소프트웨어 개발 시 보안을 고려한 개발방법의 적용은 추가비용을 발생시키고, 이러한 추가 비용은 많은 개발조직에서 보안을 고려하지 못하는 원인이 된다. 보안을 고려한 개발을 진행 하더라도, 주어진 비용 내에서 처리할 수 있는 취약점 처리량을 산출하는 방법이 부족한 실정이다. 본 논문에서는 보안 취약점 처리 비용을 효율적으로 사용하여 취약점 처리량을 산출하는 방법을 제안한다. 제안한 방법에서는 소프트웨어 개발단계 중 구현 단계에 중점을 두고, 정적 분석 툴을 활용하여 CWE TOP25에 대한 보안 취약점을 찾아낸다. 찾아진 취약점은 CWE의 정보를 활용하여, 각 취약점의 위험도, 처리 비용, 비용 당 위험도를 정의하고, 처리 우선순위를 정의한다. 정의된 우선순위를 통하여 탐지된 취약점 처리에 소모되는 비용을 산출하고, 투입 비용 내에서 취약점 처리량을 제어한다. 본 방법을 적용하면, 투입 비용 내에서 최대의 취약점의 위험도를 처리할 수 있을 것으로 기대된다.
소프트웨어 개발 시 보안을 고려한 개발방법의 적용은 추가비용을 발생시키고, 이러한 추가 비용은 많은 개발조직에서 보안을 고려하지 못하는 원인이 된다. 보안을 고려한 개발을 진행 하더라도, 주어진 비용 내에서 처리할 수 있는 취약점 처리량을 산출하는 방법이 부족한 실정이다. 본 논문에서는 보안 취약점 처리 비용을 효율적으로 사용하여 취약점 처리량을 산출하는 방법을 제안한다. 제안한 방법에서는 소프트웨어 개발단계 중 구현 단계에 중점을 두고, 정적 분석 툴을 활용하여 CWE TOP25에 대한 보안 취약점을 찾아낸다. 찾아진 취약점은 CWE의 정보를 활용하여, 각 취약점의 위험도, 처리 비용, 비용 당 위험도를 정의하고, 처리 우선순위를 정의한다. 정의된 우선순위를 통하여 탐지된 취약점 처리에 소모되는 비용을 산출하고, 투입 비용 내에서 취약점 처리량을 제어한다. 본 방법을 적용하면, 투입 비용 내에서 최대의 취약점의 위험도를 처리할 수 있을 것으로 기대된다.
When, Software is developed, Applying development methods considering security, it is generated the problem of additional cost. These additional costs are caused not consider security in many developing organization. Even though, proceeding the developments, considering security, lack of ways to get...
When, Software is developed, Applying development methods considering security, it is generated the problem of additional cost. These additional costs are caused not consider security in many developing organization. Even though, proceeding the developments, considering security, lack of ways to get the cost of handling the vulnerability throughput within the given cost. In this paper, propose a method for calculating the vulnerability throughput for using a security vulnerability processed cost-effectively. In the proposed method focuses on the implementation phase of the software development phase, leveraging static analysis tools to find security vulnerabilities in CWE TOP25. The found vulnerabilities are define risk, transaction costs, risk costs and defines the processing priority. utilizing the information in the CWE, Calculating a consumed cost in a detected vulnerability processed through a defined priority, and controls the vulnerability throughput in the input cost. When applying the method, it is expected to handle the maximum risk of vulnerability in the input cost.
When, Software is developed, Applying development methods considering security, it is generated the problem of additional cost. These additional costs are caused not consider security in many developing organization. Even though, proceeding the developments, considering security, lack of ways to get the cost of handling the vulnerability throughput within the given cost. In this paper, propose a method for calculating the vulnerability throughput for using a security vulnerability processed cost-effectively. In the proposed method focuses on the implementation phase of the software development phase, leveraging static analysis tools to find security vulnerabilities in CWE TOP25. The found vulnerabilities are define risk, transaction costs, risk costs and defines the processing priority. utilizing the information in the CWE, Calculating a consumed cost in a detected vulnerability processed through a defined priority, and controls the vulnerability throughput in the input cost. When applying the method, it is expected to handle the maximum risk of vulnerability in the input cost.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
이러한 이유로 주어진 비용 안에서 보안성을 고려하기 위한 방법이 필요로 하게 되었다. 본 논문에서는 보안 취약점 처리 비용에 대한 보안 취약점의 위험도를 정의하고, 보안 취약점 처리 비용 당 보안 취약점의 위험도의 우선순위를 정함으로써, 정해진 비용 안에서 최대의 보안취약점을 처리할 수 있는 방법을 제시한다.
