ISMS-P 2.8.2 보안 요구사항 검토 및 시험 High Risk

보안 요구사항 검토 및 시험이 수행되고 있는가?

ISMS-P 2.8.2는 정보시스템이 보안 요구사항에 따라 구현되었는지 검토하도록 요구합니다. DAST를 CI/CD 파이프라인에 통합하고, 발견된 취약점을 자동으로 추적하여 개선조치를 관리해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.8.2 보안 요구사항 검토 및 시험

2.8.2

보안 요구사항 검토 및 시험

인증 기준 정의

"사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립·이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다."

📌 보안 시험 유형

DAST: 동적 애플리케이션 보안 테스트
Penetration Test: 침투 테스트
Acceptance Test: 보안 인수 테스트
Inspector: 인프라 취약점 스캔
Security Hub: 통합 보안 관리

⚠️ 미준수 시 심사 영향

결함: 보안 요구사항 시험 미수행
결함: 취약점 점검 없이 운영 이관
결함: 발견된 취약점 미조치
권고: 개선계획 미수립, PIA 미실시

📄 KISA ISMS-P 인증기준 안내서 ↗ 🔒 OWASP Web Security Testing Guide ↗

📰

실제 보안 사고 사례

보안 시험 미수행으로 발생한 실제 사고

2023.05

MoveIt Transfer - 2,600개 조직, 8,300만 명 피해

Progress Software MoveIt Transfer의 SQL 인젝션 제로데이 취약점(CVE-2023-34362). DAST 및 침투 테스트 부재로 취약점 미탐지, Cl0p 랜섬웨어 그룹이 대규모 악용.

💡 교훈: 정기적 DAST 수행, 웹 취약점 자동 검사 필수

출처: NVD CVE-2023-34362 ↗

2023.04

PaperCut - 다수 랜섬웨어 그룹 악용

프린트 관리 서버의 인증 우회 및 원격코드실행 취약점(CVE-2023-27350). 보안 시험 미수행으로 인증 우회 취약점 미발견, Bl00dy, Cl0p, LockBit 그룹이 공격.

💡 교훈: 인증/인가 로직 테스트 필수, 인수 전 취약점 점검

출처: NVD CVE-2023-27350 ↗

⚡

클라우드 환경의 위험

DAST 없는 CI/CD 파이프라인의 위험

DAST 없는 파이프라인 (위험)

# 문제: 보안 시험 전무
name: Deploy to Production
on: push
jobs:
  test:
    steps:
      - run: npm test  # 기능 테스트만 수행
  deploy:
    needs: test
    steps:
      - run: aws ecs update-service --cluster prod
      # DAST 없음 -> 런타임 취약점 미탐지
      # 인수 테스트 없음 -> 보안 요구사항 미검증
      # 발견사항 관리 없음 -> 취약점 방치

보안 시험 단계 부재 → 런타임 취약점이 운영 환경에 배포됨

DAST 통합 파이프라인 (권장)

jobs:
  deploy-staging:     # 스테이징 배포
  dast:               # OWASP ZAP Full Scan
    needs: deploy-staging
  security-test:      # 보안 인수 테스트
  inspector:          # AWS Inspector 스캔

  deploy-production:
    needs: [dast, security-test, inspector]
    # 모든 보안 시험 통과 후에만 운영 배포

보안 시험 단계 통합 → 취약점 발견 시 운영 배포 자동 차단

🚨

핵심 요약

스테이징 환경에 DAST(OWASP ZAP)를 실행하고, Critical/High 취약점 발견 시 운영 배포를 자동 차단해야 합니다.

ISMS-P 2.8.2 위반 사항

●

보안 요구사항 시험 절차 미수행

●

최신 보안취약점 점검 미수행

●

발견된 취약점 개선조치 미이행

●

취약한 시스템이 운영에 배포될 위험

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

CI/CD 파이프라인 보안 시험 탐지 로직

탐지 대상	판단 조건	결과
🔍 CI/CD Pipeline	`DAST 단계 미포함`	High - 런타임 취약점 미탐지
🧪 CI/CD Pipeline	`보안 테스트 스테이지 없음`	High - 보안 시험 미수행
🕷️ CodeBuild	`OWASP ZAP 미설정`	High - 웹 취약점 미탐지
🛡️ Security Hub	`통합 미설정`	Medium - 발견사항 중앙 관리 불가

