왜 우리는 호기심 많은 보안 담당자를 처벌하기보다 지원해야 하는가
청소년 안전 연구원 빌 데밀카피의 최신 보고서는 그가 다니는 학교에서 사용 중인 소프트웨어의 주요 취약점을 폭로하며, 분명히 추억을 되살려주었습니다. 저는 호기심 많은 아이였을 때 소프트웨어의 내부 구조를 열어 그 작동 방식을 살펴보고, 더 중요한 것은 해킹할 수 있는지 확인했던 기억이 납니다. 수십 년 동안소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화 방안을 모색해 왔으며, 보안 커뮤니티(때로는 다소 뻔뻔한 방식으로)는 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다. 물론 악의적인 행위자들이 그렇게 하기 전에 말이죠.
그러나 문제는, 그의 발견에 대한 대응으로 그가 일시적으로 정학 처분을 받았다는 점이다. 이는 그가 (플레이트 사에) 사적으로 연락할 수 있는 모든 방법을 동원한 끝에, 결국 자신의 신원과 시스템 파괴 능력을 드러내기 위해 상당히 공개적인 공격을 선택한 후에야 발생한 일이다. 그는 윤리적인 방식으로 플레이트 사에 경고하려 반복적으로 시도했으나 응답을 받지 못했고, 소프트웨어는 여전히 취약한 상태로 남아 있었다.대다수의 학생 데이터가 암호화되지 않은 상태로 상당히 쉽게 노출될 수 있었습니다.
그는 또 다른 회사의 소프트웨어인 Blackboard의 결함도 발견했다. Blackboard의 데이터는 최소한 암호화 처리되었지만, 잠재적 공격자가 다시 침투하여 수백만 건의 기록을 탈취할 수도 있었다. 그의 학교는 이 소프트웨어와 플레이트 제품을 모두 사용했다.
“악의적인 해커”라는 서술은 문제가 있다.
데미르카피는 올해 DEF CON컨퍼런스에서 자신의 발견을 소개했으며, 그의 익살스러운 발표 중 더 장난기 넘치는 세부 사항이 청중의 박수를 이끌어냈다.사실, 그렇습니다—보도에 따르면, 포레트사는 그의 노력에 감사하며 그의 제안을 받아들여 결국 소프트웨어를 더욱 안전하게 만들어 또 다른 데이터 유출 통계가 되는 위기를 피했습니다. 비록 그가 처음에는 불리한 입장에 있었지만, 고등학교 졸업 후 로체스터 공과대학에 진학할 예정이어서, 그가 주목받는 보안 전문가가 되기 위한 올바른 길을 걷고 있음이 분명합니다.
보안 담당자로서 이런 상황의 처리 방식을 의심하지 않을 수 없다. 비록 결과적으로는 모든 것이 잘 해결되었지만, 처음에는 그가 성가신 시나리오 작가처럼 자신의 영역이 아닌 곳에 코를 들이민 사람으로 취급받았다. 구글의 해당 사건 검색 결과에는 그를 '해커'라고 지칭하는 글이 있었는데(보안 비전문가들에게 이는 그를 여러 측면에서 악당으로 규정짓는 표현이다), 사실 그의 방법(그리고 다른 많은 사람들의 방법)은 우리 데이터의 안전을 지키는 데 기여한다.
우리는 호기심 많고 똑똑하며 보안에 민감한 사람들이 상황을 깊이 파고들어야 하며, 더 자주 조사해야 합니다. 7월까지 올해만 해도 40억 건 이상의 기록이 악의적인 데이터 유출 사건에 노출되었습니다. 8월에 패션 및 라이프스타일 브랜드 포쉬마크(Poshmark)의 파산으로 인해 이 수치가 5천만 건 더 늘어날 가능성이 있습니다.
우리는 똑같은 실수를 저질렀고, 더욱 우려되는 점은 이러한 실수들이 종종 얼굴과 손바닥을 유발하는 단순한 결함으로, 끊임없이 우리를 곤경에 빠뜨린다는 것이다.
