좋은 전자레인지가 고장 났을 때: 임베디드 시스템 보안이 개발자의 다음 보스전이 된 이유
대중문화에는 불량 AI와 로봇, 그리고 인간 호스트를 작동시키는 가전제품에 대한 이야기가 많이 등장합니다. 이는 공상과학적 재미와 환상으로 가득 차 있지만, 사물인터넷과 연결된 기기가 우리 가정에서 점점 더 보편화됨에 따라 사이버 보안과 안전에 대한 논의도 마찬가지로 중요해져야 합니다. 소프트웨어는 어디에나 존재하며, 우리가 얼마나 많은 혁신과 편의를 가져다주는 정교한 일들을 수행하기 위해 몇 줄의 코드에 의존하고 있는지 쉽게 잊어버리기 쉽습니다. 웹 기반 소프트웨어와 마찬가지로,API, 모바일 기기와 마찬가지로, 공격자가 임베디드 시스템 내 취약한 코드를 발견하면 이를 악용할 수 있습니다.
비록 마이크로파 군대가 인간을 노예로 만들 가능성은 희박하지만(하지만 테슬라 로봇은 다소 우려스럽다), 사이버 공격으로 인한 악의적인 네트워크 사건은 여전히 발생할 수 있다. 우리의 일부 자동차, 항공기 및 의료 기기는 여전히 복잡한 임베디드 시스템 코드에 의존하여 핵심 임무를 수행하는데, 이러한 물체들이 침해당할 가능성은 단순히 충격적일 뿐만 아니라 생명을 위협할 수도 있다.
다른 모든 유형의 소프트웨어와 마찬가지로, 개발자는 생성 단계의 시작부터 가장 먼저 코드를 접하는 사람들입니다. 다른 모든 유형의 소프트웨어와 마찬가지로, 이는 잠재적인 일반적인 취약점이 발생할 수 있는 온상이 될 수 있으며, 이러한 취약점은 제품이 출시되기 전에 발견되지 않을 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 회사도 그들이 그 역할을 수행하기를 기대해서는 안 됩니다. 그러나 그들은 자신과 관련된 위협에 대처하기 위해 더 강력한 도구 모음을 보유할 수 있습니다. 우리의 기술적 요구가 지속적으로 발전함에 따라, 임베디드 시스템(일반적으로 C 및 C++로 작성됨)은 더욱 빈번하게 사용될 것이며, 개발자들이 해당 환경에서 사용되는 도구에 대한 전문적인 보안 교육을 받는 것이 매우 중요합니다.
폭발하는 에어프라이어, 도난 차량... 우리는 방관하고 있나요?
비록 모든 보안 개발을 둘러싼 표준과 규정이 존재하지만, 우리의 안전을 보장하기 위해서는 모든 유형의 소프트웨어 보안 분야에서 보다 정밀하고 의미 있는 진전을 이루어야 합니다. 누군가가 에어프라이어를 해킹할 수 있다는 문제는 억지스러워 보일 수 있지만, 실제로 발생했습니다. 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 하는) 형태로 나타났으며, 차량 장악 취약점 역시 마찬가지입니다.
특히 차량은 매우 복잡하며, 여러 임베디드 시스템을 탑재하고 있으며 각 시스템은 미세 기능을 담당합니다. 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지모든 것이 갖춰져 있습니다. 네트워크화된 차량은 Wi-Fi, 블루투스, GPS와 같은 지속적으로 증가하는 통신 기술과 얽혀 있어, 다양한 공격 경로에 직면한 복잡한 디지털 인프라를 상징합니다. 또한 2023년까지 전 세계적으로 7,630만 대의 네트워크 차량이 도로에 진입할 것으로 예상되며, 이는 진정한 안전을 위한 견고한 방어 기반을 마련하는 것입니다.
