보안 코드 교육이 금융 서비스의 디지털 혁신을 지원하는 방법

금융 서비스 기관은 빠르게 진화하는 금융 세계에서 기술을 효율적이고 효과적으로 사용할 수 있는 능력에 따라 다양한 과제에 직면해 있습니다.

조직은 내부 및 업계 전반의 급격한 변화 속에서 경쟁이 치열한 클라우드 기반 비즈니스 환경에서 운영되고 있습니다.예를 들어, 조직은 지속적인 디지털 혁신을 추진하면서 이러한 상황을 우회하기 위해 노력하고 있습니다. 조직적 마찰 이는 결제 프로세스 및 기타 절차를 가속화할 수 있는 인공 지능과 같은 신기술에 대한 투자를 방해합니다.

물론 재무 기록 관리에 관한 Sarbanes-Oxely 법 (Sarbanes-Oxely Act) 요구 사항부터 카드 소지자 데이터 보호에 관한 지불 카드 산업 데이터 보안 표준 (PCI DSS) 규칙부터 캘리포니아 소비자 개인 정보 보호법 (CCPA) 및 EU의 일반 데이터 보호 규정 (GDPR) 에 포함된 개인 정보 보호에 이르기까지 다양한 규제 요구 사항을 항상 준수해야 한다는 사실이 고객의 마음을 사로잡습니다.

규정 미준수로 인한 벌금 및 기타 비용은 순식간에 증가할 수 있습니다.IBM의 데이터 침해 비용 보고서 2023 “규정 미준수 수준이 높은” 조직의 평균 비용은 총 505만 달러로 실제 데이터 침해로 인한 평균 비용보다 50만 달러 이상인 것으로 나타났습니다.

데이터 침해에 대해 말하자면, 사이버 공격은 사이버 공격의 두 번째로 표적이 되는 산업인 금융 기관에 계속해서 골칫거리가 되고 있습니다.소포스에 따르면 랜섬웨어 공격만 해도 2021년 34% 에서 2022년 55%, 2023년 최대 64% 로 급격히 증가했습니다. 금융 서비스 분야의 랜섬웨어 현황 2023년 보고서.에 따르면 미국 금융 서비스 업계의 데이터 손상 (데이터 침해 및 개인 데이터 노출 포함) 건수는 2020년 138건에서 2023년 744건으로 증가했습니다. 스타티스타.

내부 효율성, 규정 준수, 보안 등 이러한 영역에서 장애가 발생하면 조직의 평판은 물론 금융 서비스의 생명인 고객 충성도까지 위협받게 됩니다.조직은 경쟁력과 성공을 유지하기 위해 고객 간의 신뢰를 증진해야 하며, 이는 소프트웨어, 시스템 및 프로세스가 효율적이고 효과적인지 확인하는 것에서 시작됩니다.이 모든 것의 핵심은 보안 소프트웨어 코드입니다.

개발자들은 그 어느 때보다 빠른 속도로 애플리케이션과 서비스를 생성, 업데이트 및 배포해야 한다는 압박을 받고 있습니다.즉, 사내 개발자가 직접 작성했든, AI로 제작하든, 오픈 소스 리포지토리에서 수집하든, 제3자가 제공한 소프트웨어 코드를 더 많이 개발하고 사용해야죠.

코드의 품질과 보안은 효과적인 운영을 보장하는 데 가장 중요하지만, 조직이 이를 제대로 활용하지 못하는 경우가 너무 많습니다.그리고 코드의 양이 증가함에 따라 소프트웨어 개발 라이프사이클 (SDLC) 초기에 수정하지 않는 한 오류, 결함 및 취약점의 수는 증가할 수밖에 없습니다.

조직은 처음부터 더 안전한 코드를 만들고 오류를 조기에 수정해야 합니다.보안 코딩 모범 사례에 대한 애자일 교육은 안전하고 신뢰할 수 있는 애플리케이션의 기반을 제공할 수 있습니다. 이를 통해 조직의 위험을 줄일 뿐만 아니라 비즈니스 성공을 촉진할 수 있습니다.

트렌드 1: AI 개발 도구

AI를 통한 혁신은 보안 코드에 달려 있습니다

인공 지능, 특히 제너레이티브 AI는 상업, 교육 및 일상 생활에서 빠르게 확산되고 있습니다.제너레이티브 AI가 적용된 수많은 용도 중 주목할 만한 기능 중 하나는 코드 작성입니다.이는 일반적으로 유용한 것으로 입증되었지만 AI 사용과 밀접하게 관련된 또 다른 문제인 보안도 제기합니다.신기술의 얼리 어답터로서 금융 기관은 생산성 향상과 AI의 안전하고 책임감 있는 사용 사이에서 균형을 유지해야 합니다.

지금까지 AI는 수정 프로세스 자동화보다는 코드 개발을 지원하는 데 주로 사용되어 왔으며 그 영향은 대부분 긍정적이었습니다.a에 응답한 사람들 깃허브 설문조사미국 내 개발자 10명 중 9명 이상이 AI 코딩 도구를 사용하고 있는 것으로 나타났으며, 이러한 이점으로는 생산성 향상 (53%), 개발자가 반복적인 작업보다 창의적인 작업에 집중할 수 있는 자유 (51%), 번아웃 방지 (41%) 등이 있다고 답했습니다.

대형 은행 및 기타 금융 서비스 조직은 다른 업계의 조직보다 AI를 얼리 어답터할 가능성이 높습니다.결국 금융 기관은 근본적으로 기술 기업이라고 할 수 있습니다. 왜냐하면 금융 기관은 신기술에 대규모로 투자할 자금을 보유하고 있고 항상 경쟁 우위를 찾고 있기 때문입니다.

