호기심 많은 보안 담당자를 처벌하는 것이 아니라 지원해야 하는 이유
청소년 보안 연구원 빌 데미르카피의 최근 보고서는 주요 취약점이 노출된 그의 학교에서 사용하던 소프트웨어를 보며 확실히 추억이 떠올랐습니다. 호기심 많은 아이였을 때 소프트웨어의 후드를 들어 올려 그 밑을 들여다보고 어떻게 작동하는지 살펴보던 기억이 납니다. 그리고 더 중요한 것은 제가 그걸 깨뜨릴 수 있다면 말이죠. 수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화를 모색해 왔고, 보안 커뮤니티는 (때로는 약간 건방진 접근 방식을 취하기도 하지만) 결함과 잠재적 재해를 발견하는 데 중요한 역할을 합니다. 악의적인 사람이 그렇게 하기 전에 말이죠.
그러나 여기서 문제는 그가 발견한 것에 대한 반응으로 경미한 정학 처분을 받았다는 점입니다. 그리고 그것은 그가 회사에 연락할 수 있는 모든 방법을 다 써버린 후에야 비로소 일어났습니다. 결국그는 자신과 자신의 시스템 침해 능력을 알리기 위해 다소 공개적인 폭발을 선택했습니다.폴렛 코퍼레이션에 윤리적으로 경고하려는 그의 거듭된 시도는 아무런 답도 받지 못했습니다. 소프트웨어는 취약한 상태로 남아 있었고, 산더미처럼 쌓인 학생 데이터는 암호화되지 않았기 때문에 쉽게 노출될 수 있었습니다.
그는 다른 회사의 소프트웨어인 Blackboard에서도 버그를 찾아냈습니다. Blackboard의 데이터에는 최소한 암호화 기능이 있었지만 잠재적 공격자는 수백만 개의 레코드에 접근하여 더 많은 레코드를 훔칠 수 있었습니다. 그의 학교에서는 이 소프트웨어와 Follett의 제품을 모두 사용하고 있었습니다.
"사악한 해커"라는 이야기는 문제가 있습니다.
데미르카피는 올해 학회에서 자신의 연구 결과를 발표했습니다. 데프 아이콘, 그의 장난에 대한 더 장난스러운 세부 사항은 관중들의 박수를 받고 있습니다. 그렇습니다. 사실, 폴렛 코퍼레이션은 처음에는 좋지 않은 책들에 빠져 발견한 사실을 인정받기 위해 많은 장애물에 부딪혔지만, 그의 노력에 감사하고 그의 조언에 따라 행동함으로써 궁극적으로 소프트웨어 보안을 강화하고 또 다른 데이터 유출 통계가 될 수 있는 위기를 피했다고 합니다. 그는 또한 고등학교를 졸업한 후 로체스터 공과대학에 진학할 예정이므로 그가 수요가 많은 보안 전문가가 되기 위한 올바른 길을 가고 있다는 것은 분명합니다.
보안 담당자로서 이 상황이 어떻게 처리되었는지에 대해 이의를 제기하지 않는 것은 어렵습니다. 이 경우에는 모든 것이 순조롭게 끝났지만, 처음에는 그가 자신이 속한 일이 아닌 곳에 코를 박는 짜증나는 대본 꼬마 취급을 받았습니다.Google에서 이 사건을 검색하면 그를 '해커' (보안 평신도들의 생각에는 여러 면에서 악당으로 취급하고 있습니다) 라고 지칭하는 기사가 있습니다. 사실 그의 접근 방식 (및 다른 많은 사람들의 접근 방식) 은 데이터를 안전하게 보호하는 데 도움이 됩니다.
호기심 많고 영리하며 보안에 초점을 맞춘 사람들이 필요합니다. 그리고 이런 일이 훨씬 더 자주 일어나야 합니다. 7월 현재, 40억 개 이상의 레코드가 올해에만 악의적인 데이터 침해에 노출되었습니다. 8월에 발생한 패션 및 라이프스타일 브랜드 보안 침해 덕분에 이 수치에 5천만 건을 더 추가할 수 있습니다. 포쉬마크.
