[SW개발 보안] SW 개발 보안의 개념, 구성요소 및 용어
SW 개발 보안의 개념
- 소스코드 등의 보안 취약점 제거
- 보안을 고려하여 기능 설계 및 구현
=> 소프트웨어 개발 과정에서 지켜야 할 일련의 보안 활동 !
SW 개발 보안 생명주기
1) 요구사항 명세
- 요구사항 중 보안 항목 식별
2) 설계
- 위협원 도출을 위한 위협 모델링
- 보안설계 검토, 보안설계서를 작성
- 보안 통제 수립
3) 구현
- 표준 코딩 정의서, SW 개발 보안 가이드를 준수하여 개발!
4) 테스트
- 모의침투 테스트
- 동적 분석을 통한 보안 취약점 진단 및 개선
5) 유지보수
- 지속적인 개선
- 보안 패치
SW 개발 보안의 구성요소 ('기무가'로 암기!)
|
1) 기밀성 (Confidentiality) |
- 인가되지 않은 개인 or 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성 |
|
2) 무결성 (Integrity) |
- 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속적으로 사용할 수 있도록 보장하는 특성 |
|
3) 가용성 (Availability) |
- 정당한 방법을 따르지 않고서는 데이터가 변경될 수 없으며, 데이터의 정확성 및 완전성과 고의/악의로 변경되거나 훼손/파괴되지 않음을 보장하는 특성 |
SW 개발 보안 용어
|
자산 (Asset) |
- 조직의 데이터 또는 조직의 소유자가 가치를 부여한 대상 ex) 서버의 하드웨어, 기업의 중요 데이터 등 |
|
위협 (Threat) |
- 조직이나 기업의 자산에 악영향을 끼칠 수 있는 사건이나 행위 ex) 해킹, 삭제, 자산의 불법적인 유출, 위/변조, 파손 등 |
|
취약점 (Vulnerability) |
- 위협이 발생하기 위한 사전 조건에 따른 상황 ex) 평문 전송, 입력값 미검증, 비밀번호 공유 |
|
위험 (Risk) |
- 위협이 취약점을 이용하여 조직의 자산 손실 피해를 가져올 가능성 |
출처 : 수제비 정보처리기사 실기책