티어 1 금융 기관이 혁신적인 보안 인증 환경을 구축한 방법
보안 규정 준수와 관련하여 게임이 개발자의 마음을 사로잡을 수 있을까요?
수백만 명의 고객, 신뢰할 수 있는 글로벌 금융 기관으로서의 풍부한 역사, 혁신과 디지털 혁신에 발맞추기 위한 노력을 갖춘 이 티어 1 은행 고객은 조직 내에서 진정으로 독특한 교육 경험의 일환으로 Secure Code Warrior 을 활용했습니다.
사내 기술 교육 이니셔티브를 만들어 수천 명의 직원이 머신 러닝과 사이버 보안을 비롯한 여러 분야에서 실용적인 첨단 기술을 배울 수 있도록 지원했습니다.
금융 서비스 업계는 현재 급격하고 급진적인 변화의 시기에 있으며, 많은 기업이 빠르게 발전하는 신기술에 발맞춰 서비스 제공 방식을 바꾸고 있습니다. 본질적으로 금융에 중점을 둔 본격적인 기술 기업으로 거듭나고 있습니다. 우리 고객의 접근 방식을 통해 이러한 추세에 발맞출 수 있었을 뿐만 아니라 대부분의 기업보다 더 나은(그리고 더 스마트한) 결과를 달성할 수 있었습니다. 이들은 중요하고 떠오르는 분야에 대한 최신 정보를 얻기 위해 직원들에게 막대한 투자를 해왔으며, 그 결과 핀테크 혁신과 전문성의 선두에 서게 되었습니다.
이 프로그램을 성공적으로 실행하기 위해 고객사와 팀 전체는 개발자가 높은 수준의 사이버 보안 인식을 바탕으로 보안 코딩에 완전히 숙달되어야 할 필요성을 느꼈습니다. 보안 인식 관리자는 처음부터 팀원들이 보안에 대해 흥미를 갖도록 적극적으로 참여시키려고 노력했습니다.
도전 과제
우리 고객의 보안 인식 관리자는 보안 업계에서 오랜 기간 근무하면서 크고 작은 기업의 온라인 애플리케이션 채택이 폭발적으로 증가하고 디지털 중심 팀이 급격히 증가하는 것을 가장 가까이에서 지켜보았습니다. 그는 이러한 초고속 확장에 따른 불가피한 전문 지식의 사일로화를 직접 목격했으며, 이는 궁극적으로 많은 보안 및 개발 팀에게 문제가 되고 있습니다: "온라인 도입 초기에는 개발자가 보안에 대해 생각하고 소프트웨어 빌드에 적용했습니다. 하지만 점점 더 사일로화되는 환경에서는 한 팀이 운영 체제를 작업한 후 보안 팀에 분석을 요청하면, 보안 팀에서 빨간 표시와 함께 수정 방법에 대한 메모를 남기고 돌아오는 경우가 많습니다. 보안이 유지될 수밖에 없지만, 발견한 내용과 지식은 블랙홀로 사라지고 같은 일이 반복될 뿐입니다."라고 그는 말합니다.
그는 자신의 역할에서 자주 접하는 보안 문제에 대해 언급하면서 "사람들의 도전"을 언급했습니다:
소프트웨어 엔지니어는 기능을 개발하기 위해 돈을 받고 있으며, 보안은 애자일 개발을 방해하는 큰 장애물로 여겨질 수 있습니다. 이들은 자신의 우선 순위로 바쁘기 때문에 보안 측면을 다른 사람의 일로 간주하는 경우가 많습니다. 가장 극단적으로는 '아직 아무 일도 일어나지 않았으니 걱정하지 않아도 된다'는 입장을 취하기도 합니다. 이 소프트웨어 보안에 대해 왜 그렇게 걱정하고 있으며, 왜 내 개발 라이프사이클을 방해하는 것일까?" 디지털화가 증가하는 세상에서 이러한 태도는 바뀌어야 합니다. 소프트웨어 보안을 귀찮은 일로 여기기보다는 소프트웨어 보안에 대한 책임 공유의 중요성을 강조해야 합니다.
