[논문]소프트웨어 보안취약점 데이터베이스 구축 사례

김유경; 신승철; 안준선; 이욱세; 이은영; 한환수

문제 정의

본 논문은 2009년 행전안전부의 주관 및 지원 하에한국인터넷진흥원을 중심으로 (주)지티원, (주)파수닷컴 , 한국정 보보호학회 소프트웨 어 보안연구회 에 서 개 발한 소스코드 보안취약점 자동진단 시스템의 일부인보안취약점 데이터베이스의 구축과 관련하여 구축된데이터베이스의 전체 구조와 관련 취약점의 개요에대하여 제시한다. 논문의 나머지 부분은 다음과 같이구성하였다.
있다. 이 리스트는 가장 위험한 프로그래밍 오류 (Most Dangerous Programming Errors) 라는 부제를 가지고 있으며, 소프트웨어 취약점을 야기하는 가장 중요한 프로그래밍 오류들의 명시화하는 것을 목표로하고 있다.
본 글에서는 이러한 노력의 일환으로 수행된 소프트웨어 취약점 데이터베이스 구축 사례를 소개하고아울러 관련된 해외 연구 동향을 기술하였다. 구축된데이터베이스의 취약점 정보는 c 및 Java 소스코드관점에서의 주요 취약점을 망라하고 있으며, 차후 계속 확장될 예정이다.

제안 방법

구성된다. 본 취약점 데이터베이스는 CWE, CVE, GAPEC 등의국외 관련 연구 내용과 행안부 주요 소프트웨어의 특성 및 업계 관련 제품의 성능 등을 참고하여 구축되었으며 xml 형식으로 정리되었다.
취약점의 위험성을 나타내는 중요도를 계산하여영향력을 평가하고, 문제 해결에 대한 우선순위 결정을 지원하기 위해 보안 취약점의 중요도 평가체계를마련하였다. 전자정부 시스템을 구성하는 소스코드에대한 취약점의 평가 방법을 마련하는데 있어서 중요한 원칙은 합리적인 이론적 근거와 현실적인 적용가능성으로 안전한 코딩에 관한 측정 요소의 중요도를 적절히 반영하는 것에 초점을 두고 있다.
전자정부 시스템을 구성하는 소스코드에대한 취약점의 평가 방법을 마련하는데 있어서 중요한 원칙은 합리적인 이론적 근거와 현실적인 적용가능성으로 안전한 코딩에 관한 측정 요소의 중요도를 적절히 반영하는 것에 초점을 두고 있다. 또한 기존의 CVE, CWE, CAPEC 등의 취약점 평가와의 관련성 및 전자정부 시스템 관련 각종 보안성 측정 방법과 연계를 고려하여 설계되었다.
기밀성은 권한이 주어지지 않은 비 권한자에게 정보를 공개하고 접근하는 것을 막고, 권한자에게는 주어진 권한에 전용되는 정보 공개와 접근을 허용하는것을 말한다. 각 취약점에 대한 공격으로 정보가 얼마나 노출되고 공격자에 의해 획득되고 제어될 지에 대한 평가 요소로서 허가 되지 않은 정보의 누출을 방지하는 수준을 측정한다. 무결성은 정보의 신뢰성을 보장할 수 있는 척도를 말한다.

대상 데이터

본 데이터베이스에서는 약 34개의 보안성과 관련된 오류를 정의하고 있다. 이 중에서。언어와 관련된오류는 23개, Java와 관련된 언어는 33개이다.
이러한 요소들을 통하여 개발이나 관리 과정에서 충분한 주의를 기울이지 않고 코드가 작성되었음을 판정하게 된다. 본 데이터베이스에는 총 40여개의 Jav建와 C관련 취약점을 정의하고 있으며이 중 23개가 Java에 관련되는 취약점이고 27개가 C 에 관련되는 취약점이다. 여기에 속하는 중요한 취약점들은 다음과 같다.

이론/모형

그렇지만 시간이나 상태에 대한 오류를 포함하고 있는 프로그램은 오류가 실제로 프로그램을 실행시킬 때까지는 쉽게 관찰할 수 없다는 특징을 가지고 있다. 따라서 프로그램 소스분석에서는 위험 요소를 최대한 배제하는 보수적 인(conservative) 방법을 채택하고 있다.

성능/효과

소스코드의 분석을 의뢰하면 취약점 데이터베이스 내의모든 취약점에 대하여 분석 엔진이 진단 규칙을 이용하여 자동검사를 수행하고, 그 분석 결과를 제공함과함께 발견된 취약점을 제거하기 위한 코딩 표준을 안내함으로써 보안취약점이 없는 소프트웨어 개발을 유도할 수 있게 된다.

후속연구

구축된데이터베이스의 취약점 정보는 c 및 Java 소스코드관점에서의 주요 취약점을 망라하고 있으며, 차후 계속 확장될 예정이다. 구축된 정보는 함께 개발된 소스코드 보안취약점 자동진단 시스템의 입력 정보로 사용하여 행전안전부 발주 소프트웨어에 대한 취약점검사에 활용할 예정이며, 아울러 관련된 교육과 정보공개를 통하여 소프트웨어 취약점에 대한 인식을 제고하고 개발자들에게 실질적인 정보를 제공할 것이다.
구축된데이터베이스의 취약점 정보는 c 및 Java 소스코드관점에서의 주요 취약점을 망라하고 있으며, 차후 계속 확장될 예정이다. 구축된 정보는 함께 개발된 소스코드 보안취약점 자동진단 시스템의 입력 정보로 사용하여 행전안전부 발주 소프트웨어에 대한 취약점검사에 활용할 예정이며, 아울러 관련된 교육과 정보공개를 통하여 소프트웨어 취약점에 대한 인식을 제고하고 개발자들에게 실질적인 정보를 제공할 것이다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] 소프트웨어 보안취약점 데이터베이스 구축 사례 원문보기

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

참고문헌 (9)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] 소프트웨어 보안취약점 데이터베이스 구축 사례 원문보기

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

참고문헌 (9)

이 논문을 인용한 문헌

저자의 다른 논문 :

신승철 (5) 안준선 (8) 이은영 (14) 한환수 (10)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

AI 본문요약
AI-Helper