기존의 소프트웨어 개발 완료 후 보안 취약점을 진단하고 도출된 문제점을 개선하는 작업은 상당한 비용과 시간이 요구되며, 때로는 해결이 불가능한 문제점에 봉착할 수도 있습니다. 따라서, 이러한 구조적인 문제점을 근본적으로 해결하고 비용 절약 및 최종 개발되는 시스템의 보안성 제고를 위해서 소프트웨어 개발과정 전 단계에 걸쳐 보안성 검토를 위한 과정을 도입해야 합니다.
AhnLab의 개발보안 진단 및 프로세스 수립 컨설팅은 시스템 구축 및 개발 과정에서 발생하는 각종 보안이슈 및 정보보호 요구사항을 사전에 분석하여, 필수 보안요건 및 가이드를 제시하고, 개발 각 단계별 보안 적정성 검토를 수행함으로써 보다 안전하고 안정된 시스템 개발이 이루어질 수 있도록 지원합니다.
개발 각 단계(분석, 설계, 구현, 테스트)별로 보안단계(보안분석, 보안설계, 보안구현, 보안테스트)를 설정하고 각 단계별로 요구되는 보안활동을 수행하여, 개발시스템에 대한 보안 적합성 여부를 진단합니다. 더불어, 개발 전 과정에 걸쳐 수행되는 개발 프로세스에 대한 적합성 및 준수 여부를 점검합니다.
| 단계 | 점검항목 | 세부 점검 내용 |
|---|---|---|
| 보안분석 | 정보보호 요구사항 분석 | 고객의 정보보호 요구사항(법/내부 규정/선진사례 등)을 검토/분석 |
| 정보보호 보안요건 정의 | 개발시스템 및 운영환경에서 요구되는 보안요건 파악 및 정의 | |
| 보안설계 | 보안설계 및 적정성 검토 | 개발시스템의 아키텍쳐, 데이터, 기능 및 통제 정책을 분석하고 보안 적정성을 검토 |
| 위협 모델링 | 개발시스템의 예상 위협/취약점을 분석하여 시나리오 기반의 위협 모델링을 수행 | |
| 개발보안 정책/지침 설계 | 고객 환경에 최적화된 개발보안 정책/지침 설계 | |
| 개발 가이드/체크리스트 수립 | 고객의 시스템 환경, 위협/개발자 수준에 적합한 개발보안 가이드/체크리스트 제시 | |
| 보안구현 | 개발자 교육 | 개발보안 프로세스 및 Secure Code 적용을 위한 개발자 교육 실시 |
| 소스진단 | Secure Code 적용여부 및 보안 체크리스트 기반 적합성 진단 | |
| 보안관리 진단 | 개발환경, 개발관리, 변경관리 등 개발과정에서의 보안관리 현황 적합성 진단 | |
| 보안테스트 | 시스템 취약점 진단 | OS/어플리케이션/네트워크 영역의 보안 취약점 진단/보호대책 제시 |
| 모의해킹 | 위협 모델링 및 시나리오 기반의 모의해킹 진단/보호대책 제시 | |
| 보안성 검토 | 보호대책 적용 여부 및 시스템 실 운영 전 보안성 최종 검토 실시 |
출처: 안랩
'보안 > 시큐어코딩' 카테고리의 다른 글
| 잘정리된 XXE인젝션 (0) | 2017.12.12 |
|---|---|
| 설계단계 실습LAB (0) | 2017.10.16 |
| FindBugs와 FindSecurityBugs를 이용한 정적분석 (0) | 2017.02.23 |
| 진단보고서 양식 (0) | 2016.07.14 |
| 안드로이드 애플리케이션 시큐어디자인/시큐어코딩 가이드북 (0) | 2016.06.17 |