1. Home
  2. 소스코드 취약점 분석 컨설팅 서비스

어플리케이션 소스코드 취약점 관리의 필요성

응용프로그램에 대한 해킹 공격의 75%가 Application 취약점을 이용한 해킹으로 발생

  • 2010년까지 SDLC내에 보안을 통합시킴으로써 주요 취약점의 80%가 감소할 것임 (80% 가능성)
  • 2010년까지 상기 취약점의 감소는 현재의 설정관리와 침해사고 대응 비용의 75%를 감소시킬 것임 (70% 가능성)
  • 2008년까지 어플리케이션 보안은 시스템의 기능 만큼이나 중요하게 평가의 주요 요소가 될 것임 (70% 가능성)

Gartner, “Now is the time for security at Application Level”, 2006.12

Post

Post

CWE/SANS : 가장 위험한 SW 에러 Top 25 TOP 25 , 2017

  • SANS, MITRE, CWE, CERT, 미 국가안보국, Microsoft, 시만텍 등
    • 30개 이상의 단체가 참여하여 가장 위험한 SW 에러 25개 선정
    • 사이버 스파이 행위 및 사이버 범죄를 가능케 하는 프로그래밍 에러 선정
  • Software Error Category
    • 컴포넌트간 불안전한 상호작용 (6 errors)
    • 부적절한 자원관리 기법 사용 (8 errors)
    • 어설픈 방어기법 사용 (11 errors)


보안 정책 동향

국내

  • 행정안전부공고 제2012-21호 전자정부법 제45조제3항에 따라 행정기관 및 공공기관에서 정보시스템을 구축 운영함에 있어서 준수해야 할 기준 및 절차를 정하기 위한「정보시스템 구축 운영 지침」- 2012.01.26
    • 제 44조 (소프트웨어 개발보안) 행정기관등의 장은 소프트웨어의 안전성 및 보안성 확보를 위해 사업자에게 행정안전부장관이 정하는 “소프트웨어 개발보안 가이드”를 준수하게 하고, 소스코드 등의 보안취약점을 점검하고 제거하게 하여야 한다
  • 행정안전부공고 정보보호정책과 “SW개발보안 의무화_관련_지침_행정예고” 참고자료에 의한 SW 개발단계부터 보안 약점 제거[시큐어코딩] 의무화 - 2012.05.16
    • 행정안전부는 사이버공격의 주요 원인인 소프트웨어 보안약점을 개발단계부터 제거하기 위해, ‘소프트웨어 개발보안(시큐어코딩)’을 의무화하는 「정보시스템 구축ㆍ운영 지침」개정안을 마련하여 행정예고 한다고 밝혔다.
  • 행정안전부공고 제2012-22호「전자정부법」제57조제5항에 따른「정보시스템 감리기준」- 2012.01.26
    • 제 21조 (보안에 관한 사항) ① 정보시스템 보안에 관한 사항은 국가 보안정책에 위배되지 않아야 하며, 이를 위해 발주사는 국가정보원의 지침에 따른 보안성 검토 등 보안대책의 적정성에 대하여 국가정보원장과 협의 하여야 한다.
  • 방송통신위원회 보도자료 : 정부,「국가 사이버안보 마스터플랜」수립 - 2011.8.8
  • 15개 참여부처 : 국무총리실, 방통위, 국방부, 행안부, 금융위, 재정부, 교과부, 외교부,
    통일부, 법무부, 지경부, 복지부, 국토부, 경찰청, 국정원
    •
    • “예방 측면에서 전력, 금융, 의료 등 기반시스템 운영기관 및 기업들의 중요 정보 암호화 등 보호조치를 강화하고, 주요 핵심시설에 대한 백업센터 및 재해복구시스템 확대 구축과 정부 S/W개발 단계에서의 보안취약점 사전 진단 제도의 의무화 등을 추진하는 한편, 국제공조 강화를 통해 사이버도발 억지력을 확보해 나가기로 하였다.”
  • 금융위원회 전자금융감독규정 개정
    • 2011년 11월 각 증권사에 '금융회사 정보기술부문 보호업무 모범규준'을 제출토록 함
    • IT 예산 대비 7% 이상의 보안 예산 확보, IT 인력은 총 임직원 수의 5% 이상, 보안 인력은 IT 인력의 5% 이상 확보 권고 보안강화 규준은 표준화된 보안 프로세스 구축을 요구

해외

  • 미국, 연방정보보안관리법(FISMA)
    • 美 연방정부기관의 정보시스템 보호를 위해 2002년 FISMA 제정
    • 국립표준기술연구소(NIST), 예산관리국(OMB), NCCIC 역할정의 포함

    Post

  • Microsoft 사 “Remarks by Bill Gates”
    • “… When you look at a big commercial software company like Microsoft, there's actually as much testing that goes in as development. We have as many testers as we have developers. Testers basically test all the time, and developers basically are involved in the testing process about half the time…”
    • “… We've probably changed the industry we're in. We're not in the software industry; we're in the testing industry, and writing the software is the thing that keeps us busy doing all that testing.”
    • “…The test cases are unbelievably expensive; in fact, there's more lines of code in the test harness than there is in the program itself. Often that's a ratio of about three to one.”

Post

소스코드 취약점 진단 절차 및 산출물

Post

Post



기대효과

Post