소프트웨어 보안은 와일드 웨스트 (Wild West) 에 있습니다 (그리고 그것은 우리를 죽일 것입니다)
에 처음 게시되었습니다. CSO 온라인
(반쯤 은퇴한) 윤리적 해커이자 보안 전문가이자 컴퓨터 전문가로서 저는 기술에 관심이 많다고 말할 수 있습니다.저는 이 기술이 어떻게 만들어졌는지, 어떤 역할을 하는지, 우리 삶의 어떤 면을 어떻게 더 좋거나 더 효율적으로 만들 수 있을지에 대해 관심이 있습니다.저는 항상 디바이스의 내부를 들여다보며 현존하는 최고의 (그리고 최악의) 코드 예제를 찾아봅니다.최근에 안드로이드 앱으로 에어컨 시스템을 원격으로 제어할 수 있는 방법을 알아보았습니다. WiFi 네트워크에 있는 누구라도 인증 없이도 에어컨 시스템을 제어할 수 있다는 사실을 알았을 때 얼마나 놀랐을지 상상해 보세요.
저는 소프트웨어 보안을 항상 최우선으로 생각합니다. 점점 더 디지털화되고 개인 정보를 공유하는 라이프스타일로 인해 초래되는 실제 위험도 마찬가지입니다.결국 우리는 거의 규제되지 않고 감독도 받지 않으며 홀가분하게 무시당하는 영역에 처해 있습니다.우린 와일드 웨스트에 있어요.
집단 사회로서 우리는 매일 사용하는 기술의 내부를 들여다보지 않습니다.Mr. Robot과 같이 인기 있고 높은 평가를 받는 TV 시리즈는 일반적인 인식을 높이는 데 도움이 되지만, 우리는 보안을 염두에 두지 않습니다. 사실 우리 대부분은 구매하고 사용하는 수많은 애플리케이션, 서비스, 점점 더 연결되고 있는 사물들 내에서 소프트웨어가 얼마나 안전한지 전혀 모릅니다.우리가 그 제품을 본질적으로 신뢰하는 것도 아니고, 아예 아예 생각하지 않는 것뿐입니다.
소니 플레이스테이션 네트워크 (PSN), 티켓마스터, 야후!, 페이스북, 타겟: 널리 사용되는 이러한 모든 회사가 데이터 유출의 피해자였습니다.그들의 소프트웨어 취약성 악용되었고 수백만 개의 고객 기록이 노출되었습니다.이러한 사례는 지난 10년간 발생한 글로벌 보안 침해 사례 중 일부에 불과합니다.악의적인 공격자가 우리의 소중한 정보를 훔칠 수 있는 취약한 소프트웨어 보안으로 인해 비용이 많이 드는 결과입니다.
대부분의 사람들은 데이터 침해를 생각할 때 정보 보안 침해를 떠올립니다. 정보 보안 침해는 회사에게는 악몽이고 개인 정보가 영향을 받은 사람들에게는 불편한 것으로 이해됩니다. 하지만 진지하게 말하자면, 무엇이 중요할까요?보안을 계속 무시할 경우 그 결과가 정말 그렇게 심각할까요?아무것도 없어요 그 지금까지 주요한 일이 발생했습니다. 데이터 침해는 관련 회사에 심각한 영향을 미치지만, 그게 그들의 문제죠, 그렇죠?그들은 비즈니스를 잃고 소비자의 신뢰를 잃습니다. 결국 문제를 해결하고 손해 배상하는 것이 그들의 임무입니다.
소프트웨어 보안은 모든 조직의 우선 순위여야 합니다.
개발팀이 있는 모든 조직에서 소프트웨어 보안이 최우선 관심사가 아닌 데에는 아주 간단한 이유가 있습니다. 아직 목숨을 잃은 사람이 많지 않고 위험에 대한 지식도 충분하지 않기 때문입니다.
병적?그럴지도 모르죠하지만 이건 정직한 진리입니다.다음과 같은 경우 규제, 표준 구축 및 법률 변경에 대한 관심을 기울입니다 (예: 정부 기관). 실제 인적 비용.
다리를 예로 들어 보겠습니다.토목 기술자들 (수백 년 전부터 이어져 온 직업) 은 안전을 교량 건설의 핵심 부분으로 간주합니다.그들의 접근 방식은 미학과 기본 기능을 훨씬 뛰어 넘습니다.건설되는 모든 교량은 엄격한 안전 규정을 준수해야 하며, 토목 공학 전문가와 사회 전체가 시간이 지남에 따라 높은 수준의 안전을 기대해야 한다는 것을 배우게 됩니다.오늘날 안전 요건을 충족하지 못하는 교량은 위험하여 사용할 수 없는 것으로 간주됩니다.이는 여전히 소프트웨어 엔지니어링 분야에서 발전해 나가야 할 발전입니다.
