금융 서비스 기관은 빠르게 진화하는 금융 세계에서 기술을 효율적이고 효과적으로 활용할 수 있는 능력에 따라 다양한 과제에 직면해 있습니다.
조직은 경쟁이 치열한 클라우드 기반 비즈니스 환경에서 내부적으로나 업계 전반적으로 급격한 변화의 시기에 운영되고 있습니다. 예를 들어, 조직은 지속적인 디지털 혁신을 추진하면서 결제 프로세스 및 기타 절차를 가속화할 수 있는 인공 지능과 같은 신기술에 대한 투자를 방해하는 조직적 마찰을 극복하기 위해 노력하고 있습니다.
물론 금융 기록 관리에 관한 사베인스-옥슬리법(Sarbanes-Oxely Act) 요건과 카드 소유자 데이터 보호에 관한 PCI DSS(지불 카드 업계 데이터 보안 표준) 규정부터 캘리포니아 소비자 개인정보 보호법(CCPA) 및 EU의 일반 데이터 보호 규정(GDPR)에 포함된 개인정보 보호에 이르기까지 다양한 규제 요건을 준수해야 한다는 점도 염두에 두어야 할 사항입니다.
규정 미준수로 인한 벌금과 기타 비용은 금세 불어날 수 있습니다. IBM의 데이터 유출 비용 보고서 2023에 따르면 '높은 수준의 규정 미준수' 기업의 평균 비용은 총 505만 달러로, 실제 데이터 유출로 인한 평균 비용보다 50만 달러 이상 높은 것으로 나타났습니다.
데이터 유출과 관련하여 사이버 공격은 계속해서 금융 기관을 괴롭히고 있으며, 금융 기관은 사이버 공격의 두 번째로 많은 표적이 되는 산업입니다. Sophos의 2023년 금융 서비스 랜섬웨어 현황 보고서에 따르면 랜섬웨어 공격만 2021년 34%에서 2022년 55%, 2023년에는 64%까지 급격히 증가했습니다. Statista에 따르면 미국 금융 서비스 업계에서 발생한 데이터 침해(데이터 유출 및 개인 데이터 노출 포함) 건수는 2020년 138건에서 2023년 744건으로 증가했습니다.
내부 효율성, 규정 준수, 보안 등 어느 한 분야라도 실패하면 조직의 평판과 더 나아가 금융 서비스의 생명인 고객 충성도가 위협받게 됩니다. 경쟁력을 유지하고 성공하려면 조직은 고객과의 신뢰를 구축해야 하며, 이는 소프트웨어, 시스템 및 프로세스의 효율성과 효과성을 확보하는 것에서 시작됩니다. 이 모든 것의 핵심은 보안 소프트웨어 코드입니다.
개발자들은 그 어느 때보다 빠른 속도로 애플리케이션과 서비스를 만들고, 업데이트하고, 배포해야 한다는 압박에 시달리고 있습니다. 이는 사내 개발자가 직접 작성했든, AI가 제작했든, 오픈 소스 리포지토리에서 가져왔든, 타사에서 제공했든 더 많은 소프트웨어 코드를 개발하고 작업해야 한다는 것을 의미합니다.
코드의 품질과 보안은 효과적인 운영을 보장하는 데 가장 중요하지만, 조직이 너무 자주 부족한 영역 중 하나입니다. 그리고 코드의 양이 증가함에 따라 소프트웨어 개발 수명 주기(SDLC) 초기에 수정하지 않으면 오류, 결함 및 취약성의 수가 증가할 수 밖에 없습니다.
조직은 보다 안전한 코드를 작성하고 오류를 조기에 수정하기 위해 지금부터 시작해야 합니다. 보안 코딩 모범 사례에 대한 애자일 교육은 안전하고 신뢰할 수 있는 애플리케이션의 토대를 제공하여 조직의 위험을 줄일 뿐만 아니라 비즈니스 성공에 도움이 될 수 있습니다.
트렌드 1: AI 개발 도구
인공 지능, 특히 생성형 AI는 상업, 교육, 일상 생활에 빠르게 확산되고 있습니다. 제너레이티브 AI가 적용된 수많은 용도 중 주목할 만한 기능 중 하나는 코드 작성입니다. 이는 일반적으로 유익한 것으로 입증되었지만, AI 사용과 밀접하게 연관된 또 다른 문제, 즉 보안 문제를 제기하기도 합니다. 금융 기관은 새로운 기술을 얼리 어답터로서 생산성 향상과 안전하고 책임감 있는 AI 사용 사이의 균형을 유지해야 합니다.
지금까지 AI는 주로 수정 프로세스를 자동화하기보다는 코드 개발을 지원하는 데 주로 사용되어 왔으며, 그 영향은 대부분 긍정적이었습니다. 미국에 거주하는 개발자 10명 중 9명 이상이 AI 코딩 도구를 사용하고 있다는 GitHub의 설문조사에 따르면 응답자들은 생산성 향상(53%), 개발자가 반복적인 작업 대신 창의적인 작업에 집중할 수 있는 자유(51%), 번아웃 방지(41%) 등의 이점을 꼽았습니다.
대형 은행과 기타 금융 서비스 조직은 다른 산업에 비해 AI를 얼리 어답터로 채택할 가능성이 높습니다. 결국 금융 기관은 신기술에 대규모로 투자할 수 있는 자금이 있고 항상 경쟁 우위를 확보하기 위해 노력하기 때문에 본질적으로 기술 기업이라고 할 수 있습니다.
