피터 다니유 (Pieter Danhieux), 시큐어 코드 워리어 (Secure Code Warrior) CEO 겸 공동 설립자: “모든 사람은 사이버 보안에서 자신이 하는 역할을 이해하고 수용해야 합니다.”

이 인터뷰는 원래 에 실렸습니다. 사이버뉴스.

‍

보안 도구와 서비스가 널리 보급되고 있음에도 불구하고 기업들은 끊임없이 진화하는 위협 환경에 대응하기 위해 여전히 고군분투하고 있습니다.

이는 개발자들 사이에서 보안 인식과 교육이 부족하기 때문일 수 있으며, 이로 인해 위험한 코드가 공개되고 악의적인 행위자에 의해 악용될 수 있습니다.반면 보안 조치는 다음과 같습니다. 안티바이러스 소프트웨어 또는 강력한 취약성 검사 솔루션이 보안 계층을 추가할 수 있다고 오늘 게스트는 모든 것이 보안에 초점을 맞춘 개발 팀에서 시작한다고 설명합니다.

CyberNews 팀은 보안 위협을 식별하고 완화하도록 개발자를 교육하는 방법에 대해 논의하기 위해 CEO이자 공동 설립자인 Pieter Danhieux와 이야기를 나눴습니다. 시큐어 코드 워리어는 개발 팀이 보안 취약점을 탐색하는 데 도움이 되는 학습 플랫폼 및 개발자 중심 도구 모음을 제공하는 회사입니다.

여러분의 여정은 어땠나요?시큐어 코드 워리어라는 아이디어는 어떻게 탄생했나요?

어렸을 때 저는 기술을 분해하여 내부에 무엇이 있고 어떻게 작동하는지 알아내는 데 매료되었습니다.저는 결국 하드웨어와 소프트웨어에 대해 동일한 접근 방식을 취하면서 이를 침해하고 망가뜨릴 방법을 모색하면서 가족과 공용 가전 제품에 큰 안도감을 느꼈습니다.평생 동안 보안에 대한 열정이 생겨났고, 수년 동안 저는 학생, 동료, 보안 커뮤니티와 제가 가진 '획기적인' 기술을 공유하고 소프트웨어에서 오류를 찾아 사용하고 남용하는 방법을 알려주는 데 집중했습니다.나중에는 방어 진영의 기술을 향상시키고, 개발자들에게 교실 환경에서 유용하고 안전한 코딩 패턴을 가르치고, 일반적인 취약점과 이를 방지하는 방법을 이해하도록 돕는 데 다시 집중했습니다.컨설팅 분야에서도 일하면서 대기업에 보안 프로그램을 개선할 수 있는 방법에 대해 조언했습니다. 특히 개발자 참여와 관련해서는 더욱 그렇습니다.이 시기에 저는 현재 Secure Code Warrior의 창립 팀으로 일하고 있는 팀원들과 인연을 맺었습니다.우리는 함께 코드 수준의 취약점과 관련하여 보안팀과 개발팀 모두가 직면한 문제점과 개발자 보안 기술 향상을 목표로 하는 대부분의 교육 솔루션에 존재했던 문제를 이해했습니다.우리는 개발자들에게 재미와 흥미를 주면서도 엔터프라이즈 수준에서 확장할 수 있는 학습 플랫폼이라는 비전을 실현하기 시작했습니다.궁극적으로는 개발자의 작업 환경에 맞게 조정되고, 방해가 적고, 보안을 최우선으로 생각하는 사고방식을 구축하는 데 도움이 되는 도구 모음을 만들고 싶었습니다.그리고 우리는 이 도구를 가능한 한 언어에 유연하고 콘텐츠가 풍부하게 만들기 위해 노력했습니다.

어떤 일을 하는지 소개해 주실 수 있나요?해결에 도움이 되는 주요 과제는 무엇인가요?