크로스 사이트 스크립팅과 SQL 인젝션은 아직 사라지지 않았다.
보도에 따르면,Blackboard의 커뮤니티 참여 소프트웨어와 Follett의 학생 정보 시스템에는 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 흔한 보안 취약점이 포함되어 있는 것으로 밝혀졌습니다. 이 두 취약점은 1990년대부터 보안 전문가들의 입에 오르내려 왔습니다. 우리는 이들의 존재를 참아왔습니다. 정말로 아주 오랫동안, 마치 하이퍼컬러 티셔츠와 플로피 디스크처럼, 이제는 먼 옛날의 추억이 되어야 할 것들입니다.
그러나 사실은 그렇지 않다. 충분한 개발자가 자신의 코드에 이를 도입하는 것을 막을 만큼 충분한 보안 의식을 보여주지 못한다는 것이 명백하다. 스캐닝 도구와 수동 코드 검토는 어느 정도 효과만 있을 뿐이며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재한다. 이러한 경우엔 비용이 많이 들고 시간이 오래 걸리는 이러한 조치들을 더 효과적으로 활용할 수 있다.
빌 데밀카피 같은 인물은 개발자들이 더 높은 기준의 코드를 작성하도록 자극해야 한다. 고작 17세의 그는 위협 벡터를 통해 두 개의 고트래픽 시스템을 침투했는데, 이 위협 벡터들은 코드 제출 전에 탐지되어 수정되었어야 했다.
게임화: 참여의 핵심?
개발자들이 보안 문제에 거의 참여하지 않는 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직 차원과 교육 차원 모두에서 보안 의식을 갖춘 개발자를 양성하는 데 별다른 노력을 기울이지 않았기 때문입니다. 기업이 참여를 장려하고 인정하는 보안 문화를 구축하는 데 시간을 투자할 때, 즉 개발자들의 언어로 소통하고 그들이 계속 시도하도록 동기를 부여하는 교육을 실시할 때, 비로소 우리가 사용하는 소프트웨어에서 이런 성가신 취약점 잔재들이 사라지기 시작할 것입니다.
데미르카피는 분명히 보안에 대한 특별한 관심을 가지고 있으며, 악성코드를 역공학하고 취약점을 발견하며, 겉보기에는 손상되지 않은 것처럼 보이는 것을 해킹하는 방법을 연구하는 데 시간을 투자했습니다 . 그러나 그와 대화할 때( 그리고 그의 DEF CON 발표 자료를 통해), 그는 자신의 독학 과정에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
"목표는 우리 학교 소프트웨어에서 무언가를 찾아내는 것이었는데, 이는 흥미로운 '게임화' 방식이었고, 이를 통해 많은 침투 테스트를 스스로 배울 수 있었습니다. 비록 제가 연구를 시작한 목적은 더 많이 알아보기 위함이었지만, 결국 상황이 제가 예상했던 것보다 훨씬 더 심각하다는 것을 발견했습니다,"라고 그는 말했다.
모든 개발자가 보안 분야를 전문적으로 연구하기를 원하지는 않지만, 각 개발자에게 보안 의식을 높일 기회를 제공해야 합니다. 기본적인 보안 지식은 조직 내에서 사실상 '코드 작성 허가'와 같습니다. 특히 대량의 민감한 데이터를 다루는 개발자들에게 더욱 그렇습니다. 모든 개발자가 가장 단순한 보안 취약점을 코드에 작성하기 전에 이를 수정할 수 있다면, 심각한 피해를 입히려는 자들에 대해 우리는 훨씬 더 안전한 위치에 서게 될 것입니다.
게임화 훈련에 관심이 있으신가요? 저희의 '프로그래머가 보안 정복하기' 시리즈를 여기서 확인해 보세요 XSS 와 SQL 인젝션.