일부에서는 AI가 인간 노동자를 대체할 것이라는 우려를 표명하기도 하지만, 실제로 이 기술은 인간과 함께 사용할 때 가장 효과적입니다. 그러나 개발자는 사용법을 배우기 위해 최소한의 체크박스 접근법 이상의 것이 필요합니다. 개발자는 실제 환경에서 보안 모범 사례를 제대로 파악하기 위해 정밀한 교육을 받아야 보안 코드를 직접 작성할 수 있을 뿐만 아니라 코드 작성 AI 비서의 작업도 능숙하게 감독할 수 있습니다.
예를 들어, SCW 훈련의 한 연습에서는 코드의 기능을 수정하기 위해 실제 코드 조각의 내용을 변경하라는 메시지가 LLM 모델에 표시됩니다. AI는 코드 블록을 생성하여 응답하지만 이 블록은 크로스 사이트 스크립팅(XXS)에 취약합니다. 이 훈련을 통해 개발자는 해당 취약점을 인식할 수 있습니다.
AI와 개발자는 매우 생산적으로 협력할 수 있지만, 개발자가 AI가 안전한 코드를 생성할 수 있도록 충분히 교육받은 경우에만 가능합니다.
다른 모델이 사용자를 위해 이야기나 시를 쓰기 전에 수천 개의 산문이나 시 예시를 수집하는 것처럼, AI 모델은 코드 작성에 대한 훈련을 받을 때 수천 개의 코드 작성 예시를 수집합니다. 하지만 AI 모델이 오류가 있는 예제를 기반으로 작성하지 않는다는 보장은 없습니다. AI 모델은 프로세스가 투명하지 않기 때문에 오류는 사후에야 드러납니다. 그리고 AI는 오류가 수정될 때까지 이러한 오류를 반복합니다.
AI 연구자들의 초기 연구에 따르면 AI로 생성된 코드에는 크로스 사이트 스크립팅(XSS) 취약점, 코드 인젝션 공격에 대한 취약성, 프롬프트 인젝션과 관련된 취약점 등 AI로 생성된 코드에 특화된 새로운 취약점 등 심각한 결함이 있는 것으로 나타났습니다. AI 도구를 확인하지 않고 코드를 작성하면 잘못된 코드가 빠르게 확산되어 이미 많은 취약점이 있는 소프트웨어의 보안이 그 어느 때보다 취약해질 수 있습니다.
인간 개발자와 AI 모델이 함께 코드를 개발하여 안전한 코딩 모범 사례를 준수함으로써 금융 기관은 속도와 효율성 향상이라는 이점을 얻는 동시에 사람의 개입이 없을 경우 잠재적으로 치명적일 수 있는 위험을 제한할 수 있습니다.
특히 ChatGPT와 같이 대규모 언어 모델(LLM)을 사용하는 AI와 자체 콘텐츠를 생성할 수 있는 다른 많은 생성형 AI 구현의 급속한 성장에는 실수도 있었습니다. AI 모델이 오류, 편향된 결과, AI 환각을 일으켜 규제를 요구하는 목소리가 높아졌습니다. 예를 들어 백악관은 AI의 개발과 사용에 관한 행정 명령을 발표했습니다. 또한 AI 관련 위험으로부터 대중을 보호하기 위한 AI 권리장전도 제안했습니다. 그러나 정부의 모든 이니셔티브는 윤리적 기준을 준수하기로 약속한 AI 개발 기술 기업들과의 협력과 협업에 의존할 것입니다.
금융 서비스 업계에서도 강력한 내부 통제를 시행할 가능성이 높습니다. 조직은 항상 경쟁 우위를 확보하기 위해 노력하지만, 내부 데이터와 고객 정보 모두의 보안이 가장 중요하다는 것을 알고 있습니다. 또한 미국의 통화감독청(OCC)이나 유럽 사업장의 경우 유럽중앙은행(ECB)과 같은 규정의 요건도 충족해야 합니다.
AI의 얼리 어답터인 은행과 금융 기관은 효율성을 개선하기 위해 AI가 무엇을 할 수 있는지 알아보고, 혁신 허브 및 기타 AI의 기능을 탐색하기 위한 노력을 후원하는 데 관심을 가질 것입니다. 하지만 조직은 보안을 보장하기 위한 통제 장치도 필요합니다. 초기 도입에는 항상 내재된 위험이 수반되며, AI 사용이 확장됨에 따라 위험과 보상의 균형을 맞춰야 합니다. 예를 들어, 조직은 AI 사용 초기 단계에서 강점, 약점, 기회 및 위협(SWOT) 분석을 수행하면 이점을 얻을 수 있습니다.
금융 업계가 AI를 효과적으로 활용할 수 있는 능력은 보안에 달려 있으며, 이는 AI가 생성하는 코드의 보안을 처음부터 보장하는 데 달려 있습니다. 조직은 AI 코드 작성을 면밀히 감독하고 오류를 식별하여 신속하게 수정할 수 있는 고도로 훈련된 엔지니어를 확보해야 합니다. 보안 및 규정 준수를 보장하는 애자일 기반 교육 및 기타 서비스를 제공하는 기업과 협력하는 것은 강력한 보안 태세를 구축하기 위한 좋은 첫걸음입니다.
