[논문]보안취약점 중요도 정량 평가 체계 연구

안준선; 창병모; 이은영

doi:10.13089/jkiisc.2015.25.4.921

보안취약점 중요도 정량 평가 체계 연구
Quantitative Scoring System on the Importance of Software Vulnerabilities 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.25 no.4, 2015년, pp.921 - 932

안준선 (한국항공대학교) , 창병모 (숙명여자대학교) , 이은영 (동덕여자대학교)

초록
AI-Helper

본 논문에서는 소프트웨어 보안취약점의 중요도를 정량적으로 산출할 수 있는 중요도 정량 평가 체계를 제안한다. 제안된 평가 체계는 국내 소프트웨어 이용 환경을 고려한 보안취약점의 파급도, 위험도, 소프트웨어 점유율, 시스템에서의 사용 정도 등을 복합적으로 반영하여 보안취약점에 대한 심각성을 적절히 평가할 수 있는 평가 척도와 이를 기반으로 한 중요도 계산식으로 구성된다. 논문에서는 제안된 소프트웨어 보안취약점 평가 체계를 국내의 보안취약점에 시범적으로 적용하고 그 효용성을 CVSS 및 CWSS 등과 비교, 분석하였으며, 제안된 평가 체계의 활용 방안을 제시하였다.

Abstract ▼ AI-Helper

We proposed a new scoring system on software vulnerabilities, which calculates quantitatively the severity of software vulnerabilities. The proposed scoring system consists of metrics for vulnerability severity and scoring equations; the metrics are designed to measure the severity of a software vulnerability considering the prevalence of the vulnerability, the risk level of the vulnerability, the domestic market share of the software and the frequency of the software. We applied the proposed scoring system to domestically reported software vulnerabilities, and discussed the effectiveness of the scoring system, comparing it with CVSS and CWSS. We also suggested the prospective utilization areas of the proposed scoring system.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 국내의 소프트웨어 환경을 고려한 새로운 소프트웨어 보안취약점 평가 체계를 제안하고자 한다. 본 논문은 다음과 같은 형식으로 구성되어 있다.
각 척도별 평가 등급을 취합하여 전체 중요도 점수를 정량적으로 산정한다. 본 연구에서는 개발된 평가체계의 활용을 고려하여, 취약점 DB 구축 시 취약점의 본질적인 중요도를 포함시키기 위한 취약점 DB 점수와, 신규 취약점 발굴 작업에 대한 적절한 포상 수행을 위한 점수인 취약점 발굴 점수의 두 가지 산출식을 제시하였다.
본 연구에서는 기존 CWSS 및 CVSS를 분석하여 이를 개선하여 국내 활용에 적합하도록 개발된 보안취약점 중요도 정량평가 체계를 제시하였다. 개발된 평가체계는 다음과 같은 장점을 가진다.
본 연구에서는 이러한 점을 고려하여 취약점의 중요도를 결정하기 위하여 평가하여야 할 요소를 설정하고, 각 평가 요소에 대하여 국내 상황을 고려하여 중요도를 평가할 수 있는 평가 척도를 설정하였다.
본 절에서는 국내에서 보고된 40개 신규 취약점 사례[15]에 대하여 본 연구에서 개발한 취약점 평가 방법을 사용한 평가 결과를 제시한다.
현재 가장 대표적인 보안약점 및 보안취약점 평가 체계로는 CWSS와 CVSS를 들 수 있다. 본 절에서는 소프트웨어 보안약점과 보안취약점의 정량적 평가를 위한 기반 연구로서 CWSS와 CVSS를 소개하고, 그 특성 및 개선 방향을 분석하고자 한다.

