기업들은 배포 프로세스를 가속화하고 있습니다. 즉, 소프트웨어를 만들고 배포하는 데 걸리는 시간을 줄이고 있으며, 새로운 버전의 애플리케이션을 점점 더 빠르게 출시하고 있습니다.
많은 사람들이 알지 못하는 점은 이 속도가 항상 유익한 것은 아니라는 점입니다. 출시 전에 엄격한 보안 테스트를 수행할 시간이 충분하지 않기 때문에 시스템이 다양한 유형의 사이버 공격에 더 취약해질 수 있기 때문입니다.
하지만 애플리케이션이 완벽하고 안전하게 작동하는 데 시간이 항상 유일한 결정 요인은 아닙니다. 이러한 상황을 더욱 악화시키는 것은 디지털 생태계 전체를 보호할 자격을 갖춘 전문가의 부족입니다. 위험이 커짐에 따라 애플리케이션 보안을 책임질 인력도 부족해지고 있습니다. 2024년 사이버 보안 인력 연구 따르면, 전 세계 사이버 보안 전문가 부족 규모는 이미 480만 명을 넘어섰으며, 이러한 부족 현상 속에서 AppSec은 가장 심각한 분야 중 하나입니다.
애플리케이션 보안(AppSec) 솔루션 개발사인 콘비소(Conviso)의 CEO 와그너 엘리아스는 "애플리케이션 보안을 소홀히 하는 기업은 상당한 재정적, 평판적, 법적 위험에 직면합니다. 그러나 이 분야에 대한 진정한 투자 의지를 보이는 많은 기업들이 필요한 지원을 제공할 자격을 갖춘 전문가 부족에 직면하는 경우가 많습니다."라고 강조합니다.
브라질의 상황도 심각합니다. 포티넷은 브라질에 약 75만 명의 사이버 보안 전문가가 필요하다고 추산하는 반면, ISC²는 2025년까지 14만 명의 전문가가 부족할 수 있다고 경고합니다. 이러한 현상은 브라질이 수십만 개의 공석을 채우려고 노력하고 있지만, 애플리케이션 보안, 운영 및 거버넌스 분야의 자격을 갖춘 전문가가 실제로 시급하게 부족하다는 것을 보여줍니다.
"자격을 갖춘 전문가에 대한 수요는 공급을 훨씬 초과합니다. 따라서 많은 기업들이 전통적인 교육을 기다릴 시간이 부족하여 자체 교육 프로그램에 투자하는 것을 선택합니다."라고 엘리아스는 설명합니다.
한 가지 예로, 쿠리치바에 본사를 둔 애플리케이션 보안 전문 기업인 Conviso의 이니셔티브인 Conviso Academy가 있습니다. Conviso Academy는 최근 Site Blindado를 인수했습니다. 이 아카데미는 실질적인 시장 문제인 애플리케이션 보안 전문가 부족 문제를 해결하기 위해 설립되었습니다. 그래서 저희는 이러한 인재를 양성하기로 결정했습니다!"라고 Conviso Academy 강사인 루이스 쿠스토디오는 설명합니다.
"아카데미는 더 이상 수백 명의 참가자를 위한 녹화된 강의를 제공하는 부트캠프가 아닙니다. 수업은 소규모로 진행되며 매주 동기식으로 진행됩니다. 첫 번째 모듈부터 참가자들은 AppSec 팀들이 매일 하는 것처럼 위협 모델링, 보안 아키텍처, 보안 코딩 분야의 과제를 해결하며 실제 문제를 해결합니다."라고 쿠스토디오는 말합니다.
CEO는 또한 "이 모델의 이면에 있는 Conviso는 보안 전문가의 실제 교육 요구에 부합하는 교육 방식을 구축하기 위해 방법론적 계획에 투자했습니다. 그리고 이 방법론은 교육이 단순히 이론이나 실습이 아닌 경험에 관한 것이라는 생각에 기반을 두고 있습니다."라고 강조했습니다.
모듈 전반에 걸쳐 참가자들은 비즈니스 연속성에 영향을 미칠 수 있는 위협을 매핑하고 우선순위를 지정하는 방법, 웹, 모바일 및 클라우드 애플리케이션을 위한 보안 아키텍처를 평가하고 제안하는 방법, DevSecOps와 통합된 보안 개발 관행을 구현하는 방법, 배포 속도를 늦추지 않고 검사를 자동화하는 보안 파이프라인을 구축하는 방법 등을 학습합니다. 이 모든 것은 시프트 레프트(Shift Left) , 즉 보안을 개발 주기의 가장 초기 단계에 적용하여 가장 효과적이고 비용이 적게 드는 단계에 두는 것을 강화합니다.
"결과는 단순히 기술적인 것이 아닙니다. 애플리케이션 보안이 기업을 보호하고 기업에 가치를 창출하는 방식을 이해하고, 이해관계자와 소통하고, 위험을 해석하고, 팀이 소프트웨어를 안전하게 제공하도록 돕는 것입니다."라고 그는 강조합니다.
실제로는 다음과 같이 진행됩니다. 참여자는 처음부터 직접 참여하여 기술적 보안 기술뿐만 아니라 의사소통, 팀워크, 자율성과 같은 필수적인 소프트 스킬도 개발하여 학습합니다.
"저희는 사람들이 이미 알고 있는 내용을 가져와서 학습해야 할 내용과 연결하는데, 이를 통해 AppSec이 그렇게 어려운 학문이 아니라는 것을 깨닫게 됩니다. 강사는 주인공이 아니라, 중재자로서 참가자들이 스스로 솔루션을 개발하고 구체화하도록 돕습니다."라고 Conviso Academy 강사는 말합니다.
첫 번째 클래스에는 400명이 넘는 지원자가 몰렸습니다. 하지만 질적인 향상을 위해 클래스 정원을 제한하여 각 클래스당 20명만 모집하고, 나머지 30~40%는 소수 집단(여성, 흑인, LGBTQIAPN+ 커뮤니티)에게 배정됩니다.
"아직 시장에 진출하지 않았더라도 AppSec 분야에 진출하고자 하는 사람들에게 초점을 맞춥니다. 학위나 최소 연령 제한은 없지만, 배우고 도전하려는 진정한 열정이 필요합니다."라고 쿠스토디오는 말합니다.
해당 기관에 따르면, 2026년에 시작될 예정인 두 번째 교육 과정에 대한 등록이 현재 진행 중입니다. 관심 있는 분들은 웹사이트( https://www.convisoappsec.com/pt-br/conviso-academy