위험 환경은 특히 소프트웨어 개발 주기 내에서 지속적으로 변화하고 있습니다. 그리고 금융 기관은 AI의 얼리 어답터로서 안전하고 책임감 있는 AI 사용의 리더로서 행동해야 합니다. 일부 금융 기관은 정부 정책에 영향을 미칠 수 있을 만큼 규모가 큰 곳도 있습니다. AI 모델과 개발자가 협력하여 안전한 코드를 보장하는 조치를 취함으로써 금융 기관은 다른 업계가 따라야 할 모범 사례를 확립할 수 있습니다.
트렌드2: 규제 강화
보안 코딩 관행을 구현하는 중요한 동인은 금융 기관이 비즈니스에 적용되는 규정을 준수해야 한다는 점입니다. 금융 기관에는 처리하는 거래의 종류에 따라 적용되는 규정이 다양합니다.
예를 들어, 결제 업계 데이터 보안 표준의 가장 최신 버전인 PCI DSS 4.0은 신용 및 결제 카드 데이터와 거래를 보호하기 위해 고안된 글로벌 표준입니다. 사기 및 기타 오용을 방지하기 위한 목적으로 카드 소유자 데이터를 저장, 처리 또는 전송하는 모든 조직에 적용됩니다. 이 표준은 법은 아니지만 계약을 통해 시행되며, GDPR과 같은 다른 규정을 위반하는 데이터 침해를 방지하는 데 도움이 될 수 있습니다.
또 다른 규정인 디지털 운영 복원력 법 (DORA)은 금융 서비스 부문을 위한 구속력 있는 EU의 위험 관리 프레임워크로, 금융 기관과 제3자 제공업체 모두를 포괄합니다. DORA는 EU의 위험 관리 관행을 통합하여 보편적인 표준을 만들기 위해 고안된 기술 표준을 설정합니다.
Swift로 알려진 세계은행간 금융 통신협회는 전 세계 금융 부문에서 자금 이체의 표준을 정립한 협력 단체입니다. Swift의 고객 보안 프로그램(CSP)은 매년 업데이트되는 고객 보안 제어 프레임워크 (CSCF)를 개발했습니다. 200여 개국 11,000개 이상의 회원사가 CSCF를 사용하여 자체 보안 제어를 계획하고 규정 준수 수준을 증명하고 있습니다.
이러한 규정의 공통점은 금융 서비스 업계에서 데이터와 거래를 보호하기 위한 높은 기준을 설정한다는 것입니다. 규정 준수는 고객 데이터와 돈을 보호할 뿐만 아니라 규정 미준수로 인한 벌금 및 과태료, 평판 손상, 보안 침해 발생 시 투자자의 신뢰 상실 등 부적절한 보안으로 인한 결과로부터 기관을 보호하는 데도 도움이 됩니다.
보안 코딩은 관련 규정의 기대치와 미국 통화감독청(OCC) 또는 유럽 중앙은행(ECB)의 요구 사항을 충족하고자 하는 조직에게 견고한 초석을 제공합니다. Secure Code Warrior 또는 다른 제공업체의 플랫폼을 채택하는 근본적인 이유 중 하나는 개발자에게 실용적이고 매력적인 환경에서 안전한 코딩을 가르치는 것입니다.
이러한 종류의 교육은 특히 규정이 고정되어 있지 않기 때문에 때때로 복잡한 규정 요건을 다룰 때 큰 도움이 됩니다. 규정은 항상 진화하며 새롭고 종종 더 정교한 요구 사항을 추가합니다. 요건에 따라 규정이 한 해에 크게 바뀌지 않을 수도 있지만, 조직은 적어도 2년마다 상당한 변화를 예상할 수 있습니다.
예를 들어, 2024년 4월 1일부터 의무화되는 PCI DSS 4.0은 몇 가지 중요한 방식으로 PCI DSS 3.2.1(2022년 출시)을 업데이트합니다. 이는 조직이 요구 사항을 보다 유연하게 충족할 수 있는 맞춤형 접근 방식을 구현하여 체크박스 절차보다 결과에 중점을 둡니다. 또한 인증 제어, 비밀번호 길이, 공유 계정에 대한 새로운 요구사항이 추가되는 등 많은 업데이트가 이루어졌습니다. 또한 조직은 각 요건을 충족하기 위한 역할과 책임을 명확하게 정의해야 합니다.
또한 버전 4.0에서는 맞춤형 및 사용자 지정 소프트웨어를 개발하는 개발자가 12개월에 한 번 이상 보안 설계 및 코딩 기술, 테스트 도구를 사용하는 경우 도구를 사용하여 취약점을 탐지하는 방법 등 소프트웨어 보안에 대한 교육을 받도록 요구합니다. 또한 모의 침투 테스트 중에 발견된 모든 취약점은 그 심각성에 관계없이 수정해야 하며, 팀은 성공적인 수정 사항을 확인하기 위해 2차 모의 침투 테스트를 수행하도록 규정하고 있습니다.
규제는 일반적으로 점진적으로 변경되지만, 중대한 위반이 발생하면 갑작스럽고 광범위한 변경이 이루어질 수 있는 이벤트 중심적인 측면도 있습니다. 예를 들어 1990년대 중반에 발생한 8,700만 개의 JP모건 체이스 계좌 유출 사건은 규제 환경을 뒤흔들었고, 규제 당국은 개발자/기술 커뮤니티에 대한 기대치를 높이고 은행이 취하고 있는 조치와 유출로부터 얻은 교훈을 어떻게 적용하고 있는지에 대한 증거를 제출하도록 요구했습니다.