제안 방법

각 평가 요소별로 CWSS와 CVSS의 평가 척도들을 참고하여 기존의 평가 척도의 기준을 객관화 하거나 신규의 평가 척도를 개발하여 각 평가 요소를 균형 있게 평가하도록 구성하였다. 다음은 평가 요소별로 선정된 평가 척도를 나타낸다.
출현도에 있어서는 일반적인 출현도의 심각성 인식에 부합하도록 소프트웨어의 파급 범위에 중점을 두어 점수를 부여하였다. 공격 난이도의 경우에는 공격의 방해 및 필요 요소와 관련된 세 가지 척도의 산술 평균과 해당 공격으로 인한 침해의 발생 가능성을 곱하여 계산함으로써, 공격으로 인한 실제 침해가 없을 경우에 이를 전반적으로 반영할 수 있도록 하였다. 발굴 수준, 대응 난이도 점수는 관련 척도의 평균을 사용하도록 하였다.
3장에서는 국내 소프트웨어 이용 환경을 고려한 보안취약점의 파급도, 위험도, 소프트웨어 점유율, 시스템에서의 사용 정도 등을 복합적으로 반영하여 보안취약점에 대한 심각성을 적절히 평가할 수 있는 기준과 이를 기반으로 한 평가 방법을 제안하다. 또한 4장에서는 제안된 소프트웨어 보안취약점 평가 체계를 국내의 보안취약점에 시범적으로 적용하고 그 효용성을 CVSS 및 CWSS 등과 비교, 분석하였으며, 결론에서는 제안된 보안취약점 평가 체계의 활용방안에 대하여 논의하고자 한다.
• 평가 내용: 보급률이 높고 사용자가 많은 소프트웨어에서 발견되는 취약점일수록 높은 값을 가진다. 또한 해당 소프트웨어의 특성에 따라 침해의 파급 정도가 달라지므로 소프트웨어의 종류와 보급도를 복합적으로 평가하도록 하였다.
공격 난이도의 경우에는 공격의 방해 및 필요 요소와 관련된 세 가지 척도의 산술 평균과 해당 공격으로 인한 침해의 발생 가능성을 곱하여 계산함으로써, 공격으로 인한 실제 침해가 없을 경우에 이를 전반적으로 반영할 수 있도록 하였다. 발굴 수준, 대응 난이도 점수는 관련 척도의 평균을 사용하도록 하였다.
설정된 평가요소에 대하여 각 요소를 평가하기 위한 평가 척도를 선정하였다. 평가 척도의 선정에 있어서 주요 고려 사항은 다음과 같다.
취약점 자체의 심각성은 영향도, 출현도, 공격 난이도를 평가하여 계산된다. 영향도 점수에 있어서 기술적 영향 척도의 점수가 기본적으로 사용되며, 피해의 심각성은 부수적으로 반영되어 기술적 영향이 다양하지 않더라도 피해의 심각성이 크면 점수가 1에 가까워지도록 하여 구체적인 심각성에 해당되는 요소의 평가가 높아지도록 설정하였다. 출현도에 있어서는 일반적인 출현도의 심각성 인식에 부합하도록 소프트웨어의 파급 범위에 중점을 두어 점수를 부여하였다.
점수를 부여함에 있어서 기존의 보안취약점 및 보안약점 평가방법에서 사용하는 평가방법의 척도 및 인터넷진흥원에서 이미 사용하고 있는 포상제 평가 척도를 모두 고려하여, 가장 적합한 척도를 선택하여 사용하였다.
제안된 평가방법을 사용하여 최신 국내 보안취약점 보고 사례 40건에 대한 시범평가를 수행하였으며, 그 결과를 국내 전문가들의 평가 결과들과 비교, 점검하여 평가 척도 및 공식을 개선하는 과정을 거침으로써 설득력 있는 평가가 이루어질 수 있는 평가 체계를 도출하였다.
예를 들어 피해의 심각성에 대한 평가에서는 PHP 원격코드 실행 취약점으로 인하여 임의 코드를 실행하는 서버로 인해 중간 정도의 물적 손실이나 자산 손실의 결과를 낳을 수 있으므로 M으로 평가하였다. 침해 가능성의 경우에는 공격자가 발견된 해당 취약점에 접근하여 공격할 경우 침해를 성공할 확률이 높으며 안정적인 공격 방법이 알려져 있으므로 H로 평가하였다.
평가척도를 구성함에 있어 6개 필수 평가범주를 설정하고 이에 맞추어 척도를 선택함으로써 균형 있는 분석이 될 수 있도록 하였으며, 국내 실정에 맞는 적절한 평가 기준을 수립하기 위하여 국내의 파급도를 반영할 수 있도록 관련 척도를 적절히 설계하였다. 평가 공식 개발에 있어서, 보안취약점의 영향도, 출현도, 공격난이도의 취약점 특성, 발굴 수준 및 대응 난이도 등을 독립적으로 평가하고, 그 결과를 기반으로 목적에 맞는 평가 방법을 도출하도록 하여 한 가지 특성에 대한 중복되는 점수 반영을 최소화하였다.

