Secure Code Warrior 연구 주요 인프라 산업에서 보안 설계를 통한 개발자 준비에 진전을 보이고 있습니다.

팔라딘 글로벌 연구소와 협업한 새로운 분석은 보안 설계 진행 상황을 제대로 측정하기 위해 개발자의 숙련도가 매우 중요하다는 점을 강조합니다. 

‍

보스턴 - 2024년 10월 15일 - 오늘, Secure Code Warrior는 개발자 중심의 글로벌 보안 선도기업으로서 개발자 업스킬링과 이것이 기업의 보안 설계(SBD) 이니셔티브에 미치는 영향에 대한 새로운 연구 결과를 발표했습니다. 2024년 4월 이후 200개 이상의 기업( Secure Code Warrior)이 설계 기반 보안 서약에 서명했습니다. 새로운 분석에 따르면 금융 서비스, 국방, 의료, IT와 같은 중요 인프라 산업의 조직은 개발자가 SBD 이니셔티브를 발전시킬 수 있도록 준비하는 데 진전을 보이고 있습니다. Secure Code Warrior 에 따르면 이러한 산업의 개발자 팀은 개발자 팀의 보안 역량을 정량화하는 글로벌 벤치마크인 SCW 신뢰 점수로 측정한 평균 보안 태세가 다른 산업보다 높은 것으로 나타났습니다. 

최고 정보 보안 책임자(CISO)는 SBD 이니셔티브의 초기 단계에서 진정한 ROI를 입증하는 것이 점점 더 어려워지고 있습니다. 최근 몇 년 동안 조직이 업계 표준에 따라 어떻게 추적하고 있는지 평가할 수 있는 벤치마크가 없다는 것이 주요 과제였습니다. 설계 기반 보안 이니셔티브의 성공을 위한 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공할 뿐만 아니라 업계 및 정부 규제 기관이 이러한 기술이 제대로 갖추어져 있음을 확신하게 하는 것입니다.

팔라딘 캐피털 그룹의 수석 전략 고문이자 전 국가 사이버 디렉터인 크리스 잉글리스(Chris Inglis)는 "이제 그 어느 때보다 국가적으로 SBD 역량 강화 프로그램을 마련해야 할 책임이 있습니다."라고 말합니다. "위험 감소는 이 최신 분석의 핵심이며, Secure Code Warrior 은 개발자 보안 학습을 강화하고 사이버 공격을 예방하며 국가의 중요 인프라를 강화하는 데 앞장서고 있습니다."

주요 결과: Secure Code Warrior의 중요 인프라 산업 전반의 개발자 업스킬링 분석은 전 세계 600개 기업 고객과 25만 명 이상의 활동 중인 개발자를 대상으로 2천만 개 이상의 데이터 포인트에서 얻은 인사이트를 기반으로 합니다. 분석 결과 다음과 같은 사실이 밝혀졌습니다:

• 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하고 있는 개발자의 수는 전 세계 전체 개발자의 4% 미만입니다.
• 금융 서비스 산업과 같은 특정 중요 인프라 부문은 SCW TrustScore에서 측정한 보안 상태가 비중요 인프라의 평균에 비해 가장 높은 것으로 나타났습니다. 예를 들어, 금융 서비스 업계의 평균 신뢰 점수는 336점이었습니다. 
• 하지만 놀랍게도 금융 서비스 부문은 규정 준수 및 규제 요건에도 불구하고 다른 여러 중요 부문과 유사한 보안 태세를 갖추고 있었습니다. 
• 대규모 및 소규모의 보안 설계 기반 기술 향상 이니셔티브는 모두 성공할 수 있으며, 연구에 따르면 소규모 이니셔티브가 더 빠르게 확대되고 더 빠르게 실행될 수 있습니다. 그러나 이러한 이니셔티브가 성공하고 측정 가능한 투자 수익률(ROI)을 더 빨리 달성하기 위해서는 의무를 부여해야 한다는 연구 결과가 있습니다.
• 업스킬링 이니셔티브가 확고하게 자리 잡으면 개발자가 애플리케이션에 도입하는 위험은 상당히 줄어듭니다. 분석에 따르면 대규모 업스킬링 이니셔티브(단일 회사의 7000명 이상의 개발자)에 속한 개발자는 취약성을 47-53%까지 예측 가능하게 줄일 수 있는 것으로 나타났습니다.