일부 사람들은 AI가 인간 노동자를 대체할 것이라는 우려를 표명했지만, 실제로 AI는 인간 기술과 함께 사용할 때 가장 잘 작동합니다.하지만 개발자가 이 기술을 사용하는 방법을 익히려면 최소한의 체크박스 접근 방식 이상이 필요합니다.여기에는 다음이 필요합니다. 정밀 교육 실제 환경에서의 보안 모범 사례를 진정으로 파악하여 보안 코드를 직접 작성할 수 있을 뿐만 아니라 코드 작성 AI 어시스턴트의 작업을 능숙하게 감독할 수 있도록 합니다.

예를 들어, 한 가지 운동은 SCW의 교육 코드의 기능을 수정하기 위해 LLM 모델에 실제 코드 스니펫의 내용을 변경하라는 메시지를 표시합니다.AI는 코드 블록을 생성하여 응답하지만 해당 블록은 크로스 사이트 스크립팅 (XXS) 에 취약합니다.교육을 통해 개발자는 해당 취약점을 인식할 수 있습니다.

AI와 개발자는 매우 생산적으로 협력할 수 있지만, 이는 개발자가 AI가 보안 코드를 생성하도록 충분히 교육을 받은 경우에만 가능합니다.

AI의 코딩 실수는 빠르게 확산될 수 있습니다

코드 작성 훈련을 받으면 AI 모델은 수천 개의 코드 작성 예제를 수집합니다. 이는 다른 모델이 사용자를 위한 이야기나 시를 작성하기 전에 수천 개의 산문이나 시 예제를 수집하는 것과 같습니다.하지만 AI 모델이 오류가 있는 예제를 기반으로 하지 않는다는 보장은 없습니다.AI 모델은 프로세스에 대해 투명하지 않기 때문에 오류가 발생한 후에야 나타납니다.그리고 AI는 이러한 오류가 수정될 때까지 반복합니다.

일찍 AI 연구원의 연구 AI 생성 코드가 크로스 사이트 스크립팅 (XSS) 취약성, 코드 삽입 공격에 대한 취약성, 신속한 주입과 관련된 AI 생성 코드 고유의 새로운 취약성 등 심각한 결함을 초래했다는 사실을 발견했습니다.코드를 작성할 때 AI 도구를 검사하지 않고 사용하면 잘못된 코드가 빠르게 확산되어 소프트웨어가 이미 있는 세상이 될 수 있습니다. 많은 취약점, 그 어느 때보다 덜 안전할 것입니다.

인간 개발자와 AI 모델이 협력하여 보안 코딩 모범 사례를 준수하여 금융 기관이 속도 및 효율성 향상의 이점을 얻는 동시에 사람의 개입 없이는 잠재적으로 치명적일 수 있는 위험을 제한할 수 있도록 하는 것이 필수적입니다.

금융 기관은 보안 개발을 주도할 수 있습니다.

AI의 급속한 성장, 특히 ChatGPT와 같은 대규모 언어 모델 (LLM) 과 자체 콘텐츠를 만들 수 있는 기타 많은 제너레이티브 AI 구현을 사용하는 AI의 급속한 성장은 실수를 겪었습니다.AI 모델은 오류를 발생시키고 편향된 결과를 낳았으며, AI 환각그 결과 규제에 대한 요구가 커졌습니다.예를 들어, 백악관은 다음과 같이 발표했습니다. 행정 명령 AI의 개발 및 사용에 대해.또한 다음을 제안했습니다. AI 권리장전 AI 관련 위험으로부터 대중을 보호하기 위한 것입니다.그러나 모든 정부 이니셔티브는 AI를 개발하는 기술 회사들과의 협력 및 협업에 의존할 것이며, 이들 중 다수가 다음과 같이 약속했습니다. 윤리 기준 유지.

금융 서비스 업계도 강력한 내부 통제를 시행할 것으로 보입니다.조직은 항상 경쟁 우위를 찾고 있겠지만 내부 데이터와 고객 데이터를 모두 포함하는 정보의 보안이 가장 중요하다는 것을 알고 있습니다.또한 미국의 통화감사관 (OCC) 이나 유럽 사업을 위한 유럽중앙은행 (ECB) 과 같은 규정 요구 사항도 반드시 충족해야 합니다.

AI의 얼리 어답터로서 은행과 금융 기관은 AI가 효율성을 개선하기 위해 무엇을 할 수 있는지 알아보고 혁신 허브를 후원하고 AI의 역량을 탐색하기 위한 기타 노력에 관심을 가질 것입니다.하지만 조직에는 보안을 보장하기 위한 제어 기능도 필요합니다.조기 도입에는 항상 내재된 위험이 따르며, AI 사용이 확장됨에 따라 위험과 보상의 균형을 맞춰야 합니다.예를 들어 조직은 AI 사용 초기 단계에서 강점, 약점, 기회 및 위협 (SWOT) 분석을 수행함으로써 이점을 얻을 수 있습니다.

AI의 효과적인 사용은 보안 코드에서 시작됩니다

금융 산업이 AI를 효과적으로 사용할 수 있는 능력은 보안에 달려 있으며, 이를 위해서는 AI가 생성한 코드가 처음부터 안전한지 확인해야 합니다.조직은 AI 코드 작성을 면밀히 감독하고 오류를 식별하며 신속하게 수정할 수 있는 고도로 훈련된 엔지니어를 확보해야 합니다.보안 및 규정 준수를 보장하는 애자일 기반 교육 및 기타 서비스를 제공하는 회사와 협력하는 것은 강력한 보안 태세를 구축하기 위한 좋은 첫 단계입니다.

