모든 개발자는 잠재적 고용주에게 이 백만 달러짜리 질문을 던져야 한다
모든 개발자는 반드시 스스로에게 한 가지 질문을 던져야 합니다. 신입이든 베테랑이든 상관없이요. 그 답은 매우 중요합니다. 애자일 환경에서는 이 질문이 더욱 중요해집니다. 왜냐하면 이 질문이 소프트웨어 엔지니어링 분야에서 여러분의 성공 정도와 다음 고용주에게 제공할 가치에 직접적인 영향을 미치기 때문입니다.
이것은 백만 달러짜리 질문입니다. 사실, 이것은 수백만 달러짜리 질문입니다!
당신은 제가 안전하게 코드를 작성하도록 돕는 데 전념하고 있나요?
현재 데이터 유출의 평균 비용은 360만 달러입니다. 귀사가 올해 해킹당할 확률은 무려 25%에 달합니다. 이러한 사실을 고려할 때, 개발자들이 대학을 졸업하지 않았거나 그들의 DNA에 안전한 코딩 및 보안 역량이 내재되어 있지 않다는 점에 저를 포함한 많은 사람들이 좌절감을 느끼고 있습니다.
왜 그럴까요? 소프트웨어 엔지니어링은 여전히 비교적 젊은 직업입니다. 핵심은 항상 사람들에게 코드를 우아하고 실용적으로 빠르게 구축하는 방법을 가르치는 데 있었지만, 코드 안전성을 보장하는 데 대한 관심은 매우 제한적이었습니다. 방법론, 기술, 언어 및 기회의 변화 속도는 이러한 핵심 기술 격차를 더욱 심화시킬 뿐입니다.
우리는 학술 체계를 급격히 바꾸지 않을 것이므로, 개발자와 기업 모두 개발자가 업무 중 안전한 코딩 기술을 습득해야 한다는 점을 예상해야 합니다. 어떤 직업에서는 실수를 통해 배울 수 있지만, 다른 직업에서는 그렇지 않습니다. 사이버 보안도 마찬가지입니다.
사실은 우리가 개발자 재직 중 보안 교육 측면에서도 제대로 수행하지 못하고 있음을 보여줍니다. 세계 대부분의 주요 보안 취약점은 해커가 컴퓨터 네트워크에 대한 권한을 획득하여 가치 있는 데이터에 접근하고 수집할 수 있게 하는 코딩 오류로 인해 발생합니다. 2017년 버라이즌 데이터 유출 조사 보고서(DBIR)에 따르면, 전체 취약점의 30%가 웹 애플리케이션 보안 취약점으로 직접 발생했으며, 이 결론은 2013년 이후 DBIR 보고서에서 일관되게 유지되고 있습니다.
이 2017년 글로벌 DevSecOps 기술 조사 (2017년 8월 발표)는 우리가 이미 알고 있던 사실을 확인시켜 줍니다: DevOps 전문가의 65%가 IT 분야에 진입할 때 DevSecOps에 대한 이해가 매우 중요하다고 생각하지만, 70%는 정규 교육을 통해 필요한 훈련을 받지 못해 오늘날의 DevSecOps 환경에서 성공할 수 없다고 답했습니다.
응답한 채용 관리자의 약 40%가 가장 찾기 어려운 직원은 충분한 보안 테스트 지식을 갖춘 다목적 고급 개발자라고 답했습니다. 응답자의 70%는 현재 직책을 수행하기에 받은 보안 교육이 부족하다고 밝혔습니다. 실제로, 4% 미만의 응답자만이 충분한 기회를 가졌다고 답했습니다.
내가 거의 10년 동안 여러 전문 화이트햇 해커 팀과 협력하며 일할 때, 나는 이를 직접 목격했습니다. 안타깝게도 우리는 대기업, 스타트업, 정부 기관을 침투할 때마다 항상 똑같은 취약점을 발견하곤 했습니다.
개발자가 채용될 때 자신의 의견을 분명히 밝혀야 하는 이유가 바로 여기에 있습니다. 잠재적 고용주가 개발자 보안 교육을 진지하게 받아들이지 않는다면, 어떤 회사에 합류할지 신중히 고려해야 합니다.