우리도 같은 실수를 저지르고 있습니다. 더욱 걱정스럽게도 이러한 취약점들은 종종 손바닥을 자극하는 단순한 취약점들이 우리를 계속 넘어뜨리게 합니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았습니다.
유선, Demirkapi가 보고한 바에 따르면, Blackboard의 커뮤니티 참여 소프트웨어 및 Follets의 학생 정보 시스템에 크로스 사이트 스크립팅(XSS) 및 SQL 삽입과 같은 일반적인 보안 버그가 포함되어 있는 것으로 확인되었으며, 이 두 버그는 모두 1990년대 이후 보안 전문가들의 입장에서 떠올랐습니다. 우리는 그 존재감을 위해 그 존재를 굳건히 지켜 왔습니다. 정말 오래전, 하이퍼컬러 티셔츠와 플로피 디스크처럼 지금쯤이면 먼 기억으로 남을 것입니다.
하지만 그렇지 않습니다. 그리고 코드에 이러한 기능을 도입하는 것을 막을 수 있는 충분한 보안 의식을 갖춘 개발자가 충분하지 않다는 것도 분명합니다. 스캐닝 도구와 수동 코드 검토를 수행할 수 있는 작업은 제한적이며, 보안 문제도 XSS 및 SQL 삽입보다 훨씬 더 복잡합니다. 이러한 비용과 시간이 많이 드는 방법을 더 잘 활용할 수 있기 때문입니다.
빌 데미르카피(Bill Demirkapi) 같은 사람들은 개발자가 더 높은 수준의 코드를 만들도록 영감을 주어야 합니다. 그는 겨우 17살에 코드를 커밋하기 전에 스니핑하고 수정했어야 하는 위협 벡터를 통해 트래픽이 많은 두 시스템을 침해했습니다.
게임화: 참여의 핵심은 무엇일까요?
개발자들이 여전히 보안에 크게 관여하지 않는 이유를 간단히 설명하자면, 보안을 잘 아는 개발자를 육성하기 위해 조직적 또는 교육적 차원에서 많은 노력을 기울이고 있지 않기 때문입니다. 기업이 시간을 내어 개발자의 언어를 구사하고 개발자가 계속 시도하도록 동기를 부여하는 교육을 실시하는 등 참여에 대한 보상을 제공하고 인정하는 보안 문화를 구축하면, 우리가 사용하는 소프트웨어에서 이러한 성가신 취약성 유물이 사라지기 시작합니다.
데미르카피는 분명히 보안에 대해 특별한 관심을 가지고 있으며, 멀웨어를 리버스 엔지니어링하고, 결함을 찾아내고, 외부에서 볼 때 고장난 것처럼 보이지 않는 것들을 파괴하는 방법을 배우는 데 시간을 할애했습니다. 하지만 대화를 나누다 보면 바이스 (그리고 DEF CON 슬라이드를 통해) 그는 자신의 자기 교육에 대해 흥미로운 진술을 했습니다... 그는 그것을 게임화했습니다.
“학교 소프트웨어에서 무언가를 찾는 것이 목표였기 때문에 상당한 양의 침투 테스트를 독학할 수 있는 재미있고 게임화된 방법이었습니다. 더 자세히 알아보려는 의도로 연구를 시작했지만 결국 상황이 예상보다 훨씬 나쁘다는 것을 알게 되었습니다.”라고 그는 말했습니다.
모든 개발자가 보안을 전문으로 하고 싶어하는 것은 아니지만, 모든 개발자에게 보안에 대해 이해할 수 있는 기회가 주어져야 합니다. 특히 대량의 민감한 데이터를 관리하는 개발자의 기본 사항은 조직 내에서 거의 "코드 작성 라이선스" 역할을 합니다. 모든 개발자가 가장 단순한 보안 허점을 작성하기도 전에 패치할 수 있다면 우리는 혼란을 일으키려는 개발자들로부터 훨씬 더 안전한 위치에 있습니다.
게임화된 교육이 궁금하신가요? 코더스 컨커 시큐리티 시리즈를 다음에서 확인해 보세요 XSS 과 SQL 인젝션.
