왜 스캐폴딩 방식의 학습이 안전성이 강한 개발자를 양성할 수 있는가
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해졌는지 금방 알 수 있습니다. 주요 취약점, 새로운 취약점 또는 사이버 공격자와 범죄자들이 적극적으로 악용하는 심각한 위협에 대한 보도가 매일 쏟아지는 듯합니다. 게다가 거의 모든 업계 지표와 보고서가 점점 더 위험해지는 사이버 위협의 증가세를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측합니다.
이러한 새로운 위협에 맞서는 최전선의 IT 보안 담당자들은 지쳐 있고 인력이 부족합니다. 급여가 높고 거의 모든 기업이나 조직에 필수적임에도 불구하고, 충분한 보안 인력이 배치될 수 있는 경우는 거의 없습니다.전략국제문제연구소(CSIS)의 최근 조사에 따르면, IT 의사 결정권자의 82%가 소속 기관에 사이버 보안 기술 인력 부족이 존재한다고 답했으며, 71%는 이 부족이 기관에 직접적이고 측정 가능한 피해를 끼쳤다고 밝혔습니다. 보고서는 미국에서만 약 94만 명이 고용된 이 분야에서 52만 개 이상의 사이버 보안 직위가 공석이라고 지적했습니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 직무가 공석 상태입니다. 이는 막대한 자금을 투입해 최고 전문가를 채용하고 유지하려는 조직조차 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직무를 채우는 데는 약 21%의 시간이 소요되며, 이는 다른 어떤 직무보다도 긴 기간입니다.
개발자 지원이 너무 오랫동안 소홀히 여겨져 왔습니다.
우리는 이전의 많은 블로그에서 개발자를 활용해 사이버 보안 방어의 핵심 공백을 메울 수 있다는 점을 지적해 왔습니다. 다만 전통적으로 개발자들은 사이버 보안 교육을 받은 적이 없습니다. 그들의 업무 성과는 거의 전적으로 배포 속도와 시간에 달려 있습니다. 보안은 미래의 AppSec 팀의 업무입니다.
불행하게도, 이는 단순히 기어를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램에 보안을 추가하라고 요구하는 문제가 아닙니다. 설령 그들이 이러한 변화를 기꺼이 받아들일 의사가 있고, 조사 결과 상당수가 변화를 원한다고 해도, 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 의미 있는 학습을 확보하는 것이 첫 번째이자 가장 큰 걸림돌입니다.
전 세계적으로 수백만 개의 고소득, 고보안 IT 보안 직무가 공석인 데는 이유가 있습니다. 만약 이 일이 쉽다면 누구나 이 분야에 뛰어들 것입니다.위협에 맞서고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵습니다. 게다가 위협 환경은 끊임없이 변화합니다. 사이버보안을 가르치려는 시도는, 상대적으로 기술에 능숙한 개발자조차도 정적 교육으로는 효율적으로 수행할 수 없습니다. 정적 교육은 내용이 금방 낡아 기억에 남지 않으며, 특히 이미 과중한 업무 일정에 추가될 경우 긍정적 영향이 미미하기 때문입니다.
비계를 세워 더 높은 곳에 도달하다
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 손을 대지 않고 초고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안과 같은 복잡한 분야의 많은 고차원적 개념을 이해하는 데 필요한 기초를 갖추지 못했기 때문입니다. 이를 보완하기 위해 '비계식 학습'이라는 개념이 적용될 수 있습니다.
스캐폴딩 또는 "계층적" 접근법을 사용하여 기술을 향상시킬 때, 큰 주제는 일반적으로 개별 학습 경험이나 개념으로 분해됩니다. 이는 학생들이 적절한 연습과 지도를 통해 각 개념을 습득할 수 있도록 보장함으로써 각 구성 요소에 필요한 모든 지원을 제공합니다. 이미 습득한 개념을 기반으로 더 새롭고 고급 개념이 추가되며, 이는 마치 건물이 높아짐에 따라 물리적 스캐폴딩을 세워가는 것과 같습니다.이러한 방식을 통해 학생들은 도움 없이 습득할 수 있는 수준보다 더 높은 이해도와 기술 습득 수준에 도달할 수 있습니다.
물리적 지지대처럼, 더 이상 필요하지 않을 때 이러한 지원은 점차 제거되며, 학생들이 점점 숙련됨에 따라 더 많은 책임을 맡게 될 것입니다.