좀 더 현대적인 예를 들자면, 장난감 산업을 살펴보죠.1950년대에는 장난감 생산 및 판매의 급격한 증가 전후 베이비 붐 덕분입니다.흥미롭게도 이 기간 동안 장난감 관련 사고와 관련된 응급실 방문 횟수도 증가한 것으로 보고되었습니다.장난감 화살은 눈에 부상을 입혔고, 작은 장난감 (큰 장난감에서 분리할 수 있는 조각 포함) 은 섭취되고 있었으며, 어린 소녀들에게 판매되는 장난감 오븐 일반 가정용 오븐보다 더 높은 온도로 가열할 수 있었습니다.
그곳은 마치 “와일드 웨스트 (Wild West)” 같은 곳이었으며, 가장 심각한 상황에서 몇 가지 제한적인 금지 조치와 제품 리콜을 제외하고는 규제가 거의 없었습니다.장난감 제조업체는 기본적으로 원하는 장난감을 자유롭게 생산할 수 있었습니다. 안전에 대한 우려는 보통 몇 건의 사고가 이미 발생한 이후에 신고되었습니다.다음과 같은 법안이 나오기 전까지는 가능하지 않았습니다. 리처드 닉슨의 1969년 장난감 안전법 위험한 장난감에 대한 검사 및 후속 금지가 미국과 전 세계에서 표준이 된 법률로 통과되었습니다.사고는 여전히 발생하기 마련이지만, 오늘날 장난감 제조의 일반적인 공정에서는 “안전 우선” 정책을 채택하고 있기 때문에 우리 아이들은 잠재적 위험에 훨씬 덜 노출되어 있습니다.
현재 소프트웨어 보안 분야는 와일드 웨스트에 있습니다.개인 정보 보호 (특히 최근 GDPR) 와 고객 데이터 보호에 관한 명백한 법률 및 규정과 일부 국가의 필수 침해 신고 법률을 제외하면, 주류 비즈니스 또는 커뮤니티에서 소프트웨어에 내장된 보안 수준에 대해 언급하거나 하는 내용이 거의 없습니다.심지어 이러한 법률조차도 규제 대상인 실제 소프트웨어나 준수해야 할 필수 보안 기준보다는 회사의 책임과 더 관련이 있습니다.
우리는 그곳에 도착하겠지만, 먼저 파멸의 길이 필요할 수도 있습니다.
Gartner는 다음과 같은 결과가 있을 것으로 추정합니다. 2020년까지 84억 개의 인터넷 연결 장치 사용; 이는 2016년 이후 31% 증가한 수치입니다.여기에는 소비자 전자제품뿐만 아니라 의료 기기 및 산업별 장비도 포함됩니다.해커에게는 정말 많은 기회죠.
누군가의 맥박 조정기를 실행하는 소프트웨어가 안전하지 않다고 상상해 보십시오.해커가 침입하여 잠재적으로 피해자의 심장을 막을 수도 있습니다 (말도 안 된다고 생각하시나요?의사들은 WiFi를 비활성화했습니다. 딕 체니의 페이스메이커에서 해킹을 통한 잠재적 암살을 저지하기 위한 것이었죠)연결된 전자레인지 또는 주전자 원격으로 폭파될 수 있음 (가정에서 즐겨 사용하는 모든 종류의 사물 인터넷 장치와 함께), 커넥티드 전기 자동차의 브레이크가 작동하지 않을 수 있습니다.터무니없는 할리우드 액션 영화처럼 들릴 수도 있지만, 이러한 첨단 커넥티드 기술의 소프트웨어가 침해될 수 있다면 실제로 재앙이 닥칠 수 있습니다. 이미 다루었던 위협과 마찬가지로 말이죠. 석유 및 가스 산업 내 사이버 공격의 폭발적 파급 효과.
우리의 삶이 점점 더 디지털 의존도가 높아짐에 따라 악의적인 해킹으로 인한 심각한 결과를 미연에 방지할 수 있습니다.이 모든 것은 개발자들이 보안 코딩에 대해 더 흥미를 가지게 하고 개발 팀에 강력한 보안 사고방식과 문화를 키우는 데 진지하게 임하도록 하는 것에서 시작됩니다.
소프트웨어 혁명은 여기에서 시작됩니다.은행 업계는 기존 (읽기: 지루한) 교육을 완전히 탈피하는 진정으로 혁신적인 접근 방식을 통해 잘못된 코드를 퇴치하기 위해 게임화된 교육을 도입하는 데 앞장서고 있습니다.실제로 현재 호주의 상위 6개 은행 각각은 이러한 방식으로 개발자들을 참여시켜 보안 사고방식에 불을 붙이고 있습니다.우리의 고객인 IAG Group이 그들의 서비스를 어떻게 활용했는지 확인해 보세요. 넥스트 레벨 토너먼트.