미슬라 (MISRA )는 임베디드 시스템 위협에 적극적으로 대응하는 핵심 기관으로, 임베디드 시스템 환경에서 코드 보안, 안전성, 이식성 및 신뢰성을 촉진하기 위한 지침을 수립했습니다. 이 지침은 모든 기업이 임베디드 시스템 프로젝트에서 달성해야 할 기준의 북극성 역할을 합니다.
그러나 이 황금 기준에 부합하는 코드를 작성하고 실행하려면 도구(보안 의식은 말할 것도 없이)에 대한 확신을 가진 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템 보안 기술 향상은 이렇게 구체적인가?
오늘날의 기준으로 볼 때 C 및 C++ 프로그래밍 언어는 구식이지만 여전히 널리 사용되고 있습니다. 이 언어들은 임베디드 시스템 코드베이스의 기능적 핵심을 이루며, 임베디드 C/C++은 연결된 장치 세계의 일부로서 현대적인 삶을 누리고 있습니다.
이러한 언어들은 상당히 오래된 기원을 가지고 있으며, 결함 주입 및 버퍼 오버플로와 같은 일반적인 문제에서 유사한 취약점 행동을 보이지만, 개발자가 임베디드 시스템의 보안 취약점을 진정으로 성공적으로 완화하려면 자신의 작업 환경을 모방한 코드를 직접 경험해야 합니다. 일반적인 보안 관행에서의 범용 C 교육은 임베디드 C 환경에서 작업하는 데 투자하는 시간만큼 강력하고 기억에 남지 않습니다.
현대 자동차에는 10여 개에서 100여 개의 임베디드 시스템이 탑재되어 있으므로, 개발자에게 IDE에서 무엇을 찾아야 하는지, 그리고 어떻게 수정해야 하는지에 대한 정확한 교육을 실시해야 합니다.
임베디드 시스템을 저수준에서 보호하는 것은 모두의 책임이다
많은 조직의 현실은 개발 속도가 보안을 앞지르는 것이며, 적어도 개발자 책임 측면에서는 그러합니다. 그들은 보안 코드 생성 능력에 따라 평가받는 경우가 거의 없지만, 우수한 기능을 빠르게 개발하는 것이 황금 기준입니다. 소프트웨어에 대한 수요는 계속 증가할 뿐이지만, 이러한 문화는 취약점을 방어하고 그로 인해 허용되는 사이버 공격에 대비하는 데 실패하도록 우리를 준비시킵니다.
개발자가 교육을 받지 못했다면 그건 그들의 잘못이 아닙니다. AppSec 팀의 누군가가 올바르고 접근 가능한(평가 가능한 것은 말할 것도 없이) 기술 향상 프로그램을 개발 커뮤니티 전체에 추천함으로써 이 공백을 메우는 데 도움을 줘야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 최우선 과제가 되어야 하며, 모든 사람—특히 개발자—은 자신이 역할을 수행해야 한다는 점을 고려해야 합니다.
임베디드 시스템의 보안 문제를 직접 체험하다
버퍼 오버플로, 인젝션 결함 및 비즈니스 로직 오류는 임베디드 시스템 개발에서 흔히 발생하는 함정입니다. 단일 차량이나 장치에 깊숙이 매몰된 마이크로컨트롤러 미로 속에서 이는 보안 측면에서 재앙을 의미할 수 있습니다.
버퍼 오버플로는 특히 흔한데, 이전에 논의한 에어프라이어(원격 코드 실행 허용)에 어떻게 해를 끼치는지 자세히 알고 싶다면 CVE-2020-28592에 대한 이 보고서를 참조하십시오.
