5-2-6장. 소프트웨어 개발 보안 - C

소프트웨어 개발 보안은 소프트웨어 개발 과정에서 발생할 수 있는 보안 취약점을 최소화하여 보안 위협으로부터 안전한 소프트웨어를 개발하기 위한 일련의 보안 활동을 의미한다.

 

• 소프트웨어 개발 보안은 데이터의 기밀성, 무결성, 가용성을 유지하는 것을 목표로 한다.

• 소프트웨어 보안 취약점이 발생하는 경우

  • 보안 요구사항이 정의되지 않은 경우

  • 소프트웨어 설계 시 논리적 오류가 포함된 경우

  • 기술 취약점을 갖고 있는 코딩 규칙을 적용한 경우

  • 소프트웨어의 배치가 적절하지 않은 경우

  • 보안 취약점 발견 시 적절하게 대응사지 못한 경우

• 안전한 소프트웨어 개발을 위한 수행 작업

  • 소프트웨어 개발 프로젝트에 참여하는 관련자들의 역할과 책임을 명확히 정의하고, 충분한 보안 교육 실시

  • 소프트웨어 개발 생명주기의 각 단계마다 보안 활동 수행

  • 소프트웨어 개발 보안을 위한 표준을 확립

  • 재사용이 가능한 보안 모듈을 만들어 유사한 소프트웨어 개발에 사용될 수 있도록 한다.

  • 새로운 소프트웨어 개발 프로젝트에 사용될 수 있도록 보안 통제의 효과성 검증을 실시한다.

소프트웨어 개발 보안 관련 기관

소프트웨어 개발 보안과 관련된 활동 주체는 정책기관은 행정안전부, 발주기관은 행정기관, 전문기관은 한국인터넷진흥원(KISA), 개발기관인 사업자, 보안 약점을 진단하는 감리법인 등으로 구분한다.

 

• 활동 주체별 개발 보안 역할

  • 행정안전부

    • 정책을 총괄

    • 관련 법규, 지침, 제도를 정비

    • 소프트웨어 보안 약점을 진단하는 사람의 양성 및 관련 업무를 수행

  • 한국인터넷진흥원

    • 정책 및 가이드를 개발

    • 소프트웨어 개발 보안에 대한 기술을 지원하고, 교육과정 및 자격제도를 운영한다.

  • 발주기관

    • 보안의 계획 수립

    • 사업자 및 감리법인 선정

    • 준수 여부 점검 

  • 사업자

    • 기술 수준 및 적용 계획 명시

    • 인력을 대상으로 교육 실시

    • 가이드를 참조하여 개발

    • 자체적으로 보안 약점을 진단하고 제거

    • 보안 약점과 관련된 시정 요구사항을 이행

  • 감리법인

    • 감리 계획을 수립하고 협의

    • 보안 약점의 제거 여부 및 조치 결과를 확인