소프트웨어 개발보안 적용수준 평가지표 연구

양승권 전남대학교 2024 국내석사

국내에서는 2012년부터 행정기관 및 공공기관에서 구축하는 정보시스템에 대해 소프트웨어를 개발하는 단계에서부터 보안약점 등을 사전에 제 거하는 선제적 예방 방법인 "소프트웨어 개발보안"을 의무적으로 적용하도록 제도화하였다. 하지만, "소프트웨어 개발보안"을 적용하는데 필요한 보안활동이 구체적이지 않아 정보시스템 구축 담당자의 역량에 따라 적용 되는 소프트웨어 개발보안 수준이 달라지고, 관리를 위한 평가 기준도 미흡하여 보안위협이 지속적으로 잔존해 있는 문제가 나타나고 있다. 이러한 배경에서 본 연구는 국내·외 소프트웨어 개발보안 활동 사례 6종을 조사하여, 각 사례에서 제시하고 있는 보안활동 중 소프트웨어 개발보안 적용에 필요한 보안활동을 도출하기 위해 '독립성과 연관성 분류 기준', '개발 프로세스 분류 기준' 등의 기준으로 비교·분석하였다. 이를 통해 36개의 보안활동을 도출하였고, 3개의 평가영역, 18개의 평가항목으로 구성된 「소프트웨어 개발보안 적용수준 평가지표」를 개발하였다. 이후 평가영역(3개) 및 평가항목(18개)에 대한 가중치와 우선순위를 도출하여 「소프트웨어 개발보안 적용수준 평가지표 」의 각 평가항목에 적절한 배점기준을 산출하였다. 평가지표별 우선순위는 평가영역의 경우 '개발보안 적용의 적절성' 항목이 0.379로 가장 높았으며, 평가항목은 '개발보안 예산 수립'이 0.134로 가장 높았다. 「소프트웨어 개발보안 적용수준 평가지표」는 발주기관, 개발사, 감리법인의 역할로 구분되는 3개의 평가영역 및 18개의 평가항목, 36개의 세부 보안활동으로 개발되었으며, 평가지표의 특성은 다음과 같다. 첫째 발주기관, 사업자, 감리법인 등 국내 소프트웨어 개발보안 활동 주체가 수행해야 하는 보안활동을 구체적으로 제시하였으며, 둘째, 소프트웨어 개발보안 적용수준을 수치적으로 측정·관리할 수 있도록 평가영역(3개) 및 평가항목(18개)에 대한 가중치 및 우선순위 기반 배점기준을 제시하였다. 본 연구는 국내 공공분야 소프트웨어 개발 구조에 맞는 소프트웨어 개발보안 활동을 제시한 최초의 「소프트웨어 개발보안 적용수준 평가지표」로 향후 국가 정보시스템 보안성 강화 등 다양한 연구의 기초 자료로 활용될 수 있을 것이다. In Korea, it has been mandatory since 2012 to apply "secure software development", a proactive prevention method that eliminates security weaknesses from the software development stage, to information systems built by administrative agencies and public institutions. However, because the security activities required to apply "secure software development" are not specific, the level of software development security applied varies depending on the competence of the person in charge of building the information system, and the evaluation criteria for management are insufficient, resulting in the problem that security threats continue to exist. Against this background, this study examined six cases of domestic and foreign secure software development activities to identify the security activities required to apply software development security among the security activities presented in each case. We compared and analysed them based on criteria such as 'independence and relevance classification criteria' and 'development process classification criteria'. This resulted in 36 security activities, and the "Evaluation Index of Software Development Security Application Level" was developed, consisting of 3 evaluation areas and 18 evaluation items. We then derived the weights and priorities for the evaluation areas (3) and evaluation items (18), and calculated the corresponding evaluation criteria for each evaluation item of the "Evaluation Index of Software Development Security Application Level". The priority of each evaluation indicator was 0.379 for "Appropriateness of Secure Software Development Application" in the evaluation area, and 0.134 for "Establishment of Secure Software Development Budget" in the evaluation item. The "Evaluation Index of Secure Software Development Application Level " was developed with three evaluation areas, 18 evaluation items and 36 detailed security activities, divided into the roles of ordering agency, developer and supervisory corporation, and the characteristics of the evaluation index are as follows. Firstly, the security activities that should be carried out by domestic secure software development activity entities such as ordering agencies, developers and supervisory corporations are presented in detail, and secondly, the weighting and priority-based evaluation criteria for evaluation areas (3) and evaluation items (18) are presented, so that the level of secure software development application can be numerically measured and managed. This study is the first "Evaluation Index of Secure Software Development Application Level" that presents secure software development activities tailored to the domestic public sector software development structure, and can be used as a basis for various studies such as strengthening national information system security.