이제 진정한 임베디드 C/C++ 코드 내의 버퍼 오버플로우 취약점을 직접 경험해 볼 때입니다. 이 챌린지를 플레이하며, 이 교활한 오류를 유발하는 불량한 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
.png)
어떻게 지내시나요? 정확하고 효과적인 임베디드 시스템 보안 교육을 위해 www.securecodewarrior.com 를 방문해 보세요.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
대중문화에는 불량 AI와 로봇, 그리고 인간 호스트를 작동시키는 가전제품에 대한 이야기가 많이 등장합니다. 이는 공상과학적 재미와 환상으로 가득 차 있지만, 사물인터넷과 연결된 기기가 우리 가정에서 점점 더 보편화됨에 따라 사이버 보안과 안전에 대한 논의도 마찬가지로 중요해져야 합니다. 소프트웨어는 어디에나 존재하며, 우리가 얼마나 많은 혁신과 편의를 가져다주는 정교한 일들을 수행하기 위해 몇 줄의 코드에 의존하고 있는지 쉽게 잊어버리기 쉽습니다. 웹 기반 소프트웨어와 마찬가지로,API, 모바일 기기와 마찬가지로, 공격자가 임베디드 시스템 내 취약한 코드를 발견하면 이를 악용할 수 있습니다.
비록 마이크로파 군대가 인간을 노예로 만들 가능성은 희박하지만(하지만 테슬라 로봇은 다소 우려스럽다), 사이버 공격으로 인한 악의적인 네트워크 사건은 여전히 발생할 수 있다. 우리의 일부 자동차, 항공기 및 의료 기기는 여전히 복잡한 임베디드 시스템 코드에 의존하여 핵심 임무를 수행하는데, 이러한 물체들이 침해당할 가능성은 단순히 충격적일 뿐만 아니라 생명을 위협할 수도 있다.
다른 모든 유형의 소프트웨어와 마찬가지로, 개발자는 생성 단계의 시작부터 가장 먼저 코드를 접하는 사람들입니다. 다른 모든 유형의 소프트웨어와 마찬가지로, 이는 잠재적인 일반적인 취약점이 발생할 수 있는 온상이 될 수 있으며, 이러한 취약점은 제품이 출시되기 전에 발견되지 않을 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 회사도 그들이 그 역할을 수행하기를 기대해서는 안 됩니다. 그러나 그들은 자신과 관련된 위협에 대처하기 위해 더 강력한 도구 모음을 보유할 수 있습니다. 우리의 기술적 요구가 지속적으로 발전함에 따라, 임베디드 시스템(일반적으로 C 및 C++로 작성됨)은 더욱 빈번하게 사용될 것이며, 개발자들이 해당 환경에서 사용되는 도구에 대한 전문적인 보안 교육을 받는 것이 매우 중요합니다.
폭발하는 에어프라이어, 도난 차량... 우리는 방관하고 있나요?
비록 모든 보안 개발을 둘러싼 표준과 규정이 존재하지만, 우리의 안전을 보장하기 위해서는 모든 유형의 소프트웨어 보안 분야에서 보다 정밀하고 의미 있는 진전을 이루어야 합니다. 누군가가 에어프라이어를 해킹할 수 있다는 문제는 억지스러워 보일 수 있지만, 실제로 발생했습니다. 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 하는) 형태로 나타났으며, 차량 장악 취약점 역시 마찬가지입니다.
특히 차량은 매우 복잡하며, 여러 임베디드 시스템을 탑재하고 있으며 각 시스템은 미세 기능을 담당합니다. 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지모든 것이 갖춰져 있습니다. 네트워크화된 차량은 Wi-Fi, 블루투스, GPS와 같은 지속적으로 증가하는 통신 기술과 얽혀 있어, 다양한 공격 경로에 직면한 복잡한 디지털 인프라를 상징합니다. 또한 2023년까지 전 세계적으로 7,630만 대의 네트워크 차량이 도로에 진입할 것으로 예상되며, 이는 진정한 안전을 위한 견고한 방어 기반을 마련하는 것입니다.
미슬라 (MISRA )는 임베디드 시스템 위협에 적극적으로 대응하는 핵심 기관으로, 임베디드 시스템 환경에서 코드 보안, 안전성, 이식성 및 신뢰성을 촉진하기 위한 지침을 수립했습니다. 이 지침은 모든 기업이 임베디드 시스템 프로젝트에서 달성해야 할 기준의 북극성 역할을 합니다.
