왜 SQL 인젝션은 애플리케이션 보안 세계의 바퀴벌레인가(그리고 CISO가 이를 영원히 근절하는 방법)
바퀴벌레는 핵폭발 같은 극한 상황에서도 생존할 수 있다는 널리 알려진 이론이 있다. 이 이론은 어느 정도 사실이지만, 그들의 단순한 신체 구조는 체구에 비해 극한의 환경에도 놀라울 정도로 강인하게 만들어 대부분의 조건에서 제거하기 어렵게 한다.
저는 계속 생각해왔습니다... 만약 바퀴벌레가 디지털 세계에 유사한 취약점을 가졌다면, 그것은 분명 코드 내의 SQL 인젝션(SQLi) 취약점일 것입니다. 20년 넘게 이 취약점은 널리 알려져 왔지만, 조직들은 계속해서 그 피해자가 되어 왔습니다. 광범위하고, 목표물에 대한 공격은 막대한 대가를 치르게 되는데, 일리노이주 선거 해킹 사건이 대표적 사례다. 20만 건의 유권자 기록이 유출되면서 FBI는 모든 IT 관리자에게 보안 강화 조치를 즉각 취할 것을 권고했다.
임퍼바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사고 중 83%가 SQLi 공격을 이용했습니다. 오늘날에도 인젝션 취약점은 여전히 OWASP 상위 10대 위협 1위를 차지하고 있습니다. 상대적으로 단순하지만, 이 취약점은 전혀 사라지지 않고 있습니다.
수많은 애플리케이션 보안 검사에서 여전히 동일한 취약점이 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며, 이를 차단하는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 사실은, 우리 소프트웨어 보안에는 아직도 개선의 여지가 많다는 것입니다.
베라코드(Veracode)의 '소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반'은 충격적인 통계를 보여줍니다: OWASP 상위 10대 정책을 통과한 애플리케이션은 고작 30%에 불과했습니다. 지난 5년간 이는 꾸준히 반복된 현상으로, 새로 스캔된 애플리케이션의 약 3분의 1에서 SQL 인젝션이 발견되었습니다. 이는 보편적인 문제의 증거입니다;우리는 실수로부터 교훈을 얻지 못하고 있으며, 최고정보보안책임자(CISO)들은 충분한 보안 인력을 채용하는 데 어려움을 겪고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안(AppSec) 전문가와 개발자의 비율은 1:100에도 미치지 못합니다.
왜 소프트웨어 보안은 생명 유지 장치인가?
전문 보안 인력 부족은 더 이상 비밀이 아니지만, 개발자들이 문제가 발생했을 때 이를 수정하지 않을 뿐만 아니라 처음부터 취약점을 도입하지 않을 능력이 분명히 부족하다는 사실에도 주목해야 합니다. 동일한 Veracode 보고서에서 모든 개발 취약점 중 단 14.4%에 대한 완화 조치가 기록되었다고 밝혔습니다. 즉,대부분의 취약점은 완화 조치가 없는 상태로 제출됩니다. 90일 이내에 해결된 취약점은 3분의 1도 되지 않으며, 42%의 취약점은 개발 기간 내내 해결되지 않은 채로 남아 있습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 계속 대화를 나누고 있습니다. 흥미롭게도 많은 기업들이 발견된 완화 불가능한 취약점(그리고 오탐이라는 재앙)에 대해 매우 좌절감을 느끼고 있어, 결국 이러한 취약점 스캔을 완전히 중단하고 손을 놓고 최선의 결과를 바라는 상황에 이르렀다는 점을 깨달았습니다.
왜 AppSec 전문가들은 이런 상황을 방치하는가?
의심의 여지없이: AppSec 담당자들은 코드 내 문제점을 고통스럽게 인지하고 있습니다. 결국 이는 그들을 소중한 팀 자원으로 만드는 핵심 역량 중 하나이기 때문입니다. 그러나 그들은 종종 여러 요인에 의해 방해를 받습니다.