두 번째로 물어봐야 할 질문은 그들이 어떻게 교육을 제공할 계획인지입니다. 직접 참여하고 상호작용하는 방식일까요? 슬라이드, 동영상, 클릭 가능한 애니메이션 또는 추상적인 논의로 취약점 관련 개발자 보안 교육을 진행하는 것은 직접적인 프로그래밍 능력 향상에 도움이 되지 않을 가능성이 높습니다. 그들이 최신 취약점에 대한 정보를 지속적으로 제공할 수 있을까요? 배울 수 있는 보안 협회나 커뮤니티가 있을까요? 도움이 필요할 때 문의할 수 있는 보안 전문가가 있을까요?
안전한 코딩 기술에 대한 헌신은 특정 코딩 프레임워크 내에서 실습 과제를 수행하고 다양한 시나리오에서 서로 다른 취약점에 직면함으로써 지속적으로 학습해야 합니다. SQL 인젝션을 단 하나의 예시로 배울 수는 없습니다. 여러 유형의 다양한 사례를 접해야만 이러한 위험한 코딩 패턴을 식별하는 법을 익힐 수 있습니다.
한 고객사는 개발자들에게 2개월 동안 매일 5분간 챌린지를 수행하도록 요구했습니다. 이 프로그램은 교육 전후로 그들의 기술을 평가했으며, 수백 명의 개발자들의 보안 코딩 능력이 60% 향상된 것을 확인했습니다. 이는 개발 주기 후반에 보안 취약점을 발견하고 수정하는 데 소요되는 자원을 줄여 장기적으로 상당한 비용을 절감할 수 있음을 의미합니다. 즉, 해커들이 귀사의 코드를 이용해 회사 데이터를 침해하지 못하게 된다는 뜻입니다.
IDC 연구에 따르면, 2014년 전 세계에는 1,100만 명의 전문 개발자가 있었습니다. 2015년 버닝 글래스(Burning Glass)는 무려 700만 개의 직업이 프로그래밍 기술을 필요로 하며, 프로그래밍 관련 일자리의 성장 속도가 시장 평균보다 12% 더 빠르다는 사실을 발견했습니다.
그곳에는 많은 소프트웨어 관련 업무가 있습니다. 따라서 입장을 분명히 하고, 자신과 고객의 안전을 보호하기 위해 노력하는 고용주를 선택하십시오. 더 나아가, 당신에게 투자하는 회사를 선택하십시오.
모든 개발자는 반드시 스스로에게 한 가지 질문을 던져야 합니다. 신입이든 베테랑이든 상관없이요. 그 답은 매우 중요합니다. 애자일 환경에서는 이 질문이 더욱 중요해집니다. 왜냐하면 이 질문이 소프트웨어 엔지니어링 분야에서 여러분의 성공 정도와 다음 고용주에게 제공할 가치에 직접적인 영향을 미치기 때문입니다.
이것은 백만 달러짜리 질문입니다. 사실, 이것은 수백만 달러짜리 질문입니다!
당신은 제가 안전하게 코드를 작성하도록 돕는 데 전념하고 있나요?
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
모든 개발자는 반드시 스스로에게 한 가지 질문을 던져야 합니다. 신입이든 베테랑이든 상관없이요. 그 답은 매우 중요합니다. 애자일 환경에서는 이 질문이 더욱 중요해집니다. 왜냐하면 이 질문이 소프트웨어 엔지니어링 분야에서 여러분의 성공 정도와 다음 고용주에게 제공할 가치에 직접적인 영향을 미치기 때문입니다.
이것은 백만 달러짜리 질문입니다. 사실, 이것은 수백만 달러짜리 질문입니다!
당신은 제가 안전하게 코드를 작성하도록 돕는 데 전념하고 있나요?
현재 데이터 유출의 평균 비용은 360만 달러입니다. 귀사가 올해 해킹당할 확률은 무려 25%에 달합니다. 이러한 사실을 고려할 때, 개발자들이 대학을 졸업하지 않았거나 그들의 DNA에 안전한 코딩 및 보안 역량이 내재되어 있지 않다는 점에 저를 포함한 많은 사람들이 좌절감을 느끼고 있습니다.
