보안 코드에 대한 통찰

인공지능 기반 엔진이 새로운 유형의 소프트웨어 위험을 창출했습니다. 즉각적인 주입, 부실한 작업, 과도한 에이전트 권한 제한은 단순한 이론적 문제가 아닙니다. 이들은 현대 애플리케이션에서 현실로 다가온 가시적인 위협입니다.

개발자는 이러한 신흥 권위 모델 환경에서 현실 세계의 복잡성을 직접 경험해야 합니다. 이것이 바로 사이버몬 2025 AI/LLM 보스 임무를 제한된 활동체에서 보안 코드 워리어의 구성 요소로 전환한 이유입니다. 새 임무를 생성할 때, '보안 개요' 하위의 특정 개요 섹션에서 '사이버몬 2025: 실패한 보스 격퇴' 컬렉션을 찾을 수 있습니다 .

사이버몬 2025: 보스 격파 실패 보스는 조직이 이러한 고난도 인공지능 보안 전투를 자체 보안 코덱에 무작위로 통합하도록 허용합니다.

보스를 쓰러뜨렸어?

Boss를 물리치기 위한 네 차례의 고급 AI/LLM 전투 대결을 통해 현실 세계에서 안전한 인공지능 개발 능력을 시험합니다.

각 주제는 간단한 소개 영상과 가이드, 엔진 기반의 워밍업 연습을 포함하며, 사이버몽 2025 중기 고난이도 보스 미션 생성 원인을 다룹니다. 이러한 중대한 시나리오는 실제 인공지능 취약점 범주보다 더 중요하며, 인공지능 애플리케이션 개발을 지원하는 연령대별 지원이 필요합니다. 개발자는 반드시 이러한 취약점 범주를 이해해야 합니다.

네 개의 보스 임무는 동일한 AI 위험 구역을 대상으로 하며, AI 구동 시스템 내 실제 전투 모드를 시뮬레이션합니다:

• 바이파사우르 — 직접 접입 즉시 주사
• Keykraken — 간접적 즉시 주입
• 프롬프트게스트 — 벡터와 벡터 표현 점수
• Proxysurfa — 과도한 프록시 사용

마음대로 실행하다

우리는 한 번에 하나의 보스만 집중하여 각 취약점이 "적절한 관심을 받도록" 권장합니다. 많은 조직 선택기가 실행됩니다:

• 매주 한 명의 CEO, AI 보안에 집중하는 스프린트
• 혹은 저자가 "이달의 취약점" 프로젝트-매월

지식베이스에는 관리자가 내부 구성원 활동을 구성할 수 있도록 구조화된 추천 및 다운로드 가능한 브랜드 자산이 제공됩니다:
Cybermon 2025: 나만의 'Beat the Boss' 이벤트

AI 안전 준비 상태 구현

인공지능 가속기가 소프트웨어 위험 환경을 재편하고 있다. 새롭게 등장하는 결함 유형은 인식뿐만 아니라 적용 경험도 요구한다.

보스를 물리쳐 조직 에너지를 지속적으로 변수화하는 인공지능 위위의 능력을 실제 개발자의 능력으로 전환한다.

개발자는 각 전투를 독립적으로 시도한 후, 공격자의 사고방식과 방어 전략을 강화하기 위한 지침성 데모 연습 솔루션을 확인할 수 있습니다. 완전한 해결 방안 데모 영상은 전투 후 학습을 위해 제공됩니다:

많은 팀은 내부 지식 공유 회의를 통해 경험을 확장하며, 사건 기반 학습을 경쟁적 학습에서 협업적 학습으로 전환합니다. 보안 발전은 팀 스포츠입니다. 개발자, 보안 책임자 및 엔지니어링 팀이 함께 노력하여 AI 공격 표면이 지속적으로 확대되는 것을 이해하고 완화할 때 조직은 최상의 보호를 받게 됩니다. 보고 간소화, '해결 방법' 공유 및 '팀 간 논의'는 '개인적 전쟁'의 완성을 집합적 역량으로 전환하는 데 도움이 됩니다.

보안 인텔리전스 수집을 강화하고 개발 팀 내에서 측정 가능한 AI 보안 성숙도를 구축하기 위해 Beat the Boss를 보안 인텔리전스 수집 프로그램에 통합하십시오.

시작하자

새 작업을 생성할 때, '보안 개요' 아래의 특정 개요 섹션에서 '사이버몽 2025: 실패한 보스 퇴치' 컬렉션을 찾을 수 있습니다. 보안 코드 워리어 계정에 로그인하세요. 부품을 구성하고 팀 전체의 보안 AI 개발을 강화하세요.

《네트워크 탄력성법》은 전략적 우선순위로 급부상하고 있다. 이는 유럽연합 기업뿐만 아니라 유럽 시장에 디지털 제품을 판매하는 모든 기업에 적용된다. 비록 규정 준수 마감일이 2027년으로 연기되었지만, 엔지니어링 및 보안 팀은 설계 관행, 취약점 처리, 개발 역량을 통해 보안을 구현하는 까다로운 문제들을 이미 제기하고 있다.

많은 문서 및 감사 중심 규정과 달리, CRA는 안전한 소프트웨어 설계 및 개발을 규정 준수의 핵심으로 삼습니다. 보안 설계 역량에 조기에 투자하는 조직은 더 빠르게 규정 준수를 달성할 수 있을 뿐만 아니라, 제품 보안이 구매 결정 요인이 된 시장에서 두각을 나타낼 수 있습니다.

《네트워크 탄력성법》은 무엇을 요구하는가

《사이버 회복탄력성 법안》(CRA)은 유럽 연합 시장에서 소프트웨어, 운영 체제, 네트워크 연결 장치 및 임베디드 시스템을 포함한 대부분의 디지털 구성 요소를 갖춘 제품에 기본적인 사이버 보안 요구 사항을 도입합니다.

더 중요한 것은, 책임 소재가변한다는 점이다.

안전성은 더 이상 실행 시나 운영상의 문제만이 아닙니다. CRA 하에서는 설계 및 개발 의무로 전환되어 아키텍처, 구현, 유지보수 및 취약점 처리를 포괄합니다.

엔지니어링 및 안전 리더들에게 이는 다음과 같은 의미를 지닙니다:

• 제품은 반드시 "안전 설계" 원칙에 따라 제작되어야 합니다.
• 알려진 취약점을 최대한 예방하고 효과적으로 처리해야 합니다.
• 조직은 보안 개발 관행이 마련되어 있음을 입증해야 합니다.

간단히 말해: 규정 준수는 개발자가 코드를 작성하고 유지 관리하는 방식과 불가분의 관계에 있습니다.

CRA는 누구에게 적용됩니까?

비록 유럽연합(EU)에서 도입되었지만, CRA는 범위에 속하는 디지털 제품을 EU 시장에 출시하는 전 세계 모든 조직에 적용됩니다. 여기에는 다음이 포함됩니다:

• 해당 서비스는 해당 제품군의 원격 데이터 처리 구성 요소를 제공하는 소프트웨어 공급업체 및 SaaS 제공업체 역할을 수행합니다.
• 디지털 또는 네트워크 연결 제품의 제조업체
• 수입업체, 유통업체 및 소매업체
• 제3자 디지털 구성 요소를 내장한 조직

글로벌 기업에게 CRA 준비 완료는 지역별 규정 준수 활동이 아닌, 국경을 넘는 개발을 위한 필수 요건입니다.

왜 조직은 지금 시작했는가

주요 이정표:

• 2026년 9월 — 취약점 보고 의무 시작
• 2027년 12월 — 완전한 규정 준수가 필요합니다

표면적으로 보면 이 일정은 꽤 편안해 보일 수 있다. 실제로 발전 전환은 분기별로 이루어지는 것이 아니라 수년에 걸쳐 지속되는 것이다.