예를 들어, AppSec 관리자는 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자들은 엄격한 기능 전달 스프린트를 맞추느라 너무 바빠서 이러한 문제를 해결할 시간조차 없으며, 이를 도와줄 적절한 도구도 없습니다. AppSec 전문가들은 스스로 취약점을 식별할 수는 있지만, 일반적으로 현장에서 취약점을 수정할 기술 및/또는 권한을 갖추지 못합니다.
우리는 또한 각 문제마다 해결책을 찾아내고,이를 실행하고 테스트해야 합니다. 코드에서 가장 사소한 문제조차 발견되면 수정에 소요되는 시간은 막대하며, 필요한 자원은 말할 것도 없습니다. 소프트웨어에는 700개 이상의 취약점이 도입될 수 있으며, 누구도 이 모든 취약점을 방어하는 것은 불가능합니다. 바로 이러한 이유로 대부분의 기업은 OWASP 상위 10개 취약점에만 집중하는 방식을 고수합니다. 한편 개발자들은 기능을 구축해 나가면서, 그 과정에서 작성하는 코드에 지속적으로 취약점을 도입하고 있습니다.
해결책은 무엇입니까?
간단한 사실은, 우리는 개발자에게 안전한 코딩 성공을 촉진하는 도구와 교육을 제공하지 않는다는 점입니다. 어떤 규정 또한 조직이 개발자에게 충분한 보안 기술을 확보하도록 강제하지 않으며, 슬픈 현실은 대부분의 대학과 인턴십 기관도 초급 개발자에게 안전한 코딩을 준비시키지 못한다는 것입니다.
누군가 비행기를 조종하려 할 때, 비행 전 훈련, 실무 경험, 건강 검진, 안전 지식 및 점검을 반드시 받도록 하는 매우 엄격한 절차가 있습니다. 이처럼 포괄적인 준비와 기술 검증 없이 그들이 방치될 것이라고는 아무도 상상하지 못할 것입니다. 그러나 바로 이것이 코드 작성에서 매일 벌어지는 일입니다.
개발자들에게 안전한 코드 작성법을 교육하는 데 시간을 투자해야 합니다. 그러나 오늘날 소프트웨어 개발 속도가 빠르고 우수한 개발자와 보안 전문가가 부족한 현실에서 이는 결코 우선순위가 되지 못했습니다. 이제 대화를 바꿀 때입니다.
최근 세계경제포럼의 헤드라인은 "안전 없이는 디지털 경제도 없다"고 경고하며, 보안이 모든 디지털 전환 전략의 핵심이 되어야 한다고 강조했습니다. "보안은 기업이 혁신하고 새로운 제품과 서비스를 개발할 수 있도록 보호하는 핵심 요소입니다. 방어적 역할 외에도 보안은 기업에 전략적 성장 우위를 제공합니다."
보안 코딩 기술과 성과를 향상시키면 조직에 강력한 사이버 보호 계층을 추가하여 더 우수하고 신속한 코드 개발을 지원합니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 되기 위해서는 적극적이고 실질적인 역량을 확보해야 합니다. 개발자는 차세대 보안 및 혁신의 주역이 될 수 있습니다. 그들은 매우 뛰어난 인재이며 창의적인 문제 해결사로서 일반적으로 자신의 역량 개발에 열정적입니다. 적절한 전문 교육을 통해 강점을 발휘하고 더 높은 소프트웨어 보안 기준을 위해 노력하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려 할 때, 비행 전 훈련, 실무 경험, 건강 검진, 안전 지식 및 점검을 반드시 받도록 하는 매우 엄격한 절차가 있습니다. 이처럼 포괄적인 준비와 기술 검증 없이 그들이 방치될 것이라고는 아무도 상상하지 못할 것입니다. 그러나 바로 이것이 코드 작성에서 매일 벌어지는 일입니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
바퀴벌레는 핵폭발 같은 극한 상황에서도 생존할 수 있다는 널리 알려진 이론이 있다. 이 이론은 어느 정도 사실이지만, 그들의 단순한 신체 구조는 체구에 비해 극한의 환경에도 놀라울 정도로 강인하게 만들어 대부분의 조건에서 제거하기 어렵게 한다.