저는 소프트웨어 보안을 항상 최우선으로 생각합니다. 점점 더 디지털화되고 개인 정보를 공유하는 라이프스타일로 인해 초래되는 실제 위험도 마찬가지입니다.결국 우리는 거의 규제되지 않고 감독도 받지 않으며 홀가분하게 무시당하는 영역에 처해 있습니다.우린 와일드 웨스트에 있어요.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
에 처음 게시되었습니다. CSO 온라인
(반쯤 은퇴한) 윤리적 해커이자 보안 전문가이자 컴퓨터 전문가로서 저는 기술에 관심이 많다고 말할 수 있습니다.저는 이 기술이 어떻게 만들어졌는지, 어떤 역할을 하는지, 우리 삶의 어떤 면을 어떻게 더 좋거나 더 효율적으로 만들 수 있을지에 대해 관심이 있습니다.저는 항상 디바이스의 내부를 들여다보며 현존하는 최고의 (그리고 최악의) 코드 예제를 찾아봅니다.최근에 안드로이드 앱으로 에어컨 시스템을 원격으로 제어할 수 있는 방법을 알아보았습니다. WiFi 네트워크에 있는 누구라도 인증 없이도 에어컨 시스템을 제어할 수 있다는 사실을 알았을 때 얼마나 놀랐을지 상상해 보세요.
저는 소프트웨어 보안을 항상 최우선으로 생각합니다. 점점 더 디지털화되고 개인 정보를 공유하는 라이프스타일로 인해 초래되는 실제 위험도 마찬가지입니다.결국 우리는 거의 규제되지 않고 감독도 받지 않으며 홀가분하게 무시당하는 영역에 처해 있습니다.우린 와일드 웨스트에 있어요.
집단 사회로서 우리는 매일 사용하는 기술의 내부를 들여다보지 않습니다.Mr. Robot과 같이 인기 있고 높은 평가를 받는 TV 시리즈는 일반적인 인식을 높이는 데 도움이 되지만, 우리는 보안을 염두에 두지 않습니다. 사실 우리 대부분은 구매하고 사용하는 수많은 애플리케이션, 서비스, 점점 더 연결되고 있는 사물들 내에서 소프트웨어가 얼마나 안전한지 전혀 모릅니다.우리가 그 제품을 본질적으로 신뢰하는 것도 아니고, 아예 아예 생각하지 않는 것뿐입니다.
소니 플레이스테이션 네트워크 (PSN), 티켓마스터, 야후!, 페이스북, 타겟: 널리 사용되는 이러한 모든 회사가 데이터 유출의 피해자였습니다.그들의 소프트웨어 취약성 악용되었고 수백만 개의 고객 기록이 노출되었습니다.이러한 사례는 지난 10년간 발생한 글로벌 보안 침해 사례 중 일부에 불과합니다.악의적인 공격자가 우리의 소중한 정보를 훔칠 수 있는 취약한 소프트웨어 보안으로 인해 비용이 많이 드는 결과입니다.
대부분의 사람들은 데이터 침해를 생각할 때 정보 보안 침해를 떠올립니다. 정보 보안 침해는 회사에게는 악몽이고 개인 정보가 영향을 받은 사람들에게는 불편한 것으로 이해됩니다. 하지만 진지하게 말하자면, 무엇이 중요할까요?보안을 계속 무시할 경우 그 결과가 정말 그렇게 심각할까요?아무것도 없어요 그 지금까지 주요한 일이 발생했습니다. 데이터 침해는 관련 회사에 심각한 영향을 미치지만, 그게 그들의 문제죠, 그렇죠?그들은 비즈니스를 잃고 소비자의 신뢰를 잃습니다. 결국 문제를 해결하고 손해 배상하는 것이 그들의 임무입니다.
소프트웨어 보안은 모든 조직의 우선 순위여야 합니다.
개발팀이 있는 모든 조직에서 소프트웨어 보안이 최우선 관심사가 아닌 데에는 아주 간단한 이유가 있습니다. 아직 목숨을 잃은 사람이 많지 않고 위험에 대한 지식도 충분하지 않기 때문입니다.
병적?그럴지도 모르죠하지만 이건 정직한 진리입니다.다음과 같은 경우 규제, 표준 구축 및 법률 변경에 대한 관심을 기울입니다 (예: 정부 기관). 실제 인적 비용.
다리를 예로 들어 보겠습니다.토목 기술자들 (수백 년 전부터 이어져 온 직업) 은 안전을 교량 건설의 핵심 부분으로 간주합니다.그들의 접근 방식은 미학과 기본 기능을 훨씬 뛰어 넘습니다.건설되는 모든 교량은 엄격한 안전 규정을 준수해야 하며, 토목 공학 전문가와 사회 전체가 시간이 지남에 따라 높은 수준의 안전을 기대해야 한다는 것을 배우게 됩니다.오늘날 안전 요건을 충족하지 못하는 교량은 위험하여 사용할 수 없는 것으로 간주됩니다.이는 여전히 소프트웨어 엔지니어링 분야에서 발전해 나가야 할 발전입니다.