10대 보안 연구원인 빌 데미르카피는 학교에서 사용하는 소프트웨어의 주요 취약점을 폭로하며 추억을 되살렸습니다. 호기심 많은 아이였을 때 소프트웨어의 후드를 들어 그 밑을 들여다보고 어떻게 작동하는지 살펴봤던 기억이 납니다... 그리고 제가 그걸 깨뜨릴 수 있을지 말이죠.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
청소년 보안 연구원 빌 데미르카피의 최근 보고서는 주요 취약점이 노출된 그의 학교에서 사용하던 소프트웨어를 보며 확실히 추억이 떠올랐습니다. 호기심 많은 아이였을 때 소프트웨어의 후드를 들어 올려 그 밑을 들여다보고 어떻게 작동하는지 살펴보던 기억이 납니다. 그리고 더 중요한 것은 제가 그걸 깨뜨릴 수 있다면 말이죠. 수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화를 모색해 왔고, 보안 커뮤니티는 (때로는 약간 건방진 접근 방식을 취하기도 하지만) 결함과 잠재적 재해를 발견하는 데 중요한 역할을 합니다. 악의적인 사람이 그렇게 하기 전에 말이죠.
그러나 여기서 문제는 그가 발견한 것에 대한 반응으로 경미한 정학 처분을 받았다는 점입니다. 그리고 그것은 그가 회사에 연락할 수 있는 모든 방법을 다 써버린 후에야 비로소 일어났습니다. 결국그는 자신과 자신의 시스템 침해 능력을 알리기 위해 다소 공개적인 폭발을 선택했습니다.폴렛 코퍼레이션에 윤리적으로 경고하려는 그의 거듭된 시도는 아무런 답도 받지 못했습니다. 소프트웨어는 취약한 상태로 남아 있었고, 산더미처럼 쌓인 학생 데이터는 암호화되지 않았기 때문에 쉽게 노출될 수 있었습니다.
그는 다른 회사의 소프트웨어인 Blackboard에서도 버그를 찾아냈습니다. Blackboard의 데이터에는 최소한 암호화 기능이 있었지만 잠재적 공격자는 수백만 개의 레코드에 접근하여 더 많은 레코드를 훔칠 수 있었습니다. 그의 학교에서는 이 소프트웨어와 Follett의 제품을 모두 사용하고 있었습니다.
"사악한 해커"라는 이야기는 문제가 있습니다.
데미르카피는 올해 학회에서 자신의 연구 결과를 발표했습니다. 데프 아이콘, 그의 장난에 대한 더 장난스러운 세부 사항은 관중들의 박수를 받고 있습니다. 그렇습니다. 사실, 폴렛 코퍼레이션은 처음에는 좋지 않은 책들에 빠져 발견한 사실을 인정받기 위해 많은 장애물에 부딪혔지만, 그의 노력에 감사하고 그의 조언에 따라 행동함으로써 궁극적으로 소프트웨어 보안을 강화하고 또 다른 데이터 유출 통계가 될 수 있는 위기를 피했다고 합니다. 그는 또한 고등학교를 졸업한 후 로체스터 공과대학에 진학할 예정이므로 그가 수요가 많은 보안 전문가가 되기 위한 올바른 길을 가고 있다는 것은 분명합니다.
보안 담당자로서 이 상황이 어떻게 처리되었는지에 대해 이의를 제기하지 않는 것은 어렵습니다. 이 경우에는 모든 것이 순조롭게 끝났지만, 처음에는 그가 자신이 속한 일이 아닌 곳에 코를 박는 짜증나는 대본 꼬마 취급을 받았습니다.Google에서 이 사건을 검색하면 그를 '해커' (보안 평신도들의 생각에는 여러 면에서 악당으로 취급하고 있습니다) 라고 지칭하는 기사가 있습니다. 사실 그의 접근 방식 (및 다른 많은 사람들의 접근 방식) 은 데이터를 안전하게 보호하는 데 도움이 됩니다.
호기심 많고 영리하며 보안에 초점을 맞춘 사람들이 필요합니다. 그리고 이런 일이 훨씬 더 자주 일어나야 합니다. 7월 현재, 40억 개 이상의 레코드가 올해에만 악의적인 데이터 침해에 노출되었습니다. 8월에 발생한 패션 및 라이프스타일 브랜드 보안 침해 덕분에 이 수치에 5천만 건을 더 추가할 수 있습니다. 포쉬마크.
