Core Concepts
안전 필수 도메인에서 증가하는 사이버 보안 요구사항으로 인해 조직들은 제품 개발 수명 주기에 보안을 통합하고 있다. 이에 따라 보안 수준을 입증하기 위한 많은 양의 증거가 생성되고 있지만, 이를 효과적으로 관리하는 것은 쉽지 않은 과제이다.
Abstract
이 연구는 안전 필수 조직에서 보안 증거 관리 실태를 조사하였다. 주요 결과는 다음과 같다:
보안 증거 관리 성숙도: 보안 증거 관리에 대한 인식은 있지만, 실제 관리 수준은 아직 미성숙한 편이다. 특히 대기업 내에서도 팀 간 편차가 크다.
보안 증거 생성: 위험 분석, 검증 활동, 정책 및 프로세스 문서 등 다양한 개발 활동에서 보안 증거가 생성된다. 이를 체계적으로 관리하는 것이 중요하다.
보안 증거 관리 프로세스: 증거 생성, 소유권, 수집, 유지보수, 거버넌스 등 다양한 책임이 여러 역할에 분산되어 있다. 중앙 집중식 또는 분산식 저장 및 접근 제어 방식이 사용되고 있다.
보안 증거 품질 관리: 조직 수준 및 제품 수준에서 다양한 활동을 통해 증거의 품질을 보장하려 노력하고 있다. 테스트 커버리지, 위험 분석 완성도 등의 지표를 활용한다.
자동화: 보안 증거 관리 작업의 자동화에 대한 요구가 있지만, 아직 실제 적용은 미흡한 편이다.
이 연구 결과는 안전 필수 조직이 보안 증거 관리 역량을 강화하는 데 도움이 될 것으로 기대된다.
Stats
"보안은 안전 필수 도메인에서 점점 더 중요해지고 있다."
"자동차 산업은 보안 측면에서 아직 미성숙한 편이다."
"개발팀이 주로 보안 증거를 생성하고 관리해왔지만, 최근 전문 역할이 생겨나고 있다."
"중앙 집중식 저장소와 분산식 저장소 각각의 장단점이 있다."
"테스트 커버리지, 위험 분석 완성도 등의 지표로 증거 품질을 관리한다."
Quotes
"보안은 안전 필수 도메인에서 점점 더 중요해지고 있다."
"자동차 산업은 보안 측면에서 아직 미성숙한 편이다."
"개발팀이 주로 보안 증거를 생성하고 관리해왔지만, 최근 전문 역할이 생겨나고 있다."