궁극적으로 우리는 코드에 잘못된 보안 패턴을 사용하여 종종 발생하는 보안 마찰과 지연을 제거하여 기업이 소프트웨어 개발 속도를 높일 수 있도록 지원합니다. 우리는 개발 팀이 일반적인 보안 취약성을 탐색하는 데 도움이 되는 학습 플랫폼 및 개발자 중심 도구 모음을 만들었습니다. 이 취약성 중 다수는 수십 년 동안 존재해 왔으며 오늘날에도 계속해서 기업을 사이버 위험에 노출시키고 있습니다.개발자가 이러한 코드 수준의 문제를 해결할 수 있는 교육과 기술이 부족하고, 종종 잘못된 코딩 패턴과 기술을 지속적으로 사용하여 문제를 처음부터 소개하기 때문입니다. 이들은 3차 수준에서 보안 코딩을 배우지 않으며, 대부분의 직장 교육 프로그램은 시간이 지남에 따라 코드 품질 및 보안에 실제로 영향을 미치기에는 너무 드물고 일상 업무와 관련된 콘텐츠를 제공하는 데 비효율적입니다.우리의 솔루션은 코딩 행동을 변화시키고 현실 세계에서 보안을 최우선으로 생각하는 데 도움이 되는 매력적이고 관련성 높은 기술 개발을 제공하고자 합니다.우리는 개발자들에게 가장 친숙한 환경과 점점 더 통합되고 있으며, 컨텍스트 러닝에 초점을 맞추고 있기 때문에 사용자는 주요 교육 결과를 유지할 수 있는 최고의 기회를 얻을 수 있습니다. 또한 개발자들이 보안을 긍정적이고 재미있는 시각으로 바라볼 수 있도록 돕고 성공에 보답하고 커뮤니티를 구축할 수 있도록 노력하고 있습니다.

보안 코딩에 대해 배우는 것이 지루하게 들릴 수도 있는데, 어떻게 하면 교육을 효과적이면서도 재미있게 유지할 수 있을까요?

당사의 주력 학습 플랫폼은 개발자 참여를 염두에 두고 설계되었습니다.가장 인기 있는 기능 중 하나는 토너먼트 모드입니다. 이 모드에서는 참가자가 교육 중에 배운 지식을 동료와 비교하여 테스트할 수 있습니다.각 정답에 대해 점수가 매겨지고 토너먼트 세션 내내 실시간 순위표가 업데이트됩니다. 커뮤니티 이벤트와 컨퍼런스에서 이러한 기능을 진행했으며 일부 고객은 모두가 의상을 입고 오는 매우 복잡한 테마를 만들었습니다.훌륭한 팀 빌딩 경험이자 피자, 상품, 일상에서 벗어나는 경험을 통해 기술 향상에 대한 헌신을 축하하기에 완벽한 시기입니다. 또한 당사의 콘텐츠는 일반적으로 60개 이상의 프로그래밍 프레임워크에서 제공되며, 일상 업무에서 실제로 보게 될 실제 코드 스니펫을 사용합니다.동영상이나 연례 규정 준수 시험을 보는 것보다 관련성이 높고 실제 문제를 해결하는 데 도움이 되는 콘텐츠가 있으면 참여를 유지하기가 훨씬 쉽습니다.

오늘날 개발자들이 직면하고 있는 주요 과제는 무엇이라고 생각하시나요?

개발자들이 잘하고 싶어한다는 것을 확립하는 것이 중요하다고 생각합니다. 하지만 개발자들은 교육이나 경력에서 보안을 제대로 갖추지 못했습니다.이는 보안 관점에서 직면하는 많은 문제의 핵심입니다. 또한 보안은 자신의 책임 범위를 벗어난 것으로 간주하는 경향이 있으며, 대다수 조직에서는 KPI에 보안 코딩 결과와 관련된 내용이 포함되어 있지 않습니다. 코드 수준 취약성의 양이 변화하려면 이러한 현상 유지를 깨야 합니다.하지만 개발자들은 우리가 원하는 변화를 이루기 위해 적절한 지원과 도구를 필요로 합니다. 그리고 당면 과제는 효과적인 지원, 교육할 시간을 주고, 나중에 보안을 빠르게 달성할 수 있도록 지금 기술 향상에 투자하는 것입니다.

최근의 글로벌 이벤트는 업무 분야에 어떤 영향을 미쳤습니까?

모든 기업이 현재의 글로벌 기후가 목표, 예측 및 예산에 미치는 영향을 어느 정도 체감하고 있음은 의심할 여지가 없지만, 우리는 운 좋게도 지금까지 폭풍을 이겨낼 수 있었습니다.사이버 보안은 대부분의 기업에서 타협할 수 없는 요소이며, 우리는 고객 및 잠재 고객과의 대화에 계속 참여하기 위해 최선을 다하고 있습니다.

조직이 소프트웨어 또는 애플리케이션을 개발할 때 따라야 하는 모범 사례에는 어떤 것이 있습니까?