개발보안과 품질을 고려한 생산성 기반의 유지보수 개발프로세스 모델에 대한 연구

양승화 건국대학교 정보통신대학원 2016 국내석사

개발보안과 품질을 고려하면서 생산성을 향상시키는 것은 모든 IT조직이 추구하는 바일 것이다. 하지만 개발보안과 품질을 높이기 위해서는 적지 않은 Resource가 투입되어야 하기 때문에 적절한 조율을 통해 생산성을 극대화 하는 것이 올바른 접근방법이다. 본 논문에서는 시스템을 개발하고 운영하는 유지보수 개발 관점에서 모델을 제안하였다. 유지보수 개발 환경이 가지는 특성을 고려하여 SDLC에 대한 선택기준과 개발 중심의 보안을 준수하기 위한 요소, 그리고 품질표준들이 공통적으로 제시하고 있는 영역을 도출하여 포함시켰다. 이 모델은 프로세스 상에서 고려해야 할 활동과 그 활동에 투입되어야 하는 Resource를 제시하고, 약 3개월 동안 파일럿을 수행한 분석결과를 통해 어떠한 대상을 선택하여 수행해야 하는지 근거를 제시하였다. Abstract: Most of IT organizations are seeking to improve the development quality and security during system development based on the productivity. However, in order to increase the security and development quality, many resources are required. So it is necessary to take a right approach to maximize the productivity through the appropriate coordination. In this paper, I proposed a model for maintenance operations development. In considering the properties regarding the developing maintenance environment, this model selects the SDLC standard including the elements of development security, and common area of quality standards. The selection criteria are shown through the Analysis results done for three month pilot testing.

공공 정보화사업 SW개발보안 수행절차 개선에 대한 연구 : CBD개발방법론 중심으로

문광환 동국대학교 2021 국내석사

본 논문에서는 설계단계의 SW보안약점 식별을 체계화 하기 위하여 수행절차 개선에 대한 연구를 통하여 설계단계에서 SW개발보안을 준수하도록하여 운영단계에서 발견된 SW보안약점을 제거하는 비용에 비해 60배 절감하고 안전한 소프트웨어를 개발할 수 있는 체계를 마련하는 것을 목적으로 하였다. 행정기관 및 공공기관 정보시스템 구축 및 운영 지침, 소프트웨어 개발보안 가이드를 분석하여, 설계단계 문제점을 분석하였으며, 행안부 지침, 국정원 8대 웹 취약점, 주요정보통신기반시설 취약점 등을 비교·분석하여 설계단계 SW개발보안 점검요소을 마련하였다. 이를 활용하여 SW개발보안 설계 산출물을 제시하였다. 또한, 별도 감리사업이 없는 5억원 이하의 기능개선 사업과 SW유지관리 사업을 대상으로, SW개발보안 진단원을 활용할 수 있도록 투입공수와 설계금액 산정방법에 대해 제시하였다.

체크리스트 기반 설계보안 진단 연구 : 소프트웨어 개발보안제도를 중심으로

성선화 고려대학교 정보보호대학원 2019 국내석사

보안침해사고로 인한 공공의 피해와 확산 방지를 위해 2012년부터 소프트웨어 개발보안제도를 시행하고 설계단계 및 구현단계에서 SW개발보안 적용을 의무화하여 공공 정보시스템의 시큐어 SW구축 확산에 도움을 주고 있다. 하지만 일부 공공 정보시스템만 의무적인 적용 대상이며, SW개발보안 진단의 어려움과 SW보안약점 진단원 역할의 한계 등으로 제도 확산에 어려움이 있다. 본 논문에서는 SW 보안취약점 발생 예방과 개인정보보호 방안을 정보시스템 설계단계에서부터 함께 고려되어야 할 중요사항임을 인식하고, 소프트웨어 개발보안제도와 개인정보보호제도에서 요구하는 보안요구사항을 접목하여 설계보안 진단체크리스트를 구성하였고 실제 설계 산출물을 이용하여 활용가능성 및 설계보안 진단 효과를 평가하였다. 본 논문에서 제안하는 체크리스트는 설계단계의 SW개발보안 활성화에 도움이 될 것으로 생각한다.

