Replicated

Secure Coding 이란?- 소프트웨어 개발 과정에서 보안 취약점을 사전에 방지하기 위해 안전한 코딩 기법과 원칙을 적용하는 것- 소프트웨어가 해킹, 데이터 유출, 악성 코드 주입 등의 위협으로부터 안전하게 보호될 수 있도록 하는 것을 목표 Secure Coding 목적보안 취약점 예방- 소프트웨어 개발 초기 단계부터 보안을 고려하여 취약점이 발생할 가능성을 줄임 데이터 보호- 민감한 정보(개인 정보, 금융 데이터 등)가 외부로 유출되지 않도록 보호 공격 방어- SQL 주입, XSS등과 같은 해킹 공격을 방어 신뢰성 향상- 안전한 코드는 소프트웨어의 안정성과 신뢰성을 높여 사용자 신뢰를 구축 Secure Coding 주요 원칙입력 데이터 검증과 무결성- 모든 사용자 입력은 신뢰할 수 없다고 가정하고..

설계 단계 보안 개발 필요성- 설계 단계는 기능 및 비기능 요구사항을 충족시키기 위한 소프트웨어의 구조와 구성 요소를 명확하게 정의하는 단계- 설계 단계에서 보안 항목을 반영하지 않으면 이후 구현 단계에서 소프트웨어 일관성이 떨어지거나, 단순 수정을 통해 보안 항목을 만족시킬 수 없는 경우 발생 가능- 설계 시 반영하지 못한 항목 반영 .. 구현 시 5배, 제품 출시 이후엔 30배까지도 추가 비용이 들 수도 있음 보안 설계 원칙설계에 보안을 통합 (Security by Design)- 범위 정의: 설계 범위에 대한 명확한 정의- 가정 명시화: 필요한 가정에 대한 명시화- 보안 요구사항 대해 최종 목표로 표현 - CIA에 근거한 작성 - 보안 요구사항에 대해 최종 목표로 표현 - 중요한 완..

소프트웨어 공급망 (Software Supply Chain) 공격- 소프트웨어가 개발되어 최종 사용자에게 전달되기까지의 전체 과정에서..- 소프트웨어 복잡도 증가로 인해 서드 파티 라이브러리와 컴포넌트 사용- 하나의 소프트웨어 모듈 취약점이 전체 시스템에 영향-> 개발부터 배포까지 각 단계가 공격 대상 .. 공격 표면이 확대 유형- 공개 SW 보안 취약점- 타사 의존성- 공용 리포지토리- 변환 시스템- 업데이트 가로채기- 공급사 및 협력사 소프트웨어 공급망 보안 필요성- 다양한 기능을 가진 현대 소프트웨어는 수많은 외부 라이브러리 컴포넌트로 구성- 1개의 어플리케이션에 많은 종속성 존재 가능- 소프트웨어 공급망 공격은 피해가 광범위하고 지속적으로 발생 가능- 소프트웨어 공급망 공격을 체계적으로 대응하기 ..

경계 기반 보안 (Perimeter Security) 모델- 조직의 네트워크와 시스템을 물리적, 논리적 경계로 구분하여 보호하는 전통적 보안 모델- 성과 해자 모델- 신뢰하는 내부 / 신뢰하지 않는 외부 이분법적 구조- 신뢰 경계에 방화벽, 침입 차단 시스템과 같은 보안 솔루션을 설치하여 보안 강화 성과 해자 모델을 기반으로 내부(Trusted), 외부(Untrusted)를 명확히 구분- 구현과 관리가 상대적으로 단순: 조직의 네트워크 경계를 명확하게 정의하고 경계에 대한 보안에 집중하여 관리- 비용 효율성이 높음- 내부적 위협에 취약: Lateral Movement- 클라우드, 원격 근무, BYOD (Bring Your Own Device) ZTA(Zero Trust Architecture) 탄생 배..

안전한 시스템 / 소프트웨어 개발을 위한 고려사항소프트웨어 설계 및 구현 관점- 보안 기능 설계- 입력 데이터 검증- 세션 관리- 시큐어 코딩 소프트웨어 아키텍처 관점- 안전한 소프트웨어 아키텍처 설계에 중점- 공격 표면 최소화- 데이터 노출 최소화, 인증 및 접근 정책 강화 시스템 아키텍처 관점- 보안 강화 아키텍처 도입 .. ZTA 위협 완화- 문제의 심각성, 범위, 영향을 감소시키는 사전 대응- 위험을 줄여주지만 제거하지는 못함- 잠재적인 위협 요소를 파악하고 각 위협이 미칠 수 있는 영향도 분석- 화재 경보, 안전벨트, 에어백, 속도 제한, 안전 관리 규정 등.. 소프트웨어 보안 위협 완화- 소프트웨어 보안 위협 완화는 개발 전 과정에 걸쳐 수행- 위협 모델링을 취약점 식별은 중요하지만, 식별된..

DevOps (Dvelopment / Operation)- 개발팀과 운영팀 간의 협업을 중시하는 문화 & 방법론- 시장 출시 시간 단축, 지속적인 피드백 및 개선, 안정성과 신뢰성 향상- 필요 요소: 자동화, 도구 및 기술, 협업 문화, 측정 및 모니터링 DevSecOps (Development / Security / Operation)- 개발, 보안, 운영을 통합한 방법론- DevOps에 보안을 초기 단계부터 통합 ., 소프트웨어 개발 생명 주기 전반에 걸쳐 보안을 강화하는 접근 방식- 개발, 보안, 운영 간의 긴밀한 협업의 문화 조성 필요- 점진적 도입, 자동화 진행 역할 별 보안 활동 프로젝트 관리자 (Project Manager)- 보안 요구사항과 활동이 프로젝트 전반에 걸쳐 적절히 계획되고 실..

Seven Touchpoints- 2006년 Gary McGraw에 의해 소개된 프레임워크- 실무적으로 검증된 개발 보안 방법론- 소프트웨어 보안 모범 사례를 소프트웨어 개발 생명 주기에 통합- 7개의 보안 강화 활동(touchpoints)을 각 개발 단계에 매핑하여 체계적인 보안 관리가 가능- 각 활동은 상호 연계되어 통합적인 보안 단계를 구축 1. Code Review (코드 리뷰)- 소스 코드의 보안 취약점을 찾는 활동- 정적 분석 도구 및 수동 검토를 병행하여 수행- 코딩 규칙, 보안 버그 등에 대한 검토 2. Risk Analysis (위험 분석)- 설계 단계에서의 보안성 분석 활동- 위협 모델링을 통한 보안 위험 평가- 보안 취약점이 될 수 있는 설계 상의 결함 식별- 전체 시스템 관점에서의 ..

보안 개발 방법론 적용 사례MS-SDL ( Microsoft - Secure Development Lifecycle )- 소프트웨어 개발의 모든 단계에 보안 및 정보보호 사항을 통합한 프로세스- 2000년대 초반에 설계, 보안 지침을 내재화하여 안전한 소프트웨어 개발 및 유지 보수 진행 목적- 전체 7단계.. 5개의 핵심 단계, 2개의 지원 단계로 구분- 새로운 기술과 진화하는 보안 위혐에 맞게 지속적으로 업그레이드 Training(지원) ->Requirements -> Design -> Implementation -> Verification -> Release ->Response(지원) Training (교육)- 모든 구성원은 자신의 직무와 관련된 특정 교육과 일반 보안 및 개인 정보 보호 인식 교육을..