스마트 강국은 정보보호에서부터 SW 개발보안 추진방향 2012. 9. 25(화) 1.

Slides:



Advertisements
Similar presentations
월간 사이버보안 소식 경기교육사이버안전센터 (GECSC) 월호 경기도교육정보기록원.
Advertisements

CI(Continuous Integration) 이학성. C ontinuous I ntegration? 2 지속적으로 품질관리 를 적용하는 과정 개발자가 기존 코드의 수정 작업 을 시작할 때, 코드 베이스의복사본을 받아서 작업을 시작하면서 코드의 변경.
신진영 현지 조사 방법 및 보고서 작성법 제 7 강 - 자료 수집과 설문지 작성 -
지지금 우리나라에서는 정보보안전문가가 약 500 명도 되지 않는다. 그그리고 지금 컴퓨터를 쓰지 않는 곳이 없다. 또, 농협 해킹 등 여러 가지 이유 등으로 유망하다.
1. 22 “ 인천정보보호지원센터 ” 와 함께 하는 정보보호 전문교육 급증하는 사이버 공격에 비해 정보보호 인력의 부족현상이 지속되고 있습니다. 이와 같은 상황에서 한국인터넷진흥원 인천정보보호지원센터가 정보보호 인력양성을 위한 정보보호 전문교육을 개설합니 다. 인천 지역.
Popcon 이규태 김준수 강예진. 목차  Popcon 이란  개발동기 및 목적  필요성  차별성  설계  개발일정  기대효과 및 향후 계획.
1 08 시스템 구성도 고려사항 * 웹 서버 클러스터 구성  클러스터 구축은 ㈜ 클루닉스의 Encluster 로 구축 (KT 인증,IT 인증 획득, 실제 클러스터 구축 사이트 200 여곳 )  웹 서버 클러스터는 Dynamic, Static, Image.
SNS ! 건대 ▶ 오리 정보 제공 : 해당 지역에서 이슈화 되고 있는 서비스, 제품의 기업에게 정보 제공.
영화 예매 시스템 - 많이 봤다이가 ? CSE Corp. PM 송진희 김성욱 김보람 천창영.
2010 서 희 명 ) 시스템 아키텍처 감리 - 강의계획서 -
한국예탁결제원 모바일 서비스 안내. 1. KSD 모바일 서비스 구축 배경 스마트폰 보급 및 이용확대 모바일 환경으로 서비스 환경 변화 고객 니즈 수용 및 서비스 향상.
I. 프로젝트 동기 II. 프로젝트 목표 III. 파일시스템 IV. 암호화 및 복호화 V. 인터페이스 VI. FBR READ/WRITE VII. 프로그램 흐름도 VIII. 미 구현 사항 IX. 프로젝트 기대효과 X. 프로그램 요구사항 및 팀원 역할분담 XI. 시연 XII.
정보보안 담당자 교육 자료 일시 : (금) 장소 : 광주교육정보원 대강당 발표자 : 백창범.
인사. 저희 조가 클라우드 기업 사례로 LG CNS를 조사한 이유는 LG CNS가 LG 회사에 적용한 인프라 클라우드 컴퓨팅을 상품화하여 서비스 사례를 만들어냈기 때문입니다. 7주차 과제 S2 사랑조.
KPC 자격 강원지역센터 사업계획서 OO. OO. 제안사 명칭.
인천지역 재직자 정보보호 전문교육 과정소개.
컴퓨터와 인터넷.
Secure Coding 이학성.
Security Solutions (S/W) - Fortify
MS SQL Server 학기, 소프트웨어 설계 및 실험 ( Ⅰ )
제안 배경 (1/2) 물리적 USB 포트 보안의 필요성 #1 USB 편리성 vs. 보안 취약점
1. 신뢰할 수 있는 싸이트 등록 인터넷 익스플로러 실행 후 실행
SQL Injection Member 최병희, 김상우, 조용준, 유창열.