외주 정보시스템 개발사업의 보안통제 모델 연구

서경희 건국대학교 2017 국내석사

In addition to the importance of information security, the security management guidelines of each organization are strengthened and the requirements to be followed in the Outsourced Information System Development Project are increasing. However, it is difficult to find a suitable reference model for security control from the viewpoint of the executing agency of the outsourcing information system development project because the existing standards or guidelines related to system development lack specific guidance on the implementation of these security requirements. The development process process of ISO / IEC 12207[2], which presents a software life cycle model, does not have guidance on security controls. And Due to the nature of the guide, the Domestic ISMS certification standard[3] is not suitable as a security control guide for the unit information system development project. In addition, there is a audit inspection guideline for the development of information system, but it is difficult to use it as a reference model because the check items related to security are so comprehensive and described at an overview level. As a result of examining the precedent research cases related to this study, there have been studies to add and improve the control items of the information security management system and the items to be reviewed at the audit check. In the case of the audit review items, most of the studies were limited to specific areas or types of business. In addition, there have been studies that suggest ways to strengthen security management for outsourcing companies from the viewpoint of the ordering organization of the project. However, from the point of view of providing concrete step-by-step check points by integrating development and management processes There was no previous study. In this paper, we present a concrete security control model that can be used as a reference model in the outsourcing information system development project. The proposed model has the following structure. First, a security control framework including three perspectives was presented. The three perspective is control points that include the entire development process and management process of the business, the Controlled subjects that describe the security control areas by process, and the perspective of continuous improvement to keep the model up-to-date on changing security requirements. Second, the control items for the control area and the step - by - step check points for the items are presented. As a security control reference model, 12 control areas, 35 control items, and 146 checkpoints were presented for the whole project execution process to enhance effectiveness. Third, the form or sample of 12 major document products required for control is given as an example in order to enhance the specificity of the step-by-step check items for the control item. In order to verify the effectiveness of the proposed model, the generalities and generalities of the control items were secured through questionnaires of related fields and compare the security management guidelines of major government agencies and related documents, and summarize the improvement effect of security control applying presentation model. Although many researches and improvements need to be made in the future, it is expected that the presentation model of this paper will be utilized as an appropriate security control reference model for the executing agency of the outsourcing information system development project. Furthermore, as a management model of the business ordering organization, and as a supervisory model of the audit agency, I expect to be a concrete guide as well. 정보보안의 중요성과 함께 각 기관의 보안관리 지침이 강화되고 정보시스템의 외주 개발 사업에서도 준수해야 할 요건들이 증대되고 있다. 그러나, 시스템 개발과 관련된 기존의 표준이나 지침들에는 이러한 보안 요구사항들의 이행에 대한 구체적인 지침들이 부족하여 외주 정보시스템 개발 사업의 수행기관 관점에서 보안통제를 위한 적합한 참조모델을 찾아보기 어렵다. 소프트웨어 생명주기 모델을 제시하고 있는 ‘ISO/IEC 12207[2]’의 개발공정 프로세스는 보안통제에 대한 지침이 부재하고 ‘국내 ISMS 인증기준[3]’은 그 가이드 성격으로 인해 단위 정보시스템 개발사업의 보안통제가이드로 적용하기에 적절하지 못하다. 또한, 정보시스템 개발에 대한 감리 점검 지침이 있으나 보안과 관련된 점검사항이 너무 포괄적이고 개요적인 수준으로 기술되어 있어 참조모델로 활용이 어렵다. 이와 관련된 선행 연구 사례를 검토해 본 결과, 정보보호관리체계의 통제항목이나 감리 점검시의 검토항목을 추가하고 개선하는 연구가 있었고 감리점검 검토항목의 경우는 대부분 특정영역이나 사업유형에 제한적인 연구가 진행되었다. 이와 더불어 선행 연구 사례에서는 사업의 발주기관 입장에서 아웃소싱 업체에 대한 보안관리 강화 방안을 제시하는 연구도 있었지만, 사업 수행기관 입장에서 개발 및 관리 공정을 통합하여 단계별 점검사항을 구체적으로 제시하는 관점에서는 아직 선행 연구가 없었다. 상기와 같은 배경으로 본 논문에서는 외주 정보시스템 개발사업 수행 시 참조모델로 활용할 수 있는 구체적인 보안통제 모델을 제시하며 제시된 모델은 다음과 같은 구성을 가지고 있다. 첫째, 세 가지 관점을 포함한 보안통제 프레임워크를 제시하였다. 세 가지 관점이란 사업의 개발공정과 관리공정 전체를 포함하는 통제시점과 공정별 보안통제 영역을 설명하는 통제대상, 그리고 변화하는 보안요구사항에 대한 모델의 최신성 유지를 위한 지속적 개선의 관점을 의미한다. 둘째, 통제영역에 대한 통제항목, 그 항목에 대한 단계별 점검사항을 제시하였다. 보안통제 참조모델로서 실효성 제고를 위해 전체 사업수행 공정에 대해 12개 통제영역, 35개 통제항목, 146개 단계별 점검사항을 제시하였다. 셋째, 통제항목에 대한 단계별 점검사항의 구체성을 제고하기 위해 통제 시 요구되는 주요 산출물 12종에 대한 양식 또는 샘플을 예로 제시하였다. 제시된 모델의 효용성을 검증하기 위해 관련 분야의 전문가 설문을 통해 통제 항목 구성 등의 보편성과 일반성을 확보하였고 주요 정부기관의 보안관리 지침이나 관련 문헌들과의 비교를 통해 제시 모델을 적용한 보안통제 개선효과를 정리하였다. 앞으로 더 연구 및 개선되어야 할 점은 많으나 본 논문의 제시모델이 외주 정보시스템 개발사업의 수행기관에게 적절한 보안통제 참조모델로 활용되기를 기대하며 더 나아가 사업 발주기관의 관리모델로, 감리기관의 점검모델로도 구체적인 가이드가 되기를 기대한다.

