Å©°Ôº¸±â ÀÛ°Ôº¸±â
IriusRisk, À§Çù ¸ðµ¨¸µ ÄÚĪ ¼­ºñ½º Á¦°ø À§ÇØ ÀÌ ºÐ¾ß Àü¹®°¡ÀÎ Adam Shostack°ú ¼Õ ¸ÂÀâ¾Æ
2024³â 10¿ù 10ÀÏ 10½Ã 34ºÐ ÀÔ·Â
¾ÖƲ·£Å¸--(´º½º¿ÍÀ̾î)--¼¼°è ÃÖ°í ¼öÁØÀÇ °³¹æÇü À§Çù ¸ðµ¨¸µ Ç÷§ÆûÀÎ IriusRisk°¡ Shostack + Associates¿ÍÀÇ ÆÄÆ®³Ê½ÊÀ» ü°áÇß´Ù°í ¹ßÇ¥Çß´Ù. À̹ø ÆÄÆ®³Ê½ÊÀº °í°´ÀÌ È¿°úÀûÀÎ À§Çù ¸ðµ¨¸µÀ» ÅëÇØ º¸¾È¿¡ ¿ì¼±¼øÀ§¸¦ µÎ´Â ¹®È­¸¦ ±¸ÃàÇÏ°í È¿°úÀûÀÎ À¯Áö°¡ °¡´ÉÇϵµ·Ï Áö¿øÇϱâ À§ÇØ ÀÌ·ïÁ³´Ù.

À̹ø ÆÄÆ®³Ê½ÊÀÇ ÀÏȯÀ¸·Î À§Çù ¸ðµ¨¸µÀÇ ¼±±¸ÀÚÀÌÀÚ ÄÁ¼³ÅÏÆ®, ÀÛ°¡·Îµµ È°µ¿ ÁßÀÎ Shostack + AssociatesÀÇ ¼³¸³ÀÚ Adam Shostack°ú ±×ÀÇ ÆÀÀº ÄÚĪ ¼¼¼ÇÀ» Á¦°øÇØ º¸¾È ¼³°è °³¼±À» À§ÇØ »ç¿ëÀÚ°¡ À§Çù ¸ðµ¨¸µÀ» ÀÌÇØÇÏ´Â µ¥ µµ¿òÀÌ µÇ´Â ±âȸ¸¦ Á¦°øÇÏ°Ô µÈ´Ù. ÀÌ´Â IriusRiskÀÇ ÀÚµ¿È­µÈ À§Çù ¸ðµ¨¸µ Ç÷§Æû »ç¿ë ¹æ¹ý¿¡ ´ëÇÑ ±âÁ¸ ±³À° °úÁ¤À» º¸¿ÏÇØ ÁÙ °ÍÀ¸·Î ±â´ëµÈ´Ù.

ÄÚĪ ¼¼¼ÇÀº ÀÏÁÖÀÏ µ¿¾È 1~3ȸ ÁÖ±â·Î ¶óÀÌºê ±³À° ¼¼¼ÇÀ̳ª ÀÚ±â ÁÖµµÇü °¡»ó ¼¼¼ÇÀ¸·Î ÁøÇàµÇ¸ç, ¸ðµç ÆÀ¿øÀÌ À§Çù ¸ðµ¨¸µ°ú º¸¾È ¼³°è ¿øÄ¢À» ÀÌÇØÇÏ°í ±¸ÃàÀÌ °¡´ÉÇÑ ±â¼ú·ÂÀ» °®Ãßµµ·Ï ÇÏ´Â µ¥ ÁßÁ¡À» µÎ°í ÀÖ´Ù. Àüü ÆÀ¿¡°Ô Á¦°øµÇ´Â ÄÚĪÀº À§Çù ¸ðµ¨¸µÀ» óÀ½ Á¢ÇÏ´Â ÆÀ¿ø°ú °ß½À, ´Ù¸¥ ±³À° °úÁ¤ ¶Ç´Â µ¶ÇÐÀ¸·Î ÇнÀÇÑ ÆÀ¿ø °£¿¡ ÀÏ°üµÈ ±âÁØÀ» ¸¸µé ¼ö ÀÖµµ·Ï ¼³°èµÆ´Ù.