좀 더 현대적인 예를 들자면, 장난감 산업을 살펴보죠.1950년대에는 장난감 생산 및 판매의 급격한 증가 전후 베이비 붐 덕분입니다.흥미롭게도 이 기간 동안 장난감 관련 사고와 관련된 응급실 방문 횟수도 증가한 것으로 보고되었습니다.장난감 화살은 눈에 부상을 입혔고, 작은 장난감 (큰 장난감에서 분리할 수 있는 조각 포함) 은 섭취되고 있었으며, 어린 소녀들에게 판매되는 장난감 오븐 일반 가정용 오븐보다 더 높은 온도로 가열할 수 있었습니다.
그곳은 마치 “와일드 웨스트 (Wild West)” 같은 곳이었으며, 가장 심각한 상황에서 몇 가지 제한적인 금지 조치와 제품 리콜을 제외하고는 규제가 거의 없었습니다.장난감 제조업체는 기본적으로 원하는 장난감을 자유롭게 생산할 수 있었습니다. 안전에 대한 우려는 보통 몇 건의 사고가 이미 발생한 이후에 신고되었습니다.다음과 같은 법안이 나오기 전까지는 가능하지 않았습니다. 리처드 닉슨의 1969년 장난감 안전법 위험한 장난감에 대한 검사 및 후속 금지가 미국과 전 세계에서 표준이 된 법률로 통과되었습니다.사고는 여전히 발생하기 마련이지만, 오늘날 장난감 제조의 일반적인 공정에서는 “안전 우선” 정책을 채택하고 있기 때문에 우리 아이들은 잠재적 위험에 훨씬 덜 노출되어 있습니다.
현재 소프트웨어 보안 분야는 와일드 웨스트에 있습니다.개인 정보 보호 (특히 최근 GDPR) 와 고객 데이터 보호에 관한 명백한 법률 및 규정과 일부 국가의 필수 침해 신고 법률을 제외하면, 주류 비즈니스 또는 커뮤니티에서 소프트웨어에 내장된 보안 수준에 대해 언급하거나 하는 내용이 거의 없습니다.심지어 이러한 법률조차도 규제 대상인 실제 소프트웨어나 준수해야 할 필수 보안 기준보다는 회사의 책임과 더 관련이 있습니다.
우리는 그곳에 도착하겠지만, 먼저 파멸의 길이 필요할 수도 있습니다.
Gartner는 다음과 같은 결과가 있을 것으로 추정합니다. 2020년까지 84억 개의 인터넷 연결 장치 사용; 이는 2016년 이후 31% 증가한 수치입니다.여기에는 소비자 전자제품뿐만 아니라 의료 기기 및 산업별 장비도 포함됩니다.해커에게는 정말 많은 기회죠.
누군가의 맥박 조정기를 실행하는 소프트웨어가 안전하지 않다고 상상해 보십시오.해커가 침입하여 잠재적으로 피해자의 심장을 막을 수도 있습니다 (말도 안 된다고 생각하시나요?의사들은 WiFi를 비활성화했습니다. 딕 체니의 페이스메이커에서 해킹을 통한 잠재적 암살을 저지하기 위한 것이었죠)연결된 전자레인지 또는 주전자 원격으로 폭파될 수 있음 (가정에서 즐겨 사용하는 모든 종류의 사물 인터넷 장치와 함께), 커넥티드 전기 자동차의 브레이크가 작동하지 않을 수 있습니다.터무니없는 할리우드 액션 영화처럼 들릴 수도 있지만, 이러한 첨단 커넥티드 기술의 소프트웨어가 침해될 수 있다면 실제로 재앙이 닥칠 수 있습니다. 이미 다루었던 위협과 마찬가지로 말이죠. 석유 및 가스 산업 내 사이버 공격의 폭발적 파급 효과.
우리의 삶이 점점 더 디지털 의존도가 높아짐에 따라 악의적인 해킹으로 인한 심각한 결과를 미연에 방지할 수 있습니다.이 모든 것은 개발자들이 보안 코딩에 대해 더 흥미를 가지게 하고 개발 팀에 강력한 보안 사고방식과 문화를 키우는 데 진지하게 임하도록 하는 것에서 시작됩니다.
소프트웨어 혁명은 여기에서 시작됩니다.은행 업계는 기존 (읽기: 지루한) 교육을 완전히 탈피하는 진정으로 혁신적인 접근 방식을 통해 잘못된 코드를 퇴치하기 위해 게임화된 교육을 도입하는 데 앞장서고 있습니다.실제로 현재 호주의 상위 6개 은행 각각은 이러한 방식으로 개발자들을 참여시켜 보안 사고방식에 불을 붙이고 있습니다.우리의 고객인 IAG Group이 그들의 서비스를 어떻게 활용했는지 확인해 보세요. 넥스트 레벨 토너먼트.
