보안 구축 - 항공기체 제조 대기업 사례 연구
개요전 세계 기업은 끊이지 않는 사이버 범죄와 사이버 스파이, 사이버 테러에 시달리고 있습니다. 시스템 보안 침해는 기업 평판을 심각하게 훼손할 뿐 아니라, 고객의 개인정보와 안전, 웰빙을 위협합니다. 보고된 사례는 꾸준히 발생하는 사이버 테러의 빙산의 일각에 불과합니다. Online Trust Alliance가 2016년 한 해 집계한 사이버 "사고" 만 8만 2천 건에 달합니다 (Online Trust Alliance, 2017). 미보고 건까지 포함하면 실제 사건 수는 25만 건 이상일 것으로 예측합니다 (Online Trust Alliance, 2017). 매년 사이버 범죄 발생
사이버 범죄: 표적과 영향
그림 1: 심각한 사이버 보안 침해로 F-35 전투기 관련 정보가 유출됐습니다.
민 간 기 업 , 특 히 관 급 계 약 업 체 들 과 정 부 기 관 은 중요한 정보를 갖고 있어 사이버 공격의 주요 표적이 됩니다. 실제로 2016년 11월, 호주 방위 업체에서 F-35 합동타격전투기와 P-8 Poseidon 초계기, C-130 Hercules 화물기, JDAM (Joint Direct Attack Munition) 폭탄 및 미래 호주 해군함 관련 정보가 유출되는 사고가 있었습니다 (그림 1; Ars Technica, 2017).
사이버 범죄자들이 기업을 표적 삼아 공격하는 데에는 여러 동기가 있습니다. 지식 재산권 탈취와 같은 민감한 정 보 를 손 에 넣 으 려 는 경 우 가 그 중 하 나 입 니 다 . 신제품이나 신규 프로젝트 설계 프로세스에 지장을 주거나 지연시키려는 목적도 있습니다. 설계 중 중요한
부분을 임의로 변경해 제품 기능을 저해하려는 목적에서 공격이 이뤄지기도 합니다. 설계 중에 특정 와이어 주변의 절연재를 변경해 외부에서 전자기 방사선으로 해당 제품의 움직임을 쉽게 모니터링하려는 경우를 예로 들 수 있습니다. 설계 데이터가 완전히 훼손돼 설계 작업에 수 개월, 수 년 간 차질이 빚어지기도 합니다.
사이버 보안 범죄 증가와 이로 인한 심각한 여파는 전 세계 대기업들에 경종을 울렸습니다. 이에 기업은 공급망 전반에 걸쳐 정보를 보호하기 위한 조치를 강화하고 있습니다. 본 eBook에서는 Siemens Digital Industries Software을 비롯한 기업들이 한층 엄격해진 새로운 보안 요구사항을 충족하기 위해 전개하는 노력에 대해 살펴봅니다.
엔터프라이즈 소프트웨어 솔루션을 보호하다
사이버 보안 범죄 예방은 기업 평판과 성공적인 비즈니스 운영 및 성장에 있어 중요합니다. 보안 범죄는 기업에 심각한 재정적 손실을 가져오거나 민감한 정보 유출로 이어질 수 있어 적절한 대응에 나서지 않을 경우 그 대가가 너무나도 큽니다. 이런 맥락에서 전 세계 제조사는 다면적인 보안 소프트웨어 개발 프로그램을 고안 및 구현해 사용 중인 모든 소프트웨어 대한 사이버 보안을 강화했습니다.
이 프로그램은 테스트 및 보안 개발 방식을 통해 외부 업체 소프트웨어가 가진 보안 취약성으로 인해 발생할 수 있는 위험과 비용을 최소화하는 데 주력합니다. 보안 전문가로 구성된 팀이 소프트웨어 공급업체와 긴밀히 협력해 개발 프로세스에 소프트웨어 보안을 통합하는 이점을 실현합니다. 이와 같은 외부 업체와의 협력은 제조 시스템을 강화하는 중요한 구성요소입니다.