왜 그럴까요? 소프트웨어 엔지니어링은 여전히 비교적 젊은 직업입니다. 핵심은 항상 사람들에게 코드를 우아하고 실용적으로 빠르게 구축하는 방법을 가르치는 데 있었지만, 코드 안전성을 보장하는 데 대한 관심은 매우 제한적이었습니다. 방법론, 기술, 언어 및 기회의 변화 속도는 이러한 핵심 기술 격차를 더욱 심화시킬 뿐입니다.
우리는 학술 체계를 급격히 바꾸지 않을 것이므로, 개발자와 기업 모두 개발자가 업무 중 안전한 코딩 기술을 습득해야 한다는 점을 예상해야 합니다. 어떤 직업에서는 실수를 통해 배울 수 있지만, 다른 직업에서는 그렇지 않습니다. 사이버 보안도 마찬가지입니다.
사실은 우리가 개발자 재직 중 보안 교육 측면에서도 제대로 수행하지 못하고 있음을 보여줍니다. 세계 대부분의 주요 보안 취약점은 해커가 컴퓨터 네트워크에 대한 권한을 획득하여 가치 있는 데이터에 접근하고 수집할 수 있게 하는 코딩 오류로 인해 발생합니다. 2017년 버라이즌 데이터 유출 조사 보고서(DBIR)에 따르면, 전체 취약점의 30%가 웹 애플리케이션 보안 취약점으로 직접 발생했으며, 이 결론은 2013년 이후 DBIR 보고서에서 일관되게 유지되고 있습니다.
이 2017년 글로벌 DevSecOps 기술 조사 (2017년 8월 발표)는 우리가 이미 알고 있던 사실을 확인시켜 줍니다: DevOps 전문가의 65%가 IT 분야에 진입할 때 DevSecOps에 대한 이해가 매우 중요하다고 생각하지만, 70%는 정규 교육을 통해 필요한 훈련을 받지 못해 오늘날의 DevSecOps 환경에서 성공할 수 없다고 답했습니다.
응답한 채용 관리자의 약 40%가 가장 찾기 어려운 직원은 충분한 보안 테스트 지식을 갖춘 다목적 고급 개발자라고 답했습니다. 응답자의 70%는 현재 직책을 수행하기에 받은 보안 교육이 부족하다고 밝혔습니다. 실제로, 4% 미만의 응답자만이 충분한 기회를 가졌다고 답했습니다.
내가 거의 10년 동안 여러 전문 화이트햇 해커 팀과 협력하며 일할 때, 나는 이를 직접 목격했습니다. 안타깝게도 우리는 대기업, 스타트업, 정부 기관을 침투할 때마다 항상 똑같은 취약점을 발견하곤 했습니다.
개발자가 채용될 때 자신의 의견을 분명히 밝혀야 하는 이유가 바로 여기에 있습니다. 잠재적 고용주가 개발자 보안 교육을 진지하게 받아들이지 않는다면, 어떤 회사에 합류할지 신중히 고려해야 합니다.
두 번째로 물어봐야 할 질문은 그들이 어떻게 교육을 제공할 계획인지입니다. 직접 참여하고 상호작용하는 방식일까요? 슬라이드, 동영상, 클릭 가능한 애니메이션 또는 추상적인 논의로 취약점 관련 개발자 보안 교육을 진행하는 것은 직접적인 프로그래밍 능력 향상에 도움이 되지 않을 가능성이 높습니다. 그들이 최신 취약점에 대한 정보를 지속적으로 제공할 수 있을까요? 배울 수 있는 보안 협회나 커뮤니티가 있을까요? 도움이 필요할 때 문의할 수 있는 보안 전문가가 있을까요?
안전한 코딩 기술에 대한 헌신은 특정 코딩 프레임워크 내에서 실습 과제를 수행하고 다양한 시나리오에서 서로 다른 취약점에 직면함으로써 지속적으로 학습해야 합니다. SQL 인젝션을 단 하나의 예시로 배울 수는 없습니다. 여러 유형의 다양한 사례를 접해야만 이러한 위험한 코딩 패턴을 식별하는 법을 익힐 수 있습니다.