공공 정보시스템 개발 설계산출물에 대한 SW개발보안적용 진단을 위한 연구

김영숙 동국대학교 2017 국내석사

This paper researched how to diagnose effective and efficient security requirements for developing public information system development design outputs. This society where we live is the environment where information becomes the center of the world, and the connectivity dominates the world. Software is the foundation of all businesses, and software malfunction is a world that is directly linked to human lives. Creating safe software in this world is the responsibility of all members of the ICT sector. Safe software refers to the software that is always available when intended for use by authorized users. To create a safe software, it should be able to perform adequate security activities at each stage of the Software Life cycle for planning, analyzing, designing, deploying, deploying, deploying, and disposing of software. The software development security policy, which started in 2012, was not intended to result in a security vulnerability to the source code of the implementation phase until 2016. We know that in order to create secure software, we must make efforts to create security from the planning stage of the software to some projects. However, there is no definite countermeasure for how to verify whether the security requirements were designed considering the analysis and design stage, so the security activities at the design stage were not institutionalized. Dec. 2016 Administrative and Public Information System Establishment • Revised operating guidelines and announced security requirements to be applied to the design stage of new software development and announced to be applied to new projects. In this paper, in order to effectively and efficiently diagnose the application of the security requirement items to the design stage product, we standardized the output of the design stage and cataloged the products that should reflect each security requirement item. In order to diagnose the application of SW development security activities at each stage of the software development life cycle, we propose a "SW Security Diagnosis Service" qualification and propose a standard for selecting a diagnostic worker to perform this task. Since 2012, "SW Security Weak Diagnostic Agents", who have been selected to diagnose SW security weaknesses, have proposed evaluation criteria for technical competency and qualification renewal necessary to conduct SW development security application diagnosis at the design stage. When the SW Security Diagnostic Agent (including the former SW Security Weak Diagnostic Agent) is put into the project, the time required for the diagnosis is calculated as the cost, and the value of "SW Security Diagnostic Agent".

금융회사 모바일 앱 개발 환경 보안 강화에 대한 연구

우정훈 고려대학교 정보보호대학원 2018 국내석사

각 금융회사에서는 전산시스템 및 내부정보보호를 위하여 금융감독원의 전산센터 물리적 망분리 가이드에 따라 자체적으로 물리적 인터넷 망분리 정책을 시행하고 있다. 하지만 금융회사의 개발 및 테스트 인력들은 iOS나 Android 앱 개발 환경 구성, 앱 배포 및 테스트 업무 등을 위하여 Apple 및 Google 사이트를 포함한 외부 인터넷 접속이 필수적이다. 이에 따라 앱 개발 업무를 위하여 필수적으로 접속을 허용하여야만 하는 사이트에 대해 예외적으로 인터넷 접속을 허용하게 되는데, 해당 정책에 의하여 내부정보에 대한 외부 유출 위험과 더불어 식별되지 않은 외부로부터의 침입 위험이 증가할 수 있다. 본 논문에서는 다수 금융회사의 물리적 인터넷 망분리 환경에서 보다 안전하게 모바일 앱 개발이 이루어질 수 있도록 개발 환경에 관련한 개선된 인프라 구성 방안에 대해 연구하고자 한다.