에 처음 게시되었습니다. CSO 온라인
(반쯤 은퇴한) 윤리적 해커이자 보안 전문가이자 컴퓨터 전문가로서 저는 기술에 관심이 많다고 말할 수 있습니다.저는 이 기술이 어떻게 만들어졌는지, 어떤 역할을 하는지, 우리 삶의 어떤 면을 어떻게 더 좋거나 더 효율적으로 만들 수 있을지에 대해 관심이 있습니다.저는 항상 디바이스의 내부를 들여다보며 현존하는 최고의 (그리고 최악의) 코드 예제를 찾아봅니다.최근에 안드로이드 앱으로 에어컨 시스템을 원격으로 제어할 수 있는 방법을 알아보았습니다. WiFi 네트워크에 있는 누구라도 인증 없이도 에어컨 시스템을 제어할 수 있다는 사실을 알았을 때 얼마나 놀랐을지 상상해 보세요.
저는 소프트웨어 보안을 항상 최우선으로 생각합니다. 점점 더 디지털화되고 개인 정보를 공유하는 라이프스타일로 인해 초래되는 실제 위험도 마찬가지입니다.결국 우리는 거의 규제되지 않고 감독도 받지 않으며 홀가분하게 무시당하는 영역에 처해 있습니다.우린 와일드 웨스트에 있어요.
집단 사회로서 우리는 매일 사용하는 기술의 내부를 들여다보지 않습니다.Mr. Robot과 같이 인기 있고 높은 평가를 받는 TV 시리즈는 일반적인 인식을 높이는 데 도움이 되지만, 우리는 보안을 염두에 두지 않습니다. 사실 우리 대부분은 구매하고 사용하는 수많은 애플리케이션, 서비스, 점점 더 연결되고 있는 사물들 내에서 소프트웨어가 얼마나 안전한지 전혀 모릅니다.우리가 그 제품을 본질적으로 신뢰하는 것도 아니고, 아예 아예 생각하지 않는 것뿐입니다.
소니 플레이스테이션 네트워크 (PSN), 티켓마스터, 야후!, 페이스북, 타겟: 널리 사용되는 이러한 모든 회사가 데이터 유출의 피해자였습니다.그들의 소프트웨어 취약성 악용되었고 수백만 개의 고객 기록이 노출되었습니다.이러한 사례는 지난 10년간 발생한 글로벌 보안 침해 사례 중 일부에 불과합니다.악의적인 공격자가 우리의 소중한 정보를 훔칠 수 있는 취약한 소프트웨어 보안으로 인해 비용이 많이 드는 결과입니다.
대부분의 사람들은 데이터 침해를 생각할 때 정보 보안 침해를 떠올립니다. 정보 보안 침해는 회사에게는 악몽이고 개인 정보가 영향을 받은 사람들에게는 불편한 것으로 이해됩니다. 하지만 진지하게 말하자면, 무엇이 중요할까요?보안을 계속 무시할 경우 그 결과가 정말 그렇게 심각할까요?아무것도 없어요 그 지금까지 주요한 일이 발생했습니다. 데이터 침해는 관련 회사에 심각한 영향을 미치지만, 그게 그들의 문제죠, 그렇죠?그들은 비즈니스를 잃고 소비자의 신뢰를 잃습니다. 결국 문제를 해결하고 손해 배상하는 것이 그들의 임무입니다.
소프트웨어 보안은 모든 조직의 우선 순위여야 합니다.
개발팀이 있는 모든 조직에서 소프트웨어 보안이 최우선 관심사가 아닌 데에는 아주 간단한 이유가 있습니다. 아직 목숨을 잃은 사람이 많지 않고 위험에 대한 지식도 충분하지 않기 때문입니다.
병적?그럴지도 모르죠하지만 이건 정직한 진리입니다.다음과 같은 경우 규제, 표준 구축 및 법률 변경에 대한 관심을 기울입니다 (예: 정부 기관). 실제 인적 비용.
다리를 예로 들어 보겠습니다.토목 기술자들 (수백 년 전부터 이어져 온 직업) 은 안전을 교량 건설의 핵심 부분으로 간주합니다.그들의 접근 방식은 미학과 기본 기능을 훨씬 뛰어 넘습니다.건설되는 모든 교량은 엄격한 안전 규정을 준수해야 하며, 토목 공학 전문가와 사회 전체가 시간이 지남에 따라 높은 수준의 안전을 기대해야 한다는 것을 배우게 됩니다.오늘날 안전 요건을 충족하지 못하는 교량은 위험하여 사용할 수 없는 것으로 간주됩니다.이는 여전히 소프트웨어 엔지니어링 분야에서 발전해 나가야 할 발전입니다.
