해당 Post는 소프트웨어 개발 보안의 개념과 함께 보안 취약점이 발생하는 경우

안전한 소프트웨어 개발을 위해 수행할 작업에 대해서 정리한 파일입니다.

1. 소프트웨어 개발 보안의 개요

소프트웨어 개발 과정에서 발생할 수 있는 보안 취약점을 최소화하여 보안 위협으로부터 안전한 소프트웨어를 개발하기 위한 일련의 보안 활동

소프트웨어 개발 보안은 데이터의 기밀성, 무결성, 가용성을 유지하는 것을 목표로 함.

소프트웨어 보안 취약점이 발생하는 경우

• 보안 요구사항이 정의되지 않은 경우
• 소프트웨어 설계 시 논리적 오류가 포함된 경우
• 기술 취약점을 갖고 있는 코딩 규칙을 적용한 경우
• 소프트웨어의 배치가 적절하지 않은 경우
• 보안 취약점 발견 시 적절하게 대응하지 못한 경우

안전한 소프트웨어 개발을 위한 수행 작업

• 소프트웨어 개발 프로젝트에 참여하는 관련자들의 역할과 책임을 명확히 정의하고, 충분한 보안 교육을 실시
• 소프트웨어 개발 생명 주기(SDLC)의 각 단계마다 보안 활동을 수행

  SDLC란? 소프트웨어 개발 방법론의 바탕이 되는 것으로, 소프트웨어를 개발하기 위해 정의하고 운용, 유지보수등의 전 과정을 각 단계별로 나눈 것

• 소프트웨어 개발 보안을 위한 표준을 확립
• 재사용이 가능한 보안 모듈을 만들어 유사한 소프트웨어 개발에 사용될 수 있도록 한다
• 새로운 소프트웨어 개발 프로젝트에 사용될 수 있도록 보안 통제의 효과성 검증을 실시

2. 소프트웨어 개발 보안 관련 기관

행정안정부

• 소프트웨어 개발 보안 정책을 총괄
• 소프트웨어 개발 보안 관련 법규, 지침, 제도를 정비
• 소프트웨어 보안 약점을 진단하는 사람의 양성 및 관련 업무를 수행

  한국인터넷진흥원

• 소프트웨어 개발 보안 정책 및 가이드를 개발
• 소프트웨어 개발 보안에 대한 기술을 지원, 교육과정 및 자격제도를 운영

  발주기관

• 소프트웨어 개발 보안의 계획 수립
• 소프트웨어 개발 보안 사업자 및 감리 법인을 선정

  감리란? 발주자와 사업자 등의 이해관계로부터 독립된 자가 정보시스템의 효율성을 향상시키고 안전성을 확보하기 위하여
  제3자의 관점에서 정보시스템의 구축 및 운영 등에 관한 사항을 종합적으로 점검하고 문제점을 개선하도록 하는 것을 말한다.

• 소프트웨어 개발 보안의 준수 여부를 검증

  사업자

• 소프트웨어 개발 보안 관련 기술 수준 및 적용 계획을 명시
• 소프트웨어 개발 보안 관련 인력을 대상으로 교육
• 소프트웨어 개발 보안 가이드를 참조하여 개발
• 자체적으로 보안 약점을 진단하고 제거
• 소프트웨어 보안 약점과 관련된 시정 요구사항 이행

  감리법인

• 감리 계획 수립 및 협의
• 소프트웨어 보안 약점의 제거 여부 및 조치 결과를 확인

3. 소프트웨어 개발 보안 활동 관련 법령

• 개인정보 보호법
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률
• 신용정보의 이용 및 보호에 관한 법률
• 위치정보의 보호 및 이용 등에 관한 법률
• 표준 개인정보 보호 지침
• 개인정보의 안전성 확보 조치 기준
• 개인정보 영향 평가에 관한 고시