°í°´µéÀº À§Çù ¸ðµ¨¸µ ÇÁ·Î±×·¥À» ±â¾÷ ¸ñÇ¥¿¡ ¸ÂÃß°í, À§Çù ¸ðµ¨¸µ ÇÁ·Î±×·¥ ³»¿¡¼­ ¿ªÇÒ°ú Ã¥ÀÓÀ» Á¤ÀÇÇÏ°í, ±âÁ¸ ¿£Áö´Ï¾î¸µ ¹®È­¿¡ À§Çù ¸ðµ¨¸µÀ» Æ÷ÇÔ½ÃÅ°´Â µî ÄÚĪ ¼¼¼ÇÀ» ÅëÇØ À§Çù ¸ðµ¨¸µ ±¸Ãà °úÁ¤¿¡¼­ ¸Â´Ú¶ß¸®°Ô µÇ´Â °É¸²µ¹À» ±Øº¹ÇÏ´Â µ¥ µµ¿òÀ» ¹Þ°Ô µÉ °ÍÀÌ´Ù.

AdamÀÌ À̲ô´Â ÆÀÀº °í°´°úÀÇ ±ä¹ÐÇÑ Çù·ÂÀ» ÅëÇØ À§Çù ¸ðµ¨¸µÀ» ȸ»ç¿¡ ¼º°øÀûÀ¸·Î ÅëÇÕÇϱâ À§ÇØ ÇÊ¿äÇÑ ÁöÇ¥, ÀηÂ, ¹®È­ ¹× ÇÁ·Î¼¼½º¸¦ °áÁ¤ÇÏ°Ô µÈ´Ù. °æ¿µÁø¿¡°Ô ¿Ã¹Ù¸¥ ÀÚ·á, ÇÁ·Î¼¼½º ¹× Á¤º¸¸¦ Á¦°øÇÔÀ¸·Î½á ³»ºÎ ÀÌÇØ°ü°èÀÚÀÇ ¿ä±¸¿¡ ºÎÇÕÇÏ´Â ¹æ½ÄÀ¸·Î À̵鿡°Ô À§Çù ¸ðµ¨¸µ ÇÁ·Î±×·¥ÀÇ ¸ñÀû, ¸ñÇ¥, Àü·«Àû ¹æÇâÀ» È¿°úÀûÀ¸·Î Àü´ÞÇÏ°Ô µÈ´Ù.

IriusRisk´Â °³¹ßÀÚ, ¾ÆÅ°ÅØÆ®, º¸¾È ¿£Áö´Ï¾î°¡ ¼ÒÇÁÆ®¿þ¾î °³¹ß ¼ö¸í ÁÖ±â(SDLC)ÀÇ ¸ðµç ´Ü°è¿¡¼­ ¾ÈÀüÇÑ ¼ÒÇÁÆ®¿þ¾î¸¦ ±¸ÃàÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇÏ°í ÀÖ´Ù. Ãʱ⠼³°è ´Ü°èºÎÅÍ º¸¾ÈÀ» ÅëÇÕÇÏ°í °³¹ß ÅøüÀÎÀ» ÅëÇØ ±¸ÇöÀ» ÃßÀûÇÔÀ¸·Î½á IriusRiskÀÇ Ç÷§ÆûÀº °³¹ßÀÚ°¡ º¸¾È¿¡ ¡®ÁýÁß¡¯ÇØ ¼³°è °áÇÔÀ» ÃÖ¼ÒÈ­ÇÏ°í °ü·Ã ºñ¿ëÀ» Àý°¨ÇØ¾ß ÇÏ´Â Áß¿äÇÑ ´ÏÁ ÇØ°áÇϵµ·Ï µµ¿ÍÁØ´Ù.

