안녕하세요.
글로벌 IT Service Leader 주식회사 #다인엔시스 입니다.
최근 사이버 공격의 양상은 경계보안이 아닌 소프트웨어 내부 취약점을 정밀하게 노리는 방향으로 변화하고 있습니다.
전 세계적으로 보고되는 CVE 취약점은 2025년 기준 이미 41,000건 이상을 기록했으며,
전체 애플리케이션의 75.2%*가 최소 1개 이상의 취약점을 포함하는 것으로 나타났습니다.
초기 공격의 20% 이상은 이미 알려진 취약점(패치 미적용)을 직접 악용합니다.
방화벽이나 IDS(침입탐지시스템)만으로는 애플리케이션 내부의 논리적 오류나 잘못된 설정을 막기 어렵습니다.
결국 코드 수준의 보안 내재화(Secure by Design) 가 기업 보안의 핵심이 되었습니다.
이에 따라 한국인터넷진흥원(KISA)은 「소프트웨어 보안약점 진단가이드」를 제정하여,
소프트웨어 개발 단계부터 보안요구사항 식별 → 설계 → 구현 → 검증까지
체계적으로 점검하는 절차를 표준화했습니다
출처 : 한국인터넷진흥원
오늘 이 가이드 간단한 개요에 대해서 알아보겠습니다.
📊 소프트웨어 취약점 증가 추이
가이드의 핵심 목표는 정보자원의 기밀성·무결성·가용성을 유지하여
성공적인 사업 운영을 지원하는 것입니다
전세계 신규 취약점 보고 건수 (NVD 기준)
폭증하는 취약점의 수는 더 이상 사후 대응이 아닌 **선제적 개발보안(Secure by Design)**이 필수적임을 보여줍니다.
즉, 보안약점 진단은 단순한 코드 검사가 아니라 조직의 신뢰도와 품질 보증을 강화하는 제도적 장치입니다.
KISA 가이드에 따르면 다음과 같은 항목이 진단의 핵심 대상입니다.
- 보안 요구사항이 명확히 정의되지 않은 설계
- 검증되지 않은 입력값 처리
- 취약한 코딩 규칙 적용
- 패치 미이행 및 배포 단계 관리 부재
이러한 취약점은 시스템 장애와 정보 유출의 주요 원인이 되며,
가이드는 이를 개발 생명주기(SDLC) 단계별로 진단해 제거하는 체계를 제공합니다
보안 취약점 진단가이드 구성 / 설계단계와 보안설계 기준 / 현단계 보안 취약점 로 나눠서 살펴보겠습니다.
📌 KISA 보안 취약점 진단 가이드 구성
| 설계단계 | 보안 요구사항 반영 여부 | 설계 산출물, 아키텍처, 데이터 흐름 |
| 구현단계 | 코드·설정 기반 취약점 제거 | 소스코드, 설정파일, 라이브러리 |
🧩 설계단계 보안설계 기준(9개 항목)
- 입력 데이터 검증
- 보안기능(인증·인가·암호화)
- 시간 및 상태관리
- 오류 처리
- 코드 오류
- 캡슐화
- API 오용 방지
- 보안 설정
- 플랫폼 보안
💻 구현단계 보안 취약점 13대 영역 / 총 72개 항목
아래는 가이드 원문 기준 모든 항목을 표로 정리한 버전입니다.
