SW보안약점 진단원

 

• 설계부분 약점명 - 소스코드
• 정탐 오탐 구분
• 비슷한 키워드 코드내 혼재 구분
• 앞쪽 정의 관련 문제
• 구현 부분 보안 약점 정의
• 구현부분 해당 키워드 숙지
• 구현부분 해결책 숙지
• 정탐 오탐 판정후 그 사유 기재 - 보안약점명점수 낮고 사유부분 점수 높음
• 소스코드내 보안약점 라인 찾아 기재
• 설계 구현 보안 약점 2칸으로 테이블 제공
• 설명중에 중요 키워드 단워 가로넣기 문제 3~4문제
• 설계단계별 산출물 질의사항
• 비밀번호 규칙 조건 3개
• LDAP 문제
• 문서내 안전한 코드 예시하고 정탐인지 오탐인지 체크 (안전한 코드도 확인해야함)

1. SW 개발 보안 정의

• 안전한 SW개발을 위해, 소스 코드등에 존재할수 있는 잠재적인 보안 약점을 진단 및 제거하고, 보안을 고려하여 기능을 설계/구현하는 등  SW개발 과정에서 실행되는 일련의 보안활동을 수행하는것
• SW개발보안은 기획, 분석, 설계, 구현, 테스트 전 과정에서 수행되는 보안 활동을 범위로 함
• ※ 보안약점 / 보악 취약점 구분

2. 정적분석 도구 

• 오픈소스로 제공되는  OWASP ZAP, SpotBugs(findBugs), FindSecBugs
• CC인증 도구 목록 : CODE-RAY, Big Look, Sparrow SAST, Coderscroll

 

3. 행정기관 및 공공기관 정보시스템 구축·운영 지침

제50조(소프트웨어 개발보안 원칙) 

① 행정기관등이 영 제71조제1항에 해당하는 정보시스템 사업을 추진할 때에는  별표 3의 소프트웨어 보안약점이 없도록 소프트웨어를 개발 또는 변경(이하 ‘소프트웨어 개발보안’이라 한다)하여야 

한다. 다만, 영 제71조제1항에 해당하지 않는 정보시스템 사업도 소프트웨어 개발보안을 적용할 수 있다.

② 제1항에 따라 행정기관등의 장이 정보시스템 사업 추진 시 적용해야 할 소프트웨어 개발보안의 범위는 다음 각

호와 같다.
1. 신규개발의 경우 : 설계단계 산출물 및 소스코드 전체
2. 유지관리의 경우 : 유지관리로 인해 변경된 설계단계 산출물 및 소스코드 전체

③ 제2항에 따라 소프트웨어 개발보안 적용시 상용 소프트웨어는 제외한다.
제50조의2(소프트웨어 개발보안 업무의 위탁) 행정안전부장관은 보안약점 진단, 이행점검, 진단원 양성 등 소프트웨어 개발보안 관련 업무의 일부를 한국인터넷진흥원 또는 한국전자통신연구원 부설 국가보안기술연구소(이하 "국가보  안기술연구소"라 한다)에 위탁할 수 있다.

제51조(소프트웨어 개발보안 활동)

① 행정기관등의 장은 제안서 평가시 소프트웨어 개발보안을 위한 소프트웨어 보안약점 진단도구 사용 여부, 개발절차와 방법의 적절성, 제3항에 의한 교육계획의 적정성 등을 확인하고 평가에 반영할 수 있다.

② 사업자는 제50조에 따라 소프트웨어 개발보안을 적용하는 경우 행정안전부장관이 국가정보원장과 협의하여 공지하 는 "소프트웨어 개발 보안가이드"를 참고할 수 있다.

③ 사업자는 정보시스템 사업 착수단계에서 "소프트웨어 개발 보안가이드" 등 소프트웨어 개발보안 관련 교육을 실시   하고 이후 투입되는 인력은 개발에 투입하기 전 소프트웨어 개발보안 관련 교육을 실시하여야 한다.

제52조(보안약점 진단기준)

행정기관등의 장은 소프트웨어 보안약점을 진단할 때 별표 3의 소프트웨어 보안약점을
필수 진단항목으로 포함하여야 한다.

제53조(보안약점 진단절차)

① 행정기관등의 장은 정보시스템 사업에 대한 감리를 수행하는 경우, 감리법인으로 하여금 사업자가 별표 3의
소프트웨어 보안약점을 제거하였는지 진단하도록 하여야 한다.

 

② 감리법인은 제1항에 따라 소프트웨어 보안약점을 진단할 경우 행정안전부장관이 고시한 「정보시스템 감리기준」
제10조제1항의 세부 검사항목에 소프트웨어 보안약점 제거 여부를 포함하여야 한다.

③ 감리법인은 소프트웨어 보안약점을 진단할 경우 행정안전부장관이 고시한 「정보시스템 감리기준」 제5조제3항에 
따라 제54조의 진단원을 우선적으로 배치할 수 있다.

④ 감리법인이 소프트웨어 보안약점 진단과정에서 소프트웨어 보안약점 진단도구를 사용할 경우에는 과학기술정보통신부장관이 고시한 「정보보호시스템 평가·인증 지침」에 따라 국가보안기술연구소장이 인증한 보안약점 진단도구를 사용하여야 한다. 이 경우, 감리법인은 보안약점 진단도구가 지원하는 진단항목이 별표 3의 소프트웨어 보안약점을
진단하는지 여부를 확인하여야 한다.

⑤ 행정기관등의 장은 영 제71조제1항에 해당하지 않는 정보시스템 사업에 소프트웨어 개발보안을 적용할 경우에는 사업자로 하여금 보안약점을 진단·제거토록 하고 그 결과를 확인할 수 있다.

제53조의2(개발보안 자료요청 등) 행정안전부장관은 개발보안 제도개선 및 적용 현황을 확인하기 위하여 행정기관등의 장에게 자료요청 및 현장방문을 실시할 수 있다. 이 경우 행정기관등의 장은 특별한 사유가 없는 한 이에 응해야 한다.

제54조(진단원) 

① 행정안전부장관은 별표 4 제1호 진단원의 자격기준을 만족하고 별표 4 제2호의 교육을 이수한 자에게 진단원 자격을 부여한다. 다만, 기본요건에 대한 사실 확인이 필요하다고 판단되는 경우 제50조의2의 위탁기관으로 하여금 4대보험 가입증명서 등 추가자료를 제출받아 확인하도록 할 수 있다.

② 행정안전부장관은 제1항과 관련하여 진단원 및 행정기관등의 요청이 있을 경우 진단원 자격 유무를 확인해 줄 수 있다.