우리도 같은 실수를 저지르고 있습니다. 더욱 걱정스럽게도 이러한 취약점들은 종종 손바닥을 자극하는 단순한 취약점들이 우리를 계속 넘어뜨리게 합니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았습니다.
유선, Demirkapi가 보고한 바에 따르면, Blackboard의 커뮤니티 참여 소프트웨어 및 Follets의 학생 정보 시스템에 크로스 사이트 스크립팅(XSS) 및 SQL 삽입과 같은 일반적인 보안 버그가 포함되어 있는 것으로 확인되었으며, 이 두 버그는 모두 1990년대 이후 보안 전문가들의 입장에서 떠올랐습니다. 우리는 그 존재감을 위해 그 존재를 굳건히 지켜 왔습니다. 정말 오래전, 하이퍼컬러 티셔츠와 플로피 디스크처럼 지금쯤이면 먼 기억으로 남을 것입니다.
하지만 그렇지 않습니다. 그리고 코드에 이러한 기능을 도입하는 것을 막을 수 있는 충분한 보안 의식을 갖춘 개발자가 충분하지 않다는 것도 분명합니다. 스캐닝 도구와 수동 코드 검토를 수행할 수 있는 작업은 제한적이며, 보안 문제도 XSS 및 SQL 삽입보다 훨씬 더 복잡합니다. 이러한 비용과 시간이 많이 드는 방법을 더 잘 활용할 수 있기 때문입니다.
빌 데미르카피(Bill Demirkapi) 같은 사람들은 개발자가 더 높은 수준의 코드를 만들도록 영감을 주어야 합니다. 그는 겨우 17살에 코드를 커밋하기 전에 스니핑하고 수정했어야 하는 위협 벡터를 통해 트래픽이 많은 두 시스템을 침해했습니다.
게임화: 참여의 핵심은 무엇일까요?
개발자들이 여전히 보안에 크게 관여하지 않는 이유를 간단히 설명하자면, 보안을 잘 아는 개발자를 육성하기 위해 조직적 또는 교육적 차원에서 많은 노력을 기울이고 있지 않기 때문입니다. 기업이 시간을 내어 개발자의 언어를 구사하고 개발자가 계속 시도하도록 동기를 부여하는 교육을 실시하는 등 참여에 대한 보상을 제공하고 인정하는 보안 문화를 구축하면, 우리가 사용하는 소프트웨어에서 이러한 성가신 취약성 유물이 사라지기 시작합니다.
데미르카피는 분명히 보안에 대해 특별한 관심을 가지고 있으며, 멀웨어를 리버스 엔지니어링하고, 결함을 찾아내고, 외부에서 볼 때 고장난 것처럼 보이지 않는 것들을 파괴하는 방법을 배우는 데 시간을 할애했습니다. 하지만 대화를 나누다 보면 바이스 (그리고 DEF CON 슬라이드를 통해) 그는 자신의 자기 교육에 대해 흥미로운 진술을 했습니다... 그는 그것을 게임화했습니다.
“학교 소프트웨어에서 무언가를 찾는 것이 목표였기 때문에 상당한 양의 침투 테스트를 독학할 수 있는 재미있고 게임화된 방법이었습니다. 더 자세히 알아보려는 의도로 연구를 시작했지만 결국 상황이 예상보다 훨씬 나쁘다는 것을 알게 되었습니다.”라고 그는 말했습니다.
모든 개발자가 보안을 전문으로 하고 싶어하는 것은 아니지만, 모든 개발자에게 보안에 대해 이해할 수 있는 기회가 주어져야 합니다. 특히 대량의 민감한 데이터를 관리하는 개발자의 기본 사항은 조직 내에서 거의 "코드 작성 라이선스" 역할을 합니다. 모든 개발자가 가장 단순한 보안 허점을 작성하기도 전에 패치할 수 있다면 우리는 혼란을 일으키려는 개발자들로부터 훨씬 더 안전한 위치에 있습니다.
