연구 보고서: 시큐어 데브옵스에 대한 글로벌 차원 관심 높아져
시큐어 코드 워리어 보고서, 애플리케이션 보안에 대한 책임이 개발자들에 지워짐으로써 대응보다는 예방에 더 초점 맞춰져
전문 개발자 및 매니저들을 대상으로 한 글로벌 설문조사에서 10개 기업들 가운데 7곳(70%)이 시큐어 코딩 관행의 중요성을 인지하고 있다고 응답해 업계 전반에 걸쳐 문제에 대한 대응보다는 예방에 더 초점이 맞춰지고 있는 추세를 나타냈다.
시큐어 코드 워리어의 최고기술책임자이자 공동설립자인 마티아스 마두(Matias Madou) 박사는 “업계가 해킹 공격이 있고 나서야 대증요법이나 단기 솔루션으로만 대응하던 데서 보다 공격적이고 개발자 중심으로 처음부터 약점이 없는 고품질 소프트웨어를 만들어내자는 움직임이 일고 있는 가운데 전 세계에 걸쳐 태도의 변화를 감지하고 있다”고 말했다.
이 연구 결과에 따르면 ‘시큐어 코드’는 소프트웨어 개발자 커뮤니티 내에서 ‘고품질 코드’와 거의 동일시되고 있으며 보안성 개선은 더 이상 AppSec 전문가들의 고유 영역이 아니고 대신 개발팀과 팀 리더들의 책임으로 되고 있다.
시큐어 코딩, 보다 공격적인 보안 전략으로 간주돼
설문조사 응답자들의 답변 중에서 가장 많이 언급된 보안성 향상을 위한 소프트웨어 업계의 두 가지 관행은 기존에 설치된 애플리케이션 상에 툴을 사용하는 것과 코드 내의 허점을 찾아내기 위해 수작업으로 검토를 하는 것이다. 그러나 개발자들의 태도 변화는 전 세계적으로 감지되고 있어서 설문조사 대상이 된 절반이 넘는 개발자들(55%)이 시큐어 코딩을 보다 공격적인 보안 향상 관행이라고 답변했다.
매니저와 개발자들, 지향점 달라
한편 설문조사 대상이 됐던 매니저들 가운데 절반 이상(55%)이 시큐어 코딩이 현재 실행되고 있으며 전반적인 개발 프로세스의 중요한 일부분이 되고 있다고 대답했다. 그런 반면 같은 대답을 한 개발자들은 43%에 불과했다. 그런 반면 개발자들 중 36%가 디자인 단계가 아니라 개발 단계에서 시큐어 코딩을 고려한다고 답변한 반면 같은 답변을 한 매니저들 비율을 1/3 정도(32%)에 그쳤다.
시큐어 코드, 성공의 지표
설문대상자들은 ‘애플리케이션의 성능’과 ‘기능성 및 특징’을 소프트웨어 개발에서 가장 중요한 성공 지표(각각 67% 및 62%)라고 꼽은 반면 대상자들 중 거의 4/5(79%)가 ‘시큐어 코드’의 중요성이 갈수록 더 높아지고 있다고 답했다.
애플리케이션 보안 분야의 변화
설문 대상자들 중 거의 절반(46%)에 달하는 응답자들이 개발팀과 팀 리더들이 AppSec 팀(24%) 대신에 애플리케이션 보안 책임을 지는 것이 더 낫다고 대답했다. 한편 10명의 개발자들 중 8명(81%)이 코드에 약점이 발견될 경우 자신들이 책임을 져야 한다고 답변했다.
개발자들, 기능 향상에 높은 관심 기울여
시큐어 코딩에 대해 훈련을 받길 원하는 이유에 대해 ‘생산성과 효율을 높이기 위해’(20%), ‘호기심으로 인해’(14%), ‘약점이 있는 코드로 인한 문제를 회피하기 위해’(11%)로 각각 대답했다. 단지 10%에 불과한 응답자들이 개인의 경력개발을 시큐어 코딩을 배우고자 하는 이유로 들었지만 4/5(81%)에 달하는 매니저들이 시큐어 코딩 능력을 갖춘 신입직원을 채용할 의향이 있다고 답했다.