저는 계속 생각해왔습니다... 만약 바퀴벌레가 디지털 세계에 유사한 취약점을 가졌다면, 그것은 분명 코드 내의 SQL 인젝션(SQLi) 취약점일 것입니다. 20년 넘게 이 취약점은 널리 알려져 왔지만, 조직들은 계속해서 그 피해자가 되어 왔습니다. 광범위하고, 목표물에 대한 공격은 막대한 대가를 치르게 되는데, 일리노이주 선거 해킹 사건이 대표적 사례다. 20만 건의 유권자 기록이 유출되면서 FBI는 모든 IT 관리자에게 보안 강화 조치를 즉각 취할 것을 권고했다.
임퍼바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사고 중 83%가 SQLi 공격을 이용했습니다. 오늘날에도 인젝션 취약점은 여전히 OWASP 상위 10대 위협 1위를 차지하고 있습니다. 상대적으로 단순하지만, 이 취약점은 전혀 사라지지 않고 있습니다.
수많은 애플리케이션 보안 검사에서 여전히 동일한 취약점이 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며, 이를 차단하는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 사실은, 우리 소프트웨어 보안에는 아직도 개선의 여지가 많다는 것입니다.
베라코드(Veracode)의 '소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반'은 충격적인 통계를 보여줍니다: OWASP 상위 10대 정책을 통과한 애플리케이션은 고작 30%에 불과했습니다. 지난 5년간 이는 꾸준히 반복된 현상으로, 새로 스캔된 애플리케이션의 약 3분의 1에서 SQL 인젝션이 발견되었습니다. 이는 보편적인 문제의 증거입니다;우리는 실수로부터 교훈을 얻지 못하고 있으며, 최고정보보안책임자(CISO)들은 충분한 보안 인력을 채용하는 데 어려움을 겪고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안(AppSec) 전문가와 개발자의 비율은 1:100에도 미치지 못합니다.
왜 소프트웨어 보안은 생명 유지 장치인가?
전문 보안 인력 부족은 더 이상 비밀이 아니지만, 개발자들이 문제가 발생했을 때 이를 수정하지 않을 뿐만 아니라 처음부터 취약점을 도입하지 않을 능력이 분명히 부족하다는 사실에도 주목해야 합니다. 동일한 Veracode 보고서에서 모든 개발 취약점 중 단 14.4%에 대한 완화 조치가 기록되었다고 밝혔습니다. 즉,대부분의 취약점은 완화 조치가 없는 상태로 제출됩니다. 90일 이내에 해결된 취약점은 3분의 1도 되지 않으며, 42%의 취약점은 개발 기간 내내 해결되지 않은 채로 남아 있습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 계속 대화를 나누고 있습니다. 흥미롭게도 많은 기업들이 발견된 완화 불가능한 취약점(그리고 오탐이라는 재앙)에 대해 매우 좌절감을 느끼고 있어, 결국 이러한 취약점 스캔을 완전히 중단하고 손을 놓고 최선의 결과를 바라는 상황에 이르렀다는 점을 깨달았습니다.
왜 AppSec 전문가들은 이런 상황을 방치하는가?
의심의 여지없이: AppSec 담당자들은 코드 내 문제점을 고통스럽게 인지하고 있습니다. 결국 이는 그들을 소중한 팀 자원으로 만드는 핵심 역량 중 하나이기 때문입니다. 그러나 그들은 종종 여러 요인에 의해 방해를 받습니다.
예를 들어, AppSec 관리자는 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자들은 엄격한 기능 전달 스프린트를 맞추느라 너무 바빠서 이러한 문제를 해결할 시간조차 없으며, 이를 도와줄 적절한 도구도 없습니다. AppSec 전문가들은 스스로 취약점을 식별할 수는 있지만, 일반적으로 현장에서 취약점을 수정할 기술 및/또는 권한을 갖추지 못합니다.
