소프트웨어 코드 생성 역할을 맡은 모든 사람은 보안 코딩 원칙과 잘못 엔지니어링된 코드의 사이버 보안 위험을 이해해야 한다.

미국 백악관이 사이버 보안 관행의 현대화를 요구하는 행정 명령(EO) 14028, "국가의 사이버 보안 개선에 관한 행정 명령"을 발령했다. 이 명령에는 소프트웨어 제품이 안전하게 코딩되고 의도한 대로 실행되도록 보장하기 위해 보다 엄격하고 예측 가능한 메커니즘을 사용하여 중요한 소프트웨어를 엔지니어링하고 구현해야 한다는 강조가 포함된다. 이는 점점 더 많은 사이버 보안 사고와 개인정보 침해가 발생하는 것은 보안 코딩이 아직 널리 시행되지 않고 있음을 시사한다.

소프트웨어 엔지니어, 개발자 및 코더는 자신이 생성한 코드에 보안 코드와 보안 제어 기능을 구축해야 한다. 그들은 기본 소프트웨어 설계 요구 사항에 따라 보안을 설계하고 보안을 강화해야 한다. 대부분의 소프트웨어 소비자는 자신이 구입한 소프트웨어가 이미 안전하다고 가정하고 스스로 보안을 구현하지 않기 때문에 소프트웨어 보안을 소프트웨어를 사용하는 사람에게만 맡기는 것은 현실적이지도 용납되지도 않는다.

EO 14028을 충족하는 보안 소프트웨어를 구현하려면 소프트웨어 전문가는 보안 코딩의 기본 사항을 이해해야 한다.

레베카 헤럴드(Rebecca Herold) 프라이버시 앤 시큐리티 브래니악스(Privacy & Security Brainiacs, 이하 PSB) CEO는 “사이버 보안 사고와 개인정보 침해의 발생이 계속해서 급증하고 있다. 지난 5년 동안 많은 소프트웨어 개발자를 인터뷰했는데, 그들 중 대다수는 보안 소프트웨어 코드와 제품을 구축하는 방법을 이해하는 데 필요한 핵심 개념을 배우는 과정을 수강한 적이 없었다.”라며. “그들 중 다수는 단순히 코딩하고 코드가 작동하는지 확인해 보안 코드를 생성하는 방법을 배웠다고 말했다. 보안 코딩에 대한 인식과 교육이 부족한 개발자가 점점 많아지면서 소프트웨어를 사용하는 조직은 사이버 보안을 개선하기 위한 백악관 EO에도 불구하고 보안 사고가 확산되고 있다.”고 말했다.

PSB는 보안 코딩 관행의 가뭄을 해소하기 위해 사이버 보안 전문가, 교육자, NSA 공인 대학 프로그램 제작자인 ME 커비(Kabay) 박사가 설계한 온라인 교육 플랫폼에서 교육 과정을 개설했다.

커배이 박사는 IT 전문가와 IT 전문가가 되려는 사람들이 자신의 보안 코딩 과정을 통한 이점에 대해 “컴퓨터 프로그램은 현대 사회의 모든 측면에서 점점 더 중요해지고 있다. 코드 설계 및 구현 시 오류는 치명적인 영향을 미칠 수 있다. 예를 들어, 범죄자가 기능을 수정하거나 개인정보를 수집할 수 있는 실수로 인해 대규모 사기가 발생할 수 있다. SCADA(감시 제어 및 데이터 수집) 및 ICS(산업 제어 시스템)의 약점으로 인해 정전, 자동차 충돌, 항공 재해 및 환자 사망이 발생할 수 있다. 오류가 있는 중요하지 않은 시스템이라도 조직의 평판과 버그를 담당하는 분석가 및 프로그래머의 평판을 망칠 수 있다.”고 말했다.

보안 코딩 과정은 소프트웨어 설계자, 엔지니어, 개발자 및 코더들이 보안 코드를 사용해 가능한 한 많은 사이버 보안 사고를 방지하는 소프트웨어 코딩 방법을 이해하는 데 필요한 정보를 제공한다. 이 과정은 백악관 EO 목표를 지원하는 정보를 제공하고 Common Body of Knowledge의 도메인 8, 소프트웨어 개발 보안에 대한 CISSP 기준 준수를 지원한다. 이 과정에는 추가 학습을 위한 참고 자료가 포함된 학생 노트가 포함되어 있다.

보안 코딩 과정에는 20개의 질문으로 구성된 온라인 시험, 다양한 인증에 대한 지속적인 전문 교육(CPE) 요구 사항을 지원하는 정보가 포함된 과정 시험 합격 인증서, 과정을 통해 커배이 박사와 직접 소통할 수 있는 액세스가 포함되어 있다. 메시징 포털을 통해 코스 주제와 관련된 질문을 하고 전문적인 토론에 참여할 수 있다.

헤럴드 CEO는 “뛰어난 데이터 및 컴퓨터 보안 선구자이자 Norwich University 정보 보안 및 보증 과학 석사 프로그램 창시자로부터 PSB 마스터 전문가로서 배울 수 있는 기회를 모든 사람에게 제공할 수 있어 기쁘다. 이 과정은 더 많은 IT 전문가가 보안 코드를 사용하여 애플리케이션을 만들 수 있도록 지원해 국가 사이버 보안을 개선하려는 목표를 지원할 것이다."고 말했다.