그러나 이 황금 기준에 부합하는 코드를 작성하고 실행하려면 도구(보안 의식은 말할 것도 없이)에 대한 확신을 가진 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템 보안 기술 향상은 이렇게 구체적인가?
오늘날의 기준으로 볼 때 C 및 C++ 프로그래밍 언어는 구식이지만 여전히 널리 사용되고 있습니다. 이 언어들은 임베디드 시스템 코드베이스의 기능적 핵심을 이루며, 임베디드 C/C++은 연결된 장치 세계의 일부로서 현대적인 삶을 누리고 있습니다.
이러한 언어들은 상당히 오래된 기원을 가지고 있으며, 결함 주입 및 버퍼 오버플로와 같은 일반적인 문제에서 유사한 취약점 행동을 보이지만, 개발자가 임베디드 시스템의 보안 취약점을 진정으로 성공적으로 완화하려면 자신의 작업 환경을 모방한 코드를 직접 경험해야 합니다. 일반적인 보안 관행에서의 범용 C 교육은 임베디드 C 환경에서 작업하는 데 투자하는 시간만큼 강력하고 기억에 남지 않습니다.
현대 자동차에는 10여 개에서 100여 개의 임베디드 시스템이 탑재되어 있으므로, 개발자에게 IDE에서 무엇을 찾아야 하는지, 그리고 어떻게 수정해야 하는지에 대한 정확한 교육을 실시해야 합니다.
임베디드 시스템을 저수준에서 보호하는 것은 모두의 책임이다
많은 조직의 현실은 개발 속도가 보안을 앞지르는 것이며, 적어도 개발자 책임 측면에서는 그러합니다. 그들은 보안 코드 생성 능력에 따라 평가받는 경우가 거의 없지만, 우수한 기능을 빠르게 개발하는 것이 황금 기준입니다. 소프트웨어에 대한 수요는 계속 증가할 뿐이지만, 이러한 문화는 취약점을 방어하고 그로 인해 허용되는 사이버 공격에 대비하는 데 실패하도록 우리를 준비시킵니다.
개발자가 교육을 받지 못했다면 그건 그들의 잘못이 아닙니다. AppSec 팀의 누군가가 올바르고 접근 가능한(평가 가능한 것은 말할 것도 없이) 기술 향상 프로그램을 개발 커뮤니티 전체에 추천함으로써 이 공백을 메우는 데 도움을 줘야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 최우선 과제가 되어야 하며, 모든 사람—특히 개발자—은 자신이 역할을 수행해야 한다는 점을 고려해야 합니다.
임베디드 시스템의 보안 문제를 직접 체험하다
버퍼 오버플로, 인젝션 결함 및 비즈니스 로직 오류는 임베디드 시스템 개발에서 흔히 발생하는 함정입니다. 단일 차량이나 장치에 깊숙이 매몰된 마이크로컨트롤러 미로 속에서 이는 보안 측면에서 재앙을 의미할 수 있습니다.
버퍼 오버플로는 특히 흔한데, 이전에 논의한 에어프라이어(원격 코드 실행 허용)에 어떻게 해를 끼치는지 자세히 알고 싶다면 CVE-2020-28592에 대한 이 보고서를 참조하십시오.
이제 진정한 임베디드 C/C++ 코드 내의 버퍼 오버플로우 취약점을 직접 경험해 볼 때입니다. 이 챌린지를 플레이하며, 이 교활한 오류를 유발하는 불량한 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
어떻게 지내시나요? 정확하고 효과적인 임베디드 시스템 보안 교육을 위해 www.securecodewarrior.com 를 방문해 보세요.