이러한 요구 사항을 충족하는 데 사용되는 코드의 품질은 새로운 기능이 얼마나 잘 작동하는지에 큰 영향을 미치며, 기업이 매년 요구되는 길고 상세한 PCI DSS 준수 보고서를 작성할 때 중요한 역할을 할 수 있습니다. 규정이 더욱 복잡해짐에 따라 시큐어 코딩의 영향력은 그에 상응하는 수준으로 커져 조직의 소프트웨어에 대한 위험을 줄이고 통제력을 높이는 데 상당한 차이를 만들어냅니다.
규정 준수는 고객과의 신뢰 구축의 중요성 때문에 금융 기관에 필수적입니다. 또한 보안 코딩은 고객 충성도를 구축하는 데 도움이 되는 신뢰할 수 있는 소프트웨어와의 원활한 상호 작용에 많은 부분이 달려 있기 때문에 고객 경험을 개선하는 데 도움이 될 수 있습니다.
새로운 애플리케이션과 서비스를 만드는 데 들어가는 코딩은 기업 전체에 영향을 미칩니다. 빠르게 변화하는 비즈니스 환경에서 효율성을 높이고, 클라우드 마이그레이션을 관리하고, 다른 기능을 구현하는 데 필수적입니다. 하지만 코딩은 반드시 안전해야 하며 비즈니스 성공을 위해 규정 준수 요건을 충족해야 합니다.
트렌드 3: 애자일 학습
인공지능 모델이 확산되면서 인공지능이 사람들의 일자리를 빼앗아갈 것이라는 우려가 다시 살아나고 있습니다. 부기, 고객 서비스, 법률 사무원, 콘텐츠 제작자 등 일부 직종의 사람들은 걱정할 수 있지만, 소프트웨어 개발자는 자신의 일자리를 빼앗지는 않겠지만 코드 작성과 같이 시간이 많이 걸리거나 반복적인 작업을 대신해주는 유용한 비서로 AI를 환영할 가능성이 더 높습니다.
사실 코드 작성은 개발자가 하는 일의 일부에 불과합니다. GitLab의 2023 글로벌 데브섹옵스 보고서에서 대부분의 개발자는 업무 시간의 약 1/4을 코드 작성에 소비한다고 답했습니다. 나머지는 코드 개선(17%), 테스트(11%), 회의 참석 또는 기타 관리 업무(역시 17%) 등 다른 업무로 나뉘어져 있습니다.
코드 개선은 AI 모델이 코드를 생성할 때 더욱 중요하게 부각될 업무의 한 측면입니다. AI는 코드 생성에 속도와 효율성을 더해 주지만, 그 코드를 전적으로 신뢰할 수는 없습니다. AI 모델이 생성한 오류, 편향성, 취약한 코드의 예는 무수히 많습니다. 보안에 숙련된 개발자는 AI가 생성한 코드를 면밀히 검사하여 취약점을 수정하고 소프트웨어가 개발 표준을 준수하는지 확인해야 합니다.
개발자가 AI로 생성된 코드로 작업하려면 보안 모범 사례와 잘못된 코딩 패턴을 발견하는 능력과 관련하여 기존 기술을 연마하고 새로운 기술을 습득해야 합니다. 적절한 교육을 받은 개발자는 배포 전에 AI 모델의 실수를 발견하고 AI를 사용하여 개발을 가속화할 수 있는 이점을 강화할 수 있습니다.
그러나 필요한 기술은 복잡하기 때문에 표준적이고 정적인 교육 방법만으로는 배우거나 강화할 수 없습니다. 개발자는 업무상 여유 시간이 많지 않으며, 코드를 신속하게 개발하고 배포해야 한다는 압박을 그 어느 때보다 많이 받습니다. 개발자는 이미 하고 있는 업무에 적합한 방식으로 자신의 기술을 향상시킬 수 있어야 합니다.
조직은 개발자에게 안전한 코딩을 위한 실무적인 접근 방식을 취하고 소프트웨어의 취약점 수를 크게 줄이는 것으로 입증된 애자일 기반의 완전한 교육 프로그램을 제공해야 합니다.
애자일 교육은 오래되었지만 여전히 사용되는 COBOL부터 Google Go로 작성된 고급 새 도구에 이르기까지 개발자가 접하게 될 프로그래밍 언어를 포함하도록 맞춤화할 수 있습니다. 시각적, 청각적, 구두, 직접 실습 등 개발자가 선호하는 학습 방식에 적합한 형식으로 고급 콘텐츠를 제공하고 개별 개발자와 업무 일정에 가장 적합한 속도로 전달하도록 설계할 수 있습니다.
또한 직원의 특정 역할과 필요에 맞게 교육을 맞춤화할 수도 있습니다. 플랫폼은 피드백 루프를 활용하여 콘텐츠를 개선하고 개발자가 특정 영역에서 취약한 부분을 인식하여 해당 영역을 다루도록 콘텐츠를 자동으로 타겟팅할 수 있습니다.