대부분의 보안 이니셔티브는 내부 소프트웨어 솔루션과 네트워크를 사용해 시작됩니다. 그러나 보안이 향상되는 만큼 해킹 수법도 덩달아 진화합니다. 기업이 자체
네트워크와 소프트웨어를 강화하자 해커들은 이들의 공 급 망 을 겨 냥 하 기 시 작 했 습 니 다 . 대 기 업 은 타 사 소프트웨어를 사용하는 비중이 많아 공급망에는 해커들이 노릴 수 있는 공격 표면이 많습니다. 소프트웨어 업체 별로 개발 프로세스가 다양하고 소프트웨어 제품에 대한 보안 투자도 제각각이라 해커들에게 기업 데이터에 접근할 수 있는 기회가 많이 노출됩니다. 한 보안 전문가는 이렇게 말합니다. "우리의 보안 수준은 공급업체가 알려주지 않으면 알 수 없다."
이에 기업은 소프트웨어 제공업체와 협력해 소프트웨어 보 안 을 위 한 일 관 된 절 차 를 구 축 하 기 위 해 보 안 프로그램을 확대하고 있습니다. 그 첫 단계는 공급업체 제품의 보안 평가를 조달 프로세스에 반영하는 것입니다.
이 평가 결과를 누적해 기업 경영진에 제공해 조달 프로세스 과정의 의사 결정에 참고할 수 있습니다.
소프트웨어 평가에는 공급업체 소프트웨어의 보안 취약성을 외부 독립 업체가 검사한 내용이 포함될 수 있습니다. 이 결과가 담긴 최종 상세 보안 보고서가 공급업체에 제공되며, 잠재 고객은 요약본을 받게 됩니다.
이런 방식으로 공급업체는 자사의 지식 자산을 보호하고 자사의 솔루션을 사용하는 기업이 필요로 하는 보안 가시성을 제공할 수 있습니다. 공급업체는 자체 운영 절차를 선택할 수 있으며, 제조사에 여러 업체 간 비교할 수 있는 일관된 보안 평가를 제공합니다.
보안 보고서 기록이 갖춰지면 공급업체와 고객사는 보안 소프트웨어 개발 수명주기 (S-SDLC) 프로세스 전체를 공동 평가합니다. 공급업체가 보안 요구사항을 충족하는 제품을 일상적으로 제공할 수 있을 정도로 강력한 보안을 갖춘 프로세스를 갖춘 경우도 있습니다. 고객은 이런 업체를 지속적인 감독이나 평가 없이도 강력한 S-SDLC를 적용하는 신뢰할 수 있는 공급업체로 간주합니다.
그림 2: 기업은 공급업체 소프트웨어를 보호할 수 있는 일관된 절차를 구축할 방안을 모색하고 있습니다.
공급업체의 관점
오늘날의 시장에서 고급 보안 기능은 최신 엔지니어링 소 프 트 웨 어 에 필 수 적 인 기 능 입 니 다 . 소 프 트 웨 어 제공업체에 제품 보안에 대해 체계적인 검증을 수행할 것을 요구하는 기업이 점점 더 많아지고 있습니다. 그러나 업체가 제품 보안 향상에 투자할 때 고려해야 하는 중요한 요소들이 있습니다.
보안은 원래 IT나 전담 보안 부서의 영역이지 소프트웨어 개발팀이 신경 쓰는 부분은 아니었습니다. 보안은 인적 문제이기도 해서 데이터를 적절하게 처리하는 방법에 대한 교육을 구축하고 실시하기 위해 인사팀이 참여합니다.
보 안 이 강 화 된 소 프 트 웨 어 를 만 드 는 추 세 로 여 러 팀은 전에 없던 방식으로 협력해야 하며, 이는 새로운 프로세스를 구축해야 하는 필요성으로 이어졌습니다.
더불어 정교한 소프트웨어 보안을 향상시키려면 총체적인 접근법이 필요합니다. 공급업체는 데이터 암호화 또는 감사 추적과 같은 보안 기능을 추가하고 코드의 취약점을 파악하고 해결해 소프트웨어를 강화해야합니다. 진정한
보안 소프트웨어 솔루션이 만들어 지도록 공급업체 소프트웨어에 있는 타사 컨텐츠의 보안도 갖춰야 합니다.