대중문화에는 불량 AI와 로봇, 그리고 인간 호스트를 작동시키는 가전제품에 대한 이야기가 많이 등장합니다. 이는 공상과학적 재미와 환상으로 가득 차 있지만, 사물인터넷과 연결된 기기가 우리 가정에서 점점 더 보편화됨에 따라 사이버 보안과 안전에 대한 논의도 마찬가지로 중요해져야 합니다. 소프트웨어는 어디에나 존재하며, 우리가 얼마나 많은 혁신과 편의를 가져다주는 정교한 일들을 수행하기 위해 몇 줄의 코드에 의존하고 있는지 쉽게 잊어버리기 쉽습니다. 웹 기반 소프트웨어와 마찬가지로,API, 모바일 기기와 마찬가지로, 공격자가 임베디드 시스템 내 취약한 코드를 발견하면 이를 악용할 수 있습니다.
비록 마이크로파 군대가 인간을 노예로 만들 가능성은 희박하지만(하지만 테슬라 로봇은 다소 우려스럽다), 사이버 공격으로 인한 악의적인 네트워크 사건은 여전히 발생할 수 있다. 우리의 일부 자동차, 항공기 및 의료 기기는 여전히 복잡한 임베디드 시스템 코드에 의존하여 핵심 임무를 수행하는데, 이러한 물체들이 침해당할 가능성은 단순히 충격적일 뿐만 아니라 생명을 위협할 수도 있다.
다른 모든 유형의 소프트웨어와 마찬가지로, 개발자는 생성 단계의 시작부터 가장 먼저 코드를 접하는 사람들입니다. 다른 모든 유형의 소프트웨어와 마찬가지로, 이는 잠재적인 일반적인 취약점이 발생할 수 있는 온상이 될 수 있으며, 이러한 취약점은 제품이 출시되기 전에 발견되지 않을 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 회사도 그들이 그 역할을 수행하기를 기대해서는 안 됩니다. 그러나 그들은 자신과 관련된 위협에 대처하기 위해 더 강력한 도구 모음을 보유할 수 있습니다. 우리의 기술적 요구가 지속적으로 발전함에 따라, 임베디드 시스템(일반적으로 C 및 C++로 작성됨)은 더욱 빈번하게 사용될 것이며, 개발자들이 해당 환경에서 사용되는 도구에 대한 전문적인 보안 교육을 받는 것이 매우 중요합니다.
폭발하는 에어프라이어, 도난 차량... 우리는 방관하고 있나요?
비록 모든 보안 개발을 둘러싼 표준과 규정이 존재하지만, 우리의 안전을 보장하기 위해서는 모든 유형의 소프트웨어 보안 분야에서 보다 정밀하고 의미 있는 진전을 이루어야 합니다. 누군가가 에어프라이어를 해킹할 수 있다는 문제는 억지스러워 보일 수 있지만, 실제로 발생했습니다. 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 하는) 형태로 나타났으며, 차량 장악 취약점 역시 마찬가지입니다.
특히 차량은 매우 복잡하며, 여러 임베디드 시스템을 탑재하고 있으며 각 시스템은 미세 기능을 담당합니다. 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지모든 것이 갖춰져 있습니다. 네트워크화된 차량은 Wi-Fi, 블루투스, GPS와 같은 지속적으로 증가하는 통신 기술과 얽혀 있어, 다양한 공격 경로에 직면한 복잡한 디지털 인프라를 상징합니다. 또한 2023년까지 전 세계적으로 7,630만 대의 네트워크 차량이 도로에 진입할 것으로 예상되며, 이는 진정한 안전을 위한 견고한 방어 기반을 마련하는 것입니다.
미슬라 (MISRA )는 임베디드 시스템 위협에 적극적으로 대응하는 핵심 기관으로, 임베디드 시스템 환경에서 코드 보안, 안전성, 이식성 및 신뢰성을 촉진하기 위한 지침을 수립했습니다. 이 지침은 모든 기업이 임베디드 시스템 프로젝트에서 달성해야 할 기준의 북극성 역할을 합니다.
