득하는 데 필요한 기초가 부족하기 때문에 이는 불가능합니다. 이를 보완하기 위해 '발판 학습'이라는 개념을 활용할 수 있습니다.

스킬 업을 위한 발판형 접근법, 즉 '계층화' 접근법을 사용할 경우, 큰 주제는 일반적으로 개별 학습 경험이나 개념으로 분해됩니다.이를 통해 학생들은 적절한 연습과 지도를 통해 각 개념을 습득하고, 각 요소에 필요한 모든 지원을 받을 수 있습니다. 건물의 높이가 높아짐에 따라 물리적 발판이 구축되는 것과 마찬가지로, 새롭고 고급 개념은 이미 습득된 개념 위에 쌓여 나갑니다. 이렇게 함으로써 학생들은 지원 없이는 습득할 수 없는 수준보다 높은 수준의 이해와 기술 습득이 가능해집니다.

그리고 물리적인 발판과 마찬가지로, 그 지원은 불필요해지면 단계적으로 제거되며, 학생이 숙달해감에 따라 학생에 대한 책임도 커집니다.

발판형 학습은 주로 학생들이 지원 없이 어려운 과제에 도전할 때 경험할 수 있는 좌절감, 두려움, 낙담과 같은 부정적인 감정과 자기 인식을 줄이기 위해 사용됩니다.그러나 현대 사이버 보안과 같은 매우 어려운 개념을 다룰 때에도 큰 가치를 지닙니다. 개발자를 어린아이처럼 대하는 방식과는 거리가 멀며, 특히 그들의 노력이 버그 수정이나 새로운 비판과 함께 반환될 때 보안 팀에서의 경험이 좌절감이나 실망감을 유발할 수 있는 동일한 효과를 가져올 수 있다면 매우 유용합니다.

개발자가 보안 코딩의 기초를 이해할 수 있는 도구(일반적으로 OWASP Top 10)가 제공될 경우, 보안 결함이 어떻게 발생하고 왜 위험한지, 그리고 운영 환경으로 배포하기 전에 직접 수정하는 방법을 확인할 수 있습니다.이를 바탕으로 더 복잡한 취약점을 다루고 적절한 수정 사항을 적용하는 실전 경험을 쌓으며 지식을 확장할 수 있습니다. 보안 계층은 점진적으로 증가하며, 안전하지 않은 소프트웨어 아키텍처나 위협 모델링과 같은 고급 보안 문제에 대해서는 이러한 도약이 그리 두려운 것이 아니며 정확하게 접근할 수 있습니다.

업계 차원에서 개발자가 보안 전문가가 되기를 기대해서는 안 되지만, 조직은 개발자를 지원하기 위한 새로운 표준을 채택함으로써 더 높은 품질의 소프트웨어를 만들 수 있습니다. 엔지니어링 부서에서 기술 향상에 힘쓰는 조직을 위한 부가적인 혜택으로, 각 단계 또는 발판의 각 레벨은 학습을 진행해 나가면서 사이버 보안 강화로 직접 연결됩니다. 결과를 보기 위해 과정이 끝날 때까지 기다릴 필요는 없습니다.

사이버보안을 배우는 것은 어렵고, 적절한 지원이나 지도 없이는 습득하는 것이 거의 불가능합니다. 보안 프로그램을 발판으로 삼아 통합함으로써 최대한 활용할 수 있으며, 그 혜택은 거의 즉시 드러납니다. 개선은 거의 즉시 시작되며 시간이 지남에 따라 지속적으로 향상됩니다.

우리와 함께 보안에 강한 개발자 양성을 시작해 보세요. 아래를 확인해 주세요.

코스
미션
개발자 트레이닝

... 그리고 더 많은 것들!

우리는 최근 포브스 테크놀로지 카운슬의 게시물인 피터 던휴 회장 겸 CEO의 라이브 방송을 보고 매우 흥분했습니다. 이 게시물에서는 더 안전한 코드를 작성하기 위해 개발자의 기술을 향상시키는 것이 사이버 공격과 데이터 유출을 방지하는 핵심이라는 점을 상세히 설명했습니다.그뿐만 아니라, 보안 의식을 갖춘 동일한 개발자가 많은 IT 부서가 인식하는 것보다 더 빠르고, 더 우수하며, 더 안전한 코드를 제공할 수 있는 방법도 밝혀졌습니다. 이 접근법의 필요성은 확실히 설득력이 있습니다. 최근 조사에 따르면, 현재 사이버 공격은 39초마다 발생하고 있으며,랜섬웨어 공격이 단 한 번만 성공해도 혼란이 발생한다는 것은 누구나 경험한 바 있습니다. 콜로니얼 파이프라인 사건은 전체적으로 보면그다지 파괴적이지는 않았습니다. 솔라윈즈 해킹 사건도마찬가지입니다.