또한 Secure Code Warrior 에서 제공하는 것과 같은 학습 프로그램은 지루하고 건조한 강의실 스타일의 교육 과정으로 보안 교육을 제공하는 대신 실제 문제의 맥락에서 개발자의 참여를 유도하는 대화형 마이크로버스트로 나누어 최적의 맞춤형 교육을 제공합니다. 또한 마이크로러닝은 직원이 필요할 때마다 언제든지 액세스할 수 있습니다.
애자일 기반 교육은 코딩 오류를 줄이는 데 효과적인 것으로 입증되었습니다. Secure Code Warrior 의 연구에 따르면 개발자는 이미 프로덕션에 들어가기 전에 코드의 약 26%를 재작업한다고 합니다. 이는 개발자 1인당 주당 약 13.5시간(연간 약 700시간)을 기술 부채를 정리하는 데 소비하는 셈입니다. 코드를 수정하는 데 소요되는 시간은 생산성을 저해하고 개발 주기를 늦춥니다.
개발자의 67%가 취약점이 있는 코드를 배포한 적이 있다고 인정하는 등 이러한 실수가 모두 적발되는 것은 아닙니다. 또한 조직은 AI, 오픈 소스 리포지토리 및 타사 등 다른 소스의 코드를 사용하고 있습니다. 이러한 소스는 그 어느 때보다 많은 양의 코드가 필요한 시기에 생산성을 높이는 데 도움이 되지만 코드 베이스의 취약성 및 오류 위험도 증가시킵니다.
애자일 기반 교육은 이러한 추세를 막는 데 도움이 될 수 있습니다. 애자일 기반 교육은 개발자가 직접 만든 코드든, AI든, 타사에서 만든 코드든, 코드의 결함을 발견하는 데 더 능숙해져 1차 방어선을 강화할 수 있습니다. 연구의 일환으로 Secure Code Warrior 에서 75,000 명의 개발자(전체 개발자의 약 30%)의 데이터를 조사한 결과, 애자일 기반 교육을 통해 보안을 공부한 개발자는 그렇지 않은 개발자보다 취약점을 53% 더 적게 발견한 것으로 나타났습니다. 이러한 기술을 AI가 생성한 코드를 검사하는 데 적용하는 개발자는 소프트웨어가 프로덕션에 들어가기 전에 AI 파트너의 실수를 더 빨리 정리할 수 있습니다.
금융, HR 및 학생/교직원 라이프사이클 관리 클라우드 애플리케이션을 제공하는 Workday의 개발자들은 Secure Code Warrior의 애자일 기반 교육을 통해 교육의 목적을 명확히 파악하고 코드베이스 및 소프트웨어 라이프사이클 내에서 문제를 식별하고 조치를 취하는 방법을 빠르게 배웠습니다.
Workday의 경험은 민첩한 실습 교육이 어떤 효과를 낼 수 있는지 보여주는 명확한 예입니다. Secure Code Warrior 와 파트너 관계를 맺기 전, Workday는 개발자들이 슬라이드쇼 기반의 보안 교육에 흥미를 느끼지 못한다는 사실을 알게 되었습니다. 그러나 전체 개발자 커뮤니티는 개발자의 요구와 학습 선호도에 맞게 맞춤화된 Secure Code Warrior 교육에 좋은 반응을 보였습니다. 그리고 그 결과는 그 자체로 증명되었습니다. 한 예로, 더블린의 한 팀은 연간 4,662건의 보안 문제를 경험하던 것이 단 18개월 만에 전혀 발생하지 않게 되었습니다.
점점 더 정교해지는 공격이 만연한 위협 환경에서 금융 서비스 기업은 데이터와 애플리케이션을 안전하게 보호하기 위해 최선을 다해야 합니다. 소프트웨어 개발 수명 주기(SDLC) 초기에 안전한 코드를 만드는 것은 보안의 핵심 요소입니다. 적절한 종류의 애자일 교육을 받은 개발자는 소프트웨어의 보안을 보장하는 동시에 회사의 전반적인 위험을 줄이기 위해 많은 일을 할 수 있습니다.
트렌드 4: 써드파티 앱 및 API의 성장
오늘날의 초연결 비즈니스 환경에서는 진공 상태에서 운영되는 기업은 없습니다. 금융 기관은 특정 서비스를 제공하기 위해 다른 회사와 파트너십을 체결하고, 일상적인 커뮤니케이션과 거래에서 타사 앱을 사용하며, 많은 경우 외부 계약업체가 소프트웨어 코드를 작성합니다. 기업 내 개발자들도 오픈 소스 소프트웨어 리포지토리를 활용하고 있으며, 점점 더 많은 애플리케이션을 개발할 때 AI가 생성한 코드를 활용하고 있습니다.
소프트웨어의 출처에 관계없이 금융 서비스 회사를 이용하는 사람들은 자신이 사용하는 모든 애플리케이션에 동일한 수준의 보안이 적용되기를 기대합니다. 모든 거래 또는 정보 교환에서 호스트 회사는 여전히 고객의 데이터에 대한 책임이 있습니다. 그리고 규제 당국은 금융 기관이 규정 미준수에 대한 책임을 제3자에게 전가하는 것을 허용하지 않습니다.
금융 기관은 어떻게 모든 애플리케이션의 보안과 안정성을 보장할 수 있을까요? 개발 프로세스를 시작할 때 개발자에게 안전한 소프트웨어 코드를 작성하는 데 필요한 기술을 제공하는 동시에 사용 중인 타사 코드의 부족한 부분을 파악하는 것부터 시작해야 합니다.