비계식 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 느끼는 좌절감, 위협감 또는 낙담감과 같은 부정적인 감정과 자기 인식을 줄이는 데 사용됩니다.그러나 현대 사이버 보안과 같은 극도로 어려운 개념을 다루려 할 때도 상당한 가치를 지닙니다. 이는 개발자를 어린아이처럼 대하는 방식이 결코 아니며, 특히 그들의 노력이 오류 수정과 새로운 비판으로 인해 무산될 때 보안 팀 내 경험이 동일한 좌절감과 낙담을 유발할 수 있을 때 매우 유용합니다.
개발자에게 보안 코딩 기초(일반적으로 OWASP 상위 10개 취약점)를 이해하는 도구를 제공하면, 그들은 보안 취약점이 어떻게 발생하는지, 왜 위험한지, 그리고 실제 운영 환경에 배포되기 전에 이를 어떻게 해결할 수 있는지 직접 확인할 수 있습니다.이후 개발자들은 더 복잡한 취약점을 해결하며 지식을 확장하고, 효과적인 패치 적용에 대한 실무 경험을 쌓을 수 있습니다. 이러한 단계적 성장은 점진적으로 이루어지며, 결국 비안전한 소프트웨어 아키텍처나 위협 모델링 참여와 같은 고급 보안 문제에 직면했을 때도 이를 정확히 해결하는 데 있어 그 도약이 그리 어렵게 느껴지지 않게 됩니다.
개발자를 보안 전문가로 기대해서는 안 되지만, 조직은 새로운 개발자 지원 기준을 도입하여 더 높은 품질의 소프트웨어를 생산할 수 있도록 할 수 있습니다. 기술 향상을 위한 엔지니어링 조직의 부가적인 이점으로, 각 단계나 각 계층의 지원 체계는 학습 과정에서 직접적으로 더 나은 사이버 보안으로 전환될 것입니다. 과정이 끝날 때까지 결과를 기다릴 필요가 없습니다.
사이버보안 학습은 매우 어렵습니다. 올바른 도움과 지도가 없다면 사이버보안을 숙달하는 것은 거의 불가능합니다. 보안 계획을 스캐폴딩 학습과 결합하면 그 잠재력을 최대한 발휘하는 데 도움이 되며, 그 혜택은 거의 즉시 나타납니다. 개선은 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해졌는지 금방 알 수 있습니다. 주요 취약점, 새로운 취약점 또는 사이버 공격자와 범죄자들이 적극적으로 악용하는 심각한 위협에 대한 보도가 매일 쏟아지는 듯합니다. 게다가 거의 모든 업계 지표와 보고서가 점점 더 위험해지는 사이버 위협의 증가세를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측합니다.
이러한 새로운 위협에 맞서는 최전선의 IT 보안 담당자들은 지쳐 있고 인력이 부족합니다. 급여가 높고 거의 모든 기업이나 조직에 필수적임에도 불구하고, 충분한 보안 인력이 배치될 수 있는 경우는 거의 없습니다.전략국제문제연구소(CSIS)의 최근 조사에 따르면, IT 의사 결정권자의 82%가 소속 기관에 사이버 보안 기술 인력 부족이 존재한다고 답했으며, 71%는 이 부족이 기관에 직접적이고 측정 가능한 피해를 끼쳤다고 밝혔습니다. 보고서는 미국에서만 약 94만 명이 고용된 이 분야에서 52만 개 이상의 사이버 보안 직위가 공석이라고 지적했습니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 직무가 공석 상태입니다. 이는 막대한 자금을 투입해 최고 전문가를 채용하고 유지하려는 조직조차 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직무를 채우는 데는 약 21%의 시간이 소요되며, 이는 다른 어떤 직무보다도 긴 기간입니다.
개발자 지원이 너무 오랫동안 소홀히 여겨져 왔습니다.
우리는 이전의 많은 블로그에서 개발자를 활용해 사이버 보안 방어의 핵심 공백을 메울 수 있다는 점을 지적해 왔습니다. 다만 전통적으로 개발자들은 사이버 보안 교육을 받은 적이 없습니다. 그들의 업무 성과는 거의 전적으로 배포 속도와 시간에 달려 있습니다. 보안은 미래의 AppSec 팀의 업무입니다.
불행하게도, 이는 단순히 기어를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램에 보안을 추가하라고 요구하는 문제가 아닙니다. 설령 그들이 이러한 변화를 기꺼이 받아들일 의사가 있고, 조사 결과 상당수가 변화를 원한다고 해도, 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 의미 있는 학습을 확보하는 것이 첫 번째이자 가장 큰 걸림돌입니다.