위험 환경은 특히 소프트웨어 개발 주기 내에서 지속적으로 변화하고 있습니다.그리고 AI의 얼리 어답터로서 금융 기관은 AI를 안전하고 책임감 있게 사용하는 데 앞장서야 합니다.일부 금융 기관은 정부 정책에 영향을 미칠 수 있을 만큼 규모가 큽니다.기관은 AI 모델과 개발자가 협력할 수 있도록 지원하여 코드 보안을 보장하기 위한 조치를 취함으로써 다른 업계가 따라야 할 모범 사례를 수립할 수 있습니다.

Integrations

You can learn more from SCW’s whitepaper explaining the role AI can play in code writing and why it’s essential that developers are thoroughly trained in recognizing secure coding patterns and the vulnerabilities that result from unsecure code.

Download Whitepaper

‍트렌드 2: 규제 강화

코드는 규정 준수의 핵심입니다.

보안 코딩 관행을 구현하기 위한 중요한 동인은 금융 기관이 비즈니스에 적용되는 규정을 준수해야 한다는 것입니다.기관에는 다양한 관련 규정이 있으며, 해당 규정은 처리하는 거래의 종류에 따라 달라집니다.

예를 들어, 피시 DSS 4.0결제 산업 데이터 보안 표준의 최신 버전인 은 신용 카드 및 결제 카드 데이터와 거래를 보호하기 위해 설계된 글로벌 표준입니다.사기 및 기타 오용을 방지하기 위한 것으로, 카드 소지자 데이터를 저장, 처리 또는 전송하는 모든 조직에 적용됩니다.이 표준은 법률은 아니지만 계약을 통해 시행되며 GDPR과 같은 다른 규정을 위반하는 데이터 침해를 방지하는 데 도움이 될 수 있습니다.

또 다른 규정은 디지털 운영 레질리언스 법 (DORA) 는 금융 서비스 부문을 위한 구속력 있는 EU 위험 관리 프레임워크로, 금융 기관과 외부 제공업체 모두를 포괄합니다.DORA는 위험 관리 관행을 EU와 통합하여 보편적인 표준을 만들도록 설계된 기술 표준을 설정합니다.

더 전 세계 은행 간 금융 통신 협회스위프트 (Swift) 는 글로벌 금융 부문 전반의 자금 이체의 표준을 세운 협력 활동입니다.Swift의 고객 보안 프로그램 (CSP) 은 다음을 개발했습니다. 고객 보안 제어 프레임워크 (CSCF), 매년 업데이트됩니다.200개 이상의 국가에 있는 11,000명 이상의 Swift 회원은 CSCF를 사용하여 자체 보안 제어를 계획하고 규정 준수 수준을 입증합니다.

이러한 규정의 공통점은 금융 서비스 업계의 데이터 및 거래를 보호하기 위한 높은 기준을 설정하려고 한다는 것입니다.규정 준수는 고객 데이터와 돈을 보호할 뿐만 아니라 규정 미준수에 대한 벌금 및 처벌, 평판 손상, 위반 시 투자자의 신뢰 상실 등 부적절한 보안의 결과로부터 기관을 보호하는 데도 도움이 됩니다.

개발자는 변화하는 규제 환경에 보조를 맞춰야 합니다.

보안 코딩은 관련 규정의 기대치와 미국의 경우 통화감사관 (OCC) 또는 유럽의 유럽중앙은행 (ECB) 의 요구 사항을 충족하고자 하는 조직에 탄탄한 초석을 제공합니다.Secure Code Warrior의 플랫폼 또는 다른 제공업체의 플랫폼을 채택하기 위한 기본 동인 중 하나는 개발자에게 실용적이고 매력적인 환경에서 보안 코딩을 가르치는 것입니다.

이러한 유형의 교육은 때때로 복잡한 규제 요구 사항을 처리할 때 차이를 만듭니다. 특히 고정된 상태를 유지하지 않기 때문입니다.규정은 항상 진화하고 있으며, 이에 따라 새롭고 때로는 더 복잡한 요구 사항도 추가됩니다.요구 사항에 따라 특정 연도에 규정이 크게 바뀌지 않을 수도 있지만 조직에서는 최소한 2년에 한 번씩 상당한 변화가 있을 것으로 예상할 수 있습니다.

예를 들어, 2024년 4월 1일부터 의무적으로 적용되는 PCI DSS 4.0은 몇 가지 중요한 방식으로 PCI DSS 3.2.1 (2022년 출시) 을 업데이트합니다.이는 조직이 요구사항을 더 유연하게 충족할 수 있도록 하는 맞춤형 접근 방식을 구현하여 확인란 절차보다 성과에 초점을 맞춥니다.하지만 많은 업데이트 중 몇 가지 예를 들자면 인증 제어, 암호 길이 및 공유 계정에 대한 새로운 요구 사항도 추가됩니다.또한 조직은 각 요구 사항을 충족하기 위한 역할과 책임을 명확하게 정의해야 합니다.

또한 버전 4.0에서는 맞춤형 및 맞춤형 소프트웨어를 개발하는 개발자에게 보안 설계 및 코딩 기술을 포함하여 소프트웨어 보안에 대해 최소 12개월에 한 번씩 교육을 받아야 하며, 테스트 도구를 사용하는 경우 도구를 사용하여 취약점을 탐지하는 방법에 대한 교육을 받아야 합니다.또한 침투 테스트 중에 발견된 모든 취약점은 심각도에 관계없이 수정하고 팀에서 2차 침투 테스트를 실시하여 수정 성공 여부를 확인하도록 규정하고 있습니다.

