Offcanvas

OWASP

낱낱이 SW 요소 공개하라··· 美 정부의 'SBOM 의무화'가 미칠 영향

바이든 행정부가 지난 5월 행정 명령을 통해 소프트웨어 재료명세서(SBOM)의 위상을 격상했다. 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화하도록 한 것이다. 이를 계기로 기업들도 소프트웨어 공급사로부터 좀더 높은 투명성을 기대해볼 수 있게 될 전망이다.  SBOM은 소프트웨어 재료명세서(BOM ; Bill of Material)의 약칭이다. BOM은 제조 부문에서 유래된 개념으로, 특정 장치의 제작에 사용된 구성요소와 재료를 낱낱이 파악하는 데 중요한 역할을 한다.    가령, 기차의 엔진에 사용된 부품이 일정 수준의 진동에 적합한 등급을 못한 경우, 특정 선로를 달리기가 부적합할 수 있다. BOM은 이 같은 상황에서 진가를 발휘하며 SBOM 또한 마찬가지다. SBOM을 통해 특정 소프트웨어에 사용된 전용, 오픈소스 그리고 라이선스 요소에 만료되거나 불안정한 요소가 없는지 검토할 수 있다.  IDC의 리서치 디렉터 짐 머서는 "SBOM 같은 명세서는 '현재적인 요소'뿐만 아니라 '미래적인 요소'도 보여준다는 장점이 있다”라며 “SBOM을 통해 (소프트웨어의) 현재 구성요소를 파악할 수 있는 것은 물론, 각종 리스크를 피할 수 있다. 가령, 해묵은 오픈소스 소프트웨어를 사용 중인지 여부를 알 수 있다”라고 말했다.  표준 SBOM 포맷이 등장하면 일부  분야(네트워킹 등)에서 특히 유용할 수 있다. 기존의 지적 자산을 많이 활용하는 여러 스택이 얽혀 있는  영역이다. 최근 일어난 몇몇 악명 높은 보안 침해 사건들은 리플20(Ripple20)과 하트블리드(Heartbleed) 등 흔히 사용되는 소프트웨어 구성요소의 보안 결함에서 비롯됐다.  451 리서치의 정보보안 리서치 디렉터인 스콧 크로포드는 SPDX, 사이클론DX(CycloneDX) 및 SWID태그(SWIDtags) 등 일부 표준 데이터 포맷들이 SBOM과 같은 형식으로 정보를 표시한다고 전했다. 다만 각 ...

SBOM 소프트웨어 재료명세서 연방 정부 SPDX 사이클론DX OWASP

2021.07.29

바이든 행정부가 지난 5월 행정 명령을 통해 소프트웨어 재료명세서(SBOM)의 위상을 격상했다. 연방정부와 사업 계약을 맺은 기업이라면 SBOM 제출을 의무화하도록 한 것이다. 이를 계기로 기업들도 소프트웨어 공급사로부터 좀더 높은 투명성을 기대해볼 수 있게 될 전망이다.  SBOM은 소프트웨어 재료명세서(BOM ; Bill of Material)의 약칭이다. BOM은 제조 부문에서 유래된 개념으로, 특정 장치의 제작에 사용된 구성요소와 재료를 낱낱이 파악하는 데 중요한 역할을 한다.    가령, 기차의 엔진에 사용된 부품이 일정 수준의 진동에 적합한 등급을 못한 경우, 특정 선로를 달리기가 부적합할 수 있다. BOM은 이 같은 상황에서 진가를 발휘하며 SBOM 또한 마찬가지다. SBOM을 통해 특정 소프트웨어에 사용된 전용, 오픈소스 그리고 라이선스 요소에 만료되거나 불안정한 요소가 없는지 검토할 수 있다.  IDC의 리서치 디렉터 짐 머서는 "SBOM 같은 명세서는 '현재적인 요소'뿐만 아니라 '미래적인 요소'도 보여준다는 장점이 있다”라며 “SBOM을 통해 (소프트웨어의) 현재 구성요소를 파악할 수 있는 것은 물론, 각종 리스크를 피할 수 있다. 가령, 해묵은 오픈소스 소프트웨어를 사용 중인지 여부를 알 수 있다”라고 말했다.  표준 SBOM 포맷이 등장하면 일부  분야(네트워킹 등)에서 특히 유용할 수 있다. 기존의 지적 자산을 많이 활용하는 여러 스택이 얽혀 있는  영역이다. 최근 일어난 몇몇 악명 높은 보안 침해 사건들은 리플20(Ripple20)과 하트블리드(Heartbleed) 등 흔히 사용되는 소프트웨어 구성요소의 보안 결함에서 비롯됐다.  451 리서치의 정보보안 리서치 디렉터인 스콧 크로포드는 SPDX, 사이클론DX(CycloneDX) 및 SWID태그(SWIDtags) 등 일부 표준 데이터 포맷들이 SBOM과 같은 형식으로 정보를 표시한다고 전했다. 다만 각 ...

