[논문]소프트웨어 개발 보안성 강화를 위한 주요 보안약점 진단규칙 연구

방지호; 하란

doi:10.7840/kics.2013.38c.10.831

소프트웨어 개발 보안성 강화를 위한 주요 보안약점 진단규칙 연구
Research on Major Weakness Rules for Secure Software Development 원문보기

한국통신학회논문지. The Journal of Korea Information and Communications Society. 통신이론 및 시스템, v.38C no.10, 2013년, pp.831 - 840

방지호 (홍익대학교 컴퓨터공학과 실시간시스템 연구실) , 하란 (홍익대학교 컴퓨터공학과 실시간시스템 연구실)

초록
AI-Helper

최근 소프트웨어 보안성 강화를 위해 소프트웨어 개발단계에서 보안취약점의 원인인 보안약점을 제거하기 위한 정적분석 기반의 도구를 많이 활용하고 있다. 따라서, 보안약점 진단도구는 다양한 보안약점을 진단할 수 있는 진단규칙을 보유하는 것이 필요하다. 2011년부터 2012년까지 국내 주요 정보화사업으로 개발된 소프트웨어에서 발견된 상위 5개의 보안약점은 연도별 상위 10개 보안약점의 76%에 해당된다. 소프트웨어 개발시 상위 5개의 보안약점만 적절히 조치하여도 소프트웨어 보안성이 많이 개선될 수 있다. 본 논문은 많이 활용되고 있는 공개용 진단도구인 PMD를 대상으로 주요 보안약점에 대한 진단규칙과 이에 대한 성능시험 결과를 제시한다.

Abstract ▼ AI-Helper

Recently, to enhance the security of software, static analysis tools for removing weaknesses, the cause of vulnerability, have been used a lot in the software development stage. Therefore, the tools need to have the rules being able to diagnose various weaknesses. Top 5 weaknesses found in the software developed by major domestic information projects from 2011 to 2012 is 76% of top 10 weaknesses per year. Software security can be improved a lot if top 5 weaknesses just are removed properly in software development. In this paper, we propose the PMD's rules for diagnosing the major weaknesses and present the results of its performance test.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

따라서, 본 논문은 JAVA 프로그래밍 언어로 구현된 SW의 소스코드를 진단할 수 있는 정적분석 기반의 보안약점 진단도구 PMD를 대상으로 상위 5개의 주요 보안약점에 대한 진단규칙을 다음 절에서 제시한다.
따라서, 본 논문은 공개용 진단도구 중 전자정부 프레임워크에서 사용을 권고하고 있는 PMD를 대상으로 주요 보안약점에 대한 진단규칙을 제시한다. 또한, 주요 보안약점을 대상으로 개발된 PMD의 진단 규칙의 성능평가를 통해 PMD의 성능개선 효과를 설명한다.
본 논문에서는 SW 개발단계에서 SW 보안성을 향상시킬 수 있는 주요 보안약점에 대한 자동화된 진단방법 및 PMD 기반의 진단규칙을 제시하였다. 그리고, 본 논문에서 제시한 주요 보안약점에 대한 진단규칙을 PMD에 구현하여 JAVA 기반의 공개용 진단도구와 함께 수행한 성능시험 결과를 제시하였다.
본 장에서는 SW 개발 단계에서 보안성을 보증하가 위한 기존 연구 동향과 SW 보안약점 진단도구에 대해 살펴보도록 한다.
본 장에서는 최근 국내 전자정부 SW 보안약점 진단시 발견된 주요 보안약점을 분석하여 진단도구가 진단할 수 있는 방법과 공개용 진단도구인 PMD의 진단규칙 구현 알고리즘에 대해 설명한다.