우리는 또한 각 문제마다 해결책을 찾아내고,이를 실행하고 테스트해야 합니다. 코드에서 가장 사소한 문제조차 발견되면 수정에 소요되는 시간은 막대하며, 필요한 자원은 말할 것도 없습니다. 소프트웨어에는 700개 이상의 취약점이 도입될 수 있으며, 누구도 이 모든 취약점을 방어하는 것은 불가능합니다. 바로 이러한 이유로 대부분의 기업은 OWASP 상위 10개 취약점에만 집중하는 방식을 고수합니다. 한편 개발자들은 기능을 구축해 나가면서, 그 과정에서 작성하는 코드에 지속적으로 취약점을 도입하고 있습니다.
해결책은 무엇입니까?
간단한 사실은, 우리는 개발자에게 안전한 코딩 성공을 촉진하는 도구와 교육을 제공하지 않는다는 점입니다. 어떤 규정 또한 조직이 개발자에게 충분한 보안 기술을 확보하도록 강제하지 않으며, 슬픈 현실은 대부분의 대학과 인턴십 기관도 초급 개발자에게 안전한 코딩을 준비시키지 못한다는 것입니다.
누군가 비행기를 조종하려 할 때, 비행 전 훈련, 실무 경험, 건강 검진, 안전 지식 및 점검을 반드시 받도록 하는 매우 엄격한 절차가 있습니다. 이처럼 포괄적인 준비와 기술 검증 없이 그들이 방치될 것이라고는 아무도 상상하지 못할 것입니다. 그러나 바로 이것이 코드 작성에서 매일 벌어지는 일입니다.
개발자들에게 안전한 코드 작성법을 교육하는 데 시간을 투자해야 합니다. 그러나 오늘날 소프트웨어 개발 속도가 빠르고 우수한 개발자와 보안 전문가가 부족한 현실에서 이는 결코 우선순위가 되지 못했습니다. 이제 대화를 바꿀 때입니다.
최근 세계경제포럼의 헤드라인은 "안전 없이는 디지털 경제도 없다"고 경고하며, 보안이 모든 디지털 전환 전략의 핵심이 되어야 한다고 강조했습니다. "보안은 기업이 혁신하고 새로운 제품과 서비스를 개발할 수 있도록 보호하는 핵심 요소입니다. 방어적 역할 외에도 보안은 기업에 전략적 성장 우위를 제공합니다."
보안 코딩 기술과 성과를 향상시키면 조직에 강력한 사이버 보호 계층을 추가하여 더 우수하고 신속한 코드 개발을 지원합니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 되기 위해서는 적극적이고 실질적인 역량을 확보해야 합니다. 개발자는 차세대 보안 및 혁신의 주역이 될 수 있습니다. 그들은 매우 뛰어난 인재이며 창의적인 문제 해결사로서 일반적으로 자신의 역량 개발에 열정적입니다. 적절한 전문 교육을 통해 강점을 발휘하고 더 높은 소프트웨어 보안 기준을 위해 노력하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려 할 때, 비행 전 훈련, 실무 경험, 건강 검진, 안전 지식 및 점검을 반드시 받도록 하는 매우 엄격한 절차가 있습니다. 이처럼 포괄적인 준비와 기술 검증 없이 그들이 방치될 것이라고는 아무도 상상하지 못할 것입니다. 그러나 바로 이것이 코드 작성에서 매일 벌어지는 일입니다.
바퀴벌레는 핵폭발 같은 극한 상황에서도 생존할 수 있다는 널리 알려진 이론이 있다. 이 이론은 어느 정도 사실이지만, 그들의 단순한 신체 구조는 체구에 비해 극한의 환경에도 놀라울 정도로 강인하게 만들어 대부분의 조건에서 제거하기 어렵게 한다.