전 세계적으로 수백만 개의 고소득, 고보안 IT 보안 직무가 공석인 데는 이유가 있습니다. 만약 이 일이 쉽다면 누구나 이 분야에 뛰어들 것입니다.위협에 맞서고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵습니다. 게다가 위협 환경은 끊임없이 변화합니다. 사이버보안을 가르치려는 시도는, 상대적으로 기술에 능숙한 개발자조차도 정적 교육으로는 효율적으로 수행할 수 없습니다. 정적 교육은 내용이 금방 낡아 기억에 남지 않으며, 특히 이미 과중한 업무 일정에 추가될 경우 긍정적 영향이 미미하기 때문입니다.
비계를 세워 더 높은 곳에 도달하다
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 손을 대지 않고 초고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안과 같은 복잡한 분야의 많은 고차원적 개념을 이해하는 데 필요한 기초를 갖추지 못했기 때문입니다. 이를 보완하기 위해 '비계식 학습'이라는 개념이 적용될 수 있습니다.
스캐폴딩 또는 "계층적" 접근법을 사용하여 기술을 향상시킬 때, 큰 주제는 일반적으로 개별 학습 경험이나 개념으로 분해됩니다. 이는 학생들이 적절한 연습과 지도를 통해 각 개념을 습득할 수 있도록 보장함으로써 각 구성 요소에 필요한 모든 지원을 제공합니다. 이미 습득한 개념을 기반으로 더 새롭고 고급 개념이 추가되며, 이는 마치 건물이 높아짐에 따라 물리적 스캐폴딩을 세워가는 것과 같습니다.이러한 방식을 통해 학생들은 도움 없이 습득할 수 있는 수준보다 더 높은 이해도와 기술 습득 수준에 도달할 수 있습니다.
물리적 지지대처럼, 더 이상 필요하지 않을 때 이러한 지원은 점차 제거되며, 학생들이 점점 숙련됨에 따라 더 많은 책임을 맡게 될 것입니다.
비계식 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 느끼는 좌절감, 위협감 또는 낙담감과 같은 부정적인 감정과 자기 인식을 줄이는 데 사용됩니다.그러나 현대 사이버 보안과 같은 극도로 어려운 개념을 다루려 할 때도 상당한 가치를 지닙니다. 이는 개발자를 어린아이처럼 대하는 방식이 결코 아니며, 특히 그들의 노력이 오류 수정과 새로운 비판으로 인해 무산될 때 보안 팀 내 경험이 동일한 좌절감과 낙담을 유발할 수 있을 때 매우 유용합니다.
개발자에게 보안 코딩 기초(일반적으로 OWASP 상위 10개 취약점)를 이해하는 도구를 제공하면, 그들은 보안 취약점이 어떻게 발생하는지, 왜 위험한지, 그리고 실제 운영 환경에 배포되기 전에 이를 어떻게 해결할 수 있는지 직접 확인할 수 있습니다.이후 개발자들은 더 복잡한 취약점을 해결하며 지식을 확장하고, 효과적인 패치 적용에 대한 실무 경험을 쌓을 수 있습니다. 이러한 단계적 성장은 점진적으로 이루어지며, 결국 비안전한 소프트웨어 아키텍처나 위협 모델링 참여와 같은 고급 보안 문제에 직면했을 때도 이를 정확히 해결하는 데 있어 그 도약이 그리 어렵게 느껴지지 않게 됩니다.
개발자를 보안 전문가로 기대해서는 안 되지만, 조직은 새로운 개발자 지원 기준을 도입하여 더 높은 품질의 소프트웨어를 생산할 수 있도록 할 수 있습니다. 기술 향상을 위한 엔지니어링 조직의 부가적인 이점으로, 각 단계나 각 계층의 지원 체계는 학습 과정에서 직접적으로 더 나은 사이버 보안으로 전환될 것입니다. 과정이 끝날 때까지 결과를 기다릴 필요가 없습니다.
사이버보안 학습은 매우 어렵습니다. 올바른 도움과 지도가 없다면 사이버보안을 숙달하는 것은 거의 불가능합니다. 보안 계획을 스캐폴딩 학습과 결합하면 그 잠재력을 최대한 발휘하는 데 도움이 되며, 그 혜택은 거의 즉시 나타납니다. 개선은 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해졌는지 금방 알 수 있습니다. 주요 취약점, 새로운 취약점 또는 사이버 공격자와 범죄자들이 적극적으로 악용하는 심각한 위협에 대한 보도가 매일 쏟아지는 듯합니다. 게다가 거의 모든 업계 지표와 보고서가 점점 더 위험해지는 사이버 위협의 증가세를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측합니다.