비식별 적용을 통한 소프트웨어 보안약점 공유 및 활용방안 연구

이아현 전남대학교 2024 국내석사

인터넷 정보 고도화 및 다양한 데이터 활용도가 높아짐으로써 기관 측면에서는 신산업 창출 등 새로운 기회를 제공하고 사회 전체적인 면에서는 공공 이익 향 상을 극대화해야 한다. 이에 정부에서는 정보공개 포털을 이용하여 ‘경제’, ‘교 육’, ‘주택’ 등 국민에게 필요한 분야에 대해 정보를 제공함으로써 정부의 투명성 이 높아지고, 민간의 경우 개방된 공공데이터를 통한 다양한 디지털서비스 개발 이 가능하다. 다만 대외적으로 공유할 수 있는 데이터의 범위가 한정되어 있어 기관 등의 중 요정보를 포함한 부분이 있다면 민감정보 유출 가능성으로 여러 관점에서 공유 에 대한 제약을 받기도 한다. 이와 같은 데이터 정보 공유에 대한 문제점은 IT 산업계 내에서도 찾아볼 수 있으며, 행정·공공기관 홈페이지와 같은 디지털서비 스 내 잔존하는 보안약점 및 실제 취약 소스코드 등 소프트웨어 보안약점 정보 에 대한 공유 비활성화가 대표적이다. 이에 본 논문에서는 중앙행정 · 지방자치단체 · 공공기관의 홈페이지 서비스를 대상으로 소프트웨어 보안약점이 검출될 수 있는 유형을 정리하고, 대외적으로 공유할 보안약점 데이터 범위를 설정한다. 이후 정보공유를 위하여 기관을 식별 할 수 있는 민감정보 비식별 처리 기법을 적용하고 소프트웨어 보안약점 기준 중요도 산정 근거에 따라 공유할 방식과 활용할 방안에 대해 제시하였다. 본 연구에서 민감정보로 취급되는 기관별 보안약점, 취약한 소스코드 등을 비식 별 처리기법을 통하여 가공함에 따라 중앙행정 · 지방자치단체 · 공공기관 디지 털서비스 담당자 및 개발자는 실질적으로 발생할 수 있는 보안약점 정보를 사전 에 득함으로써 매번 검출되는 보안약점에 대한 비율은 낮추고, 개발 시 선제적 보안 적용을 통해 업무에 대한 효율은 증가할 수 있을 것이다. 또한 공유된 자료 를 통해 실제 개발하는 개발자 대상으로 사전 교육도 이루어질 수 있으니 실무 자 역시 개발단계부터 보안을 적용하여 구축할 것으로 기대된다. With the advancement of Internet information and the increased utilization of various data, institutions must provide new opportunities, such as the creation of new industries, and society as a whole must maximize the improvement of public interest. Accordingly, the government uses information disclosure portals to provide information on areas necessary for the public, such as 'economy', 'education', and 'housing', thereby increasing government transparency, and the private sector develops various digital services through open public data. This is possible. However, the scope of data that can be shared externally is limited, so if there is a part that contains important information of institutions, etc., sharing may be restricted from various perspectives due to the possibility of sensitive information being leaked. Problems with such data information sharing can also be found within the IT industry, and a representative example is the deactivation of sharing of software security weakness information, such as remaining security weaknesses in digital services such as administrative and public agency websites and actual vulnerable source code. Accordingly, this paper summarizes the types in which software security weaknesses can be detected for homepage services of central administration, local governments, and public institutions, and sets the scope of security weakness data to be shared externally. Afterwards, for information sharing, a technique for de-identifying sensitive information that can identify organizations was applied, and methods to be shared and ways to be utilized were presented based on the basis for calculating the importance of software security weaknesses. In this study, as the security weaknesses and vulnerable source codes of each institution treated as sensitive information are processed through de-identification processing techniques, digital service managers and developers of central administration, local governments, and public institutions are provided with information on security weaknesses that may actually occur. By obtaining information in advance, the rate of security weaknesses detected every time can be lowered, and work efficiency can be increased through preemptive security application during development. In addition, since preliminary training can be provided to developers who actually develop through the shared data, developers are also expected to apply security and build it from the development stage.

