🏛 SDLC에서 SSDLC로, 버그바운티는 왜 필요한가?

SDLC란?

소프트웨어 개발라이프사이클(SDLC)는 소프트웨어의 개발, 배포 유지, 관리에 사용되는 프레임 워크입니다. 이 프레임워크는 절차에 집중해 소프트웨어의 품질을 향상하겠다는 목표로 개발의 전 영역을 6-8단계로 형식화 합니다.

이를 통해 진행율과 비용을 모니터링 하며 기능 개선을 활용할 수 있도록 분석하기 위해서 이지요.

SDLC의 절차

• 요구 사항 분석(Analysis): 소프트웨어가 수행해야 하는 기능 정의
• 디자인 및 프로토타이핑 (UI / UX Design): 어플리케이션이 작동하는 방식과 디자인 요소를 모델링하는 설계
• 개발 (Implementation) : 소프트웨어 개발 및 구현
• 테스트 (Testing): 사용자와 이해관계자가 소프트웨어를 제대로 사용할 수 있는지 확인하기 위해 지속적으로 테스트
• 배포 (Deployment): 대상 사용자에게 소프트웨어 제공
• 운영 ( Maintenance): 소프트웨어에서 발견된 버그 또는 취약점 해결

일반적으로 오해하는 것 중 하나는 SDLC는 특정 소프트웨어 방법론과 연결되어 있다는것인데, 순차적으로 실행되는 워터폴/ 애자일 / DevOps 등 모두 SDLC 개발 방법론으로 단계의 이름, 또는 실행되는 수서가 다를 수 있습니다. 이러한 차이에 관계없이 SDLC는 필요한 소프트웨어 개발 활동을 분석하는데 있어 사용할 수 있는 프레임워크를 제공합니다.

소프트웨어 개발의 일반적인 문제는 보안 관련 활동이 테스트 단계까지, 즉 중요한 설계와 구현이 대부분 완료된 후인 SDLC 후반부로 미뤄진다는 것입니다.

테스트 단계에서 수행되는 보안 점검은 스캔과 침투 테스트로 제한되어 피상적일 수 있으므로, 더 복잡한 보안 문제를 파악하지 못할 수 있습니다. 이처럼 SDLC 프로세스의 후기 단계에 발견되는 문제로 인해 프로덕션 단계로의 진행이 지연되는 경우가 많습니다. 이러한 문제들은 재개발 및 재테스트가 필요할 수 있으므로 해결하는 데 시간이 더 많이 걸리고 비용도 많이 듭니다.

SSDLC는?

위와 같은 SDLC의 문제로 인해, 효과적인 보안 프로세스를 구현하기 위해 "개발 초기단계부터 보안을 적용"해야 합니다. 프로젝트 생성의 시점부터 프로젝트 전과정에 걸쳐 보안을 고려해야 하는것이지요.

프로젝트 전 과정에서의 보안 활동을 포함하여 SSDLC라고 말하고 있습니다.

그렇다면 각 단계에서 어떤 활동을 해야 할까요??

단계	보안활동
요구 사항 분석(Analysis)	기능적 요구 사항을 정의하는 과정에 보안 요구 사항 포함 컴플라이언스 및 규제 요구 사항 파악 및 통합
디자인 및 프로토타이핑 (UI / UX Design)	위협 모델링 수행 보안 고려 사항을 아키텍처 계획의 필수적인 부분으로 포함 플랫폼과 UI 같은 설계 단계 옵션이 보안에 미치는 영향 평가
개발 (Implementation)	개발자를 대상으로 보안 코딩 교육 개발 프로세스에 보안 테스트 통합 소프트웨어 종속성 검토
테스트 (Testing)	정적 분석과 코드 검토 프로세스 구현 모의 침투테스트
배포 (Deployment)	배포 환경에 대한 보안 평가 보안 구성 검토
운영 ( Maintenance)	위협을 감지할 수 있는 모니터링 대응절차 마련을 위한 훈련 빠른 취약점 식별을 위한 버그바운티

갈수록 증가하는 보안 위협 환경에 대비하기 위해 조직은 지속적으로 보안을 관리해야 합니다.

