소프트웨어 개발 보안

소프트웨어 보안취약점은
 - 보안요구사항이 정의되지 않았거나
 - 논리적인 오류를 가지는 설계를 수행했거나
 - 기술취약점을 가지는 코딩규칙을 적용하였거나
 - 소프트웨어 배치가 절절하지 않았거나
 - 발견된 취약점에 대해 적절한 관리 또는 패치를 하지 않은 경우
발견된다.

소프트웨어 개발방법론

구조적 방법론	- 프로세스 중심의 개발방법론  - 모듈의 분할과 정복에 의한 하향식 설계(Top-Down)  - SDLC구조의 폭포수 모델이 기본  - 산출물 : DFD
객체지향 방법론	- 반복적이고 점증적인 개발방식  - 재사용성강조  - 분산객체기술의 완벽한 지원  - Bottom-Up  - 유즈케이스 다이어그램, 시퀀스 다이어그램…
CDB 방법론	- 컴포넌트 기반 개발  - 반복 점진적 개발 프로세스  - 표준화된 산출물  - 재사용성 향상  - Bottom-up

소프트웨어 개발보안 적용 사례

사례	설명
MS-SDL	MS - Secure Development Lifecycle
Seven TouchPoints	- 소프트웨어 보안의 모범사례를 소프트웨어 개발 라이트사이클에 통합  - 공통 위험요소를 파악하고 이해하며, 보안을 설계하고 모든 소프트웨어     산출물에 대해 철저하고 객관적인 위험분석 및 테스트를 거쳐 안전하     소프트웨어를 만드는 방법을 정의  - 7개의 보안강화활동
CLASP	Comprehensive, Lightweight Application Security Process  - SDLC 초기단계에 보안강화를 목적으로 하는 정형화된 프로세스로서  - 활동중심, 역할기반의 프로세스로 구성된 집합체이다.  - 운영중인 시스템에 적용하기 좋다.     ① 개념관점     ② 역할기반 관점     ③ 활동평가 관점     ④ 활동구현 관점     ⑤ 취약성 관점

소프트웨어 보안약점 진단방법론

정적분석	화이트박스
	소스코드의 구조,구문의미 리뷰
	소스코드의 보안약점을 점검하여 완성된 SW의 발생가능한 잠재적인 취약점을  예방하는 점검
동적분석	블랙박스
	실행파일, 결과, 성능,안정성 -> 디버깅, 부하테스트, 모의해킹
	실행과정에서의 다양한 입출력데이터의 변화및 사용자 상호작용에 따른 변화를  점검하는 방법으로 입출력에 대한 다양한 취약점을 점검

정탐/오탐

소스코드	진단도구	결과유형
Error	Error	정탐
Error	정상	미탐
정상	Error	오탐

SW개발보안 기준 및 절차

구분	내용	비고
대상	정보시스템 감리대상 정보화사업
범위	설계단계 산출물 소스코드 (신규는 전체, 유지보수는 변경된 부분만)	상용SW는 대상 아님
기준	감리법인이 진단도구 사용 시 국정원장이 인증한 도구 사용	진단기준
기타	- 감리법인은 SW보안약점 진단 시 진단원을 우선적으로    배치 - 감리대상 외 사업은 자체적으로 SW보안약점 진단   ,제거결과 확인

보안항목 식별

정보에 대한 보안항목 식별	가. 외부환경분석을 통한 보안항목 식별      - 개인정보보호 관련 법규 - 개인정보보호법, 정통망법,…      - 특정IT기술관련 법규 - RFID프라이버시 보호가이드라인, 위치정보의 보호및 활용…
	나. 기타 중요정보 식별      - 1등급 : 고유식별정보, 민감정보, 인증정보, 신용정보, 의료정보, 위치정보      - 2등급 : 이름,주소,전화번호,핸드폰번호,이메일주소,생년월일,성별                  학력, 직업, 키, 몸무게, 결혼여부,취미      - 3등급 : IP정보, MAC주소, 사이트방문기록, 쿠키                  가입자성향, 통계성정보                  사번, 회원번호 등
기능에 대한 보안항목 식별	요구사항정의서에 보안요구사항을 정의하여 설계,구현,테스트 단계에서 적용될 수  있도록한다