IT자격증

예전에는 구현단계 즉 최종 개발완료된 산출물에 대해서 시큐어코딩의 적용여부를 검사했지만
지금은 분석/설계단계부터 개발보안 가이드를 기준으로 시큐어코딩의 적용여부를 체크하도록
되어 있다.
SW보안약점진단원 준비할려면 열심히 외워야 하는 부분이 더 늘어난 셈이다. ㅠㅠ
이번장에서는 소프트웨어 개발보안 가이드 중 '분석/설계' 단계에서의 진단항목에 대해서
알아보고자 한다. 

분석/설계 단계에서의 개발보안 항목은 크게 4가지로 분류를 한다.

각 세션별로 점검항목이 무엇이 있는지 간략하게 설명하면 다음과 같다

SR1. 입력데이터 검증 및 표현

SR2. 보안기능

SR3. 에러처리

SR4. 세션통제

위에서 설명한 "분석/설계" 단계에서의 개발보안 항목은 결국 "구현"단계에서의 개발보안  항목과
연결이 되어 질수 밖에 없다.
구현단계에 대해서는 다음 편에서 소개를 하고 여기서는 간단하게 두 단계간의 매핑구조만 설명한다.

[출처 : 전자정부 SW개발.운영자를 위한 소프트웨어 개발보안 가이드]
[출처 : 2018년도 SW보안약번점진단원 교육 자료]

소프트웨어 보안취약점은
 - 보안요구사항이 정의되지 않았거나
 - 논리적인 오류를 가지는 설계를 수행했거나
 - 기술취약점을 가지는 코딩규칙을 적용하였거나
 - 소프트웨어 배치가 절절하지 않았거나
 - 발견된 취약점에 대해 적절한 관리 또는 패치를 하지 않은 경우
발견된다.

소프트웨어 개발방법론

소프트웨어 개발보안 적용 사례

소프트웨어 보안약점 진단방법론

정탐/오탐

SW개발보안 기준 및 절차

보안항목 식별

클라우드 (Cloud) 의 정의

클라우드 컴퓨팅 (Cloud Computing) 은 "규모의 경제에 입각한 대규모 분산 컴퓨팅 패러다임
으로서, 거대한 IT자원을 추상화하고, 가상화하여 동적 확장이 가능한 체계로 사용자가
필요한 만큼 네트워크를 통해 사용하는 컴퓨팅 서비스 환경" 으로 정의할수 있다.

클라우드 컴퓨팅 모델

Community 나 Hybrid 클라우드는 사용자 IT 환경, 서비스 특성 및 운영정책 등에 매우 
종속적이고 특성화되어 있으나, 결과적으로 퍼블릭과 프라이빗의 복합된 형태로 구성되므로 
보통 퍼블릭과 프라이빗을 중심으로 가이드를 제시함.


클라우드 도입의 필요성

프로세스 마이닝의 기술 구성도

No	구분	설명	적용 알고리즘
①	프로세스 발견 (Discovery)	기존의 정보시스템으로부터 이벤트 로그를 추출하여 이를 분석해서 프로세스를 찾아내는 기법. 즉 이벤트 로그에서 프로세스 모델의 자동 발견을 지원하고 과거의 수행내역을 재생하는 데 활용	휴리스틱 마이닝 퍼지 마이닝 알파 마이닝
②	적합성 검사 (Conformance Checking)	위 ① 을 통해 발견된 프로세스를 원래 의도했던 프로세스와 비교해서 어느정도 적합한지 평가	로그 리플레이 기법 로그 얼라이먼트 방법
③	프로세스 확장 (Enhancement)	적합성검사를 통해서 원래의 프로세스를 확장시켜서 적합성을 높이는 단계 또한 새로 발견된 프로세스 모델을 시간정보를 통해 확장	소셜 네트워크 마이닝 조직 마이닝 스탭 어사인먼트 마이닝 Petri Net 기반 성능분석 시퀀스 패턴 Dotted Chart 분석