이러한 개선은 중요한 코드 상세 분석 결과를 활용한 소프트웨어 보안 강화 및 품질 향상이 이뤄진다는 점에서 시장 차별화 포인트가 됩니다.
공급업체가 제품 보안 투자와 관련해 내리는 의사 결정은 지속가능한 비즈니스 성장에 영향을 미칠 수 있는 요인에 기반해 이뤄져야 합니다. 그러므로 고객은 향상된 제품 보안이 구매 선호 사항, 구매 결정, 홍보 등에 어떠한 영향을 미칠 지에 대해 분명하고 강력하게 전달하는 것이 중요합니다. 공급업체가 충족해야 하는 업계 보안 표준을 확립하면 갖춰야 하는 기본 이상의 보안 수준이 어느 정도인지 가늠할 수 있어 의사 결정 과정이 크게 간소화됩니다. 공급업체가 제품 보안에 투자하기로 결정했다면 비즈니스에 미치는 긍정적 효과를 극대화할 수 있도록 가장 효과적이며 효율적인 방식으로 이를 달성할 방안을 모색하는 것이 중요합니다.
Capital 포트폴리오 보안을 갖추다
Siemens는 2011년부터 보안 구축을 위해 고객과 협력해 왔습니다. 향상된 보안을 위한 Siemens Digital Industries Software의 노력은 IT 부서의 주관 하에 이뤄졌습니다.
Siemens IT 부서는 보안에 대한 고객과의 협력을 총괄하고 보안 교육 및 보안 탐색 도구를 위한 업체 선정과 예산 책정을 주도했으며 Siemens 사업부 간 보안 참여를 조율했습니다. 이러한 노력의 일환으로 Siemens는 고급 보안 프로그램에 참여하기 위해 Capital 전기 시스템 설계 및 통합 소프트웨어를 선택했습니다.
Siemens Capital 소프트웨어 제품군은 초기 전기 및 전자 아키텍처 탐색부터 생산 설계, 제조 준비 및 현장 유지보수에 이르는 전기 시스템과 와이어 하네스의 전체 라이프사이클을 지원합니다 (그림 3). 사업장이나 클라우드 상에 배포할 수 있는 Capital 솔루션은 두터운 웹 기반 클라이언트를 보유한 데이터 중심의 다중 티어 제품입니다. Capital 솔루션은 널리 사용되는 소프트웨어 기술과 설계 방식을 지원하므로 소프트웨어 솔루션 보안에 필요한 가장 적절한 방식을 제공합니다.
Capital 팀은 보안을 강화하는 첫 걸음으로 필요한 설계 프로세스를 위한 목표를 규명하고 Siemens 내부 경영진 후원을 확보했습니다. Capital 전기 시스템 설계 및 통합 제품군의 영향은 개별 사업부를 넘어섭니다. 이에 경영진 프레젠테이션을 위해 IT와 세일즈 부서의 협업이 진행됐습니다. Capital 소프트웨어 개발 사업부는 경영진 승인을 득한 후 보안 프로젝트 팀을 구성해 Capital 제품군 보안을 위한 세 가지 목표를 달성했습니다:
1. 기존 보안 취약점 해결
2. 새로운 보안 취약점 사전에 방지
3. 교육 및 우수 보안 강화 사례 공유 문화 확립
Capital 소프트웨어 팀은 기존 보안 취약점을 해결하기 위해 클라우드 기반 솔루션을 사용해 정적 애플리케이션 보안 테스트 (SAST)를 수행했습니다. SAST 기술은 Capital 소프트웨어 팀이 S-SDLC의 일부로 기 사용한 동적 애플리케이션 보안 테스트 (DAST)를 보완할 수 있는 더 큰 코드 적용 범위를 제공한다는 점에서 선택됐습니다.
클라우드 기반 SAST 솔루션은 Capital 제품군의 코드를
그림 3: Siemens Capital 소프트웨어는 전기 시스템과 와이어 하네스의 전체 라이프사이클을 지원합니다.