한 고객사는 개발자들에게 2개월 동안 매일 5분간 챌린지를 수행하도록 요구했습니다. 이 프로그램은 교육 전후로 그들의 기술을 평가했으며, 수백 명의 개발자들의 보안 코딩 능력이 60% 향상된 것을 확인했습니다. 이는 개발 주기 후반에 보안 취약점을 발견하고 수정하는 데 소요되는 자원을 줄여 장기적으로 상당한 비용을 절감할 수 있음을 의미합니다. 즉, 해커들이 귀사의 코드를 이용해 회사 데이터를 침해하지 못하게 된다는 뜻입니다.
IDC 연구에 따르면, 2014년 전 세계에는 1,100만 명의 전문 개발자가 있었습니다. 2015년 버닝 글래스(Burning Glass)는 무려 700만 개의 직업이 프로그래밍 기술을 필요로 하며, 프로그래밍 관련 일자리의 성장 속도가 시장 평균보다 12% 더 빠르다는 사실을 발견했습니다.
그곳에는 많은 소프트웨어 관련 업무가 있습니다. 따라서 입장을 분명히 하고, 자신과 고객의 안전을 보호하기 위해 노력하는 고용주를 선택하십시오. 더 나아가, 당신에게 투자하는 회사를 선택하십시오.
모든 개발자는 반드시 스스로에게 한 가지 질문을 던져야 합니다. 신입이든 베테랑이든 상관없이요. 그 답은 매우 중요합니다. 애자일 환경에서는 이 질문이 더욱 중요해집니다. 왜냐하면 이 질문이 소프트웨어 엔지니어링 분야에서 여러분의 성공 정도와 다음 고용주에게 제공할 가치에 직접적인 영향을 미치기 때문입니다.
이것은 백만 달러짜리 질문입니다. 사실, 이것은 수백만 달러짜리 질문입니다!
당신은 제가 안전하게 코드를 작성하도록 돕는 데 전념하고 있나요?
모든 개발자는 반드시 스스로에게 한 가지 질문을 던져야 합니다. 신입이든 베테랑이든 상관없이요. 그 답은 매우 중요합니다. 애자일 환경에서는 이 질문이 더욱 중요해집니다. 왜냐하면 이 질문이 소프트웨어 엔지니어링 분야에서 여러분의 성공 정도와 다음 고용주에게 제공할 가치에 직접적인 영향을 미치기 때문입니다.
이것은 백만 달러짜리 질문입니다. 사실, 이것은 수백만 달러짜리 질문입니다!
당신은 제가 안전하게 코드를 작성하도록 돕는 데 전념하고 있나요?
현재 데이터 유출의 평균 비용은 360만 달러입니다. 귀사가 올해 해킹당할 확률은 무려 25%에 달합니다. 이러한 사실을 고려할 때, 개발자들이 대학을 졸업하지 않았거나 그들의 DNA에 안전한 코딩 및 보안 역량이 내재되어 있지 않다는 점에 저를 포함한 많은 사람들이 좌절감을 느끼고 있습니다.
왜 그럴까요? 소프트웨어 엔지니어링은 여전히 비교적 젊은 직업입니다. 핵심은 항상 사람들에게 코드를 우아하고 실용적으로 빠르게 구축하는 방법을 가르치는 데 있었지만, 코드 안전성을 보장하는 데 대한 관심은 매우 제한적이었습니다. 방법론, 기술, 언어 및 기회의 변화 속도는 이러한 핵심 기술 격차를 더욱 심화시킬 뿐입니다.
우리는 학술 체계를 급격히 바꾸지 않을 것이므로, 개발자와 기업 모두 개발자가 업무 중 안전한 코딩 기술을 습득해야 한다는 점을 예상해야 합니다. 어떤 직업에서는 실수를 통해 배울 수 있지만, 다른 직업에서는 그렇지 않습니다. 사이버 보안도 마찬가지입니다.