용어 설명

적용 사례

[출처] 118회 정보관리기술사 기출문제풀이집 - 117회 어울림 동기회

프로세스 마이닝(Process Mining) 의 정의

프로세스 마이닝은 정보시스템의 이벤트 로그를 분석하여 의미 있는 프로세스를 찾아내는 것을
목적으로 하는 기술로서. 프로세스 로그 분석은 프로세스에 대한 통찰, 병목점 식별 및 문제 예측
, 업무 수행 규정 위반 검사 및 대책 권고, 프로세스 간소화 등 매우 다양한 목적으로 활용될 수 있다.
[네이버 지식백과] 프로세스 마이닝 (국립중앙과학관 - 빅데이터)

프로세스 마이닝은 프로세스의 효율성과 이해를 향상시키는 것을 목표로 하며,
“자동화된 비즈니스 프로세스 발견” ABPD (Automated Business Process Discovery)이라는 좀 더
일반화된 명칭으로 불리기도 한다.
[출처] BPM, RPA 그리고 Process Mining(프로세스마이닝)|작성자 wawaguru

복잡하게 설명했지만..간단하게 말해 보통 IT시스템을 구축하는 경우 우선 해당 회사의 비지니스
프로세스를 분석해서 이를 기반으로 설계해서 정보시스템을 만들어서 운영을 하는데.. 이 순서를
반대로 해서 운영하고 있는 정보시스템의 로그 (이벤트 로그, 프로세스 로그)를 분석해서
역으로 프로세스를 도출한 다음 이 프로세스가 당초 분석대상이었던 프로세스와의 적합성이
어떤가를 통해 기존 프로세스의 개선점을 발견할 수 있고, 때로는 기존에 파악하지 못했던
새로운 비지니스 프로세스를 도출해서 조직의 성과 도출 및 개선이 가능하게 할 수 있는데
이런한 일련의 분석방법을 '프로세스 마이닝' 이라고 한다.

프로세스 마이닝(Process Mining)의 필요성

기존 전통적인 프로세스 방법의 문제점을 통해 왜 프로세스 마이닝이 필요한지 가늠해 볼수
있다. (그렇다고 전통적인 프로세스 분석 방법이 틀렸다고 하는 것은 아님.. 그 나름대로
충분한 역할을 수행했듬)
1. 기존 프로세스 분석방법은 사람이 담당자를 상대로 인터뷰를 통해서 AS-IS 프로세스를
   파악하는 구조이다 보니깐 아무래도 주관적인 의견이 개입되며 때로는 편견도 섞여들어
   갈수 밖에 없다.  (객관성 떨어짐)
2. 또한 시간과 비용도 많이 소요되는 편이다.
3, 담당자별로 나누어서 인터뷰및 업무 분석을 하다 보니깐 전체적인 그림을 파악하기 어렵다.
4. 개선이 필요한 AS-IS라는건 모두가 공감하지만 그 개선방안에 대해서는 담당자와 부서마다
    다를 수 밖에 없다. (부서간 충돌 발생)

따라서 이러한 전통적인 프로세스 분석방법의 단점을 해결하고자 나온 개념이
프로세스 마이닝인데 이 프로세스 마이닝은 기존 BPM과 Data Mining 의 중간영역에서
도출되었다고 할수 있다.

BPM은 비즈니스 프로세스를 발견, 모델링, 분석, 측정, 개선, 최적화 및 자동화하기 위해
다양한 방법을 사용하는 운영 관리 기법을 의미하며, 프로세스를 관리하여 기업 성과를
향상시키는 데 중점을 둔다.. 좁은 의미에서 BPM은 업무 프로세스를 사전에 모델링하고, 
설계된 프로세스 대로 업무 결제, 승인, 구매 등의 업무 등이 자동화되어 흘러갈 수 있도록
도와주는 IT 시스템을 지칭한다. 
BPM은 Top-Down 방식으로 프로세스 모델을 그려서, 해당 프로세스 모델 대로 업무를
수행하도록 강제하는 방식이라면 프로세스 마이닝은 이미 수행된 업무로부터 프로세스 모
델을 도출하는 Bottom-up 방식을 따르는데.  하지만 점점 복잡해져 가는 기업 업무 활동을 
BPM처럼 중앙 집권적 방식으로 모든 것을 통제하기에는 한계가 있으며.  BPM의 통제를
벗어난 다양한 여러 시스템을 업무 관점에서 통합적으로 관리하고 모니터링하기 위해서는
개별 시스템은 그대로 두고 이로부터 쏟아져 나오는 로그를 통해 프로세스를 관리하는
분권적 방식이 BPM의 한계를 보완하는 역할을 한다고 할수 있다.

