SWSSM TEAM BLOG

혹시 Secure Coding에 대해서 들어보셨나요?

Secure Coding은 개발할 때 부터 소프트웨어가 취약할 수 있는 부분을 보완해서 개발하는것입니다.

일종에 취약한 부분을 만들지 않는 코딩 규칙이라고 할 수 있죠.

2006년에 발표된 보안공학연구논문지에 수록된 강희주(목원대학교 컴퓨터 공학과 교수) 교수님의 Toward Unifying Software Engineering and Security Engineering이라는 논문을 보면 아래와 같은 말이 있습니다.

기업에서 신규로 서비스를 개발 시 어플리케이션 보안을 위해 소프트웨어 라이프사이클의 초기 단계에서부터 보안성 검토를 수행해야 하며, 구축(도입) 전 단계부터 조직 정보보호를 위한 요구 사항들이 반영되어야 한다.

만약 구축 및 설계 단계에서 정보보호에 대한 요구사항이 반영되지 않은 경우 취약점 분석을 통하여 취약점을 제기하고, 운영 및 프로세스를 재순환해야 하며, 이 경우 개발 초기에 적용하는 것과 비교하여 많은 비용이 소모된다.

이말은 결국 보안이라는것을 소프트웨어 품질관리나 유지보수 측면에서 보지 않고 소프트웨어 라이프사이클의 초기 단계에서부터 보안성검토를 수행하여, 라이프 사이클의 전체단계에 보안을 위한 프로세스를 추가하자는 말입니다.

이러한 측면에서 볼때 Secure Coding은 소프트웨어 구현 단계에서의 보안성 강화로 볼 수 있습니다.

개발자에게는 무척이나 귀찮은 일이 아닐 수 없죠..시간도 많이 소비되구요. 하지만 전체적인 싸이클을 보면 이러한 부분들이 모여서 전체적인 비용을 절감시키는 효과를 볼 수 있죠. 물론 개발자 입장에서의 비용은 증가되겠지만요.

미국은 이미 2002년 연방정보보안관리법을 제정해서 시큐어 코딩을 의무화 했습니다.

우리나라에서도 이러한 움직임이 일어나고 있는데요.

행안부가 작년 공공기관에서 추진하는 정보화사업에 시큐어 코딩을 의무화 했습니다.

작년12월부터는 40억원 이상 사업에 적용되며, 2014년 1월부터는 20억원 이상, 2015년 1월부터는 감리대상 전 사업에 시큐어 코딩 의무화를 적용한다고 합니다.

아래 링크는 행안부에서 발표한 홈페이지 SW 개발 보안 가이드 인데요. 읽어보시면 대부분 알지만 잘 지켜지지 않는 내용이 많습니다. 물론 저도 시간에 쫓기고 귀찮음에 지키지 않는것들이 많네요.

http://www.mopas.go.kr/gpms/ns/mogaha/user/userlayout/bulletin/userBtView.action?userBtBean.bbsSeq=1012768&userBtBean.ctxCd=1002&userBtBean.ctxType=21010006¤tPage=1

한번 읽어보시면 재미있는 내용도 있을꺼라고 생각됩니다.

이밖에도 구글링을 해보시면 여러가지 시큐어 코딩 점검툴과 벤더에서 제공하는 시큐어 코딩 규약등 많은것들이 있습니다.

물론 읽어도 잘 지켜지지 않는 부분이 많지만요ㅠㅠ