그러나 이 황금 기준에 부합하는 코드를 작성하고 실행하려면 도구(보안 의식은 말할 것도 없이)에 대한 확신을 가진 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템 보안 기술 향상은 이렇게 구체적인가?
오늘날의 기준으로 볼 때 C 및 C++ 프로그래밍 언어는 구식이지만 여전히 널리 사용되고 있습니다. 이 언어들은 임베디드 시스템 코드베이스의 기능적 핵심을 이루며, 임베디드 C/C++은 연결된 장치 세계의 일부로서 현대적인 삶을 누리고 있습니다.
이러한 언어들은 상당히 오래된 기원을 가지고 있으며, 결함 주입 및 버퍼 오버플로와 같은 일반적인 문제에서 유사한 취약점 행동을 보이지만, 개발자가 임베디드 시스템의 보안 취약점을 진정으로 성공적으로 완화하려면 자신의 작업 환경을 모방한 코드를 직접 경험해야 합니다. 일반적인 보안 관행에서의 범용 C 교육은 임베디드 C 환경에서 작업하는 데 투자하는 시간만큼 강력하고 기억에 남지 않습니다.
현대 자동차에는 10여 개에서 100여 개의 임베디드 시스템이 탑재되어 있으므로, 개발자에게 IDE에서 무엇을 찾아야 하는지, 그리고 어떻게 수정해야 하는지에 대한 정확한 교육을 실시해야 합니다.
임베디드 시스템을 저수준에서 보호하는 것은 모두의 책임이다
많은 조직의 현실은 개발 속도가 보안을 앞지르는 것이며, 적어도 개발자 책임 측면에서는 그러합니다. 그들은 보안 코드 생성 능력에 따라 평가받는 경우가 거의 없지만, 우수한 기능을 빠르게 개발하는 것이 황금 기준입니다. 소프트웨어에 대한 수요는 계속 증가할 뿐이지만, 이러한 문화는 취약점을 방어하고 그로 인해 허용되는 사이버 공격에 대비하는 데 실패하도록 우리를 준비시킵니다.
개발자가 교육을 받지 못했다면 그건 그들의 잘못이 아닙니다. AppSec 팀의 누군가가 올바르고 접근 가능한(평가 가능한 것은 말할 것도 없이) 기술 향상 프로그램을 개발 커뮤니티 전체에 추천함으로써 이 공백을 메우는 데 도움을 줘야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 최우선 과제가 되어야 하며, 모든 사람—특히 개발자—은 자신이 역할을 수행해야 한다는 점을 고려해야 합니다.
임베디드 시스템의 보안 문제를 직접 체험하다
버퍼 오버플로, 인젝션 결함 및 비즈니스 로직 오류는 임베디드 시스템 개발에서 흔히 발생하는 함정입니다. 단일 차량이나 장치에 깊숙이 매몰된 마이크로컨트롤러 미로 속에서 이는 보안 측면에서 재앙을 의미할 수 있습니다.
버퍼 오버플로는 특히 흔한데, 이전에 논의한 에어프라이어(원격 코드 실행 허용)에 어떻게 해를 끼치는지 자세히 알고 싶다면 CVE-2020-28592에 대한 이 보고서를 참조하십시오.
이제 진정한 임베디드 C/C++ 코드 내의 버퍼 오버플로우 취약점을 직접 경험해 볼 때입니다. 이 챌린지를 플레이하며, 이 교활한 오류를 유발하는 불량한 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
어떻게 지내시나요? 정확하고 효과적인 임베디드 시스템 보안 교육을 위해 www.securecodewarrior.com 를 방문해 보세요.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
대중문화에는 불량 AI와 로봇, 그리고 인간 호스트를 작동시키는 가전제품에 대한 이야기가 많이 등장합니다. 이는 공상과학적 재미와 환상으로 가득 차 있지만, 사물인터넷과 연결된 기기가 우리 가정에서 점점 더 보편화됨에 따라 사이버 보안과 안전에 대한 논의도 마찬가지로 중요해져야 합니다. 소프트웨어는 어디에나 존재하며, 우리가 얼마나 많은 혁신과 편의를 가져다주는 정교한 일들을 수행하기 위해 몇 줄의 코드에 의존하고 있는지 쉽게 잊어버리기 쉽습니다. 웹 기반 소프트웨어와 마찬가지로,API, 모바일 기기와 마찬가지로, 공격자가 임베디드 시스템 내 취약한 코드를 발견하면 이를 악용할 수 있습니다.