[출처] BPM, RPA 그리고 Process Mining(프로세스마이닝)|작성자 wawaguru

프로세스 마이닝과 RPA와의 관계       

요즘 대세가 되어가고 있는 IT이슈중에 하나인 RPA (Robot Process Automation) 가
구현될려면 프로세스 마이닝이 우선 수행되어야 한다고 할 수 있다.
RPA는 소프트웨어 로봇 또는 AI (인공지능) 작업자의 개념을 기반으로 한 사무자동화
기술의 새로운 형태중에 하나이다. 
여기서 소프트웨어 '로봇'은 컴퓨터 시스템의 사용자 인터페이스와 상호 작용하는 인간의
행동을 복제하는 소프트웨어 응용 프로그램을 말하는 것으로. 예를 들어, ERP 시스템에
데이터 입력을 실행하거나 실제로 비즈니스 프로세스를 수행하는 것이 소프트웨어 로봇의
일반적인 활동이 될 것이다. 소프트웨어 로봇은 사람과 동일한 방식으로 사용자
인터페이스(UI)에서 작동을 하는데. 이것은 기존에 애플리케이션 프로그래밍 인터페이스(API)에
기반한 전통적 형태의 IT 통합과 크게 다르다. 즉, 사용자 인터페이스의 데이터 아키텍처 계층을
기반으로 한 기계 간(machine-to-machine) 통신 형태를 취한다..
앞서 언급한 BPM이 프로세스 개선을 위해 프로세스 자체를 재설계하고 변경하려는 방식이라면 
RPA는 사람이 하던 현재 방식을 그대로 모방하여 소프트웨어로 대체하여 자동화하는 방식이다
. 이러한 RPA가 업무에 더 많이 적용될 수록 더 많은 시스템 로그가 나올 것이고 이에 대한
성과 분석과 모니터링이 필요해질 것이다.
프로세스 마이닝은 RPA 도입 전 초기 단계에 전체 프로세스를 분석하여 RPA가 적용될 만한
구간을 식별하여 타당성을 검증하고, RPA 도입 이후의 전후 비교를 통해 지속적으로
업무 효율성을 측정할 수 있는 방법을 제공한다.

[출처] BPM, RPA 그리고 Process Mining(프로세스마이닝)|작성자 wawaguru

SPICE 정의

 - 소프트웨어 프로세스 심사(Software Process Assesment:SPA)를 위한 국제표준인 
   ISO/IEC 15504의 개발을 지원하기 위하여 진행중인 국제표준화 프로젝트
 - ISO 12207의 기본 틀에 맞추어 개발되고 확장됨
 - 5개 범주 , 6개 단계               ( CMM - 5  , CMMi - 4,5  SPICE - 5,6)


SPICE 구성

   프로세스 차원과 프로세스 능력 차원으로 구분 (2차원 평가모델)

CMMI 2.0 출시

기존 버전은 CMMI 1.3 까지 나왔음
2019년부터 2.0버전으로 심사 반영.
성과영역이 강조되고 다른 개발방법론과 호환성 확대

CMMI v1.3 과 v2.0 비교

① v1.3 Process Area 가 v2.0에서는 Practice Area 로 변경
② v1.3 에서 Specific Goal, Generic Goal 영역이 삭제되고 v2.0 에서는
        Practice Group
        Practices
        Practices Group
   기준으로 레벨목표 설정하여 달성하도록 변경
③ v2.0에서는
       Model,
       Practice Area,
       Practice Group,
       Priactices,
       Informative Material
   5개 컴포넌트로 구성되어 조직의 비즈니스 목표에 따라 View(관점) 에서 선택하여 현실에
   맞게 사용함.

CMMI 의 평가지표 (단계,영역)

CMMI 의 4가지 지식체계

1. System Engineering
2. Software Engineering
3. Integrated Product and Process Development
4. Supplier Sourcing