변경은 일반적으로 점진적으로 이루어지지만 규정은 이벤트 중심이기도 합니다. 중대한 위반으로 인해 갑작스럽고 광범위한 변경이 발생할 수 있습니다.예를 들어, 1990년대 중반에 8,700만 개의 JPMorgan Chase 계정이 침해되면서 규제 환경이 뒤흔들렸습니다. 규제 당국은 개발자/기술 커뮤니티에 대한 기대치를 높이고 은행이 취한 조치와 침해 사례에서 배운 교훈을 어떻게 적용했는지에 대한 증거를 제공하도록 요구했습니다.

기본 코드의 품질에 대한 규정 준수 은행

이러한 요구 사항을 충족하는 데 사용되는 코드의 품질은 새로운 기능이 얼마나 잘 수행되는지에 큰 영향을 미치며, 기업이 매년 제출해야 하는 길고 상세한 PCI DSS 규정 준수 보고서를 작성할 때 유용하게 사용될 수 있습니다.규정이 더욱 복잡해짐에 따라 보안 코딩의 영향도 그에 상응할 만큼 커져 조직의 소프트웨어에 대한 위험을 줄이고 통제력을 높이는 데 상당한 차이가 있습니다.

고객과의 신뢰 구축이 중요하기 때문에 금융 기관에서는 규정 준수가 필수적입니다.보안 코딩은 고객 경험을 개선하는 데도 도움이 될 수 있습니다. 신뢰할 수 있는 소프트웨어와의 원활한 상호 작용이 고객 충성도를 구축하는 데 큰 도움이 되기 때문입니다.

새로운 애플리케이션과 서비스를 만드는 데 들어가는 코딩은 기업 전체에 영향을 미칩니다.빠르게 변화하는 비즈니스 환경에서 효율성을 높이고, 클라우드 마이그레이션을 관리하고, 기타 기능을 활성화하는 데 필수적입니다.하지만 코드가 반드시 안전해야 하며 비즈니스 성공을 위해서는 규정 준수 요구 사항을 충족해야 합니다.

Integrations

Read the no-nonsense guide to getting your development team on board with PCI DSS compliance, including how security professionals and development managers can work together to build powerful security programs.

Read Guide

트렌드 3: 애자일 러닝

애자일 트레이닝과 휴먼 AI 팀이 코드 보안을 보장합니다

AI 모델의 확산으로 인공 지능이 사람들의 많은 일자리를 빼앗을 것이라는 두려움이 되살아났습니다.장부 작성 및 고객 서비스부터 법률 사무원, 콘텐츠 제작자에 이르기까지 일부 직종에 종사하는 사람들은 걱정을 할 수 있지만 소프트웨어 개발자들은 AI를 유용한 보조자로 환영할 가능성이 높습니다. AI는 일자리를 빼앗지 않고 코드 작성과 같이 시간이 많이 걸리거나 반복적인 작업을 대신 처리해 줍니다.

사실 코드 작성은 개발자 업무의 일부에 불과합니다.GitLab에서 2023년 글로벌 데브젝옵스 리포트, 대부분의 개발자는 코드 작성에 소요되는 시간의 약 1/4을 소비한다고 말했습니다.나머지는 코드 개선 (17%), 테스트 (11%), 회의 참석이나 기타 관리 작업 수행 (17%) 과 같은 다른 작업으로 나누어져 있습니다.

코드 개선은 AI 모델이 코드를 생성할 때 더욱 두드러질 수 있는 작업 중 하나입니다.AI는 코드 생성의 속도와 효율성을 높여주지만, 그 코드를 완전히 신뢰할 수는 없습니다.AI 모델에서 생성된 오류, 편향 및 취약 코드의 예는 셀 수 없이 많습니다.보안 기술을 갖춘 개발자는 취약점을 수정하고 소프트웨어가 개발 표준을 준수하는지 확인하기 위해 AI 생성 코드를 검사하는 데 밀접하게 관여해야 합니다.

개발자에게는 실제적이고 민첩한 교육이 필요합니다

개발자 스스로 AI 생성 코드로 작업하려면 보안 모범 사례 및 잘못된 코딩 패턴을 찾아내는 능력과 관련하여 기존 기술을 연마하고 새로운 기술을 습득해야 합니다.적절한 교육을 받은 개발자는 배포 전에 AI 모델의 실수를 발견하고 AI를 사용하여 개발을 가속화할 때의 이점을 향상시킬 수 있습니다.

그러나 필요한 기술은 복잡하며 단순히 표준적이고 정적인 교육 방법을 사용하는 것만으로는 배우거나 강화할 수 없습니다.개발자는 업무에 여가 시간을 내는 것으로 잘 알려져 있지 않습니다. 개발자는 코드를 빠르게 개발하고 배포해야 한다는 압박을 그 어느 때보다 많이 받고 있습니다.이미 하고 있는 업무에 적합한 방식으로 기술을 향상시킬 수 있어야 합니다.

조직은 개발자에게 다음과 같은 완전한 프로그램을 제공해야 합니다. 애자일 기반 교육 이는 보안 코딩에 대한 직접적인 접근 방식을 취하며 소프트웨어의 취약점 수를 크게 줄이는 것으로 나타났습니다.

애자일 교육은 오래되었지만 여전히 사용되는 COBOL부터 Google Go에서 작성된 새로운 고급 도구에 이르기까지 개발자들이 접할 프로그래밍 언어를 포함하도록 맞춤화할 수 있습니다.개발자가 선호하는 학습 방법에 적합한 형식 (예: 시각, 청각 또는 구두, 직접 실습용) 으로 고급 콘텐츠를 제공하도록 설계할 수 있으며, 개별 개발자 및 작업 일정에 가장 적합한 속도로 제공할 수 있습니다.

