ISMS-P 2.8.1 보안 요구사항 정의 High Risk

보안 요구사항이 정의되어 있는가?

ISMS-P 2.8.1은 정보시스템 도입·개발·변경 시 보안 요구사항을 정의하고 적용하도록 요구합니다. DevSecOps 파이프라인에 SAST/SCA를 통합하고, Policy as Code로 보안 요구사항을 자동 검증해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.8.1 보안 요구사항 정의

2.8.1

보안 요구사항 정의

인증 기준 정의

"정보시스템의 도입·개발·변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다."

📌 DevSecOps 보안 검사 단계

SAST: 정적 코드 분석
SCA: 의존성 취약점 분석
IaC Scan: 인프라 코드 검사
Secret Scan: 시크릿 탐지
Container Scan: 컨테이너 이미지 검사

⚠️ 미준수 시 심사 영향

결함: 보안 요구사항 미정의
결함: 안전하지 않은 암호화 (MD5, SHA1)
결함: 법적 요구사항 미반영
권고: 코딩 표준 미수립, 검토 없이 배포

📄 KISA ISMS-P 인증기준 안내서 ↗ 🔒 OWASP Secure Coding Practices ↗

📰

실제 보안 사고 사례

보안 요구사항 미적용으로 발생한 실제 사고

2021.12

Log4j (Log4Shell) - 전 세계 수백만 시스템 영향

자바 로깅 라이브러리 Log4j의 원격코드 실행(RCE) 취약점 발견. SCA 미적용으로 서드파티 라이브러리 취약점 미탐지, SBOM 부재로 영향 범위 파악 지연.

💡 교훈: SBOM 관리 필수, SCA 도구 CI/CD 통합 필요

출처: NVD CVE-2021-44228 ↗

2024.03

XZ Utils 백도어 - 공급망 공격

XZ 5.6.0/5.6.1 버전에 빌드 프로세스를 통해 악성 백도어 삽입. 코드 리뷰 프로세스 미흡으로 2년간 악성 커밋 미탐지.

💡 교훈: 빌드 파이프라인 무결성 검증, 코드 리뷰 강화 필요

출처: NVD CVE-2024-3094 ↗

⚡

클라우드 환경의 위험

보안 검사 없는 CI/CD 파이프라인의 위험

보안 검사 없는 파이프라인 (위험)

# 문제: 보안 검사 전무
name: Deploy
on: push
jobs:
  deploy:
    steps:
      - uses: actions/checkout@v4
      - run: npm install  # 취약한 의존성!
      - run: npm run build
      - run: aws s3 sync ./dist s3://bucket
      # SAST 없음 → 코드 취약점 미탐지
      # SCA 없음 → 라이브러리 취약점 미탐지
      # 보안 게이트 없음 → 취약점 있어도 배포

보안 검사 단계 부재 → 취약한 코드/의존성이 프로덕션에 배포됨

DevSecOps 파이프라인 (권장)

jobs:
  sast:     # SonarQube, Semgrep
  sca:      # Snyk, OWASP Dependency Check
  iac-scan: # Checkov, tfsec
  secrets:  # Gitleaks, TruffleHog
  container:# Trivy (Critical/High 시 차단)

  deploy:
    needs: [sast, sca, iac-scan, secrets, container]
    # 모든 보안 검사 통과 후에만 배포

보안 검사 단계 통합 → 취약점 발견 시 배포 자동 차단

🚨

핵심 요약

SAST + SCA + IaC Scan + Secret Scan + Container Scan을 파이프라인에 통합하고, 모든 검사 통과 시에만 배포를 허용해야 합니다.

ISMS-P 2.8.1 위반 사항

●

보안 요구사항 정의 및 적용 미흡

●

최신 보안취약점 검토 절차 부재

●

안전한 코딩방법 검증 미적용

●

취약한 코드가 프로덕션에 배포될 위험

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

CI/CD 파이프라인 보안 검사 탐지 로직

탐지 대상	판단 조건	결과
🔍 CI/CD Pipeline	`SAST 단계 미포함`	High - 코드 취약점 미탐지
📦 CI/CD Pipeline	`SCA 단계 미포함`	High - 라이브러리 취약점 미탐지
🏗️ Terraform	`Sentinel 정책 미적용`	High - 인프라 보안 미검증
📚 Dependencies	`취약 버전 의존성`	High - 즉시 업데이트 필요