안전 설계는 정책 업데이트가 아닙니다. 그것은 다음을 필요로 합니다:

• 수많은 언어와 팀을 아우르는 개발 역량을 향상시키다
• 안전 설계 기대치를 일상 업무 프로세스에 내재화한다
• 수동적 취약점 수리에서 예방으로 전환
• 측정 가능한 증거를 생성하여 보안 개발 관행이 일관되게 적용되었음을 입증합니다.

이러한 변화는 채용, 입사, 구조 결정, SDLC 프로세스 및 엔지니어링 문화에 영향을 미칠 것입니다. 2026년 말까지 지연된 조직은 규제 압박 속에서 역량 개조를 시도하게 될 것이며, 이는 훨씬 더 비용이 많이 들고 파괴적인 경로입니다.

법 집행은 중대한 재정적 위험을 초래하기도 합니다. CRA 제64조에 따르면, 기본적인 사이버 보안 요구사항을 위반할 경우 최대 1,500만 유로 또는 전 세계 연간 매출액의 2.5%에 달하는 벌금이 부과될 수 있습니다.

2026년 말까지 기다리면 이미 늦을 것이다.

CRA는 결국 개발자의 역량에 대한 도전이다

많은 규정은 정책과 문서에 중점을 둡니다. CRA는 한 걸음 더 나아가, 규정 준수를 소프트웨어 설계 및 구축에 사용되는 실제 관행과 연결합니다. 이는 보안 개발을 단순한 거버넌스 요구사항이 아닌 운영적 규율로서의 기대치를 높입니다.

엔지니어링 리더에게 이는 개발 팀이 다음과 같은 보안 관행을 일관되게 적용하는지에 따라 규정 준수가 결정된다는 것을 의미합니다:

• 일반적인 취약점 유형 파악하기
• 보안 설계 및 아키텍처 원칙 적용
• 안전하지 않은 구현 방식을 피하십시오
• 책임감 있게 제3자 및 오픈소스 구성 요소를 처리합니다

보안 도구는 문제 탐지에 중요한 역할을 합니다. 그러나 코드 작성 후에는 도구의 한계가 드러납니다. 설계 단계에서 보안을 보장하려면 개발자가 취약점을 사전에 방지해야 하며, 이는 모든 팀, 언어, 제품에 걸쳐 일관되게 적용되어야 합니다.

도구만으로는 이를 달성할 수 없습니다. 안전 설계 결과는 인간의 능력에달려 있습니다.

안전 코드 전사가 CRA 준비를 어떻게 지원하는가

안전 코드 전사는 CRA와 일치하는 학습 경로를 제공합니다. 이들은 다음을 결합합니다:

• 하나의 CRA 표준 임무가 부속서 I 제I부 기술적 취약점 요구사항을 충족한다.
• 설계로 안전을 보장하는 개념 집합
• 실습을 통한 학습, 특정 언어의 취약점 학습

SCW의 CRA 준수 학습 콘텐츠 전체를 확인하려면 당사의 단일 페이지 가이드를 참조하십시오. SCW는 규정 준수를 인증하지 않습니다. 당사는 다음과 같은 방식으로 CRA 준비를 지원합니다 : * 구조화된 학습 및 측정 가능한 역량 향상 * 규정 준수 보안 개발 원칙 준수

지금 바로 CRA 준비를 시작하세요

CRA는 업계의 발전 방향을 반영합니다: 설계 공정을 기본 기대치로 삼아 안전성을 보장하는 것입니다. 현재 개발자 역량에 투자하는 조직은 규정 준수를 달성할 수 있는 역량이 더 뛰어나며, 장기적으로 더 탄력적이고 위험이 낮은 소프트웨어를 구축할 수 있습니다.

Secure Code Warrior 규정 준수를 달성하는 데 Secure Code Warrior 도움이 되는지에 대한 자세한 내용은 당사 지식 기반을 참조하십시오: Secure Code Warrior 규정 준수를 달성하는 데Secure Code Warrior 도움이 되는지

우리는 성공을 이끄는 10가지 핵심 요소를 심층적으로 연구하기 시작했습니다. 그 기본 단계는 다음과같습니다 . 요소 1: 명확하고 측정 가능한 성공 기준설정. 안전한 코딩 프로세스가 여정이라면, 첫 번째이자 가장 중요한 단계는 정확히 어디로 가야 하는지 아는 것입니다. 이것이 첫 번째 핵심 요소의 본질입니다.

성공 기준을 업무 성과와 연계시키다

성공적인 보안 코딩 프로그램 구축을 위해서는 비즈니스 성과와 밀접하게 연관된 명확한 목표가 존재해야 합니다. Enabler 1은 핵심 질문에 답합니다: "매우 구체적이고 측정 가능한 용어로, 우리가 보안 코딩 프로그램을 통해 해결하려는 문제나 고통 포인트는 무엇인가?"

아마도 귀사의 조직은 규정 준수 요구사항을충족하거나 보안 취약점 및 사이버 공격을 방지하기위해 회의를 개최하고자 할 수 있습니다. 또는 조직으로서 처음부터 시작하여 개발자가 안전하게 코딩하도록 교육함으로써 재작업 비용과 시간을 줄이는 방법을 찾고 있을 수도 있습니다.

동기 부여 방식이나 조직의 현재 상태, 심지어 선택한 안전 교육 플랫폼에 관계없이, 계획의 장기적 성공은 명확한 목표가 비즈니스 목표와 연계되어 지원을 확보하고 지속적인 성공을 보장하는지에 크게 좌우됩니다.

성공 기준을 설정할 때는 프로그램의 주요 이해관계자를 고려하십시오. 경영진 후원자와 그들의 비즈니스 목표를 파악하면 부서 간에 더 넓은 채택을 유도하는 데 도움이 됩니다.

성공을 실질적으로 측정 가능하게 하라

본질적으로 이러한 목표는 귀사의 조직에 특화된 것이어야 합니다. 즉, 이러한 전형적인 비즈니스 목표를 살펴보고, 이를 통해 더 많은 아이디어를 도출할 수 있는 방법을 고려해 보십시오:

위험 감소: 개발자 위험을 완화하고 코딩 결함으로 인한 취약점을 줄입니다. 여기에는 위험 식별 및 애플리케이션 공격 표면 축소가 포함됩니다.

프로그램은 취약점 밀도나 취약점 주입률 감소 및 회피와 같은 지표를 목표로 삼는 경우가 많다.

운영 속도: 제품 제공 속도를 극대화하여 개발자의 좌절감과 이탈을 줄이고 재작업에 소요되는 시간을 감소시킵니다. 보안 코드 교육은 소프트웨어 개발 생명주기 후반에 발견되는 버그가 있는 코드의 시간 소모적인 재작업을 피하도록 지원함으로써 개발자에게 중요한 동기 부여 역할을 합니다.

프로그램은 종종 개발자의 취약점 평균 복구 시간(MTTR) 단축을 목표로 합니다.

규제 준수: 외부 규정 준수를 달성하십시오. 예를 들어, PCI-DSS(결제 시스템 작업에 참여하는 모든 개발자에게 교육을 의무화하는 표준)와 같은 표준을 준수하는 것이 포함됩니다.

재능과 신뢰: 개발자 조직 내 보안 및 취약점에 대한 참여도와 인식을 제고하는 동시에 고객 신뢰를 유지하고 구축합니다. 일부 기업에서는 보안 역량을 갖춘 개발자가 시장 차별화를 구축하는 데 기여합니다.

프로그램은 종종 개발자를 위한 최소 기술 요건을 설정하거나 심지어 전문적인 보안 챔피언 프로그램을 만들기도 합니다.

‍성공적인 협력 계획에서 성공을 기록하다

성공 기준을 정의한후 다음 단계는 이를 통합 성공 계획에기록하는 것입니다. 이 계획은 기능 간 공유 청사진으로, 교육 플랫폼 CSM과 같은 외부 지원을 포함하여 계획의 모든 주요 이해관계자와 공유됩니다.