직원의 특정 역할과 요구 사항에 맞게 교육을 조정할 수도 있습니다.플랫폼은 피드백 루프를 활용하여 콘텐츠를 개선하고 개발자가 특정 영역에서 취약한 부분을 파악하여 해당 영역을 해결하도록 콘텐츠를 자동으로 타겟팅할 수 있습니다.

또한 Secure Code Warrior에서 사용하는 학습 프로그램을 통해 보안 교육을 제공하는 대신, Secure Code Warrior에서 사용하는 것과 같은 학습 프로그램은 실제 문제의 맥락에서 개발자의 참여를 유도하는 대화형 마이크로버스트로 분할하여 최적의 맞춤형 교육을 제공합니다.또한 직원들은 필요할 때마다 마이크로러닝에 완전히 접근할 수 있습니다.

애자일 접근 방식으로 결과 도출

애자일 기반 교육은 코딩 오류를 줄이는 데 효과적인 것으로 입증되었습니다.에 따르면 연구 Secure Code Warrior에 따르면 개발자들은 이미 코드의 약 26% 를 프로덕션 단계에 들어가기 전에 다시 작업하고 있습니다.이를 합하면 개발자 한 명당 주당 약 13.5시간 (연간 약 700시간) 이 기술 부채 정리에 소비됩니다.코드 수정에 소요되는 시간은 생산성을 저해하고 개발 주기를 늦춥니다.

개발자의 67% 가 취약점이 있는 코드를 출시했다고 인정하는 등 이러한 실수가 모두 발견된 것은 아닙니다.또한 조직은 AI, 오픈 소스 리포지토리, 타사 등 다른 소스의 코드를 사용하고 있습니다.이러한 소스는 조직이 그 어느 때보다 많은 양의 코드를 필요로 하는 시기에 생산성을 높이는 데 도움이 될 뿐만 아니라 코드 베이스의 취약성 및 오류 위험도 증가시킵니다.

애자일 기반 교육은 이러한 추세를 막는 데 도움이 될 수 있습니다.개발자가 직접 만들었든, AI가 만들었든, 제3자가 만들었든 관계없이 코드의 결함을 찾아내는 데 더 능숙해지기 때문에 1차 방어선이 강화됩니다.Secure Code Warrior는 연구의 일환으로 75,000명의 개발자 (전체 개발자의 약 30%) 의 데이터를 조사한 결과, 자사의 애자일 기반 교육을 통해 보안을 연구한 개발자들이 다른 개발자들보다 취약점을 53% 적게 발견했다는 사실을 발견했습니다.이러한 기술을 AI 생성 코드 검사에 적용하는 개발자는 소프트웨어가 실제 생산에 들어가기 전에 AI 파트너의 실수를 더 빨리 해결할 수 있습니다.

재무, HR, 학생/교직원 라이프사이클 관리 클라우드 애플리케이션을 제공하는 Workday의 개발자들은 Secure Code Warrior의 애자일 기반 교육을 통해 교육의 목적을 명확히 파악했고, 코드베이스와 소프트웨어 라이프사이클 내에서 문제를 식별하고 조치를 취하는 방법을 빠르게 배웠습니다.

Workday의 경험을 통해 애자일 실습 교육이 무엇을 할 수 있는지 잘 알 수 있습니다.Workday는 Secure Code Warrior와 파트너십을 맺기 전에 회사의 슬라이드쇼 기반 보안 교육에 개발자들이 환멸을 느끼는 것을 알게 되었습니다.하지만 개발자 커뮤니티 전체가 각자의 요구와 학습 선호도에 맞게 조정된 Secure Code Warrior 교육에 호응을 보였습니다.그리고 그 결과는 그 자체로도 잘 드러납니다.한 가지 예를 들자면, 더블린에 있는 한 팀은 매년 4,662건의 보안 문제를 경험하다가 단 18개월 만에 보안 문제가 전혀 발생하지 않는 것으로 나타났습니다.

갈수록 정교해지는 공격이 만연한 위협 환경에서 금융 서비스 회사는 데이터와 애플리케이션의 보안을 보장하기 위해 최선을 다해야 합니다.소프트웨어 개발 라이프사이클 (SDLC) 초기에 보안 코드를 생성하는 것은 보안의 중요한 구성 요소입니다.적절한 종류의 애자일 교육을 받은 개발자는 회사의 전반적인 위험을 줄이면서 소프트웨어 보안을 보장하는 데 많은 일을 할 수 있습니다.

Integrations

Learn how Workday focused on creating secure agile learning that drove developer engagement and helped achieve their goals of improving Workday’s overall security posture.

Learn More

트렌드 4: 서드파티 앱 및 API의 성장

보안에 대한 책임은 타사 앱에도 적용됩니다.

오늘날의 초연결 비즈니스 환경에서는 어떤 회사도 진공 상태에서 운영되지 않습니다.금융 기관은 특정 서비스를 제공하고, 일상적인 통신 및 거래에서 타사 앱을 활용하며, 대부분의 경우 소프트웨어 코드를 작성하는 외부 하청업체를 고용합니다.회사 내 개발자들도 오픈 소스 소프트웨어 리포지토리를 활용하고 있으며, 애플리케이션 개발 시 AI 생성 코드를 활용하는 사례가 늘고 있습니다.

소프트웨어 출처가 무엇이든 금융 서비스 회사에 종사하는 사람들은 자신이 사용하는 모든 애플리케이션에 동일한 수준의 보안 수준이 적용되기를 기대합니다.모든 거래 또는 정보 교환 시 호스트 회사는 여전히 고객 데이터에 대한 책임을 집니다.또한 규제 당국은 기관이 규정 미준수에 대한 부담을 제3자에게 전가하는 것을 허용하지 않습니다.

