Seven Touch Points for Software Security

개요

Seven Touch Points는 Gary McGraw 박사가 제안한 실천 기반의 소프트웨어 보안 개발방법론으로, 실제 개발 프로세스 속에 보안 활동을 자연스럽게 통합하기 위한 7가지 핵심 접점을 제시한다. 이는 전통적인 개발 생명주기(SDLC)나 DevSecOps와도 연계 가능하며, 조직이 개발 과정 중 언제, 어떤 방식으로 보안을 고려해야 하는지를 명확히 안내한다. 특히 보안 리스크를 선제적으로 줄이고, 코딩 단계부터 운영 단계까지 보안 수준을 높이기 위한 실무적 접근법이다.

---

1. 개념 및 정의

Seven Touch Points는 보안이 개발자의 업무 흐름 속에 통합되어야 한다는 관점에서, 각 개발 단계에 삽입 가능한 7가지 보안 활동을 정의한다. 이는 보안을 외부 감사 항목이 아닌 개발 품질의 핵심 요소로 인식하게 해주며, 기존 개발문화와 충돌 없이 유기적으로 보안 체계를 도입할 수 있게 한다.

---

2. 특징

항목	설명	비고
개발 중심 보안	개발자 활동과 연계된 보안 접근	실무 적용 용이
위협 중심 분석	리스크 기반 보안 활동 강조	정량적 평가 가능
프로세스 유연성	기존 SDLC 또는 Agile에도 적용 가능	DevOps와 연계 가능

실행 중심의 보안 통합 방법론으로 현업에서 적용성이 높다.

---

3. 구성 요소 (7가지 Touch Points)

Touch Point	설명	적용 시기
코드 검토(Code Review)	보안 결함 탐지를 위한 수동/자동 코드 분석	구현 단계
아키텍처 리스크 분석(Risk Analysis)	설계 단계에서 구조적 위험 분석	설계 초기
보안 테스트(Security Testing)	취약점 진단, Fuzzing 등 포함	테스트 단계
위협 모델링(Threat Modeling)	공격 시나리오 기반 위협 구조화	요구/설계 단계
보안 요구사항(Security Requirements)	비기능 요구에 보안 항목 포함	요구사항 수집 단계
악용사례 작성(Abuse Cases)	공격자 관점의 시나리오 설계	요구/설계 단계
보안 코딩 가이드라인(Security Coding Guidelines)	안전한 코딩 표준 및 규칙 적용	구현 단계

각 요소는 특정 개발 단계에 매핑되어 있어 단계별 보안 강화를 유도한다.

---

4. 기술 요소

기술 요소	설명	활용 도구
정적 분석	코드의 취약점 사전 탐지	SonarQube, Fortify
동적 분석	실행 중 보안 결함 식별	OWASP ZAP, Burp Suite
위협 모델링 프레임워크	STRIDE, Attack Tree 기반 설계	Microsoft Threat Modeling Tool
보안 요구관리	Jira, Confluence 등 협업 도구 통합	요구사항 추적 가능

기술 도구와 프로세스를 연계하여 보안 체계를 자동화할 수 있다.

---

5. 장점 및 이점

장점	설명	기대효과
개발 흐름 유지	보안을 별도 작업이 아닌 내재화	생산성 저하 방지
위험 기반 대응	실제 위협을 중심으로 보안 설계	비용 효율적
전사적 확산 가능	교육을 통해 모든 개발자 적용 가능	조직 보안 수준 제고

보안을 업무 일부로 자연스럽게 흡수시키는 것이 핵심이다.

---

6. 주요 활용 사례 및 고려사항

사례	설명	고려사항
금융권 개발 조직	코드 리뷰 및 요구사항 중심 보안 체계	감사·규제 대응 목적 포함
스타트업 DevOps 환경	간소화된 위협 모델링 및 테스트	도구 기반 자동화 필요
공공기관 시스템 구축	악용사례 기반의 설계 요구	보안 가이드와 병행 필요

적용 시 조직의 개발문화와 협업 도구 체계 고려가 필요하다.

---

7. 결론

Seven Touch Points는 보안 활동을 개발 흐름 속에 자연스럽게 통합하는 실용적 방법론으로, 개발자 중심의 보안 내재화를 실현한다. 이 방식은 보안과 생산성의 균형을 이루며, 다양한 개발환경에서 유연하게 적용 가능하다는 점에서 실질적인 보안 수준 향상에 기여한다.