제안 방법

또한, 다른 공개용 진단도구와 비교를 위해 다음 표 16과 같은 JAVA 기반의 진단도구도 같이 시험을 하였다. FindSecurityBugs는 FindBugs에 Security 모듈을 추가적으로 적용한 것이기 때문에 FindBugs 대신 FindSecurityBugs로만 시험을 수행하였다.
PMD의 진단규칙에 대한 성능시험 결과, 개선된 PMD가 다른 도구에 비해 주요 보안약점을 보다 잘 진단(그림 3)하였으며, 세부 분석내용은 다음과 같다.
PMD의 기존 ‘AvoidPrintStackTrace’ 규칙은 단순히 ‘printStackTrace()’ 메소드만 식별하도록 구현되어있다. 그러나, 해당 보안약점에는 다양한 유형의 메소드가 존재하며 해당 메소드가 try-catch 구 문에서 사용될 때만 보안약점의 의미와 일치하기 때문에 try-catch 구문에서 다양한 메소드를 고려하였으며, 특정 메시지가 출력되도록 메소드의 매개변수에 특정 문자열이 있는 경우 제외하도록 진단규칙을 개선하였다. 관련 진단규칙은 다음 표 8과 같다.
그리고, HTML 문자열과 변수가 결합하는(예, “[br] data =” + data) 문자열인지 확인하여 해당 변수(예, data)가 사용자 웹브라우저 등을 통해 입력될 수 있는 외부 값인지를 추적한다.
그리고, SQL 문자열과 변수가 결합하는(예, “SQL문 =” + data) 문자열인지 확인하여 해당 변수(예, data)가 웹, 콘솔, 네트워크 등의 환경을 통해 입력될 수 있는 외부 값인지를 추적한다.
하였다. 그리고, 공개용 SW(예, wireshark 등)를 대상으로 상용 및 공개용 진단도구가 진단할 수 있는 보안약점을 분석^[1]하여 진단도구별 특성을 식별하고 진단도구가 보유하고 있는 진단규칙이나 특정 보안약점을 중심으로 연구를 진행하였다.
본 논문에서는 SW 개발단계에서 SW 보안성을 향상시킬 수 있는 주요 보안약점에 대한 자동화된 진단방법 및 PMD 기반의 진단규칙을 제시하였다. 그리고, 본 논문에서 제시한 주요 보안약점에 대한 진단규칙을 PMD에 구현하여 JAVA 기반의 공개용 진단도구와 함께 수행한 성능시험 결과를 제시하였다.
java)의 예제코드를 기반으로 시험하였으며, ‘Public 메소드부터 반환된 Private 배열’ 보안약점만 표 12의 예제코드를 활용하였다. 또한, 다른 공개용 진단도구와 비교를 위해 다음 표 16과 같은 JAVA 기반의 진단도구도 같이 시험을 하였다. FindSecurityBugs는 FindBugs에 Security 모듈을 추가적으로 적용한 것이기 때문에 FindBugs 대신 FindSecurityBugs로만 시험을 수행하였다.
상위 5개의 보안약점을 관련 예제코드를 기반으로 분석하여 해당 보안약점을 진단할 수 있는 진단규칙에 대해 살펴본다. PMD 진단규칙은 JAVA 또는 XPath로 구현할 수 있는데, 데이터 흐름 등 복잡한 로직을 구현할 경우 JAVA로 구현해야 하는데 구현 코드 규모가 있기 때문에 JAVA로 구현한 진단규칙의 경우, 알고리즘을 중심으로 설명한다.
그리고, SQL 문자열과 변수가 결합하는(예, “SQL문 =” + data) 문자열인지 확인하여 해당 변수(예, data)가 웹, 콘솔, 네트워크 등의 환경을 통해 입력될 수 있는 외부 값인지를 추적한다. 외부 값을 검증 없이 SQL로 결합하여 DBMS에 전송하는지 점검하여 해당 보안 약점의 존재여부를 확인한다.
그리고, HTML 문자열과 변수가 결합하는(예, “[br] data =” + data) 문자열인지 확인하여 해당 변수(예, data)가 사용자 웹브라우저 등을 통해 입력될 수 있는 외부 값인지를 추적한다. 외부 값을 검증 없이 사용하여 사용자에게 전송하는 경우 웹페이지를 생성하여 사용자에게 전송하는지 여부를 점검하여 해당 보안약점의 존재여부를 확인한다.
제3장에서 설명한 주요 보안약점에 대한 진단규칙은 보안약점의 특징에 따라 PMD 진단규칙 구현 방법인 JAVA 및 XPath를 선별적으로 이용하여 구현하였으며, 다음 표 15와 같다.