이러한 새로운 위협에 맞서는 최전선의 IT 보안 담당자들은 지쳐 있고 인력이 부족합니다. 급여가 높고 거의 모든 기업이나 조직에 필수적임에도 불구하고, 충분한 보안 인력이 배치될 수 있는 경우는 거의 없습니다.전략국제문제연구소(CSIS)의 최근 조사에 따르면, IT 의사 결정권자의 82%가 소속 기관에 사이버 보안 기술 인력 부족이 존재한다고 답했으며, 71%는 이 부족이 기관에 직접적이고 측정 가능한 피해를 끼쳤다고 밝혔습니다. 보고서는 미국에서만 약 94만 명이 고용된 이 분야에서 52만 개 이상의 사이버 보안 직위가 공석이라고 지적했습니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 직무가 공석 상태입니다. 이는 막대한 자금을 투입해 최고 전문가를 채용하고 유지하려는 조직조차 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직무를 채우는 데는 약 21%의 시간이 소요되며, 이는 다른 어떤 직무보다도 긴 기간입니다.
개발자 지원이 너무 오랫동안 소홀히 여겨져 왔습니다.
우리는 이전의 많은 블로그에서 개발자를 활용해 사이버 보안 방어의 핵심 공백을 메울 수 있다는 점을 지적해 왔습니다. 다만 전통적으로 개발자들은 사이버 보안 교육을 받은 적이 없습니다. 그들의 업무 성과는 거의 전적으로 배포 속도와 시간에 달려 있습니다. 보안은 미래의 AppSec 팀의 업무입니다.
불행하게도, 이는 단순히 기어를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램에 보안을 추가하라고 요구하는 문제가 아닙니다. 설령 그들이 이러한 변화를 기꺼이 받아들일 의사가 있고, 조사 결과 상당수가 변화를 원한다고 해도, 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 의미 있는 학습을 확보하는 것이 첫 번째이자 가장 큰 걸림돌입니다.
전 세계적으로 수백만 개의 고소득, 고보안 IT 보안 직무가 공석인 데는 이유가 있습니다. 만약 이 일이 쉽다면 누구나 이 분야에 뛰어들 것입니다.위협에 맞서고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵습니다. 게다가 위협 환경은 끊임없이 변화합니다. 사이버보안을 가르치려는 시도는, 상대적으로 기술에 능숙한 개발자조차도 정적 교육으로는 효율적으로 수행할 수 없습니다. 정적 교육은 내용이 금방 낡아 기억에 남지 않으며, 특히 이미 과중한 업무 일정에 추가될 경우 긍정적 영향이 미미하기 때문입니다.
비계를 세워 더 높은 곳에 도달하다
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 손을 대지 않고 초고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안과 같은 복잡한 분야의 많은 고차원적 개념을 이해하는 데 필요한 기초를 갖추지 못했기 때문입니다. 이를 보완하기 위해 '비계식 학습'이라는 개념이 적용될 수 있습니다.
스캐폴딩 또는 "계층적" 접근법을 사용하여 기술을 향상시킬 때, 큰 주제는 일반적으로 개별 학습 경험이나 개념으로 분해됩니다. 이는 학생들이 적절한 연습과 지도를 통해 각 개념을 습득할 수 있도록 보장함으로써 각 구성 요소에 필요한 모든 지원을 제공합니다. 이미 습득한 개념을 기반으로 더 새롭고 고급 개념이 추가되며, 이는 마치 건물이 높아짐에 따라 물리적 스캐폴딩을 세워가는 것과 같습니다.이러한 방식을 통해 학생들은 도움 없이 습득할 수 있는 수준보다 더 높은 이해도와 기술 습득 수준에 도달할 수 있습니다.
물리적 지지대처럼, 더 이상 필요하지 않을 때 이러한 지원은 점차 제거되며, 학생들이 점점 숙련됨에 따라 더 많은 책임을 맡게 될 것입니다.
