미국 정부의 사이버 보안 및 인프라 보안국(CISA)이 포괄적인 보안 설계 지침을 발표한 지 2년이 지났으며, 이는 소프트웨어 제조업체에 영향을 미치는 분수령을 알리는 신호탄이 되었습니다. 처음으로 소프트웨어 품질 및 보안 표준을 높이기 위한 가시적인 최고 수준의 지원이 이루어졌고, 최종 사용자가 아닌 공급업체가 취약점이 없는 코드를 제공하도록 책임을 지는 방향으로 나아갔습니다.
그러나 이러한 원칙을 기업 차원에서 실제로 구현하는 데 대한 합의는 쉽지 않은 것으로 나타났습니다. 보안 전문가들 사이에서는 보안 설계를 구성하는 요소에 대한 합의가 이루어지지 않았으며, 이를 달성하기 위한 표준 경로에 대한 합의도 이루어지지 않은 것으로 보입니다. Secure Code Warrior 는 소프트웨어 구축에 주력하는 기업 보안 전문가를 인터뷰하여 현재 보안 설계 원칙이 보안 태세와 소프트웨어 개발 수명 주기(SDLC)에 어떻게 구현되고 있는지 등 현재 보안 설계 원칙에 대한 접근 방식을 심층적으로 살펴봤습니다. CISA의 지침을 구현하는 데 널리 인정되는 표준이 없고 성공적인 롤아웃을 판단할 수 있는 벤치마크도 없다는 것이 분명해졌습니다. 업계가 보안 책임 강화와 소프트웨어 품질 향상이라는 혜택을 누리기 위해서는 이러한 문제를 신속히 해결해야 합니다.
이 연구 보고서에서는 Secure Code Warrior 공동 창립자인 피터 댄히우와 마티아스 마두 박사가 전문가 기고자인 크리스 잉글리스 전 미국 국가 사이버 책임자(현 팔라딘 캐피탈 그룹 전략 고문), 데빈 린치 팔라딘 글로벌 연구소 수석 이사와 함께 CISO, 애플리케이션 보안 부사장, 소프트웨어 보안 전문가 등 기업 보안 리더 20여 명을 심층 인터뷰한 주요 결과를 공개합니다:
- 기업에서 직면하는 일반적인 보안 프로그램 문제에 대한 인사이트를 확인하세요;
- 보안 설계 이니셔티브의 역할과 이를 활성화하고 팀 간에 배포하는 방법 등 보안 설계 이니셔티브의 역할에 대해 알아보세요;
- 소프트웨어 개발에서 AI의 역할과 최신 위협 모델링에 대해 알아보세요;
- 모범 사례에 대한 해석과 정밀 데이터 및 벤치마킹이 실행 가능한 보안 설계 전략에 맞춰 업계 전반에서 수행할 수 있는 역할에 대해 설명합니다.