이론/모형

1이다. CWSS의 일부 평가 척도는 2011 SANS Top 25의 선정에 활용되었다.

성능/효과

첫 번째 취약점의 경우 금융 관련 온라인 보안 솔루션으로 파급도가 W로 파악되었고, 타 척도들도 위험도가 높은 것으로 판단되어 높은 점수가 부여되었다. 일반적으로 파급도가 큰 프로그램이 높은 점수를 부여받았으며, 버퍼 넘침과 관련된 취약점들이 대부분 원격코드 실행과 관련되어 기술적 영향 점수를 높게 부여 받아 다른 종류의 취약점과 비교하여 상대적으로 높은 점수가 부여되었다.

후속연구

개발된 보안취약점 평가체계는 한국인터넷진흥원에서 진행하고 있는 S/W 신규 보안 취약점 신고 포상제와 같은 보안취약점 발굴 포상제의 근거로 활용이 가능하며, 또한 CVE와 같은 보안취약점에 대한 종합적인 DB 구축이 국내에서도 추진될 경우 보안 취약점 중요도 점수를 객관적으로 제공하는데 사용할 수 있을 것으로 판단된다.
평가 공식 개발에 있어서, 보안취약점의 영향도, 출현도, 공격난이도의 취약점 특성, 발굴 수준 및 대응 난이도 등을 독립적으로 평가하고, 그 결과를 기반으로 목적에 맞는 평가 방법을 도출하도록 하여 한 가지 특성에 대한 중복되는 점수 반영을 최소화하였다. 본 취약점 평가체계는 모든 척도에 대하여 객관적 기준을 적절한 체계에 의하여 제시하였고, 중요도 산출 공식의 도출에 있어서도 논리적인 근거에 기반한 체계를 제시하였기 때문에, 설득력을 확보하면서도 향후 추가적인 환경의 변화 또는 요구조건의 변화에도 적절히 대처하여 갱신하는 것도 용이할 것으로 판단된다.
소프트웨어의 보안취약점의 영향 및 심각성은 그 자체의 본질적인 특성 뿐 아니라 사용되는 환경이나 응용 분야의 특성, 소프트웨어 점유율, 시간 및 지역에 따라 변화하는 정보 시스템 환경 등에 영향을 받게 되므로, 국내의 소프트웨어 환경 특성을 고려한 새로운 소프트웨어 보안취약점 평가 체계가 필요하며, 같은 평가 척도에 대해서도 국내 상황에 맞는 적절한 객관적 판단 기준이 설정되어야 할 것이다. 따라서 국내 환경에 적합한 정량적 및 정성적 기준을 제시하고 이에 기반 하여 소프트웨어 보안취약점의 중요도를 판별할 수 있는 소프트웨어 보안취약점 평가 체계를 마련하여 활용하는 것이 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	보안취약점 중요도 정량 평가 체계 연구 대표적인 사례에는 무엇이 있는가?	소프트웨어의 보안취약점을 예방하기 위한 연구 및 활동의 기반 데이터를 제공하기 위하여 보안취약점과 보안약점에 대한 전반적인 정보를 축적하고 이를 효과적으로 제공하고자 하는 연구가 활발히 진행 되어 지금까지 상당한 진척과 성과를 보이고 있으며, 922 보안취약점 중요도 정량 평가 체계 연구 대표적인 사례로 CWE(Common Weakness Enumeration), CVE(Common Vulnerability Enumeration), NVD(National Vulnerability Database) 등이 있다[5,6,7]. 또한 다양한 보안약점 중에 중요 보안약점을 선별하여 대응하고자 하는 노력으로 CWE/SANS Top 25, OWASP Top 10 등이 발표되고 있으며, 국내에서도 행정자치부 보안약점 기준이 정보 소프트웨어 개발보안 정책을 위하여 발표된 바 있다[8,9,10].
	CWSS란 무엇인가?	CWSS는 보안약점의 중요도를 평가하는 체계로서 총체적인 소프트웨어 보안약점 명세데이터를 구축하는 CWE 프로젝트의 일환으로 추진되었다. CWE 와 CWSS의 특징은 안전한 소프트웨어의 개발과 보안 유지에 책임이 있는 당사자들인 정부, 학계, 산업체들이 모여서 만드는 커뮤니티 형태의 협업이라는 점에 있다.
	소프트웨어 보안취약점의 중요도를 정량적으로 산출할 수 있는 중요도 정량 평가 체계는 무엇으로 구성되는가?	본 논문에서는 소프트웨어 보안취약점의 중요도를 정량적으로 산출할 수 있는 중요도 정량 평가 체계를 제안한다. 제안된 평가 체계는 국내 소프트웨어 이용 환경을 고려한 보안취약점의 파급도, 위험도, 소프트웨어 점유율, 시스템에서의 사용 정도 등을 복합적으로 반영하여 보안취약점에 대한 심각성을 적절히 평가할 수 있는 평가 척도와 이를 기반으로 한 중요도 계산식으로 구성된다. 논문에서는 제안된 소프트웨어 보안취약점 평가 체계를 국내의 보안취약점에 시범적으로 적용하고 그 효용성을 CVSS 및 CWSS 등과 비교, 분석하였으며, 제안된 평가 체계의 활용 방안을 제시하였다.

