2015.10.05 S/W 보안 컨퍼런스

2015.10.05  S/W 보안 컨퍼런스에 다녀왔습니다.

보안에 대해 깊은 지식이 있는 전문가는 아니지만 프로그래머로서 보안은 빼놓을 수 없는 중요한 요소이고, 항상 생각해야 하는 부분이기 때문에 참석하게 되었습니다.

행사 진행은 다음과 같이 이루어졌습니다.

개발자의 보안적인 측면에 대하여 여러가지를 듣고 배우는 시간이었습니다.

다양한 회사, 학교 등등 S/W분야의 사람들이 참석했었습니다. 시야가 넓어지는 시간이었던 것 같습니다.

일찍 도착하여, 준비하는 동안 찰칵찰칵 했습니다.ㅎ

여러가지 강의가 진행되었습니다. 주로 SW설계단계에서 개발보안을 많이 강조하셨는데, 아무래도 SW개발이 끝난 후 보안을 추가하는 부분에 대한 비용과 시간이 크기 때문에, 그보다는 초기적용으로 인한 실제 비용이 절감된다고 합니다.

SW 개발보안에 대한 앞으로의 여러 이슈들에 대한 부분입니다.

여러 높으신 분들에 대한 말씀이 있으셨는데요, 간단하게 정리해보았습니다.

1. 인력/양성 전문 -> Secure Ccoding의 바운더리를 넘어 설계부분에서의 보안적인 측면을 강화하기 위한 체계적인 교육이 필요

-> 방안 

(1) 개발자 보안과정 

(2) 교육 대상의 다양화 

(3) 학부생을 지도할 교수/여건이 필요

2. 체크리스트의 정밀성 -> '가이드'는 단지 '틀'일뿐, 그 이상의 세심하고 구체적인(잘 만들기 위한) 목표가 필요

개발 프로세스 자체에 대해서도 재정립이 필요하고, 대규모 산업의 경우에 단계를 내려갈수록 수준낮은 외주인력이 들어온다고 합니다. 

3. 시장/사업 방향 -> 융복합 시대로 접어듬으로써 사이버보안위협도 증가

- 이를 위하여 기술경쟁력의 강화와 우수인력의 도입을 증가 시킬 것이라고 KISA에서 발표하였습니다.

4. SDLC(Software Development Life Cycle)에 중점 -> 기본에 충실하자

5. 모바일은 아직 보안이 많이 약한편인데, 모바일부분도 확산하며, 인력도 충원

정책적인 입장으로 

1. 시장형성/대가를 위한 예산을 투입할 것이며(실효성),

2. 사이버안보 기본법(내용업무/취약점) 제정과,

3. 지침->법률 수준으로 명분을 높임으로써 예산을 얻을 것이라는 행정자치부(연구소)에서의 발표가 있었습니다.

컨퍼런스에 참여하며 개발자가 단순 개발뿐만 아니라 보안적인 측면의 중요성과 지식의 필요성을 갖추는 것이 비용/시간 적인 측면에서 효율적이며 여러 보안위협과 미래에 대한 방안등의 여러 정보를 얻는 좋은 기회였습니다.

보안 분야가 개발자로써 놓쳐서는 안되는 꼭 필요한 부분이라는 것을 다시금 깨닫는 좋은 시간이었습니다.