.gif)
전자정부 SW 개발·운영자를 위한 ‘소프트웨어 개발보안 가이드’ 발표
전자정부 서비스의 보안위협 최소화 위한 단계별 대응방안 수록
.jpg)
[보안뉴스 원병철 기자] 전자정부 소프트웨어 개발자와 운영자를 위한 ‘소프트웨어 개발보안 가이드(이하 가이드)’가 나왔다. 행정자치부와 한국인터넷진흥원은 개요에서부터 분석과 설계, 구현과 예시에 용어 정리까지 실질적인 가이드가 될 수 있도록 내용을 구성했다.
소프트웨어 보안의 목표는 성공적인 사업을 운영하기 위한 정보자원의 기밀성, 무결성, 가용성을 유지하는 것이라고 밝혔다. 이러한 목표를 달성하기 위해서 보안통제 기능의 구현이 요구되며, 해당 가이드에서는 소프트웨어 취약점을 완화시킬 수 있는 각 개발단계별 기술적 통제항목에 중점을 두고 있다.
단계별 수행 보안활동 정의
개발자와 공격자의 접근방식은 기본적으로 차이가 있다. 개발자는 애플리케이션의 정상적인 의도에 초점을 맞춰 접근하고, 공격자는 정상적인 의도 외에 허용되는 모든 동작에 관심을 가진다. 즉, 보안 요구사항과 오용사례를 소프트웨어를 개발하는 초기단계부터 고려해 보안위협들을 최소화해야 한다.
소프트웨어 보안 취약점은 △보안요구사항이 정의되지 않았거나 △논리적인 오류를 가지는 설계를 수행했거나 △기술취약점을 가지는 코딩 규칙을 적용했거나 △소프트웨어 배치가 적절하지 않았거나 △발견된 취약점에 대해 적절한 관리 또는 패치를 하지 않은 경우 발견되며, 이러한 취약점으로 인해 시스템이 처리하는 중요정보가 노출되거나 정상적인 서비스가 불가능한 상황이 발생하게 된다.
이 때문에 해당 가이드는 전자정부 소프트웨어 개발 관련 보안위협을 최소화하기 위해 각 단계별 수행해야 하는 보안활동들을 정의해 안전한 소프트웨어 개발에 도움이 되도록 했다.
.jpg)
▲ 전자정부 소프트웨어 개발보안 가이드 목적과 구성
보안약점을 사전에 제거하는 것이 중요
첫 번째는 소프트웨어 개발보안의 필요성을 아는 것이다. 소프트웨어 개발보안은 해킹 등 사이버 공격의 원인인 보안약점을 소프트웨어 개발단계에서 사전에 제거하고, 소프트웨어 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통해 안전한 소프트웨어를 개발·운영하기 위한 목적으로 적용하는 개발체계를 말한다.
.jpg)
▲ 전자정부 소프트웨어 개발보안 체계
2016년 12월에 개정·고시된 ‘행정기관 및 공공기관 정보시스템 구축·운영 지침(행정자치부 고시 제2016-48호)’은 개발보안과 관련해 행정기관 및 공공기관이 정보화사업을 추진할 경우 준수해야 할 소프트웨어 개발보안 기준 및 절차 등이 정의되어 있다.
.jpg)
▲ 전자정부 소프트웨어 개발보안 기준 및 절차
하나의 소프트웨어를 개발할 때 생성에서부터 소멸까지의 과정을 단계별로 나눈 것을 ‘소프트웨어 개발 생명주기(SDLC)’라고 한다. 이 SDLC는 각 단계별 주요 활동과 산출물을 통해 프로젝트의 진행방향을 명확하게 파악하고, 관리를 쉽게 해준다. 또한, SDLC에 소프트웨어 공학원리를 적용한 것을 ‘소프트웨어 개발 방법론’이라고 하는데, 쉽게 말하면 정보 시스템 개발을 위한 작업 활동, 절차, 산출물, 기법 등을 체계적으로 정리한 것을 말한다.