성공 계획에는 다음이 포함됩니다:

1. 가치 주도 요소: 여기에는 코드 보안 향상 및 프로그램의 "왜"에 대한 답변과 관련된 고급 비즈니스 목표가 포함됩니다.
2. 현재 상태: 이는 "현재 우리가 어디에 있는가?"(예: 현재의 보안 코딩 기술 또는 기존 교육 프로그램)를 확립합니다.
3. 미래(기대) 상태: 다음으로 "우리는 어디로 가고 싶은가?"를 기록하고 보안 코딩 기술 격차를 어떻게 메울지 결정해야 합니다.
4. 핵심 성과 지표/측정 지표: 이러한 지표들은 성공을 보여주며, 해당 계획의 시행에 따라 현재 상태와 미래 상태 간의 격차가 좁혀지고 있음을 나타냅니다.

우리는 처음에 1~2개의 특정 지표로 시작하여 필요 시 추후 확장할 것을 권장합니다. 이러한 핵심 성과 지표/측정 기준은 S.M.A.R.T. 원칙(구체적, 측정 가능, 달성 가능, 관련성 있음, 시한 설정)을 준수해야 합니다. 추적이 용이해야 하며 임의로 해석될 수 없어야 합니다. 계획을 실행에 옮기기 위해서는 모든 관계자가 책임을 지고, 가치와 투자 수익률을 정기적으로 경영진과 함께 검토해야 합니다.

이러한 기준을 명확히 정의하고 측정함으로써, 귀사의 보안 프로그램은 단순한 비용 센터에서 핵심 비즈니스 성과에 대한 검증 가능한 동인(驅因)으로 전환될 것이며, 이는 프로그램 성숙도를 달성하기 위한 필수적인 첫걸음입니다.

다음으로, 우리는 추진력 2: 고위 경영진의 후원을 심층적으로 살펴보며, 보안 코드 계획의 성공적인 도입 과정에서 리더십이 수행하는 핵심적인 역할을 논의할 것입니다.

다른 질문이 있으신가요?고객은 고객 지원팀 또는 support@securecodewarrior.com으로문의하실 수 있습니다. 잠재 고객은 저희 영업팀 담당자와 상담하시려면 여기를클릭하세요.

스타트업에 뛰어들기로 결심한 개인은 '기업가'라는 야망 넘치는 호칭부터 '완전 미친놈'이라는 훨씬 덜 화려한 표현까지 다양한 이름으로 불린다. Secure Code Warrior 11년간 이끌어온 나는 기쁘게도 그 중간 어딘가에 위치해 있다. 

지난 5년은 많은 이들에게 회복력의 교훈이 되었습니다. 지구상 가장 똑똑한 사람들조차 예측하지 못한 경제적, 비경제적 난관이 예상치 못한 방식으로 닥쳤기 때문입니다. 여기서 '적자생존'이 떠오를 수 있지만, 저는 이 말을 더 선호합니다:

종에서 가장 강한 개체가 살아남는 것도 아니고, 가장 지능이 높은 개체가 살아남는 것도 아니다. 변화에 가장 잘 적응하는 개체가 살아남는다.

(이 말은 종종 찰스 다윈의 것으로 잘못 알려져 있지만, 실제로는 다윈의 저서 『종의 기원』 을 요약하던 레온 C. 메긴슨 교수가 한 말이다. 이 정보가 언젠가 펍 퀴즈에서 큰 상을 따는 데 도움이 되길 바란다.)

인공지능보다 변화와 적응력을 더 잘 보여주는 사례가 우리 세상에 또 있을까? 대규모 언어 모델(LLM)이 등장한 지 3년이 넘었지만, 우리는 여전히 이 기술이 무엇인지, 무엇을 할 수 있는지, 그리고 오늘날 존재하는 거의 모든 역할에서 어떻게 가장 효과적으로 활용될 수 있는지 이해하기 위해 분주히 움직이고 있다. 어쨌든 인공지능은 우리 곁에 남을 것이며, 특히 사이버 보안 실무자로서 우리는 공식적인 가이드라인이나 규정이 부재한 상황에서도 이를 보호하기 위해 한 발 앞서 나가야 합니다.

2025년은 인공지능과 사이버 보안, 그리고 SCW에게 중요한 해였습니다. 저는 2026년을 조용한 자신감과 오직 노력의 결실이 가져다주는 낙관으로 맞이하고 있습니다. 

우리는 AI 기반 소프트웨어 개발 보호 분야 진출을 포함해 주요 이정표를 달성했습니다. 우리는:

• 출시됨 트러스트 에이전트: AI 베타 테스트 출시: CCIA의 새로운 연구에 따르면 생성형 AI가 역사상 가장 빠르게 채택된 기술임이 확인되었으며, 개발자들 사이에서 AI 코딩 에이전트 및 어시스턴트의 폭발적인 확산은 놀라운 일이 아닙니다. 특히 보안 프로그램보다 더 빠르게 진행되는 성급한 기업 수준의 도입 사례도 포함됩니다.
  
  최신 기술인 트러스트 에이전트: AI는 AI 생성 코드에 대한 가시성과 거버넌스라는 핵심 요소를 제공합니다. 이 솔루션은 기업 보안 리더들이 보안 수준을 저하시키지 않으면서 소프트웨어 개발 수명주기(SDLC) 내 AI 도입을 자신 있게 관리할 수 있도록 필요한 심층 관측 및 제어 기능을 제공합니다.
• 최신 주요 매출 목표를 달성했습니다: 매출 목표를 초과 달성한 것은 Secure Code Warrior 전체의 끈기와 혁신을 증명하는 것입니다. 이 여정을 시작할 때 우리의 사명은 보안에 대한 '체크박스' 접근 방식을 넘어 개발자들이 첫 줄부터 안전한 코드를 작성할 수 있도록 실질적으로 지원하는 것이었습니다.
  
  이 비전이 수많은 글로벌 기업들에게 공감을 얻고 있다는 사실은 업계가 마침내 개발자 중심 보안으로 초점을 전환하고 있음을 증명합니다. 우리 워리어들이 모두를 위한 소프트웨어 안전성을 높이기 위해 헌신한 모습에 저는 그 어느 때보다 자랑스럽습니다.
• 전략적 파트너와의 전문적 통합: Aikido, OpenText, Black Duck과 같은 우수한 기업들과의 파트너십은 개발자 중심의 원활한 보안 생태계 구축이라는 우리의 사명에 있어 중요한 진전을 의미합니다. 취약점 식별과 이를 해결하는 데 필요한 구체적 기술 제공 사이의 간극을 메움으로써, 우리는 개발자 중심의 소프트웨어 위험에 대한 효과적인 해결 방안을 마련하고 있습니다.
  
  이 파트너십은 분산된 도구 환경에서 벗어나 보안이 개발 워크플로우의 자연스러운 확장으로 자리매김하는 통합 경험으로의 전략적 전환을 의미한다는 점에서 저는 매우 자랑스럽게 생각합니다.

새해를 맞이하며, 저는 점점 더 많은 지지자 여러분, 특히 사이버 보안 커뮤니티의 구성원들에게 감사드립니다. 여러분은 반복되는 취약점, 낮은 보안 인식, 저품질 코드 출력과의 싸움에서 주도적인 역할을 계속해 오셨습니다. 새로운 안전 기준을 채택함으로써, 우리는 소프트웨어, 서비스, 기술의 보안에서 실질적인 개선을 시작할 수 있습니다. 

우리는 숙련된 인간의 감독 하에 AI가 대부분의 코드를 작성하는 미래를 향해 전폭적인 투자를 통해 전진하고 있습니다. SCW Learning은 이 새로운 세상의 요구를 충족시키기 위해 빠르게 진화 중이며, SCW Trust Agent: AI는 향후 3개월 내 출시되어 SDLC에서 대규모 언어 모델(LLM), 머신 컴퓨팅 플랫폼(MCP) 등의 안전한 운영을 지원할 예정입니다. 곧 주요 시장 플레이어와의 흥미로운 새로운 파트너십도 발표할 예정입니다.

