Secure Code Warrior 연구: Secure By-Design 개발자 준비 상태에서 진전을 이루고 있는 주요 인프라 산업

팔라딘 글로벌 인스티튜트 (Paladin Global Institute) 와 공동으로 진행한 새로운 분석 결과는 Secure by Design 진행 상황을 제대로 측정하기 위한 개발자 기술 향상이 매우 중요하다는 것을 강조합니다. 

‍

보스턴 — 2024년 10월 15일 - 오늘은 시큐어 코드 워리어, 개발자 중심의 글로벌 보안 리더 새로운 연구 결과 발표 개발자 기술 향상 및 조직의 SBD (보안 설계) 이니셔티브에 미치는 영향에 대해 설명합니다.2024년 4월 이후, 그 이상 200개 기업시큐어 코드 워리어를 포함하여 시큐어 바이 디자인 서약에 서명했습니다.새로운 분석에 따르면 금융 서비스, 국방, 의료 및 IT와 같은 주요 인프라 산업 전반의 조직은 개발자들이 SBD 이니셔티브를 발전시킬 수 있도록 준비하는 데 진전을 이루고 있습니다.Secure Code Warrior에 따르면 이들 업계의 개발자 팀은 평균적인 보안 태세를 갖추고 있습니다. SCW 트러스트 스코어개발자 팀의 보안 역량을 수치화하는 글로벌 벤치마크로, 다른 산업보다 높습니다.

최고 정보 보안 책임자 (CISO) 들은 SBD 이니셔티브의 초기 단계에서 진정한 ROI를 입증하기가 점점 더 어려워지고 있습니다.최근 몇 년 동안 조직이 업계 표준에 따라 어떻게 추적하고 있는지 평가할 벤치마크의 부재가 주요 과제로 떠올랐습니다.Secure by-Design 이니셔티브를 성공으로 이끄는 핵심은 개발자에게 코드 보안을 보장하는 기술을 제공할 뿐만 아니라 업계 및 정부 규제 기관에 이러한 기술이 제대로 적용되도록 하는 것입니다.

팔라딘 캐피탈 그룹의 수석 전략 고문이자 전 내셔널 사이버 디렉터인 크리스 잉글리스 (Chris Inglis) 는 “이제 우리는 그 어느 때보다 SBD 기술 향상 프로그램을 마련해야 할 국가적 책임이 있다”고 말했다.“위험 감소는 이번 최신 분석의 핵심이며, Secure Code Warrior는 개발자 보안 학습을 강화하고 사이버 공격을 방지하며 국가의 중요 인프라를 강화하는 데 앞장서고 있습니다.”

주요 결과: 주요 인프라 산업 전반의 개발자 기술 향상에 대한 Secure Code Warrior의 분석은 전 세계 600개 기업 고객과 250,000명 이상의 활동 중인 개발자를 대상으로 한 2천만 개 이상의 데이터 포인트에서 얻은 통찰력을 기반으로 합니다.분석 결과 다음과 같은 사실이 밝혀졌습니다.

• 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하고 있는 전체 개발자 수는 전 세계 개발자의 4% 미만입니다.
• SCW TrustScore로 측정한 결과 금융 서비스 산업과 같은 특정 중요 인프라 부문은 중요하지 않은 인프라의 평균과 비교하여 가장 높은 보안 태세를 갖추고 있습니다.예를 들어 금융 서비스 평균 신뢰 점수는 336점이었습니다.
• 하지만 놀랍게도 금융 서비스 부문은 규정 준수 및 규제 요구 사항에도 불구하고 다른 여러 주요 부문과 유사한 보안 태세를 갖추고 있었습니다.
• 대규모 및 소규모 Secure-by-Design 업스킬링 이니셔티브는 성공할 수 있으며, 연구 결과에 따르면 소규모 이니셔티브는 빠르게 성장하고 더 빠르게 실행할 수 있습니다.하지만 이러한 이니셔티브가 성공하고 측정 가능한 투자 수익률 (ROI) 을 더 빨리 달성하려면, 연구 결과에 따르면 필수 조건을 마련해야 합니다.
• 업스킬링 이니셔티브가 확고하게 자리 잡으면 개발자가 애플리케이션에서 야기하는 위험이 훨씬 줄어듭니다.분석 결과 대규모 업스킬링 이니셔티브에 참여하는 개발자 (단일 회사에 7,000명 이상의 개발자) 가 취약성을 예측 가능한 수준으로 47~ 53% 줄일 수 있는 것으로 나타났습니다.