1. 입력데이터 검증 및 표현 (15항목)
| 1 | SQL 삽입 |
| 2 | 코드 삽입 |
| 3 | 경로 조작 및 자원 삽입 |
| 4 | 크로스사이트 스크립트(XSS) |
| 5 | 운영체제 명령어 삽입 |
| 6 | 위험한 파일 업로드 |
| 7 | 신뢰되지 않는 URL 자동접속 |
| 8 | XML 외부 개체 참조(XXE) |
| 9 | XML 삽입 |
| 10 | LDAP 삽입 |
| 11 | 메모리 버퍼 오버플로우 |
| 12 | 포맷스트링 삽입 |
| 13 | 보안기능 판단 입력값 오류 |
| 14 | 정수형 오버플로우 |
| 15 | 무결성 검사 없는 코드 다운로드 |
2. 보안기능 (9항목)
| 16 | 하드코드된 중요정보 |
| 17 | 주석문 내 주요정보 노출 |
| 18 | 중요정보 평문 저장 |
| 19 | 중요정보 전송 시 암호화 미적용 |
| 20 | 취약한 암호 알고리즘 |
| 21 | 적절하지 않은 키 길이 |
| 22 | 중요정보 화면 노출 |
| 23 | 부적절한 전자서명 확인 |
| 24 | 중요정보 보호 미흡 |
3. 시간 및 상태관리 (3항목)
|
25
|
경쟁조건(TOCTOU)
|
|
26
|
무한루프 등 자원 고갈
|
|
27
|
비정상 상태값 처리
|
4. 오류처리 (5항목)
|
28
|
예외 정보 노출
|
|
29
|
디버그 정보 노출
|
|
30
|
부적절한 오류 처리
|
|
31
|
오류 시 상태 불일치
|
|
32
|
민감정보 포함 오류 메시지
|
5. 코드오류 (7항목)
|
33
|
Null Pointer 역참조
|
|
34
|
Use After Free
|
|
35
|
Double Free
|
|
36
|
초기화되지 않은 변수
|
|
37
|
Out-of-Bounds 접근
|
|
38
|
부적절한 캐스팅
|
|
39
|
논리 오류 기반 보안취약점
|
6. 캡슐화 (4항목)
| 40 | 불필요한 public 노출 |
| 41 | private 데이터 외부 노출 |
| 42 | 불필요 Getter/Setter |
| 43 | 내부 객체 보호 미흡 |
7. API 오용 (4항목)
|
44
|
취약한 암호화 API 사용
|
|
45
|
strcpy 등 위험 함수 사용
|
|
46
|
예측 가능한 난수 사용
|
|
47
|
취약한 암호 랜덤 생성
|
8. 환경설정 (4항목)
|
48
|
디버그 모드 활성화
|
|
49
|
기본계정 사용
|
|
50
|
불필요 서비스 활성화
|
|
51
|
잘못된 파일/디렉토리 권한
|
9. 로깅 및 감사 (4항목)
|
52
|
민감정보 로그 저장
|
|
53
|
로그 위변조 가능
|
|
54
|
로그 무결성 미보장
|
|
55
|
감사 기록 부족
|
10. 코드 주석·테스트 코드 (3항목)
|
56
|
주석 내 비밀번호/키 포함
|
|
57
|
테스트 코드 삭제 누락
|
|
58
|
주석에 시스템 정보 포함
|
11. 보안 패치 관리 (2항목)
| 59 | 외부 라이브러리 패치 미적용 |
| 60 | 취약한 모듈 재사용 |
12. 세션·쿠키 보안 (5항목)
|
61
|
예측 가능한 세션ID
|
|
62
|
Secure/HttpOnly 미적용
|
|
63
|
세션 고정 공격 가능
|
|
64
|
쿠키 변조 가능
|
|
65
|
세션 종료 미흡
|
13. 플랫폼별 특화 항목 (7항목)
| 66 | OS 계정 권한 오남용 |
| 67 | ACL 설정 미흡 |
| 68 | 암호화 저장소 미사용 |
| 69 | DB 접근제어 미흡 |
| 70 | Web/WAS 기본 설정 노출 |
| 71 | Cloud Metadata 노출 |
| 72 | 가상화/컨테이너 보안 미흡 |
✔ OS별 실무 보안 체크리스트
🟩 Ubuntu
- /etc/shadow 권한 600
- root SSH 로그인 차단
- Fail2ban, UFW 필수
- /tmp noexec 옵션
🟦 Rocky Linux
- SELinux enforcing
- auditd 활성화
- 불필요 데몬 제거
🟥 Windows Server
- Administrator 이름 변경
- SMBv1 비활성화
- RDP 접근제어
- Sysmon 기반 감사
오늘날의 적용과 의미
현재 이 진단 가이드는 공공기관은 물론 민간기업, 금융권, 산업제어시스템에서도 폭넓게 사용됩니다.
실무적으로는 다음 세 영역에서 활용도가 높습니다.
| 공공·행정기관 | 정보시스템 구축 시 ‘SW보안약점 진단’ 의무화 (행안부 고시 제2021-3호) |
| 기업·사업자 | 개발 단계별 보안 적용 및 자체 진단 의무, 납품 시 진단보고서 제출 |
| 감리법인 | 설계단계 보안항목 반영 및 구현단계 코드 보안약점 제거 여부 확인 |
특히 Ubuntu, Rocky Linux, Windows Server 환경별로는
서버 구성과 OS 권한체계의 차이로 인해 진단 항목별 세부 점검 방식이 달라지므로,
향후 다인엔시스 블로그에서는 OS별 보안약점 진단 시리즈로 세분화해 다룰 예정입니다.