금융 기관은 모든 애플리케이션의 보안과 신뢰성을 어떻게 보장할까요?보안 코드로 시작하고 개발자에게 개발 프로세스 초기에 보안 소프트웨어 코드를 만드는 데 필요한 기술을 제공하는 동시에 사용 중인 타사 코드가 부족한 시점을 식별하는 것에서 시작됩니다.

계약자 팀에 교육 제공

기업은 개발자에게 보안 코드에 대해 가르치기 위한 애자일 실습 교육 프로그램을 구현함으로써 이익을 얻을 수 있습니다.이러한 트레이닝의 결과는 분명합니다. 보안 코딩 교육을 받은 개발자는 교육을 받지 않은 개발자에 비해 취약성이 53% 적은 코드를 생성합니다.또한 제3자가 생성한 코드에서 발생하는 코딩 실수도 더 많이 발견할 수 있을 것입니다.

회사의 개발자가 보안 코드 작성 교육을 받았더라도 타사 코드의 잠재적 결함을 해결해야 합니다.대부분의 개발자 팀은 정규직 직원 (FTE) 과 계약직으로 구성되며, 특히 1차, 2차, 3차 사무소를 포함하여 전국 또는 전 세계에 멀리 위치한 대규모 기관의 경우 더욱 그렇습니다.

수십 년 전, 업계에서는 기업이 새로운 애플리케이션에 대한 수요를 따라잡을 수 있도록 소프트웨어 개발을 아웃소싱하려는 움직임이 컸습니다.이러한 추세는 5~10년 동안 지속되다가 다시 역전되기 시작했지만, FTE와 계약업체로 구성된 통합 팀은 여전히 금융 기관 내 일부 지역에 남아 있습니다.수많은 애플리케이션이 지속적으로 개발되고 있기 때문에 일부는 아웃소싱될 예정입니다.

그러나 코드를 FTE에서 개발하든 타사에서 개발하든 관계없이 고객과 규제 기관의 기대치는 여전히 남아 있습니다.회사에서 사용하는 모든 소프트웨어 코드는 동일한 표준을 충족해야 합니다. 즉, 모든 개발자가 동일한 수준의 역량을 갖추게 됩니다.

회사는 계약자에게 교육을 요구하는 데 계약상 제한이 있을 수 있지만 최소한 교육을 제공하는 것이 중요합니다.일부 금융 회사는 자체 교육 프로그램을 만들었습니다. 예를 들어 Capital One은 자체 교육 프로그램을 시작했습니다. 테크 컬리지 2016년에.싱크로니 뱅크 (Synchrony Bank) 및 북미 밴카드 (North American Bancard) 와 같은 다른 많은 은행과 금융 회사들도 애자일이라는 아이디어를 수용하고 있습니다. 지속적인 학습 그들이 가진 재능의 수준을 높이기 위해서죠.

회사에서는 개발자가 특정 시스템에 액세스하도록 허용하기 전에 특정 인증을 요구하는 “라이선스 투 코드” 접근 방식을 취할 수도 있습니다.

IT 기술 부족이 지속되는 가운데 기업들은 공급이 부족한 시장에서 인재를 확보하기 위해 경쟁하기보다는 현재 직원의 기술을 향상시키기로 결정했습니다.교육을 제공하면 자신의 경력을 발전시킬 수 있는 직원과 회사에 필요한 기술을 갖춘 직원을 고용할 수 있는 회사 모두에게 도움이 됩니다.또한 교육 프로그램은 직원 경험을 개선하여 직원 유지율을 높일 수 있습니다.

현재 환경에서는 지속적인 학습이 중요합니다.사이버 보안 환경은 지속적으로 진화하고 더욱 정교해지고 있습니다.또한 규제 기관의 요구 사항도 매년 바뀌기 때문에 규정 준수와 관련된 복잡성이 증가하고 있습니다.이러한 요구 사항을 충족하지 못할 경우 벌금, 기타 비용 및 평판에 심각한 영향을 미칠 수 있습니다.

핵심은 개발자의 참여를 유도하는 것입니다.

기업에서는 1년에 한 번 실시하는 교육 세션을 통해 규정 준수 교육을 부담스러운 체크리드 연습에서 탈피하고, 개발자 및 기타 직원의 보안 참여 수준을 높이기 위해 설계된 연중 교육으로 전환하고 있습니다.핵심은 직원에게 필요한 교육을 필요할 때 업무 환경에 적합한 형식으로 제공하는 애자일 플랫폼을 갖추는 것입니다.

영국에 본사를 둔 소프트웨어 솔루션 회사를 예로 들 수 있습니다. 세이지Secure Code Warrior의 플랫폼을 채택한 은 개발자들이 현재 사용하고 있는 기술을 대상으로 분기별로 교육을 실시합니다.

Sage의 보안 전문가인 매즈 하워드 (Mads Howard) 는 최근 교육에서 “교육은 가능한 한 개인화되고 개발자들이 즐겨 일하는 방식에도 맞춰져 있다”고 말했다. 웹 세미나 SCW와 함께.또한 Sage는 피드백 루프를 통한 양방향 커뮤니케이션을 장려합니다.교육은 체크박스 준수보다는 참여에 더 중점을 두고 있습니다. 정기적으로 토너먼트를 개최하고 보안 문제에 대한 직원의 참여를 높이기 위해 고안된 다른 회사 이니셔티브와 교육 프로그램을 연계하기 위한 노력을 기울입니다.