좀 더 현대적인 예를 들자면, 장난감 산업을 살펴보죠.1950년대에는 장난감 생산 및 판매의 급격한 증가 전후 베이비 붐 덕분입니다.흥미롭게도 이 기간 동안 장난감 관련 사고와 관련된 응급실 방문 횟수도 증가한 것으로 보고되었습니다.장난감 화살은 눈에 부상을 입혔고, 작은 장난감 (큰 장난감에서 분리할 수 있는 조각 포함) 은 섭취되고 있었으며, 어린 소녀들에게 판매되는 장난감 오븐 일반 가정용 오븐보다 더 높은 온도로 가열할 수 있었습니다.
그곳은 마치 “와일드 웨스트 (Wild West)” 같은 곳이었으며, 가장 심각한 상황에서 몇 가지 제한적인 금지 조치와 제품 리콜을 제외하고는 규제가 거의 없었습니다.장난감 제조업체는 기본적으로 원하는 장난감을 자유롭게 생산할 수 있었습니다. 안전에 대한 우려는 보통 몇 건의 사고가 이미 발생한 이후에 신고되었습니다.다음과 같은 법안이 나오기 전까지는 가능하지 않았습니다. 리처드 닉슨의 1969년 장난감 안전법 위험한 장난감에 대한 검사 및 후속 금지가 미국과 전 세계에서 표준이 된 법률로 통과되었습니다.사고는 여전히 발생하기 마련이지만, 오늘날 장난감 제조의 일반적인 공정에서는 “안전 우선” 정책을 채택하고 있기 때문에 우리 아이들은 잠재적 위험에 훨씬 덜 노출되어 있습니다.
현재 소프트웨어 보안 분야는 와일드 웨스트에 있습니다.개인 정보 보호 (특히 최근 GDPR) 와 고객 데이터 보호에 관한 명백한 법률 및 규정과 일부 국가의 필수 침해 신고 법률을 제외하면, 주류 비즈니스 또는 커뮤니티에서 소프트웨어에 내장된 보안 수준에 대해 언급하거나 하는 내용이 거의 없습니다.심지어 이러한 법률조차도 규제 대상인 실제 소프트웨어나 준수해야 할 필수 보안 기준보다는 회사의 책임과 더 관련이 있습니다.
우리는 그곳에 도착하겠지만, 먼저 파멸의 길이 필요할 수도 있습니다.
Gartner는 다음과 같은 결과가 있을 것으로 추정합니다. 2020년까지 84억 개의 인터넷 연결 장치 사용; 이는 2016년 이후 31% 증가한 수치입니다.여기에는 소비자 전자제품뿐만 아니라 의료 기기 및 산업별 장비도 포함됩니다.해커에게는 정말 많은 기회죠.
누군가의 맥박 조정기를 실행하는 소프트웨어가 안전하지 않다고 상상해 보십시오.해커가 침입하여 잠재적으로 피해자의 심장을 막을 수도 있습니다 (말도 안 된다고 생각하시나요?의사들은 WiFi를 비활성화했습니다. 딕 체니의 페이스메이커에서 해킹을 통한 잠재적 암살을 저지하기 위한 것이었죠)연결된 전자레인지 또는 주전자 원격으로 폭파될 수 있음 (가정에서 즐겨 사용하는 모든 종류의 사물 인터넷 장치와 함께), 커넥티드 전기 자동차의 브레이크가 작동하지 않을 수 있습니다.터무니없는 할리우드 액션 영화처럼 들릴 수도 있지만, 이러한 첨단 커넥티드 기술의 소프트웨어가 침해될 수 있다면 실제로 재앙이 닥칠 수 있습니다. 이미 다루었던 위협과 마찬가지로 말이죠. 석유 및 가스 산업 내 사이버 공격의 폭발적 파급 효과.
우리의 삶이 점점 더 디지털 의존도가 높아짐에 따라 악의적인 해킹으로 인한 심각한 결과를 미연에 방지할 수 있습니다.이 모든 것은 개발자들이 보안 코딩에 대해 더 흥미를 가지게 하고 개발 팀에 강력한 보안 사고방식과 문화를 키우는 데 진지하게 임하도록 하는 것에서 시작됩니다.