게임화된 교육이 궁금하신가요? 코더스 컨커 시큐리티 시리즈를 다음에서 확인해 보세요 XSS 과 SQL 인젝션.
청소년 보안 연구원 빌 데미르카피의 최근 보고서는 주요 취약점이 노출된 그의 학교에서 사용하던 소프트웨어를 보며 확실히 추억이 떠올랐습니다. 호기심 많은 아이였을 때 소프트웨어의 후드를 들어 올려 그 밑을 들여다보고 어떻게 작동하는지 살펴보던 기억이 납니다. 그리고 더 중요한 것은 제가 그걸 깨뜨릴 수 있다면 말이죠. 수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화를 모색해 왔고, 보안 커뮤니티는 (때로는 약간 건방진 접근 방식을 취하기도 하지만) 결함과 잠재적 재해를 발견하는 데 중요한 역할을 합니다. 악의적인 사람이 그렇게 하기 전에 말이죠.
그러나 여기서 문제는 그가 발견한 것에 대한 반응으로 경미한 정학 처분을 받았다는 점입니다. 그리고 그것은 그가 회사에 연락할 수 있는 모든 방법을 다 써버린 후에야 비로소 일어났습니다. 결국그는 자신과 자신의 시스템 침해 능력을 알리기 위해 다소 공개적인 폭발을 선택했습니다.폴렛 코퍼레이션에 윤리적으로 경고하려는 그의 거듭된 시도는 아무런 답도 받지 못했습니다. 소프트웨어는 취약한 상태로 남아 있었고, 산더미처럼 쌓인 학생 데이터는 암호화되지 않았기 때문에 쉽게 노출될 수 있었습니다.
그는 다른 회사의 소프트웨어인 Blackboard에서도 버그를 찾아냈습니다. Blackboard의 데이터에는 최소한 암호화 기능이 있었지만 잠재적 공격자는 수백만 개의 레코드에 접근하여 더 많은 레코드를 훔칠 수 있었습니다. 그의 학교에서는 이 소프트웨어와 Follett의 제품을 모두 사용하고 있었습니다.
"사악한 해커"라는 이야기는 문제가 있습니다.
데미르카피는 올해 학회에서 자신의 연구 결과를 발표했습니다. 데프 아이콘, 그의 장난에 대한 더 장난스러운 세부 사항은 관중들의 박수를 받고 있습니다. 그렇습니다. 사실, 폴렛 코퍼레이션은 처음에는 좋지 않은 책들에 빠져 발견한 사실을 인정받기 위해 많은 장애물에 부딪혔지만, 그의 노력에 감사하고 그의 조언에 따라 행동함으로써 궁극적으로 소프트웨어 보안을 강화하고 또 다른 데이터 유출 통계가 될 수 있는 위기를 피했다고 합니다. 그는 또한 고등학교를 졸업한 후 로체스터 공과대학에 진학할 예정이므로 그가 수요가 많은 보안 전문가가 되기 위한 올바른 길을 가고 있다는 것은 분명합니다.
보안 담당자로서 이 상황이 어떻게 처리되었는지에 대해 이의를 제기하지 않는 것은 어렵습니다. 이 경우에는 모든 것이 순조롭게 끝났지만, 처음에는 그가 자신이 속한 일이 아닌 곳에 코를 박는 짜증나는 대본 꼬마 취급을 받았습니다.Google에서 이 사건을 검색하면 그를 '해커' (보안 평신도들의 생각에는 여러 면에서 악당으로 취급하고 있습니다) 라고 지칭하는 기사가 있습니다. 사실 그의 접근 방식 (및 다른 많은 사람들의 접근 방식) 은 데이터를 안전하게 보호하는 데 도움이 됩니다.
호기심 많고 영리하며 보안에 초점을 맞춘 사람들이 필요합니다. 그리고 이런 일이 훨씬 더 자주 일어나야 합니다. 7월 현재, 40억 개 이상의 레코드가 올해에만 악의적인 데이터 침해에 노출되었습니다. 8월에 발생한 패션 및 라이프스타일 브랜드 보안 침해 덕분에 이 수치에 5천만 건을 더 추가할 수 있습니다. 포쉬마크.
