다시 뛰는 공정도시 서울!

문서번호 정보시스템담당관-244 결재일자 2017.1.5. 공개여부 부분공개(2) 방침번호 시 민 주무관 행정정보관리팀장 정보시스템담당관 조현주 현창기 01/05 고경희 협 조 주무관 김지용 2016년 서울시 공통행정시스템 개발보안 적용 결과보고 2017. 1. 정보시스템담당관 ☞ 해당사항이 있는 부분에 ‘ ■ ’ 표시하시기 바랍니다. (※ 비고 : 필요시 검토내용 기재) 구 분 사전 검토항목 점검 사항 검토완료 해당없음 비 고 시민 참여 ● 시민 의견 반영 및 사업 참여 방안을 검토하였습니까? 예) 청책토론회, 설문조사, 시민공모 등 □ ■ 전문가 자문 ● 관련 전문가 의견을 반영하였습니까? 예) 자문위원회 개최, 타당성 검토, T/F 운영 등 □ ■ 갈 등 ● 이해 당사자 간 갈등발생 가능성을 검토하였습니까? 예) 주택가 공공주차장 조성, 택시 불법영업 단속 등 □ ■ 사회적 약자 배려 ● 사회적 약자에 대한 배려를 검토하였습니까? 예) 여성, 아동, 장애인, 한부모 가정 등 □ ■ 일자리 ● 일자리 창출 효과 및 일자리 수를 검토하였습니까? 예) 직·간접 채용, 취업알선, 전문인력양성, 창업지원 등 □ ■ 선거법 ● 공직선거법에 저촉 여부를 검토하였습니까? 예) 홍보물 배포, 표창수여, 경품지급, 기부행위 등 □ ■ 안전 ● 시민 안전 위험요인과 안전대책을 검토하였습니까? 예) 장소·시설물 점검, 안전관리 인력확보 등 □ ■ 타 기관 ● 타 기관 협의·협력(타 자원 활용 등)을 하였습니까? 예) 중앙부처, 타 지자체, 투자·출연기관, 민간단체 등 □ ■ 홍 보 ● 사업 홍보 방안을 검토하였습니까? 예) 보도자료, 기자 설명회, 현장 설명회 등 □ ■ 정 책 영문화 ● 정책 영문화 및 해외홍보 방안을 검토하였습니까? 예) 영문 제목‧요약, 해외 언론 보도, 외국어 홈페이지 등 □ ■ 바른 우리말 ● 서울시 행정 순화어 목록을 확인하였습니까? 예) 별첨, 첨부 ⇒ 붙임, 가이드라인 ⇒ 지침 등 ■ □ 결재문서공개 ● 공개 여부를 “비공개”로 설정했다면 법적근거를 명확히 검토하였습니까? 예) 정보공개법 제9조 제1항 제1호~제8호 ■ □ 2016년 서울시 공통행정시스템 개발보안 적용 결과보고 기능개선한 공통행정시스템을 대상으로 SW에 내재된 결점, 오류 등을 최소화하고 해킹 등 보안위협에 대응하기 위하여 SW 보안약점 기준 47개 항목에 대하여 점검하여 이에 대한 조치결과를 보고함. Ⅰ 추진근거 󰏚 행정기관 및 공공기관 정보시스템 구축·운영지침 제50조(소프트웨어 개발보안 소프트웨어 개발보안(Secure Coding) : 안전한 SW 개발을 위해 소스코드 등에 존재할 수 있는 잠재적인 보안취약점을 제거하고,정보보호를 고려하여 SW를 설계·구현하는 등 SW 개발과정에서의 일련의 보안활동 원칙)(행정자치부 고시 제2015-45호, 2015.12.22.) ********************************************************************* 󰏚 - 보안약점이 없는 SW 개발로 안전한 행정서비스 제공을 위한 - 공통행정시스템 개발보안 적용 결과보고(정보시스템담당관-507, 2016.1.13) Ⅱ 추진배경 󰏚 보안을 고려하지 않은 기능 구현위주 개발로 인해 보안취약성 중 80% 정도가 응용프로그램 코딩 이후에 발생 󰏚 설계과정에서 발생한 결함이 개발완료 후에 발견 조치시 취약점 수정 비용 증가 󰏚 사이버 공격은 약 75% 정도가 SW 자체의 보안취약점을 악용하는 것으로 정보시스템 개발단계부터 SW 보안약점 진단·제거가 필요 Ⅲ ‘16년 SW 개발보안 적용 결과 󰏚 추진기간 : 2016.12.10. ~ 12.29. 