소프트웨어 개발 보안 구축 구현 4/5

소프트웨어 개발 보안 구축 구현

SW 개발 보안 테스트와 결함 관리

소프트웨어 개발 보안 테스트의 개념

• 소프트웨어 보안 요구사항이 반영되어 있음을 보증하고, 취약점을 발견하고 개선하여 안전한 소프트웨어를 개발하기 위한 활동

소프트웨어 개발 보안 테스트의 유형

정적 분석

• SW를 실행하지 않고 보안 약점을 분석, SW 개발 단계에서 주로 사용
• 취약점 초기 발견으로 수정 비용 절감, 컴포넌트 간 발생할 수 있는 통합된 취약점 발견에 제한적, 설계 및 구조 관점의 취약점은 식별 가능

동적 분석

• SW 실행 환경에서 보안 약점 분석, SW 시험 단계에서 주로 사용
• 소스 코드 필요 없음, 정확도와 커버리지 향상, 구조 관점의 보안 약점은 식별 불가

비즈니스 연속성 계획(BCP)

비즈니스 연속성 계획(BCP, Business Continuity Plan)의 개념

• 각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무 복구 및 재개, 비상계획 등을 통해 비즈니스 연속성을 보장하는 체계로 비즈니스 영향 분석(BIA)이 선행되어야 함

비즈니스 연속성 계획 관련 주요 용어

비즈니스 영향 분석(BIA, Business Impact Analysis)

• 장애나 재해로 인해 운영상의 주요 손실을 볼 것을 가정하여 시간 흐름에 따른 영향도 및 손실 평가를 조사하는 BCP를 구축하기 위한 비즈니스 영향 분석

목표 복구 시간(RTO, Recovery Time Objective)

• 업무 중단 시점부터 업무가 복구되어 다시 가동될 때까지의 시간

목표 복구 시점(RPO, Recovery Point Objective)

• 업무 중단 시점부터 데이터가 복구되어 다시 정상 가동될 때 데이터의 손실 허용 시점

재난 복구 계획(DRP, Disaster Recovery Plan)

• 재난으로 장기간에 걸쳐 시설의 운영이 불가능한 경우를 대비한 재난 복구 계획

재난 복구 시스템(DRS, Disaster Recovery System)

• 재난 복구 계획의 원활한 수행을 지원하기 위하여 평상시에 확보하여 두는 인적, 물적 자원 및 이들에 대한 지속적인 관리 체계가 통합된 재해복구센터

DRS의 유형

미러 사이트(Mirror Site)

• 주 센터와 데이터복구센터 모두 운영 상태로 실시간 동시 서비스가 가능한 재해복구 센터
• 재해 발생 시 복구까지의 소요 시간(RTO)은 즉시(이론적으로 0)

핫 사이트(Hot Site)

• 주 센터와 동일한 수준의 자원을 대기 상태로 원격지에 보유하면서 동기, 비동기 방식의 미러링을 통하여 데이터의 최신 상태를 유지하고 있는 재해복구센터
• 재해 발생 시 복구까지의 소요 시간(RTO)은 4시간 이내

웜 사이트(Warm Site)

• 핫 사이트와 유사하나 재해복구센터에 주 센터와 동한 수준의 자원을 보유하는 대신 중요성이 높은 자원만 부분적으로 재해복구센터에 보유하고 있는 센터
• 재해 발생 시 복구까지 소요 시간(RTO)은 수일~수주

콜드 사이트(Cold Site)

• 데이터만 원격지에 보관하고, 재해 시 데이터를 근간으로 필요 자원을 조달하거나 복구할 수 있는 재해복구센터로 구축 비용이 저렴하나 복구 소요 시간이 길고 신뢰성이 낮음
• 재해 발생 시 복구까지의 소요 시간(RTO)은 수주~수개월