국내에서는 2012년부터 행정기관 및 공공기관에서 구축하는 정보시스템에 대해 소프트웨어를 개발하는 단계에서부터 보안약점 등을 사전에 제 거하는 선제적 예방 방법인 "소프트웨어 개발보안"을 의무적으로 적용하도록 제도화하였다. 하지만, "소프트웨어 개발보안"을 적용하는데 필요한 보안활동이 구체적이지 않아 정보시스템 구축 담당자의 역량에 따라 적용 되는 소프트웨어...
국내에서는 2012년부터 행정기관 및 공공기관에서 구축하는 정보시스템에 대해 소프트웨어를 개발하는 단계에서부터 보안약점 등을 사전에 제 거하는 선제적 예방 방법인 "소프트웨어 개발보안"을 의무적으로 적용하도록 제도화하였다. 하지만, "소프트웨어 개발보안"을 적용하는데 필요한 보안활동이 구체적이지 않아 정보시스템 구축 담당자의 역량에 따라 적용 되는 소프트웨어 개발보안 수준이 달라지고, 관리를 위한 평가 기준도 미흡하여 보안위협이 지속적으로 잔존해 있는 문제가 나타나고 있다. 이러한 배경에서 본 연구는 국내·외 소프트웨어 개발보안 활동 사례 6종을 조사하여, 각 사례에서 제시하고 있는 보안활동 중 소프트웨어 개발보안 적용에 필요한 보안활동을 도출하기 위해 '독립성과 연관성 분류 기준', '개발 프로세스 분류 기준' 등의 기준으로 비교·분석하였다. 이를 통해 36개의 보안활동을 도출하였고, 3개의 평가영역, 18개의 평가항목으로 구성된 「소프트웨어 개발보안 적용수준 평가지표」를 개발하였다. 이후 평가영역(3개) 및 평가항목(18개)에 대한 가중치와 우선순위를 도출하여 「소프트웨어 개발보안 적용수준 평가지표 」의 각 평가항목에 적절한 배점기준을 산출하였다. 평가지표별 우선순위는 평가영역의 경우 '개발보안 적용의 적절성' 항목이 0.379로 가장 높았으며, 평가항목은 '개발보안 예산 수립'이 0.134로 가장 높았다. 「소프트웨어 개발보안 적용수준 평가지표」는 발주기관, 개발사, 감리법인의 역할로 구분되는 3개의 평가영역 및 18개의 평가항목, 36개의 세부 보안활동으로 개발되었으며, 평가지표의 특성은 다음과 같다. 첫째 발주기관, 사업자, 감리법인 등 국내 소프트웨어 개발보안 활동 주체가 수행해야 하는 보안활동을 구체적으로 제시하였으며, 둘째, 소프트웨어 개발보안 적용수준을 수치적으로 측정·관리할 수 있도록 평가영역(3개) 및 평가항목(18개)에 대한 가중치 및 우선순위 기반 배점기준을 제시하였다. 본 연구는 국내 공공분야 소프트웨어 개발 구조에 맞는 소프트웨어 개발보안 활동을 제시한 최초의 「소프트웨어 개발보안 적용수준 평가지표」로 향후 국가 정보시스템 보안성 강화 등 다양한 연구의 기초 자료로 활용될 수 있을 것이다.
국내에서는 2012년부터 행정기관 및 공공기관에서 구축하는 정보시스템에 대해 소프트웨어를 개발하는 단계에서부터 보안약점 등을 사전에 제 거하는 선제적 예방 방법인 "소프트웨어 개발보안"을 의무적으로 적용하도록 제도화하였다. 하지만, "소프트웨어 개발보안"을 적용하는데 필요한 보안활동이 구체적이지 않아 정보시스템 구축 담당자의 역량에 따라 적용 되는 소프트웨어 개발보안 수준이 달라지고, 관리를 위한 평가 기준도 미흡하여 보안위협이 지속적으로 잔존해 있는 문제가 나타나고 있다. 이러한 배경에서 본 연구는 국내·외 소프트웨어 개발보안 활동 사례 6종을 조사하여, 각 사례에서 제시하고 있는 보안활동 중 소프트웨어 개발보안 적용에 필요한 보안활동을 도출하기 위해 '독립성과 연관성 분류 기준', '개발 프로세스 분류 기준' 등의 기준으로 비교·분석하였다. 이를 통해 36개의 보안활동을 도출하였고, 3개의 평가영역, 18개의 평가항목으로 구성된 「소프트웨어 개발보안 적용수준 평가지표」를 개발하였다. 이후 평가영역(3개) 및 평가항목(18개)에 대한 가중치와 우선순위를 도출하여 「소프트웨어 개발보안 적용수준 평가지표 」의 각 평가항목에 적절한 배점기준을 산출하였다. 평가지표별 우선순위는 평가영역의 경우 '개발보안 적용의 적절성' 항목이 0.379로 가장 높았으며, 평가항목은 '개발보안 예산 수립'이 0.134로 가장 높았다. 「소프트웨어 개발보안 적용수준 평가지표」는 발주기관, 개발사, 감리법인의 역할로 구분되는 3개의 평가영역 및 18개의 평가항목, 36개의 세부 보안활동으로 개발되었으며, 평가지표의 특성은 다음과 같다. 첫째 발주기관, 사업자, 감리법인 등 국내 소프트웨어 개발보안 활동 주체가 수행해야 하는 보안활동을 구체적으로 제시하였으며, 둘째, 소프트웨어 개발보안 적용수준을 수치적으로 측정·관리할 수 있도록 평가영역(3개) 및 평가항목(18개)에 대한 가중치 및 우선순위 기반 배점기준을 제시하였다. 본 연구는 국내 공공분야 소프트웨어 개발 구조에 맞는 소프트웨어 개발보안 활동을 제시한 최초의 「소프트웨어 개발보안 적용수준 평가지표」로 향후 국가 정보시스템 보안성 강화 등 다양한 연구의 기초 자료로 활용될 수 있을 것이다.