그 결과 Sage는 지난 한 해 동안 소프트웨어 문제를 해결하는 데 걸리는 평균 시간이 82% 감소했다고 Howard는 말했습니다.또한 회사의 직원들의 참여도가 더 높아졌습니다.

Howard는 코딩은 보안 문화 구축의 일부이며 궁극적인 목표는 고객과의 신뢰 구축이라고 말했습니다.보안 문화는 사람들의 태도, 인식 및 신념을 중심으로 이루어지며 경영진을 비롯한 회사 전체의 사람들도 포함됩니다.쉽게 사용할 수 있는 마이크로버스트를 대상으로 맞춤형 교육을 제공하는 유연한 보안 코드 교육 프로그램은 이러한 문화의 필수적인 부분이 될 수 있습니다.

Integrations

Discover how Sage implemented best practices in building a secure code learning program, learn the do's and don'ts of a secure code learning program, and see the business and financial impacts including productivity gained and time saved.

Discover

‍트렌드 5: 팀/공급업체 전반의 ROI에 대한 집중 강화

보안 코딩이 투자 수익률에 직접적인 혜택을 주는 방법

금융 서비스 산업은 은행 및 재무 관리부터 신용 카드 및 디지털 결제 서비스에 이르기까지 광범위한 부문을 포괄합니다.보험도 이러한 경계에 속하는 경우가 많습니다.각 부문의 기업은 처리하는 거래와 국내 기업인지 다국적 기업인지에 따라 서로 다르지만 종종 겹치는 경우가 많지만 규정 준수 요구 사항이 다릅니다.

그러나 기업의 업무 분야에 관계없이 경제적 고려 사항은 비즈니스 전략에 영향을 미칩니다.주식 시장은 잘 돌아왔지만 주식 시장이 항상 미래의 성공을 가리키는 것은 아닙니다.한편, 경기 침체 가능성과 기타 중대한 도전에 대해 금융 부문에서는 불안감이 감돌고 있습니다.

그 결과 많은 조직이 벨트를 조이고 효율성 향상을 모색하며 새로운 비용에 대해 우수한 투자 수익률 (ROI) 을 확보하는 것이 중요하다는 점을 강조하고 있습니다.ROI를 높이는 한 가지 방법은 보안 코드 학습에 투자하는 것입니다.엔지니어링과 보안이 만나는 소프트웨어 개발 라이프사이클 (SDLC) 에서는 프로세스 초기에 보안 코드를 작성하고 가능한 한 빨리 결함을 수정하면 비즈니스에 명확하고 정량화할 수 있는 이익을 얻을 수 있습니다.

비보안 소프트웨어의 높은 비용

데이터는 모든 금융 서비스 기관의 핵심이며, 안전하지 않고 비효율적인 소프트웨어로 해당 데이터를 처리하는 데 드는 비용은 빠르게 증가할 수 있습니다.시큐어 코드 워리어스 연구 소프트웨어 품질 문제로 인해 2022년에 미국 기업이 총 2조 4천억 달러의 손실을 입는 것으로 나타났습니다.그리고 그 비용은 개발자에게까지 미치는데, 개발자들은 기술 부채를 유지하고 해결하는 데 점점 더 많은 시간을 할애하고 있습니다.개발자들은 현재 시간의 약 3분의 1을 기술 부채를 유지하는 데 쓰고 있지만, 2025년에는 40% 에 달할 것으로 예상됩니다.

보안 코딩 관행에 대한 애자일 기반 교육은 이러한 부정적인 수치를 크게 줄일 수 있습니다.Secure Code Warrior를 사용한 개발자 교육 결과 교육을 받지 않은 동료에 비해 취약점이 53% 적게 발생하고 수정 시간도 절반으로 단축되는 것으로 나타났습니다.한 대형 글로벌 은행에서는 SCW 교육을 통해 취약점이 50% 감소했으며, 이를 통해 SQL 삽입 결함과 크로스 사이트 스크립팅 (XSS) 이 사실상 제거되었습니다.

애자일 보안 코드 트레이닝의 이점 또한 조직이 더 멀리 이동할수록 훨씬 더 커집니다.예를 들어 기술 부채로 인한 비용은 테스트 중에 해결하면 절반으로 줄어들지만 코딩 단계에서 해결하면 14배 더 줄어듭니다.

사례: Envestnet이 개발자들을 참여시킨 방법

보안 코딩의 영향으로 ROI가 눈에 띄게 향상될 수 있습니다.에서 한 가지 예대형 금융 기술 회사인 Envestnet은 주로 오픈 월드와이드 애플리케이션 보안 프로젝트 (OWASP) 의 10대 웹 애플리케이션 위험에 초점을 맞춘 수동적인 “Death by PowerPoint” 보안 및 규정 준수 교육을 넘어서고자 했습니다.

Envestnet은 SDLC 초기에 보안 코드를 작성하고 문제를 해결하는 데 초점을 맞춘 시프트 레프트 전략을 채택했지만, 먼저 회사의 기존 보안 교육에 대한 개발자의 참여 부족을 해결해야 했습니다.이 회사는 SCW를 통해 실제 시나리오에 대한 교육을 포함하는 4단계 실습 프로그램을 구현하고 각 업적에 대해 개발자에게 인증서를 수여하여 애플리케이션 보안을 개선할 뿐만 아니라 개발자의 경력 발전을 도왔습니다.

처음 두 레벨은 보안 인식에 중점을 두었고, 레벨 3과 4에서는 보안 챔피언으로 인정받았습니다.교육 프로그램에는 토너먼트가 포함되어 개발자들의 참여 수준도 높아졌습니다.약 6개월 간격으로 열린 첫 두 토너먼트 사이에는 참가자가 두 배로 늘어났습니다.