2021.07.29

통계로 알아보는 애플리케이션 보안 현황

지난 몇 년간 데브옵스(DevOps) 문화가 부상하면서 소프트웨어 개발에 큰 변화가 발생했고, 기업들이 새 기능과 혁신을 지원하는 데 필요한 인프라를 자동으로 축소, 또는 확장하고, 코드를 더 빨리 배포할 수 있게 되었다. 그리고 이제 개발과 운영 파이프라인에 보안을 통합시키는 데브섹옵스(DevSecOps)가 확대되면서 애플리케이션 보안에도 변화가 발생하고 있다. 그러나 업계의 새 보고서에 수록된 데이터는 여전히 ‘갭’이 존재한다는 점을 보여준다. 보안 테스트의 주체가 바뀌고 있다 ESG가 북미의 애플리케이션 개발자 및 애플리케이션 보안 담당자 378명을 조사해 발표한 새 보고서에 따르면, 많은 기관과 기업이 자신의 애플리케이션 보안 프로그램이 견고하다고 판단하고 있음에도 불구하고 알려진 취약점이 있는 코드를 계속 배포하고 있다. 취약한 코드를 배포하는 것을 결코 바람직한 일이 아니지만, 이에 대해 알고 배포하는 것이 모르고 배포하는 것보다는 낫다. 위험 평가, 문제점을 바로잡을 계획, 일시적인 경감 대책 아래 이런 결정을 내리는 경우가 많기 때문이다. 조사 대상의 약 절반이 소속 조직이 정기적으로 이렇게 하고 있다고 대답했다. 또 간헐적으로 이렇게 한다고 대답한 비율은 1/3이었다. 그 이유로는 ‘아주 중요한 일정 준수’, ‘취약점의 위험인 낮아’, ‘릴리스 주기에서 너무 늦게 문제점을 발견’이 가장 많이 언급됐다(45%). 이번 조사 결과는 가능한 개발 프로세스 초기에 보안 테스트를 통합시키는 것이 중요한 이유를 설명한다. 또한, 취약한 코드를 배포하는 것이 반드시 보안 프로그램이 견고하지 않다는 것을 알려주는 신호는 아니라는 점을 알려준다. 여러 이유에서 이런 일이 일어날 수 있고, 한 종류의 보안 테스트로는 모든 버그를 포착하기 불가능하기 때문이다.  그러나 이 보고서는 여전히 애플리케이션 보안 프로그램을 확대하는 과정에 있는 조직들이 많다는 점도 알려준다. 구체적으로 코드 기반의 3/4 이상이 애플리케이션 보안 프로그램의 대상이라고 대...