비계식 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 느끼는 좌절감, 위협감 또는 낙담감과 같은 부정적인 감정과 자기 인식을 줄이는 데 사용됩니다.그러나 현대 사이버 보안과 같은 극도로 어려운 개념을 다루려 할 때도 상당한 가치를 지닙니다. 이는 개발자를 어린아이처럼 대하는 방식이 결코 아니며, 특히 그들의 노력이 오류 수정과 새로운 비판으로 인해 무산될 때 보안 팀 내 경험이 동일한 좌절감과 낙담을 유발할 수 있을 때 매우 유용합니다.
개발자에게 보안 코딩 기초(일반적으로 OWASP 상위 10개 취약점)를 이해하는 도구를 제공하면, 그들은 보안 취약점이 어떻게 발생하는지, 왜 위험한지, 그리고 실제 운영 환경에 배포되기 전에 이를 어떻게 해결할 수 있는지 직접 확인할 수 있습니다.이후 개발자들은 더 복잡한 취약점을 해결하며 지식을 확장하고, 효과적인 패치 적용에 대한 실무 경험을 쌓을 수 있습니다. 이러한 단계적 성장은 점진적으로 이루어지며, 결국 비안전한 소프트웨어 아키텍처나 위협 모델링 참여와 같은 고급 보안 문제에 직면했을 때도 이를 정확히 해결하는 데 있어 그 도약이 그리 어렵게 느껴지지 않게 됩니다.
개발자를 보안 전문가로 기대해서는 안 되지만, 조직은 새로운 개발자 지원 기준을 도입하여 더 높은 품질의 소프트웨어를 생산할 수 있도록 할 수 있습니다. 기술 향상을 위한 엔지니어링 조직의 부가적인 이점으로, 각 단계나 각 계층의 지원 체계는 학습 과정에서 직접적으로 더 나은 사이버 보안으로 전환될 것입니다. 과정이 끝날 때까지 결과를 기다릴 필요가 없습니다.
사이버보안 학습은 매우 어렵습니다. 올바른 도움과 지도가 없다면 사이버보안을 숙달하는 것은 거의 불가능합니다. 보안 계획을 스캐폴딩 학습과 결합하면 그 잠재력을 최대한 발휘하는 데 도움이 되며, 그 혜택은 거의 즉시 나타납니다. 개선은 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해졌는지 금방 알 수 있습니다. 주요 취약점, 새로운 취약점 또는 사이버 공격자와 범죄자들이 적극적으로 악용하는 심각한 위협에 대한 보도가 매일 쏟아지는 듯합니다. 게다가 거의 모든 업계 지표와 보고서가 점점 더 위험해지는 사이버 위협의 증가세를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측합니다.
이러한 새로운 위협에 맞서는 최전선의 IT 보안 담당자들은 지쳐 있고 인력이 부족합니다. 급여가 높고 거의 모든 기업이나 조직에 필수적임에도 불구하고, 충분한 보안 인력이 배치될 수 있는 경우는 거의 없습니다.전략국제문제연구소(CSIS)의 최근 조사에 따르면, IT 의사 결정권자의 82%가 소속 기관에 사이버 보안 기술 인력 부족이 존재한다고 답했으며, 71%는 이 부족이 기관에 직접적이고 측정 가능한 피해를 끼쳤다고 밝혔습니다. 보고서는 미국에서만 약 94만 명이 고용된 이 분야에서 52만 개 이상의 사이버 보안 직위가 공석이라고 지적했습니다.
전 세계적으로 현재 약 350만 개의 사이버 보안 직무가 공석 상태입니다. 이는 막대한 자금을 투입해 최고 전문가를 채용하고 유지하려는 조직조차 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직무를 채우는 데는 약 21%의 시간이 소요되며, 이는 다른 어떤 직무보다도 긴 기간입니다.
개발자 지원이 너무 오랫동안 소홀히 여겨져 왔습니다.
우리는 이전의 많은 블로그에서 개발자를 활용해 사이버 보안 방어의 핵심 공백을 메울 수 있다는 점을 지적해 왔습니다. 다만 전통적으로 개발자들은 사이버 보안 교육을 받은 적이 없습니다. 그들의 업무 성과는 거의 전적으로 배포 속도와 시간에 달려 있습니다. 보안은 미래의 AppSec 팀의 업무입니다.
불행하게도, 이는 단순히 기어를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램에 보안을 추가하라고 요구하는 문제가 아닙니다. 설령 그들이 이러한 변화를 기꺼이 받아들일 의사가 있고, 조사 결과 상당수가 변화를 원한다고 해도, 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 의미 있는 학습을 확보하는 것이 첫 번째이자 가장 큰 걸림돌입니다.