참고문헌 (15)

Gartner, "Now is the time for security at application level," http://www.gartner.com/id487227, December, 2005.
Chan-Kyu Park, Hyong-Shik Kim, Tae Jin Lee, Jae-Cheol Ryou, "Function partitioning methods for malware variant similarity comparison," Journal of The Korea Institute of information Security & Cryptology, 25(2), pp. 321-330, Apr. 2015

원문보기 상세보기
Min Jae Jo, Ji Sun Shin, "Study on Security Vulnerabilities of Implicit Intents in Android," Journal of The Korea Institute of information Security & Cryptology, 24(6), pp. 1175-1184, Dec. 2014

원문보기 상세보기
Jinseok Park, Heesoo Kang, Seungjoo Kim, "How to Combine Secure Software Development Lifecycle into Common Criteria," Journal of The Korea Institute of information Security & Cryptology, 24(1), pp. 171-182, Feb. 2014

원문보기 상세보기
Common Weakness Enumeration (CWE), http://cwe.mitre.org/
Common Vulnerabilities and Exposures (CVE), http://cve.mitre.org
National Vulnerability Database (NVD), http://nvd.nist.gov
2011 CWE/SANS Top 25 Most Dangerous Software Errors, http://cwe.mitre.org/top25/
2010 OWASP (The Open Web Application Security Project) Top 10, http://www.owasp.org
Software development security, Guideline for governmental software systems, Chapter 6, http://www.law.go.kr/LSW/admRulInfoP.do?admRulSeq2000000099405
Bounty program for new SW vulnerabilities, Korea Internet & Security Agency Korea Internet Security Center (KISC), https://www.krcert.or.kr/kor/consult/consult_04.jsp
Common Weakness Scoring System (CWSS), http://cwe.mitre.org/cwss/
Common Vulnerability Scoring System (CVSS-SIG), http://www.first.org/cvss
CAPEC - Common Attack Pattern Enumeration and Classification, http://capec.mitre.org/
Joonseon Ahn, Byeong-Mo Chang, Eunyoung Lee, "Research on Software Vulnerability Scoring Systems," Korea Internet & Security Agency, Korea, 2013

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증