그는 디지털 생활의 기반이 되는 개발에 대한 의존도가 높아지면서 사회적으로 선량한 사람들이 점점 더 불공정한 경쟁의 장에서 해커들의 먹잇감이 되고 있다는 사실을 깨달았습니다. 개발자는 보안을 진지하게 받아들이고, 깊은 관심을 갖고, 자신의 조직(그리고 실제로 모든 진지한 기술 기업의 조직)에서 첫 번째 방어선이 되어야 했습니다.
그래서 그는 기존의 교육 방식을 완전히 바꾸기 시작했습니다.
구현
보안 인식 관리자는 소프트웨어 품질에 대한 새로운 표준을 설정한다는 고객의 전반적인 철학을 주도했습니다. 특히, 소프트웨어에 내재된 보안 수준이 전반적인 품질과 제품 실행 가능성을 나타내는 지표라는 개념입니다. 오늘날 보안은 대부분의 경우 품질 측정과 밀접하게 연관되어 있지 않으며, 소프트웨어를 평가할 때 전반적인 UI, 속도, 서비스 가능성 등을 고려하는 것과 같은 방식은 더욱 아닙니다.
"보안은 높은 소프트웨어 품질을 위한 타협할 수 없는 필수 요건이 되어야 합니다."라고 그는 말합니다. "이는 대부분의 기업, 특히 빠르게 변화하는 디지털화 비즈니스 모델을 가진 기업에게 큰 관심사인 신뢰성과 관련이 있습니다."
커밋된 코드의 취약점을 수정하는 데 드는 비용이 처음부터 안전하게 작성된 코드보다 최대 30배나 비싸기 때문에 개발 팀에 실행 가능한 보안 문화를 '정착'시키는 것이 그의 핵심 목표가 되었습니다. 결국, 스캐닝 도구가 탐지하지 못하는 취약점도 존재하며, 이를 해결하는 가장 효율적인 해결책은 보안에 민감한 개발팀입니다.
보안 인식 관리자는 다른 형태의 교육에 대한 자신의 경험을 자세히 설명했는데, 이러한 교육은 여전히 개발자를 '설득'하고 증가하는 보안 문제를 해결할 수 있도록 준비시키는 데 많이 사용됩니다: "개발자가 수많은 이론 기반 작업을 통해 보안에 대해 배우거나, 더 나쁜 경우 '체크박스에 체크하고 넘어가는' 규정 준수 교육을 자주 받는다면 지속적인 영향을 미칠 수 있는 실습이나 시간이 충분하지 않습니다. 저는 보다 효과적인 솔루션을 적용하여 이러한 상황을 바꾸기로 결심했습니다."라고 그는 말합니다.
높은 참여도의 이점
보안 인식 관리자와 그의 팀의 조언에 따라 고객은 맞춤형 인증 프로그램을 구현했으며, 여기에는 Secure Code Warrior 플랫폼이 필수적인 부분입니다.
보다 효과적이고 매력적인 개발자 교육 솔루션에 대한 연구를 통해 게이미피케이션의 얼리어답터가 되었고, 체계적이고 본격적인 자체 커리큘럼을 통해 그 효과와 잠재력을 극대화했습니다.
"참여도가 높은 교육을 문화의 일부로 만들고, 학생들이 계속해서 학습을 이어가도록 하는 것이 중요했습니다. 이 시스템은 보안에 대한 지식, 기술 및 가치관을 구축하기 위한 의도적인 접근 방식이며, 궁극적으로 학생들이 매일 사용하는 실제 소스 코드로 작업하게 됩니다."라고 그는 말합니다.
업계 표준 보안 모범 사례와 내부 지침을 모두 포괄하는 종합적인 솔루션을 통해 고객은 신속하게 교육을 동원하여 조직 내 소프트웨어 보안에 긍정적인 영향을 미칠 수 있었습니다.