저는 계속 생각해왔습니다... 만약 바퀴벌레가 디지털 세계에 유사한 취약점을 가졌다면, 그것은 분명 코드 내의 SQL 인젝션(SQLi) 취약점일 것입니다. 20년 넘게 이 취약점은 널리 알려져 왔지만, 조직들은 계속해서 그 피해자가 되어 왔습니다. 광범위하고, 목표물에 대한 공격은 막대한 대가를 치르게 되는데, 일리노이주 선거 해킹 사건이 대표적 사례다. 20만 건의 유권자 기록이 유출되면서 FBI는 모든 IT 관리자에게 보안 강화 조치를 즉각 취할 것을 권고했다.
임퍼바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사고 중 83%가 SQLi 공격을 이용했습니다. 오늘날에도 인젝션 취약점은 여전히 OWASP 상위 10대 위협 1위를 차지하고 있습니다. 상대적으로 단순하지만, 이 취약점은 전혀 사라지지 않고 있습니다.
수많은 애플리케이션 보안 검사에서 여전히 동일한 취약점이 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며, 이를 차단하는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 사실은, 우리 소프트웨어 보안에는 아직도 개선의 여지가 많다는 것입니다.
베라코드(Veracode)의 '소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반'은 충격적인 통계를 보여줍니다: OWASP 상위 10대 정책을 통과한 애플리케이션은 고작 30%에 불과했습니다. 지난 5년간 이는 꾸준히 반복된 현상으로, 새로 스캔된 애플리케이션의 약 3분의 1에서 SQL 인젝션이 발견되었습니다. 이는 보편적인 문제의 증거입니다;우리는 실수로부터 교훈을 얻지 못하고 있으며, 최고정보보안책임자(CISO)들은 충분한 보안 인력을 채용하는 데 어려움을 겪고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안(AppSec) 전문가와 개발자의 비율은 1:100에도 미치지 못합니다.
왜 소프트웨어 보안은 생명 유지 장치인가?
전문 보안 인력 부족은 더 이상 비밀이 아니지만, 개발자들이 문제가 발생했을 때 이를 수정하지 않을 뿐만 아니라 처음부터 취약점을 도입하지 않을 능력이 분명히 부족하다는 사실에도 주목해야 합니다. 동일한 Veracode 보고서에서 모든 개발 취약점 중 단 14.4%에 대한 완화 조치가 기록되었다고 밝혔습니다. 즉,대부분의 취약점은 완화 조치가 없는 상태로 제출됩니다. 90일 이내에 해결된 취약점은 3분의 1도 되지 않으며, 42%의 취약점은 개발 기간 내내 해결되지 않은 채로 남아 있습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 계속 대화를 나누고 있습니다. 흥미롭게도 많은 기업들이 발견된 완화 불가능한 취약점(그리고 오탐이라는 재앙)에 대해 매우 좌절감을 느끼고 있어, 결국 이러한 취약점 스캔을 완전히 중단하고 손을 놓고 최선의 결과를 바라는 상황에 이르렀다는 점을 깨달았습니다.
왜 AppSec 전문가들은 이런 상황을 방치하는가?
의심의 여지없이: AppSec 담당자들은 코드 내 문제점을 고통스럽게 인지하고 있습니다. 결국 이는 그들을 소중한 팀 자원으로 만드는 핵심 역량 중 하나이기 때문입니다. 그러나 그들은 종종 여러 요인에 의해 방해를 받습니다.
예를 들어, AppSec 관리자는 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자들은 엄격한 기능 전달 스프린트를 맞추느라 너무 바빠서 이러한 문제를 해결할 시간조차 없으며, 이를 도와줄 적절한 도구도 없습니다. AppSec 전문가들은 스스로 취약점을 식별할 수는 있지만, 일반적으로 현장에서 취약점을 수정할 기술 및/또는 권한을 갖추지 못합니다.