󰏚 대상시스템 : 총 7종 *** ******* ******* ******* * *** ***** ******** * **** ************ ******** * **** ********* ***** * ********* ****** * *********** ****** * ********* ***** * ************ ******* 󰏚 ****************************** 󰏚 보안약점 진단 항목 : SW 보안약점 기준(SQL 삽입 등 47개 항목) 유 형 주 요 내 용 개수 (47) 입력 데이터 검증 및 표현 프로그램 입력 값에 대한 감증 누락 또는 부적절한 검증 등으로 인해 발생할 수 있는 보안약점 (예) SQL 삽입, 경로 조작 및 자원삽입, 크로스사이트 스크립트 등 15 보안기능 인증, 접근제어, 권한 관리 등을 부적절하게 구현시 발생할 수 있는 보안약점 (예) 부적절한 인가, 중요정보 평문저장, 하드코드된 비밀번호 등 16 시간 및 상태 동시 또는 거의 동시 수행을 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리로 발생할 수 있는 보안약점 (예) 경쟁조건(TOCTOU), 종료되지 않는 반복문 또는 재귀함수 등 2 에러처리 불충분한 에러 처리 등으로로 에러정보에 중요정보가 포함되어 발생할 수 있는 보안약점 (예) 오류상황 대응 부재, 오류메시지를 통한 정보노출 등 3 코드오류 타입변환 오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 인해 유발되는 보안약점 (예) 널 포인터 역참조, 부적절한 자원 해제 등 4 캡슐화 중요한 데이터 또는 기능성을 불충분하게 캡슐화하였을 때 인가되지 않은 사용자에게 데이터가 노출될 수 있는 보안약점 (예) 제거되지 않고 남은 디버그 코드, 시스템 데이터 정보노출 등 5 API 오용 부적절하거나, 보안에 취약한 API 사용으로 발생할 수 있는 보안약점 (예) DNS lookup에 의존한 보안결정 등 2 ※ 소프트웨어 보안약점 기준 : 붙임2 참조 󰏚 보안약점 점검결과 ○ 대상시스템별 주요 탐지 내용 ******* ** ************** ** ** ******* ** ** ** ** *** ****** ***** *** * * * *** ** * * ************ ** * * * ** * * * **** ***** *** * * * *** * * * **** ***** *** ** ** * *** ** * * ****** ***** *** * ** * *** * * * **** ***** * * * * * * * * ******* ***** *** * * * * *** * * ※ 시스템별 보안약점 점검조치결과 및 진단자료 : 붙임 1참조 ○ 대상시스템별 보안약점 점검·조치결과 ******* ** ** ** ** ** ** ******* **** ** ** ** ** ** ** ** ** ** ***** ** *** ****** ** *** *** *** * *** ************ ** *** ****** ** ** ** ** * ** **** ***** ** ** ****** * *** *** *** * *** **** ***** ** *** ****** ** *** *** *** ** *** ****** ***** ** *** ******* ** *** *** *** * *** **** ***** ** ** ***** * * * * * * ******* ***** ** ** ***** * ** *** ** ** *** ※ 시스템별 보안약점 점검조치결과 및 진단자료 : 붙임 1참조 Ⅳ ‘17년도 SW 개발보안 적용계획 󰏚 추진기간 : 2017. 2. ~ 12. 󰏚 대상시스템 : 2017년 1월 수요조사 후 결정 ○ 선정기준 - 기능개선 수요조사결과 재개발 및 확대개발 대상 - 외부 및 내·외부 연계 시스템 선정 *********************************** ****************************** *********** *********************** ********************************* ********************************** Ⅴ 향후계획 󰏚 2017. 1. : ‘17년 기능개선 수요조사결과 개발보안 적용대상 선정 󰏚 2017. 2. ~ 12. : 보안약점 점검 및 조치. 붙임 : 1. 시스템별 보안약점 점검조치결과 및 진단자료 1부. 2. 소프트웨어 보안약점 기준 1부. 끝.

10815226

20211012195330

본청

정보시스템담당관-244

D0000028649745