청소년 안전 연구원 빌 데밀카피가 학교에서 사용하는 소프트웨어의 주요 취약점을 폭로했는데, 이는 분명히 과거를 떠올리게 한다. 나는 호기심 많은 아이였을 때 소프트웨어의 덮개를 열고 그 아래를 훔쳐보며 어떻게 작동하는지... 그리고 내가 그것을 해킹할 수 있을지 살펴보던 기억이 난다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
청소년 안전 연구원 빌 데밀카피의 최신 보고서는 그가 다니는 학교에서 사용 중인 소프트웨어의 주요 취약점을 폭로하며, 분명히 추억을 되살려주었습니다. 저는 호기심 많은 아이였을 때 소프트웨어의 내부 구조를 열어 그 작동 방식을 살펴보고, 더 중요한 것은 해킹할 수 있는지 확인했던 기억이 납니다. 수십 년 동안소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화 방안을 모색해 왔으며, 보안 커뮤니티(때로는 다소 뻔뻔한 방식으로)는 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다. 물론 악의적인 행위자들이 그렇게 하기 전에 말이죠.
그러나 문제는, 그의 발견에 대한 대응으로 그가 일시적으로 정학 처분을 받았다는 점이다. 이는 그가 (플레이트 사에) 사적으로 연락할 수 있는 모든 방법을 동원한 끝에, 결국 자신의 신원과 시스템 파괴 능력을 드러내기 위해 상당히 공개적인 공격을 선택한 후에야 발생한 일이다. 그는 윤리적인 방식으로 플레이트 사에 경고하려 반복적으로 시도했으나 응답을 받지 못했고, 소프트웨어는 여전히 취약한 상태로 남아 있었다.대다수의 학생 데이터가 암호화되지 않은 상태로 상당히 쉽게 노출될 수 있었습니다.
그는 또 다른 회사의 소프트웨어인 Blackboard의 결함도 발견했다. Blackboard의 데이터는 최소한 암호화 처리되었지만, 잠재적 공격자가 다시 침투하여 수백만 건의 기록을 탈취할 수도 있었다. 그의 학교는 이 소프트웨어와 플레이트 제품을 모두 사용했다.
“악의적인 해커”라는 서술은 문제가 있다.
데미르카피는 올해 DEF CON컨퍼런스에서 자신의 발견을 소개했으며, 그의 익살스러운 발표 중 더 장난기 넘치는 세부 사항이 청중의 박수를 이끌어냈다.사실, 그렇습니다—보도에 따르면, 포레트사는 그의 노력에 감사하며 그의 제안을 받아들여 결국 소프트웨어를 더욱 안전하게 만들어 또 다른 데이터 유출 통계가 되는 위기를 피했습니다. 비록 그가 처음에는 불리한 입장에 있었지만, 고등학교 졸업 후 로체스터 공과대학에 진학할 예정이어서, 그가 주목받는 보안 전문가가 되기 위한 올바른 길을 걷고 있음이 분명합니다.
보안 담당자로서 이런 상황의 처리 방식을 의심하지 않을 수 없다. 비록 결과적으로는 모든 것이 잘 해결되었지만, 처음에는 그가 성가신 시나리오 작가처럼 자신의 영역이 아닌 곳에 코를 들이민 사람으로 취급받았다. 구글의 해당 사건 검색 결과에는 그를 '해커'라고 지칭하는 글이 있었는데(보안 비전문가들에게 이는 그를 여러 측면에서 악당으로 규정짓는 표현이다), 사실 그의 방법(그리고 다른 많은 사람들의 방법)은 우리 데이터의 안전을 지키는 데 기여한다.
우리는 호기심 많고 똑똑하며 보안에 민감한 사람들이 상황을 깊이 파고들어야 하며, 더 자주 조사해야 합니다. 7월까지 올해만 해도 40억 건 이상의 기록이 악의적인 데이터 유출 사건에 노출되었습니다. 8월에 패션 및 라이프스타일 브랜드 포쉬마크(Poshmark)의 파산으로 인해 이 수치가 5천만 건 더 늘어날 가능성이 있습니다.