계속 지켜봐 주세요!

이 글의 한 버전이 SC 매거진에 게재된 바 있습니다. 본문에 수정이 가해졌으며 공동 게재됩니다.


도둑이 집에 침입한 경험이 있다면, 처음에는 뭔가 이상하다는 막연한 불안감이 들다가 결국 자신이 실제로 도둑맞고 침해당했다는 사실을 깨닫는 그 순간을 이해할 수 있을 것입니다. 이는 대개 지속적인 불편감으로 이어지며, 노크스버그에 버금가는 보안 조치로 전환하는 것은 말할 것도 없습니다.

이제 도둑이 스스로 열쇠를 만들어 집을 침입하는 상황을 상상해 보십시오. 그들은 곳곳을 기어 다니며 마음대로 드나들지만, 발각되지 않도록 조심스럽게 행동합니다. 그러다 어느 날, 냉장고에 숨겨둔 보석이 사라지고 금고가 비워졌으며 개인 소지품이 훔쳐진 것을 발견하게 됩니다.이미 때는 늦었습니다. 이는 조직이 제로데이 공격의 피해자가 되었을 때 마주하는 현실과 같습니다. 2020년 포네몬 연구소의 연구에 따르면 성공적인 데이터 유출 사건의 80%가 패치되지 않은 취약점 악용으로 인한 것이었으며, 안타깝게도 대부분의 기업은 여전히 이 통계 수치를 크게 개선할 역량이 부족합니다.

말 그대로 제로데이 공격은 위협 행위자가 먼저 침투하기 때문에 개발자가 악용될 수 있는 기존 취약점을 발견하고 패치할 시간을 주지 않습니다. 피해는 이미 발생한 뒤에야 소프트웨어와 기업 평판 손실을 복구하기 위한 발빠른 대응이 이어집니다. 공격자는 항상 우위를 점하고 있으며, 이 우위를 최대한 축소하는 것이 중요합니다.

아무도 원하지 않는 크리스마스 선물인 Log4Shell이 현재 인터넷을 뒤흔들고 있으며, 이 치명적인 자바 취약점으로 인해 10억 대 이상의 기기가 영향을 받은 것으로 알려졌습니다. 이는 기록상 가장 심각한 제로데이 공격이 될 것이며, 이제 막 시작에 불과합니다. 일부 보도에 따르면 공개 전 며칠 전부터 악용이 시작되었지만, 2016년 블랙햇 컨퍼런스 발표 자료에 따르면 이 문제는 이미 오래전부터 알려진 상태였습니다. 아이고. 더 나쁜 점은 이 취약점이 악용하기 매우 쉽다는 것이며, 지구상의 모든 스크립트 키드니와 위협 행위자들이 이 결함을 이용해 이익을 챙기고 있다는 사실입니다.

그렇다면, 우스꽝스럽고 위험한 위협은 물론이고 소프트웨어 개발 과정에서 간과된 취약점들까지 막기 위한 최선의 방법은 무엇일까요? 살펴보겠습니다.

대규모 대상을 겨냥한 제로데이 공격은 드물며(비용도 많이 든다)

다크웹의 취약점 악용 시장은 거대하며, 제로데이 취약점은 종종 엄청난 금액이 오간다. 예를 들어 이 글에서 언급된 취약점은 작성 당시 250만 달러에 거래되었다. 보도에 따르면 이는 애플 iOS의 취약점으로, 보안 연구원들의 요구 가격이 높은 것도 당연하다. 결국 이는 수백만 대의 기기를 침투하고 수십억 건의 민감한 데이터 기록을 수집하며, 발견 및 패치되기 전까지 최대한 오래 공격을 지속할 수 있는 진입점이 될 수 있기 때문이다.

그러나 어쨌든, 누가 그런 돈을 가지고 있겠는가? 일반적으로 현금 가치가 있다고 판단되면 조직화된 사이버 범죄 집단이 현금을 요구하며, 특히 인기 있는 랜섬웨어 공격의 경우 더욱 그렇다. 그러나 전 세계 정부 및 국방 부서는 위협 정보에 활용될 수 있는 취약점의 고객층이며, 더 적극적인 경우 해당 기업들 스스로 잠재적인 미수리 취약점을 구매하여 재앙을 줄일 수도 있다.

2021년은 실시간으로 패치되지 않은 취약점 발견 기록을 경신했으며, 대규모 조직, 정부 기관 및 인프라가 취약점 조사 대상이 될 가능성이 가장 높았습니다. 제로데이 공격 가능성으로부터 완전히 벗어날 방법은 없지만, 관대하고 체계적인 취약점 보상 프로그램을 제공함으로써 "게임을 할" 수 있습니다. 누군가가 다크 웹 시장에서 소프트웨어 성의 열쇠를 내놓기를 기다리기보다는, 합법적인 보안 애호가들을 여러분 편으로 끌어들이고, 그들에게 윤리적 공개와 잠재적 수정에 대한 풍성한 보상을 제공하세요.

게다가, 만약 그것이 우연히 소름 끼치는 새로운 취약점 위협이라면, 아마존 기프트 카드 이상의 것이 필요할 뿐만 아니라(그리고 그렇게 할 가치가 있다)라고 단언할 수 있습니다.

당신의 도구는 보안 담당자의 책임일 수 있습니다

복잡한 보안 도구는 오랫동안 문제점으로 지적되어 왔으며, 일반적인 최고정보보안책임자(CISO)는 보안 무기고에서 55개에서 75개에 이르는 다양한 도구를 관리해야 합니다. 이는 세계에서 가장 복잡한(비유적으로) 스위스 군용 칼일 뿐만 아니라, 포네몬 연구소(Ponemon Institute)의 연구에 따르면 53%의 기업은 심지어 자신의 효율성을 확신하지 못한다고 합니다. 또 다른 연구에 따르면, CISO 중 단 17%만이 자신들의 보안 스택이 "완전히 효과적"이라고 평가했습니다.

피로가 극에 달하고, 수요를 충족시킬 안전 기술 인력이 부족하며, 유연성에 대한 요구가 높은 분야에서는 안전 전문가들이 데이터, 보고서, 대규모 도구 집합 모니터링 형태로 정보 과부하를 처리하도록 강요받는 것이 큰 부담이 됩니다. 바로 이러한 상황이 핵심 경보를 놓치게 할 수 있으며, Log4j 취약점을 정확히 평가할 때도 그러한 상황이 발생할 가능성이 높습니다.

예방적 보안에는 개발자 주도 위협 모델링이 포함되어야 합니다.

코드 수준의 취약점은 일반적으로 개발자가 도입하며, 안전한 코딩 기술을 함양하기 위해서는 정확한 지침과 정기적인 학습 경로가 필요합니다. 그러나 소프트웨어 생성 과정의 일부로서, 차세대 보안 개발자는 위협 모델링을 학습하고 연습할 기회를 갖게 됩니다.

소프트웨어를 가장 잘 아는 사람이 바로 그 소프트웨어를 만드는 개발자라는 것은 당연한 일입니다. 그들은 사용자가 어떻게 상호작용하는지, 기능이 어디에서 사용되는지, 언제 충분한 보안 의식을 가지는지, 그리고 잠재적으로 어떻게 파괴되거나 악용될 수 있는지에 대한 풍부한 지식을 보유하고 있습니다.

이 문제를 Log4Shell 취약점으로 되돌려 보면, 안타깝게도 전문가와 복잡한 도구 세트의 탐지를 피해 간 치명적인 취약점이 존재한다는 사실을 목격하게 됩니다.그러나 라이브러리를 사용자 입력에 대해 디스오염 처리하도록 구성했다면 이런 사태는 아예 발생하지 않았을 것입니다 . 편의성을 높이기 위해이를 거부한 결정은 사소해 보일 수 있지만,이는 매우 쉽게 악용될 수 있는 취약점입니다(SQL 인젝션 수준의 공격을 생각해보세요. 물론 천재적인 기술은 아닙니다). 위협 모델링이 예리하고 보안에 정통한 개발자 집단에 의해 수행되었다면, 이러한 시나리오는 이론적으로 고려되었을 가능성이 높습니다.