우리도 같은 실수를 저지르고 있습니다. 더욱 걱정스럽게도 이러한 취약점들은 종종 손바닥을 자극하는 단순한 취약점들이 우리를 계속 넘어뜨리게 합니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았습니다.
유선, Demirkapi가 보고한 바에 따르면, Blackboard의 커뮤니티 참여 소프트웨어 및 Follets의 학생 정보 시스템에 크로스 사이트 스크립팅(XSS) 및 SQL 삽입과 같은 일반적인 보안 버그가 포함되어 있는 것으로 확인되었으며, 이 두 버그는 모두 1990년대 이후 보안 전문가들의 입장에서 떠올랐습니다. 우리는 그 존재감을 위해 그 존재를 굳건히 지켜 왔습니다. 정말 오래전, 하이퍼컬러 티셔츠와 플로피 디스크처럼 지금쯤이면 먼 기억으로 남을 것입니다.
하지만 그렇지 않습니다. 그리고 코드에 이러한 기능을 도입하는 것을 막을 수 있는 충분한 보안 의식을 갖춘 개발자가 충분하지 않다는 것도 분명합니다. 스캐닝 도구와 수동 코드 검토를 수행할 수 있는 작업은 제한적이며, 보안 문제도 XSS 및 SQL 삽입보다 훨씬 더 복잡합니다. 이러한 비용과 시간이 많이 드는 방법을 더 잘 활용할 수 있기 때문입니다.
빌 데미르카피(Bill Demirkapi) 같은 사람들은 개발자가 더 높은 수준의 코드를 만들도록 영감을 주어야 합니다. 그는 겨우 17살에 코드를 커밋하기 전에 스니핑하고 수정했어야 하는 위협 벡터를 통해 트래픽이 많은 두 시스템을 침해했습니다.
게임화: 참여의 핵심은 무엇일까요?
개발자들이 여전히 보안에 크게 관여하지 않는 이유를 간단히 설명하자면, 보안을 잘 아는 개발자를 육성하기 위해 조직적 또는 교육적 차원에서 많은 노력을 기울이고 있지 않기 때문입니다. 기업이 시간을 내어 개발자의 언어를 구사하고 개발자가 계속 시도하도록 동기를 부여하는 교육을 실시하는 등 참여에 대한 보상을 제공하고 인정하는 보안 문화를 구축하면, 우리가 사용하는 소프트웨어에서 이러한 성가신 취약성 유물이 사라지기 시작합니다.
데미르카피는 분명히 보안에 대해 특별한 관심을 가지고 있으며, 멀웨어를 리버스 엔지니어링하고, 결함을 찾아내고, 외부에서 볼 때 고장난 것처럼 보이지 않는 것들을 파괴하는 방법을 배우는 데 시간을 할애했습니다. 하지만 대화를 나누다 보면 바이스 (그리고 DEF CON 슬라이드를 통해) 그는 자신의 자기 교육에 대해 흥미로운 진술을 했습니다... 그는 그것을 게임화했습니다.
“학교 소프트웨어에서 무언가를 찾는 것이 목표였기 때문에 상당한 양의 침투 테스트를 독학할 수 있는 재미있고 게임화된 방법이었습니다. 더 자세히 알아보려는 의도로 연구를 시작했지만 결국 상황이 예상보다 훨씬 나쁘다는 것을 알게 되었습니다.”라고 그는 말했습니다.
모든 개발자가 보안을 전문으로 하고 싶어하는 것은 아니지만, 모든 개발자에게 보안에 대해 이해할 수 있는 기회가 주어져야 합니다. 특히 대량의 민감한 데이터를 관리하는 개발자의 기본 사항은 조직 내에서 거의 "코드 작성 라이선스" 역할을 합니다. 모든 개발자가 가장 단순한 보안 허점을 작성하기도 전에 패치할 수 있다면 우리는 혼란을 일으키려는 개발자들로부터 훨씬 더 안전한 위치에 있습니다.
