CSDL, 여러 겹의 보안 장치로 더욱 안전하게!

동화에서 배우는 철통 보안의 비결

성배를 탈환하거나, 공주님을 구출하거나, 영생의 샘물을 얻거나 등등의 이유로 모험을 떠나는 동화 속 주인공들.

그러나 그 과정은 결코 녹록치 않습니다. 사악한 문지기를 물리치면 불 뿜는 드래곤이 등장하고, 불 뿜는 드래곤을

물리치면 흡혈거미 떼가 쏟아져 나오고, 흡혈거미 떼를 물리치면 목 없는 기사가 얼음 칼을 들고 나오는 식이죠.

성배나, 공주님이나, 영생의 샘물의 가치가 귀하면 귀할수록, 통과해야 할 ‘관문’의 숫자는 늘어만 갑니다.

뒤집어 말하면, 다양한 종류의 보안 장치를 ‘겹겹이’ 해두는 것이 가장 안전한 보안 방법이라고 할 수 있을 텐데요.

‘시스코 보안 개발 주기(CSDL(Cisco Secure Development Lifecycle))’ 역시 이와 같은 원리를 이용하고 있습니다.

네트워크 단에서의 보안 뿐 아니라, 모든 제품 아키텍쳐, 디자인 및 개발 단계에서부터 보안 취약점을 고려함으로써,

결론적으로 보안 ‘관문’의 숫자를 늘이는 방식인데요. CSDL이 추구하는 방향을 좀 더 자세히 살펴보실까요?

Cisco Secure Development Lifecycle

CSDL은 ‘보안’이 시스코가 개발하는 모든 제품 및 서비스의 핵심 속성으로 자리매김할 수 있도록 합니다.

그를 위해 거치는 단계들을 총 3가지로 분류하면 아래와 같습니다.

- ‘보안 기준요건(baseline requirements)’, ‘위협 모델링 리뷰(threat modeling reviews) 등을 활용해

제품의 디자인단계에서부터 보안을 포함한다

- 발생 가능한 취약점을 발견, 수정 및 방지할 수 있도록 까다로운 소프트웨어 개발 디자인 단계를 거친다

- 마지막으로, 앞의 두 가지 보안 조치가 얼마나 효율적인지 실험해 부족한 점을 보완함으로써,

보다 완벽한 보안을 추구한다.

CDSL에 대해 좀 더 자세히 살펴보면, 먼저, CDSL은 다양한 업계 표준들과 사례들을 활용합니다. 이를테면,

CSDL는 보안연구 및 교육으로 유명한 SANS에서 해마다 미국 연방수사국(FBI)에 제출하는 보안 취약성

보고서인 SANS TOP 25 에서 찾아볼 수 있는 일반적인 소프트웨어 취약점을 찾아서 제거하고,  Safe C

라이브러리와 OWASP Java 라이브러리를 활성화시킵니다. 이는 Pro-Police나 BOSC처럼 설계 리뷰나

정적 분석, 표준 기반의 컴파일러 기술 등에서의 위협 모델링을 활성화하는데 있어 업계 모범적인 사례를

제시하고, 또 일반적으로 사용되거나 오픈 소스를 이용한 취약점 진단을 활용하기 위해서이기도 합니다.

심지어 시스코는 자가 개발 과정에 대한 ISO 인증도 CSDL을 반드시 포함해야 하는데요. 이는 일반적인 기술

요구사항과 보안 코딩 과정, 코드 리뷰, 테스팅 및 감사 등이 시스코의 제품 개발 과정에서 지속적으로 실행되고

있다는 점을 고객들에게 보여주고 있습니다. CSDL의 최종적인 목표는 시스코 제품이 외부의 공격에 강하며, 

또 공격을 당할시에도 손쉽게 복구가 가능하다는 점을 고객들에게 보여주는 것이라고 하죠.  

이렇듯 여러 겹의 보안 테스트 과정을 거친 시스코 제품 및 서비스이니, 그 안전성이 신뢰가 가겠죠? ^^
또한 매번 업그레이드 돼 공격해오는 각종 악성 코드와 해킹에도 대비할 수 있도록, CSDL은 늘 새로이

업데이트된 사례들과 방법들로 테스트하며 스스로를 ‘진화’시키고 있어 더욱 믿음직스럽답니다~

CSDL에 대한 좀 더 자세한 내용은 여기를 참고하시기 바랍니다.

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.