바이든 행정부의 발표 이후 국가 사이버 보안 개선에 관한 행정 명령넷위트니스 팀은 넷위트니스의 CEO인 피터 댄히외(Pieter Danhieux)와 이야기를 나눴습니다. 보안 코드 워리어에서 이번 행정명령이 개발자 커뮤니티와 소프트웨어 산업에 미칠 영향에 대해 알아보세요.
NetWitness: 피터, 사이버 보안에 관한 행정명령에서 가장 고무적인 점은 무엇인가요?
Pieter: 미국 정부가 사이버 보안을 진지하게 받아들이는 모습을 보는 것은 매우 신선했습니다. 그 첫 번째 지표는 지난 1월에 1조 4,000억 달러의 예산 배정을 뒷받침하는 사이버 보안 이니셔티브를 발표한 바이든의 발표였습니다. 최근 행정명령(EO)을 통해 보안 관점에서 소프트웨어 개발 방식에 대한 더 많은 통제를 법제화함으로써 정부 부처와 인프라를 보호하는 데 한 걸음 더 나아가고 있습니다.
세계 정부 기관이 처음으로 개발자를 사이버 방어의 원천으로 바라보고 있다는 점은 매우 고무적인 일입니다. 이 새로운 명령은 무엇보다도 개발자가 검증된 보안 기술을 갖추고 엄격한 모범 사례를 준수해야 할 필요성을 구체적으로 언급하고 있습니다. 개발자가 방어의 최전선이 되기 위해서는 보다 포괄적인 교육과 도구가 필요하다는 것을 오랫동안 알고 있었으며, 이러한 분위기가 법안으로 형성되는 것을 보니 반갑습니다.
NetWitness: 효과적인 보안은 기술 그 이상이라는 것을 잘 알고 있습니다. 제품 개발 단계부터 기업이 제품을 사용하는 방식에 이르기까지 위협을 인식하고 이에 대응하기 위한 조치를 취하려면 사람들의 노력이 필요합니다. 이 명령이 이 문제를 어떻게 해결하는지 자세히 설명해 주시겠어요?
Pieter: 현재 조직 차원에서 보안 도구에 대한 의존도가 높은데, 도구는 DevSecOps의 기본적인 부분이고 실제로 견고한 보안 프로그램이지만 만병통치약은 아닙니다. 단일 도구가 모든 언어의 모든 취약점을 찾아낼 수는 없으며, 종종 번거롭고 느립니다. 중요한 인프라를 잠재적으로 지원하는 소프트웨어를 구축하는 것은 여전히 사람이라는 점을 기억해야 하며, 데브섹옵스는 사람이 보안에 대한 인식을 갖게 하고 보안 책임에 대한 이전 관행에 문화적 변화를 가져오는 것입니다.
행정명령은 개발 프로세스 전반에 걸쳐 스캐닝 도구를 의무화하는 것을 언급하고 있지만, 도구와 사람 간의 균형을 맞추기 위해 더 나아가고 있습니다. 사이버 보안 기술 격차는 더 이상 저품질 소프트웨어를 양산하는 핑계가 될 수 없으며, 행정명령은 정부를 고객으로 확보하려면 개발 프로세스에 참여하는 사람들이 검증된 보안 역량을 갖춰야 한다고 명시하고 있습니다. 이를 달성하려면 조직은 지금보다 더 많은 노력을 기울여야 합니다: "너무 일반적이고, 빈번하지 않으며, 영향력이 없는 '틀에 박힌' 보안 교육은 사라져야 하며, 개발자의 역량을 실제로 향상시킬 수 있는 솔루션에 투자해야 합니다. 왜 최소한의 교육에 시간과 비용을 투자해야 할까요? 돈을 아끼고 아무것도 하지 않는 것도 마찬가지로 비효율적입니다.
NetWitness: 개발자가 구축하는 도구와 솔루션을 더 안전하게 만들기 위해 취할 수 있는 단계는 무엇이라고 생각하시나요?
Pieter: The thing to remember is that developers didn’t sign up to become security experts, and nobody should expect them to fill that role. They want to build features, and that’s their core task. However, we produce higher volumes of code year on year, and software is eating the world. There is simply too much code to pass off to already stretched security teams, and developers have the power to ease that load by becoming security-aware and stopping common vulnerabilities from the start of the process. They should never be expected to fix complex problems, but the ones resulting from poor coding patterns can definitely be addressed when they have the skills to do so.