게임화된 교육이 궁금하신가요? 코더스 컨커 시큐리티 시리즈를 다음에서 확인해 보세요 XSS 과 SQL 인젝션.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
청소년 보안 연구원 빌 데미르카피의 최근 보고서는 주요 취약점이 노출된 그의 학교에서 사용하던 소프트웨어를 보며 확실히 추억이 떠올랐습니다. 호기심 많은 아이였을 때 소프트웨어의 후드를 들어 올려 그 밑을 들여다보고 어떻게 작동하는지 살펴보던 기억이 납니다. 그리고 더 중요한 것은 제가 그걸 깨뜨릴 수 있다면 말이죠. 수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화를 모색해 왔고, 보안 커뮤니티는 (때로는 약간 건방진 접근 방식을 취하기도 하지만) 결함과 잠재적 재해를 발견하는 데 중요한 역할을 합니다. 악의적인 사람이 그렇게 하기 전에 말이죠.
그러나 여기서 문제는 그가 발견한 것에 대한 반응으로 경미한 정학 처분을 받았다는 점입니다. 그리고 그것은 그가 회사에 연락할 수 있는 모든 방법을 다 써버린 후에야 비로소 일어났습니다. 결국그는 자신과 자신의 시스템 침해 능력을 알리기 위해 다소 공개적인 폭발을 선택했습니다.폴렛 코퍼레이션에 윤리적으로 경고하려는 그의 거듭된 시도는 아무런 답도 받지 못했습니다. 소프트웨어는 취약한 상태로 남아 있었고, 산더미처럼 쌓인 학생 데이터는 암호화되지 않았기 때문에 쉽게 노출될 수 있었습니다.
그는 다른 회사의 소프트웨어인 Blackboard에서도 버그를 찾아냈습니다. Blackboard의 데이터에는 최소한 암호화 기능이 있었지만 잠재적 공격자는 수백만 개의 레코드에 접근하여 더 많은 레코드를 훔칠 수 있었습니다. 그의 학교에서는 이 소프트웨어와 Follett의 제품을 모두 사용하고 있었습니다.
"사악한 해커"라는 이야기는 문제가 있습니다.
데미르카피는 올해 학회에서 자신의 연구 결과를 발표했습니다. 데프 아이콘, 그의 장난에 대한 더 장난스러운 세부 사항은 관중들의 박수를 받고 있습니다. 그렇습니다. 사실, 폴렛 코퍼레이션은 처음에는 좋지 않은 책들에 빠져 발견한 사실을 인정받기 위해 많은 장애물에 부딪혔지만, 그의 노력에 감사하고 그의 조언에 따라 행동함으로써 궁극적으로 소프트웨어 보안을 강화하고 또 다른 데이터 유출 통계가 될 수 있는 위기를 피했다고 합니다. 그는 또한 고등학교를 졸업한 후 로체스터 공과대학에 진학할 예정이므로 그가 수요가 많은 보안 전문가가 되기 위한 올바른 길을 가고 있다는 것은 분명합니다.
보안 담당자로서 이 상황이 어떻게 처리되었는지에 대해 이의를 제기하지 않는 것은 어렵습니다. 이 경우에는 모든 것이 순조롭게 끝났지만, 처음에는 그가 자신이 속한 일이 아닌 곳에 코를 박는 짜증나는 대본 꼬마 취급을 받았습니다.Google에서 이 사건을 검색하면 그를 '해커' (보안 평신도들의 생각에는 여러 면에서 악당으로 취급하고 있습니다) 라고 지칭하는 기사가 있습니다. 사실 그의 접근 방식 (및 다른 많은 사람들의 접근 방식) 은 데이터를 안전하게 보호하는 데 도움이 됩니다.
호기심 많고 영리하며 보안에 초점을 맞춘 사람들이 필요합니다. 그리고 이런 일이 훨씬 더 자주 일어나야 합니다. 7월 현재, 40억 개 이상의 레코드가 올해에만 악의적인 데이터 침해에 노출되었습니다. 8월에 발생한 패션 및 라이프스타일 브랜드 보안 침해 덕분에 이 수치에 5천만 건을 더 추가할 수 있습니다. 포쉬마크.