애플리케이션보안 데브옵스 데브섹옵스 보안테스트 OWASP

2020.08.20

지난 몇 년간 데브옵스(DevOps) 문화가 부상하면서 소프트웨어 개발에 큰 변화가 발생했고, 기업들이 새 기능과 혁신을 지원하는 데 필요한 인프라를 자동으로 축소, 또는 확장하고, 코드를 더 빨리 배포할 수 있게 되었다. 그리고 이제 개발과 운영 파이프라인에 보안을 통합시키는 데브섹옵스(DevSecOps)가 확대되면서 애플리케이션 보안에도 변화가 발생하고 있다. 그러나 업계의 새 보고서에 수록된 데이터는 여전히 ‘갭’이 존재한다는 점을 보여준다. 보안 테스트의 주체가 바뀌고 있다 ESG가 북미의 애플리케이션 개발자 및 애플리케이션 보안 담당자 378명을 조사해 발표한 새 보고서에 따르면, 많은 기관과 기업이 자신의 애플리케이션 보안 프로그램이 견고하다고 판단하고 있음에도 불구하고 알려진 취약점이 있는 코드를 계속 배포하고 있다. 취약한 코드를 배포하는 것을 결코 바람직한 일이 아니지만, 이에 대해 알고 배포하는 것이 모르고 배포하는 것보다는 낫다. 위험 평가, 문제점을 바로잡을 계획, 일시적인 경감 대책 아래 이런 결정을 내리는 경우가 많기 때문이다. 조사 대상의 약 절반이 소속 조직이 정기적으로 이렇게 하고 있다고 대답했다. 또 간헐적으로 이렇게 한다고 대답한 비율은 1/3이었다. 그 이유로는 ‘아주 중요한 일정 준수’, ‘취약점의 위험인 낮아’, ‘릴리스 주기에서 너무 늦게 문제점을 발견’이 가장 많이 언급됐다(45%). 이번 조사 결과는 가능한 개발 프로세스 초기에 보안 테스트를 통합시키는 것이 중요한 이유를 설명한다. 또한, 취약한 코드를 배포하는 것이 반드시 보안 프로그램이 견고하지 않다는 것을 알려주는 신호는 아니라는 점을 알려준다. 여러 이유에서 이런 일이 일어날 수 있고, 한 종류의 보안 테스트로는 모든 버그를 포착하기 불가능하기 때문이다.  그러나 이 보고서는 여전히 애플리케이션 보안 프로그램을 확대하는 과정에 있는 조직들이 많다는 점도 알려준다. 구체적으로 코드 기반의 3/4 이상이 애플리케이션 보안 프로그램의 대상이라고 대...

2020.08.20

저지르기 쉬운 '위협 모델링 실수' 7가지

OWASP(Open Web Application Security Project)는 위협 모델링이 애플리케이션과 관련된 보안 위험을 식별, 정량화, 해결하기 위한 구조화된 접근방식이다. 이는 기본적으로 애플리케이션 라이프사이클 가운데 위협 방지 또는 완화를 위한 적절한 통제를 조기에 이행해 시스템 구축 또는 배치 시 위협에 대해 전략적으로 생각하는 것이 수반된다. 위협 모델링(threat modeling)은 일종의 개념으로 전혀 새로운 것은 아니지만 이를 유의미한 방식으로 이행한 조직이 거의 없다. TMS(ThreatModeler Software)의 설립자이자 CEO인 아치 아가월은 "위협 모델에 대한 우수사례가 여전히 등장하고 있다"고 말했다. 아가월은 "가장 큰 문제점은 위협 모델링의 핵심이 무엇인지에 대해 이해하지 못한다는 것"이라며, "위협 모델링 방법은 다양하며 기업들은 이를 하나의 프로세스로 보고 확장하는 방법을 찾아내는 문제에 직면할 수 있는 경우가 많다. 여전히 전반적인 것이 명확하지 않다"고 설명했다. 이번 기사에서는 아가월과 다른 전문가들이 말하는 위협 모델링 시 저지를 수 있는 7가지 실수에 대해 살펴보자. 1. 너무 애플리케이션 중심적이다 조직이 위협 모델을 구축할 때 저지르는 가장 보편적인 실수는 애플리케이션 자체에만 집중하는 것이다. 아가월은 "위협 모델링을 통해 하나의 애플리케이션뿐만이 아니라 전반적인 상황을 이해해야 한다"고 말했다. 인프라, 데이터베이스, 공유 구성 요소, 제 3자 상호작용, 배치 환경 등을 고려한다. 위협은 애플리케이션이 온프라미스인지, 아니면 클라우드에서 구동하는지 또는 모바일 장치와 기타 컴퓨팅 엔드포인트에서 접속할 수 있는지 여부에 따라 달라질 수 있다. 클라우드로 이행 중인 경우, 클라우드를 위한 위협 모델이 필요하다. 아가월은 "애플리케이션과 데이터가 전용 인프라에서 운용될까, 아니면 공유 서버와 ...