로지컬 아키텍처 탐색 및 최적화
정의
아이디어화
물리적 연결 생성 및 검증
설계
프로세스 자산 및 통합 지원
관리 모델
엔지니어, 비용 및 프로세스 하네스
생산
자료 생성 및 진단 향상 유지 활용 실현
스캔해 기존의 보안 취약점을 목록으로 만들었습니다.
이 목록은 각 보안 취약점을 해결하는데 어느 정도의 노력이 필요한 지를 추정하는데 사용됐습니다. 그 다음 취약점을 그룹화하고 효율적인 해결을 위해 우선 순위를 정했습니다. 가장 영향이 큰 취약점을 먼저 해결한 후 관련 취약점을 함께 처리했습니다. 이 프로세스는 Capital 제품군을 구성하는 수백만 줄의 코드에 있는 모든 약점을 해결합니다.
그 다음으로 팀은 공통 패턴을 식별하고 Capital 제품군의 코드 기반과 도구, 프로세스에 맞는 우수 사례를 공식화 했습니다. 중요한 점은 SAST 평가는 보안 취약점이 없 는 곳 을 파 악 해 상 당 수 의 오 탐 지 를 알 려 준 다 는 점입니다. 클라우드 기반 솔루션으로 오탐지가 어느 정도 제거되지만, Siemens Digital Industries Software 엔지니어가 해결해야 할 건도 여전히 많습니다. 따라서 파악된 오탐지의 진위 여부를 확인하기 위한 검토 및 승인 프로세스를 비롯해 오탐지를 식별하고 억제를 정당화하기 위한 사례가 구축됐습니다. 이러한 우수 사례는 엔지니어링 블로그에 처음 게시됐으며, 이후 정기 엔지니어링 커뮤니티 회의에서 논의됐습니다.
클라우드 기반 솔루션은 Capital 솔루션이 새로운 유형의 보안 취약점을 파악할 수 있게 정기적인 업데이트를 실 시 해 주 는 면 에 서 도 움 이 됐 습 니 다 . 이 로 인 해 Capital 팀은 기존에 이상 없음으로 판단한 코드를 다시 스캔해 새로운 보안 취약점을 찾아내고 이를 해결할 수
있었습니다. 그러나 이러한 반복 업데이트의 효과를 최대화하려면 강력한 스캔 프로세스와 이미 스캔한 코 드 에 서 도 보 안 취 약 점 을 찾 아 해 결 할 수 있 도 록 지속적인 투자가 필요했습니다.
지속적으로 코드 변경을 제공하고 SAST 스캔을 재실행 해 취약점 해결 과정을 추적합니다. Capital 소프트웨어 팀은 자동화된 스크립트를 개발해 SAST 스캔을 위한 코드 패키징과 스캔 결과를 통합 코드 메트릭스 플랫폼에 로딩하는 등의 작업을 수행했습니다. Siemens Digital Industries Software는 한 차원 높은 보안 이니셔티브의 일 환 으 로 코 드 아 키 텍 처 와 설 계 를 발 전 시 켜 보 안 소프트웨어를 보다 쉽게 개발할 수 있게 하는데 주력하고 있습니다. 이는 정기적으로 공격에 노출될 수 있는 애플리케이션 표면을 최소화하고 보안을 강화하며 보안 위험을 능동적으로 관리하는 방식으로 이뤄집니다.
SAST 기술의 복잡성과 Capital 솔루션의 코드 기반 규모는 곧 각 스캔에 상당한 시간이 소요되며, 소프트웨어 엔 지 니 어 의 피 드 백 루 프 가 비 교 적 길 다 는 것 을 의미했습니다. 이를 완화하기 위해 Capital 소프트웨어 팀은 SAST 스캔 범위를 좁히는 대신 피드백 루프를 단축하는 보완 도구 세트를 채택했습니다 (그림 4). 최단 피드백 루프는 소프트웨어 엔지니어가 사용하는 통합 개발 환경에서 지속적으로 실행되는 보안 중심 정적 코드 분석을 통해 제공됐습니다. 이를 위해 Capital 팀은 오픈
그림 4: 짧은 피드백 루프로 신속한 식별 및 취약점 해결이 가능합니다.
