-
이전글
2020/04/29 - [2020년도 상반기/정처기] - [2020 정보처리기사 실기]Section 08.SQL응용(사용자 정의 함수, 커서)
소프트웨어 개발 보안
소프트웨어 개발 보안은 데이터의 기밀성, 무결성, 가용성을 유지하는 것을 목표로 함
소프트웨어 보안 취약점이 발생하는 경우
- 보안 요구사항이 정의되지 않음
- 논리적 오류가 포함된 소프트웨어 설계
- 기술 취약점이 포함된 코딩 규칙
- 부적절한 소프트웨어 배치
- 취약점 발견시 부적절한 대응
안전한 소프트웨어를 개발하기 위해선?
- 프로젝트 관련자들의 역할/책임을 명확히 정의하고, 충분한 보안교육 실시
- SDLC의 각 단계마다 보안 활동 수행
- 개발 보안을 위한 표준 확립
- 재사용이 가능한 보안 모듈 생성
- 보안 통제의 효과성 검증 실시
소프트웨어 개발 보안 관련기간
- 행정안전부
- 보안 정책 총괄
- 한국인터넷진흥원(KISA)
- 개발 보안 정책 및 가이드 개발
- 발주기관
- 개발 보안의 계획을 수립
- 사업자
- 개발 보안 관련 기술 수준 및 적용 계획 명시
- 감리법인
- 감리 계획을 수립하고 협의
개발 보안 활동 관련 법령
- 개인정보 보호법
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률
- 신용정보의 이용 및 보호에 관한 법률
- 위치정보의 보호 및 이용 등에 관한 법률
- 표준 개인정보 보호 지침
- 개인정보의 안전성 확보 조치 기준
- 개인정보 영향평가에 관한 고시
소프트웨어 개발 보안 활동 관련 기타 규정
- RFID 프라이버시 보호 가이드라인
- 위치정보의 보호 및 이용등에 관한 법률
- 위치정보의 관리적, 기술적 보호조치 권고 해설서
- 바이오정보 보호 가이드라인
- 뉴미디어 서비스 개인정보 보호 가이드라인
- 뉴미디어 서비스:클라우드 컴퓨팅서비스, 소셜 네트워크 서비스, 소셜 커머스 서비스, 스마트폰 활용 서비스
Secure SDLC
보안상 안전한 소프트웨를 개발하기 위해 SDLC에 보안 강화를 위한 프로세스를 포함한 것
- Secure Software사의 CLASP
- Microsoft사의 SDL
요구사항 분석 단계에서의 보안 활동
- 전산화되는 정보가 가지고 있는 보안수준을 보안 요소별로 등급을 구분
- 보안 요소
기밀성 - 허가된 사용자만 시스템 접근
- 정보가 노출되더라도 읽을 수 없음무결성 허가된 사용자만 시스템 접근 가용성 허가된 사용자는 언제든 사용 인증 - 허가된 사용자임? 부인 방지 송/수신 증거를 제공, 송/수신 안했어!라고 부인할 수 없게 - 정보보호 관련 보안 정책을 참고하여 출처, 요구 수준, 세부 내용등을 문서화
설계 단계에서의 보안 활동
식별된 보안 요구사항을 SW 설계서에 반영 및 보안 설계서 작성
- 소프트웨어에서 발생할 수 있는 위협(재산상의 손해) 을 식별하여 보안대책, 소요예산,사고 발생시 영향 범위와 대응책 수립
- 환경에 대한 보안통제 기준 수립 및 설계에 반영
- 네트워크 : 외부 공격 방어를 위해 네트워크 분리 및 방화벽 설치
- 서버 : 보안 업데이트, 외부접속 접근 통제
- 물리적 보안 : 감시설비를 설치
- 개발 프로그램 : 허가되지 않은 프로그램 통제 및 지속적인 데이터 무결성 검사
구현 단계에서의 보안 활동
표준 코딩 정의서, 소프트웨어 개발 보안 가이드를 준수하며 설계서에 따라 보안 요구사항들을 구현
- 지속적인 단위 테스트로 보안 취약점 최소화
- 코드 점검 및 소스 코드 진단 작업을 통해 소스코드의 안전성 확보
*시큐어 코딩 : 보안 요소들을 고려하여 코딩하는것
테스트 단계에서의 보안 활동
보안 설계서를 바탕으로 바안사항이 정확히 반영되고 동작하는지 점검
- 정적,돈적 분석도구 또는 모의 침투테스트 시행
유지보수 단계에서의 보안 활동
추가적인 보안사고를 식별하고, 이를 해결하고 보안 패치 실시
다음글
2020/05/05 - [2020년도 상반기/정처기] - [2020 정보처리기사 실기] Section 09.소프트웨어 개발 보안 구축 #2
'2020년 > 정처기' 카테고리의 다른 글
[2020 정보처리기사 실기]Section 09.소프트웨어 개발 보안 구축 #3 (0) 2020.05.05 [2020 정보처리기사 실기] Section 09.소프트웨어 개발 보안 구축 #2 (0) 2020.05.05 [2020 정보처리기사 실기]Section 08.SQL응용(사용자 정의 함수, 커서) (0) 2020.04.29 [2020 정보처리기사 실기]Section 08.SQl응용(프로시저, 트리거) (0) 2020.04.29 [2020 정보처리기사 실기]Section 08. SQL 응용(SELECT) (0) 2020.04.28
데이터를 사랑하고 궁금해하는 기록쟁이입니다! 😉 Super Data Engineer가 되는 그날까지🏃♀️ 화이팅!
