[2020 정보처기기사 실기] Section 09. 소프트웨어 개발 보안 구축 #1

2020. 5. 5. 18:49

by. 위지원

2020/04/29 - [2020년도 상반기/정처기] - [2020 정보처리기사 실기]Section 08.SQL응용(사용자 정의 함수, 커서)

소프트웨어 개발 보안

소프트웨어 개발 보안은 데이터의 기밀성, 무결성, 가용성을 유지하는 것을 목표로 함

소프트웨어 보안 취약점이 발생하는 경우

보안 요구사항이 정의되지 않음
논리적 오류가 포함된 소프트웨어 설계
기술 취약점이 포함된 코딩 규칙
부적절한 소프트웨어 배치
취약점 발견시 부적절한 대응

안전한 소프트웨어를 개발하기 위해선?

프로젝트 관련자들의 역할/책임을 명확히 정의하고, 충분한 보안교육 실시
SDLC의 각 단계마다 보안 활동 수행
개발 보안을 위한 표준 확립
재사용이 가능한 보안 모듈 생성
보안 통제의 효과성 검증 실시

소프트웨어 개발 보안 관련기간

행정안전부
- 보안 정책 총괄
한국인터넷진흥원(KISA)
- 개발 보안 정책 및 가이드 개발
발주기관
- 개발 보안의 계획을 수립
사업자
- 개발 보안 관련 기술 수준 및 적용 계획 명시
감리법인
- 감리 계획을 수립하고 협의

개발 보안 활동 관련 법령

개인정보 보호법
정보통신망 이용촉진 및 정보보호 등에 관한 법률
신용정보의 이용 및 보호에 관한 법률
위치정보의 보호 및 이용 등에 관한 법률
표준 개인정보 보호 지침
개인정보의 안전성 확보 조치 기준
개인정보 영향평가에 관한 고시

소프트웨어 개발 보안 활동 관련 기타 규정

RFID 프라이버시 보호 가이드라인
위치정보의 보호 및 이용등에 관한 법률
위치정보의 관리적, 기술적 보호조치 권고 해설서
바이오정보 보호 가이드라인
뉴미디어 서비스 개인정보 보호 가이드라인
- 뉴미디어 서비스:클라우드 컴퓨팅서비스, 소셜 네트워크 서비스, 소셜 커머스 서비스, 스마트폰 활용 서비스

Secure SDLC

보안상 안전한 소프트웨를 개발하기 위해 SDLC에 보안 강화를 위한 프로세스를 포함한 것

Secure Software사의 CLASP
Microsoft사의 SDL

요구사항 분석 단계에서의 보안 활동

전산화되는 정보가 가지고 있는 보안수준을 보안 요소별로 등급을 구분
- 보안 요소

기밀성	- 허가된 사용자만 시스템 접근 - 정보가 노출되더라도 읽을 수 없음
무결성	허가된 사용자만 시스템 접근
가용성	허가된 사용자는 언제든 사용
인증	- 허가된 사용자임?
부인 방지	송/수신 증거를 제공, 송/수신 안했어!라고 부인할 수 없게

정보보호 관련 보안 정책을 참고하여 출처, 요구 수준, 세부 내용등을 문서화

설계 단계에서의 보안 활동

식별된 보안 요구사항을 SW 설계서에 반영 및 보안 설계서 작성

소프트웨어에서 발생할 수 있는 위협(재산상의 손해) 을 식별하여 보안대책, 소요예산,사고 발생시 영향 범위와 대응책 수립
환경에 대한 보안통제 기준 수립 및 설계에 반영
- 네트워크 : 외부 공격 방어를 위해 네트워크 분리 및 방화벽 설치
- 서버 : 보안 업데이트, 외부접속 접근 통제
- 물리적 보안 : 감시설비를 설치
- 개발 프로그램 : 허가되지 않은 프로그램 통제 및 지속적인 데이터 무결성 검사

구현 단계에서의 보안 활동

표준 코딩 정의서, 소프트웨어 개발 보안 가이드를 준수하며 설계서에 따라 보안 요구사항들을 구현

지속적인 단위 테스트로 보안 취약점 최소화
코드 점검 및 소스 코드 진단 작업을 통해 소스코드의 안전성 확보

*시큐어 코딩 : 보안 요소들을 고려하여 코딩하는것

테스트 단계에서의 보안 활동

보안 설계서를 바탕으로 바안사항이 정확히 반영되고 동작하는지 점검

정적,돈적 분석도구 또는 모의 침투테스트 시행

유지보수 단계에서의 보안 활동

추가적인 보안사고를 식별하고, 이를 해결하고 보안 패치 실시

2020/05/05 - [2020년도 상반기/정처기] - [2020 정보처리기사 실기] Section 09.소프트웨어 개발 보안 구축 #2

위지원

데이터 엔지니어로 근무 중에 있으며 데이터와 관련된 일을 모두 좋아합니다!. 특히 ETL 부분에 관심이 가장 크며 데이터를 빛이나게 가공하는 일을 좋아한답니다 ✨

저작자표시 (새창열림)

'2020년 > 정처기' 카테고리의 다른 글

[2020 정보처리기사 실기]Section 09.소프트웨어 개발 보안 구축 #3 (0)	2020.05.05
[2020 정보처리기사 실기] Section 09.소프트웨어 개발 보안 구축 #2 (1)	2020.05.05
[2020 정보처리기사 실기]Section 08.SQL응용(사용자 정의 함수, 커서) (0)	2020.04.29
[2020 정보처리기사 실기]Section 08.SQl응용(프로시저, 트리거) (0)	2020.04.29
[2020 정보처리기사 실기]Section 08. SQL 응용(SELECT) (0)	2020.04.28

잠깐만요~! 읽으신김에 이런 글들은 어떠세요? 👀

맨 위로

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

데이터를 사랑하고 궁금해하는 기록쟁이입니다! 😉 Super Data Girl이 되는 그날까지🏃‍♀️ 화이팅!