소프트웨어 개발보안 가이드

안전한 SW 개발을 위한 [소프트웨어 개발보안 가이드] 개정본입니다 (2017.1월)

「행정기관 및 공공기관 정보시스템 구축ㆍ운영 지침」(2016.12.26) 개정으로, SW 개발보안 적용범위가 설계단계까지 확대됨에 따라, 전자정부 SW개발자가 참고할 수 있도록 본 가이드를 개정ㆍ배포합니다.

<주요 개정내용>
ㅇ 소프트웨어 개발보안 방법론 소개
ㅇ 분석/설계단계 보안 고려사항
ㅇ 기타 구현단계 개발보안 예제 등 보완

공격자의 초점이 지속적으로 애플리케이션 계층을 향해 이동함에 따라 소프트웨어 자원보호가 중요 해졌다.
최근 발생되는 인터넷상 공격시도의 약 75%는 SW보안취약점을 악용하는 것으로, 특히 외 부에 공개되어 불특정 다수를 대상으로 사용자 정보를 처리하는 웹애플리케이션의 취약점으로 인해 중요정보가 유출되는 침해사고가 빈번하게 발생되고 있다.
보안강화를 위해 구축해놓은 침입차단 시스템과 같은 보안장비로 응용프로그램 취약점에 대한 공격을 완벽히 방어하는 것은 불가능하다.

‘SW개발보안’은 SW개발과정에서 개발자의 실수, 논리적 오류 등으로 인해 발생될 수 있는 보안 취 약점, 보안약점들을 최소화하여 사이버 보안위협에 대응할 수 있는 안전한 SW를 개발하기 위한 일련의 보안활동을 의미한다. 즉, SW개발 생명주기(SDLC, Software Development Life Cycle)의 각 단 계별로 요구되는 보안활동을 수행함으로써 안전한 소프트웨어를 만들 수 있도록 한다.

SW개발보안의 중요성을 인식한 미국의 경우 국토안보부(DHS)를 중심으로 시큐어코딩을 포함한 SW개발 전 과정(설계, 구현, 시험 등)에 대한 보안활동 연구를 활발히 진행하고 있으며, 이는 2011년 발표한 “안전한 사이버 미래를 위한 청사진(Blueprint for a Secure Cyber Future)”에 나타나있다.

국내의 경우, 2009년부터 SW개발단계에서 SW보안약점을 진단하여 제거하는 SW개발보안 (시큐어 코딩) 관련 연구를 진행하면서, 2009년부터 2011년까지 전자정부 지원 사업을 대상으로 SW보안약 점 진단 시범사업을 수행하였다. SW보안약점 제거·조치 성과에 따라 2012년 SW개발보안 제도가 도입되어 단계적으로 의무화가 확대되었다.