In Korea, it has been mandatory since 2012 to apply "secure software development", a proactive prevention method that eliminates security weaknesses from the software development stage, to information systems built by administrative agencies and public institutions. However, because the security act...
In Korea, it has been mandatory since 2012 to apply "secure software development", a proactive prevention method that eliminates security weaknesses from the software development stage, to information systems built by administrative agencies and public institutions. However, because the security activities required to apply "secure software development" are not specific, the level of software development security applied varies depending on the competence of the person in charge of building the information system, and the evaluation criteria for management are insufficient, resulting in the problem that security threats continue to exist. Against this background, this study examined six cases of domestic and foreign secure software development activities to identify the security activities required to apply software development security among the security activities presented in each case. We compared and analysed them based on criteria such as 'independence and relevance classification criteria' and 'development process classification criteria'. This resulted in 36 security activities, and the "Evaluation Index of Software Development Security Application Level" was developed, consisting of 3 evaluation areas and 18 evaluation items. We then derived the weights and priorities for the evaluation areas (3) and evaluation items (18), and calculated the corresponding evaluation criteria for each evaluation item of the "Evaluation Index of Software Development Security Application Level". The priority of each evaluation indicator was 0.379 for "Appropriateness of Secure Software Development Application" in the evaluation area, and 0.134 for "Establishment of Secure Software Development Budget" in the evaluation item. The "Evaluation Index of Secure Software Development Application Level " was developed with three evaluation areas, 18 evaluation items and 36 detailed security activities, divided into the roles of ordering agency, developer and supervisory corporation, and the characteristics of the evaluation index are as follows. Firstly, the security activities that should be carried out by domestic secure software development activity entities such as ordering agencies, developers and supervisory corporations are presented in detail, and secondly, the weighting and priority-based evaluation criteria for evaluation areas (3) and evaluation items (18) are presented, so that the level of secure software development application can be numerically measured and managed. This study is the first "Evaluation Index of Secure Software Development Application Level" that presents secure software development activities tailored to the domestic public sector software development structure, and can be used as a basis for various studies such as strengthening national information system security.
In Korea, it has been mandatory since 2012 to apply "secure software development", a proactive prevention method that eliminates security weaknesses from the software development stage, to information systems built by administrative agencies and public institutions. However, because the security activities required to apply "secure software development" are not specific, the level of software development security applied varies depending on the competence of the person in charge of building the information system, and the evaluation criteria for management are insufficient, resulting in the problem that security threats continue to exist. Against this background, this study examined six cases of domestic and foreign secure software development activities to identify the security activities required to apply software development security among the security activities presented in each case. We compared and analysed them based on criteria such as 'independence and relevance classification criteria' and 'development process classification criteria'. This resulted in 36 security activities, and the "Evaluation Index of Software Development Security Application Level" was developed, consisting of 3 evaluation areas and 18 evaluation items. We then derived the weights and priorities for the evaluation areas (3) and evaluation items (18), and calculated the corresponding evaluation criteria for each evaluation item of the "Evaluation Index of Software Development Security Application Level". The priority of each evaluation indicator was 0.379 for "Appropriateness of Secure Software Development Application" in the evaluation area, and 0.134 for "Establishment of Secure Software Development Budget" in the evaluation item. The "Evaluation Index of Secure Software Development Application Level " was developed with three evaluation areas, 18 evaluation items and 36 detailed security activities, divided into the roles of ordering agency, developer and supervisory corporation, and the characteristics of the evaluation index are as follows. Firstly, the security activities that should be carried out by domestic secure software development activity entities such as ordering agencies, developers and supervisory corporations are presented in detail, and secondly, the weighting and priority-based evaluation criteria for evaluation areas (3) and evaluation items (18) are presented, so that the level of secure software development application can be numerically measured and managed. This study is the first "Evaluation Index of Secure Software Development Application Level" that presents secure software development activities tailored to the domestic public sector software development structure, and can be used as a basis for various studies such as strengthening national information system security.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.