¾ÖƲ·£Å¸--(´º½º¿ÍÀ̾î)--¼¼°è ÃÖ°í ¼öÁØÀÇ °³¹æÇü À§Çù ¸ðµ¨¸µ Ç÷§ÆûÀÎ IriusRisk°¡ Shostack + Associates¿ÍÀÇ ÆÄÆ®³Ê½ÊÀ» ü°áÇß´Ù°í ¹ßÇ¥Çß´Ù. À̹ø ÆÄÆ®³Ê½ÊÀº °í°´ÀÌ È¿°úÀûÀÎ À§Çù ¸ðµ¨¸µÀ» ÅëÇØ º¸¾È¿¡ ¿ì¼±¼øÀ§¸¦ µÎ´Â ¹®È¸¦ ±¸ÃàÇÏ°í È¿°úÀûÀÎ À¯Áö°¡ °¡´ÉÇϵµ·Ï Áö¿øÇϱâ À§ÇØ ÀÌ·ïÁ³´Ù. IriusRisk´Â ¾÷°è ÃÖ°íÀÇ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È À§Çù ¸ðµ¨¸µ ¹× º¸¾È ¼³°è ¼Ö·ç¼Ç Àü¹® ±â¾÷ÀÌ´Ù ÄÚĪ ¼¼¼ÇÀº ÀÏÁÖÀÏ µ¿¾È 1~3ȸ ÁÖ±â·Î ¶óÀÌºê ±³À° ¼¼¼ÇÀ̳ª ÀÚ±â ÁÖµµÇü °¡»ó ¼¼¼ÇÀ¸·Î ÁøÇàµÇ¸ç, ¸ðµç ÆÀ¿øÀÌ À§Çù ¸ðµ¨¸µ°ú º¸¾È ¼³°è ¿øÄ¢À» ÀÌÇØÇÏ°í ±¸ÃàÀÌ °¡´ÉÇÑ ±â¼ú·ÂÀ» °®Ãßµµ·Ï ÇÏ´Â µ¥ ÁßÁ¡À» µÎ°í ÀÖ´Ù. Àüü ÆÀ¿¡°Ô Á¦°øµÇ´Â ÄÚĪÀº À§Çù ¸ðµ¨¸µÀ» óÀ½ Á¢ÇÏ´Â ÆÀ¿ø°ú °ß½À, ´Ù¸¥ ±³À° °úÁ¤ ¶Ç´Â µ¶ÇÐÀ¸·Î ÇнÀÇÑ ÆÀ¿ø °£¿¡ ÀÏ°üµÈ ±âÁØÀ» ¸¸µé ¼ö ÀÖµµ·Ï ¼³°èµÆ´Ù. °í°´µéÀº À§Çù ¸ðµ¨¸µ ÇÁ·Î±×·¥À» ±â¾÷ ¸ñÇ¥¿¡ ¸ÂÃß°í, À§Çù ¸ðµ¨¸µ ÇÁ·Î±×·¥ ³»¿¡¼ ¿ªÇÒ°ú Ã¥ÀÓÀ» Á¤ÀÇÇÏ°í, ±âÁ¸ ¿£Áö´Ï¾î¸µ ¹®È¿¡ À§Çù ¸ðµ¨¸µÀ» Æ÷ÇÔ½ÃÅ°´Â µî ÄÚĪ ¼¼¼ÇÀ» ÅëÇØ À§Çù ¸ðµ¨¸µ ±¸Ãà °úÁ¤¿¡¼ ¸Â´Ú¶ß¸®°Ô µÇ´Â °É¸²µ¹À» ±Øº¹ÇÏ´Â µ¥ µµ¿òÀ» ¹Þ°Ô µÉ °ÍÀÌ´Ù. AdamÀÌ À̲ô´Â ÆÀÀº °í°´°úÀÇ ±ä¹ÐÇÑ Çù·ÂÀ» ÅëÇØ À§Çù ¸ðµ¨¸µÀ» ȸ»ç¿¡ ¼º°øÀûÀ¸·Î ÅëÇÕÇϱâ À§ÇØ ÇÊ¿äÇÑ ÁöÇ¥, ÀηÂ, ¹®È ¹× ÇÁ·Î¼¼½º¸¦ °áÁ¤ÇÏ°Ô µÈ´Ù. °æ¿µÁø¿¡°Ô ¿Ã¹Ù¸¥ ÀÚ·á, ÇÁ·Î¼¼½º ¹× Á¤º¸¸¦ Á¦°øÇÔÀ¸·Î½á ³»ºÎ ÀÌÇØ°ü°èÀÚÀÇ ¿ä±¸¿¡ ºÎÇÕÇÏ´Â ¹æ½ÄÀ¸·Î À̵鿡°Ô À§Çù ¸ðµ¨¸µ ÇÁ·Î±×·¥ÀÇ ¸ñÀû, ¸ñÇ¥, Àü·«Àû ¹æÇâÀ» È¿°úÀûÀ¸·Î Àü´ÞÇÏ°Ô µÈ´Ù. IriusRisk´Â °³¹ßÀÚ, ¾ÆÅ°ÅØÆ®, º¸¾È ¿£Áö´Ï¾î°¡ ¼ÒÇÁÆ®¿þ¾î °³¹ß ¼ö¸í ÁÖ±â(SDLC)ÀÇ ¸ðµç ´Ü°è¿¡¼ ¾ÈÀüÇÑ ¼ÒÇÁÆ®¿þ¾î¸¦ ±¸ÃàÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇÏ°í ÀÖ´Ù. Ãʱ⠼³°è ´Ü°èºÎÅÍ º¸¾ÈÀ» ÅëÇÕÇÏ°í °³¹ß ÅøüÀÎÀ» ÅëÇØ ±¸ÇöÀ» ÃßÀûÇÔÀ¸·Î½á IriusRiskÀÇ Ç÷§ÆûÀº °³¹ßÀÚ°¡ º¸¾È¿¡ ¡®ÁýÁß¡¯ÇØ ¼³°è °áÇÔÀ» ÃÖ¼ÒÈÇÏ°í °ü·Ã ºñ¿ëÀ» Àý°¨ÇØ¾ß ÇÏ´Â Áß¿äÇÑ ´ÏÁ ÇØ°áÇϵµ·Ï µµ¿ÍÁØ´Ù. IriusRiskÀÇ °øµ¿ ¼³¸³ÀÚ °â CEOÀÎ Stephen de Vries´Â ¡°Adam°ú Çù·ÂÇØ ½Å±Ô ÄÚĪ ÇÁ·Î±×·¥À» Á¦°øÇÏ°Ô µÅ ±â»Ú´Ù¡±¸ç ¡°À§Çù ¸ðµ¨¸µÀÌ º¸¾È ¹× °³¹ß ÆÀÀÇ Çʼö Àü·«À¸·Î ºü¸£°Ô ÀÚ¸® ÀâÀ¸¸é¼ ÀÌ ÄÚĪÀ» ÅëÇØ °í°´Àº ¼º°øÀûÀÎ À§Çù ¸ðµ¨¸µ ÇÁ·Î±×·¥À» ±¸ÇöÇÏ°í, Á¶Á÷ Àüü¿¡¼ ±× °¡Ä¡¸¦ È¿°úÀûÀ¸·Î ¿ËÈ£ÇÏ´Â µ¥ ÇÊ¿äÇÑ Çʼö ±â¼úÀ» °®Ãß°Ô µÉ °Í¡±À̶ó°í ÀڽۨÀ» ³»ºñÃÆ´Ù. Adam ShostackÀº ¡°À§Çù ¸ðµ¨¸µÀº ¿©·¯ Ãø¸é¿¡¼ º¸¾È ¹× °³¹ßÀÚ ÆÀ¿¡°Ô ´Ü¼øÇÑ ±â¼úÀû ´Ü°è°¡ ¾Æ´Ï¶ó ¿î¿µ ¹æ½ÄÀÇ ¹®ÈÀû º¯È·Î Æò°¡µÈ´Ù. À̸¦ ¸¶½ºÅÍÇÏ·Á¸é ¿Ã¹Ù¸¥ Á¤º¸¿Í ÅøÀÌ ÇÊ¿äÇÏ´Ù¡±°í °Á¶Çß´Ù. ±×´Â ÀÌ¾î ¡°¹Ù·Î ±×·± Á¡µé ¶§¹®¿¡ °í°´ÀÌ À§Çù ¸ðµ¨¸µ ±¸Çö°ú °ü·ÃµÈ ±î´Ù·Î¿î ¹®Á¦¸¦ ÇØ°áÇÏ°í È®Àå °¡´ÉÇÑ ¼º°øÀûÀÎ ÇÁ·Î±×·¥À» Á¦°øÇÒ ¼ö ÀÖµµ·Ï IriusRisk¿Í Çù·ÂÇÏ°Ô µÅ ÀںνÉÀ» ´À³¤´Ù¡±°í µ¡ºÙ¿´´Ù. ¾ð±ÞµÈ ÄÚĪ ¼ºñ½º´Â ƯÈ÷ ºÏ¹Ì ¹× ±¹Á¦ ½ÃÀå¿¡¼ À§Çù ¸ðµ¨¸µ ÇÁ·Î±×·¥À» ¼ÒÀ¯ÇÏ°í ÀÖ´Â °æ¿µÁøÀ» ´ë»óÀ¸·Î Á¦°øµÈ´Ù. º¸´Ù ÀÚ¼¼ÇÑ ³»¿ëÀº ¿©±â¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù. Adam Shostack ¼Ò°³ AdamÀº ¡®À§Çù ¸ðµ¨¸µ: º¸¾È¿¡ ´ëºñÇÑ ¼³°è((Threat Modeling: Designing for