더 많은 훈련이 필요
설문 대상이 된 매니저들 가운데 91%는 자신이 속한 조직 내에서 시큐어 코딩글로벌 시큐어 코딩 전문회사인 시큐어 코드 워리어(Secure Code Warrior®)가 내놓은 연구 결과에 따르면 소프트웨어 개발 업계에서 데브옵스(DevOps)와 시큐어 데브옵스(Secure DevOps)에 대한 과거의 관행을 벗어나고자 하는 태도 변화가 일고 있다.
전문 개발자 및 매니저들을 대상으로 한 글로벌 설문조사에서 10개 기업들 가운데 7곳(70%)이 시큐어 코딩 관행의 중요성을 인지하고 있다고 응답해 업계 전반에 걸쳐 문제에 대한 대응보다는 예방에 더 초점이 맞춰지고 있는 추세를 나타냈다.
시큐어 코드 워리어의 최고기술책임자이자 공동설립자인 마티아스 마두(Matias Madou) 박사는 “업계가 해킹 공격이 있고 나서야 대증요법이나 단기 솔루션으로만 대응하던 데서 보다 공격적이고 개발자 중심으로 처음부터 약점이 없는 고품질 소프트웨어를 만들어내자는 움직임이 일고 있는 가운데 전 세계에 걸쳐 태도의 변화를 감지하고 있다”고 말했다.
이 연구 결과에 따르면 ‘시큐어 코드’는 소프트웨어 개발자 커뮤니티 내에서 ‘고품질 코드’와 거의 동일시되고 있으며 보안성 개선은 더 이상 AppSec 전문가들의 고유 영역이 아니고 대신 개발팀과 팀 리더들의 책임으로 되고 있다.
시큐어 코딩, 보다 공격적인 보안 전략으로 간주돼
설문조사 응답자들의 답변 중에서 가장 많이 언급된 보안성 향상을 위한 소프트웨어 업계의 두 가지 관행은 기존에 설치된 애플리케이션 상에 툴을 사용하는 것과 코드 내의 허점을 찾아내기 위해 수작업으로 검토를 하는 것이다. 그러나 개발자들의 태도 변화는 전 세계적으로 감지되고 있어서 설문조사 대상이 된 절반이 넘는 개발자들(55%)이 시큐어 코딩을 보다 공격적인 보안 향상 관행이라고 답변했다.
매니저와 개발자들, 지향점 달라
한편 설문조사 대상이 됐던 매니저들 가운데 절반 이상(55%)이 시큐어 코딩이 현재 실행되고 있으며 전반적인 개발 프로세스의 중요한 일부분이 되고 있다고 대답했다. 그런 반면 같은 대답을 한 개발자들은 43%에 불과했다. 그런 반면 개발자들 중 36%가 디자인 단계가 아니라 개발 단계에서 시큐어 코딩을 고려한다고 답변한 반면 같은 답변을 한 매니저들 비율을 1/3 정도(32%)에 그쳤다.
시큐어 코드, 성공의 지표
설문대상자들은 ‘애플리케이션의 성능’과 ‘기능성 및 특징’을 소프트웨어 개발에서 가장 중요한 성공 지표(각각 67% 및 62%)라고 꼽은 반면 대상자들 중 거의 4/5(79%)가 ‘시큐어 코드’의 중요성이 갈수록 더 높아지고 있다고 답했다.
애플리케이션 보안 분야의 변화
설문 대상자들 중 거의 절반(46%)에 달하는 응답자들이 개발팀과 팀 리더들이 AppSec 팀(24%) 대신에 애플리케이션 보안 책임을 지는 것이 더 낫다고 대답했다. 한편 10명의 개발자들 중 8명(81%)이 코드에 약점이 발견될 경우 자신들이 책임을 져야 한다고 답변했다.