대상 데이터

SAMATE 프로젝트에 따르면, 소스코드를 대상으로 보안약점을 진단할 수 있는 상용 및 공개용 진단도구 중 JAVA 언어로 구현된 소스코드의 보안약점을 분석할 수 있는 공개용 진단도구는 FindBugs(FB), FindSecurityBugs(FSB), JLint(JLi), LAPSE+(LAP), PMD, Yasca(Yas) 등 6종이 있다. 또한, JAVA 기반의 보안약점 진단도구의 진단 성능을 측정할 수 있는 예제코드로 Juliet 코드를 제공하고 있는데 국내에서 의무화한 43개 보안약점 중 25개 보안약점에 대한 진단 성능을 측정할 수 있는 예제코드가 포함되어 있다. 기존 연구결과^[13]에 따르면 43개 보안약점 중 Juliet 코드를 기반으로 분석 가능한 25개 보안약점에 대해 6종의 진단도구는 다음 그림 1과 같이 보안약점 유형별 일부 진단규칙만 가지고 있다.

이론/모형

PMD에 구현한 진단규칙의 성능분석을 위해 Juliet 코드의 기본 유형(예, *_01.java)의 예제코드를 기반으로 시험하였으며, ‘Public 메소드부터 반환된 Private 배열’ 보안약점만 표 12의 예제코드를 활용하였다.

성능/효과

이는 LASPSE+는 외부 입력값에 대한 분석 없이 특정 API 등을 기반으로 단순 패턴매칭을 수행하여 보안약점을 식별하기 때문에 정탐 및 오탐이 동일하게 발생하는 것으로 판단된다. 개선된 PMD는 외부 입력값이 다른 메소드를 통해 필터링 되거나 토큰화 되는 경우를 제외한 예제코드에 대해 적절하게 보안약점을 식별하였다.

후속연구

SW 보안약점 진단도구의 신뢰성을 보장하기 위해서는 진단도구가 갖추어야 하는 기능 요구사항과 이에 대한 평가 기준 및 방법 관련 연구가 필요하다. 또한, 진단도구가 보유해야 하는 최소 보안약점에 대한 진단규칙을 연구 및 개발하여 진단도구의 성능을 제고하는 것이 필요하다.
본 논문에서 제시하는 주요 보안약점별 PMD 기반의 진단규칙은 SW 개발시 SW 개발자 등에 의해 활용될 수 있으며, 진단도구 개발업체의 진단규칙 개선시 활용될 수 있다.
국가 정보화사업으로 개발되는 SW의 경우, SW 개발시 43개 보안약점을 배제하여 개발하는 것이 필요한데 개발자의 경우 CC 인증된 도구 사용에 대한 의무가 없기 때문에 상용 또는 공개용 도구를 자유롭게 사용할 수 있다. 전자정부프레임워크 개발환경에서 포함되어 배포되는 공개용 진단도구 PMD의 경우, 별도의 행정기관용 진단규칙을 제공하고 있는데 해당 진단규칙에 본 논문에서 제시한 주요 보안약점을 진단할 수 있는 진단규칙이 포함된다면 보다 안전한 SW 개발에 기여할 수 있다.
또한, 주요 보안약점을 대상으로 개발된 PMD의 진단 규칙의 성능평가를 통해 PMD의 성능개선 효과를 설명한다. 전자정부프레임워크의 개발환경에 포함된 PMD는 공개용 소프트웨어로 국가 정보화사업 및 민간 SW 개발시 비용 없이 쉽게 활용할 수 있기 때문에 논문에서 제시한 주요 보안약점 진단규칙을 PMD에 적용하여 활용할 경우, SW 보안성을 효과적으로 개선할 수 있을 것으로 기대한다.
향후, 본 논문에서 제안한 보안약점 이외의 항목에 대한 진단규칙을 추가로 구현하고, 모바일 어플리케이션 관련 보안약점을 분석하여 관련 진단규칙을 구현하여 제안할 예정이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	SW 개발단계에서 보안약점을 제거하는 것의 이점은?	최근 소프트웨어(이하, SW) 보안성 강화를 위해 SW 개발단계에서 보안취약점(Vulnerability)의 원인인 보안약점(Weakness)을 제거하기 위한 정적분석 기반의 도구를 많이 활용하고 있다[1] . 이는 SW 개발단계에서 보안약점을 제거하는 것이 SW 개발완료 및 배포 이후에 발생할 수 있는 보안취약점의 패치 비용을 효과 적으로 감소[2]시킬 수 있는 방법이기 때문이다.
	시큐어코딩 가이드의 구성은?	시큐어코딩 가이드는 SW의 안전한 구현방법에 대한 내용으로 구성되는데, 국외 가이드의 경우 코딩규칙을 중심으로 기술되어 있으며 국내 가이드의 경우 보안약점을 중심으로 기술되어 있는 차이점이 있다. 국외 가이드의 코딩규칙을 기반으로 이에 대한 적용 여부를 분석할 수 있는 일부 진단규칙에 대한 연구도[11] 있었다.
	주요 정보화사업으로 개발된 SW의 상위 5개의 보안약점은?	최근 2년간(2011년~2012년), 주요 정보화사업으로 개발된 SW에서 발견된 상위 10개의 보안약점[14]은 그림 2와 같다. 그 중 ‘크로스사이트스크립트(이하, XSS)’, ‘시스템 데이터 정보노출’, ‘SQL 삽입’, ‘오류 메시지를 통한 정보노출’, ‘Public 메소드부터 반환된 Private 배열'은 상위 5개 보안약점으로 전체의 76%에 해당된다. 상위 5개의 보안약점을 중심으로 SW 개발시 해당 보안약점만 조치를 취하여도 SW 보안성이 많이 개선될 수 있다.