OWASP 위협모델링

2018.06.25

OWASP(Open Web Application Security Project)는 위협 모델링이 애플리케이션과 관련된 보안 위험을 식별, 정량화, 해결하기 위한 구조화된 접근방식이다. 이는 기본적으로 애플리케이션 라이프사이클 가운데 위협 방지 또는 완화를 위한 적절한 통제를 조기에 이행해 시스템 구축 또는 배치 시 위협에 대해 전략적으로 생각하는 것이 수반된다. 위협 모델링(threat modeling)은 일종의 개념으로 전혀 새로운 것은 아니지만 이를 유의미한 방식으로 이행한 조직이 거의 없다. TMS(ThreatModeler Software)의 설립자이자 CEO인 아치 아가월은 "위협 모델에 대한 우수사례가 여전히 등장하고 있다"고 말했다. 아가월은 "가장 큰 문제점은 위협 모델링의 핵심이 무엇인지에 대해 이해하지 못한다는 것"이라며, "위협 모델링 방법은 다양하며 기업들은 이를 하나의 프로세스로 보고 확장하는 방법을 찾아내는 문제에 직면할 수 있는 경우가 많다. 여전히 전반적인 것이 명확하지 않다"고 설명했다. 이번 기사에서는 아가월과 다른 전문가들이 말하는 위협 모델링 시 저지를 수 있는 7가지 실수에 대해 살펴보자. 1. 너무 애플리케이션 중심적이다 조직이 위협 모델을 구축할 때 저지르는 가장 보편적인 실수는 애플리케이션 자체에만 집중하는 것이다. 아가월은 "위협 모델링을 통해 하나의 애플리케이션뿐만이 아니라 전반적인 상황을 이해해야 한다"고 말했다. 인프라, 데이터베이스, 공유 구성 요소, 제 3자 상호작용, 배치 환경 등을 고려한다. 위협은 애플리케이션이 온프라미스인지, 아니면 클라우드에서 구동하는지 또는 모바일 장치와 기타 컴퓨팅 엔드포인트에서 접속할 수 있는지 여부에 따라 달라질 수 있다. 클라우드로 이행 중인 경우, 클라우드를 위한 위협 모델이 필요하다. 아가월은 "애플리케이션과 데이터가 전용 인프라에서 운용될까, 아니면 공유 서버와 ...

2018.06.25

강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안(2)

오랜 만에 쓰다 보니 독자들 중 앞의 칼럼과 연결되지 않는 분이 많이 계실 것 같다. 궁금하신 분들은 다음 관련 칼럼을 읽어 보시기 바란다. ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(1) ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(2) ->강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안(1) 사물인터넷(Internet of Things, IoT) 보안이 IoT 시대가 순항할 수 있는 핵심 요인으로 등장하면서 각 나라와 주요 단체, 업계 등에서 이에 관한 IoT 보안에 관한 문서를 앞다퉈 내고 있다. 대표적인 걸 몇 개 꼽으면 다음과 같다.  Open Web Application Security Project(OWASP), Internet of Things Top Ten, 2014.  Cloud Security Alliance(CSA), Security Guidance for Early Adopters of the Internet of Things, 2015.4.  일본 정보처리추진기구(IPA), 연결되는 세계의 개발지침(2016.3.), IoT 개발의 보안설계 지침(2016.5.)  GSM Alliance(GSMA), IoT Security Guidelines, 2016.  Industrial Internet Consortium, Industrial Internet of Things Volume G4: Security Framework, 2016.9.  Open Connectivity Foundation(OCF), OIC Security Specification V1.1.0, 2016.10.  IoT 보안 얼라이언스, IoT 공통보안 가이드, 2016.9. 위 자료 중 가장 쉽게 읽을 수 있는 자료는 역시 우리 말로 작성된 ‘IoT 공통보안 가이드’이다. 이것은 여러 자료를 참고해서 작성했기 때문에 위 목록에 있는 일부 ...