우리도 같은 실수를 저지르고 있습니다. 더욱 걱정스럽게도 이러한 취약점들은 종종 손바닥을 자극하는 단순한 취약점들이 우리를 계속 넘어뜨리게 합니다.
크로스 사이트 스크립팅과 SQL 인젝션은 사라지지 않았습니다.
유선, Demirkapi가 보고한 바에 따르면, Blackboard의 커뮤니티 참여 소프트웨어 및 Follets의 학생 정보 시스템에 크로스 사이트 스크립팅(XSS) 및 SQL 삽입과 같은 일반적인 보안 버그가 포함되어 있는 것으로 확인되었으며, 이 두 버그는 모두 1990년대 이후 보안 전문가들의 입장에서 떠올랐습니다. 우리는 그 존재감을 위해 그 존재를 굳건히 지켜 왔습니다. 정말 오래전, 하이퍼컬러 티셔츠와 플로피 디스크처럼 지금쯤이면 먼 기억으로 남을 것입니다.
하지만 그렇지 않습니다. 그리고 코드에 이러한 기능을 도입하는 것을 막을 수 있는 충분한 보안 의식을 갖춘 개발자가 충분하지 않다는 것도 분명합니다. 스캐닝 도구와 수동 코드 검토를 수행할 수 있는 작업은 제한적이며, 보안 문제도 XSS 및 SQL 삽입보다 훨씬 더 복잡합니다. 이러한 비용과 시간이 많이 드는 방법을 더 잘 활용할 수 있기 때문입니다.
빌 데미르카피(Bill Demirkapi) 같은 사람들은 개발자가 더 높은 수준의 코드를 만들도록 영감을 주어야 합니다. 그는 겨우 17살에 코드를 커밋하기 전에 스니핑하고 수정했어야 하는 위협 벡터를 통해 트래픽이 많은 두 시스템을 침해했습니다.
게임화: 참여의 핵심은 무엇일까요?
개발자들이 여전히 보안에 크게 관여하지 않는 이유를 간단히 설명하자면, 보안을 잘 아는 개발자를 육성하기 위해 조직적 또는 교육적 차원에서 많은 노력을 기울이고 있지 않기 때문입니다. 기업이 시간을 내어 개발자의 언어를 구사하고 개발자가 계속 시도하도록 동기를 부여하는 교육을 실시하는 등 참여에 대한 보상을 제공하고 인정하는 보안 문화를 구축하면, 우리가 사용하는 소프트웨어에서 이러한 성가신 취약성 유물이 사라지기 시작합니다.
데미르카피는 분명히 보안에 대해 특별한 관심을 가지고 있으며, 멀웨어를 리버스 엔지니어링하고, 결함을 찾아내고, 외부에서 볼 때 고장난 것처럼 보이지 않는 것들을 파괴하는 방법을 배우는 데 시간을 할애했습니다. 하지만 대화를 나누다 보면 바이스 (그리고 DEF CON 슬라이드를 통해) 그는 자신의 자기 교육에 대해 흥미로운 진술을 했습니다... 그는 그것을 게임화했습니다.
“학교 소프트웨어에서 무언가를 찾는 것이 목표였기 때문에 상당한 양의 침투 테스트를 독학할 수 있는 재미있고 게임화된 방법이었습니다. 더 자세히 알아보려는 의도로 연구를 시작했지만 결국 상황이 예상보다 훨씬 나쁘다는 것을 알게 되었습니다.”라고 그는 말했습니다.
모든 개발자가 보안을 전문으로 하고 싶어하는 것은 아니지만, 모든 개발자에게 보안에 대해 이해할 수 있는 기회가 주어져야 합니다. 특히 대량의 민감한 데이터를 관리하는 개발자의 기본 사항은 조직 내에서 거의 "코드 작성 라이선스" 역할을 합니다. 모든 개발자가 가장 단순한 보안 허점을 작성하기도 전에 패치할 수 있다면 우리는 혼란을 일으키려는 개발자들로부터 훨씬 더 안전한 위치에 있습니다.
게임화된 교육이 궁금하신가요? 코더스 컨커 시큐리티 시리즈를 다음에서 확인해 보세요 XSS 과 SQL 인젝션.
%20(1).avif)
.avif)