개발자는 보안에 대한 경험이 부족한 경우가 많으며, 이러한 개발자를 설득해야 합니다. 개발 환경에서 한 입 크기의 교육을 통해 상황에 맞는 학습을 하면 안전한 코딩 패턴에 대한 근육 기억을 형성하고 기존 지식을 기반으로 구축하는 데 도움이 됩니다. 답을 찾거나 기본을 익히기 위해 화면과 프로그램을 왔다 갔다 해야 한다면 학습은 뒷전으로 밀려날 가능성이 높습니다. 워크플로우를 최대한 방해하지 않으면서도 흥미롭고 관련성이 높으며 빈번한 학습이 이루어지도록 하는 것이 중요합니다. 모든 도구는 개발자를 염두에 두고 그들의 환경에서 어떻게 받아들여지고 구현될지 이해한 상태에서 선택해야 합니다. 아무 도구나 던져 넣으면 나쁜 보안 환경이 지속될 수 있습니다.
NetWitness: 미국 연방 정부가 소프트웨어를 사용하는 방식을 강조하는 것이 공급망의 보안을 개선하는 데 도움이 될 것이라고 생각하시나요?
피터: 네, 물론이고 공급망 확보는 EO에서 매우 중요한 부분입니다. 이는 다음과 같은 기업에게 좋은 기회입니다. 모든 를 통해 자체 공급망을 분석하고 공급업체의 보안 표준을 평가할 수 있습니다.
타사 공급업체(타사 구성 요소를 사용하는 개발자는 말할 것도 없고)의 보안 조치에 대한 투명성이 부족하면 사이버 보안 모범 사례가 이행되고 있는지 확인하기가 매우 어렵습니다. 우리가 사용하는 공급업체와 그들이 작성한 소프트웨어를 분석해야 합니다. 이러한 조치는 '추가적인 노력'으로 보일 수 있지만, 사이버 보안 모범 사례의 표준에 내재되어 있어야 합니다.
NetWitness: 새로운 질서 아래에서 소프트웨어 산업이 발전하는 과정에서 자동화가 어떤 역할을 할 것으로 보십니까?
Pieter: 자동화는 특히 보안 모니터링과 제로 트러스트 조치의 맥락에서 EO의 핵심 요소입니다. 코드의 양이 방대하기 때문에 지능형 자동화는 매우 중요하며, 안전한 엔드포인트를 유지하고 위협을 지속적으로 스캔하는 데 있어 많은 힘든 작업을 수행합니다.
사이버 보안 방어를 자동 조종 장치에 맡겨도 된다는 오해가 있다면... 역사는 이것이 좋은 전략이 아니라는 것을 증명할 것입니다.
NetWitness: 이 명령이 내려진 지금 시큐어 코드 워리어의 솔루션이 개발 커뮤니티를 어떻게 지원할 것으로 보시나요?
피터: 저희는 개발자의 입장이 어떤지 잘 알고 있기 때문에 개발자를 염두에 두고 모든 것을 설계합니다. 우리는 오랫동안 개발자를 사이버 방어의 핵심으로 옹호해 왔으며, 개발자의 교육과 평가가 효과적이려면 개발자의 일상 업무와 훨씬 더 관련이 있고 참여도가 높아야 한다고 옥상에서 외쳤습니다. 이제 개발자의 역량을 강화하고 보안에 대한 인식을 갖춘 개발자를 측정하고 인증해야 할 때입니다.
현재까지 개발자를 대상으로 하는 공식적인 보안 코딩 인증은 존재하지 않습니다. 하지만 저희의 학습 플랫폼은 개발자가 업무의 맥락에서 안전하게 코딩하는 데 필요한 지식을 갖추고 있음을 교육, 평가 및 인증할 수 있습니다. 특정 규정 준수 목표를 달성하는 데 도움이 되는 엄선된 과정을 제공하며, Jira 및 GitHub와 같이 널리 사용되는 개발 환경과 통합되는 다양한 도구를 제공합니다. 누구나 지금 바로 사용해 볼 수 있는 무료 리소스도 많이 준비되어 있습니다.
또한 심층적인 사내 전문 지식을 활용하여 NIST에 공식적으로 포지셔닝 문서를 제출했으며, 이는 보다 직접적인 인적 요소와 인간의 문제를 해결하기 위한 도구 및 교육에 대한 보다 구체적인 내용으로 전략과 가이드라인을 개선하는 데 도움을 주기 위한 것이었습니다.
NetWitness: 정말 감사합니다, 피터! 이 문제에 대해 이야기하게 되어 반가웠습니다.
피터입니다: 감사합니다, 만나서 반가웠습니다.
# # #
Join Matias Madou, CTO of Secure Code Warrior, and RSA’s CTO Ben Smith as they discuss the importance of empowering developers to start left, not just shift left. Through this interactive session, they will touch on the importance of building a positive security environment that can be used in a dev team’s everyday practice. Register 여기.