MS-Access의 개요 1강 MOS Access 2003 CORE 학습내용 액세스 응용 프로그램은 유용한 데이터를
1. Windows Server 2003의 역사 개인용 Windows의 발전 과정
SK Telecom 매출 통계 시스템의 SQL Server Reporting Services 적용사례
DMAIC Template (제조).
‘2012년 정보화 사업 교육 버그추적시스템(BTS) 사용 절차 2012, 02.
온실가스·에너지 목표관리 추진방안
Term Project 수행 안내 2007 컴퓨터공학실험(Ⅰ).
HTTP 프로토콜의 요청과 응답 동작을 이해한다. 서블릿 및 JSP 를 알아보고 역할을 이해한다.
컴퓨터소프트웨어설계및실험 년 1학기 실험계획 -.
ERP의 구축방법과 장·단점 1조 김두환 김수철 가민경 김정원.
2016년도 안전인증센터 운영 방향 안전인증센터.
Mobile braille system for the blind
자율주행 차량용 드라이빙 컴퓨팅 하드웨어 플랫폼 05
강릉원주대학교 전임교원대상 온라인 교수법 특강
Flash Communication Server
졸업 요건 충족을 위한 추가 이수 학점에 대해서는 ‘졸업요건‘ 규정 확인 바람
BI MATRIX 기술 문서 5.0 기술지원 프로세스.
(DDOS & Massive SQL Injection)
※ 인터넷 옵션 조치 방법 ※ ★ 신뢰사이트 등록 (1) ★ 우리들을 신뢰해주세요^^* 방법이 복잡해 보일지 모르지만
※ 편리한 사이버 연수원 사용을 위한 인터넷 최적화 안내 ※
컴퓨터 소프트웨어 설계 및 실험 년 1학기 실험계획 -.
Java , 안드로이드를 이용한 ‘사천성’ Game
추가 개선 요청사항 ▣ 조치내역 항목 상세 입력 요망 (항목별 별도 시트 작성 후 첨부)
SSL, Secure Socket Layer
중소기업 ERP시스템 효율적 운영방안.
안드로이드 기반 차세대 지상파 DMB 수신 플랫폼 IT융합기술개발팀 ETRI Technology Marketing
주요 패턴 (한)문화방송 14 HY울릉도M 13 [ Bottom-Up ] 휴먼새내기체 12 [ Top-Down ]
Level 0 Level 1 Level 2 Level 3 공모전 후기 모음 웹 서비스 1. 웹 페이지 설계 2. 웹 서버 구현
자이로센서와 GPS를 이용한 블랙박스 G.Cube DSP skc.
네트워크 프로그래밍 (모바일 주문 프로그램 )
입사지원자 개인정보 수집 및 활용 동의서 ▣ 개인정보 수집 ∙이용에 대한 동의 정보제공목적 달성 후 및 관련법령에 따름
컴퓨터 소프트웨어 설계 및 실험 년 1학기 실험계획 -.
웹 애플리케이션 보안 Trend 인포섹㈜ 신수정 상무
균형 성과표(BSC) Balanced scorecard.
프로그래밍 언어 학습을 위한 가상실습환경 창원대학교 이수현.
Installation Guide.
학부 컴퓨터공학부 교육과정 (학부) 2학년 4학년 3학년 1학년 1학기 2학기 IPP 자격과정 전공트랙
CCIT 네트워크 발표 정보보호학과 평문 사이트와 SSL 사이트, SSL strip과 데이터 변조를 이용한 로그인 취약점
WISE DQ.
DBMS & SQL Server Installation
펌웨어(S/W) Upgrade 방법 Samsung Kies3
소프트웨어 설계 및 실습 강기준.
CSPN Program 2017 국보연 사이버보안 전문인력양성 과정 개설
XSS 취약점을 이용한 웹메일 해킹
연구실안전관리시스템 안전교육 이수방법 사무국 시설과.
Presentation transcript:

스마트 강국은 정보보호에서부터 SW 개발보안 추진방향 2012. 9. 25(화) 1

1. 추진 배경

1. 추진 배경 보안취약점이 내포된 SW는 해커의 공격목표가 되어 심각한 보안위협 초래 정보시스템 운영 이전 개발단계부터 보안성 고려 및 잔존 보안약점 제거 필요 운영단계에서의 취약점 제거 비용은 개발단계보다 60~100배의 비용 소요(IBM社 보고서) 사전 예방체계 강화를 위한 SW 개발보안(시큐어코딩) 강화체계 도입 추진 시큐어코딩(Secure Coding) : SW 구현시 보안약점을 배제하기 위한 안전한 코딩 기법 선제적인 예방조치 강화를 위해 SW 개발단계부터 보안약점 진단·제거를 강화 ※ Vulnerability(보안취약점) : 해킹 등 실제 보안사고에 이용되는 SW 보안약점 ※ Weakness(보안약점) : 보안취약점의 근본 원인이 되는 SW 허점, 결점, 오류 등 - 1 -

출처 : IBM X-Force 2010 동향 및 위험 보고서(2011.3) [참고] 보안취약점의 증가 추이 취약점 공개 증가로 인한 시스템 관리 영역 확대 (취약점 심각도) 높음 33%, 보통 60%, 낮음 7% (역대최고 취약점 공개) 2010년 8,562건 공개 ( 취약점 공개 지속적 증가) 2009년 대비 27% 증가 출처 : IBM X-Force 2010 동향 및 위험 보고서(2011.3) - 2 -

[참고] SW 취약점에 의한 침해사고 사례 소프트웨어 취약점에 의한 각종 피해 발생 공격개요 OO 사이트해킹 취약점 XSS + Flash 취약점 피해 악성코드 배포 손실 일일 70만여명 감염 공격개요 OO증권 해킹 취약점 SQL Injection 피해 개인정보 유출 손실 개인정보 2만 6천건 공격개요 OO 사이트 해킹 취약점 SQL Injection 피해 개인정보 유출 (1억여명) 손실 140억엔 손해 - 3 -

2. 추진 경과 항목 세부 내용 보안약점 진단 도구개발 진단도구 : SW에 잠재된 보안약점을 자동으로 분석해 주는 도구 세부 내용 보안약점 진단 도구개발 진단도구 : SW에 잠재된 보안약점을 자동으로 분석해 주는 도구 지원언어(11종): JAVA, JavaScript, JSP, HTML, XML, C, C++, C#, Objective C, Android JAVA 개발자·담당공무원 대상 교육 실시 시스템 개발자, 담당공무원 대상 교육 실시(10년~11년, 총 1,500명) 전자정부 서비스 대상 시범 진단 10년(10개사업) : 평균 80만 라인, 보안약점 수 2,400개 존재 (XSS, SQL 삽입 등 제거) 11년(23개사업) : 평균 93만 라인, 보안약점 수 1,328개 존재 (시스템 데이터 정보노출, XSS, SQL 삽입 등 제거) SW 개발보안 가이드 개발·보급 개발자가 개발시 개발보안기법을 적용 수 있도록 도와주기 위한 문서 (SW 보안약점 최소화) 언어별로 프로그램 보안약점 항목에 대해 안전한 코딩 방법을 기술 SW 개발보안 제도화 정보시스템 구축, 운영지침을 개정해, SW 개발보안 의무화 - 4 -

[참고] 시범진단 결과 23개 전자정부시스템 대상 시범진단 결과(’11년) 시스템별 평균 1,328개의 SW 보안약점이 발견, 조치됨 SQL 삽입(9.7%), XSS(16.9%) 등 고위험 보안약점은 ’10년(44%)보다 다소 감소 추세 주요 보완조치 미흡사례 XSS 대응을 위해 입력값 검증을 적용하였으나, 실제 프로세스가 미수행되는 경우 동일한 보안약점에 대해 개발자별로 보완조치를 다르게 하는 경우 보안기능이 잘못 구현된 경우 - Base64 인코딩, SHA1 등 취약한 알고리즘 사용 - 주요 정보의 평문 저장 및 전송 등 2011년도 SW약점 발생 순위 - 5 -