피드백 루프
확장 가능한 프로세싱
클라우드, 그리드 및 로컬 보안 지식, 교육 및
멘토링
외부 보안 감사 보안 게이트
보안 아키텍처, 도구 및 프로세스
소스 Find Security Bugs SAST 솔루션과 함께 JetBrains™
IntelliJ 코드 검사 정적 코드 분석 엔진을 선택했습니다.
이들은 빠른 피드백 루프를 제공할 뿐만 아니라 보안을 자동 품질 게이트에 통합해 유닛 테스트 완료, 유닛 테스트 범위 및 코드 복제를 확인해 코드 및 테스트 전송을 관리합니다. 코드 전달은 엔지니어와 팀, 팀과 릴리스 간에 연결됩니다. 이를 통해 개별 소프트웨어 엔지니어가 별도의 노력을 들이지 않고도 소프트웨어 개발 프로세스 보안 및 보호 기능을 강화해 두 번째 보안 목표를 달성했습니다.
세 번째 목표인 보안 문화 구축을 위해 Capital 팀은 IT 및 HR과 협력해 소프트웨어와 품질 보증 엔지니어를 위한 컴퓨터 기반 보안 교육을 조달하고 관리했습니다.
Security Innovations™가 교육 제공 업체로 선정됐습니다.
이 커리큘럼은 Capital 솔루션 기술 스택과 여러 팀의 요구사항을 반영해 조정됐습니다. 부서별 이니셔티브에 따라 적시 교육 참여가 진행됐으며, 기한 대비 교육 완료 지표 추적이 이뤄졌습니다. 보안 교육은 신입 사원 교육 프로세스에도 통합됐습니다.
Capital 팀은 보안 교육에 대해 세 가지 기본 방식을 채택했습니다. 첫 번째는 강사가 진행하는 보안 테스트를 위한 품질 보증 교육입니다. 이 교육은 Capital 개발팀이 2011년 보안 의식을 가진 고객과의 협업에 적용했던 기법을 강화하고 개선하는데 주력했습니다. 한 예로 Siemens Digital Industries Software는 애플리케이션을 해 커 처 럼 공 격 해 그 결 과 를 관 측 하 는 방 식 으 로 평가하는 DAST를 사용했습니다. 두 번째, Capital 팀은 외부 공급업체인 Security Innovations를 통해 안전한 소프트웨어 개발을 위한 컴퓨터 기반 교육을 채택했습니다. 개발자, 웹 엔지니어 및 보안 엔지니어를 위한 세 가지 과정이 마련됐습니다. 각 과정은 직무와 관련된 보안 문제 위주로 구성됐습니다 (그림 5). 개발자 과정의 경우 "보안 Java 코드 기반 작성", "보안 Java 코드 작성" 및 "Open Web Application Security Project의 10가지 위협과 완화"와 같은 주제가 포함됐습니다. 세 번째, 보안 프로젝트 팀은 Siemens Software에서 공유할 우수 사례 목록을 개발했습니다. 이 목록은 Siemens Digital Industries Software의 IT 본부를 통해 공유됐습니다.
그림 5: 컴퓨터 기반 교육을 사용해 보안 지식을 향상시켰습니다.
오픈 소스 보안을 해결하다
설계 도구 업체들에게 또 하나 중대한 관심사는 외부 개발자의 오픈 소스 소프트웨어 (OSS)를 사용하는 것 입 니 다 . C a p i t a l 솔 루 션 을 비 롯 한 여 러 강 력 한 소 프 트 웨 어 솔 루 션 의 상 당 부 분 을 구 성 하 는 것 이 OSS입니다. 실제로 OSS는 개발 시간을 몇 개월, 며칠 단축할 수있는 중요한 도구입니다. 그러나 이로 인해 안전한 소프트웨어 솔루션에 결함이 생길 가능성이 있습니다. 소프트웨어 솔루션에 OSS 사용을 고려하는 경우, OSS 보안을 갖춰야 할 책임은 공급업체에게 있습니다.
