Issues and Improvements of Secure Coding for Preventing Cyber Crime: Focus on the Private Company Systems

사이버범죄예방을 위한 시큐어 코딩 적용 문제점과 시사점: 민간기업 시스템을 중심으로

  • 최관 (삼성화재 보험범죄조사파트)
  • Received : 2018.03.01
  • Accepted : 2018.06.29
  • Published : 2018.06.30

Abstract

The purpose of this study is to prevent cyber crime in private company systems by applying secure coding and identify its problems. Three experiments were conducted. In Experiment 1, a security manager was participated and gave advise to the developer to follow secure coding guidelines. In Experiment 2, a security manager did not participate, but let the developer himself committed on secure coding. In Experiment 3, a security manager provided reports on weaknesses of each package source to the developer and the developer was only focused on source development. The research results showed that the participation of a security manager on development raised secure coding compliance rate and finished the project within a given periods. Furthermore, it was better to entrust a security manager with the task of following the secure coding guide than the developer, which raised secure coding compliance rate and achieved project objectives faster. Further implications were discussed.

이 연구는 사이버범죄예방을 위해 민간기업시스템의 시큐어 코딩 적용상의 문제점과 이에 대한 개선안을 시사 하는 것이 목적이다. 본 연구를 위해 3가지 실험이 진행되었는데, 실험 1은 보안담당자가 개발과정에 참여하여 시큐어 코딩준수를 조언하도록 하였고, 실험 2는 보안담당자의 조언 없이 개발자가 스스로 시큐어 코딩을 준수하도록 하였고, 실험 3은 개발자는 담당 소스만 개발하고 보안담당자는 소스의 취약점 진단분석만 집중적으로 하도록 설계하였다. 이 연구의 결과는 첫째, 실험1,2를 통해 사이버범죄관련 보안문제 해결을 위해 보안담당자의 개발과정 참여가 프로젝트가 반복될수록 기간 내 과업달성 및 시큐어 코딩준수율 역시 높아지는 것으로 나타났다. 둘째, 실험 3을 통해 개발자에게 시큐어 코딩 가이드 준수를 맡기는 것보다 기업보안 담당자의 업무전담이 프로젝트 목표달성 및 시큐어 코딩 준수율을 높이는 것으로 나타났다.

Keywords

References

  1. 강경아, 'AHP 기법을 이용한 스마트폰 앱 개발을 위한 시큐어 코딩 항목 간 중요도 분석', 공주대학교 일반대학원 석사학위논문, 2014.
  2. 김동원, '모바일 시큐어 코딩 자가평가(M-SCSA)방법에 대한 연구', 건국대학교 정보통신대학원 석사학위논문, 2012.
  3. 방지호, "공개용 소스코드 보안 약점 분석도구 개발 동향", INTERNET & SECURITY, 5, pp. 47-57, 2014.
  4. 손윤식, 오세만, "자바 시큐어 코딩", 정보과학학회지, 28(2), pp. 55-62, 2010.
  5. 안준선, 방지호, 이은영, "소프트웨어 보안약점의 중요도에 대한 정량 평가 기준 연구", 정보보호학회논문지, 22(6), pp. 1407-1417, 2012.
  6. 안준선, 이은영, 창병모, " SW 개발보안을 위한 보안약점 표준목록 연구", 정보보호학회지, 25(1), pp. 7-11, 2015.
  7. 안전행정부, '전자정부 SW 개발.운영자를 위한 소프트웨어 개발보안 가이드', 서울: 안전행정부, 2013.
  8. 이상구, '전자정부 표준프레임워크를 이용한 중앙집중적 시큐어 코딩 기법 연구', 고려대학교 컴퓨터정보통신대학원 석사학위논문, 2014.
  9. 전인호, '소프트웨어 개발인력의 업무 지속수행 증진방안에 대한 연구', 서울과학기술대학교 대학원 석사학위논문, 2015.
  10. 정다혜, 최진영, 이송희, "시큐어 코딩 중심으로 본 원자력 관련 소프트웨어", 정보보호학회논문지, 23(2), pp. 243-250, 2013. https://doi.org/10.13089/JKIISC.2013.23.2.243
  11. 정명규, '소프트웨어 보안성 관리를 위한 시큐어 코딩 프로세스와 방법에 관한 연구', 부경대학교 대학원 박사학위논문, 2015.
  12. 최성준, '시스템 특성에 최적화된 시큐어 코딩룰 선정 평가 모형 개발', 서울과학기술대학교 박사학위논문, 2013.
  13. 한진규, 'AST를 활용한 SQL Injection 취약점 예방 방법에 대한 연구', 고려대학교 일반대학원 석사학위논문, 2013.
  14. Choi, Y. H. & Choi, E. M., "Analysing Weak Point of Android Applications by Using Static Analysis based on Anti-patterns", Journal of KIISE : Computing Practices and Letters, Vol 38(2), pp. 132-135, 2011.
  15. Han, K. S., Kim, T. W., Han, K. Y., Lim, J. M. & Pyo, C. W., "An Improvement of the Guideline of Secure Software Development for Korea E-Government", Journal of the Korean Institute of Information Security and Cryptology, Vol 22(5), pp. 1179-1189, 2012.
  16. Jones, R. L. & Rastogi, A., "Secure Coding: Building Security into the Software Development Life Cycle", Journal of Information Security, Deloitte, pp. 29-39, 2004.
  17. Jung, D. H., Choi, J. Y. & Lee, S. H., "Nuclear-Related Software Analysis Based on Secure Coding", Journal of The Korea Institute of Information Security & Cryptology, Vol 23(2), pp. 243-250, 2013. https://doi.org/10.13089/JKIISC.2013.23.2.243
  18. Kim, D. W. & Han, K. H., "A Study on Self Assessment of Mobile Secure Coding", Journal of The Korea Institute of Information Security & Cryptology, Vol 22(4), pp. 901-911, 2012.
  19. Kim, J. S., "Secure Coding for Software Security", Journal of The Korea Contents Association, Vol 11(4), pp. 56-60, 2013.
  20. Kim, S. K. & Lee, J. I., "Analyzing Secure Coding Initiatives: An Ecosystem Approach", Journal of The Korea Institute of Information Security & Cryptology, Vol 22(5), pp. 1205-1216, 2012.
  21. Kwon, Y. J. & Park, Y. B., "An analysis method for complex attack pattern using the coupling metrics", Journal of the Korean Institute of Information Security and Cryptology, Vol 22(5), pp. 1169-1178, 2012.
  22. Lee, S. M., Oh, J. S. & Choi, J. Y., "Comparative Analysis on Potential Error-Possibility and Security Vulnerability in Software", Korea Computer Congress 2012, Vol. 37(1), pp. 106-109, 2012.
  23. Noh, S. C., "A Study of Web Application Development Method for Secure Coding Approach Based on SDLC Steps", Convergence Security Journal, Vol 12(6), pp. 93-99, 2012.
  24. Son, Y. S. & Oh, S. M., "A Study on the Structured Weakness Classification for Mobile Applications", Journal of th Korean Multimedia Society, Vol 15(11), pp. 1349-1357, 2012. https://doi.org/10.9717/kmms.2012.15.11.1349
  25. CIOBIZ, "시큐어 코딩의 가속화 - 전 금융권으로 확산", http://ciobiz.etnews.com/20130128120013, 2018.04.01. 검색.