🔔

사후 대응 방안

런타임 모니터링 및 자동 대응

Runtime 보안 이벤트 대응 로직

탐지 시나리오	대응 방안	결과
🐳 ECR Scan Critical 취약점	배포 차단, 즉시 패치 필요	Critical - 배포 자동 차단
🤖 Dependabot 취약점 알림	PR 자동 생성, 패치 검토 필요	High - 자동 PR 생성
🛡️ Security Hub 미준수	규정 위반, 조치 필요	High - Slack 즉시 알림

자동 대응 체계

Security Gate: Critical/High 시 배포 차단 Dependabot PR: 자동 업데이트 Slack Notification: 즉시 알림

✓

조치 가이드

GitHub Actions DevSecOps 파이프라인 구성

DevSecOps 파이프라인 구성 (복사하여 적용)

.github/workflows/devsecops.yml

# .github/workflows/devsecops.yml
name: DevSecOps Pipeline
on:
  push:
    branches: [main]
  pull_request:
    branches: [main]

jobs:
  # 1. SAST - 정적 분석
  sast:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: SonarQube Scan
        uses: sonarsource/sonarqube-scan-action@master
      - name: Semgrep SAST
        uses: returntocorp/semgrep-action@v1
        with:
          config: p/security-audit

  # 2. SCA - 의존성 분석
  sca:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Snyk Security Scan
        uses: snyk/actions/node@master
        with:
          args: --severity-threshold=high
      - name: Generate SBOM
        uses: anchore/sbom-action@v0

  # 3. IaC 보안 검사
  iac-security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Checkov IaC Scan
        uses: bridgecrewio/checkov-action@master
        with:
          soft_fail: false  # 실패 시 파이프라인 중단

  # 4. 시크릿 탐지
  secrets-scan:
    runs-on: ubuntu-latest
    steps:
      - name: Gitleaks Scan
        uses: gitleaks/gitleaks-action@v2

  # 5. 컨테이너 스캔
  container-scan:
    needs: [sast, sca, iac-security, secrets-scan]
    runs-on: ubuntu-latest
    steps:
      - name: Trivy Container Scan
        uses: aquasecurity/trivy-action@master
        with:
          severity: 'CRITICAL,HIGH'
          exit-code: '1'  # Critical/High 시 실패

  # 6. 배포 (모든 검사 통과 후)
  deploy:
    needs: [container-scan]  # 보안 검사 통과 필수
    runs-on: ubuntu-latest
    steps:
      - name: Deploy to Production
        run: echo "Deploying..."

💡 핵심: 모든 보안 검사 Job이 needs로 연결되어 하나라도 실패하면 배포가 차단됩니다. Critical/High 취약점 발견 시 자동으로 파이프라인이 중단됩니다.

SAST (SonarQube) SCA (Snyk) IaC (Checkov) Secrets (Gitleaks) Container (Trivy)

📚 참고 자료

📘 GitHub Actions Security Hardening ↗ 🔒 OWASP DevSecOps Guideline ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 보안 요구사항 문서

Policy as Code 정책 목록
Sentinel/OPA 정책 코드
보안 검사 기준 정의서
예외 승인 이력

⚙️ 파이프라인 설정 증적

GitHub Actions/CodePipeline 설정
SAST/SCA/IaC Scan 단계 스크린샷
Security Gate 설정 화면
배포 차단 로그

📈 보안 검사 결과 증적

SonarQube/Snyk 대시보드
취약점 탐지 및 조치 이력
SBOM 생성 기록
월간 보안 검사 리포트

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

개별 도구 단독 실행

문서 기반 보안 요구사항 검토
파이프라인 통합 검증 불가
보안 게이트 자동화 불가
ISMS-P 매핑 불가

한계: 보안 검사 도구별로 개별 실행하여 통합 보안 수준 평가 불가

BSG 접근 방식

ISMS-P 관점 통합 점검

SAST + SCA + IaC + Container Scan 통합 검증
파이프라인 설정 분석, 보안 도구 적용 여부 검증
취약점 탐지, 배포 차단, 알림 자동화
DevSecOps 파이프라인 전체 보안 수준 평가

차별점: Policy as Code + 자동화 게이트 + 심사 증적 자동화

← CI/CD Operations로 돌아가기