우리는 똑같은 실수를 저질렀고, 더욱 우려되는 점은 이러한 실수들이 종종 얼굴과 손바닥을 유발하는 단순한 결함으로, 끊임없이 우리를 곤경에 빠뜨린다는 것이다.
크로스 사이트 스크립팅과 SQL 인젝션은 아직 사라지지 않았다.
보도에 따르면,Blackboard의 커뮤니티 참여 소프트웨어와 Follett의 학생 정보 시스템에는 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 흔한 보안 취약점이 포함되어 있는 것으로 밝혀졌습니다. 이 두 취약점은 1990년대부터 보안 전문가들의 입에 오르내려 왔습니다. 우리는 이들의 존재를 참아왔습니다. 정말로 아주 오랫동안, 마치 하이퍼컬러 티셔츠와 플로피 디스크처럼, 이제는 먼 옛날의 추억이 되어야 할 것들입니다.
그러나 사실은 그렇지 않다. 충분한 개발자가 자신의 코드에 이를 도입하는 것을 막을 만큼 충분한 보안 의식을 보여주지 못한다는 것이 명백하다. 스캐닝 도구와 수동 코드 검토는 어느 정도 효과만 있을 뿐이며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재한다. 이러한 경우엔 비용이 많이 들고 시간이 오래 걸리는 이러한 조치들을 더 효과적으로 활용할 수 있다.
빌 데밀카피 같은 인물은 개발자들이 더 높은 기준의 코드를 작성하도록 자극해야 한다. 고작 17세의 그는 위협 벡터를 통해 두 개의 고트래픽 시스템을 침투했는데, 이 위협 벡터들은 코드 제출 전에 탐지되어 수정되었어야 했다.
게임화: 참여의 핵심?
개발자들이 보안 문제에 거의 참여하지 않는 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직 차원과 교육 차원 모두에서 보안 의식을 갖춘 개발자를 양성하는 데 별다른 노력을 기울이지 않았기 때문입니다. 기업이 참여를 장려하고 인정하는 보안 문화를 구축하는 데 시간을 투자할 때, 즉 개발자들의 언어로 소통하고 그들이 계속 시도하도록 동기를 부여하는 교육을 실시할 때, 비로소 우리가 사용하는 소프트웨어에서 이런 성가신 취약점 잔재들이 사라지기 시작할 것입니다.
데미르카피는 분명히 보안에 대한 특별한 관심을 가지고 있으며, 악성코드를 역공학하고 취약점을 발견하며, 겉보기에는 손상되지 않은 것처럼 보이는 것을 해킹하는 방법을 연구하는 데 시간을 투자했습니다 . 그러나 그와 대화할 때( 그리고 그의 DEF CON 발표 자료를 통해), 그는 자신의 독학 과정에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
"목표는 우리 학교 소프트웨어에서 무언가를 찾아내는 것이었는데, 이는 흥미로운 '게임화' 방식이었고, 이를 통해 많은 침투 테스트를 스스로 배울 수 있었습니다. 비록 제가 연구를 시작한 목적은 더 많이 알아보기 위함이었지만, 결국 상황이 제가 예상했던 것보다 훨씬 더 심각하다는 것을 발견했습니다,"라고 그는 말했다.
모든 개발자가 보안 분야를 전문적으로 연구하기를 원하지는 않지만, 각 개발자에게 보안 의식을 높일 기회를 제공해야 합니다. 기본적인 보안 지식은 조직 내에서 사실상 '코드 작성 허가'와 같습니다. 특히 대량의 민감한 데이터를 다루는 개발자들에게 더욱 그렇습니다. 모든 개발자가 가장 단순한 보안 취약점을 코드에 작성하기 전에 이를 수정할 수 있다면, 심각한 피해를 입히려는 자들에 대해 우리는 훨씬 더 안전한 위치에 서게 될 것입니다.
게임화 훈련에 관심이 있으신가요? 저희의 '프로그래머가 보안 정복하기' 시리즈를 여기서 확인해 보세요 XSS 와 SQL 인젝션.