악의적인 공격자는 조직의 자산을 항상 노리고 있기 때문입니다.

🔏 국내 정보보안/개인정보 관련 입법 동향

국내 정보보안/개인정보 관련 법령은 “개인정보 보호법”, “정보통신망법”, 위치정보 보호 이용에 관한 법률”, “신용 정보 이용 및 보호에 관한 법률”, 통신비밀 보호법”, “전자금융 보호법”, 전자 상거래 등에서의 소비자 보호에 관한 법률” 등 너무나 다양합니다.

산업 환경이 변화하여, 법률이 주기적으로 개정됨에 따라 정보보안 법률 동향 파악이 필요하고, 이는 컴플라이언스 인증 등에서도 요구하고 있습니다.

손쉬운 동향 파악을 돕기 위해 파인더갭이 매달 관련 정보를 정리하여 공유드립니다.

▶ <공포된 법령>

23년 9월 공포된 법률은 없습니다 일부 법률개정안이 발의/제안되었으나, 입법과정에서 소요되는 기간은 5~7개월 정도 소요되며 단축,연장 될 수 있습니다.

▶ <국회 제출 법률안>

• 「전기통신사업법」 일부개정법률안(민형배의원 대표발의 , 2023. 8. 9. 제안)
• 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정법률안(하영제의원 대표발의 , 2023. 8. 31. 제안)
• 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정법률안(홍석준의원 대표발의 , 2023. 8. 16. 제안)
• 「전자문서 및 전자거래 기본법」 일부개정법률안(김의겸의원 대표발의 , 2023. 8. 18. 제안)
• 「디지털 서비스 이용자 보호에 관한 법률」 제정법률안(정필모의원 대표발의 , 2023. 8. 23. 제안)
• 「온라인플랫폼시장의 공정경쟁 촉진에 관한 법률」 제정법률안(김의겸의원 대표발의 , 2023. 8. 23. 제안)
• 「위치정보의 보호 및 이용 등에 관한 법률」 일부개정법률안(임호선의원 대표발의, 2023. 8. 29. 제안)
• 「국가전략기술 육성에 관한 특별법」 일부개정법률안(박정의원 대표발의, 2023. 8. 2. 제안)
• 「인공지능 책임 및 규제법」 제정법률안(안철수의원 대표발의, 2023. 8. 8. 제안)
• 「전자정부법」 일부개정법률안(이만희의원 대표발의 , 2023. 8. 25. 제안)

🚨보안 업데이트 안내

각 벤더사가 자사제품에 대한 보안업데이트를 아래와 같이 발표 했습니다.

해당 제품을 보유하고 있는 기업에서는 최신 업데이트를 적용하시는 것이 필요해보입니다 😊

😁 보안업데이트 권고

게시글명	게시일
Apple 제품 보안 업데이트 권고	2023-09-25
Cisco 제품 보안 업데이트 권고	2023-09-18
나라비전 에어즈락 제품 보안 업데이트 권고	2023-09-14
추석 연휴 기간 사이버 공격(랜섬웨어 스미싱 등) 대비 주의사항 안내	2023-09-13
Mozilla 제품 보안 업데이트 권고	2023-09-13
구글 Chrome 브라우저 보안 업데이트 권고	2023-09-13
MS 9월 보안 위협에 따른 정기 보안 업데이트 권고	2023-09-13
Cisco 제품 보안 업데이트 권고	2023-09-08
MinIO 제품 보안 업데이트 권고	2023-09-08
넷아이디 클라우독 제품 보안 업데이트 권고	2023-09-08

🔗  출처 : KISA 인터넷 보호나라& Krcert