SW 개발보안가이드 - 개요

SW 개발보안

SW 개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW 개발단계에서 사전에 제거하고 SW 개발생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발 · 운영하기 위한 목적으로 적용하는 개발체계입니다.

   

가이드에는

• SW 개발과정 중 소스코드 구현단계에서 보안약점을 배제하기 위한 '시큐어코딩' 중심
• 발주자, 사업자, 감리법인 등 다양한 참여 주체가 기획 · 검토 단계부터 개발, 검사 · 종료에 이르는 다양한 단계에서의 수행해야 할 활동을 포괄적으로 정의

   

   

2013년8월에 개정 · 고시된 '행정기관및 공공기관 정보시스댐 구축 · 운영 지침(안전행정부고시 제2013-36호)'

개발보안과 관련하여 행정기관 및 공공기관이 정보화사업을 추진할 경우 준수해야 할 SW 개발보안 기준 및 절차 등이 정의되어 있습니다.

   

구분	설명	비고
대상	• 정보시스템 감리대상 정보화사업 -('14.1월) 사업규모 20억원 이상 → ('15.1월) 감리대상 전사업	단계적확대
범위	•소스코드(신규개발 전체, 유지보수로 변경된 부분)	상용SW 제외
기준	•SW 보안약점 기준(SQL 삽입 등 47개 항목) -행정기관 및 공공기관 정보시스템 구축 • 운영 지침 '별표3' 정보시스템 감리기훈(제110조 제11항 세부검사항목)에 포함	진단기준
기타	• 감리법인이 진단도구 사용시, 국정원장이 인증한 도구 사용 -정보보호시스템 평가 • 인증 지침	'14.1월부터 적용
기타	• 감리법인은 SW 보안약점 진단시, 진단원을 우선적으로 배치 -감리대상外 사업은 자체적으로 SW 보안약점 진단 • 제거결과 확인 -행정기관 및 공공기관 정보시스템 구축 • 운영 지침 '별표4'	진단원활용

   

'행정기관및 공공기관 정보시스템 구축 • 운영 지침'에 따른 SW 개발보안 적용 의무화

구분	설명
2014년1월~	정보시스템 감리대상 정보화사업(사업규모 20억 원 이상〉을 대상으로 시행
~2015년까지	전체 감리대상 정보화사업으로 의무화 대상을 확대

   

비용대비 효과를 고려하여 개발단계 중 구현과정에서 SW보안취약점의 원인이 될수 있는 SW 보안약점이 발생하지 않도록 SW 개발자가 안전하게 SW를 구현할 수 있는 시큐어코딩 기법 가이드