청소년 안전 연구원 빌 데밀카피의 최신 보고서는 그가 다니는 학교에서 사용 중인 소프트웨어의 주요 취약점을 폭로하며, 분명히 추억을 되살려주었습니다. 저는 호기심 많은 아이였을 때 소프트웨어의 내부 구조를 열어 그 작동 방식을 살펴보고, 더 중요한 것은 해킹할 수 있는지 확인했던 기억이 납니다. 수십 년 동안소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화 방안을 모색해 왔으며, 보안 커뮤니티(때로는 다소 뻔뻔한 방식으로)는 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다. 물론 악의적인 행위자들이 그렇게 하기 전에 말이죠.
그러나 문제는, 그의 발견에 대한 대응으로 그가 일시적으로 정학 처분을 받았다는 점이다. 이는 그가 (플레이트 사에) 사적으로 연락할 수 있는 모든 방법을 동원한 끝에, 결국 자신의 신원과 시스템 파괴 능력을 드러내기 위해 상당히 공개적인 공격을 선택한 후에야 발생한 일이다. 그는 윤리적인 방식으로 플레이트 사에 경고하려 반복적으로 시도했으나 응답을 받지 못했고, 소프트웨어는 여전히 취약한 상태로 남아 있었다.대다수의 학생 데이터가 암호화되지 않은 상태로 상당히 쉽게 노출될 수 있었습니다.
그는 또 다른 회사의 소프트웨어인 Blackboard의 결함도 발견했다. Blackboard의 데이터는 최소한 암호화 처리되었지만, 잠재적 공격자가 다시 침투하여 수백만 건의 기록을 탈취할 수도 있었다. 그의 학교는 이 소프트웨어와 플레이트 제품을 모두 사용했다.
“악의적인 해커”라는 서술은 문제가 있다.
데미르카피는 올해 DEF CON컨퍼런스에서 자신의 발견을 소개했으며, 그의 익살스러운 발표 중 더 장난기 넘치는 세부 사항이 청중의 박수를 이끌어냈다.사실, 그렇습니다—보도에 따르면, 포레트사는 그의 노력에 감사하며 그의 제안을 받아들여 결국 소프트웨어를 더욱 안전하게 만들어 또 다른 데이터 유출 통계가 되는 위기를 피했습니다. 비록 그가 처음에는 불리한 입장에 있었지만, 고등학교 졸업 후 로체스터 공과대학에 진학할 예정이어서, 그가 주목받는 보안 전문가가 되기 위한 올바른 길을 걷고 있음이 분명합니다.
보안 담당자로서 이런 상황의 처리 방식을 의심하지 않을 수 없다. 비록 결과적으로는 모든 것이 잘 해결되었지만, 처음에는 그가 성가신 시나리오 작가처럼 자신의 영역이 아닌 곳에 코를 들이민 사람으로 취급받았다. 구글의 해당 사건 검색 결과에는 그를 '해커'라고 지칭하는 글이 있었는데(보안 비전문가들에게 이는 그를 여러 측면에서 악당으로 규정짓는 표현이다), 사실 그의 방법(그리고 다른 많은 사람들의 방법)은 우리 데이터의 안전을 지키는 데 기여한다.
우리는 호기심 많고 똑똑하며 보안에 민감한 사람들이 상황을 깊이 파고들어야 하며, 더 자주 조사해야 합니다. 7월까지 올해만 해도 40억 건 이상의 기록이 악의적인 데이터 유출 사건에 노출되었습니다. 8월에 패션 및 라이프스타일 브랜드 포쉬마크(Poshmark)의 파산으로 인해 이 수치가 5천만 건 더 늘어날 가능성이 있습니다.
우리는 똑같은 실수를 저질렀고, 더욱 우려되는 점은 이러한 실수들이 종종 얼굴과 손바닥을 유발하는 단순한 결함으로, 끊임없이 우리를 곤경에 빠뜨린다는 것이다.