CIA-Level 기반 보안내재화 개발 프레임워크에 관한 연구

강수영 고려대학교 정보보호대학원 2021 국내박사

미국 정부는 1970년대 초반부터 모의해킹만으로는 제품의 보안 품질을 향상시킬 수 없다는 것을 인지하기 시작하였다. 모의해킹팀의 역량에 따라 찾을 수 있는 취약점이 달라지며, 취약점이 발견되지 않았다고 해서 해당 제품에 취약점이 없는 것은 아니기 때문이다. 제품의 보안 품질을 향상시키기 위해서는 결국 개발 프로세스 자체가 체계적이고 엄격하게 관리되어야 함을 깨달은 미국 정부는 1980년대부터 보안내재화(Security-by-Design) 개발 방법론 및 평가‧조달 체계와 관련한 각종 표준을 발표하기 시작한다. 보안내재화란 제품의 요구사항 분석 및 설계 단계에서부터 일찍 보안을 고려함으로써 제품의 복잡도(complexity)를 감소시키고, 궁극적으로는 제품의 신뢰성(trustworthy)을 달성하는 것을 의미한다. 이후 이러한 보안내재화 철학은 Microsoft 및 IBM에 의해 Secure SDLC(Secure Software Development Life Cycle)라는 이름으로 2002년부터 민간에 본격적으로 전파되기 시작하였으며, 현재는 자동차 및 첨단 무기 체계 등 다양한 분야에서 활용되고 있다. 하지만 문제는 현재 공개되어 있는 Secure SDLC 관련 표준이나 가이드라인들이 매우 일반적이고 선언적인 내용만을 담고 있기 때문에 이를 실제 현장에서 구현하기란 쉽지 않다는 것이다. 따라서 본 논문에서는 Secure SDLC를 기업체가 원하는 수준에 맞게 구체화시키는 방법론에 대해 제시한다. 본 논문에서 제안하는 CIA(functional Correctness, safety Integrity, security Assurance)-Level 기반 보안내재화 프레임워크는 기존 Secure SDLC에 증적 자료 기반 보안 기법(evidence-based approach)을 접목한 것으로, 본 프레임워크를 이용할 경우 첫째 경쟁사와 자사 간의 Secure SDLC 프로세스의 수준 차이를 정량적으로 분석할 수 있으며, 둘째 원하는 수준의 Secure SDLC를 구축하는데 필요한 상세한 세부 활동 및 산출해야 할 문서 등을 쉽게 도출할 수 있으므로 실제 현장에서 Secure SDLC를 구축하고자 할 때 매우 유용하다. 마지막으로 CIA-Level 기반 보안내재화 프레임워크를 국내 기업의 전체 프로세스에 적용한 결과와 요구사항 분석 및 설계 단계의 요소 기술을 직접 수행한 결과를 제공함으로써 본 연구의 실효성을 입증하였다.

위협 사례 분석을 통한 Mobile Application의 보안설계에 관한 연구

강선명 동국대학교 2016 국내석사

2010년 이후로 사용자의 computing 환경이 기존 desktop 환경에서 mobile 환경으로 빠르게 전환되고 있다. 최근에는 고성능의 CPU를 탑재한 mobile Device의 출시로 기존 PC 환경에서 사용 가능한 application이 mobile 에서도 사용될 수 있으며 빠르게 PC의 활용 영역을 대체해가고 있는 실정이다. 하지만 모바일 환경의 보안취약점은 꾸준히 보고 되고 있으나 , 기존 PC 환경에 비해 다양한 보안대책이 아직 부족한 상황이다. 이에 본 논문에서는 mobile환경의 특징을 이해하고 분석하여 Mobile Application 에 대한 위협현황과 사례분석을 통해 문제점을 파악하고, 이에 맞는 mobile환경에서의 Application 개발시 중요하게 검토되어야 하는 보안적 고려사항을 제안함으로써 어플리케이션 개발에 안정성 및 신뢰성을 향상시키고자 한다. Today, user computing environment is switching from desktops to mobiles. These days, many mobile devices are released with high-end CPUs, so that many conventional desktop-based applications can also be used with the mobile devices. Now these mobiles are rapidly replacing the traditional desktops. Even though security vulnerabilities in mobile platforms have been reported consistently, not enough security measures for the vulnerabilities are implemented in development stage compared to the desktop application development. In this paper, we will review some of the basic security policies and application threat models for mobile operating systems, in order to understand the characteristics of mobiles platforms. Based on the findings, we will draw some limitations of existing development guideline for the latest mobile applications on IT security, and propose some security considerations, which should be reviewed when developing a new mobile application to help developers improve application security