예:
- Ubuntu 편: 오픈소스 기반 서비스 포트 관리 및 의존성 취약점 진단
- Rocky Linux 편: SELinux 설정·관리, root privilege 최소화
- Windows Server 편: 그룹정책·레지스트리 보안 항목 검증
🧱 이 항목들이 왜 중요한가
보안약점 항목들은 단순히 ‘코딩 가이드라인’이 아니라
정보시스템의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 을 보장하는 핵심 구성요소입니다.
가이드는 이를 통해 다음과 같은 보안 내재화 효과를 기대합니다.
- 분석단계: 보안요구사항 정의
- 설계단계: 보안항목 반영
- 구현단계: 코드 수준 검증 및 제거
- 테스트단계: 보안성 검증 및 재확인
즉, 기업의 SDLC(Security Development Life Cycle)에 보안을 통합하여
개발 → 배포 → 유지보수 전 과정에서 일관된 보안 품질을 유지할 수 있도록 설계된 체계입니다.
기업이 주목해야 할 이유
보안약점 진단은 단순한 규정 준수가 아닌 리스크 절감 도구입니다.
- 사전 예방: 취약점이 실제 공격으로 악용되기 전 탐지 가능
- 품질 향상: 보안·기능·품질 테스트의 통합 효과
- 법적 리스크 완화: ISMS-P, 공공입찰 등 인증·평가 대응 용이
- 운영 안정성 확보: 배포 후 장애·사고 확률 감소
특히 DevSecOps 체계와 연계하면 자동화된 보안 진단 파이프라인을 구성할 수 있어,
대규모 서비스 환경에서도 일관된 보안 품질을 유지할 수 있습니다.
마치며
이번 포스팅에서는 KISA 「소프트웨어 보안약점 진단가이드」를 기반으로
시장에서 왜 이 기준이 중요해졌는지,
기업 실무에서는 어떤 의미로 활용되는지,
그리고 구현단계 13개 영역·72개 전체 항목까지
전체적인 개요를 정리했습니다.
다음 글에서는 OS 환경별로
Ubuntu / Rocky Linux / Windows Server 를 개별로
각각의 보안약점 항목을 실제 설정과 함께 깊게 다뤄보겠습니다.
감사합니다.
📌 참고자료(공식)
- 2025 취약점 통계 : https://securityvulnerability.io/stats
- 애플리케이션 취약점(75.2%) :
https://www.comparitech.com/blog/information-security/cybersecurity-vulnerability-statistics/ - Known Vulnerability Exploit 비율:
https://www.indusface.com/blog/key-cybersecurity-statistics/ - 데이터 침해 비용 : https://www.ibm.com/reports/data-breach
- KISA 보안약점 진단가이드 : https://www.kisa.or.kr
다른 내용이 궁금하시다면 아래의 카테고리를 참고해주세요
DAINNSYS/다인엔시스/다인엔시스기술지원/스위치/스위치 기술지원비(비용)/스위치 설치비/방화벽/방화벽 기술지원비(비용)/방화벽 설치비/랙/랙(RACK) 기술지원비(비용)/랙(RACK) 설치비/KVM/KVM 기술지원비(비용)/KVM 설치비/스토리지/스토리지 기술지원비(비용)/스토리지 설치비/스토리지 랙마운트비용/스토리지 장애조치비용/서버/서버 기술지원비(비용)/서버 설치비/서버 랙마운트비용/서버 장애조치비용/윈도우서버/윈도우즈 기술지원비(비용)/윈도우즈 설치비/리욱스/Linux/리눅스 기술지원비(비용)/리눅스 설치비/DB/데이터베이스/MySQL 기술지원비(비용)/MySQL 설치비/MSSQL 기술지원비(비용)/MSSQL 설치비/백업 기술지원비(비용)/HPE서버비용/HPE/DL20/DL20GEN10/ML30/ML30GEN10/ML360/ML350GEN10/DL360/DL360Gen10/DL380/DL380Gen10/LENOVO서버/레노보서버/델서버/델서버비용/DELLR540/DELLR750/HP서버/서버엔지니어/서버기술지원/서버디스크장애처리/방화벽/방화벽엔지니어/APC