소프트웨어 품질 속성 중 보안 품질

소프트웨어 품질 속성 중 보안 품질

소프트웨어 보안은 오늘날 디지털 환경에서 매우 중요한 요소로, 시스템과 데이터를 안전하게 보호하는 데 중점을 둡니다.

배경

소프트웨어는 현대 사회의 핵심 인프라로 자리 잡았으며, 금융, 의료, 교통 등 다양한 분야에 깊숙이 관여하고 있습니다3. 이에 따라 소프트웨어의 취약점을 노리는 사이버 위협 또한 정교해지고 빈번해지고 있어, 소프트웨어 개발 초기 단계부터 보안을 고려하는 것이 필수적입니다39. 과거에는 기능 구현 후 보안을 추가하는 방식이 많았지만, 이제는 개발 생명주기 전반에 걸쳐 보안을 통합하는 "Shift Left" 접근 방식이 강조되고 있습니다3.

소프트웨어 보안 품질의 개념 및 정의

소프트웨어 보안 품질은 소프트웨어 시스템이 의도한 대로 안정적이고 안전하게 작동하며, 악의적인 공격으로부터 정보와 데이터를 보호하고 무단 접근, 데이터 유출 및 기타 악의적인 활동을 방지하는 능력을 의미합니다15. 이는 소프트웨어가 다양한 위협에 대해 얼마나 잘 방어하고 데이터를 안전하게 유지할 수 있는지를 나타내는 척도입니다1115. ISO/IEC 25010 표준에서는 보안을 주요 품질 특성 중 하나로 정의하며, 여러 하위 특성을 통해 구체화합니다2.

소프트웨어 보안 품질의 주요 하위 속성

소프트웨어 보안 품질은 다음과 같은 주요 하위 속성들을 통해 평가되고 보장됩니다24:

• 기밀성 (Confidentiality): 허가된 사용자만이 민감한 정보에 접근할 수 있도록 보장하는 능력입니다24. 예를 들어, 병원에서는 환자 정보 암호화를 통해 기밀성을 유지합니다2.
• 무결성 (Integrity): 데이터나 서비스가 완전하고 정확하며 신뢰할 수 있도록 보장하고, 허가되지 않은 접근이나 변경으로부터 소프트웨어나 데이터를 보호하는 능력입니다24. 소프트웨어 애플리케이션은 체크섬을 사용하여 처리하는 데이터가 손상되지 않았는지 확인할 수 있습니다2.
• 부인 방지 (Non-repudiation): 특정 개인이나 주체가 어떤 행위를 수행했다는 사실을 나중에 부인할 수 없도록 하는 능력입니다2. 디지털 서명은 개인이 문서에 서명한 사실을 부인할 수 없도록 하는 예시입니다2.
• 책임 추적성 (Accountability): 특정 개체의 행위를 해당 개체에게 고유하게 추적할 수 있도록 하는 능력입니다24. 조직에서는 직원들이 자신의 행동에 책임을 지도록 자신의 자격 증명을 사용하여 로그인하도록 요구하는 정책을 가질 수 있습니다2.
• 인증성 (Authenticity): 데이터나 서비스, 또는 사용자의 신원이 주장하는 대로 진정하고 신뢰할 수 있음을 확인하는 능력입니다24. 소프트웨어 애플리케이션은 디지털 인증서를 사용하여 처리하는 데이터의 진위 여부를 확인할 수 있습니다2.

이 외에도 맥락에 따라 다음과 같은 세부적인 보안 측면들이 고려될 수 있습니다6:

• 인가 (Authorization): 인증된 사용자가 시스템 내에서 무엇을 보고 수행할 수 있는지를 관리합니다6.
• 개인정보보호 (Privacy): 보호되는 데이터가 권한 없는 사용자에게 공개되지 않도록 합니다6.
• 공격 저항성 (Invulnerability): 침투 시도에 견딜 수 있는 능력입니다6.
• 규정 준수 (Compliance): 제품이 준수하는 보안 표준을 의미합니다6.

소프트웨어 보안 품질 확보를 위한 주요 실천 방안

강력한 소프트웨어 보안 품질을 확보하기 위해 다음과 같은 다양한 기술과 방법론이 활용됩니다:

• 개발 초기 단계부터 보안 고려 (Shift Left): 요구사항 분석 및 아키텍처 설계 단계부터 보안을 통합하여 초기부터 위험을 줄입니다314.
• 시큐어 코딩 표준 준수: 일반적인 취약점에 강한 코드를 작성하기 위한 지침을 구현합니다7. 개발자 교육을 통해 보안 코딩 관행을 숙지하도록 합니다313.
• 정적/동적 애플리케이션 보안 테스팅 (SAST/DAST): SAST는 소스 코드 수준에서 취약점을 식별하고13, DAST는 실행 중인 애플리케이션을 테스트하여 잠재적 취약점을 발견합니다13.
• 침투 테스트 및 취약점 분석: 전문가가 실제 공격자처럼 시스템의 취약점을 찾아내어 보완합니다101317. 정기적인 취약점 평가는 최신 위협 인텔리전스를 기반으로 전략을 조정하는 데 도움이 됩니다13.
• 코드 리뷰: 동료 개발자들이 코드를 검토하여 오류를 발견하고 지식을 공유합니다7.
• 지속적인 통합(CI) 파이프라인에 보안 검사 자동화: CI 파이프라인의 일부로 소프트웨어 코드 품질 및 보안 검사를 자동화합니다7.
• 지속적인 모니터링 및 위협 탐지: 배포 후에도 지속적으로 시스템을 모니터링하고, 이상 징후나 새로운 위협을 신속하게 탐지하여 대응합니다313. 머신러닝 알고리즘은 이상 탐지를 향상시킬 수 있습니다13.
• 데이터 암호화 및 접근 통제: 민감한 데이터를 암호화하고, 역할 기반 접근 통제(RBAC) 등을 통해 권한 없는 접근을 막습니다114.
• 자동화된 취약점 스캐닝 도구 활용: 코드 작성 중 실시간으로 약점을 탐지할 수 있는 도구를 통합합니다13.
• DevSecOps 관행 도입: 개발 라이프사이클 내에 보안을 능률화하여 보안 테스트를 자동화하고 조기에 통합합니다13.
• 컨테이너 보안 도구 채택: 마이크로서비스 아키텍처를 보호하기 위해 이미지 스캐닝 및 런타임 보호 메커니즘을 사용합니다13.