사실은 우리가 개발자 재직 중 보안 교육 측면에서도 제대로 수행하지 못하고 있음을 보여줍니다. 세계 대부분의 주요 보안 취약점은 해커가 컴퓨터 네트워크에 대한 권한을 획득하여 가치 있는 데이터에 접근하고 수집할 수 있게 하는 코딩 오류로 인해 발생합니다. 2017년 버라이즌 데이터 유출 조사 보고서(DBIR)에 따르면, 전체 취약점의 30%가 웹 애플리케이션 보안 취약점으로 직접 발생했으며, 이 결론은 2013년 이후 DBIR 보고서에서 일관되게 유지되고 있습니다.
이 2017년 글로벌 DevSecOps 기술 조사 (2017년 8월 발표)는 우리가 이미 알고 있던 사실을 확인시켜 줍니다: DevOps 전문가의 65%가 IT 분야에 진입할 때 DevSecOps에 대한 이해가 매우 중요하다고 생각하지만, 70%는 정규 교육을 통해 필요한 훈련을 받지 못해 오늘날의 DevSecOps 환경에서 성공할 수 없다고 답했습니다.
응답한 채용 관리자의 약 40%가 가장 찾기 어려운 직원은 충분한 보안 테스트 지식을 갖춘 다목적 고급 개발자라고 답했습니다. 응답자의 70%는 현재 직책을 수행하기에 받은 보안 교육이 부족하다고 밝혔습니다. 실제로, 4% 미만의 응답자만이 충분한 기회를 가졌다고 답했습니다.
내가 거의 10년 동안 여러 전문 화이트햇 해커 팀과 협력하며 일할 때, 나는 이를 직접 목격했습니다. 안타깝게도 우리는 대기업, 스타트업, 정부 기관을 침투할 때마다 항상 똑같은 취약점을 발견하곤 했습니다.
개발자가 채용될 때 자신의 의견을 분명히 밝혀야 하는 이유가 바로 여기에 있습니다. 잠재적 고용주가 개발자 보안 교육을 진지하게 받아들이지 않는다면, 어떤 회사에 합류할지 신중히 고려해야 합니다.
두 번째로 물어봐야 할 질문은 그들이 어떻게 교육을 제공할 계획인지입니다. 직접 참여하고 상호작용하는 방식일까요? 슬라이드, 동영상, 클릭 가능한 애니메이션 또는 추상적인 논의로 취약점 관련 개발자 보안 교육을 진행하는 것은 직접적인 프로그래밍 능력 향상에 도움이 되지 않을 가능성이 높습니다. 그들이 최신 취약점에 대한 정보를 지속적으로 제공할 수 있을까요? 배울 수 있는 보안 협회나 커뮤니티가 있을까요? 도움이 필요할 때 문의할 수 있는 보안 전문가가 있을까요?
안전한 코딩 기술에 대한 헌신은 특정 코딩 프레임워크 내에서 실습 과제를 수행하고 다양한 시나리오에서 서로 다른 취약점에 직면함으로써 지속적으로 학습해야 합니다. SQL 인젝션을 단 하나의 예시로 배울 수는 없습니다. 여러 유형의 다양한 사례를 접해야만 이러한 위험한 코딩 패턴을 식별하는 법을 익힐 수 있습니다.
한 고객사는 개발자들에게 2개월 동안 매일 5분간 챌린지를 수행하도록 요구했습니다. 이 프로그램은 교육 전후로 그들의 기술을 평가했으며, 수백 명의 개발자들의 보안 코딩 능력이 60% 향상된 것을 확인했습니다. 이는 개발 주기 후반에 보안 취약점을 발견하고 수정하는 데 소요되는 자원을 줄여 장기적으로 상당한 비용을 절감할 수 있음을 의미합니다. 즉, 해커들이 귀사의 코드를 이용해 회사 데이터를 침해하지 못하게 된다는 뜻입니다.
IDC 연구에 따르면, 2014년 전 세계에는 1,100만 명의 전문 개발자가 있었습니다. 2015년 버닝 글래스(Burning Glass)는 무려 700만 개의 직업이 프로그래밍 기술을 필요로 하며, 프로그래밍 관련 일자리의 성장 속도가 시장 평균보다 12% 더 빠르다는 사실을 발견했습니다.