기업은 개발자에게 보안 코드에 대해 가르치는 민첩한 실습 교육 프로그램을 구현하면 이점을 얻을 수 있습니다. 보안 코딩 교육을 받은 개발자는 그렇지 않은 개발자보다 취약점이 53% 더 적은 코드를 생성한다는 결과는 분명합니다. 또한 타사에서 생성한 코드에서 더 많은 코딩 실수를 발견할 수 있습니다.
회사 자체 개발자가 보안 코드 작성에 대한 교육을 받았더라도 타사 코드의 잠재적인 결함을 해결해야 합니다. 많은 개발자 팀은 정규직(FTE)과 계약직으로 구성되어 있으며, 특히 1차, 2차, 3차 등 전국 또는 전 세계에 흩어져 있는 대규모 기관의 경우 더욱 그렇습니다.
수십 년 전, 업계에서는 기업들이 새로운 애플리케이션에 대한 수요를 따라잡기 위해 소프트웨어 개발을 아웃소싱하려는 움직임이 활발했습니다. 이러한 추세는 5년 또는 10년 동안 지속되다가 다시 반전되기 시작했지만, 여전히 금융 기관 내 일부 지역에서는 FTE와 계약업체가 결합된 팀이 남아 있습니다. 수많은 애플리케이션이 지속적으로 개발되고 있기 때문에 일부 애플리케이션은 아웃소싱될 것입니다.
그러나 코드의 개발 주체가 FTE이든 타사이든 관계없이 고객과 규제 기관의 기대치는 동일합니다. 회사에서 사용하는 모든 소프트웨어 코드는 동일한 표준을 충족해야 하며, 이는 모든 개발자가 동일한 수준의 역량을 갖추고 있어야 함을 의미합니다.
회사는 계약상 계약자에게 교육을 의무화하는 데 제한이 있을 수 있지만, 최소한 교육을 제공하는 것이 중요합니다. 2016년에 테크 칼리지를 개설한 Capital One과 같이 자체 교육 프로그램을 만든 금융 회사도 있습니다. Synchrony Bank, 북미 뱅크카드 등 다른 많은 은행과 금융 회사들도 인재의 수준을 높이기 위해 애자일 지속 학습이라는 개념을 받아들이고 있습니다.
기업에서는 개발자에게 특정 시스템에 대한 액세스를 허용하기 전에 특정 인증을 요구하는 '라이선스 투 코드' 접근 방식을 취할 수도 있습니다.
IT 기술 부족이 계속되는 가운데, 기업들은 공급이 부족한 시장에서 인재를 확보하기 위해 경쟁하기보다는 현재 직원의 역량을 강화하는 방법을 택하고 있습니다. 교육을 제공하면 자신의 커리어를 발전시킬 수 있는 직원과 회사에 필요한 기술을 갖춘 직원을 확보할 수 있는 회사 모두에게 이익이 됩니다. 또한 교육 프로그램은 직원 경험을 개선하여 직원 유지율을 높일 수 있습니다.
현재 환경에서는 지속적인 학습이 중요합니다. 사이버 보안 환경은 지속적으로 진화하고 더욱 정교해지고 있습니다. 또한 규제 기관의 요구 사항도 매년 변경되어 규정을 준수하는 데 따르는 복잡성이 증가하고 있습니다. 이러한 요건을 충족하지 못하면 벌금, 기타 비용 및 평판 손상을 초래하여 회사에 중대한 영향을 미칠 수 있습니다.
기업들은 1년에 한 번씩 실시하는 부담스러운 체크박스 형식의 규정 준수 교육에서 벗어나 개발자와 기타 직원들의 보안에 대한 참여도를 높이기 위해 연중 내내 교육을 실시하는 방향으로 나아가고 있습니다. 핵심은 직원들이 필요할 때 필요한 교육을 각자의 업무 환경에 적합한 형식으로 제공할 수 있는 민첩한 플랫폼을 갖추는 것입니다.
예를 들어, Secure Code Warrior의 플랫폼을 채택한 영국의 소프트웨어 솔루션 회사 Sage는 분기별로 개발자가 현재 사용하고 있는 기술을 대상으로 한 교육을 실시하고 있습니다.
Sage의 보안 전문가인 매즈 하워드는 최근 SCW와의 웨비나에서 교육이 최대한 개인화되어 있으며 개발자의 작업 방식에 맞춰져 있다고 말했습니다. 또한 Sage는 피드백 루프를 통해 양방향 커뮤니케이션을 장려합니다. 이 교육은 체크박스 규정 준수보다는 참여에 더 중점을 두고 있으며, 정기적으로 예정된 tournaments 및 보안 문제에 대한 직원의 참여를 높이기 위해 고안된 다른 회사 이니셔티브와 교육 프로그램을 연계하기 위한 노력을 기울이고 있습니다.
그 결과 지난 한 해 동안 Sage는 소프트웨어 문제를 해결하는 데 걸리는 평균 시간이 82% 단축되었다고 하워드는 말합니다. 또한 직원들의 참여도도 높아졌습니다.