좋은 보안 계획에는 감정적 요소가 포함되며, 인적 개입과 미묘한 차이는 인적 문제를 해결하는 핵심입니다. 위협 모델링은 공감 능력과 경험이 있어야 효과적이며, 소프트웨어 및 애플리케이션 아키텍처 수준의 보안 코딩과 구성도 마찬가지입니다. 이는 개발자가 하룻밤 사이에 빠져들어야 할 난제가 아니지만, 그들의 기술을 향상시켜 보안 팀이 이 중요한 임무를 수행하는 데 드는 부담을 줄일 수 있는 명확한 방법입니다. 이는 이상적인 방식이며(두 팀 간의 우호적인 관계를 구축하는 좋은 방법이기도 합니다).

제로데이 공격으로 인해 n일 동안

보안 취약점이 패치되지 않은 상태에서 다음 단계는 가능한 한 빨리 패치를 배포하는 것입니다. 그는 취약한 소프트웨어의 모든 사용자가 공격자가 먼저 도달하기 전에 가능한 한 빨리 패치를 적용하기를 간절히 바랍니다. Log4Shell 의 경우, 수백만 대의 장치에 내장되어 있고 소프트웨어 버전 전반에 걸쳐 복잡한 종속성을 생성한다는 점에서 그 지속성과 영향력은 매우 강력하여 심지어 Heartbleed를 능가할 수도 있습니다.

사실, 이러한 교활한 공격을 완전히 막을 방법은 없습니다. 그러나 고품질의 안전한 소프트웨어를 만들기 위해 모든 수단을 동원하겠다는 약속을 하고, 핵심 인프라를 다루는 것과 동일한 마음가짐으로 개발에 임한다면 우리 모두는 이에 맞설 기회를 가질 수 있습니다.

인공지능 보조 개발(또는 더 널리 알려진 용어인 "분위기 코딩")은 코드 생성에 엄청난 변혁적 영향을 미치고 있습니다. 숙련된 개발자들이 이 도구들을 대거 도입하고 있으며, 우리 중 소프트웨어를 직접 만들고 싶었지만 관련 경험이 부족했던 이들도 이를 활용해 이전에는 비용과 시간이 너무 많이 들었던 자산을 구축하고 있습니다. 이 기술이 새로운 혁신 시대를 열 것으로 기대되지만, 동시에 일련의 새로운 취약점과 위험 프로필을 도입했으며, 보안 리더들은 이러한 취약점과 위험 상황을 완화하기 위해 노력하고 있습니다.

최근 발견된 InvariantLabs의 연구에 따르면, 모델 컨텍스트 프로토콜(MCP)에 중대한 취약점이 존재합니다. MCP는 강력한 인공지능 도구가 다른 소프트웨어 및 데이터베이스와 자율적으로 상호작용할 수 있도록 하는 API 유사 프레임워크로, 이른바 "도구 중독 공격"을 가능케 하는 것으로, 이는 기업에 특히 큰 피해를 줄 수 있는 새로운 취약점 범주입니다. Windsurf와 Cursor와 같은 주요 인공지능 도구들도 이로부터 안전하지 않으며, 수백만 사용자에게 이 새롭게 등장한 보안 문제를 관리하기 위한 인식과 기술이 매우 중요합니다.

현재로서는 이러한 도구의 출력이 항상 충분히 안전하지 않아 기업용으로 적합하다고 분류하기 어렵습니다. 앞서 언급한 바와같이AWS 및 Intuit 보안 연구원 Vineeth Sai Narajala와 Idan Habler의 최근 연구 논문에따르면: "인공지능 시스템이 더욱 자율적으로 발전하고 MCP(Machine Control Protocol)와 같은 것을 통해 외부 도구 및 실시간 데이터와 직접 상호작용하기 시작함에 따라, 이러한 상호작용의 안전성을 보장하는 것이 절대적으로 필수적입니다."

인공지능 시스템 및 모델 컨텍스트 프로토콜 대리 위험 개요

모델 컨텍스트 프로토콜(MCP)은 Anthropic에서 개발한 편리한 소프트웨어로, 대규모 언어 모델(LLM) AI 에이전트와 기타 도구 간에 더 우수하고 원활한 통합을 가능하게 합니다. 이는 독점 애플리케이션과 GitHub 같은 핵심 비즈니스 SaaS 도구 사이에 최첨단 AI 솔루션과 상호작용할 수 있는 가능성의 세계를 열어주는 강력한 활용 사례입니다. MCP 서버를 작성하기만 하면,그리고 원하는 작동 방식과 달성 목표에 대한 지침을 수립하기만 하면 됩니다.

사실 MCP 기술이 보안에 미치는 영향은 대부분 긍정적이다. LLM과 보안 전문가들이 사용하는 기술 스택 간의 보다 직접적인 통합을 실현하겠다는 약속은 너무나 매력적이며,무시할 수 없으며, 이는 최소한 각 작업마다 맞춤형 코드를 작성하고 배포하지 않고서는 이전에는 불가능했던 수준에서 정밀한 보안 작업 자동화를 실현할 가능성을 의미합니다. 데이터, 도구 및 인력 간의 심층적인 가시성과 연결성이 효과적인 보안 방어 및 계획의 기반이라는 점을 고려할 때, MCP는 LLM의 상호 운용성을 강화하여 기업 보안에 흥미로운 전망을 제시합니다.

그러나 MCP 사용은 신중하게 관리하지 않는 한 기업의 공격 표면을 크게 확대할 수 있는 다른 잠재적 위협 매개체를 도입할 수 있습니다. 불변 연구소(Immutable Labs)가 지적했듯이, 도구 중독 공격은 AI 모델이 민감한 데이터를 유출하고 무단 작업을 수행하게 할 수 있는 새로운 취약점 범주를 나타내며, 이후 보안 위험은 매우 어두운 방향으로 빠르게 진행될 수 있습니다.

InvariantLabs는 악의적인 명령어가 MCP 도구 설명에 포함될 경우 사용자는 이를 볼 수 없지만 AI 모델이 완전히 읽을 수 있고(그리고 실행할 수 있음) 이로 인해 도구 중독 공격이 가능해진다고 지적했습니다. 이는 사용자가 모르는 사이에 해당 도구가 승인되지 않은 악의적인 작업을 수행하도록 유도할 수 있습니다. 문제는 MCP가 모든 도구 설명이 신뢰할 만하다는 가정을 한다는 점이며, 이는 위협 행위자에게 안성맞춤인 조건입니다.

그들은 손상된 도구가 발생시킬 수 있는 다음과 같은 결과를 주목했습니다:

• AI 모델이 SSH 키, 구성 파일, 데이터베이스 등과 같은 민감한 파일에 접근하도록 지시합니다;
• AI가 이러한 악의적인 행위를 모르는 사용자에게 숨기는 환경에서 데이터를 추출하고 전송하도록 지시합니다;
• 사용자가 보는 내용과 AI 모델의 작동 사이에 단절을 조성함으로써, 단순해 보이는 도구 매개변수와 출력 사용자 인터페이스 표현 뒤에 이를 숨김으로써 이루어진다.

이는 우려되는 긴급 취약점 범주이며, MCP 사용량이 불가피하게 지속적으로 증가함에 따라 우리는 이 취약점 범주를 훨씬 더 빈번하게 목격하게 될 것입니다. 기업 보안 계획이 발전함에 따라, 이 위협을 발견하고 완화하기 위한 신중한 조치가 취해질 것이며, 개발자들이 해결책에 참여할 수 있도록 충분히 준비시키는 것이 핵심입니다.