‍

많은 일반적인 취약점이 계속 존재하는 이유는, 빈약한 코딩 패턴을 더 안전하고 보안적인 방식으로 동일한 기능을 구현하는 더 나은 방법으로 대체하는 방법을 개발자에게 일부러 보여주려는 사람이 아무도 없었기 때문입니다.또한 개발 후기 단계에서 소프트웨어를 수정하는 데 따른 영향은 소요되는 시간과 출시 지연 측면 모두에서 매우 큰 비용을 초래합니다. 코드 배포 후, 특히 공격자가 지금까지 발견되지 않았던 취약점을 악용한 이후 코드를 수정하는 데는 수백만 달러의 비용이 발생할 수 있습니다. 게다가 심각한 침해를 당한 기업의 평판 손상까지 고려하지 않은 금액입니다.

보안 교육을 받은 개발자는 자연스럽게 우수한 코더가 됩니다. 물론 CISO가 보안 도구를 즉시 중단해서는 안 되지만, 포용적이고 예방적인 보안 접근 방식을 경영진 차원에서 주도함으로써 CISO는 기업의 최대 자원인 인적 요소를 활용할 수 있습니다. 특히 소프트웨어 개발 라이프사이클 초기 단계부터 보안 코딩에 관해서는 더욱 그렇습니다.

이를 위해 기억해야 할 상위 3가지 전략을 아래에 제시합니다.

1. 사후 대응이 아니라, 앞을 내다보고 행동합시다.

기업은 독자적인 비전을 개발하고 추구하기보다는 경쟁사의 행동에 대응하는 등 사후 대응형 함정에 빠지는 경우가 많습니다. 또한 많은 기업이 코드 내 보안 취약점에 대해서는 이 접근 방식을 기본으로 채택하며, 침해가 성공한 결과로 강제될 때만 사이버 보안을 진지하게 받아들입니다. 안타깝게도 그때까지 피해는 이미 누적되어 벌금, 복구 비용, 고객 감소, 브랜드 회복 등 모든 것이 수익에 타격을 줍니다.대응책이 아닌, 처음부터 안전한 코드를 작성하는 데 집중하는 대신 자동 또는 수동 코드 스캔을 활용해 기존 코드의 취약점을 발견하는 방법도 있습니다. 안타깝게도 코드 스캔은 완벽한 해결책이 아닙니다. 즉, 코드에 포함된 취약점이 많을수록 일부가 누락될 가능성이 높아집니다.

적극적인 접근 방식을 취하고 개발자와 협력하여 처음부터 안전한 코드를 작성할 수 있도록 지원함으로써만, 코딩 취약점이 사용자에게 노출될 가능성을 크게 줄일 수 있는 소프트웨어 개발 라이프사이클을 구축할 수 있습니다.

2. 스킬 업, 지나치게 하지 마세요

안전한 코드 작성을 위해 필요한 지식을 개발자에게 제공하기로 결정했다면, 그 접근 방식을 현명하게 선택하십시오. 코딩을 중단시키는 사내 교육 워크숍은 개발자와 관리자 모두를 짜증나게 합니다. 저녁이나 주말에 참여해야 하는 오프사이트 과정은 더욱 인기가 없습니다. 최선의 접근 방식은 코딩 기술을 점진적으로 습득하는 것입니다. 코딩 프로세스 중에 관련 정보를 단계적으로 제공하는 것 — 개발자의 주의를 분산시키거나 개발 프로세스를 지연시키지 않으면서 기본적으로 기술을 향상시킵니다.

3. 인센티브를 제공한다고 생각하지 마십시오.

개발자는 보안 기술 향상을 처벌이나 힘든 작업으로 여겨서는 안 됩니다. 관리자는 보안 코드가 기업의 성공에 기여하는 중요한 역할을 전달함으로써 개발자를 고무해야 합니다. 또한 보안 코더가 회사에 더 큰 가치를 제공하며, 장기적으로 경력 기회가 확대된다는 점을 알리는 것도 중요합니다.

바이든 행정부는 환영받았습니다 행정 명령 사이버 보안에 대한 관심이 높아지면서 "개발자와 공급업체 자체의 보안 관행을 평가하기 위한 기준을 통합하고 안전한 관행에 대한 적합성을 입증하기 위한 혁신적인 도구와 방법을 식별"할 필요성이 커지고 있습니다.그러나 도구는 필수적이지만 그것만으로는 충분하지 않습니다. 도입된 시스템이나 도구를 무시하거나 오해하거나 악용하거나 다른 방법으로 우회하는 개인의 능력을 완전히 배제하는 도구는 없습니다. 기업의 보안을 극대화하려면 CISO는 인적 요소를 활용하여 개발자가 적극적으로 보안을 지지하고 실천하도록 장려해야 합니다.