728x90
반응형

stride 6

Trust Boundary Analysis (TBA)

개요Trust Boundary Analysis(TBA)는 시스템 내 구성 요소 간 신뢰 수준이 다른 경계를 식별하고, 이들 경계를 기준으로 보안 위협을 구조적으로 식별·평가하는 위협 분석 기법이다. 본 글에서는 TBA의 개념, 구성요소, 수행 절차, 활용 사례, 보안 설계와의 연계 등을 통해 제로트러스트 시대의 위협 대응 전략으로서의 TBA를 소개한다.1. 개념 및 정의 항목 설명 정의TBA는 시스템 내 신뢰 수준이 상이한 두 컴포넌트 간에 존재하는 ‘신뢰 경계(Trust Boundary)’를 식별하고, 경계를 넘는 모든 데이터 흐름에 대해 위협을 분석하는 방법론이다.목적신뢰 수준 불일치 구간에서 발생 가능한 보안 위협 조기 탐지필요성클라우드, API, 멀티테넌시, 공급망 공격 증가에 따른 경계 기반 ..

Topic 2025.06.30

IriusRisk

개요IriusRisk는 위협 모델링(Threat Modeling)을 코드와 프로세스로 자동화하는 데 초점을 둔 보안 설계 플랫폼이다. 시스템 아키텍처 또는 데이터 흐름을 정의하면, 해당 구성에 기반한 위협, 취약점, 보안 요구사항을 자동으로 도출하고 대응책을 제시한다. DevSecOps 및 Agile 개발 환경에서 '보안 설계의 자동화'와 '협업 중심 보안관리'를 동시에 가능케 하는 도구로 주목받고 있다.1. 개념 및 정의IriusRisk는 보안 전문가가 아니어도 개발자 또는 아키텍트가 시스템 설계도를 입력하면 자동으로 위협 시나리오와 대응 전략을 생성하는 SaaS 기반 위협 모델링 툴이다. OWASP Top 10, STRIDE, ISO 27001, NIST 800-53 등의 보안 표준 라이브러리를 활용..

Topic 2025.06.24

STRIDE

개요STRIDE는 마이크로소프트에서 개발한 위협 모델링(Threat Modeling) 프레임워크로, 시스템 개발 초기에 예상 가능한 보안 위협을 식별하고 대응 전략을 수립하기 위한 구조화된 분석 기법이다. STRIDE는 Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege의 여섯 가지 위협 범주를 기준으로 보안 취약점을 분류한다.1. 개념 및 정의STRIDE는 각 위협 범주에 해당하는 질문과 공격 시나리오를 통해 아키텍처 수준에서 발생 가능한 보안 위협을 사전에 모델링하고 설계 단계에서 예방 조치를 도출하는 방식이다. 분류 설명 예시 S - Spoofing사용자 또는 시스템의 ..

Topic 2025.06.23

MS-SDL Methodology

개요MS-SDL(Microsoft Security Development Lifecycle)은 마이크로소프트가 자사 소프트웨어 제품의 보안 강화를 위해 개발한 보안 중심의 개발방법론이다. 소프트웨어 개발 초기부터 보안을 설계에 내재화(Shift Left)하며, 위험 평가, 위협 모델링, 보안 테스트 등을 단계별로 통합하여 보안 사고를 예방하고 신뢰성 높은 제품을 제공하는 것이 목적이다. 특히 보안 인증이나 국제표준(ISMS, ISO 27001 등) 대응 시 효과적이다.1. 개념 및 정의MS-SDL은 2002년 마이크로소프트가 Nimda, Code Red 등 보안 사고 이후 도입한 SDLC 기반 보안 개발 프로세스이다. 'Secure by Design, Secure by Default, Secure in D..

Topic 2025.04.24

Secure Coding Guide

개요개발보안가이드는 소프트웨어 개발 생명주기(SDLC) 전반에 걸쳐 보안을 고려한 안전한 코드 작성 기준을 제시하는 가이드라인이다. 이는 보안 취약점을 사전에 예방하고, 해킹·침해 사고를 최소화하며, 정보 보호법 등 법적 요구사항을 충족시키는 데 목적이 있다. 특히 금융, 공공, 의료 등 보안이 중시되는 산업에서 필수적으로 준수되어야 하며, 개발자, 기획자, 보안 담당자 모두에게 필요한 지침이다.1. 개념 및 정의개발보안은 소프트웨어 개발 과정에서 보안을 내재화(Shift Left)하는 개념으로, 보안 결함이 제품 출시 전에 제거되도록 한다. 한국에서는 행정안전부, 금융보안원, KISA 등이 개발보안가이드를 제정하여 권고하고 있으며, 주요 기준으로 CWE, OWASP Top 10 등이 사용된다.2. 특징..

Topic 2025.04.24

위협 모델링(Threat Modeling)

개요위협 모델링은 소프트웨어, 시스템, 네트워크 등 다양한 IT 자산에 대한 잠재적 보안 위협을 사전에 식별하고 평가하는 분석 활동입니다. 설계 단계에서부터 보안을 통합하기 위한 핵심 활동으로, 개발팀과 보안팀이 협력하여 위협을 구조적으로 정리하고 대응 전략을 수립하는 데 초점을 둡니다. 이 글에서는 위협 모델링의 정의, 프레임워크, 적용 절차, 실무 활용법까지 다룹니다.1. 위협 모델링의 개념 및 목적위협 모델링은 보안 설계의 사전 예방 접근 방식으로, 시스템 내부의 취약 요소와 외부의 공격 경로를 식별하고, 가장 큰 영향을 줄 수 있는 위협을 분석하여 우선순위를 정하고 대응하는 활동입니다. 목표 설명 위협 식별시스템 구조 분석을 통해 가능한 공격 방식 도출자산 보호중요 자산(데이터, 기능)에 대한 ..

Topic 2025.04.14
728x90
반응형