각국이 광범위한 사이버 보안 전략에 유사한 가이드라인을 도입하면서 전 세계적으로 시큐어 바이 디자인이 탄력을 받고 있습니다. 그러나 개발자에게 안전한 기본값을 제공하고 보안을 이해하는 소프트웨어 개발자 인력을 육성하는 것은 개발자 기술 벤치마크를 알려주는 올바른 데이터 포인트 없이는 달성하기 어려울 것입니다. 애자일 업스킬링 프로그램은 개발자가 직면하고 있는 실제 문제를 해결하는 실습 세션을 통해 확립된 기준선을 기반으로 구축될 때 개발자의 공감을 얻을 수 있습니다.

팔라딘 글로벌 연구소의 대표이자 전 국가 사이버 책임자 대행인 켐바 월든은 "전례 없는 글로벌 사이버 위협의 시기에 이러한 새로운 연구 결과는 디지털 인프라 전반에 걸쳐 SBD 이니셔티브를 강화하여 중대한 취약성을 줄여야 할 필요성을 보여줍니다."라고 말했습니다. "이 연구는 중요한 사이버 보안 목표를 달성하기 위해 직원의 역량을 강화하고 벤치마크를 만들어야 한다는 분명한 행동 지침을 제시합니다."

"베이스라인과 벤치마크는 보안 코딩을 조직 DNA의 필수 요소로 만들어 조직의 보안 태세를 크게 최적화할 수 있습니다." Secure Code Warrior 의 공동 창립자이자 CTO인 Matias Madou의 말입니다. "SBD 이니셔티브가 실질적인 진전을 이루고 있는지 확인하려면 개발자의 숙련도 향상 노력이 효과적이며 개발자가 보안 모범 사례를 업무 습관에 흡수하고 있다는 정량적 증거가 필요합니다. 개발자가 진정으로 코딩 라이선스를 취득했다는 완전한 믿음이 있어야 합니다."

많은 보안 리더들은 기업 보안 프로그램의 대부분의 요소, 특히 개별 직원의 지속적인 업스킬링과 assessment 관련된 요소의 확장이 어렵다는 점을 지속적으로 강조합니다. 이는 타당한 우려이지만, 개발자에게 검증된 보안 기술을 요구하는 여러 글로벌 법률 개정과 가이드라인을 고려할 때 반드시 극복해야 할 문제입니다. 전 세계의 많은 조직이 조치를 취하고 있으며 대규모 업스킬링 이니셔티브를 구현하여 상당한 효과를 거두고 있습니다. 

Secure Code Warrior의 최신 분석과 SCW 신뢰 지수에 대해 자세히 알아보려면 여기를 클릭하세요.

‍

정보 Secure Code Warrior:

Secure Code Warrior 는 디지털 세상을 안전하게 지키는 표준을 설정하는 보안 코딩 플랫폼입니다. 개발자가 소프트웨어 보안 원칙을 배우고, 적용하고, 유지할 수 있도록 가장 효과적인 보안 코딩 솔루션을 제공하는 세계 최고의 애자일( learning platform )을 제공함으로써 이를 실현합니다. 600개 이상의 기업이 애자일 학습 보안 프로그램을 구현하고 출시하는 애플리케이션에 취약점이 없는지 확인하기 위해 Secure Code Warrior 을 신뢰하고 있습니다.

자세한 내용은 Secure Code Warrior, www.securecodewarrior.com 에서 확인하세요.