CISO 사물인터넷 강은성 OWASP CISO Lab IoT 보안 SSDL 소프트웨어 개발보안 생명주기

2017.02.09

오랜 만에 쓰다 보니 독자들 중 앞의 칼럼과 연결되지 않는 분이 많이 계실 것 같다. 궁금하신 분들은 다음 관련 칼럼을 읽어 보시기 바란다. ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(1) ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(2) ->강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안(1) 사물인터넷(Internet of Things, IoT) 보안이 IoT 시대가 순항할 수 있는 핵심 요인으로 등장하면서 각 나라와 주요 단체, 업계 등에서 이에 관한 IoT 보안에 관한 문서를 앞다퉈 내고 있다. 대표적인 걸 몇 개 꼽으면 다음과 같다.  Open Web Application Security Project(OWASP), Internet of Things Top Ten, 2014.  Cloud Security Alliance(CSA), Security Guidance for Early Adopters of the Internet of Things, 2015.4.  일본 정보처리추진기구(IPA), 연결되는 세계의 개발지침(2016.3.), IoT 개발의 보안설계 지침(2016.5.)  GSM Alliance(GSMA), IoT Security Guidelines, 2016.  Industrial Internet Consortium, Industrial Internet of Things Volume G4: Security Framework, 2016.9.  Open Connectivity Foundation(OCF), OIC Security Specification V1.1.0, 2016.10.  IoT 보안 얼라이언스, IoT 공통보안 가이드, 2016.9. 위 자료 중 가장 쉽게 읽을 수 있는 자료는 역시 우리 말로 작성된 ‘IoT 공통보안 가이드’이다. 이것은 여러 자료를 참고해서 작성했기 때문에 위 목록에 있는 일부 ...

2017.02.09

강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(1)

작년 9월에 휴대폰 장터로 잘 알려진 커뮤니티에서 195만여 명의 개인정보가 유출되는 사고가 발생했다. 미래부가 발표한 민ㆍ관합동조사단의 조사결과에 따르면 이 곳의 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어서 이를 통해 SQL 삽입 공격이 이뤄졌다고 한다. 방통위는 이 곳이 정보통신망법에서 규정한 개인정보 보호조치(제28조 제1항)를 위반했다는 이유로 과징금 1억 200만 원, 과태료 1,500만 원의 행정처분을 결정했다. SQL 삽입 취약점은 오래되었을 뿐 아니라 유명한 글로벌 프로젝트인 OWASP(Open Web Application Security Project) 10에서도 2010년과 2013년 연속 1위를 차지할 정도로 잘 알려졌음에도 불구하고 이로 인한 사고가 끊이지 않은 것이 우리의 보안 현실이다. (OWASP 10은 2004년, 2007년, 2010년, 2013년에 진행됐다.) 웹 애플리케이션은 불특정 다수의 이용자가 서비스를 이용하는 공간이기 때문에 공인 IP로 인터넷에 공개된 서버에서 작동한다. 이용자와의 접점(인터페이스)인 동시에 범행자들의 보안 공격의 통로이기도 하다는 말이다. 따라서 웹 애플리케이션은 이용자에게 필요한 기능, 사용 편의성, 적절한 성능을 제공할 뿐 아니라 경계선에 있는 제1차 방어 기제로서 보안 공격에 최소한의 방어를 할 수 있어야 한다. 그래야 서비스 제공자가 이용자에게 온전한 서비스를 제공할 수 있다. 따라서 개발조직의 개발 목표에 기능, 편의성, 성능뿐 아니라 보안이 들어가야 한다. SQL 삽입 공격에 대해서도 그에 대한 취약점이 없도록 웹 서비스를 개발하는 것이 가장 좋은 방어책이다. 웹 애플리케이션뿐 아니라 일반 소프트웨어에도 방어 기제로서의 성격이 있다. 많은 소프트웨어들이 이용자와 직접적인 접점을 갖거나 다른 소프트웨어 모듈을 통해 간접적으로 연결되어 있기 때문이다. 메신저 같이 PC나 스마트폰에서 작동하는 애플리케이션도 이용자에게 서비스를 제공하는 동시에 이용자 정보...