소프트웨어 보안 품질의 중요성 및 이점

소프트웨어 보안 품질을 확보하는 것은 다음과 같은 중요한 이점을 제공합니다:

• 민감 정보 보호: 개인 식별 정보(PII), 금융 정보 등 중요한 데이터를 무단 접근 및 유출로부터 보호합니다15.
• 사용자 신뢰 확보: 소프트웨어의 안전성에 대한 사용자의 신뢰를 구축하고 유지하여 브랜드 평판을 향상시킵니다1115.
• 규정 준수: GDPR, HIPAA 등 산업별/지역별 법규 및 표준을 준수하여 법적 문제나 벌금을 피할 수 있도록 돕습니다1115.
• 재정적 손실 방지: 데이터 유출, 사이버 공격, 랜섬웨어 요구 등으로 인한 직접적인 재정적 손실과 복구 비용, 브랜드 이미지 손상에 따른 간접적 손실을 예방합니다115. IBM의 보고서에 따르면 2024년 전 세계 평균 데이터 유출 비용은 488만 달러에 달했습니다15.
• 시스템 무결성 및 가용성 보장: 공격으로 인한 시스템 기능 저하나 서비스 중단을 방지하여 사용자가 필요할 때 시스템을 안정적으로 사용할 수 있도록 합니다15.
• 소프트웨어 회복탄력성 향상: 보안과 품질에 중점을 두면 소프트웨어가 기능적일 뿐만 아니라 공격과 오류에도 강해집니다7.
• 장기적인 비용 절감: 개발 초기에 보안 문제를 해결하면 프로덕션 단계나 이후에 수정하는 것보다 비용이 훨씬 적게 듭니다1314.

Citations:

1. https://testsigma.com/blog/software-quality-attributes/
2. https://www.linkedin.com/pulse/quality-attributes-software-architecture-serhii-kokhan
3. https://www.computer.org/resources/software-security/
4. https://syndicode.com/blog/12-software-architecture-quality-attributes/
5. https://ahmedmanan.com/what-are-the-software-quality-attributes/
6. https://thetesteye.com/posters/TheTestEye_SoftwareQualityCharacteristics.pdf
7. https://www.software-quality-lab.com/expertise/software-security-and-code-quality
8. https://www.ijesi.org/papers/Vol(3)7/Version-1/C0371019027.pdf
9. https://thesciencebrigade.com/jst/article/view/64
10. https://iasa-global.github.io/btabok/quality_attributes.html
11. https://www.practitest.com/resource-center/article/the-basics-of-security-testing/
12. https://mperry.github.io/2012/02/15/quality-attributes.html
13. https://moldstud.com/articles/p-key-technologies-used-by-software-security-engineers
14. https://dev.to/lahiru_rajapakshe_8634adb/software-quality-attributes-the-key-to-building-robust-software-857
15. https://www.qt.io/quality-assurance/blog/security-testing-in-software-development-what-it-is-and-why-its-important
16. https://qarea.com/blog/what-is-software-quality-attribute
17. https://assurance.ncsa.gov.qa/sites/default/files/library/2020-10/CDP-NIAF-SSQA-FG%20-V1.1%20%20(Framework_Guidance).pdf
18. https://softwaremill.com/the-importance-of-software-quality-attributes/
19. https://www.sciencedirect.com/science/article/pii/S277237552400128X
20. https://wstomv.win.tue.nl/edu/2ii45/year-0910/Software_Architecture_in_Practice_2nd_Edition_Chapter4.pdf
21. https://yumdata.tistory.com/275
22. https://en.wikipedia.org/wiki/List_of_system_quality_attributes
23. http://dslab.konkuk.ac.kr/Class/2019/19ASE/Lecture%20Note/RE%20Chapter%208.pdf
24. https://velog.io/@3eung_h10n/%EC%86%8C%ED%94%84%ED%8A%B8%EC%9B%A8%EC%96%B4-%EC%95%84%ED%82%A4%ED%85%8D%EC%B2%98-6Quality-Attributes
25. https://blog.naver.com/resious/30094759038
26. https://www.codecentric.de/knowledge-hub/blog/how-to-identify-relevant-quality-attributes-in-software
27. https://apiumhub.com/tech-blog-barcelona/software-architecture-quality-attributes/
28. https://www.3pillarglobal.com/insights/blog/the-importance-of-quality-attributes-in-software-architecture/
29. https://adeesh.hashnode.dev/quality-attribute-scenario
30. https://gogetsecure.com/security-architecture-diagram/
31. https://www.synergycodes.com/our-work/cyber-security-architecture-diagram-for-cybersecurity-company
32. https://owasp.org/www-chapter-los-angeles/assets/prez/OWASPLA_prez_2023_06.pdf
33. https://insights.sei.cmu.edu/documents/1142/1995_005_001_16427.pdf
34. https://github.com/joelparkerhenderson/system-quality-attributes
35. https://www.linkedin.com/advice/3/how-do-you-prioritize-security-architecture-quality-va8df

---