국가들이 광범위한 사이버 보안 전략과 유사한 지침을 제시함에 따라 Secure-By-Design은 전 세계적으로 탄력을 받고 있습니다.그러나 개발자 기술 벤치마크를 위한 적절한 데이터 포인트가 없으면 개발자에게 안전한 기본값을 제공하고 보안을 이해하는 소프트웨어 개발자 인력을 육성하기 어려울 것입니다.애자일 업스킬링 프로그램은 정해진 기준에 따라 개발자들이 직면하고 있는 실제 문제를 해결하는 실습 세션을 통해 개발자들의 공감을 이끌어낼 수 있습니다.

팔라딘 글로벌 연구소 (Paladin Global Institute) 회장이자 전 국가 사이버 책임자 대행인 켐바 월든 (Kemba Walden) 은 “전례 없는 글로벌 사이버 위협이 만연한 시기에 이러한 새로운 발견은 디지털 인프라 전반에서 SBD 이니셔티브를 강화해야 할 필요성을 보여줍니다.” 라고 말했습니다.“이번 연구는 인력의 숙련도를 높이고 중요한 사이버 보안 목표를 달성하기 위한 벤치마크를 마련해야 한다는 분명한 행동 유도를 제시합니다.”

시큐어 코드 워리어 (Secure Code Warrior) 의 공동 설립자이자 CTO인 마티아스 마두 (Matias Madou) 는 “베이스라인과 벤치마크는 보안 코딩을 기업 DNA의 필수적인 부분으로 만들어 조직의 보안 태세를 크게 최적화할 수 있다”고 말했다.“SBD 이니셔티브가 실제로 진전을 이루고 있는지 알기 위해서는 개발자의 기술 향상 노력이 효과적이며 보안 모범 사례를 업무 습관에 흡수한다는 정량적 증거가 필요합니다.개발자가 진정으로 코드 작성 라이선스를 획득했다는 믿음을 완전히 가져야 합니다.”

많은 보안 리더들은 엔터프라이즈 보안 프로그램의 대부분 요소, 특히 개별 직원에 대한 지속적인 기술 향상 및 평가와 관련된 요소를 확장하는 것이 어렵다는 점을 지속적으로 강조합니다.이는 타당한 우려이긴 하지만 개발자에게 검증된 보안 기술을 갖추도록 요구하는 글로벌 법률 개혁과 지침이 여러 차례 시행됨에 따라 이를 극복해야 합니다.전 세계 많은 조직이 조치를 취하고 있으며 상당한 영향을 미치는 대규모 기술 향상 이니셔티브를 구현했습니다.

시큐어 코드 워리어의 최신 분석과 SCW 신뢰 점수에 대해 자세히 알아보려면 여기를 클릭하세요.

‍

시큐어 코드 워리어 소개:

Secure Code Warrior는 디지털 세계를 안전하게 지키는 표준을 설정하는 보안 코딩 플랫폼입니다.이를 위해 우리는 개발자들이 소프트웨어 보안 원칙을 배우고, 적용하고, 유지할 수 있도록 가장 효과적인 보안 코딩 솔루션을 제공하는 세계 최고의 애자일 러닝 플랫폼을 제공함으로써 이를 실현합니다.600개 이상의 기업이 민첩한 학습 보안 프로그램을 구현하고 출시하는 애플리케이션에 취약점이 없는지 확인하기 위해 Secure Code Warrior를 신뢰하고 있습니다.

시큐어 코드 워리어에 대한 자세한 내용은 다음 사이트를 참조하십시오. www.securecodewarrior.com.