왜 안전 기술을 갖춘 개발자만이 에이전트 인공지능 도구를 활용할 수 있는가

에이전트형 AI 코딩 도구는 인공지능 보조 코딩의 차세대 진화로 여겨지며, 소프트웨어 개발에서 효율성, 생산성 및 유연성을 향상시키는 능력을 강화합니다. 이들은 상황과 의도를 이해하는 능력이 향상되어 특히 유용하지만, 공격자의 즉각적인 코드 주입, 환각 또는 행동 조작과 같은 위협으로부터 완전히 자유롭지는 않습니다.

개발자는 코드 제출의 질을 가르는 방어선이며, 예리한 보안 의식과 비판적 사고 능력을 유지하는 것이 미래 보안 소프트웨어 개발의 기반이 될 것입니다.

인공지능 출력을 맹목적으로 신뢰해서는 안 되며, 안전 기술을 갖춘 개발자가 상황에 대한 비판적 사고를 활용해야만 이 기술이 가져다주는 생산성 향상을 안전하게 활용할 수 있습니다. 그럼에도 불구하고, 이는 페어 프로그래밍 환경에서 이루어져야 하며, 인간 전문가가 해당 도구의 작업을 평가하고 위협 모델링을 수행하며 최종적으로 승인할 수 있어야 합니다.

개발자가 AI를 통해 기술을 향상시키고 업무 효율을 높이는 방법을 자세히 알아보세요.

실용적인 완화 기술, 그리고 우리의 최신 연구 논문에서 더 많은 내용을 확인하세요

인공지능 코딩 도구와 MCP 기술은 미래 사이버 보안의 핵심 요소가 될 것이지만, 무엇보다 중요한 것은 물속으로 뛰어들기 전에 수심을 확인하는 것이다.

나라잘라와 하블러의 백서는 기업 차원에서 MCP를 구현하기 위한 포괄적인 완화 전략과 그에 따른 위험의 지속적 관리를 상세히 설명합니다. 궁극적으로 이 백서는 심층 방어와 제로 트러스트 원칙을 중심으로, 이 새로운 생태계가 기업 환경에 가져오는 독특한 위험 상황에 명확히 대응합니다. 특히 개발자에게는 다음 분야의 지식 공백을 메우는 것이 중요합니다:

• 인증 및 접근 제어: 에이전트형 AI 도구의 기능은 문제를 해결하고 자율적으로 의사결정을 내림으로써 설정된 목표를 달성하는 것으로, 이는 인간이 엔지니어링 작업을 처리하는 방식과 대체로 유사합니다. 그러나 이미 확인한 바와 같이, 이러한 프로세스에 숙련된 인적 감독을 적용하는 것은 간과해서는 안 되며, 워크플로우에서 이러한 도구를 사용하는 개발자는 자신이 어떤 접근 권한을 보유하고 있는지, 어떤 데이터를 검색하거나 노출시킬 수 있는지, 그리고 해당 데이터를 어디에서 공유할 수 있는지 정확히 이해해야 합니다.
• 일반 위협 탐지 및 완화: 대부분의 인공지능 프로세스와 마찬가지로, 도구 출력에서 잠재적 결함 및 부정확성을 발견하려면 사용자가 해당 업무에 정통해야 합니다. 개발자는 보안 프로세스를 효과적으로 검토하고 AI가 생성한 코드를 안전성 측면에서 정확성과 권위성을 바탕으로 검토하기 위해 지속적인 기술 향상과 해당 기술에 대한 검증을 받아야 합니다.
• 보안 정책 및 AI 거버넌스와 일관성 유지: 개발자는 승인된 도구에 대해 인지하고, 기술 향상 및 사용 권한 획득 기회를 제공받아야 합니다. 신뢰할 수 있는 제출 전에 개발자와 도구는 모두 보안 기준 테스트를 거쳐야 합니다.

최근 우리는 분위기 코딩과 인공지능 보조 코딩의 출현, 그리고 차세대 인공지능 기반 소프트웨어 엔지니어를 양성하기 위해 기업이 취해야 할 조치에 관한 연구 논문을 발표했습니다. 지금 바로 확인하고 저희에게 연락하여 개발 팀을 강화하십시오.

이 글의 한 버전은 원래 DZone에 게재되었습니다에 게재되었습니다. 본문은 해당 사이트에서 업데이트 및 게시되었습니다.

지불 카드 산업 데이터 보안 표준(PCI DSS) 4.0 버전은 전자 결제를 수용하는(대다수를 차지하는) 모든 기업이나 조직의 보안과 관련된 거의 모든 것을 바꿀 것입니다. 이번 업데이트는 대부분의 기업에게 변혁적일 것이며, 많은 보안 프로세스를 업그레이드하고 암호화, 인증, 접근 제어, 키 관리 및 기타 분야에서 새로운 보호 조치를 도입할 것을 요구할 것입니다. 이러한 분야들은 이전에는 진전이 더뎠을 수 있습니다.

새로운 요구사항의 복잡성으로 인해 각 조직은 2025년 3월까지 완전히 준수해야 합니다. 그러나 이 마감일은 대부분의 사람들이 인식하는 것보다 훨씬 빨리 다가올 것입니다. 실제로, 많은 선견지명을 가진 기업들은 현재 개발자들이 미결된 규정 준수 환경을 헤쳐 나갈 수 있도록 조치를 취하고 있습니다.

기본 제공 훈련을 뛰어넘기

조직의 개발자들은 대부분의 인프라가 의존하는 코드를 작성하므로, 새로운 PCI DSS 4.0 요구사항을 구현할 때 좋은 출발점이 됩니다. 그러나 업데이트된 보안 인식 프로그램의 일환으로, 대부분의 개발자들은 기술 향상을 위한 전략적 지원이 필요할 것입니다. 이는 새로운 표준을 구현하고 유지하는 데 요구되는 더 높은 보안 수준을 구현하는 데 필요한 경험을 확보하기 위함입니다.

실제로 PCI DSS 4.0의 요구사항 12.6.2는 조직이 공식적인 보안 계획을 수립하고 최신 위협 정보 및 방어 기술을 활용하여 이를 업데이트하도록 지시합니다. 이전 표준에서는 기본적인 보안 계획이나 심지어 '체크리스트' 방식의 연간 규정 준수 교육만으로도 목표를 달성할 수 있었습니다. 그러나 이 새로운 표준의 요구사항은 그 이상으로, 보안 교육 계획이 기업 환경의 특정 위협과 취약점에 대응할 것을 요구합니다.예를 들어, 신원 도용이 조직에 큰 문제라면 교육은 이 문제를 해결해야 합니다.

분명히, 실제적인 관점이나 새로운 표준 준수의 관점에서 보더라도 최소한의 교육만으로는 더 이상 충분하지 않습니다. 오히려 조직은 개발자에게 포괄적이고 민첩한 학습 경로를 제공하여, 실제 일상 업무에 보안 모범 사례를 적용하는 방법을 가르쳐야 합니다. 최소한의 규정 준수 작업을 넘어 개발자가 보안을 진정으로 이해하는 데 필요한 자원을 제공함으로써, 조직은 개발자가 PCI DSS 4.0을 준수하면서 전반적으로 더 나은 보안 결정을 내릴 수 있도록 지원할 수 있습니다.

좋은 소식은 PCI DSS 4.0의 많은 새로운 요구사항이 인증, 암호화, 접근 제어, 키 관리 등 대부분의 개발자가 이미 익숙한 영역을 대상으로 한다는 점입니다. 개발자에게 적합하고 관련성 있으며 익숙한 자원을 제공하여 그들의 역량을 강화할 때, 조직은 그들이 PCI DSS 4.0 요구사항의 새로운 기준과 더 큰 책임에 대비할 수 있도록 더 쉽게 준비시킬 수 있습니다.

