보안 컴플라이언스, SW개발보안과 함께
안녕하세요. SW개발보안전문기업 (주)보안클라우드입니다.
오늘은 SW개발보안이 왜 꼭 필요한지 관련내용을 Compliance측면에서,
Softwave 서밋 2021 세미나에서 발표했던 내용을 기준으로 정리해 보았습니다.
4차 산업이란 모든 산업 분야에 정보통신기술이 융합된 산업을 말합니다.
대표적으로 빅데이터, 인공지능, 로봇공학, 사물인터넷으로 대표되는 기술이 모든 산업 분야에 적용되어 만들어 지는 산업을 말하며, 4차 산업의 핵심 기술은 SW 기술 이며 SW 기술의 기본이자 핵심은 코딩입니다.
4차산업 혁명시대인 현재, 소프트웨어 개발은 전세계적으로 파도를 형성하며 물결치고 있습니다.
전통적인 개발언어부터, 모바일, 데이터분석, 클라우드를 비롯한 특화된 언어들이 넘치면서 새롭게 등장하는 개발자들이 늘어나고 있습니다. 특히 파이썬 사용자들은 폭발적입니다.
수많은 개발자들은 다양한 경험과 노하우를 바탕으로 우수한 소프트웨어를 개발하고 있지만, 한편에는 시간에 쫓기며 단기간에 기능구현 위주의 소프트웨어를 만들기도 합니다. 개발보안은 미처 뒤따르지 못하고 있는 현실에 대해 여러분들과 같이 고민하고, 필요성에 대해 강조하고자 합니다.
**다양한 개발언어 현황 및 개발언어 순위[http://www.tiobe.com]
다양한 개발언어
출처: http://www.tiobe.com
**전자정부 웹사이트 구축시 고려사항[행정기관 및 공공기관 웹사이트 구축〮운영 가이드]
| 구 분 | 주요내용 |
| 웹호환성 | o 개요 : 이용자의 서비스 이용환경에 영향을 받지 않고 동등한 서비스를 제공 o 고려사항 - 웹 표준 문법((X)HTML, CSS)을 준수하고 웹 호환성(동작, 레이아웃)을 확보하도록 개발 · 다양한 웹브라우저 환경에서도 동등한 서비스가 제공되도록 함 · 모바일 단말의 확산을 고려하여 다양한 모바일 단말(브라우저)에서도 동등한 서비스가 제공되도록 함 - 기획 단계부터 비표준기술 적용을 배제하여야 함 - 개발 시 점검 툴 등을 활용하여 호환성 여부를 점검 - 웹사이트의 구축·개선·유지보수 및 운영 시, 비표준기술 제거를 위해 노력해야 함 · HTML5를 적용한 웹사이트 구축을 통해 되도록 웹 표준 및 호환성을 확보 |
| 웹접근성 | o 개요 : 장애인이나 고령자 등이 웹사이트에서 제공하는 정보 및 서비스를 쉽게 접근하고 이용 할 수 있도록 접근성을 보장하여야 함 o 고려사항 - 웹 콘텐츠에 대해 인식, 운용, 이해가 용이하도록 구현하고, 표준을 준수함으로써 어떠한 기술로도 접근이 가능토록 구현 - 개발 시 점검 툴 등을 활용하여 접근성 여부를 점검. |
| 개인정보 보호 | o 개요 : 웹사이트에서 수집, 처리하게 될 개인정보를 정의하고 이에 대한 영향도를 사전 분석하고 이를 고려하여 개발함으로써 운영 과정에서 발생할 개인정보 유출〮노출을 예방 o 고려사항 - 필요 시 개인정보 영향평가를 통하여 개인정보 침해가 우려되는 위험요인을 분석하고 이에 대한 개선방안을 고려하여 구축 - 개인정보보호법 등 관계법령에서 요구하는 개인정보 처리 제한 사항 및 기술적 보호조치에 대해서 이행에 필요한 사항을 식별하고 이에 따라 구축이 될 수 있도록 함 |