비록 마이크로파 군대가 인간을 노예로 만들 가능성은 희박하지만(하지만 테슬라 로봇은 다소 우려스럽다), 사이버 공격으로 인한 악의적인 네트워크 사건은 여전히 발생할 수 있다. 우리의 일부 자동차, 항공기 및 의료 기기는 여전히 복잡한 임베디드 시스템 코드에 의존하여 핵심 임무를 수행하는데, 이러한 물체들이 침해당할 가능성은 단순히 충격적일 뿐만 아니라 생명을 위협할 수도 있다.
다른 모든 유형의 소프트웨어와 마찬가지로, 개발자는 생성 단계의 시작부터 가장 먼저 코드를 접하는 사람들입니다. 다른 모든 유형의 소프트웨어와 마찬가지로, 이는 잠재적인 일반적인 취약점이 발생할 수 있는 온상이 될 수 있으며, 이러한 취약점은 제품이 출시되기 전에 발견되지 않을 수 있습니다.
개발자는 보안 전문가가 아니며, 어떤 회사도 그들이 그 역할을 수행하기를 기대해서는 안 됩니다. 그러나 그들은 자신과 관련된 위협에 대처하기 위해 더 강력한 도구 모음을 보유할 수 있습니다. 우리의 기술적 요구가 지속적으로 발전함에 따라, 임베디드 시스템(일반적으로 C 및 C++로 작성됨)은 더욱 빈번하게 사용될 것이며, 개발자들이 해당 환경에서 사용되는 도구에 대한 전문적인 보안 교육을 받는 것이 매우 중요합니다.
폭발하는 에어프라이어, 도난 차량... 우리는 방관하고 있나요?
비록 모든 보안 개발을 둘러싼 표준과 규정이 존재하지만, 우리의 안전을 보장하기 위해서는 모든 유형의 소프트웨어 보안 분야에서 보다 정밀하고 의미 있는 진전을 이루어야 합니다. 누군가가 에어프라이어를 해킹할 수 있다는 문제는 억지스러워 보일 수 있지만, 실제로 발생했습니다. 원격 코드 실행 공격(위협 행위자가 온도를 위험 수준으로 높일 수 있게 하는) 형태로 나타났으며, 차량 장악 취약점 역시 마찬가지입니다.
특히 차량은 매우 복잡하며, 여러 임베디드 시스템을 탑재하고 있으며 각 시스템은 미세 기능을 담당합니다. 자동 와이퍼부터 엔진 및 제동 기능에 이르기까지모든 것이 갖춰져 있습니다. 네트워크화된 차량은 Wi-Fi, 블루투스, GPS와 같은 지속적으로 증가하는 통신 기술과 얽혀 있어, 다양한 공격 경로에 직면한 복잡한 디지털 인프라를 상징합니다. 또한 2023년까지 전 세계적으로 7,630만 대의 네트워크 차량이 도로에 진입할 것으로 예상되며, 이는 진정한 안전을 위한 견고한 방어 기반을 마련하는 것입니다.
미슬라 (MISRA )는 임베디드 시스템 위협에 적극적으로 대응하는 핵심 기관으로, 임베디드 시스템 환경에서 코드 보안, 안전성, 이식성 및 신뢰성을 촉진하기 위한 지침을 수립했습니다. 이 지침은 모든 기업이 임베디드 시스템 프로젝트에서 달성해야 할 기준의 북극성 역할을 합니다.