IriusRiskÀÇ °øµ¿ ¼³¸³ÀÚ °â CEOÀÎ Stephen de Vries´Â ¡°Adam°ú Çù·ÂÇØ ½Å±Ô ÄÚĪ ÇÁ·Î±×·¥À» Á¦°øÇÏ°Ô µÅ ±â»Ú´Ù¡±¸ç ¡°À§Çù ¸ðµ¨¸µÀÌ º¸¾È ¹× °³¹ß ÆÀÀÇ Çʼö Àü·«À¸·Î ºü¸£°Ô ÀÚ¸® ÀâÀ¸¸é¼­ ÀÌ ÄÚĪÀ» ÅëÇØ °í°´Àº ¼º°øÀûÀÎ À§Çù ¸ðµ¨¸µ ÇÁ·Î±×·¥À» ±¸ÇöÇÏ°í, Á¶Á÷ Àüü¿¡¼­ ±× °¡Ä¡¸¦ È¿°úÀûÀ¸·Î ¿ËÈ£ÇÏ´Â µ¥ ÇÊ¿äÇÑ Çʼö ±â¼úÀ» °®Ãß°Ô µÉ °Í¡±À̶ó°í ÀڽۨÀ» ³»ºñÃÆ´Ù.

Adam ShostackÀº ¡°À§Çù ¸ðµ¨¸µÀº ¿©·¯ Ãø¸é¿¡¼­ º¸¾È ¹× °³¹ßÀÚ ÆÀ¿¡°Ô ´Ü¼øÇÑ ±â¼úÀû ´Ü°è°¡ ¾Æ´Ï¶ó ¿î¿µ ¹æ½ÄÀÇ ¹®È­Àû º¯È­·Î Æò°¡µÈ´Ù. À̸¦ ¸¶½ºÅÍÇÏ·Á¸é ¿Ã¹Ù¸¥ Á¤º¸¿Í ÅøÀÌ ÇÊ¿äÇÏ´Ù¡±°í °­Á¶Çß´Ù. ±×´Â ÀÌ¾î ¡°¹Ù·Î ±×·± Á¡µé ¶§¹®¿¡ °í°´ÀÌ À§Çù ¸ðµ¨¸µ ±¸Çö°ú °ü·ÃµÈ ±î´Ù·Î¿î ¹®Á¦¸¦ ÇØ°áÇÏ°í È®Àå °¡´ÉÇÑ ¼º°øÀûÀÎ ÇÁ·Î±×·¥À» Á¦°øÇÒ ¼ö ÀÖµµ·Ï IriusRisk¿Í Çù·ÂÇÏ°Ô µÅ ÀںνÉÀ» ´À³¤´Ù¡±°í µ¡ºÙ¿´´Ù.

¾ð±ÞµÈ ÄÚĪ ¼­ºñ½º´Â ƯÈ÷ ºÏ¹Ì ¹× ±¹Á¦ ½ÃÀå¿¡¼­ À§Çù ¸ðµ¨¸µ ÇÁ·Î±×·¥À» ¼ÒÀ¯ÇÏ°í ÀÖ´Â °æ¿µÁøÀ» ´ë»óÀ¸·Î Á¦°øµÈ´Ù.

º¸´Ù ÀÚ¼¼ÇÑ ³»¿ëÀº ¿©±â¿¡¼­ È®ÀÎÇÒ ¼ö ÀÖ´Ù.