CSO 보안 소프트웨어 개발 생명주기 Open Web Application Security Project 크라이슬러 웹 애플리케이션 오작동 보안 아키텍트 OWASP 강은성 소프트웨어 개발 취약점 CISO 리콜 테스팅 자동차 해킹 SSDL

2016.01.22

작년 9월에 휴대폰 장터로 잘 알려진 커뮤니티에서 195만여 명의 개인정보가 유출되는 사고가 발생했다. 미래부가 발표한 민ㆍ관합동조사단의 조사결과에 따르면 이 곳의 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어서 이를 통해 SQL 삽입 공격이 이뤄졌다고 한다. 방통위는 이 곳이 정보통신망법에서 규정한 개인정보 보호조치(제28조 제1항)를 위반했다는 이유로 과징금 1억 200만 원, 과태료 1,500만 원의 행정처분을 결정했다. SQL 삽입 취약점은 오래되었을 뿐 아니라 유명한 글로벌 프로젝트인 OWASP(Open Web Application Security Project) 10에서도 2010년과 2013년 연속 1위를 차지할 정도로 잘 알려졌음에도 불구하고 이로 인한 사고가 끊이지 않은 것이 우리의 보안 현실이다. (OWASP 10은 2004년, 2007년, 2010년, 2013년에 진행됐다.) 웹 애플리케이션은 불특정 다수의 이용자가 서비스를 이용하는 공간이기 때문에 공인 IP로 인터넷에 공개된 서버에서 작동한다. 이용자와의 접점(인터페이스)인 동시에 범행자들의 보안 공격의 통로이기도 하다는 말이다. 따라서 웹 애플리케이션은 이용자에게 필요한 기능, 사용 편의성, 적절한 성능을 제공할 뿐 아니라 경계선에 있는 제1차 방어 기제로서 보안 공격에 최소한의 방어를 할 수 있어야 한다. 그래야 서비스 제공자가 이용자에게 온전한 서비스를 제공할 수 있다. 따라서 개발조직의 개발 목표에 기능, 편의성, 성능뿐 아니라 보안이 들어가야 한다. SQL 삽입 공격에 대해서도 그에 대한 취약점이 없도록 웹 서비스를 개발하는 것이 가장 좋은 방어책이다. 웹 애플리케이션뿐 아니라 일반 소프트웨어에도 방어 기제로서의 성격이 있다. 많은 소프트웨어들이 이용자와 직접적인 접점을 갖거나 다른 소프트웨어 모듈을 통해 간접적으로 연결되어 있기 때문이다. 메신저 같이 PC나 스마트폰에서 작동하는 애플리케이션도 이용자에게 서비스를 제공하는 동시에 이용자 정보...