UPS/UPS/UPS설치/UPS기술지원/UPS납품/서버렉마운트/HPE Service Pack for Proliant/HPE SPP/SPP/Intelligent Provisioning/시놀로지나스/나스기술지원/SYNOLOGY/SYNOLOGY나스/시놀로지DS918/시놀로지하이퍼백업/HYPER BACKUP/시놀로지HyperBackup/시놀로지나스백업/서버백업/서버트러블슈팅/리눅스트러블슈팅/보안솔루션/시큐어디스크/인터넷디스크/이스트소프트/알약/카스퍼스키/ESTSOFT/V3/안랩/소포스/SOPHOS/카보나이트/더블테이크/이중화솔루션/HA솔루션/Windows서버설치/왼도우서버설치/윈도우서버2019/윈도우서버2016/MSSQL/MYSQL/디포그랙/DEFOG랙/디포그랙가격/EDFOG랙가격/RMS랙/서버납품/랙납품설치/랙설치/나스설치지원/스토리지납품설치/윈도우서버트러블슈팅/리눅스서버트러블슈팅/HPE서버펌웨어/HP서버펌웨어/HPE서버/FIRMWARE/DELL서버펌웨어/델서버펌웨어업데이트/레노보서버펌웨어/LENOVO펌웨어업데이트/HPE서버드라이버설치/HPE서버구매/DELL서버구매/LENOVO서버구매/보안솔루션구매/이중화솔루션구매/보안솔루션설치/이중화솔루션설치/HPE서버가격비교/DELL서버가격비교/LENOVO서버가격비교/HPE서버가격비교견적/DELL서버가격비교견적/LENOVO서버가격비교견적/HPE서버견적/DELL서버견적/LENOVO서버견적/HPE서버디스크교체/DELL서버디스크교체/LENOVO서버디스크교체/HPE서버RAID컨트롤러/HPE서버RAID컨트롤러/DELL서버RAID컨트롤러/LENOVO서버RAID컨트롤러/HP서버하드디스크/HPE서버하드디스크구매/DELL서버하드디스크구매/LENOVO서버하드디스크구매/HPE서버SAS하드디스크/DELL서버SAS하드디스크/LENONO서버SAS하드디스크/HPE서버메모리/DELL서버메모리/LENOVO서버메모리/HP서버메모리/HPE서버CPU/DELL서버CPU/LENOVO서버CPU/서버CPU/서버메모리/서버MEMORY/ECC메모리/서버용메모리/서버용하드디스크/서버용그래픽카드/쿼드로P400/QUADRO그래픽카드/QUADRO/우분투설치/서버보안/네트워크장비/네트워크스위치/L2스위치/L3스위치/OS설치/서버OS설치/리눅스서버설치/우분투설치/페도라설치/레드헷설치/RHEL설치/워크스테이션/서버/hp워크스테이션/서버컴퓨터/델워크스테이션/hp서버/미니서버랙/중고서버/hpz4/dell워크스테이션/서버pc/hpz4g4/중고워크스테이션/hpz440/레노버p620/서버용컴퓨터/델서버//레노버워크스테이션/hpz420/dell서버/인스퍼/INSPURE/인스퍼서버/R760/R750//R250/R350/R750xs/GPU서버/AI서버/HPPC구매/델서버견적/델워크스테이션견적/A100/A6000/A5000/A4000/A2000/T400/다인월드/DAINWORLD/델서버쇼핑몰
'기술 자료 > 기타 기술자료' 카테고리의 다른 글
| [Windows11] WMIC 대체안 : PowerShell CIM (0) | 2026.01.20 |
|---|---|
| [GPU] PowerEdge R760 + RTX PRO 6000 Blackwell Max-Q 장착기 (0) | 2025.10.13 |
| [GPU] Dell Precision 7960T + RTX PRO 6000 Blackwell Max-Q 장착기 (0) | 2025.10.02 |
| [기술] 유지보수 기술지원 같은 듯 다른 두 가지 이야기 (From. chatGPT) (0) | 2025.05.21 |
| [NAS/UPS] Synology NAS에서 APS UPS 사용하기 (0) | 2025.03.10 |
댓글