Adam Shostack ¼Ò°³

AdamÀº ¡®À§Çù ¸ðµ¨¸µ: º¸¾È¿¡ ´ëºñÇÑ ¼³°è((Threat Modeling: Designing for Security)¡¯, ¡®À§Çù: ¸ðµç ¿£Áö´Ï¾î°¡ ½ºÅ¸¿öÁî¿¡¼­ ¹è¿ö¾ß ÇÒ »çÇ×(Threats: What Every Engineer Should Learn from Star Wars)¡¯À» Àú¼úÇÑ ÀúÀÚ´Ù. ±×´Â À§Çù ¸ðµ¨¸µ ºÐ¾ßÀÇ ¼±µµÀûÀÎ Àü¹®°¡ÀÌÀÚ ÄÁ¼³ÅÏÆ®, Àü¹®°¡ ÁõÀÎ, °ÔÀÓ µðÀÚÀ̳ʷΠȰµ¿ ÁßÀÌ´Ù. ¼ö½Ê ³â µ¿¾È º¸¾È °ü·Ã ¼­ºñ½º¸¦ Á¦°øÇÑ °æÇèÀ» °®Ãß°í ÀÖ´Ù. ½ºÅ¸Æ®¾÷ â¾÷ºÎÅÍ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®(Microsoft)¿¡¼­ 10³â °¡±îÀÌ ±Ù¹«ÇÏ´Â µî ºñÁî´Ï½º Àü¹Ý¿¡ °ÉÃÄ ´Ù¾çÇÑ ÀÌ·ÂÀ» °®°í ÀÖ´Ù.

Shostack + Associates ¼Ò°³

Adam ShostackÀº À§Çù ¸ðµ¨¸µÀÇ ¼±±¸ÀÚ, ÄÁ¼³ÅÏÆ®, Àú¼ú°¡·Î¼­ÀÇ ¿ªÇÒ¿¡ ±â¹ÝÇØ Àü¹®°¡ ÆÀÀ» Á÷Á¢ ¼±Á¤ÇØ ¿î¿µ ÁßÀÌ´Ù. ±×´Â °³¹ßÀÚ¿Í ¾ÆÅ°ÅØÆ®¸¦ À§ÇÑ À§Çù ¸ðµ¨¸µÀ» ¿ëÀÌÇÏ°Ô ÇÏ´Â ÃÖÃÊÀÇ º¸¾È µµ±¸ÀÎ ¡®º¸¾È °³¹ß ¼ö¸í ÁÖ±â À§Çù ¸ðµ¨¸µ µµ±¸( Security Development Lifecycle Threat Modeling Tool)¡¯ÀÇ ¼ö¼® µðÀÚÀ̳ʿ´´Ù. AdamÀº À§Çù ¸ðµ¨¸µ¿¡ ´ëÇÑ ±³À°, ÄÁ¼³ÆÃ, ÄÚĪÀ» Á¦°øÇÏ´Â µ¥ ÁÖ·ÂÇϱâ À§ÇØ Shostack + Associates¸¦ ¼³¸³ÇÔÀ¸·Î½á ÀÌ ºÐ¾ß ÃÖ°í ¼öÁØÀÇ Àü¹®°¡µéÀ» ÇÑÀÚ¸®¿¡ ¸ðÀ¸°Ô µÆ´Ù.

IriusRisk ¼Ò°³

IriusRisk´Â ¾÷°è ÃÖ°íÀÇ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È À§Çù ¸ðµ¨¸µ ¹× º¸¾È ¼³°è ¼Ö·ç¼Ç Àü¹® ±â¾÷ÀÌ´Ù. Æ÷ÃáÁö ¼±Á¤ 500´ë ÀºÇà°ú °áÁ¦ ¹× ±â¼ú Á¦°ø¾÷ü¸¦ ºñ·ÔÇÑ ±â¾÷ °í°´À» º¸À¯ÇÑ IriusRisk´Â °­·ÂÇÑ À§Çù ¸ðµ¨¸µ Ç÷§ÆûÀ» »ç¿ëÇØ º¸¾È ¹× °³¹ß ÆÀÀÌ Ã³À½ºÎÅÍ ¾ÖÇø®ÄÉÀ̼ǿ¡ º¸¾ÈÀ» ±âº»À¸·Î žÀçÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇÏ°í ÀÖ´Ù.

À¥»çÀÌÆ®: https://www.iriusrisk.com/