개발자들, 기능 향상에 높은 관심 기울여
시큐어 코딩에 대해 훈련을 받길 원하는 이유에 대해 ‘생산성과 효율을 높이기 위해’(20%), ‘호기심으로 인해’(14%), ‘약점이 있는 코드로 인한 문제를 회피하기 위해’(11%)로 각각 대답했다. 단지 10%에 불과한 응답자들이 개인의 경력개발을 시큐어 코딩을 배우고자 하는 이유로 들었지만 4/5(81%)에 달하는 매니저들이 시큐어 코딩 능력을 갖춘 신입직원을 채용할 의향이 있다고 답했다.
더 많은 훈련이 필요
설문 대상이 된 매니저들 가운데 91%는 자신이 속한 조직 내에서 시큐어 코딩 관행을 시행하는데 평균 이상의 어려움을 겪었다고 대답했다. 이는 거의 모든 응답자들(97%)이 시큐어 코딩 분야에서 충분한 훈련을 받았다고 답변했음에도 나은 결과이다. 이는 어쩌면 9/10(88%)에 달하는 개발자들이 높은 보안성을 갖춘 프로그램 코딩이 매우 어려운 일이라고 대답한 것과 관련이 있는 것으로 추정된다.
마두 박사는 “20년에 걸쳐 OWASP 톱 10 소프트웨어 약점이 다른 약점에 비해 훨씬 더 많은 보안상의 문제를 초래하는 가운데 기업들이 개발자들에 대한 훈련을 대폭 강화시켜 개발 초기부터 약점의 여지를 완전히 없애버릴 수 있도록 지식과 기능 수준을 높이는 것이 필요하다”고 말했다.
그는 또한 “코드는 오늘날 모든 일상적 관계에서 가장 중요한 요소로 자리잡고 있으며 시큐어 코드 워리어는 보안 분야에 높은 기능을 갖춘 개발자들을 길러내서 보다 안전하고 기능성 높은 소프트웨어를 개발할 수 있도록 하는데 많은 노력을 기울이고 있다”고 덧붙였다.
이 보고서 ‘Shifting from reaction to prevention: The changing face of application security 2021’를 발간 이전에 미리 열람하길 원할 경우 scw.buzz/earlyaccess에서 등록을 해야 한다.
방법론
시큐어 코드 워리어는 IT 산업 분야 시장조사기관 에반스 데이터 코퍼레이션(Evans Data Corporation)에 해당 프로젝트를 의뢰해서 소프트웨어 개발 분야에서 활동하는 개발자 및 관련 매니저들에 대한 글로벌 설문조사를 실시하도록 했다. 2020년 8월 북미주와 인도, 영국, 유럽, 호주, 뉴질랜드, 동남아시아 등 지역에 걸쳐 400명의 응답자들에 설문지가 배부됐다.
시큐어 코드 워리어 개요
시큐어 코드 워리어는 시큐어 코딩을 위해 다수의 개발자들이 선택한 솔루션이다. 개발자들이 소프트웨어 보안 기술을 향상시키는 데 있어 시큐어 코딩을 보다 긍정적이고 흥미로운 경험으로 만드는 회사의 인간 중심 접근법은 모든 개발자들을 잠재적인 시큐어 코더로 만들어주며 개발팀이 고품질 코드를 보다 더 신속하게 출시할 수 있도록 지원한다.
보안 문제에 높은 관심을 갖는 개발자들로 구성된 글로벌 커뮤니티에 대해 예방적인 시큐어 코딩 관행을 채택하도록 권장을 함으로써 우리 회사는 사람 중심의 솔루션 개발에 앞장서고 보안기술 개선을 통해 약점이 많은 코딩 관행을 근절시키고자 하는 것을 핵심 미션으로 삼고 있다. 자세한 정보는 securecodewarrior.com. 참조
비즈니스 와이어(businesswire.com) 원문 보기: https://www.businesswire.com/news/home/20210323006113/en/
[이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.]
웹사이트: https://securecodewarrior.com/
연락처
시큐어 코드 워리어(Secure Code Warrior)
미디어 문의 또는 인터뷰 요청
핫와이어(Hotwire)
카를리 라이언(Carly Ryan)
securecodewarrior@hotwireglobal.com
이 보도자료는 Secure Code Warrior Limited가(이) 작성해 뉴스와이어 서비스를 통해 배포한 뉴스입니다. 뉴스와이어는 편집 가이드라인을 준수합니다.