전 세계적으로 수백만 개의 고소득, 고보안 IT 보안 직무가 공석인 데는 이유가 있습니다. 만약 이 일이 쉽다면 누구나 이 분야에 뛰어들 것입니다.위협에 맞서고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵습니다. 게다가 위협 환경은 끊임없이 변화합니다. 사이버보안을 가르치려는 시도는, 상대적으로 기술에 능숙한 개발자조차도 정적 교육으로는 효율적으로 수행할 수 없습니다. 정적 교육은 내용이 금방 낡아 기억에 남지 않으며, 특히 이미 과중한 업무 일정에 추가될 경우 긍정적 영향이 미미하기 때문입니다.
비계를 세워 더 높은 곳에 도달하다
전통적인 방법으로 사이버 보안 기술을 가르치는 것은 손을 대지 않고 초고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안과 같은 복잡한 분야의 많은 고차원적 개념을 이해하는 데 필요한 기초를 갖추지 못했기 때문입니다. 이를 보완하기 위해 '비계식 학습'이라는 개념이 적용될 수 있습니다.
스캐폴딩 또는 "계층적" 접근법을 사용하여 기술을 향상시킬 때, 큰 주제는 일반적으로 개별 학습 경험이나 개념으로 분해됩니다. 이는 학생들이 적절한 연습과 지도를 통해 각 개념을 습득할 수 있도록 보장함으로써 각 구성 요소에 필요한 모든 지원을 제공합니다. 이미 습득한 개념을 기반으로 더 새롭고 고급 개념이 추가되며, 이는 마치 건물이 높아짐에 따라 물리적 스캐폴딩을 세워가는 것과 같습니다.이러한 방식을 통해 학생들은 도움 없이 습득할 수 있는 수준보다 더 높은 이해도와 기술 습득 수준에 도달할 수 있습니다.
물리적 지지대처럼, 더 이상 필요하지 않을 때 이러한 지원은 점차 제거되며, 학생들이 점점 숙련됨에 따라 더 많은 책임을 맡게 될 것입니다.
비계식 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 느끼는 좌절감, 위협감 또는 낙담감과 같은 부정적인 감정과 자기 인식을 줄이는 데 사용됩니다.그러나 현대 사이버 보안과 같은 극도로 어려운 개념을 다루려 할 때도 상당한 가치를 지닙니다. 이는 개발자를 어린아이처럼 대하는 방식이 결코 아니며, 특히 그들의 노력이 오류 수정과 새로운 비판으로 인해 무산될 때 보안 팀 내 경험이 동일한 좌절감과 낙담을 유발할 수 있을 때 매우 유용합니다.
개발자에게 보안 코딩 기초(일반적으로 OWASP 상위 10개 취약점)를 이해하는 도구를 제공하면, 그들은 보안 취약점이 어떻게 발생하는지, 왜 위험한지, 그리고 실제 운영 환경에 배포되기 전에 이를 어떻게 해결할 수 있는지 직접 확인할 수 있습니다.이후 개발자들은 더 복잡한 취약점을 해결하며 지식을 확장하고, 효과적인 패치 적용에 대한 실무 경험을 쌓을 수 있습니다. 이러한 단계적 성장은 점진적으로 이루어지며, 결국 비안전한 소프트웨어 아키텍처나 위협 모델링 참여와 같은 고급 보안 문제에 직면했을 때도 이를 정확히 해결하는 데 있어 그 도약이 그리 어렵게 느껴지지 않게 됩니다.
개발자를 보안 전문가로 기대해서는 안 되지만, 조직은 새로운 개발자 지원 기준을 도입하여 더 높은 품질의 소프트웨어를 생산할 수 있도록 할 수 있습니다. 기술 향상을 위한 엔지니어링 조직의 부가적인 이점으로, 각 단계나 각 계층의 지원 체계는 학습 과정에서 직접적으로 더 나은 사이버 보안으로 전환될 것입니다. 과정이 끝날 때까지 결과를 기다릴 필요가 없습니다.
사이버보안 학습은 매우 어렵습니다. 올바른 도움과 지도가 없다면 사이버보안을 숙달하는 것은 거의 불가능합니다. 보안 계획을 스캐폴딩 학습과 결합하면 그 잠재력을 최대한 발휘하는 데 도움이 되며, 그 혜택은 거의 즉시 나타납니다. 개선은 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.
목록
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약다운로드
%20(1).avif)
.avif)