이 개발 방법론이 적용된 프로젝트에서 안전한 소프트웨어를 만들기 위해 요구되는 보안활동을 적용하는 개발 방법을 ‘소프트웨어 개발보안 방법론’이다. 우리가 말하는 안전한 소프트웨어란 ‘보안관련 기능을 수행’하는 소프트웨어가 아니라, ‘신뢰성이 위협받는 상황에서도 시스템을 신뢰할 수 있는 상태’로 유지할 수 있도록 만들어진 소프트웨어를 말한다. 대표적인 소프트웨어 개발보안 모범사례로 마이크로소프트의 ‘MS-SDL’, ‘Seven Touchpoints’, ‘CLASP’ 등이 있다.
그렇다면 성과는 어떨까? 마이크로소프트는 소프트웨어 개발보안 방법론을 적용해 프로젝트를 수행한 경우, 취약점이 대폭 감소해 보안패치와 같은 유지보수 비용이 확연하게 감소했다. 또한, 미국표준기술연구소(NITS)에서는 제품 출시단계에 발견되는 결함을 제거하기 위해 30배의 비용이 요구된다고 발표했다. 즉, 개발 초기단계에서 결함을 제거한다면, 유지보수비용의 30배를 절감할 수 있다는 얘기다.
.jpg)
▲ 마이크로소프트의 개발 성과
이처럼 소프트웨어 개발보안은 공격자들이 공격할 틈을 주지 않는, 말 그대로 실수 없이 소프트웨어를 개발하는 방법을 말하며, 해당 보고서는 이러한 방법에 대해 자세하게 설명하고 있다. 소프트웨어를 개발했거나 개발을 앞두고 있는 기업 혹은 개발자라면 필수적으로 확인해야 할 것으로 보인다.
이번에 발표된 ‘소프트웨어 개발보안 가이드’는 본지 컨텐츠 코너나 행정자치부 자료실(www.moi.go.kr)에서 다운로드 받을 수 있다.
한편, 오는 3월 15일부터 17일까지 일산 킨텍스 제1전시장과 컨퍼런스룸에서는 소프트웨어 개발 보안 분야를 비롯해 올해 전자정부 정보보호 관련 이슈를 발표하고, 전자정부 정보보호 및 정보화 솔루션을 전시·시연하는 제6회 전자정부 정보보호 솔루션(eGISEC, www.egisec.org) 페어가 행정자치부 주최로 개최될 예정이라 관심이 모아지고 있다.
[원병철 기자(boanone@boannews.com)]
전자정부 서비스의 보안위협 최소화 위한 단계별 대응방안 수록
[보안뉴스 원병철 기자] 전자정부 소프트웨어 개발자와 운영자를 위한 ‘소프트웨어 개발보안 가이드(이하 가이드)’가 나왔다. 행정자치부와 한국인터넷진흥원은 개요에서부터 분석과 설계, 구현과 예시에 용어 정리까지 실질적인 가이드가 될 수 있도록 내용을 구성했다.
소프트웨어 보안의 목표는 성공적인 사업을 운영하기 위한 정보자원의 기밀성, 무결성, 가용성을 유지하는 것이라고 밝혔다. 이러한 목표를 달성하기 위해서 보안통제 기능의 구현이 요구되며, 해당 가이드에서는 소프트웨어 취약점을 완화시킬 수 있는 각 개발단계별 기술적 통제항목에 중점을 두고 있다.
단계별 수행 보안활동 정의
개발자와 공격자의 접근방식은 기본적으로 차이가 있다. 개발자는 애플리케이션의 정상적인 의도에 초점을 맞춰 접근하고, 공격자는 정상적인 의도 외에 허용되는 모든 동작에 관심을 가진다. 즉, 보안 요구사항과 오용사례를 소프트웨어를 개발하는 초기단계부터 고려해 보안위협들을 최소화해야 한다.
소프트웨어 보안 취약점은 △보안요구사항이 정의되지 않았거나 △논리적인 오류를 가지는 설계를 수행했거나 △기술취약점을 가지는 코딩 규칙을 적용했거나 △소프트웨어 배치가 적절하지 않았거나 △발견된 취약점에 대해 적절한 관리 또는 패치를 하지 않은 경우 발견되며, 이러한 취약점으로 인해 시스템이 처리하는 중요정보가 노출되거나 정상적인 서비스가 불가능한 상황이 발생하게 된다.
이 때문에 해당 가이드는 전자정부 소프트웨어 개발 관련 보안위협을 최소화하기 위해 각 단계별 수행해야 하는 보안활동들을 정의해 안전한 소프트웨어 개발에 도움이 되도록 했다.