2016.01.22

기고 | 보안 정책의 시작은 전략 수립에서

국제 웹 보안 표준기구(OWASP, Open Web Application Security Project)가 진행한 2013년 정보보호 최고책임자 설문조사 결과에 따르면, 응답CISO의 75%는 외부로부터의 공격이 증가했다고 밝혔다. 전체 리스크 대비 리스크가 가장 큰 분야가 어디냐고 묻는 질문에 대해서는 70%가 웹 애플리케이션을 꼽았으며 네트워크 인프라스다도 리스크가 높은 분야라고 지적했다. 웹 애플리케이션 보안의 재조명 애플리케이션 보안 위협에 대한 인식이 뚜렷해지면서 기업들 역시 기존의 네트워크 보안에서 애플리케이션 보안으로 투자 방향을 전환하고 있다. 48%의 CISO는 회사의 애플리케이션 보안 예산이 증가하고 있다고 답했고, 37%는 큰 변화 없이 그대로라 말했으며 15%만이 애플리케이션 보안 예산이 감소했다고 밝혔다. 그렇지만 이런 예산의 증가는 새로운 문제점도 야기하는데, 웹 애플리케이션 및 소프트웨어 보안에는 기존의 정보 보안 분야에는 없는 특별한 능력과 기술이 필요한 것도 그런 문제 중 하나일 것이다. 특히 웹 애플리케이션의 경우 소프트웨어 개발 생명주기(SDLC) 동안에 안전한 소프트웨어를 개발해야 보안을 보장할 수 있다. 업계 표준 “보안 기준"에는 SDLC(S-SDLC) 보안은 물론 아키텍처 리스크 분석, 보안 코드 리뷰, 정적 소스 코드 분석 및 웹 애플리케이션 침투 테스트 같은 기업 SDLC 내 소프트웨어 보안 활동도 포함된다. 오늘날에는 기업들에서 보안 목적으로 채택할 수 있는 다양한 종류의 S-SDLC가 있다. OWASP CLASP, 마이크로소프트 SDL, 씨지털 터치 포인트(Cigital Touch Points)등이 그것이다. 그러나 설령 정보 보안 때문에 S-SDLC을 도입 및 실행한다 해도 여전히 소프트웨어 엔지니어링 팀의 협조와 도움이 필요하다. 소프트웨어 엔지니어링 팀과의 협력은 매우 중요하다. 하지만 그만큼 애플리케이션 보안 전략을 잘 따라야 하며 소프트웨어 엔지니어링 팀...

전략 CSO CISO 보안 정책 국제 웹 보안 표준기구 OWASP 시티그룹

2013.10.10

국제 웹 보안 표준기구(OWASP, Open Web Application Security Project)가 진행한 2013년 정보보호 최고책임자 설문조사 결과에 따르면, 응답CISO의 75%는 외부로부터의 공격이 증가했다고 밝혔다. 전체 리스크 대비 리스크가 가장 큰 분야가 어디냐고 묻는 질문에 대해서는 70%가 웹 애플리케이션을 꼽았으며 네트워크 인프라스다도 리스크가 높은 분야라고 지적했다. 웹 애플리케이션 보안의 재조명 애플리케이션 보안 위협에 대한 인식이 뚜렷해지면서 기업들 역시 기존의 네트워크 보안에서 애플리케이션 보안으로 투자 방향을 전환하고 있다. 48%의 CISO는 회사의 애플리케이션 보안 예산이 증가하고 있다고 답했고, 37%는 큰 변화 없이 그대로라 말했으며 15%만이 애플리케이션 보안 예산이 감소했다고 밝혔다. 그렇지만 이런 예산의 증가는 새로운 문제점도 야기하는데, 웹 애플리케이션 및 소프트웨어 보안에는 기존의 정보 보안 분야에는 없는 특별한 능력과 기술이 필요한 것도 그런 문제 중 하나일 것이다. 특히 웹 애플리케이션의 경우 소프트웨어 개발 생명주기(SDLC) 동안에 안전한 소프트웨어를 개발해야 보안을 보장할 수 있다. 업계 표준 “보안 기준"에는 SDLC(S-SDLC) 보안은 물론 아키텍처 리스크 분석, 보안 코드 리뷰, 정적 소스 코드 분석 및 웹 애플리케이션 침투 테스트 같은 기업 SDLC 내 소프트웨어 보안 활동도 포함된다. 오늘날에는 기업들에서 보안 목적으로 채택할 수 있는 다양한 종류의 S-SDLC가 있다. OWASP CLASP, 마이크로소프트 SDL, 씨지털 터치 포인트(Cigital Touch Points)등이 그것이다. 그러나 설령 정보 보안 때문에 S-SDLC을 도입 및 실행한다 해도 여전히 소프트웨어 엔지니어링 팀의 협조와 도움이 필요하다. 소프트웨어 엔지니어링 팀과의 협력은 매우 중요하다. 하지만 그만큼 애플리케이션 보안 전략을 잘 따라야 하며 소프트웨어 엔지니어링 팀...

2013.10.10

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13