PCI DSS 4.0을 발판으로 삼아 전반적인 보안 수준을 높이기

개발자의 요구를 충족시키기 위한 효과적인 보안 교육은 새로운 PCI DSS 4.0 표준을 성공적으로 준수하는 데 핵심이 될 것입니다. 그러나 조직을 더 나은 사이버 보안으로 이끄는 노력은 여기서 끝나지 않습니다.예, 이러한 요구사항은 까다롭습니다. 그러나 대부분의 조직이 이를 준수하기 위해 노력해야 하는 만큼, 이러한 노력을 더 나은 전반적인 보안 인식 및 교육의 발판으로 활용하지 않을 이유가 없습니다. 이는 조직이 규정 준수 요구사항을 충족하는 데 도움이 될 뿐만 아니라, 모범 사례를 최우선으로 삼고 조직 내 모든 구성원이 동일한 '보안 우선' 목표를 향해 노력하도록 보장하는 적극적인 보안 문화를 조성하기 시작할 수 있습니다.

물론 학습 곡선이 존재하지만, 개발자들은 이러한 노력을 기꺼이 기울일 가능성이 높습니다. 에번스의 데이터 조사에 따르면 전 세계적으로 활동 중인 1,200명 이상의 전문 개발자 중 대다수가 안전한 코드 작성과 조직 내 보안 문화 개선이라는 개념을 지지한다고 답했습니다. 분명히 대부분의 개발자들은 개발 과정에서 전략적으로 보안 코딩으로 전환하고 보안 우선순위를 재설정하는 것을 환영합니다.

PCI DSS 4.0이 규정하는 보안 업그레이드는 기업이 보안 모범 사례와 교육을 개선하기 위한 투자를 하고, 조직 내에서 더 나은 전반적인 보안 문화를 수용할 수 있는 완벽한 명분을 제공합니다.

개발자 회사가 보안 코딩 기술과 관련 도구 및 교육을 결합할 수 있는 계획을 투자한다면, 개발자들은 보다 높은 보안 성숙도를 더 쉽게 달성할 수 있습니다. 이는 다시 보안 문화를 조성하는 데 기여하며, 이러한 문화 속에서 개발자들은 더 나은 의사 결정을 내릴 수 있어 조직의 전반적인 보안 상태를 개선할 수 있습니다. 이는 엄격한 새로운 PCI DSS 4.0 기준을 훨씬 뛰어넘는 수준까지 도달할 수 있습니다.
‍

기술 뉴스를 몇 분만 살펴봐도 위협 환경이 얼마나 위험해졌는지 금방 알 수 있습니다. 주요 취약점, 새로운 취약점 또는 사이버 공격자와 범죄자들이 적극적으로 악용하는 심각한 위협에 대한 보도가 매일 쏟아지는 듯합니다. 게다가 거의 모든 업계 지표와 보고서가 점점 더 위험해지는 사이버 위협의 증가세를 보여주고 있으며, 대부분의 전문가들은 이러한 추세가 향후 몇 년간 지속될 것이라고 예측합니다.

이러한 새로운 위협에 맞서는 최전선의 IT 보안 담당자들은 지쳐 있고 인력이 부족합니다. 급여가 높고 거의 모든 기업이나 조직에 필수적임에도 불구하고, 충분한 보안 인력이 배치될 수 있는 경우는 거의 없습니다.전략국제문제연구소(CSIS)의 최근 조사에 따르면, IT 의사 결정권자의 82%가 소속 기관에 사이버 보안 기술 인력 부족이 존재한다고 답했으며, 71%는 이 부족이 기관에 직접적이고 측정 가능한 피해를 끼쳤다고 밝혔습니다. 보고서는 미국에서만 약 94만 명이 고용된 이 분야에서 52만 개 이상의 사이버 보안 직위가 공석이라고 지적했습니다.

전 세계적으로 현재 약 350만 개의 사이버 보안 직무가 공석 상태입니다. 이는 막대한 자금을 투입해 최고 전문가를 채용하고 유지하려는 조직조차 적합한 후보자를 찾기 어렵다는 것을 의미합니다. 평균적으로 사이버 보안 직무를 채우는 데는 약 21%의 시간이 소요되며, 이는 다른 어떤 직무보다도 긴 기간입니다.

개발자 지원이 너무 오랫동안 소홀히 여겨져 왔습니다.

우리는 이전의 많은 블로그에서 개발자를 활용해 사이버 보안 방어의 핵심 공백을 메울 수 있다는 점을 지적해 왔습니다. 다만 전통적으로 개발자들은 사이버 보안 교육을 받은 적이 없습니다. 그들의 업무 성과는 거의 전적으로 배포 속도와 시간에 달려 있습니다. 보안은 미래의 AppSec 팀의 업무입니다.

불행하게도, 이는 단순히 기어를 바꾸고 개발자들에게 갑자기 애플리케이션과 프로그램에 보안을 추가하라고 요구하는 문제가 아닙니다. 설령 그들이 이러한 변화를 기꺼이 받아들일 의사가 있고, 조사 결과 상당수가 변화를 원한다고 해도, 이를 실현하기 위해서는 여전히 교육이 필요합니다. 또한 경영진의 격려와 지원도 필요하지만, 의미 있는 학습을 확보하는 것이 첫 번째이자 가장 큰 걸림돌입니다.

전 세계적으로 수백만 개의 고소득, 고보안 IT 보안 직무가 공석인 데는 이유가 있습니다. 만약 이 일이 쉽다면 누구나 이 분야에 뛰어들 것입니다.위협에 맞서고 코드 내 취약점을 제거하는 방법을 배우는 것은 어렵습니다. 게다가 위협 환경은 끊임없이 변화합니다. 사이버보안을 가르치려는 시도는, 상대적으로 기술에 능숙한 개발자조차도 정적 교육으로는 효율적으로 수행할 수 없습니다. 정적 교육은 내용이 금방 낡아 기억에 남지 않으며, 특히 이미 과중한 업무 일정에 추가될 경우 긍정적 영향이 미미하기 때문입니다.

비계를 세워 더 높은 곳에 도달하다

전통적인 방법으로 사이버 보안 기술을 가르치는 것은 손을 대지 않고 초고층 빌딩을 짓는 것과 같습니다. 이는 불가능한 일입니다. 학생들은 사이버 보안과 같은 복잡한 분야의 많은 고차원적 개념을 이해하는 데 필요한 기초를 갖추지 못했기 때문입니다. 이를 보완하기 위해 '비계식 학습'이라는 개념이 적용될 수 있습니다.

스캐폴딩 또는 "계층적" 접근법을 사용하여 기술을 향상시킬 때, 큰 주제는 일반적으로 개별 학습 경험이나 개념으로 분해됩니다. 이는 학생들이 적절한 연습과 지도를 통해 각 개념을 습득할 수 있도록 보장함으로써 각 구성 요소에 필요한 모든 지원을 제공합니다. 이미 습득한 개념을 기반으로 더 새롭고 고급 개념이 추가되며, 이는 마치 건물이 높아짐에 따라 물리적 스캐폴딩을 세워가는 것과 같습니다.이러한 방식을 통해 학생들은 도움 없이 습득할 수 있는 수준보다 더 높은 이해도와 기술 습득 수준에 도달할 수 있습니다.

물리적 지지대처럼, 더 이상 필요하지 않을 때 이러한 지원은 점차 제거되며, 학생들이 점점 숙련됨에 따라 더 많은 책임을 맡게 될 것입니다.

비계식 학습은 주로 학생들이 도움 없이 어려운 과제를 시도할 때 느끼는 좌절감, 위협감 또는 낙담감과 같은 부정적인 감정과 자기 인식을 줄이는 데 사용됩니다.그러나 현대 사이버 보안과 같은 극도로 어려운 개념을 다루려 할 때도 상당한 가치를 지닙니다. 이는 개발자를 어린아이처럼 대하는 방식이 결코 아니며, 특히 그들의 노력이 오류 수정과 새로운 비판으로 인해 무산될 때 보안 팀 내 경험이 동일한 좌절감과 낙담을 유발할 수 있을 때 매우 유용합니다.