하워드는 코딩은 보안 문화 구축의 일부이며 궁극적인 목표는 고객과의 신뢰를 구축하는 것이라고 말했습니다. 보안 문화는 사람들의 태도, 인식, 신념을 중심으로 형성되며, 경영진을 포함한 회사 전체의 사람들이 참여해야 합니다. 쉽게 소모할 수 있는 마이크로버스트로 목표에 맞는 교육을 제공하는 유연한 보안 코드 교육 프로그램은 이러한 문화의 필수적인 부분이 될 수 있습니다.
트렌드5: 팀/공급업체 전반에서 ROI에 대한 집중 강화
금융 서비스 산업은 은행 및 재무 관리부터 신용카드 및 디지털 결제 서비스에 이르기까지 광범위한 분야를 포괄합니다. 보험도 이 범주에 속하는 경우가 많습니다. 각 부문의 기업들은 취급하는 거래와 국내 기업인지 다국적 기업인지에 따라 중복되는 경우가 많지만 서로 다른 규정 준수 요건에 직면합니다.
그러나 기업이 종사하는 분야에 관계없이 경제적 고려 사항은 비즈니스 전략에 영향을 미칩니다. 주식 시장이 호조를 보이고 있지만 주식 시장이 항상 미래의 성공을 보장하는 것은 아닙니다. 한편, 금융권에서는 경기 침체와 기타 심각한 문제에 대한 불안감이 커지고 있습니다.
그 결과, 많은 조직이 허리띠를 졸라매고 더 높은 효율성을 추구하며 새로운 비용에 대한 투자 수익률(ROI)의 중요성을 강조하고 있습니다. ROI를 높이는 한 가지 방법은 보안 코드 학습에 투자하는 것입니다. 엔지니어링과 보안이 만나는 소프트웨어 개발 수명 주기(SDLC)에서 프로세스 초기에 안전한 코드를 만들고 가능한 한 빨리 결함을 수정하면 비즈니스에 명확하고 정량화할 수 있는 이득을 가져다줄 수 있습니다.
데이터는 모든 금융 서비스 기관의 핵심이며, 안전하지 않고 비효율적인 소프트웨어로 데이터를 처리하는 데 드는 비용은 빠르게 증가할 수 있습니다. Secure Code Warrior의 연구에 따르면 소프트웨어 품질 문제로 인해 미국 기업이 2022년에 총 2조 4,100억 달러의 비용을 지출할 것으로 예상됩니다. 그리고 이러한 비용은 개발자에게도 전가되어 기술 부채를 유지 관리하고 해결하는 데 점점 더 많은 시간을 소비하게 됩니다. 현재 개발자들은 기술 부채를 유지 관리하는 데 전체 시간의 약 3분의 1을 소비하지만 2025년에는 그 비율이 40%에 달할 것으로 예상됩니다.
안전한 코딩 관행에 대한 애자일 기반 교육은 이러한 부정적인 수치를 크게 줄일 수 있습니다. Secure Code Warrior 에서 교육을 받은 개발자는 교육을 받지 않은 동료보다 취약점을 53% 더 적게 발견하고, 수정 시간이 절반으로 줄어든 것으로 나타났습니다. 한 대형 글로벌 은행에서는 SCW 교육을 통해 취약점이 50% 감소하여 SQL 인젝션 결함과 크로스 사이트 스크립팅(XSS)을 사실상 제거했습니다.
애자일 보안 코드 교육의 이점은 조직이 더 멀리 이동할수록 훨씬 더 커집니다. 예를 들어 기술 부채의 비용은 테스트 중에 해결하면 절반으로 줄어들지만 코딩 단계에서 해결하면 14배나 더 줄어듭니다.
시큐어 코딩의 영향은 ROI에서 측정 가능한 이득을 가져올 수 있습니다. 한 예로, 대형 금융 기술 회사인 Envestnet은 주로 OWASP(Open Worldwide Application Security Project)의 10대 웹 애플리케이션 위험에 초점을 맞춘 수동적인 '파워포인트에 의한 죽음'의 보안 및 규정 준수 교육을 넘어서고 싶었습니다.
Envestnet은 안전한 코드를 작성하고 SDLC 초기에 문제를 해결하는 데 중점을 두는 시프트 레프트 전략을 채택했지만, 먼저 회사의 기존 보안 교육에 대한 개발자들의 참여 부족을 해결해야 했습니다. SCW를 통해 실제 시나리오에 대한 교육을 포함하는 4단계 실습 프로그램을 구현하고 각 성취 수준에 따라 개발자에게 인증서를 수여하여 애플리케이션 보안을 개선할 뿐만 아니라 개발자의 경력 향상에도 도움을 주었습니다.
처음 두 레벨은 보안 인식에 중점을 두었고, 레벨 3과 레벨 4는 보안 챔피언을 인정했습니다. 교육 프로그램에는 tournaments 이 포함되어 개발자의 참여도도 높아졌습니다. 약 6개월 간격으로 진행된 첫 두 번의 tournaments, 사이에 참여자가 두 배로 증가했습니다.
결과: SCW 교육을 받은 개발자는 그렇지 않은 개발자보다 2.7배 더 많은 취약점을 수정했으며, 수정 비율도 120% 증가했습니다. 또한 SCW 교육을 받은 개발자는 개발자당 4.5건의 취약점 문제를 해결한 반면, 교육을 받지 않은 동료 개발자는 개발자당 1.82건의 취약점 문제를 해결했습니다.
