SW개발 보안

SW개발 단계에 따른 적용 가능 보안 기술

SW 개발단계	역 할	보안 고려 요소
SW요구사항 분석	· SW에 존재할 수 있는 취약점을 예측 · 취약점을 예방하기 위한 요구사항	· Secure Requirement · Abuse Case · Misuse Case
SW 설계	· SW 구조나 설계 문서상 취약점 식별 · 예방하기 위한 대책 수립	· Security Patterns · Threat Modeling · Architectural Risk Analysis
SW구현	· 실제로 작성된 코드 분석 · 안전한 코드 사용으로 취약점 제거	· Code Review · Secure Coding · Static Analysis
SW통합 및 시험	· 동작하는 SW에 오류를 주입 ⇨ 검증 · 예상되는 취약점을 공격 ⇨ 검증 · 소스코드 보안 취약점 ⇨ 검증 · 소스코드 실행 보안 취약점 ⇨ 검증	· Vulnerability Scanning · Penetration Testing · Fault Injection · Fuzzing Testing · Dynamic Analysis · Taint Analysis

임베디드 시스템 공격과 점검항목

공  격	설  명	점검 항목
불법침입	임베디드 시스템을 원격제어	- 접근제어 - 신분증명 및 인증
감청	통신 메시지를 감청	- 체계 및 통신 보호
Spoofing	스푸핑 또는 악성 메시지/악성 첨부 메시지에 의해 공격대상 동작	- 신분증명 및 인증 - 체계 및 통신 보호
통신재생	감청한 자료 또는 악의적 수정자료를 반복적으로 발송	- 체계 및 통신 보호
물리적 분석	공격자가 탈취하여 재조립 또는 수정	- 형상관리 - 체계 및 서비스 획득 - 공급 사슬 관리 - 체계 보안 - 체계 및 정보 무결성
악성코드 삽입	악성코드 삽입	- 형상 관리 - 체계 및 서비스 획득 - 체계 보안 / 무결성 점검
다중시스템 협력공격	에너지를 조절/소비하는 임베디드 시스템을 동시에 제어	- 접근 제어 - 형상 관리 - 신분증명 및 인증 - 체계 및 통신 보호