[시큐어코딩] 2021.11. 개정 소프트웨어 개발보안 가이드 통폐합 및 신규 항목 추가

안녕하세요, 정보보호 전문 업체 (주)보안클라우드입니다.

행정안전부 SW 개발보안 가이드라인 47개 항목이 일부 추가 개편되었다는 사실 알고 계시나요? 오늘은 2021년 11월부로 항목이 추가 및 수정된 행정안전부 소프트웨어 개발보안 가이드에 대해 알아보도록 하겠습니다.

 

이번 개정된 행정안전부 소프트웨어 개발보안 가이드는 이전 47개 항목에서 49개 항목으로 늘어나게 되었는데요, 어떤 항목이 수정되었고 어떤 항목이 추가되었는지 살펴보겠습니다.

2019.11. 개정 소프트웨어 개발보안 가이드 | 2021.11 개정 소프트웨어 개발보안 가이드

(행정안전부 / 한국인터넷진흥원)

 

개정년월2019.11.2021.11.
변경 사항기존 항목 통폐합 8개 항목 및 신규 항목 6개

 

2021.11 개정된 소프트웨어 개발보안 가이드 49개 항목은 이전 2019.11 소프트웨어 개발보안 가이드 47개 항목에서 일부 항목은 통폐합되고 일부 항목은 추가가 되었습니다. 통폐합된 항목은 이전 47개 항목에서 비슷한 항목끼리 통폐합되었으며, 어떤 항목이 통폐합되었는지 다음과 같습니다.

소프트웨어 개발보안 가이드 통폐합 항목

(행정안전부 / 한국인터넷진흥원)

 

통폐합된 항목은 2019.11 소프트웨어 개발보안 가이드 47개 항목 중 8개 항목으로 다음 표와 같습니다.

분류통폐합 전통폐합 후
입력 데이터 검증 및 표현 (2)XPath 삽입 + XQuery 삽입XML 삽입
보안기능 (4)

중요정보 평문 저장 + 중요정보 평문 전송

하드코딩된 비밀번호 + 하드코드된 암호화키

암호화되지 않은 중요정보

 

하드코드된 중요정보

에러 처리 (1), 캡슐화 (1)에러 메시지를 통한 정보 노출 + 시스템 데이터 정보 노출오류 메시지 정보노출 (에러 처리)

 

지금까지 통폐합된 항목을 알아보았는데요, 통폐합으로 인해 8개 항목이 4개 항목으로 축소되면서 43개 항목이 되었습니다. 그렇다면 2021.11. 개정된 소프트웨어 개발보안 가이드 항목은 49개 항목으로 신규 항목이 무려 6개나 추가가 되는데요!, 어떠한 항목이 추가되었는지 다음과 같습니다.

소프트웨어 개발보안 가이드 신규 항목

(행정안전부 / 한국인터넷진흥원)

 

분류신규 보안약점 항목
입력 데이터 검증 및 표현 (3)코드 삽입, 부적절한 XML 외부개체 참조, 서버사이드 요청위조(SSRF)
보안기능 (2)부적절한 전자서명 확인, 부적절한 인증서 유효성 검증
코드오류 (1)신뢰할 수 없는 데이터의 역직렬화

 

그림과 표와 같이 신규 보안약점 항목에 대해 요약해 보았습니다. 입력 데이터 검증 및 표현 3개 항목, 보안기능 2개 항목, 코드오류 1개 항목이 추가되었는데요, 신규 항목은 어떤 취약점인지 간단히 알아보겠습니다.

 

# 입력데이터 검증 및 표현 (3)

코드 삽입 : 프로세스가 외부 입력 값을 코드(명령어)로 해석·실행할 수 있고 프로세스에 검증되지 않은 외부 입력 값을 허용한 경우 악의적인 코드가 실행 가능한 보안약점

부적절한 XML 외부개체 참조 : 임의로 조작된 XML 외부개체에 대한 적절한 검증 없이 참조를 허용하여 공격이 가능한 보안약점

서버사이드 요청위조(SSRF) : 서버 간 처리되는 요청에 검증되지 않은 외부 입력값을 허용하여 공격자가 의도한 서버로 전송하거나 변조하는 보안약점

 

# 보안기능 (2)

부적절한 전자서명 확인 : 프로그램, 라이브러리, 코드의 전자서명에 대한 유효성 검증이 적절하지 않아 공격자의 악의적인 코드가 실행 가능한 보안약점

부적절한 인증서 유효성 검증 : 인증서에 대한 유효성 검증이 적절하지 않아 발생하는 보안약점

 

# 코드 오류 (1)

신뢰할 수 없는 데이터의 역직렬화 : 악의적인 코드가 삽입·수정된 직렬화(객체를 전송 가능한 데이터형식으로 변환) 데이터를 적절한 검증 없이 역질렬화(직렬화된 데이터를 원래 객체로 복원)하여 발생하는 보안약점

 

지금까지 2021.11. 개정된 소프트웨어 개발보안 가이드에 대해 알아보았습니다. 유사한 항목은 통폐합되었으며, 신규 위협이 되는 항목은 무려 6개 항목이 늘면서 행정안전부에서 소프트웨어 개발보안을 중요시하고 있음을 알 수 있습니다. 소프트웨어 개발보안 가이드를 적용하는 기업 또는 행정기관 및 공공기관 정보시스템 구축 및 운영 시 개정된 소프트웨어 개발보안 가이드를 꼭 참고하시면서 보다 튼튼한 소프트웨어 및 정보시스템을 구축하길 바라겠습니다. 갖갖이 위험에 노출되어 있는 사이버 공간에서 안전한 소프트웨어 및 정보시스템 구축, 운영을 위해 보안클라우드가 함께하겠습니다. 언제든지 (주)보안클라우드를 찾아주세요~! 

그럼 다음 시간에 뵙겠습니다.

  • 이전 보안 컴플라이언스, SW개발보안과 함께
  • 다음 소프트웨어 개발보안 가이드 분석(2021) : SQL 삽입