애자일 보안 코딩 프로그램은 제공하는 금융 서비스의 유형, 시스템 규모 및 개별 요구 사항에 따라 각 회사에 맞게 맞춤화할 수 있습니다.
예를 들어, 기업은 PCI DSS(결제 카드 업계 데이터 보안 표준), OWASP 애플리케이션 보안 검증 표준(ASVS) 또는 기타 요구 사항 등 규정을 준수해야 합니다. 그리고 항상 안전한 코드를 작성하고 있는지 확인해야 합니다. 하지만 단순히 체크 박스에 체크하는 교육 프로그램만으로는 안전한 코딩 방법을 가르치거나 고도로 훈련되고 보안에 대한 인식을 갖춘 개발자를 보유함으로써 얻을 수 있는 효율성 향상에 도달하기에는 역부족입니다.
SDLC 초기에 보안 코드를 도입하고 제품 수명 주기 동안 이를 유지 관리하는 전략을 지원하는 실습 교육은 위험을 줄이고 출시 시간을 단축하여 필연적으로 ROI를 높입니다. 시스템, 프로세스, 심지어 사이버 공격이 점점 더 정교해짐에 따라 시큐어 코딩이 절실히 요구되고 있습니다. 시큐어코딩은 보안뿐만 아니라 모든 조직의 수익에도 큰 변화를 가져올 수 있는 힘을 가지고 있습니다.
결론
금융 서비스 기관은 사람들의 돈과 매우 민감한 개인 정보라는 매우 귀중한 상품을 다루지만, 어떤 면에서 조직이 가질 수 있는 가장 소중한 것은 신뢰입니다. 이는 충성도 높은 고객을 유치하고 유지하는 데 필수적입니다. 그리고 많은 금융 거래가 디지털 방식으로 처리되기 때문에 이러한 신뢰와 소프트웨어의 보안은 안전한 소프트웨어 코드에 달려 있습니다.
복잡한 하이브리드 클라우드 환경에서 금융 조직은 소프트웨어 개발 수명주기(SDLC) 초기 단계부터 보안을 도입하는 방향으로 전환해야 합니다. 즉, 개발자가 안전한 코드를 작성하도록 교육하고 AI가 생성하거나 타사 코드의 취약점을 식별할 수 있어야 합니다.
개발자가 1분에 1마일씩 일하고 끊임없이 증가하는 수요를 충족하기 위해 새로운 애플리케이션과 서비스를 개발하는 데 익숙한 많은 기업에서 문화적 변화가 일어나고 있습니다. 핵심은 회사 내에 보안 문화를 조성하고 민첩한 실습형 보안 코드 교육을 통해 개발자의 참여를 유도하는 것입니다. 이러한 접근 방식의 이점은 분명합니다.
Secure Code Warrior의 연구에 따르면 SCW를 통해 안전한 코딩 방법을 배운 개발자는 교육을 받지 않은 개발자보다 취약점이 53% 더 적게 발생하여 많은 시간과 비용을 절약할 수 있는 것으로 나타났습니다.
현재 개발자들은 소프트웨어 코드 재작업에 전체 시간의 약 3분의 1을 낭비하고 있으며, 그 중 67%는 취약점을 알고도 코드를 배포했다고 인정합니다. SCW 고객은 애자일 학습의 결과로 위험 감소와 개발자 생산성 모두에서 2배에서 3배의 이득을 얻었습니다.
그리고 조직이 SDLC에서 교대 근무를 더 늦게 시작할수록 비용 절감 효과는 더 커집니다. 테스트 단계에서 해결하면 비용을 절반으로 줄일 수 있지만 코딩 단계에서 해결하면 14배까지 줄일 수 있습니다.
애자일 교육 플랫폼은 회사와 개발자 모두에게 도움이 됩니다. 개발자는 새로운 기술을 습득하여 경력을 쌓을 수 있고, 숙련된 개발자는 효과적인 교육과 보람 있는 업무 경험을 제공하는 회사에 계속 근무할 가능성이 높기 때문에 회사에도 이익이 됩니다.
개발자의 92%가 더 많은 교육을 원한다고 답했습니다. 하지만 올바른 종류의 교육이어야 합니다. 기존의 정형화된(또는 슬라이드쇼에 의한) 규정 준수 교육은 눈만 굴리고 마지못해 요구 사항을 충족하는 것으로 받아들일 수 있지만, SCW와 같은 애자일 플랫폼은 개발자의 참여를 유도하는 것으로 나타났습니다. 개발자가 작업 중인 프로젝트와 사용하는 프로그래밍 언어에 맞게 교육을 제공할 수 있습니다. 또한 개발자가 현재 직면하고 있는 실제 문제를 해결하기 위해 쉽게 소비할 수 있는 대상별 마이크로버스트로 교육을 제공하면 교육의 가치와 참여도가 높아집니다.
보안 코드 교육은 금융 서비스 기관의 사이버 보안, 성능, 궁극적으로 수익성을 향상시켜 보안 우선 조직으로 전환하는 문화적 변화의 핵심이 될 수 있습니다.
Sage가 보안 코드 학습 프로그램을 구축하는 모범 사례를 구현한 방법을 알아보고, 보안 코드 학습 프로그램에서 해야 할 일과 하지 말아야 할 일을 알아보고, 생산성 향상과 시간 절약 등 비즈니스 및 재무에 미치는 영향을 확인해 보세요.
발견하기