그곳에는 많은 소프트웨어 관련 업무가 있습니다. 따라서 입장을 분명히 하고, 자신과 고객의 안전을 보호하기 위해 노력하는 고용주를 선택하십시오. 더 나아가, 당신에게 투자하는 회사를 선택하십시오.
모든 개발자는 반드시 스스로에게 한 가지 질문을 던져야 합니다. 신입이든 베테랑이든 상관없이요. 그 답은 매우 중요합니다. 애자일 환경에서는 이 질문이 더욱 중요해집니다. 왜냐하면 이 질문이 소프트웨어 엔지니어링 분야에서 여러분의 성공 정도와 다음 고용주에게 제공할 가치에 직접적인 영향을 미치기 때문입니다.
이것은 백만 달러짜리 질문입니다. 사실, 이것은 수백만 달러짜리 질문입니다!
당신은 제가 안전하게 코드를 작성하도록 돕는 데 전념하고 있나요?
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
모든 개발자는 반드시 스스로에게 한 가지 질문을 던져야 합니다. 신입이든 베테랑이든 상관없이요. 그 답은 매우 중요합니다. 애자일 환경에서는 이 질문이 더욱 중요해집니다. 왜냐하면 이 질문이 소프트웨어 엔지니어링 분야에서 여러분의 성공 정도와 다음 고용주에게 제공할 가치에 직접적인 영향을 미치기 때문입니다.
이것은 백만 달러짜리 질문입니다. 사실, 이것은 수백만 달러짜리 질문입니다!
당신은 제가 안전하게 코드를 작성하도록 돕는 데 전념하고 있나요?
현재 데이터 유출의 평균 비용은 360만 달러입니다. 귀사가 올해 해킹당할 확률은 무려 25%에 달합니다. 이러한 사실을 고려할 때, 개발자들이 대학을 졸업하지 않았거나 그들의 DNA에 안전한 코딩 및 보안 역량이 내재되어 있지 않다는 점에 저를 포함한 많은 사람들이 좌절감을 느끼고 있습니다.
왜 그럴까요? 소프트웨어 엔지니어링은 여전히 비교적 젊은 직업입니다. 핵심은 항상 사람들에게 코드를 우아하고 실용적으로 빠르게 구축하는 방법을 가르치는 데 있었지만, 코드 안전성을 보장하는 데 대한 관심은 매우 제한적이었습니다. 방법론, 기술, 언어 및 기회의 변화 속도는 이러한 핵심 기술 격차를 더욱 심화시킬 뿐입니다.
우리는 학술 체계를 급격히 바꾸지 않을 것이므로, 개발자와 기업 모두 개발자가 업무 중 안전한 코딩 기술을 습득해야 한다는 점을 예상해야 합니다. 어떤 직업에서는 실수를 통해 배울 수 있지만, 다른 직업에서는 그렇지 않습니다. 사이버 보안도 마찬가지입니다.
사실은 우리가 개발자 재직 중 보안 교육 측면에서도 제대로 수행하지 못하고 있음을 보여줍니다. 세계 대부분의 주요 보안 취약점은 해커가 컴퓨터 네트워크에 대한 권한을 획득하여 가치 있는 데이터에 접근하고 수집할 수 있게 하는 코딩 오류로 인해 발생합니다. 2017년 버라이즌 데이터 유출 조사 보고서(DBIR)에 따르면, 전체 취약점의 30%가 웹 애플리케이션 보안 취약점으로 직접 발생했으며, 이 결론은 2013년 이후 DBIR 보고서에서 일관되게 유지되고 있습니다.
이 2017년 글로벌 DevSecOps 기술 조사 (2017년 8월 발표)는 우리가 이미 알고 있던 사실을 확인시켜 줍니다: DevOps 전문가의 65%가 IT 분야에 진입할 때 DevSecOps에 대한 이해가 매우 중요하다고 생각하지만, 70%는 정규 교육을 통해 필요한 훈련을 받지 못해 오늘날의 DevSecOps 환경에서 성공할 수 없다고 답했습니다.
