시큐어 코딩 가이드

 

KISA 홈페이지에서 JAVA, C, Android, IOT 시큐어 코딩 및 보안 관리 지침에 관한 정보들을 찾아볼 수 있다.

 

관련링크는

http://www.kisa.or.kr/public/laws/laws3.jsp

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

기술안내서 가이드에 따라 해당 취약점과 사항들을 인지하며 개발을 하면 안정적이게 개발되는 방법과

취약점 및 인간의 오류로 인한 심한 피해가 있다는 것을 알게 되었다.

 

예를 들어, 로켓 발사 실험을 하는 과정에서 64비트 실수형 데이터를 16비트 정수형 데이터형으로 변환하는 과정에서 버퍼오퍼플로우가 발생이 되어 70억어치의 로켓이 폭발했다거나, 위성을 쏘아올려 위치기반 거리 측정에서 소프트웨어 오류로 화성과 충돌한다거나 하는 현상이 있었다고 한다.

 

엄청 사소한 것 같지만, 중요한 기본적인 요소들의 오류들로 인해 생기는 것..

C언어의 경우 개발시 보안약점 83개 정도가 있으며 JAVA언어 개발시 보안약점 83개와 운영지침에 따른 43개의 고려사항들에 관한 내용들을 찾아볼 수 있다.

 

이것 뿐만 아니라, 여러 상황에서의 점검 방법이나 진단 방법에 대해 나와있어 필요한 자료를 쭉 보고 받아서 참고하면 많은 도움이 될 것 같다.

 

대표적인 7가지 적용대상이 있는데

입력 데이터 검증 및 표현 / 보안 기능 / 시간 및 상태 / 에러 처리 / 코드 오류 / 캡슐화 / API 오용 에 대해서 숙지하면 좋을 듯 하다.

 

• 입력 데이터 검증 및 표현 : 프로그램 입력값에 대한 검증 누락, 부적절한 검증, 잘못된 형식 지정
• 보안 기능 : 보안 기능의 부적절한 구현
  ( 인증 및 접근통제, 권한, 비밀번호 등 정책을 적절히 반영하도록 한다 )
• 시간 및 상태 : 거의 동시에 수행 지원하는 병렬 시스템 또는 하나 이상의 프로세스가 동작하는 환경에서 시간 및 상태의 부적절한 관리
• 에러 처리 : 에러 미처리, 에러 메시지에 중요정보가 포함.
• 코드 오류 : 개발자가 범할 수 있는 코딩 오류로 인해 유발
• 캡슐화 : 기능성이 불충분한 캡슐화로 인해 인가되지 않은 사용자에게 데이터 누출
  ( 디버그 코드 제거, 필수 정보 외 private 접근자 지정 )
• API 오용 : 의도된 사용에 반하는 방법으로 API를 사용하거나, 보안에 취약한 API의 사용