결과
저희 고객의 인증 프로그램은 사내 기술 교육 시설과 같은 미래 지향적인 이니셔티브에 적합한 성공적인 교육 형식이며 지속적으로 발전하고 있습니다. 재미있고 인터랙티브하며 인센티브가 제공되는 방식으로 진행되는 심층적인 과정을 통해 모든 학생이 지식을 유지할 수 있는 최고의 기회를 얻을 수 있을 뿐만 아니라 보안 우선 문화와 사고방식을 진정으로 발전시킬 수 있도록 지원합니다. 게임화는 분명 학습에 흥미를 유발하지만, 개발자가 애플리케이션에서 고위험 취약성을 식별하고 차단하는 데 필요한 기술을 제공하는 이 프로그램의 핵심적인 실용성은 그대로 유지되었습니다.
이 교육은 의무적인 것이 아니라 개발자의 동기 부여가 필요하다는 점에 유의하는 것이 중요합니다. 물론 인센티브와 보상을 제공한 것도 도움이 되었지만, 더 많은 팀이 이 프로그램을 채택할 수 있었던 것은 팀원들의 전폭적인 지지와 프로세스에 대한 승인 덕분이었습니다.
이 프로그램은 중요한 역량을 지속적으로 개발하는 것 외에도 개발 팀과 앱보안 팀 간의 관계 격차를 해소하여 같은 페이지에서 같은 언어를 사용하고 상호 관심사를 형성할 수 있도록 도와줍니다.
규정 준수 체크박스와는 거리가 먼 이 프로그램은 소중한 직원과 그들의 경력을 지속적으로 지원하는 기반이 되었으며, 지구상에서 가장 고성장하는 산업 중 하나인 사이버 보안 분야에서 측정 가능한 숙련도를 제공합니다. 이러한 교육 프로그램은 처음부터 소프트웨어 보안을 개선하는 데 있어 기준이 될 것입니다.
간단한 사실
- 자격증을 수료하고 강사가 되고 싶다는 의사를 밝힌 수강생들의 반응이 전례 없이 뜨거웠습니다. 이러한 교육은 입소문을 통해 지원과 수용, 전반적인 보안 인식을 확산하는 데 큰 역할을 하고 있습니다.
- 고객사는 조직 내 2,500명 이상의 개발자를 대상으로 프로그램을 배포하는 중이며, 90% 이상이 이미 시스템에서 활동하고 있습니다.
- 이 교육을 통해 직원들의 전반적인 경력 개발을 지원하여 직원들이 끊임없이 변화하는 기술 분야에서 자신의 기술을 활용하는 데 필요한 지식으로 무장할 수 있도록 합니다.
성공을 위한 팁
→ 시간을 내어 교육의 이점, 의도된 배포 및 예상 결과를
를 주요 이해관계자, 참가자 및 팀 리더에게 설명하세요. 처음부터 이들이 포함되면
프로그램이 성장함에 따라 중요한 영역에서 지원을 받기가 더 쉬워질 수 있습니다.
→ 단거리 달리기가 아닌 마라톤: 모든 교육 프로그램은 변화하는 산업과 조직의 요구에 맞게
변화하는 업계와 조직의 요구에 맞춰 성장하고 적응해야 합니다. 첫날부터 모든 것을 정할 필요는 없습니다.
→ 재미있게 만드세요! 교육이 지루할 필요는 없으며 보안 코드와 같은 게임화된 플랫폼으로 보안 코드
Warrior와 같은 게임형 플랫폼은 중요한 작업을 기억에 남는 이벤트로 만들 수 있는 완벽한 기회입니다.
상품, 인증서, 테마 등 다양한 요소를 추가하면 높은 참여도로 보상을 받을 수 있습니다,
인증서, 심지어 테마까지 포함하면 높은 참여도를 얻을 수 있습니다.