| 개발보안 | o 개요 : 웹사이트 개발 시 해킹 등 사이버공격을 유발할 가능성이 있는 잠재적인 보안약점이 없도록 개발 o 고려사항 - 웹사이트에서 발생 가능한 유형별 보안약점을 식별하고 이를 예방하기 위한 개발 가이드라인을 참조하여 개발 - 개발 후 유형별 보안약점에 대한 진단, 발견된 보안약점에 대해 조치 후 서비스 오픈 - 보안약점에 대해서는 운영ž관리 단계에서 주기적, 비주기적(서비스 환경 변화요인 발생 등)으로 지속적인 진단 및 조치활동 이행 |
| 표준프레임워크 | o 개요 : 시스템 개발〮운영 시 필요한 기능(공통 컴포넌트) 및 환경(실행, 개발, 운영, 관리 환경 등)들을 표준화하여 미리 구현해 둔 것 o 고려사항 : 웹사이트 구현에 요구되는 기능들을 정의하고, 해당 기능이 표준 프레임워크를 통해 활용 가능할 경우 적극 활용 |
**SW개발보안 관련 컴플라이언스[Compliance]
| 분야 | Compliance | 시행령·지침 | 가이드(안내선) |
| 전체 | o정보통신기반보호법 o정보통신망법 | 주요정보통신기반시설 취약점 분석·평가 기준 | 주요정보통신기반시설 취약점 분석·평가 방법 상세가이드 |
| 전체 | o정보통신망법 o개인정보보호법 | 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 정보보호 / 개인정보보호 관리체계 인증 등에 관한 고시 | 정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증제도 안내서 |
| 공공 | o전자정부법- 행정안전부 고시 | 행정기관 및 공공기관 정보시스템 구축·운영 지침 | 소프트웨어 개발보안 가이드(JAVA,C) 소프트웨어 보안약점 진단 가이드 |
| 공공 | o전자정부법- 행정안전부 고시 | 행정기관 및 공공기관 웹사이트 구축·운영 지침 전자정부 웹사이트 품질관리 지침 | 행정공공기관 웹사이트 구축운영 가이드 |
| 공공 | o전자정부법- 행정안전부 고시 | 모바일 전자정부 서비스 관리지침 | 모바일 전자정부서비스 앱 소스코드 검증 가이드라인 모바일 대민서비스 보안취약점 점검 가이드 |
| 민간 | o소프트웨어진흥법- 과학기술정보통신부고시 | 소프트웨어진흥법 시행령 참조 : 행정기관 및 공공기관 정보시스템 구축·운영 지침 | 소프트웨어 개발보안 가이드(Python) |
| 금융 | o금융위원회법- 금융위원회 고시 | 전자금용감독 규정 | 전자금융기반시설 보안 취약점 평가기준 안내서 |
| 금융 | o전자금융거래법 금융위원회 고시 | 수정발의 : SW개발보안 포함 |
2021년 하반기에 금융권에 SW개발보안 중요성을 강화하기 위해 전자금융거래법 법률안이 수정발의되었습니다. 공공, 민간분야에 이어 금융권에도 안전한 SW개발이 활성화 될 수 있도록 국회에서 법률안이 꼭 통과되기를 빌어봅니다.
**SDLC 단계별 SW개발보안
단계별 SW개발보안 방법
SW개발보안의 필요성이 더욱더 부각되고, 다양한 분야에서 확대 적용되고 있습니다.
SW개발사업을 진행하는 경우 반드시 개발보안도 필수적인 만큼 컴플라이언스 및 관련 가이드를 참조해서 안전한 소프트웨어 개발이 보다 더 활성화 되었으면 하는 바램입니다!!
또한 진단원의 역할이 커지는 만큼 유능한 컨설턴트를 꿈꾸는 분들은 진단원에 도전해 보시기 바랍니다!!
유능한 진단원은 SW개발보안 시장을 활성화 하는데 꼭 필요합니다~
우리 보안클라우드는 SW개발보안 활성화를 위해 더욱더 최선을 다하도록 하겠습니다~
감사합니다!! 다음에 찾아뵙겠습니다~
