Topic:: 리테일 & 로지스 테크 컨퍼런스 2024
Previous Note : Session 7. 무인화 매장 시장의 현재와 기술 동향 - 2024-03-08
Summary
- 갑자기 튀어나온 개발중심 세션. 하지만 나름의 컴공 출신으로서, 적당히 재밌게 봤었다.
- 보안과 개발의 상관관계, 협업 방향성 등을 알 수 있었다.
Notes
- Speech : 신세계인터내셔날, 임홍철 CISO/정보보안담당
왜 개발자가 보안까지 책임져야 합니까? 개발자는 보안을 신경 쓰고 싶지 않다.
국내 개발조직의 반복적이고 동일한 악순환의 연속
- 개발사업 진행 (짧은 기간, 적은 예산 - 일단 개발 진행시켜, 초기 협의 없음.
- 테스트 시 보안검토 요청 (다수 취약점 발견, 갈등의 시작 - 너네 이 취약점들 조치해서 해줘.)
- 취약점 조치 미완료 상태로 서비스 게시 (결국 개발 조직의 일정을 이야기하면서 전체를 조치하지 않고 완료한다.)
개발의 상황 이해하기
개발 조직은 왜 그럴까?
1. 개발자에게 요구되는 소양
- (+) : 능력을 키워야 직장에서 직장인으로서 인정받을 수 있다.
기본 요구소양
- 업무분석 (+) : 어떻게 개발할까?
- 문서작성 (제안서, 산출물) (+)
- 고객소통 (+)
기본 요구소양 (자꾸 변화하는 트렌드)
- DB 설계 (+)
- 개발 언어
- SQL 튜닝
- 개발 툴 사용
- 개발 방법론 숙지 (+)
개발보안 요구소양
- 법령 이해 (보안관련 지침 등)
- 취약점 이해
- 개발해서 나온 이 취약점은 무슨 취약점일까?
- 보안코딩 이해
- 취약점을 어떻게 대응할 것인가?
- 침해사고 대응
2. 무엇이 문제인가?
개발은 보안을 : 문제를 던지고 지적질만 하는 무책임한 놈들 보안은 개발을 : 미리 협의할 줄도 모르고 지 얘기만 하는 놈들
3. 해결방안 : 개발보안표준 (보안 API)
-
대부분의 침해사고는
- 대체로 로그인, 파일 다운로드, 회원정보 조회, 게시판, 충전금 등에서 발생
-
재발의 원인은
- 개선, 고도화 등 추진 시 취약점 조치부분 훼손
-
근본적 대책은
- 조치된 원본이 훼손되지 않게끔 관리