개발자에게 보안 코딩 기초(일반적으로 OWASP 상위 10개 취약점)를 이해하는 도구를 제공하면, 그들은 보안 취약점이 어떻게 발생하는지, 왜 위험한지, 그리고 실제 운영 환경에 배포되기 전에 이를 어떻게 해결할 수 있는지 직접 확인할 수 있습니다.이후 개발자들은 더 복잡한 취약점을 해결하며 지식을 확장하고, 효과적인 패치 적용에 대한 실무 경험을 쌓을 수 있습니다. 이러한 단계적 성장은 점진적으로 이루어지며, 결국 비안전한 소프트웨어 아키텍처나 위협 모델링 참여와 같은 고급 보안 문제에 직면했을 때도 이를 정확히 해결하는 데 있어 그 도약이 그리 어렵게 느껴지지 않게 됩니다.

개발자를 보안 전문가로 기대해서는 안 되지만, 조직은 새로운 개발자 지원 기준을 도입하여 더 높은 품질의 소프트웨어를 생산할 수 있도록 할 수 있습니다. 기술 향상을 위한 엔지니어링 조직의 부가적인 이점으로, 각 단계나 각 계층의 지원 체계는 학습 과정에서 직접적으로 더 나은 사이버 보안으로 전환될 것입니다. 과정이 끝날 때까지 결과를 기다릴 필요가 없습니다.

사이버보안 학습은 매우 어렵습니다. 올바른 도움과 지도가 없다면 사이버보안을 숙달하는 것은 거의 불가능합니다. 보안 계획을 스캐폴딩 학습과 결합하면 그 잠재력을 최대한 발휘하는 데 도움이 되며, 그 혜택은 거의 즉시 나타납니다. 개선은 거의 즉시 시작되어 시간이 지남에 따라 지속적으로 향상될 것입니다.

안전성이 높은 개발자를 함께 만들어 보세요; 확인해 보세요:

과정
과제
개발자 교육

... 더 많은 정보!

최근 우리는 포브스 테크놀로지 위원회 첫 번째 글이 게시된 것을 기쁘게 생각합니다. 글쓴이는 우리의 회장 겸 최고경영자(CEO)인 피터 댄시크스입니다. 이 글은 개발자의 기술을 향상시켜 더 안전한 코드를 작성하는 것이 사이버 공격과 데이터 유출을 방지하는 핵심이라는 점을 상세히 설명합니다. 뿐만 아니라,이러한 보안 의식을 갖춘 개발자들이 어떻게 많은 IT 부서가 인식하는 것보다 더 우수하고 안전한 코드를 제공할 수 있는지 밝혀냈습니다. 이러한 접근 방식에 대한 필요성은 분명 시급합니다. 최근 연구에 따르면 현재 39초마다 한 번씩 사이버 공격이 발생하며, 단 한 번의 성공적인 랜섬웨어 공격이 초래한 중단 사태 (콜로니얼 파이프라인 사례)만 봐도, 더 큰 관점에서 볼 때 솔라윈즈 해킹 사건보다덜 파괴적이지 않았습니다.

‍

많은 일반적인 취약점이 여전히 존재하는 이유는, 개발자들에게 동일한 기능을 더 안전하고 보증된 방식으로 개선할 수 있는 방법을 제시하여 불량한 코딩 패턴을 대체하려는 시도가 전혀 이루어지지 않았기 때문입니다. 또한 소프트웨어 개발 후기 단계에서 결함을 수정하는 데 드는 비용은 시간 소모와 배포 지연 측면에서 극히 막대합니다. 특히 공격자가 이전에 발견되지 않은 취약점을 악용한 후 코드를 배포한 뒤 수정을 진행할 경우, 수백만 달러의 비용이 발생할 수 있습니다.심각한 보안 침해 사건 이후 기업 평판에 미치는 손상까지 고려하지 않은 금액이다.

보안 교육을 받은 개발자는 자연스럽게 더 나은 프로그래머가 됩니다. 물론 최고정보보안책임자(CISO)는 단기간에 보안 도구를 포기해서는 안 되지만, 상위 리더십의 포용적인 예방적 보안 접근법을 통해 CISO는 특히 소프트웨어 개발 생명주기 초기에 보안 코딩을 적용할 때 기업의 가장 큰 자원인 인적 요소를 활용할 수 있습니다.

이를 위해, 다음 세 가지 가장 중요한 고급 전략을 기억하십시오.

1. 적극적이고 주도적인 태도를 취해야 하며, 수동적인 태도를 취해서는 안 된다.

기업은 종종 수동적인 대응의 함정에 빠지곤 합니다. 예를 들어, 경쟁사의 행동에 대응하기만 할 뿐 독보적인 비전을 수립하고 추구하지 못하는 경우가 그렇습니다. 코드 내 보안 취약점과 관련해서도 많은 이들이 기본적으로 이러한 방식을 취하며, 성공적인 침해가 발생해야 비로소 사이버 보안을 진지하게 고려합니다. 안타깝게도 그때쯤이면 피해는 이미 발생했으며,벌금, 복구 비용, 고객 이탈, 브랜드 회복 비용이 모두 이익을 잠식합니다. 행동 대신 또 다른 반응은 안전한 코드 작성에 초점을 맞추기보다 자동 또는 수동 코드 스캔에 의존해 기존 코드의 취약점을 발견하는 것입니다. 안타깝게도 코드 스캔은 완벽한 해결책이 아니며, 이는 코드 내 취약점이 많을수록 일부 취약점이 누락될 가능성이 커진다는 것을 의미합니다.

소프트웨어 개발 수명 주기를 구축하여 사용자에게 코드 취약점을 배포할 가능성을 현저히 낮추려면, 개발자와 협력하여 그들이 처음부터 안전한 코드를 작성하도록 돕는 적극적인 접근 방식을 취해야 합니다.

2. 기술을 향상시키되, 지나치게 교정하지 마십시오.

개발자에게 안전한 코드 작성에 필요한 지식을 제공하기로 결정했다면, 그 방법을 현명하게 선택하십시오. 프로그래밍 작업을 중단시키는 내부 교육 워크숍은 개발자와 관리자 모두를 좌절시킵니다. 야간이나 주말에 참석해야 하는 외부 과정은 더욱 인기가 없습니다. 가장 좋은 방법은 프로그래밍 기술을 점진적으로 함양하는 것입니다. 즉, 코딩 과정에서 관련 정보를 단계적으로 제공하는 것이죠 — 본질적으로 개발자의 주의를 크게 분산시키거나 개발 속도를 늦추지 않으면서 기술을 향상시키는 것입니다.

3. 격려하라, 가정 하지 마라

개발자는 보안 기술 향상을 처벌이나 순전히 힘든 일로 여겨서는 안 됩니다. 관리자는 보안 코딩이 회사 성공에 미치는 중요한 역할을 전달함으로써 개발자를 동기부여해야 합니다. 마찬가지로 중요한 것은 보안 코딩을 하는 개발자가 회사에 더 큰 가치를 제공하며, 향후 더 많은 경력 기회를 누릴 것임을 전달하는 것입니다.

바이든 정부는 이를 환영한다고 밝혔다 행정 명령 사이버 보안에 대한 관심을 높였으며, "개발자와 공급업체 자체의 보안 관행을 평가하는 기준을 포함하고, 보안 관행 준수를 입증할 수 있는 혁신적인 도구나 방법을 마련할" 필요성을 강조했다. 그러나 도구가 필수적임에도 불구하고이는 충분하지 않습니다. 어떤 도구도 개인이 설치된 시스템과 도구를 무시하거나 오해하거나 남용하거나 우회하는 능력을 완전히 제거할 수는 없습니다. 기업의 보안을 극대화하기 위해 최고정보보안책임자(CISO)는 인적 요소를 활용하여 개발자들이 자발적인 보안 지지자이자 실천자가 되도록 장려해야 합니다.