바로가기 메뉴
콘텐츠 바로가기
주메뉴 바로가기
하단영역 바로가기

소스코드 보안 점검


기업 업무 및 공공 서비스 등이 웹 애플리케이션 서비스로 확대됨에 따라 웹 애플리케이션의 보안 취약성을 이용한


사고 사례가 빈번히 발생되어지는 이슈로 인하여 소스 코드 레벨에서의 취약성 점검 툴에 대한 관심이 높아지고 있습니다.


동적 분석을 기반으로 한 기존 웹 애플리케이션 취약성 점검 툴(웹 스캐너)은 점검 기법의 특성상 전체 소스코드를 기준으로 봤을 때


범위가 제한적이라는 단점을 갖고 있으며, 소스 코드 레벨에서의 취약성 점검 툴은 제공된 모든 소스 코드와 라이브러리 등에 대한


전수 점검이 가능해 최근 개발 프로세스 상에 보안 점검 단계로 주목 받고 있습니다.



소스코드 보안 점검의 필요성 및 기대효과


필요성

행정자치부 시큐어 코딩

행정자치부는 2012년 5월에 시큐어 코딩 의무화 법안을 발표하면서 당해 12월부터 개발비 40억 원 이상 정보화 사업에 시큐어 코딩 적용을 의무화 하였습니다.

따라서 2012년 12월 이후 개발비 40억원 이상의 정보화 사업을 추진하는 모든 공공기관은 시큐어 코딩 준수사항을 이행해야 합니다.

이 법안은 단계적으로 강화되어 2014년 1월 부터는 20억원 이상의 모든 공공기관 정보화 사업에 적용되며, 2015년 1월부터는 감리대상 전 사업에 대해서 적용됩니다.

기대효과

보안 취약성 제거

행정자치부 시큐어 코딩을 지원하는 솔루션을 도입하면 빠르고 정확하게 소스코드를 검사할 수 있습니다.

게다가 이 도구를 사용하면 시큐어 코딩은 물론 소스코드에 잠재되어 있는 오류도 탐지하기 때문에 프로그램 안정성도 크게 높일 수 있습니다.

결과적으로 소프트웨어의 보안성과 안정성이 강화되어 신뢰성있는 소프트웨어를 개발할 수 있으며, 이는 곧 고객 신뢰도 향상, 매출 증대로 이어질 수 있는 초석이 됩니다.

애플리케이션 보안


보안 취약점 패턴

  • 보안 침해 사고 발생 비율이 가장 높은 부분은 애플리케이션 계층이며 애플리케이션 자체의 보안이 중요함.

행자부 보안강화체계 구축사업

  • 2009 ~ 2011년: 정부 기관 소스코드 보안취약점 진단 도구 개발 프로젝트.

'정보시스템 구축·운영 지침개정·고시 (행자부 고시 제2012-52호, '12.6.27)'

  • 전자정부 SW 개발 단계부터 소스코드 보안약점 진단 및 제거를 의무화.



대상 및 범위


대상

개발 진행 중이거나 개발이 완료된 소스코드(C / C++ / JAVA, JSP)

방법

인증된 상용 전문 검증 솔루션을 이용한 진단

소스코드 취약점 검증 솔루션 – SecurityPrism (ITSCC 인증, CWE호환성 인증)

행자부 시큐어 코딩 가이드, 금감원 전자금융 감독 규정, CWE/SANS TOP 25,OWASP TOP 10 점검가능

범위

대상 애플리케이션 보안 취약점 진단 결과에 대한 판정(정탐, 오탐, 과탐 및 사유) 지원

취약점 결과 설명 및 이슈 해결 방안 가이드 설명 지원

보안 취약점 진단 결과에 대한 요약, 상세 보고서 산출물 제공

진단 결과에 대해 질의응답 지원