조직마다 미묘한 차이가 있겠지만, 일반적으로 모범 보안 사례를 기반으로 운영되는 회사들은 고정관념에서 벗어나 다양한 접근 방식을 시도할 의향이 있습니다.그들은 보안 결과에 긍정적인 변화를 가져올 수 있는 사람의 힘을 잊지 않습니다. 대부분의 경우 보안 프로그램에서 개발자는 그다지 큰 고려 대상이 아닙니다.그러나 조만간 메워질 것 같지 않은 세계적인 보안 기술 격차에 직면했을 때, 보안을 지원하는 개발자는 소프트웨어 개발 관점에서 위험을 줄이고 규정 준수를 달성하는 데 도움을 줄 수 있습니다.이들은 프로세스의 가능한 가장 빠르고 저렴한 단계에서 효과를 발휘할 수 있습니다.

보안 코딩 도구 외에 비즈니스 운영을 강화할 뿐만 아니라 보안을 강화할 수 있는 다른 조치나 관행은 무엇이라고 생각하십니까?

모든 기업은 일종의 역할 기반 보안 교육을 받아야 합니다.위협 행위자가 활용하려는 코드 수준 공격 이외의 위협은 무수히 많기 때문에 조직의 모든 사람은 자신의 업무에 적용할 때 보안 원칙을 정기적으로 숙지해야 합니다. 그런 의미에서 사무실 관리자부터 회계 팀에 이르는 모든 사람은 사이버 보안 조치 및 인식에서 자신이 수행하는 역할을 이해하고 수용해야 합니다.

현재의 경제 상황에서 CISO는 최저 비용으로 기업의 보안을 유지해야 한다는 압박을 많이 받고 있습니다. CISO에게 해주고 싶은 조언이 있으신가요?

CISO는 이러한 상황에서 창의성을 발휘할 필요가 있습니다. 특히 사이버 보안 법규가 점점 더 까다로워지고, 경우에 따라 보안 침해 발생 시 CISO가 개인적으로 책임을 져야 하는 상황이기 때문입니다.여기에 해고까지 더해진다면 같은 양의 소프트웨어를 작성하면서 더 많은 책임을 맡을 것으로 예상되는 엔지니어가 줄어드는 상황에 처하게 됩니다.CISO는 비즈니스 속도를 저해하는 주요 장애물 중 하나인 보안을 해결하여 비즈니스가 성공할 수 있도록 지원할 수 있습니다.

코드 수준의 보안 취약성과 잘못된 구성을 해결하는 가장 저렴한 단계는 소프트웨어가 출시되기 전이며, 따라서 개발자는 당연히 이러한 위험을 줄일 수 있는 유리한 위치에 놓이게 됩니다.하지만 이를 위해서는 맞춤형 지원이 필요합니다.엔지니어링 팀에 현재 워크플로와 기술 스택을 고려하여 개발자 우선 도구를 제공한다면 빠른 보안이 가능합니다.빠른 속도로 보안 정확도를 달성하려면 지원이 필요한데, 보안 코딩 패턴을 사용하고 문제를 더 빠르게 해결하는 방법을 알려주는 것이 가장 좋습니다.

종합적인 개발자 교육 비용을 들이면 기본적으로 취약점을 원천에서 제거하여 소프트웨어 개발 수명 주기 (SDLC) 에서 나중에 시간과 비용을 절약할 수 있습니다.대규모 공격의 빈도와 CISO에 대한 책임이 그 어느 때보다 커진 상황에서 우리는 사이버 보안 기술 부족을 뒤쳐진 탓으로 돌리는 것을 멈춰야 합니다.방어적인 보안 관행에 우선 순위를 두고 이미 눈앞에 있는 인력의 수준을 높이십시오.

시큐어 코드 워리어의 미래는 어떻게 될까요?

우리는 개발자를 최우선으로 생각하여 시장에 출시하는 솔루션을 지속적으로 혁신하고자 합니다.우리는 개발사가 기능 제공 속도나 여러 우선 순위에 따른 온전함을 훼손하지 않으면서 보안을 제공할 수 있도록 하는 데 초점을 맞추고 있습니다.

우리는 조직이 방어 보안 프로그램을 혁신할 수 있도록 지원하는 것을 목표로 하며, 보안을 갖춘 개발자가 그 이야기의 주인공이 되기를 바랍니다.이 공간을 보세요.