참고문헌 (14)

R. K. McLean, "Comparing static security analysis tools using open source software," in Proc. IEEE 6th Int. Conf. SW Security Reliability Companion (SERE-C), pp. 68-74, Gaithersburg, U.S.A., June 2012.
MOPAS, A guide to secure software develop ment, Publication No.11-1311000-000330-10, Retrieved June, 1, 2012, from http://www.mopas.go.kr.
MOPAS, Guidelines on building and operating Information Systems, MOPAS Notification No.2012-25, June 2012.
M. Johns and M. Jodeit, "Scanstud: a methodology for systematic, fine-grained evaluation of static analysis tools," in Proc. IEEE 4th ICSTW, pp. 523-530, Berlin, Germany, Mar. 2011.
CERT, CERT Secure Coding Standards, Retrieved July, , 2013, from https://www.securecoding.cert.org/.
MOPAS, A guide to diagnose software weakn ess, Publication No.11-1311000-000395-14, Retrieved May, 12, 2012, from http://www.mopas.go.kr
MOPAS and NIA, eGovernment Standard Framework, Retrieved June, 10, 2013, from http://www.egovframe.kr.
SourceForge, PMD, Retrieved May, 1, 2013, from http://pmd.sourceforge.net.
SourceForge, FindBugs, Retrieved Dec., 11, 2012, from http://findbugs.sourceforge.net.
J. Bang and R. Ha, "Evaluation methodology for weakness diagnostic tool of e-GOV software," J. Korean Inst. Commun. Inform. Sci. (KICS), vol. 38C, no. 4, pp. 335-343, Apr. 2013.

원문보기 상세보기
S. Kim, J. Joo, G. Lee, and G. Kwon, "Implementation of code vulnerabilities checker for secure software," in Proc. Korean Soc. Internet Inform. (KSII) Conf. 2010, pp. 605-608, Jeju Island, Korea, June, 2010.
NIST, Software Assurance Metrics And Tool Evaluation, Retrieved Feb., 20, 2013, from http://samate.nist.gov.
J. Bang and R. Ha, "Comparing open source static security analysis tools based on software weakness," in Proc. Korean Ist. Inform. Sci. Eng. Korea Computer Congress (KIISE KCC) 2013, pp. 753-755, Jeju Island, Korea, June 2013.
MOPAS and KISA, 2013 SW Weakness Dignosis Consultant Training Course Materials, 2013

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증