크로스 사이트 스크립팅과 SQL 인젝션은 아직 사라지지 않았다.
보도에 따르면,Blackboard의 커뮤니티 참여 소프트웨어와 Follett의 학생 정보 시스템에는 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 흔한 보안 취약점이 포함되어 있는 것으로 밝혀졌습니다. 이 두 취약점은 1990년대부터 보안 전문가들의 입에 오르내려 왔습니다. 우리는 이들의 존재를 참아왔습니다. 정말로 아주 오랫동안, 마치 하이퍼컬러 티셔츠와 플로피 디스크처럼, 이제는 먼 옛날의 추억이 되어야 할 것들입니다.
그러나 사실은 그렇지 않다. 충분한 개발자가 자신의 코드에 이를 도입하는 것을 막을 만큼 충분한 보안 의식을 보여주지 못한다는 것이 명백하다. 스캐닝 도구와 수동 코드 검토는 어느 정도 효과만 있을 뿐이며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재한다. 이러한 경우엔 비용이 많이 들고 시간이 오래 걸리는 이러한 조치들을 더 효과적으로 활용할 수 있다.
빌 데밀카피 같은 인물은 개발자들이 더 높은 기준의 코드를 작성하도록 자극해야 한다. 고작 17세의 그는 위협 벡터를 통해 두 개의 고트래픽 시스템을 침투했는데, 이 위협 벡터들은 코드 제출 전에 탐지되어 수정되었어야 했다.
게임화: 참여의 핵심?
개발자들이 보안 문제에 거의 참여하지 않는 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직 차원과 교육 차원 모두에서 보안 의식을 갖춘 개발자를 양성하는 데 별다른 노력을 기울이지 않았기 때문입니다. 기업이 참여를 장려하고 인정하는 보안 문화를 구축하는 데 시간을 투자할 때, 즉 개발자들의 언어로 소통하고 그들이 계속 시도하도록 동기를 부여하는 교육을 실시할 때, 비로소 우리가 사용하는 소프트웨어에서 이런 성가신 취약점 잔재들이 사라지기 시작할 것입니다.
데미르카피는 분명히 보안에 대한 특별한 관심을 가지고 있으며, 악성코드를 역공학하고 취약점을 발견하며, 겉보기에는 손상되지 않은 것처럼 보이는 것을 해킹하는 방법을 연구하는 데 시간을 투자했습니다 . 그러나 그와 대화할 때( 그리고 그의 DEF CON 발표 자료를 통해), 그는 자신의 독학 과정에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
"목표는 우리 학교 소프트웨어에서 무언가를 찾아내는 것이었는데, 이는 흥미로운 '게임화' 방식이었고, 이를 통해 많은 침투 테스트를 스스로 배울 수 있었습니다. 비록 제가 연구를 시작한 목적은 더 많이 알아보기 위함이었지만, 결국 상황이 제가 예상했던 것보다 훨씬 더 심각하다는 것을 발견했습니다,"라고 그는 말했다.
모든 개발자가 보안 분야를 전문적으로 연구하기를 원하지는 않지만, 각 개발자에게 보안 의식을 높일 기회를 제공해야 합니다. 기본적인 보안 지식은 조직 내에서 사실상 '코드 작성 허가'와 같습니다. 특히 대량의 민감한 데이터를 다루는 개발자들에게 더욱 그렇습니다. 모든 개발자가 가장 단순한 보안 취약점을 코드에 작성하기 전에 이를 수정할 수 있다면, 심각한 피해를 입히려는 자들에 대해 우리는 훨씬 더 안전한 위치에 서게 될 것입니다.
