보안 개발 방법론 (Secure SDLC)

보안 개발 방법론 (Secure SDLC)

소프트웨어 개발 생명주기 전 과정에 보안 활동을 통합하여 보안 취약점을 사전 예방하는 개발 방법론

목적: 보안 취약점 조기 제거, 보안 비용 절감, 규제 준수, 보안 내재화

MS SDL (Microsoft Security Development Lifecycle)

• •교육 → 요구사항 → 설계 → 구현 → 검증 → 릴리스 → 대응
• •위협 모델링(STRIDE), Fuzz 테스트, 최종 보안 리뷰(FSR)
• •가장 널리 알려진 Secure SDLC 모델

BSIMM (Building Security In Maturity Model)

• •조직의 보안 활동 성숙도를 측정하는 프레임워크
• •12개 실천 영역, 119개 활동 항목
• •다른 조직과 벤치마킹 가능, 서술적(Descriptive) 모델

OWASP CLASP (Comprehensive Lightweight Application Security Process)

• •역할 기반 보안 활동 정의 (프로젝트 관리자, 설계자, 개발자, 테스터)
• •24개 보안 활동, 기존 SDLC에 통합 용이
• •경량 프로세스, OWASP에서 관리

SAMM (Software Assurance Maturity Model)

• •OWASP 주관, 보안 성숙도 평가/개선 프레임워크
• •5개 비즈니스 기능 × 3개 보안 실천
• •성숙도 레벨 0~3, 자가 평가 도구 제공

Seven Touchpoints (Gary McGraw)

• •소프트웨어 보안 7가지 핵심 활동
• •코드 리뷰, 아키텍처 위험 분석, 침투 테스트, 위험 기반 보안 테스트 등

비교: MS SDL(프로세스 중심/처방적) vs BSIMM(성숙도 측정/서술적) vs CLASP(역할 기반/경량) vs SAMM(성숙도 개선/OWASP)

연관: STRIDE, OWASP, 위협 모델링, SAST/DAST, DevSecOps