그러나 이 황금 기준에 부합하는 코드를 작성하고 실행하려면 도구(보안 의식은 말할 것도 없이)에 대한 확신을 가진 임베디드 시스템 엔지니어가 필요합니다.
왜 임베디드 시스템 보안 기술 향상은 이렇게 구체적인가?
오늘날의 기준으로 볼 때 C 및 C++ 프로그래밍 언어는 구식이지만 여전히 널리 사용되고 있습니다. 이 언어들은 임베디드 시스템 코드베이스의 기능적 핵심을 이루며, 임베디드 C/C++은 연결된 장치 세계의 일부로서 현대적인 삶을 누리고 있습니다.
이러한 언어들은 상당히 오래된 기원을 가지고 있으며, 결함 주입 및 버퍼 오버플로와 같은 일반적인 문제에서 유사한 취약점 행동을 보이지만, 개발자가 임베디드 시스템의 보안 취약점을 진정으로 성공적으로 완화하려면 자신의 작업 환경을 모방한 코드를 직접 경험해야 합니다. 일반적인 보안 관행에서의 범용 C 교육은 임베디드 C 환경에서 작업하는 데 투자하는 시간만큼 강력하고 기억에 남지 않습니다.
현대 자동차에는 10여 개에서 100여 개의 임베디드 시스템이 탑재되어 있으므로, 개발자에게 IDE에서 무엇을 찾아야 하는지, 그리고 어떻게 수정해야 하는지에 대한 정확한 교육을 실시해야 합니다.
임베디드 시스템을 저수준에서 보호하는 것은 모두의 책임이다
많은 조직의 현실은 개발 속도가 보안을 앞지르는 것이며, 적어도 개발자 책임 측면에서는 그러합니다. 그들은 보안 코드 생성 능력에 따라 평가받는 경우가 거의 없지만, 우수한 기능을 빠르게 개발하는 것이 황금 기준입니다. 소프트웨어에 대한 수요는 계속 증가할 뿐이지만, 이러한 문화는 취약점을 방어하고 그로 인해 허용되는 사이버 공격에 대비하는 데 실패하도록 우리를 준비시킵니다.
개발자가 교육을 받지 못했다면 그건 그들의 잘못이 아닙니다. AppSec 팀의 누군가가 올바르고 접근 가능한(평가 가능한 것은 말할 것도 없이) 기술 향상 프로그램을 개발 커뮤니티 전체에 추천함으로써 이 공백을 메우는 데 도움을 줘야 합니다. 소프트웨어 개발 프로젝트 초기부터 보안은 최우선 과제가 되어야 하며, 모든 사람—특히 개발자—은 자신이 역할을 수행해야 한다는 점을 고려해야 합니다.
임베디드 시스템의 보안 문제를 직접 체험하다
버퍼 오버플로, 인젝션 결함 및 비즈니스 로직 오류는 임베디드 시스템 개발에서 흔히 발생하는 함정입니다. 단일 차량이나 장치에 깊숙이 매몰된 마이크로컨트롤러 미로 속에서 이는 보안 측면에서 재앙을 의미할 수 있습니다.
버퍼 오버플로는 특히 흔한데, 이전에 논의한 에어프라이어(원격 코드 실행 허용)에 어떻게 해를 끼치는지 자세히 알고 싶다면 CVE-2020-28592에 대한 이 보고서를 참조하십시오.
이제 진정한 임베디드 C/C++ 코드 내의 버퍼 오버플로우 취약점을 직접 경험해 볼 때입니다. 이 챌린지를 플레이하며, 이 교활한 오류를 유발하는 불량한 코딩 패턴을 찾아내고 식별하며 수정할 수 있는지 확인해 보세요:
어떻게 지내시나요? 정확하고 효과적인 임베디드 시스템 보안 교육을 위해 www.securecodewarrior.com 를 방문해 보세요.
목록
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약다운로드
%20(1).avif)
.avif)