게임화 훈련에 관심이 있으신가요? 저희의 '프로그래머가 보안 정복하기' 시리즈를 여기서 확인해 보세요 XSS 와 SQL 인젝션.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
청소년 안전 연구원 빌 데밀카피의 최신 보고서는 그가 다니는 학교에서 사용 중인 소프트웨어의 주요 취약점을 폭로하며, 분명히 추억을 되살려주었습니다. 저는 호기심 많은 아이였을 때 소프트웨어의 내부 구조를 열어 그 작동 방식을 살펴보고, 더 중요한 것은 해킹할 수 있는지 확인했던 기억이 납니다. 수십 년 동안소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화 방안을 모색해 왔으며, 보안 커뮤니티(때로는 다소 뻔뻔한 방식으로)는 결함과 잠재적 재앙을 발견하는 데 중요한 역할을 해왔습니다. 물론 악의적인 행위자들이 그렇게 하기 전에 말이죠.
그러나 문제는, 그의 발견에 대한 대응으로 그가 일시적으로 정학 처분을 받았다는 점이다. 이는 그가 (플레이트 사에) 사적으로 연락할 수 있는 모든 방법을 동원한 끝에, 결국 자신의 신원과 시스템 파괴 능력을 드러내기 위해 상당히 공개적인 공격을 선택한 후에야 발생한 일이다. 그는 윤리적인 방식으로 플레이트 사에 경고하려 반복적으로 시도했으나 응답을 받지 못했고, 소프트웨어는 여전히 취약한 상태로 남아 있었다.대다수의 학생 데이터가 암호화되지 않은 상태로 상당히 쉽게 노출될 수 있었습니다.
그는 또 다른 회사의 소프트웨어인 Blackboard의 결함도 발견했다. Blackboard의 데이터는 최소한 암호화 처리되었지만, 잠재적 공격자가 다시 침투하여 수백만 건의 기록을 탈취할 수도 있었다. 그의 학교는 이 소프트웨어와 플레이트 제품을 모두 사용했다.
“악의적인 해커”라는 서술은 문제가 있다.
데미르카피는 올해 DEF CON컨퍼런스에서 자신의 발견을 소개했으며, 그의 익살스러운 발표 중 더 장난기 넘치는 세부 사항이 청중의 박수를 이끌어냈다.사실, 그렇습니다—보도에 따르면, 포레트사는 그의 노력에 감사하며 그의 제안을 받아들여 결국 소프트웨어를 더욱 안전하게 만들어 또 다른 데이터 유출 통계가 되는 위기를 피했습니다. 비록 그가 처음에는 불리한 입장에 있었지만, 고등학교 졸업 후 로체스터 공과대학에 진학할 예정이어서, 그가 주목받는 보안 전문가가 되기 위한 올바른 길을 걷고 있음이 분명합니다.
보안 담당자로서 이런 상황의 처리 방식을 의심하지 않을 수 없다. 비록 결과적으로는 모든 것이 잘 해결되었지만, 처음에는 그가 성가신 시나리오 작가처럼 자신의 영역이 아닌 곳에 코를 들이민 사람으로 취급받았다. 구글의 해당 사건 검색 결과에는 그를 '해커'라고 지칭하는 글이 있었는데(보안 비전문가들에게 이는 그를 여러 측면에서 악당으로 규정짓는 표현이다), 사실 그의 방법(그리고 다른 많은 사람들의 방법)은 우리 데이터의 안전을 지키는 데 기여한다.
우리는 호기심 많고 똑똑하며 보안에 민감한 사람들이 상황을 깊이 파고들어야 하며, 더 자주 조사해야 합니다. 7월까지 올해만 해도 40억 건 이상의 기록이 악의적인 데이터 유출 사건에 노출되었습니다. 8월에 패션 및 라이프스타일 브랜드 포쉬마크(Poshmark)의 파산으로 인해 이 수치가 5천만 건 더 늘어날 가능성이 있습니다.
우리는 똑같은 실수를 저질렀고, 더욱 우려되는 점은 이러한 실수들이 종종 얼굴과 손바닥을 유발하는 단순한 결함으로, 끊임없이 우리를 곤경에 빠뜨린다는 것이다.
크로스 사이트 스크립팅과 SQL 인젝션은 아직 사라지지 않았다.