OSS는 제품에 사용될 목적으로 출하되기 전에 사용될 코드 맥락에서 개별적으로 SAST 스캔을 통해 분석돼야 합니다. 문제가 발견되면 이를 해결하거나 OSS 개발자가 직접 이 문제를 수정하도록 하는 것이 중요합니다. 이 프로세스에서 공개적으로 사용 가능한 보안 취약성 데이터베이스도 중요한 리소스입니다. 이 데이터베이스는 알려진 소프트웨어의 취약점을 추적하고 게시합니다.
National Vulnerability Database (NVD)가 대표적인 예시입니다 (National Institute of Standards and Technology, 2018).
그러나 OSS 보안에 더 큰 관심을 기울이는 것만으론 충분하지 않습니다. 사용 감소나 완화에 대한 고려도 비중 있게 이뤄져야 합니다. 각 개발 팀은 OSS 사용을 검토해 기능을 업그레이드, 제거 또는 교체할 수 있는지 확인해야 합니다. OSS의 보안 취약점은 OSS가 수행하는 기능을 대체 또는 포장하기 위한 공급업체 코드의 해결책 활용하기, OSS 개발자에게 파악된 문제를 해결하도록 독려하기 또는 보안이 강화된 다른 솔루션으로 전환하기 등으로 완화할 수 있습니다. 솔루션이 확산되도록 OSS 사용을 위한 보안 우수 사례 목록을 개발하고 공유해야 합니다. 마지막으로, OSS 사용 승인에는 보안에 미치는 영향 검토가 포함돼야 합니다.
주요 교훈과 성과
Siemens Digital Industries Software 는 보안 우수 사례를 체계적으로 교육하고 개발 및 공유해 보안 소프트웨어 제 품 제 작 프 로 세 스 를 제 도 화 할 수 있 었 습 니 다 . 보 안 관 행 이 계 속 유 지 되 도 록 이 프 로 세 스 를 개 발 라이프사이클에 반영시켰습니다 .
이 를 통 해 Siemens 는 높 은 보 안 의 식 을 가 진 고 객 과 장기적으로 협력해 우수한 보안 표준을 달성했습니다 . 이 들 고 객 이 S-SDLC 개 발 에 보 인 열 의 는 Siemens 에 보안 강화를 위한 투자의 가치를 분명히 보여줬습니다 . Siemens Digital Industries Software 는 보 안 관 행 을 강화해 다양한 추가적 이점을 얻었습니다 . Siemens 는 보안 강화 과정에서 배운 우수 사례로 제품 개발 인프라를 향 상 시 켰 으 며 , 이 는 생 산 성 확 대 로 이 어 졌 습 니 다 . Siemens 는 보안 및 품질 측면에서 Capital 전기 시스템 설계 및 통합 솔루션을 강화해 경쟁력을 향상시켰습니다 .
마지막으로 , 보안 교육은 직원들이 중요하고 시장성 있는 기술에 대해 배울 수 있는 시간을 제공해 직원의 만족도를 높였습니다 .
이 러 한 성 과 는 안 전 한 소 프 트 웨 어 개 발 프 로 세 스 로 나아가는 여정의 몇 가지 핵심 단계를 통해 달성했습니다 . 우선 Siemens Digital Industries Software 는 보안 검색과 교육을 체계적으로 사용해 Capital 전기 시스템 설계 및 통합 솔루션의 취약점을 파악하고 해결했으며 , Open Web Application Security Project (OWASP) 와 그 외 표 준 에 대한 요약 보고서를 지속적으로 게재했습니다 . 다양한 보안 검색 제품을 사용해 구현한 짧은 피드백 루프로 취약점을 신속하게 파악하고 해결할 수 있었습니다 . 이는 Siemens 의 S-SDLC 를 구 축 하 는 데 핵 심 이 됐 습 니 다 . 그 다 음 으 로 Siemens 는 전 사 적 으 로 보 안 을 강 화 한 요령과 지식 , 이를 통해 배운 교훈을 공유하는 전례를 마련했습니다 .