🔔

사후 대응 방안

런타임 모니터링 및 발견사항 관리

Runtime 보안 시험 이벤트 대응 로직

탐지 시나리오	대응 방안	결과
🕷️ OWASP ZAP Critical 발견	SQL Injection, XSS 등 탐지	Critical - 배포 자동 차단
🔬 Inspector 취약점 알림	인프라/컨테이너 취약점, 조치 필요	High - Jira 티켓 자동 생성
⏰ Security Hub 미해결 Finding 30일+	SLA 위반, 개선조치 이행 필요	High - Slack 에스컬레이션

자동 대응 체계

Security Gate: Critical/High 시 배포 차단 Auto Ticketing: Jira 티켓 자동 생성 SLA 추적: Critical 3일, High 7일

✓

조치 가이드

GitHub Actions DAST 통합 파이프라인 구성

DAST 통합 파이프라인 구성 (복사하여 적용)

.github/workflows/security-testing.yml

# .github/workflows/security-testing.yml
name: Security Testing Pipeline
on:
  push:
    branches: [main]

jobs:
  # 1. 스테이징 배포
  deploy-staging:
    runs-on: ubuntu-latest
    outputs:
      staging_url: ${{ steps.deploy.outputs.url }}
    steps:
      - name: Deploy to Staging
        id: deploy
        run: |
          aws ecs update-service --cluster staging --service app
          echo "url=https://staging.example.com" >> $GITHUB_OUTPUT

  # 2. DAST - OWASP ZAP Full Scan
  dast:
    needs: deploy-staging
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: OWASP ZAP Full Scan
        uses: zaproxy/action-full-scan@v0.10.0
        with:
          target: ${{ needs.deploy-staging.outputs.staging_url }}
          rules_file_name: '.zap/rules.tsv'
          fail_action: true  # High/Critical 시 실패

  # 3. 보안 인수 테스트
  security-acceptance:
    needs: deploy-staging
    runs-on: ubuntu-latest
    steps:
      - name: Authentication Tests
        run: pytest tests/security/test_auth_bypass.py -v
      - name: Input Validation Tests
        run: pytest tests/security/test_sql_injection.py -v

  # 4. AWS Inspector 스캔
  inspector:
    needs: deploy-staging
    runs-on: ubuntu-latest
    steps:
      - name: Check Inspector Findings
        run: |
          CRITICAL=$(aws inspector2 list-findings \
            --filter-criteria '{"severity":[{"comparison":"EQUALS","value":"CRITICAL"}]}' \
            --query 'findings | length(@)')
          if [ "$CRITICAL" -gt 0 ]; then exit 1; fi

  # 5. 운영 배포 (모든 시험 통과 후)
  deploy-production:
    needs: [dast, security-acceptance, inspector]
    runs-on: ubuntu-latest
    environment: production
    steps:
      - name: Deploy to Production
        run: aws ecs update-service --cluster prod --service app

💡 핵심: 스테이징에 배포 후 DAST, 보안 인수 테스트, Inspector를 병렬로 실행하고 모든 보안 시험 통과 시에만 운영 배포를 허용합니다.

DAST (OWASP ZAP) Security Acceptance AWS Inspector Security Hub Auto Ticketing

📚 참고 자료

🕷️ OWASP ZAP Full Scan Guide ↗ 🔬 AWS Inspector 사용 가이드 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 보안 시험 절차 문서

DAST 실행 절차
보안 인수 테스트 체크리스트
침투 테스트 계획서
시험 기준 및 판정 기준

🔧 취약점 발견 및 조치 이력

OWASP ZAP 스캔 결과
Jira 티켓 생성 및 해결 이력
취약점 조치 완료 증적
SLA 준수 현황

✅ 배포 승인 증적

Security Hub 대시보드
보안 시험 통과 후 배포 로그
배포 승인 기록
월간 보안 시험 리포트

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

수동 침투 테스트

정기 점검 시에만 수행
배포마다 테스트 불가
발견사항 수동 추적
개선조치 이력 관리 불가

한계: 수동 점검으로 배포 시마다 보안 시험 수행 불가

BSG 접근 방식

ISMS-P 관점 통합 점검

DAST + Inspector + Security Hub 통합
파이프라인 설정 분석, DAST 적용 여부 검증
취약점 자동 탐지, 티켓 생성, SLA 추적
보안 시험 커버리지 대시보드

차별점: 배포 시 자동 시험 + 발견사항 자동 관리 + 증적 자동화

← CI/CD Operations로 돌아가기