애플리케이션 보안에 대해 “개발자를 최우선으로 하는” 접근 방식을 선도하는 호주 은행

선도적인 보안 소프트웨어 전도사이자 호주 스타트업 시큐어 코드 워리어 (Secure Code Warrior) 의 공동 설립자인 피터 다니유 (Pieter Danhieux) 에 따르면, 호주 은행들은 소프트웨어 개발자들 사이에서 강력한 보안 사고방식을 개발하려는 노력을 전 세계적으로 주도하고 있습니다.

Danhieux는 호주 상위 6개 은행 중 5개 은행이 현재 Secure Code Warrior의 온라인 자습형 게임 학습 환경을 통해 보안 코딩 기술을 구축하는 데 적극적으로 참여하고 있으며, 실시간 메트릭을 검토하고 개발자와 팀의 강점과 약점을 검증하기 위한 보고 기능을 활용하고 있다고 말했습니다.첫 번째 계약은 2016년 8월에 주요 은행 1곳과 AUDM을 체결했고, 이후 네 곳과 계약을 더 체결했습니다.

“기존 은행들은 시장 출시 속도를 높이고 품질을 개선하며 유연성을 높여야 한다는 비전통적인 경쟁 업체로부터 강한 압력을 받고 있습니다.이에 따라 보안은 희생되면서도 특징과 기능을 빠르게 개발하는 데 초점을 맞춘 보다 민첩한 개발 프레임워크를 채택하게 되었습니다.” 라고 Danhieux는 말했습니다.

“현재 데이터 침해로 인한 평균 비용은 6백만 달러에 달하며 기업이 영향을 받을 확률은 4분의 1에 달합니다.그는 세계 주요 보안 침해 사례 대부분이 코딩 오류로 인한 것으로, 이를 통해 해커는 컴퓨터 네트워크에서 더 많은 권한을 얻어 중요한 데이터를 수집할 수 있습니다.” 라고 그는 덧붙였습니다.

Danhieux 씨는 최근 몇 년간 카타르 국립은행, VTech, 모삭-폰세카 (파나마 페이퍼), TalkTalk를 포함하여 해커들이 부실한 소프트웨어 보안 관행을 악용한 보안 침해 사례를 언급했습니다.

오랫동안 윤리적 해커로 활동해 온 Danhieux는 SANS Institute의 수석 강사이자 AISA의 2016 올해의 사이버 보안 전문가로 선정되었습니다. 그는 처음부터 보안을 통합하는 애자일 개발 방법론, 많은 기술 기업 및 점점 늘어나는 금융 서비스 기관에서 사용하는 관행을 강력히 지지합니다.

“애자일 개발로의 전환은 기업과 고객에게 몇 가지 큰 속도 이점을 제공하지만 보안 취약점 예방과 관련하여 새로운 중대한 문제를 야기했습니다.이제 모든 개발자는 속도를 유지하면서 일반적으로 수정 비용이 많이 드는 보안 버그를 줄일 수 있는 보안을 DNA에 내장해야 합니다.”

Secure Code Warrior는 Danhieux와 그의 비즈니스 파트너인 John Fitzgerald 및 다른 세 명의 호주 사이버 보안 전문가가 소프트웨어 개발자들이 보안을 업무의 핵심 책임으로 받아들이도록 돕기로 결정하면서 2015년 시드니와 런던에서 설립되었습니다.

“현재 애플리케이션 보안 도구는 탐지 및 대응을 지원하는 접근 방식인 SDLC (Software Development Life Cycle) 에서 오른쪽에서 왼쪽으로 이동하는 데 중점을 둡니다. 즉, 작성된 코드의 취약점을 탐지하고 대응하여 수정합니다.Danhieux는 “우리는 SDLC의 맨 왼쪽에 초점을 맞추어 개발자를 조직의 첫 번째 방어선으로 삼고 애초에 취약점이 발생하지 않도록 방지하는 데 도움을 줍니다.” 라고 말했습니다.

빠르게 성장하고 있는 이 스타트업은 현재 시드니, 런던, 벨기에, 보스턴에 사무소를 두고 9개국에 주요 금융 서비스, 통신 및 기술 고객을 두고 있습니다.이 회사는 현재 10,000명의 활성 사용자를 보유하고 있으며 지난 6개월 동안 고객을 두 배로 늘리고 매출을 세 배로 늘렸습니다.

호주 사이버 보안 성장 네트워크 (AustCyber) 의 CEO인 크레이그 데이비스 (Craig Davies) 는 이러한 유형의 실무 증거 기반 교육이 애플리케이션을 개발하는 조직의 기본 활동이 될 것이라고 예측합니다.

“처음부터 안전하게 코딩하는 기업은 위험을 크게 줄일 수 있을 뿐만 아니라 제품 혁신에 따른 막대한 비용과 지연을 줄일 수 있습니다.” 라고 Davies는 말합니다.

Danhieux는 호주 은행들에게 깊은 인상을 받았습니다. 호주 은행들은 위험이 현실적이라는 것을 인식하고 빠르게 위험 노출을 줄였다고 그는 말합니다.“전 세계적으로 Secure Code Warrior를 도입하는 신규 고객의 증가 속도를 보면 전 세계 금융 서비스 기관들이 모든 코드 라인에 보안 우수성을 구축하는 것의 중요성을 인식하고 있으며, Secure Code Warrior는 이러한 문제를 신속하고 지속 가능한 방식으로 해결할 수 있는 간편한 솔루션이라는 점을 분명히 알 수 있습니다.”

‍