▲ 전자정부 소프트웨어 개발보안 가이드 목적과 구성
보안약점을 사전에 제거하는 것이 중요
첫 번째는 소프트웨어 개발보안의 필요성을 아는 것이다. 소프트웨어 개발보안은 해킹 등 사이버 공격의 원인인 보안약점을 소프트웨어 개발단계에서 사전에 제거하고, 소프트웨어 개발 생명주기의 각 단계별로 수행하는 일련의 보안활동을 통해 안전한 소프트웨어를 개발·운영하기 위한 목적으로 적용하는 개발체계를 말한다.
▲ 전자정부 소프트웨어 개발보안 체계
2016년 12월에 개정·고시된 ‘행정기관 및 공공기관 정보시스템 구축·운영 지침(행정자치부 고시 제2016-48호)’은 개발보안과 관련해 행정기관 및 공공기관이 정보화사업을 추진할 경우 준수해야 할 소프트웨어 개발보안 기준 및 절차 등이 정의되어 있다.
▲ 전자정부 소프트웨어 개발보안 기준 및 절차
하나의 소프트웨어를 개발할 때 생성에서부터 소멸까지의 과정을 단계별로 나눈 것을 ‘소프트웨어 개발 생명주기(SDLC)’라고 한다. 이 SDLC는 각 단계별 주요 활동과 산출물을 통해 프로젝트의 진행방향을 명확하게 파악하고, 관리를 쉽게 해준다. 또한, SDLC에 소프트웨어 공학원리를 적용한 것을 ‘소프트웨어 개발 방법론’이라고 하는데, 쉽게 말하면 정보 시스템 개발을 위한 작업 활동, 절차, 산출물, 기법 등을 체계적으로 정리한 것을 말한다.
이 개발 방법론이 적용된 프로젝트에서 안전한 소프트웨어를 만들기 위해 요구되는 보안활동을 적용하는 개발 방법을 ‘소프트웨어 개발보안 방법론’이다. 우리가 말하는 안전한 소프트웨어란 ‘보안관련 기능을 수행’하는 소프트웨어가 아니라, ‘신뢰성이 위협받는 상황에서도 시스템을 신뢰할 수 있는 상태’로 유지할 수 있도록 만들어진 소프트웨어를 말한다. 대표적인 소프트웨어 개발보안 모범사례로 마이크로소프트의 ‘MS-SDL’, ‘Seven Touchpoints’, ‘CLASP’ 등이 있다.
그렇다면 성과는 어떨까? 마이크로소프트는 소프트웨어 개발보안 방법론을 적용해 프로젝트를 수행한 경우, 취약점이 대폭 감소해 보안패치와 같은 유지보수 비용이 확연하게 감소했다. 또한, 미국표준기술연구소(NITS)에서는 제품 출시단계에 발견되는 결함을 제거하기 위해 30배의 비용이 요구된다고 발표했다. 즉, 개발 초기단계에서 결함을 제거한다면, 유지보수비용의 30배를 절감할 수 있다는 얘기다.
▲ 마이크로소프트의 개발 성과
이처럼 소프트웨어 개발보안은 공격자들이 공격할 틈을 주지 않는, 말 그대로 실수 없이 소프트웨어를 개발하는 방법을 말하며, 해당 보고서는 이러한 방법에 대해 자세하게 설명하고 있다. 소프트웨어를 개발했거나 개발을 앞두고 있는 기업 혹은 개발자라면 필수적으로 확인해야 할 것으로 보인다.
이번에 발표된 ‘소프트웨어 개발보안 가이드’는 본지 컨텐츠 코너나 행정자치부 자료실(www.moi.go.kr)에서 다운로드 받을 수 있다.
한편, 오는 3월 15일부터 17일까지 일산 킨텍스 제1전시장과 컨퍼런스룸에서는 소프트웨어 개발 보안 분야를 비롯해 올해 전자정부 정보보호 관련 이슈를 발표하고, 전자정부 정보보호 및 정보화 솔루션을 전시·시연하는 제6회 전자정부 정보보호 솔루션(eGISEC, www.egisec.org) 페어가 행정자치부 주최로 개최될 예정이라 관심이 모아지고 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