우리는 또한 각 문제마다 해결책을 찾아내고,이를 실행하고 테스트해야 합니다. 코드에서 가장 사소한 문제조차 발견되면 수정에 소요되는 시간은 막대하며, 필요한 자원은 말할 것도 없습니다. 소프트웨어에는 700개 이상의 취약점이 도입될 수 있으며, 누구도 이 모든 취약점을 방어하는 것은 불가능합니다. 바로 이러한 이유로 대부분의 기업은 OWASP 상위 10개 취약점에만 집중하는 방식을 고수합니다. 한편 개발자들은 기능을 구축해 나가면서, 그 과정에서 작성하는 코드에 지속적으로 취약점을 도입하고 있습니다.
해결책은 무엇입니까?
간단한 사실은, 우리는 개발자에게 안전한 코딩 성공을 촉진하는 도구와 교육을 제공하지 않는다는 점입니다. 어떤 규정 또한 조직이 개발자에게 충분한 보안 기술을 확보하도록 강제하지 않으며, 슬픈 현실은 대부분의 대학과 인턴십 기관도 초급 개발자에게 안전한 코딩을 준비시키지 못한다는 것입니다.
누군가 비행기를 조종하려 할 때, 비행 전 훈련, 실무 경험, 건강 검진, 안전 지식 및 점검을 반드시 받도록 하는 매우 엄격한 절차가 있습니다. 이처럼 포괄적인 준비와 기술 검증 없이 그들이 방치될 것이라고는 아무도 상상하지 못할 것입니다. 그러나 바로 이것이 코드 작성에서 매일 벌어지는 일입니다.
개발자들에게 안전한 코드 작성법을 교육하는 데 시간을 투자해야 합니다. 그러나 오늘날 소프트웨어 개발 속도가 빠르고 우수한 개발자와 보안 전문가가 부족한 현실에서 이는 결코 우선순위가 되지 못했습니다. 이제 대화를 바꿀 때입니다.
최근 세계경제포럼의 헤드라인은 "안전 없이는 디지털 경제도 없다"고 경고하며, 보안이 모든 디지털 전환 전략의 핵심이 되어야 한다고 강조했습니다. "보안은 기업이 혁신하고 새로운 제품과 서비스를 개발할 수 있도록 보호하는 핵심 요소입니다. 방어적 역할 외에도 보안은 기업에 전략적 성장 우위를 제공합니다."
보안 코딩 기술과 성과를 향상시키면 조직에 강력한 사이버 보호 계층을 추가하여 더 우수하고 신속한 코드 개발을 지원합니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 되기 위해서는 적극적이고 실질적인 역량을 확보해야 합니다. 개발자는 차세대 보안 및 혁신의 주역이 될 수 있습니다. 그들은 매우 뛰어난 인재이며 창의적인 문제 해결사로서 일반적으로 자신의 역량 개발에 열정적입니다. 적절한 전문 교육을 통해 강점을 발휘하고 더 높은 소프트웨어 보안 기준을 위해 노력하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려 할 때, 비행 전 훈련, 실무 경험, 건강 검진, 안전 지식 및 점검을 반드시 받도록 하는 매우 엄격한 절차가 있습니다. 이처럼 포괄적인 준비와 기술 검증 없이 그들이 방치될 것이라고는 아무도 상상하지 못할 것입니다. 그러나 바로 이것이 코드 작성에서 매일 벌어지는 일입니다.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
바퀴벌레는 핵폭발 같은 극한 상황에서도 생존할 수 있다는 널리 알려진 이론이 있다. 이 이론은 어느 정도 사실이지만, 그들의 단순한 신체 구조는 체구에 비해 극한의 환경에도 놀라울 정도로 강인하게 만들어 대부분의 조건에서 제거하기 어렵게 한다.