Security)¡¯, ¡®À§Çù: ¸ðµç ¿£Áö´Ï¾î°¡ ½ºÅ¸¿öÁî¿¡¼ ¹è¿ö¾ß ÇÒ »çÇ×(Threats: What Every Engineer Should Learn from Star Wars)¡¯À» Àú¼úÇÑ ÀúÀÚ´Ù. ±×´Â À§Çù ¸ðµ¨¸µ ºÐ¾ßÀÇ ¼±µµÀûÀÎ Àü¹®°¡ÀÌÀÚ ÄÁ¼³ÅÏÆ®, Àü¹®°¡ ÁõÀÎ, °ÔÀÓ µðÀÚÀ̳ʷΠȰµ¿ ÁßÀÌ´Ù. ¼ö½Ê ³â µ¿¾È º¸¾È °ü·Ã ¼ºñ½º¸¦ Á¦°øÇÑ °æÇèÀ» °®Ãß°í ÀÖ´Ù. ½ºÅ¸Æ®¾÷ â¾÷ºÎÅÍ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®(Microsoft)¿¡¼ 10³â °¡±îÀÌ ±Ù¹«ÇÏ´Â µî ºñÁî´Ï½º Àü¹Ý¿¡ °ÉÃÄ ´Ù¾çÇÑ ÀÌ·ÂÀ» °®°í ÀÖ´Ù. Shostack + Associates ¼Ò°³ Adam ShostackÀº À§Çù ¸ðµ¨¸µÀÇ ¼±±¸ÀÚ, ÄÁ¼³ÅÏÆ®, Àú¼ú°¡·Î¼ÀÇ ¿ªÇÒ¿¡ ±â¹ÝÇØ Àü¹®°¡ ÆÀÀ» Á÷Á¢ ¼±Á¤ÇØ ¿î¿µ ÁßÀÌ´Ù. ±×´Â °³¹ßÀÚ¿Í ¾ÆÅ°ÅØÆ®¸¦ À§ÇÑ À§Çù ¸ðµ¨¸µÀ» ¿ëÀÌÇÏ°Ô ÇÏ´Â ÃÖÃÊÀÇ º¸¾È µµ±¸ÀÎ ¡®º¸¾È °³¹ß ¼ö¸í ÁÖ±â À§Çù ¸ðµ¨¸µ µµ±¸( Security Development Lifecycle Threat Modeling Tool)¡¯ÀÇ ¼ö¼® µðÀÚÀ̳ʿ´´Ù. AdamÀº À§Çù ¸ðµ¨¸µ¿¡ ´ëÇÑ ±³À°, ÄÁ¼³ÆÃ, ÄÚĪÀ» Á¦°øÇÏ´Â µ¥ ÁÖ·ÂÇϱâ À§ÇØ Shostack + Associates¸¦ ¼³¸³ÇÔÀ¸·Î½á ÀÌ ºÐ¾ß ÃÖ°í ¼öÁØÀÇ Àü¹®°¡µéÀ» ÇÑÀÚ¸®¿¡ ¸ðÀ¸°Ô µÆ´Ù. IriusRisk ¼Ò°³ IriusRisk´Â ¾÷°è ÃÖ°íÀÇ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È À§Çù ¸ðµ¨¸µ ¹× º¸¾È ¼³°è ¼Ö·ç¼Ç Àü¹® ±â¾÷ÀÌ´Ù. Æ÷ÃáÁö ¼±Á¤ 500´ë ÀºÇà°ú °áÁ¦ ¹× ±â¼ú Á¦°ø¾÷ü¸¦ ºñ·ÔÇÑ ±â¾÷ °í°´À» º¸À¯ÇÑ IriusRisk´Â °·ÂÇÑ À§Çù ¸ðµ¨¸µ Ç÷§ÆûÀ» »ç¿ëÇØ º¸¾È ¹× °³¹ß ÆÀÀÌ Ã³À½ºÎÅÍ ¾ÖÇø®ÄÉÀ̼ǿ¡ º¸¾ÈÀ» ±âº»À¸·Î žÀçÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇÏ°í ÀÖ´Ù. À¥»çÀÌÆ®: https://www.iriusrisk.com/ |