소프트웨어 혁명은 여기에서 시작됩니다.은행 업계는 기존 (읽기: 지루한) 교육을 완전히 탈피하는 진정으로 혁신적인 접근 방식을 통해 잘못된 코드를 퇴치하기 위해 게임화된 교육을 도입하는 데 앞장서고 있습니다.실제로 현재 호주의 상위 6개 은행 각각은 이러한 방식으로 개발자들을 참여시켜 보안 사고방식에 불을 붙이고 있습니다.우리의 고객인 IAG Group이 그들의 서비스를 어떻게 활용했는지 확인해 보세요. 넥스트 레벨 토너먼트.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
에 처음 게시되었습니다. CSO 온라인
(반쯤 은퇴한) 윤리적 해커이자 보안 전문가이자 컴퓨터 전문가로서 저는 기술에 관심이 많다고 말할 수 있습니다.저는 이 기술이 어떻게 만들어졌는지, 어떤 역할을 하는지, 우리 삶의 어떤 면을 어떻게 더 좋거나 더 효율적으로 만들 수 있을지에 대해 관심이 있습니다.저는 항상 디바이스의 내부를 들여다보며 현존하는 최고의 (그리고 최악의) 코드 예제를 찾아봅니다.최근에 안드로이드 앱으로 에어컨 시스템을 원격으로 제어할 수 있는 방법을 알아보았습니다. WiFi 네트워크에 있는 누구라도 인증 없이도 에어컨 시스템을 제어할 수 있다는 사실을 알았을 때 얼마나 놀랐을지 상상해 보세요.
저는 소프트웨어 보안을 항상 최우선으로 생각합니다. 점점 더 디지털화되고 개인 정보를 공유하는 라이프스타일로 인해 초래되는 실제 위험도 마찬가지입니다.결국 우리는 거의 규제되지 않고 감독도 받지 않으며 홀가분하게 무시당하는 영역에 처해 있습니다.우린 와일드 웨스트에 있어요.
집단 사회로서 우리는 매일 사용하는 기술의 내부를 들여다보지 않습니다.Mr. Robot과 같이 인기 있고 높은 평가를 받는 TV 시리즈는 일반적인 인식을 높이는 데 도움이 되지만, 우리는 보안을 염두에 두지 않습니다. 사실 우리 대부분은 구매하고 사용하는 수많은 애플리케이션, 서비스, 점점 더 연결되고 있는 사물들 내에서 소프트웨어가 얼마나 안전한지 전혀 모릅니다.우리가 그 제품을 본질적으로 신뢰하는 것도 아니고, 아예 아예 생각하지 않는 것뿐입니다.
소니 플레이스테이션 네트워크 (PSN), 티켓마스터, 야후!, 페이스북, 타겟: 널리 사용되는 이러한 모든 회사가 데이터 유출의 피해자였습니다.그들의 소프트웨어 취약성 악용되었고 수백만 개의 고객 기록이 노출되었습니다.이러한 사례는 지난 10년간 발생한 글로벌 보안 침해 사례 중 일부에 불과합니다.악의적인 공격자가 우리의 소중한 정보를 훔칠 수 있는 취약한 소프트웨어 보안으로 인해 비용이 많이 드는 결과입니다.
대부분의 사람들은 데이터 침해를 생각할 때 정보 보안 침해를 떠올립니다. 정보 보안 침해는 회사에게는 악몽이고 개인 정보가 영향을 받은 사람들에게는 불편한 것으로 이해됩니다. 하지만 진지하게 말하자면, 무엇이 중요할까요?보안을 계속 무시할 경우 그 결과가 정말 그렇게 심각할까요?아무것도 없어요 그 지금까지 주요한 일이 발생했습니다. 데이터 침해는 관련 회사에 심각한 영향을 미치지만, 그게 그들의 문제죠, 그렇죠?그들은 비즈니스를 잃고 소비자의 신뢰를 잃습니다. 결국 문제를 해결하고 손해 배상하는 것이 그들의 임무입니다.
소프트웨어 보안은 모든 조직의 우선 순위여야 합니다.
개발팀이 있는 모든 조직에서 소프트웨어 보안이 최우선 관심사가 아닌 데에는 아주 간단한 이유가 있습니다. 아직 목숨을 잃은 사람이 많지 않고 위험에 대한 지식도 충분하지 않기 때문입니다.
병적?그럴지도 모르죠하지만 이건 정직한 진리입니다.다음과 같은 경우 규제, 표준 구축 및 법률 변경에 대한 관심을 기울입니다 (예: 정부 기관). 실제 인적 비용.
다리를 예로 들어 보겠습니다.토목 기술자들 (수백 년 전부터 이어져 온 직업) 은 안전을 교량 건설의 핵심 부분으로 간주합니다.그들의 접근 방식은 미학과 기본 기능을 훨씬 뛰어 넘습니다.건설되는 모든 교량은 엄격한 안전 규정을 준수해야 하며, 토목 공학 전문가와 사회 전체가 시간이 지남에 따라 높은 수준의 안전을 기대해야 한다는 것을 배우게 됩니다.오늘날 안전 요건을 충족하지 못하는 교량은 위험하여 사용할 수 없는 것으로 간주됩니다.이는 여전히 소프트웨어 엔지니어링 분야에서 발전해 나가야 할 발전입니다.