저는 계속 생각해왔습니다... 만약 바퀴벌레가 디지털 세계에 유사한 취약점을 가졌다면, 그것은 분명 코드 내의 SQL 인젝션(SQLi) 취약점일 것입니다. 20년 넘게 이 취약점은 널리 알려져 왔지만, 조직들은 계속해서 그 피해자가 되어 왔습니다. 광범위하고, 목표물에 대한 공격은 막대한 대가를 치르게 되는데, 일리노이주 선거 해킹 사건이 대표적 사례다. 20만 건의 유권자 기록이 유출되면서 FBI는 모든 IT 관리자에게 보안 강화 조치를 즉각 취할 것을 권고했다.
임퍼바의 해커 인텔리전스 이니셔티브 보고서에 따르면, 2005년부터 2011년 사이 보고된 모든 데이터 유출 사고 중 83%가 SQLi 공격을 이용했습니다. 오늘날에도 인젝션 취약점은 여전히 OWASP 상위 10대 위협 1위를 차지하고 있습니다. 상대적으로 단순하지만, 이 취약점은 전혀 사라지지 않고 있습니다.
수많은 애플리케이션 보안 검사에서 여전히 동일한 취약점이 발견된다는 사실은 터무니없어 보입니다. 우리는 그 작동 방식을 알고 있으며, 이를 차단하는 방법도 알고 있습니다. 어떻게 이런 일이 가능할까요? 사실은, 우리 소프트웨어 보안에는 아직도 개선의 여지가 많다는 것입니다.
베라코드(Veracode)의 '소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔 기반'은 충격적인 통계를 보여줍니다: OWASP 상위 10대 정책을 통과한 애플리케이션은 고작 30%에 불과했습니다. 지난 5년간 이는 꾸준히 반복된 현상으로, 새로 스캔된 애플리케이션의 약 3분의 1에서 SQL 인젝션이 발견되었습니다. 이는 보편적인 문제의 증거입니다;우리는 실수로부터 교훈을 얻지 못하고 있으며, 최고정보보안책임자(CISO)들은 충분한 보안 인력을 채용하는 데 어려움을 겪고 있는 것으로 보입니다. 일반적으로 애플리케이션 보안(AppSec) 전문가와 개발자의 비율은 1:100에도 미치지 못합니다.
왜 소프트웨어 보안은 생명 유지 장치인가?
전문 보안 인력 부족은 더 이상 비밀이 아니지만, 개발자들이 문제가 발생했을 때 이를 수정하지 않을 뿐만 아니라 처음부터 취약점을 도입하지 않을 능력이 분명히 부족하다는 사실에도 주목해야 합니다. 동일한 Veracode 보고서에서 모든 개발 취약점 중 단 14.4%에 대한 완화 조치가 기록되었다고 밝혔습니다. 즉,대부분의 취약점은 완화 조치가 없는 상태로 제출됩니다. 90일 이내에 해결된 취약점은 3분의 1도 되지 않으며, 42%의 취약점은 개발 기간 내내 해결되지 않은 채로 남아 있습니다.
저는 보안 전문가, 최고정보보안책임자(CISO), 최고경영자(CEO)들과 계속 대화를 나누고 있습니다. 흥미롭게도 많은 기업들이 발견된 완화 불가능한 취약점(그리고 오탐이라는 재앙)에 대해 매우 좌절감을 느끼고 있어, 결국 이러한 취약점 스캔을 완전히 중단하고 손을 놓고 최선의 결과를 바라는 상황에 이르렀다는 점을 깨달았습니다.
왜 AppSec 전문가들은 이런 상황을 방치하는가?
의심의 여지없이: AppSec 담당자들은 코드 내 문제점을 고통스럽게 인지하고 있습니다. 결국 이는 그들을 소중한 팀 자원으로 만드는 핵심 역량 중 하나이기 때문입니다. 그러나 그들은 종종 여러 요인에 의해 방해를 받습니다.
예를 들어, AppSec 관리자는 문제를 발견하고 개발자에게 "코드를 수정할 수 있나요?"라고 묻습니다. 이 중요한 질문에 대한 답변은 조직마다 다르지만, 일반적으로 개발자들은 엄격한 기능 전달 스프린트를 맞추느라 너무 바빠서 이러한 문제를 해결할 시간조차 없으며, 이를 도와줄 적절한 도구도 없습니다. AppSec 전문가들은 스스로 취약점을 식별할 수는 있지만, 일반적으로 현장에서 취약점을 수정할 기술 및/또는 권한을 갖추지 못합니다.