기업의 미래를 보호하다
오늘날 기업들은 수 많은 최신 사이버 보안 위협에 대해 강력하고 포괄적인 대책을 개발하는데 투자하고 있 습 니 다 . 이 는 사 이 버 범 죄 자 들 이 주 요 기 업 만 이 아닌, 이들의 공급망마저 공격하기 시작했다는 중요한 관측에 따른 움직임입니다. 기업은 보안 소프트웨어 개발 프로그램이 갖춰야 하는 두 가지 중요한 측면을 파악했습니다. 첫째, 전사를 주관할 조직을 구축하는 것이 중요합니다. 전사적인 보안을 구현하려면 모든 부서에 걸쳐 소프트웨어 보안을 보장할 수 있는 일관된 프로세스가 갖춰져야 합니다. 둘째, 보안 프로그램에 대한 공급업체와 기업 경영진 간 참여가 지속적으로 이뤄져야 합니다. 이를 통해 각 공급업체는 동등한 표준을 충족하고 동등한 대우를 받을 수 있습니다.
Siemens Capital 팀은 소프트웨어 보안 강화를 위한 여정에서 최신 표준에 맞는 보안 제품과 프로세스를 제 공 하 고 반 응 성 을 갖 추 기 위 한 벤 치 마 크 를
설정했습니다. 이를 통해 Capital처럼 규모가 크고 강력해 복잡성이 수반되는 소프트웨어에 대해서도 엄격한 보안 요구사항을 충족할 수 있었습니다.
그러나 보안이 갖춰진 제품을 만들어야 하는 책임은 소프트웨어 제공업체에게만 있는 것은 아닙니다. 고객 역시 구매 결정 및 RFI 및 RFP에 포함된 컨텐츠를 통해 보안이 갖춰진 제품 개발에 상당한 영향을 미칩니다.
고객은 탄탄한 S-SDLC 프로세스와 보안이 갖춰진 개발 문화를 구축한 공급업체를 찾아야 합니다. RFI 및 RFP는 공급업체가 자사 제품 내에 있는 타사 컨텐츠의 보안을 책임지고, DAST 및 SAST 보안 테스트를 수행해 정기적으로 클린 보안 보고서를 게시해야 한다는 점을 강조합니다.
고객과 공급업체는 소프트웨어 보안에 우선 순위를 부여해 제품과 프로세스가 한층 효율적인 보안을 갖출 수 있도록 보장할 수 있습니다.
참조1. Gallagher, S. (2017, October 13). Australian defense firm was hacked and F-35 data stolen, DOD confirms. Ars Technica. https://arstechnica.com/
information-technology/2017/10/australian-defense-firm-was-hacked- and-f-35-data-stolen-dod-confirms/에서 발췌
2. National Institute of Standards and Technology (2018). National vulnerabilities database. https://nvd.nist.gov/에서 발췌
3. Online Trust Alliance (2017, January 25). Consumer data breaches level off while other incidents skyrocket. Online Trust Alliance. https://
otalliance.org/news-events/press-releases/consumer-data-breaches-level- while-other-incidents-skyrocket에서 발췌
4. Open Web Application Security Project (2018). Welcome to OWASP. The Open Web Application Security Project. https://www.owasp.org/index.
php/Main_Page에서 발췌
고객사를 보유하고 있으며, 규모를 막론한 기업이 아이디어를 실현하는 방법, 제품을 실제로 구현하는 방법, 운영 중인 제품과 자산을 사용 및 파악하는 방법을 혁신할 수 있도록 지원합니다. Siemens PLM Software 제품과 서비스에 대한 자세한 내용은 siemens.com/plm에서 확인할 수 있습니다.
Plano, TX 75024 USA +1 972 987 3000 미주 지역
Granite Park One 5800 Granite Parkway Suite 600
Plano, TX 75024 USA +1 314 264 8499 유럽 지역
Stephenson House
Sir William Siemens Square Frimley, Camberley
Surrey, GU16 8QD +44 (0) 1276 413200 아태 지역
Unit 901-902, 9/F
Tower B, Manulife Financial Centre 223-231 Wai Yip Street, Kwun Tong Kowloon, Hong Kong
+852 2230 3333