응답한 채용 관리자의 약 40%가 가장 찾기 어려운 직원은 충분한 보안 테스트 지식을 갖춘 다목적 고급 개발자라고 답했습니다. 응답자의 70%는 현재 직책을 수행하기에 받은 보안 교육이 부족하다고 밝혔습니다. 실제로, 4% 미만의 응답자만이 충분한 기회를 가졌다고 답했습니다.
내가 거의 10년 동안 여러 전문 화이트햇 해커 팀과 협력하며 일할 때, 나는 이를 직접 목격했습니다. 안타깝게도 우리는 대기업, 스타트업, 정부 기관을 침투할 때마다 항상 똑같은 취약점을 발견하곤 했습니다.
개발자가 채용될 때 자신의 의견을 분명히 밝혀야 하는 이유가 바로 여기에 있습니다. 잠재적 고용주가 개발자 보안 교육을 진지하게 받아들이지 않는다면, 어떤 회사에 합류할지 신중히 고려해야 합니다.
두 번째로 물어봐야 할 질문은 그들이 어떻게 교육을 제공할 계획인지입니다. 직접 참여하고 상호작용하는 방식일까요? 슬라이드, 동영상, 클릭 가능한 애니메이션 또는 추상적인 논의로 취약점 관련 개발자 보안 교육을 진행하는 것은 직접적인 프로그래밍 능력 향상에 도움이 되지 않을 가능성이 높습니다. 그들이 최신 취약점에 대한 정보를 지속적으로 제공할 수 있을까요? 배울 수 있는 보안 협회나 커뮤니티가 있을까요? 도움이 필요할 때 문의할 수 있는 보안 전문가가 있을까요?
안전한 코딩 기술에 대한 헌신은 특정 코딩 프레임워크 내에서 실습 과제를 수행하고 다양한 시나리오에서 서로 다른 취약점에 직면함으로써 지속적으로 학습해야 합니다. SQL 인젝션을 단 하나의 예시로 배울 수는 없습니다. 여러 유형의 다양한 사례를 접해야만 이러한 위험한 코딩 패턴을 식별하는 법을 익힐 수 있습니다.
한 고객사는 개발자들에게 2개월 동안 매일 5분간 챌린지를 수행하도록 요구했습니다. 이 프로그램은 교육 전후로 그들의 기술을 평가했으며, 수백 명의 개발자들의 보안 코딩 능력이 60% 향상된 것을 확인했습니다. 이는 개발 주기 후반에 보안 취약점을 발견하고 수정하는 데 소요되는 자원을 줄여 장기적으로 상당한 비용을 절감할 수 있음을 의미합니다. 즉, 해커들이 귀사의 코드를 이용해 회사 데이터를 침해하지 못하게 된다는 뜻입니다.
IDC 연구에 따르면, 2014년 전 세계에는 1,100만 명의 전문 개발자가 있었습니다. 2015년 버닝 글래스(Burning Glass)는 무려 700만 개의 직업이 프로그래밍 기술을 필요로 하며, 프로그래밍 관련 일자리의 성장 속도가 시장 평균보다 12% 더 빠르다는 사실을 발견했습니다.
그곳에는 많은 소프트웨어 관련 업무가 있습니다. 따라서 입장을 분명히 하고, 자신과 고객의 안전을 보호하기 위해 노력하는 고용주를 선택하십시오. 더 나아가, 당신에게 투자하는 회사를 선택하십시오.
모든 개발자는 반드시 스스로에게 한 가지 질문을 던져야 합니다. 신입이든 베테랑이든 상관없이요. 그 답은 매우 중요합니다. 애자일 환경에서는 이 질문이 더욱 중요해집니다. 왜냐하면 이 질문이 소프트웨어 엔지니어링 분야에서 여러분의 성공 정도와 다음 고용주에게 제공할 가치에 직접적인 영향을 미치기 때문입니다.
이것은 백만 달러짜리 질문입니다. 사실, 이것은 수백만 달러짜리 질문입니다!
당신은 제가 안전하게 코드를 작성하도록 돕는 데 전념하고 있나요?
%20(1).avif)
.avif)