2. SW 개발보안 제도 추진

1. SW 보안약점 사전 제거 의무화 개발단계에서 SW 보안약점 사전 제거 의무화 지침 주요 내용 ‘구축, 운영 지침’을 개정, 개발과정에서 보안약점 기준 및 진단 절차 규정 * 정보시스템 구축, 운영 지침(12.6월) 행정, 공공기관의 정보화 사업 중 신규 개발되는 모든 SW에 적용 40억 원 이상 신규사업에 우선 적용하고 순차적으로 확대 * (12.12월) 40억 원 이상→(14년) 20억 원 이상 →(15년) 5억 원 이상 감리대상 사업 지침 주요 내용 개발과정에서 진단, 제거해야 할 보안약점(43개) 기준, 진단도구 기준 및 보안약점 진단원 자격 기준 등 정의 * 보안약점별 세부 사항은 개발보안/진단가이드로 보급 예정 * 진단원 : 진단도구의 보안약점 진단 결과 판정 등 보안약점 분석 전문가 정보시스템 감리시 보안약점 진단 등 진단 방법, 절차 등 규정 - 6 -

2. SW 개발보안 제도화를 위한 기반 조성 전문연구기관을 선정, 보안약점 기준 및 진단방안 등 연구지원 개발보안 연구센터 설치 개발보안 관련 국내외 취약점 사례 분석, SW 개발단계에서 필수적으로 제거해야 할 약점 진단, 대응기술 연구 등 추진 MITRE사의 CWE(Common Weakness Enumeration) 분석 효과적인 SW 보안약점 진단 방법, 진단도구 평가 방안 마련 등 개발자, 진단원 등이 보안약점을 진단, 제거할 수 있는 가이드 지침에 있는 SW보안약점 기준을 기반으로 개발 개발보안 가이드 보급 (개발가이드) 안전한 코딩 기법, 코드예제 등 포함 (진단가이드) 보안약점별 진단방법, 진단결과에 대한 정/오탐 판정 방법 등 발주에서 개발, 감리 등 정보화사업 전 과정에 관련자 교육 (공무원) SW개발보안 제도, 보안약점 기준 등 일반과정 (개발자) 보안약점별 개발보안 실무 교육 (진단원) 보안약점별 판단기준, 진단방법, 조치사항 등 개발보안 교육 강화 - 7 -

3. SW 보안약점 진단기술력 제고 SW 보안약점 진단방법을 민간에 기술이전 보안약점 진단도구 시범검증 및 기술지원 추진 대상 · SW 보안약점 진단도구 개발업체 및 도구개발 희망기관(대학·연구소 등) 내용 · KISA 개발 SW 보안약점 진단도구 진단규칙(Rule) 및 설명서(JAVA용)   ※ 진단규칙은 명세언어(RDL) 기반 범용규칙과 전용규칙(VSP)으로 구성 · SW 보안약점 진단도구 시범검증시 사용되는 검증용 샘플코드   ※ 주요 보안약점 진단여부 확인을 위한 검증코드(JAVA, C/C++) 보안약점 진단도구 시범검증 및 기술지원 추진 기준 SW 보안약점(43개) 진단여부 및 수준(정확도 등) 등 진단도구 신뢰성 지원 사항 (검증前) SW 보안약점 진단도구 검증코드 및 진단규칙(예제 및 설명) 제공 (검증後) 보완사항 자문, 업체 요청시 진단도구 재검증 - 8 -

4. SW 개발보안 진단서비스 제공 - 9 -

5. 운영 중인 SW에 대한 적용 방안 마련 운영단계 SW에 개발보안 적용 시범사업 추진 기존시스템은 사용자 인터페이스를 중심으로 개발보안 적용 시범사업 * 운영시스템은 SW 수정 비용부담, 장애우려 등으로 인해 보안약점 진단, 제거 곤란 사용자 인터페이스와 관련된 웹 프로그램을 대상으로 보안약점 제거 확인 운영시스템에 대한 SW 보안약점 제거 방안 개발보안 적용 효과, 소요 비용, 기간 등을 분석해 방안 마련 비용 대비 효과적인 방안을 도출해, 주요 시스템부터 적용 추진 * 필수적으로 수정해야 할 보안약점 기준 도출, 연차별 추진 전략 등 마련 - 10 -

IT 강국, 전자정부 강국 에서 정보보호 강국 으로 거듭나도록 최선을 다하겠습니다.