보도에 따르면,Blackboard의 커뮤니티 참여 소프트웨어와 Follett의 학생 정보 시스템에는 크로스 사이트 스크립팅(XSS) 및 SQL 인젝션과 같은 흔한 보안 취약점이 포함되어 있는 것으로 밝혀졌습니다. 이 두 취약점은 1990년대부터 보안 전문가들의 입에 오르내려 왔습니다. 우리는 이들의 존재를 참아왔습니다. 정말로 아주 오랫동안, 마치 하이퍼컬러 티셔츠와 플로피 디스크처럼, 이제는 먼 옛날의 추억이 되어야 할 것들입니다.
그러나 사실은 그렇지 않다. 충분한 개발자가 자신의 코드에 이를 도입하는 것을 막을 만큼 충분한 보안 의식을 보여주지 못한다는 것이 명백하다. 스캐닝 도구와 수동 코드 검토는 어느 정도 효과만 있을 뿐이며, XSS나 SQL 인젝션보다 훨씬 복잡한 보안 문제들이 존재한다. 이러한 경우엔 비용이 많이 들고 시간이 오래 걸리는 이러한 조치들을 더 효과적으로 활용할 수 있다.
빌 데밀카피 같은 인물은 개발자들이 더 높은 기준의 코드를 작성하도록 자극해야 한다. 고작 17세의 그는 위협 벡터를 통해 두 개의 고트래픽 시스템을 침투했는데, 이 위협 벡터들은 코드 제출 전에 탐지되어 수정되었어야 했다.
게임화: 참여의 핵심?
개발자들이 보안 문제에 거의 참여하지 않는 이유에 대해 많은 글을 써왔는데, 간단히 말해 조직 차원과 교육 차원 모두에서 보안 의식을 갖춘 개발자를 양성하는 데 별다른 노력을 기울이지 않았기 때문입니다. 기업이 참여를 장려하고 인정하는 보안 문화를 구축하는 데 시간을 투자할 때, 즉 개발자들의 언어로 소통하고 그들이 계속 시도하도록 동기를 부여하는 교육을 실시할 때, 비로소 우리가 사용하는 소프트웨어에서 이런 성가신 취약점 잔재들이 사라지기 시작할 것입니다.
데미르카피는 분명히 보안에 대한 특별한 관심을 가지고 있으며, 악성코드를 역공학하고 취약점을 발견하며, 겉보기에는 손상되지 않은 것처럼 보이는 것을 해킹하는 방법을 연구하는 데 시간을 투자했습니다 . 그러나 그와 대화할 때( 그리고 그의 DEF CON 발표 자료를 통해), 그는 자신의 독학 과정에 대해 흥미로운 발언을 했습니다... 그는 이를 게임화했습니다:
"목표는 우리 학교 소프트웨어에서 무언가를 찾아내는 것이었는데, 이는 흥미로운 '게임화' 방식이었고, 이를 통해 많은 침투 테스트를 스스로 배울 수 있었습니다. 비록 제가 연구를 시작한 목적은 더 많이 알아보기 위함이었지만, 결국 상황이 제가 예상했던 것보다 훨씬 더 심각하다는 것을 발견했습니다,"라고 그는 말했다.
모든 개발자가 보안 분야를 전문적으로 연구하기를 원하지는 않지만, 각 개발자에게 보안 의식을 높일 기회를 제공해야 합니다. 기본적인 보안 지식은 조직 내에서 사실상 '코드 작성 허가'와 같습니다. 특히 대량의 민감한 데이터를 다루는 개발자들에게 더욱 그렇습니다. 모든 개발자가 가장 단순한 보안 취약점을 코드에 작성하기 전에 이를 수정할 수 있다면, 심각한 피해를 입히려는 자들에 대해 우리는 훨씬 더 안전한 위치에 서게 될 것입니다.
게임화 훈련에 관심이 있으신가요? 저희의 '프로그래머가 보안 정복하기' 시리즈를 여기서 확인해 보세요 XSS 와 SQL 인젝션.
%20(1).avif)
.avif)