우리는 또한 각 문제마다 해결책을 찾아내고,이를 실행하고 테스트해야 합니다. 코드에서 가장 사소한 문제조차 발견되면 수정에 소요되는 시간은 막대하며, 필요한 자원은 말할 것도 없습니다. 소프트웨어에는 700개 이상의 취약점이 도입될 수 있으며, 누구도 이 모든 취약점을 방어하는 것은 불가능합니다. 바로 이러한 이유로 대부분의 기업은 OWASP 상위 10개 취약점에만 집중하는 방식을 고수합니다. 한편 개발자들은 기능을 구축해 나가면서, 그 과정에서 작성하는 코드에 지속적으로 취약점을 도입하고 있습니다.
해결책은 무엇입니까?
간단한 사실은, 우리는 개발자에게 안전한 코딩 성공을 촉진하는 도구와 교육을 제공하지 않는다는 점입니다. 어떤 규정 또한 조직이 개발자에게 충분한 보안 기술을 확보하도록 강제하지 않으며, 슬픈 현실은 대부분의 대학과 인턴십 기관도 초급 개발자에게 안전한 코딩을 준비시키지 못한다는 것입니다.
누군가 비행기를 조종하려 할 때, 비행 전 훈련, 실무 경험, 건강 검진, 안전 지식 및 점검을 반드시 받도록 하는 매우 엄격한 절차가 있습니다. 이처럼 포괄적인 준비와 기술 검증 없이 그들이 방치될 것이라고는 아무도 상상하지 못할 것입니다. 그러나 바로 이것이 코드 작성에서 매일 벌어지는 일입니다.
개발자들에게 안전한 코드 작성법을 교육하는 데 시간을 투자해야 합니다. 그러나 오늘날 소프트웨어 개발 속도가 빠르고 우수한 개발자와 보안 전문가가 부족한 현실에서 이는 결코 우선순위가 되지 못했습니다. 이제 대화를 바꿀 때입니다.
최근 세계경제포럼의 헤드라인은 "안전 없이는 디지털 경제도 없다"고 경고하며, 보안이 모든 디지털 전환 전략의 핵심이 되어야 한다고 강조했습니다. "보안은 기업이 혁신하고 새로운 제품과 서비스를 개발할 수 있도록 보호하는 핵심 요소입니다. 방어적 역할 외에도 보안은 기업에 전략적 성장 우위를 제공합니다."
보안 코딩 기술과 성과를 향상시키면 조직에 강력한 사이버 보호 계층을 추가하여 더 우수하고 신속한 코드 개발을 지원합니다. 개발자가 보안 전문가가 될 필요는 없지만, 사이버 공격에 대한 첫 번째 방어선이 되기 위해서는 적극적이고 실질적인 역량을 확보해야 합니다. 개발자는 차세대 보안 및 혁신의 주역이 될 수 있습니다. 그들은 매우 뛰어난 인재이며 창의적인 문제 해결사로서 일반적으로 자신의 역량 개발에 열정적입니다. 적절한 전문 교육을 통해 강점을 발휘하고 더 높은 소프트웨어 보안 기준을 위해 노력하십시오. 자세한 내용은 당사의 백서를 참조하십시오.
누군가 비행기를 조종하려 할 때, 비행 전 훈련, 실무 경험, 건강 검진, 안전 지식 및 점검을 반드시 받도록 하는 매우 엄격한 절차가 있습니다. 이처럼 포괄적인 준비와 기술 검증 없이 그들이 방치될 것이라고는 아무도 상상하지 못할 것입니다. 그러나 바로 이것이 코드 작성에서 매일 벌어지는 일입니다.
목록
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약다운로드
%20(1).avif)
.avif)
