티스토리 뷰
지금은 애플리케이션 보안요구사항정의서를 제공하기 위한 셀프서비스를 기획하고 있는데, 여기서 사용할 보안요구사항을 어떻게 도출하면 좋을지 어떤 내용을 어떤 방식으로 제공할지를 찾아보다가 SRE를 알게되어 다양한 SRE와 관련된 여러 논문을 확인해보았다.
여러 종류의 SRE(Security Requirement Engineering) 논문을 확인해보면서 보안요구사항을 도출하면 좋을 것인가를 고민하게 되었다.
각 논문에 작성된 SRE는 각각의 내용은 정리해서 공유하는 것 또한 저작권법에 위법될 수 있기 때문에 공유할 수는 없을 것 같다.
그렇지만 여러 방법을 확인해보면서 몇가지 공통적인 것들과 어떤 목표를 위해 만들어졌는지를 알 수 있었다.
현재 준비중인 보안요구사항 도출방식은 확인했었던 SRE와 완전히 동일하지는 않지만, 현재 구상중인 셀프서비스와 이 서비스를 통해 이루고 싶은 목표에 따라 본인만의 방식을 도출해보았다.
이번 블로그에서는 나만의 방식보다는 그동안 학습한 내용을 전반적으로 정리해보려고 한다.
다양한 보안요구사항 방법론
1. SREF (Security Requirement Framework)
가장 일반적인 보안 요구사항 도출 방법론으로 기능적 요구사항을 보안목표에 따라 보안 요구사항을 식별
2. MORSE (Model Oriented Security Requirement Enginering)
앱 애플리케이션에 맞춰진 기능적/비기능적 보안요구사항에 대한 추적성과 분석을 쉽게 만들어 주는 방법론
3. Holistic Security Requirement Engineering
이커머스 시스템을 목표로 하며, 비즈니스 목표달성을 위해 보안 요구사항의 수정이 필요할 수 있는 방법론
4. SQUARE (Security QUAlity Requirement Engineering)
보안 요구사항의 카테고리화 및 우선순위화에 사용되는 방법론
5. SREP (Security Requirement Engineering Process)
보안 평가 표준 (Common Criteria)을 중심으로 재사용 개념을 기반으로 하는 프로세스로, 요구사항 엔지니어링과 보안 엔지니어링을 SDLC에 통합
몇가지 요구사항 방법론이 더 존재하였는데, 이러한 요구사항 방법론을 확인하면서 몇가지 공통 또는 특징되는 내용이 존재하였다.
- 자산 확인
- 보안목표 수립
- 위협식별 및 평가
- 보안 요구사항 분류 및 우선순위 지정
- 재사용
- 추적가능성
이러한 점을 보았을 때, 비즈니스 목적에 따른 보안목표가 있을 것이고, 해당 보안목표를 달성을 방해하는 위협이 존재할 것이다.
여기서 보안 요구사항은 결국 비즈니스 목적을 달성하기 위한 위협을 제거하기 위해 만족되어야 할 내용 또는 조건이라고 할 수 있을 것이다.
이때 식별된 보안요구사항은 100% 모두 만족할 수 없을 수 있다.
일반적으로 보안을 지키기 위해 포기해야 하는 것 중에 비즈니스에 가장 중요한 것이 있을 경우, 우리는 선택을 해야 한다.
가장 좋은 것은 두 가지 모두 만족하는 것이지만, 이를 위한 충분한 개발 리소스가 부족한 경우, 리스크 수용 또는 완화로 가기 때문에 100% 보안 요구사항을 만족하는 것은 어려운 것 같다.
이럴 때를 위해 보안 요구사항을 분류하고 우선순위를 지정한다.
여기서 우선순위는 다양한 이해관계자와의 지속적인 커뮤니케이션을 통해 종합적으로 결론이 나야할 것이다.
사실 여기까지는 어찌보면 일반적인 내용일 수도 있다.
현재 내가 셀프서비스를 구축하고자 하는 입장에서 "재사용"과 "추적가능성"은 상당히 중요한 내용이라고 생각했다.
특히 재사용이 가능해야 구축하려는 셀프서비스의 확장성과 Agile 방식의 개발이 가능할 것으로 보였다.
추적가능성은 도출하여 제공된 보안 요구사항을 제대로 지켰는지 확인할 수 있어야 셀프서비스의 목표를 다 이루는 것이라는 것으로 보인다.
현재 나는 Application Security Requirement를 제공하기 위한 셀프 서비스를 디자인하고 있기 때문에, 자산은 서비스 타입으로 규정하고, 각 서비스 타입에서 만족해야 할 보안목표(회사에서 추구하고 우선순위가 높은 보안목표)에 대한 요구사항을 수집하였다.
여기서 수집한 요구사항은 기능적/비기능적 모듈 단위로 Grouping을 진행하여 재사용이 가능하도록 하였으며, 식별한 보안요구사항은 보안요구사항 정의서를 제공하여 추적가능하도록 디자인하였다.
그 동안 다양한 보안요구사항을 도출하고 가이드도 작성하였지만, 이번에는 처음으로 방법론을 통해 보안요구사항 도출 아키텍쳐를 구축하여 진행하고 있다. 이번 프로젝트는 개인적으로 의미있고, 그동안 인지하지 못했던 부분도 알게 되어 좋았던 것 같다.
앞으로 어떻게 더 발전시킬수 있을지 더 고민하고 노력해야 할 것 같다.
'Anything' 카테고리의 다른 글
| Summary of Kafka in Security Side (1) | 2023.02.26 |
|---|---|
| Summary of FinTech (0) | 2019.04.25 |
- Total
- Today
- Yesterday