$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

웹 취약점 스코어링 기법의 advanced 모델 연구
A Study On Advanced Model of Web Vulnerability Scoring Technique 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.25 no.5, 2015년, pp.1217 - 1224  

변으뜸 (고려대학교 정보보호대학원) ,  임종인 (고려대학교 정보보호대학원) ,  이경호 (고려대학교 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

웹 취약점 분석은 기업이 웹 애플리케이션의 보안 문제점을 파악하고 개선하는데 도움을 주며 미래창조과학부는 취약점 분석 평가 기준을 배포하여 이를 지원하고 있다. 그러나 기준에서 제시하는 방법으로는 취약 항목에 대한 구분은 가능하지만 취약점 항목의 위험을 분석하기에는 부족하여 효과적인 대응이 어렵다는 문제점이 있다. 본 연구에서는 국내외 취약점 스코어링 기법에 대해 분석하고 올바른 웹 취약점 분석 평가를 위한 스코어링 방법을 제시하고자 한다.

Abstract AI-Helper 아이콘AI-Helper

Web application security problems are addressed by the web vulnerability analysis which in turn supports companies to understand those problems and to establish their own solutions. Ministry of Science, ICT and Future Planning (MSIP) has released its guidelines for analysis and assessment of the web...

주제어

#Scoring   #Web application   #Vulnerability  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 기존 문제점에 대하여 분석하거나, 웹 애플리케이션의 중요성 및 평가의 필요성 및 적용 연구 등에 대하여 조사하였다. 노회관은 주요정보통신기반시설 취약점 관리체계의 문제점이 있음을 지적하고 추가 대응을 제시하였지만, 웹 취약점 항목에 관련한 내용은 기술하지 않았다.
  • 그러나 국내에서 사용되는 방법으로는 정확한 평가가 어려워 동종 업계와의 비교나, 발견된 취약점간의 비교가 어려워 적절한 대응을 하기 어려운 점이 있다. 본 논문에서는 국내의 웹 취약분석 평가 방법의 문제점을 알아보고 해외의 취약점 분석 평가 방법을 분석하여 웹 취약점에 대한 평가를 올바르게 수행할 수 있도록 방법을 제시했다. 이 방법은 실제 취약점 진단을 수행하는 인력이 발견된 취약점에 대한 올바른 평가를 할 수 있게 도와주고 기업이 웹 취약점 현황에 대해 정확하게 인지하고, 대응시 우선순위를 정하는데 도움이 될 것이다.
  • 본 연구에서는 국내외 취약점 스코어링 방법들을 분석하고 적합한 스코어링 기법을 제시한다. 산업별 취약점 비교와 취약점간 비교로 담당자가 올바른 의사 결정을 내릴 수 있도록 취약점들을 스코어링 기법을 적용하고 산업군별로 분류하여 정리한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
CVSS란 무엇인가? CVSS(Common Vulnerability Scoring System)은 다양한 기종의 하드웨어와 소프트웨어의 실제 발생한 보안 취약점의 중요성을 평가하고 확인 하기 위해 만들어 졌으며, 현재 버전은 3까지 나와 있으나 정착단계인 2버전이 주로 활용되고 있다. CVSSv2의 평가항목은 Fig.
기술적 취약점 점수계산의 특징은 무엇인가? 점수 산출식을 제시하고 있다.[11] 이 계산법은 웹 취약점 항목에 대해서도 동일하게 적용하도록 기술되어 있다. 취약점 점수는 점검항목 등급을 반영하여 계산하도록 제시되어 있으며 위험등급은 상,중,하로 나누어 정의하고 등급을 나누는 기준은 비밀성,무결성,가용성을 고려하여 정의하고 구분해야 한다고 되어 있다. 다만 취약점 분석․평가 결과에 대해 정량적인 점수(100점 만점)로 산출․관리를 희망하는 경우 Fig.
웹 서비스의 특징은 무엇인가? 그러나 최근 모 통신사 개인정보 유출이나 아이핀 유출 사건 등 이슈화 되었던 사건들을 분석하여 보면 웹 취약점을 악용한 해킹사건임을 알수 있다.[2] 웹 서비스는 일반적으로 인터넷을 이용하면 어디에서나 접속할 수 있는 특징을 가지고 있고 내부망과의 접점이 있어, 해킹 공격을 당했을 경우 내부 중요 데이터가 유출되거나, 시스템이 점령당하는 피해를 입을 수 있다. 이러한 환경에서, 발견된 취약점을 신속하게 제거하는 것이 잠재적 위협을 최소화 하는 방법이다.
질의응답 정보가 도움이 되었나요?

참고문헌 (15)

  1. Young-Tek Jo, "Study on Improving the information protection level by Integrated Evaluation Items(IEI)," The Korea Institute information and communications university, pp. 54, May. 2011 

  2. Money Today broadcast, "Government hacked, 750000 of i-pin illegal issued by system hacking" http://news.mtn.co.kr/v/2015030518213352488, Mar, 2015 

  3. Jin-Young Lee, Dong-Jin Kim, Min-Jae-Kim, "Taxonomy Comparison of CWE and 7PK vulnerabilities," Proceedings of KISS, 36(D), pp. 26, Nov. 2009 

  4. Dong-Jin Kim, "An Anaysis of Domestic and Foreign Security Vulnerability Management Systems based on a National Vulnerability Database," Internet and Information Security, 1(2), pp. 140-145, Nov. 2010 

  5. Jae-Hyun Lee, "Study on the OWASP and WASC-oriented Web Application Security," Journal of Advanced Navigation Technology, 15(3), pp. 376, Jun. 2011 

  6. Jae-Chan Moon, "Vulnerability Analysis and Threat Mitigation for Secure Web Application Development," Journal of the Korea Society of Computer and Information, 17(2), pp 133, Feb. 2012 

  7. Jae-Chan Moon, "Selection and Ranking of Common Attack Patterns for Developing Secure Web Applications," Proceedings of KIISE, 39(B), pp 226-228, Jun. 2012 

  8. Sooho Lee, "Researching Information System Security Survey," Graduate Schoolof Konkuk Information and Communications, pp. 35-43, Feb. 2013 

  9. Joonseon Ahn and Ji-ho Bang, "Quantitative Scoring Criteria on the Importance of Software Weaknesses," Journal of KIISC, 22(6), pp. 1408-1417, Dec. 2012 

  10. Hee-gwan Noh, "A Study on the Improvement of the Vulnerability Management System in the Information and Communications Infrastructure(Vulnerability analysis and evaluation for Major Information and Communications Infrastructure)," Department of Information Security Graduate School Soongsil University, pp. 19-20, Dec. 2012 

  11. Ministry of Science, ICT and Future Planning, "Vulnerability analysis and evaluation criteria for Major Information and Communications Infrastructure(Vulnerability analysis and evaluation calculation)," pp. 1-5, Aug. 2013 

  12. OWASP, "OWASP Risk Rating Methodology," OWASP(https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology), Feb. 2015 

  13. Peter Mell, Karen Scarfone, "A Complete Guide to the Common Vulnerability Scoring System Version 2.0, ", CVSS, p. 2-23, Jun. 2007 

  14. Bob Martin, Steve Christey Coley, "Common Weakness Scoring System," CWE(http://cwe.mitre.org/cwss/cwss_v1.0.1.html) Sep. 2014 

  15. Kyoung-Ki Kim, "Research of improved CVSS vulnerability management in Financial ISAC," Department of Information Security Graduate School of Information Communication Sungkyunkwan University, 37-52, Aug. 2008 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로