[정보처리기사]5.정보시스템 구축 관리/SW 개발 보안 구축/Secure SDLC
Secure SDLC
1. Secure SDLC(Software Development Life Cycle, 개발생명주기) #분설구테유
- 보안상 안전한 소프트웨어를 개발하기 위해 SDLC에 보안 강화를 위한 프로세스를 포함한 것(개발 생명 주기 전 단계 걸쳐 수행 필요)
(1) 요구사항 분석 보안 항목에 해당하는 요구사항을 식별하는 작업 수행
(2) 설계 요구사항들을 설계서에 반영하고 보안 설계서 작성
(3) 구현 표준 코딩 정의서 및 시큐어 코딩(Secure Coding)을 준수, 설계서에 따라 보안 요구사항 구현 및 지속적인 단위 테스트를 통해 소스 코드의 안정성 확보
(4) 테스트 동적 분석 도구 / 모의 침투테스트를 통해 검증
(5) 유지보수 발생할 수 있는 보안사고 식별 및 보안 패치 실시
시큐어 코딩(Secure Coding) 22년 1회
- SDLC구현 단계에서 발생 할 수 있는보안 취약점 최소화 하기 위해 보안 요소 고려해서 코딩(사전대응)
- 안전성, 신뢰성 확보
- 보안 정책기반으로 가이드 작성하고 교육 시행
(1). SQL 삽입 : 사용자의 입력 값 등 외부 입력 값이 SQL 쿼리에 삽입되어 공격
(2). 크로스사이트 스크립트 : 검증되지 않은 외부 입력 값에 의해 브라우저에서 악의적인 코드가 실행
(3). 운영체제 명령어 삽입 : 운영체제 명령어 파라미터 입력 값이 적정한 사전검증을 거치지 않고 사용되어 공격자가 운영체제 명령어를 조작
2. 보안 요소 20년 1, 2, 3회 기출
3대 보안요소: 기밀성, 무결성, 가용성 #기무가
- 기밀성(Confidentiality) 시스템 내의 정보와 자원은 인가된 사용자에게만 접근 허용
정보가 전송 중에 노출되더라도 데이터를 읽을 수 없음
- 무결성(Integrity) 시스템 내의 정보는 오직 인가된 사용자만 수정할 수 있음
- 가용성(Availability)인가받은 사용자는 언제라도 사용 가능
- 인증 합법적인 사용자인지를 확인하는 모든 행위 e.g. 비밀번호, 인증용 카드, 지문검사 ,홍채 인식 등
- 부인 방지 데이터를 송, 수신한 자가 송, 수신 사실을 부인할 수 없도록 송수신 증거 제공
3. 실무적으로 검증된 개발보안 방법론 __ 20년 3회 기출
(1) MS-SDL(Microsoft-Secure Development Lifecycle)
Microsoft에서 보안수준이 높은 안전한 소프트웨어를 개발하기 위해 자체수립한 SDL, 방법론이 적용되기 전 버전보다 50% 이상 취약점이 감소함
(2)Seven Touchpoints
Software 보안의 모범 사례를 SDLC(Software Development Life Cycle)에 통합한 소프트웨어 개발 보안 생명주기 방법론
(3) CLASP(Comprehensive, Lightweight Application Security Process)
‘개념 관점, 역할기반 관점, 활동평가 관점, 활동구현 관점, 취약성 관점’등의 활동중심, 역할 기반의 프로세스로 구성된 집합체로서 이미 운영중인 시스템에 적용하기 적당한 소프트웨어 개발 보안 방법
(4) CWE(Common Weakness Enumeration)
소프트웨어 취약점 및 취약점에 대한 범주 시스템으로, 소프트웨어의 결함을 이해하고 이러한 결함을 식별, 수정 및 방지하는데 사용할 수 있는 자동화된 도구를 작성함