결과: SCW 교육을 받은 개발자는 동료보다 2.7배 더 많은 취약점을 수정하고 치료율을 120% 높였습니다.또한 SCW 교육을 받은 개발자는 개발자당 4.5의 비율로 취약점 문제를 해결한 반면, 교육을 받지 못한 동료의 경우 개발자당 1.82건의 비율로 취약성 문제를 해결했습니다.

왼쪽에서 시작하면 수익이 개선됩니다.

민첩한 보안 코딩 프로그램은 제공하는 금융 서비스 유형, 시스템 규모 및 개별 요구 사항에 따라 각 회사에 맞게 조정할 수 있습니다.

예를 들어 기업은 결제 카드 산업 데이터 보안 표준 (PCI DSS), OWASP 애플리케이션 보안 검증 표준 (ASVS) 또는 기타 요구 사항을 준수해야 합니다.또한 항상 안전한 코드를 작성하고 있는지 확인해야 합니다.하지만 보안 코딩 방법을 가르치거나 고도로 훈련되고 보안을 잘 아는 개발자를 보유함으로써 얻을 수 있는 향상된 효율성 수준에 도달하기에는 충분하지 않은 교육 프로그램이 필요합니다.

SDLC 초기에 보안 코드를 도입하고 제품 라이프사이클 전반에 걸쳐 이를 유지 관리하는 전략을 지원하는 실무 교육을 통해 위험을 줄이고 시장 출시 시간을 단축하여 필연적으로 ROI를 높일 수 있습니다.시스템, 프로세스, 심지어 사이버 공격까지 점점 더 정교해짐에 따라 보안 코딩이 절실히 필요합니다.보안뿐 아니라 조직의 수익에도 도움이 되는 중대한 변화를 가져올 수 있습니다.

Integrations

Explore how Envestnet adopted an agile secure code learning platform and tripled developer effectiveness in vulnerability reduction.

Explore

결론

보안 코딩은 신뢰를 구축하는 동시에 보안과 생산성을 향상시킵니다.

금융 서비스 기관은 매우 귀중한 상품, 즉 사람들의 돈과 매우 민감한 개인 정보를 다루지만, 어떤 면에서는 조직이 가질 수 있는 가장 소중한 것은 신뢰입니다.이는 충성도 높은 고객을 유치하고 유지하는 데 필수적입니다.그리고 많은 금융 거래가 디지털 방식으로 처리되기 때문에 소프트웨어의 안정성과 보안은 안전한 소프트웨어 코드에 달려 있습니다.

복잡한 하이브리드 클라우드 환경에서 금융 조직은 좌회전하여 소프트웨어 개발 라이프사이클 (SDLC) 초기에 보안을 도입해야 합니다.즉, 보안 코드를 작성하도록 개발자를 교육하고 AI 생성 코드 또는 타사 코드의 취약점을 식별할 수 있어야 합니다.

개발자들은 끊임없이 증가하는 수요를 충족하기 위해 분당 1마일씩 작업하고 새로운 애플리케이션과 서비스를 출시하는 데 익숙해져 있는 많은 기업의 문화적 변화입니다.핵심은 기업 내에 보안 문화를 조성하고 민첩하고 실용적인 보안 코드 교육을 통해 개발자의 참여를 유도하는 것입니다.이 접근 방식의 이점은 분명합니다.

상생하는 문화적 변화 조성

시큐어 코드 워리어의 연구 SCW로 보안 코딩 방법을 익힌 개발자는 교육을 받지 않은 개발자에 비해 취약성이 53% 적어 시간과 비용을 크게 절약할 수 있다는 사실이 밝혀졌습니다.

개발자들은 현재 소프트웨어 코드를 재작업하는 데 걸리는 시간의 약 3분의 1을 허비하고 있으며, 그 중 67% 는 취약점이 있는 것으로 알고 있는 코드를 배송했다고 인정하고 있습니다.SCW 고객은 애자일 러닝을 통해 위험 감소와 개발자 생산성이 모두 2배에서 3배까지 향상되는 것을 경험했습니다.

그리고 SDLC에서 조직 교대 근무가 시작될수록 비용 절감 효과가 커집니다.테스트 중에 해결하면 비용을 절반으로 줄일 수 있지만 코딩 단계에서 해결하면 14배 절감할 수 있습니다.

애자일 교육 플랫폼은 회사와 개발자 모두에게 도움이 됩니다.개발자는 새로운 기술을 습득하여 경력을 발전시킬 수 있으며, 숙련된 개발자는 효과적인 교육과 보다 보람 있는 업무 경험을 제공하는 회사에 머무를 가능성이 높기 때문에 회사에도 이익이 됩니다.

참고로 92% 의 개발자가 더 많은 교육을 받고 싶다고 답했습니다.하지만 올바른 유형의 교육이어야 합니다.기존의 일반 규정 준수 교육 (또는 슬라이드쇼) 을 통한 규정 준수 교육은 요구 사항 충족에 대해 눈길을 사로잡고 거부감을 줄 수 있지만, SCW와 같은 애자일 플랫폼은 개발자의 참여를 이끌어내는 것으로 나타났습니다.교육은 개발 대상 및 사용하는 프로그래밍 언어에 맞게 조정할 수 있습니다.또한 개발자들이 직면하고 있는 현재 실제 문제를 해결하기 위해 쉽게 사용할 수 있는 표적화된 마이크로버스트를 통해 교육을 제공하면 교육의 가치와 참여 수준이 높아집니다.

보안 코드 교육은 금융 서비스 기관의 사이버 보안, 성과, 궁극적으로 수익성을 높이는 보안 우선 조직으로의 문화적 변화의 핵심이 될 수 있습니다.