(개념) 안전한 소프트웨어 개발을 위해 소스코드 등에 존재할 수 있는 잠재적인 보안 취약점을 제거하고, 보안을 고려한 기능을 구현하는 등 소프트웨어 개발과정에서 지켜야 할 일련의 보안 활동
행정기관 및 공공기관 정보시스템 구축•운영 지침 (행정안전부 고시 제2023-27호, 2023.04.13) 소프트웨어 개발 보안
CODE-RAY XG, 트리니티 소프트
미국은 2002년 연방정보보안관리법을 제정해 시큐어 코딩을 의무화했고,
마이크로소프트는 윈도 비스타(Windows Vista) 개발 때 이를 도입했다.
우리나라는 2009~2011년 소프트웨어 보안약점 진단 시범사업을 했으며,
2012년 12월부터 ‘소프트웨어 개발보안 의무제’가 시행됐다.
행정안전부와 한국인터넷진흥원(KISA)이 2021년 말 공동 발표한 ‘전자정부 SW 개발·운영자를 위한 소프트웨어 개발보안 가이드’에 따르면 시큐어 코딩의 △대상은 정보시스템 감리대상 사업으로 △범위는 신규개발에서 설계단계 산출물 및 소스코드 전체에 해당한다. 보안약점 진단기준은 △설계단계 보안설계 20개 항목을, △구현단계 보안약점 제거는 49개 항목을 제시하고 있다.
시큐어 코딩을 사용하면 설계 단계에서 크로스사이트 스크립트(XSS)와 같은 보안 취약점들은 XSS를 방지하기 위한 공통 입력값 검증 모듈을 정의해 사용하도록 세팅하거나, 시스템 설정을 통해 방어가 가능하다. 설계 단계에서 개발보안 항목을 명확하게 기술하지 않으면, 구현에서 개발 보안을 적용할 때 보안이 모호하거나 개발자 임의로 처리할 수 있다. 인증이나 인가와 같이 사전에 명확한 보안사항이 정의돼 있지 않으면 구현할 때 추가로 수정이 필요하거나 또는 보안 취약점을 내재한 채 소프트웨어가 배포될 위험도 있다. 다음으로 KISA의 ‘전자정부 SW 개발·운영자를 위한 소프트웨어 개발보안 가이드’에 따른 각 단계별 시큐어 코딩 적용절차 등에 대해 소개한다.
안전한 소프트웨어 개발 생애주기 가이드(Guide to Secure Software Development Life Cycle Practices)- 생산자와 소비자 관점에서
결국 소프트웨어의 안전한 개발과 관련된 것
곧 데브옵스란 무슨 뜻이며, 이 개발 과정을 안전하게 만든다는 건 무슨 뜻인지 이해하기 위한 연구를 진행했습니다. 그리고 답이 나왔죠. 시큐어 코딩은 데브옵스에서나 워터폴(waterfall)에서나 똑같은 시큐어 코딩이라는 것이 저희의 연구 결과였습니다. 다만 툴, 개발 프로세스, 배포 등의 과정에 보안을 적용하는 방식이 조금 달라지긴 했습니다. 피드백이 들어오는 부분도 달라질 수밖에 없고요. 또 한 가지 확실한 건 데브옵스를 적용한다고 해서 곧바로 시큐어 코딩이 되는 게 아니라는 겁니다.