좀 더 현대적인 예를 들자면, 장난감 산업을 살펴보죠.1950년대에는 장난감 생산 및 판매의 급격한 증가 전후 베이비 붐 덕분입니다.흥미롭게도 이 기간 동안 장난감 관련 사고와 관련된 응급실 방문 횟수도 증가한 것으로 보고되었습니다.장난감 화살은 눈에 부상을 입혔고, 작은 장난감 (큰 장난감에서 분리할 수 있는 조각 포함) 은 섭취되고 있었으며, 어린 소녀들에게 판매되는 장난감 오븐 일반 가정용 오븐보다 더 높은 온도로 가열할 수 있었습니다.
그곳은 마치 “와일드 웨스트 (Wild West)” 같은 곳이었으며, 가장 심각한 상황에서 몇 가지 제한적인 금지 조치와 제품 리콜을 제외하고는 규제가 거의 없었습니다.장난감 제조업체는 기본적으로 원하는 장난감을 자유롭게 생산할 수 있었습니다. 안전에 대한 우려는 보통 몇 건의 사고가 이미 발생한 이후에 신고되었습니다.다음과 같은 법안이 나오기 전까지는 가능하지 않았습니다. 리처드 닉슨의 1969년 장난감 안전법 위험한 장난감에 대한 검사 및 후속 금지가 미국과 전 세계에서 표준이 된 법률로 통과되었습니다.사고는 여전히 발생하기 마련이지만, 오늘날 장난감 제조의 일반적인 공정에서는 “안전 우선” 정책을 채택하고 있기 때문에 우리 아이들은 잠재적 위험에 훨씬 덜 노출되어 있습니다.
현재 소프트웨어 보안 분야는 와일드 웨스트에 있습니다.개인 정보 보호 (특히 최근 GDPR) 와 고객 데이터 보호에 관한 명백한 법률 및 규정과 일부 국가의 필수 침해 신고 법률을 제외하면, 주류 비즈니스 또는 커뮤니티에서 소프트웨어에 내장된 보안 수준에 대해 언급하거나 하는 내용이 거의 없습니다.심지어 이러한 법률조차도 규제 대상인 실제 소프트웨어나 준수해야 할 필수 보안 기준보다는 회사의 책임과 더 관련이 있습니다.
우리는 그곳에 도착하겠지만, 먼저 파멸의 길이 필요할 수도 있습니다.
Gartner는 다음과 같은 결과가 있을 것으로 추정합니다. 2020년까지 84억 개의 인터넷 연결 장치 사용; 이는 2016년 이후 31% 증가한 수치입니다.여기에는 소비자 전자제품뿐만 아니라 의료 기기 및 산업별 장비도 포함됩니다.해커에게는 정말 많은 기회죠.
누군가의 맥박 조정기를 실행하는 소프트웨어가 안전하지 않다고 상상해 보십시오.해커가 침입하여 잠재적으로 피해자의 심장을 막을 수도 있습니다 (말도 안 된다고 생각하시나요?의사들은 WiFi를 비활성화했습니다. 딕 체니의 페이스메이커에서 해킹을 통한 잠재적 암살을 저지하기 위한 것이었죠)연결된 전자레인지 또는 주전자 원격으로 폭파될 수 있음 (가정에서 즐겨 사용하는 모든 종류의 사물 인터넷 장치와 함께), 커넥티드 전기 자동차의 브레이크가 작동하지 않을 수 있습니다.터무니없는 할리우드 액션 영화처럼 들릴 수도 있지만, 이러한 첨단 커넥티드 기술의 소프트웨어가 침해될 수 있다면 실제로 재앙이 닥칠 수 있습니다. 이미 다루었던 위협과 마찬가지로 말이죠. 석유 및 가스 산업 내 사이버 공격의 폭발적 파급 효과.
우리의 삶이 점점 더 디지털 의존도가 높아짐에 따라 악의적인 해킹으로 인한 심각한 결과를 미연에 방지할 수 있습니다.이 모든 것은 개발자들이 보안 코딩에 대해 더 흥미를 가지게 하고 개발 팀에 강력한 보안 사고방식과 문화를 키우는 데 진지하게 임하도록 하는 것에서 시작됩니다.
소프트웨어 혁명은 여기에서 시작됩니다.은행 업계는 기존 (읽기: 지루한) 교육을 완전히 탈피하는 진정으로 혁신적인 접근 방식을 통해 잘못된 코드를 퇴치하기 위해 게임화된 교육을 도입하는 데 앞장서고 있습니다.실제로 현재 호주의 상위 6개 은행 각각은 이러한 방식으로 개발자들을 참여시켜 보안 사고방식에 불을 붙이고 있습니다.우리의 고객인 IAG Group이 그들의 서비스를 어떻게 활용했는지 확인해 보세요. 넥스트 레벨 토너먼트.
%20(1).avif)
.avif)