본 논문에서는 투입 비용 내에서 최대의 위험도를 처리 하는 것을 목표로 하여, 구현 단계에서 정적 분석 툴을 이용하여 취약점을 검출하고, 검출된 취약점에 대한 처리 제어 방법을 제시하였다. 취약점 처리 제어에는 비용 당 위험도를 통하여 정의된 처리 효율지수를 사용하였으며, 투입 비용에 따른 최대 위험도를 처리할 수 있었다.
가설 설정
위에서 정의된 Equation (1)의 i는 정수 값을 가지며, 취약점의 처리 효율에 따른 우선순위를 의미한다. 한 항목에 대한 취약점의 처리 소모비용을 계산할 때는 우선순위의 중요도가 낮지만, 총 소모비용을 계산할 때에는 우선순위가 중요한 요소로 작용하게 된다.
제안 방법
실제로 취약점 분석에 정적 분석이 많이 사용되고 있다[7, 8]. 따라서 본 논문에서는 개발 단계의 코드의 취약점 분석을 위하여 정적 분석 툴을 이용하였다.
대상 데이터
이러한 정보를 이용하여 투입된 비용 내에서 처리의 효율을 높이는 방향으로 취약점 처리 방안을 수립한다. 본 논문에서는 CWE Top 25에 존재하는 취약점이 1개씩 검출된 데이터를 이용하였다.
이론/모형
만약에, 보안 취약점 위험도가 정의되어 있지 않는 경우에는, 각 보안 취약점이 소프트웨어에 미치는 영향을 고려하기 힘들기 때문에, 보안 취약점 위험도를 정의한다. 보안 취약점 위험도는 CWE TOP25에서 제공하는 Score를 사용하였다. CWE에서 Score는 CWSS를 사용하여 구하게 되며, CWSS는 CWSS Metric Group을 이용하여 구하게 된다.
실제 경험을 토대로 비용을 추정하기 때문에 보다 객관적인 비용의 추정이 가능하게 된다. 본 논문에서는 CWE의 경험적 데이터를 통하여 취약점 처리 비용의 추정하는데 유사 추정법을 이용한다.
본 논문에서는 취약점 검출을 위해 정적 분석 툴을 사용한다. 취약점 처리의 제어 방안은 CWE의 정보를 이용하기 때문에, 정적 분석 툴은 CWE에 존재하는 취약점을 검출할 수 있어야 한다.
취약점 처리 비용은 CWE Top25의 Summary에 있는 처리비용 항목을 사용하였다. CWE의 경우에는 처리 비용을 수치가 아닌, High, Medium, Low 등의 등급으로 정의하고 있기 때문에, 처리 효율지수를 산출하기 위하여, CWSS의 정보를 이용하여 각 등급에 대한 수치를 부여하고, 각 등급에 대한 가중치를 부여하였다.
성능/효과
본 논문에서는 투입 비용 내에서 최대의 위험도를 처리 하는 것을 목표로 하여, 구현 단계에서 정적 분석 툴을 이용하여 취약점을 검출하고, 검출된 취약점에 대한 처리 제어 방법을 제시하였다. 취약점 처리 제어에는 비용 당 위험도를 통하여 정의된 처리 효율지수를 사용하였으며, 투입 비용에 따른 최대 위험도를 처리할 수 있었다. 하지만, 처리 효율을 계산하는 과정에서 사용된 취약점의 위험도와 처리 비용은 CWE TOP25의 정보만을 사용하여 정의하였기 때문에, 개발하는 소프트웨어의 특징을 위험도와 비용에 반영하기에는 한계가 존재한다.
후속연구
이러한 문제를 해결 하기 위해서는 소프트웨어의 특징을 반영하는 할 수 있는 위험도와 비용의 측정 방법이 필요하게 되었지만, 소프트웨어의 모든 특성을 고려하여 취약점의 위험도와 처리 비용을 산출하기 에는 어려움이 따르고 있다. 이러한 문제를 해결하기 위해서 소프트웨어 특성에 따라서, 변경되는 취약점의 위험도와 비용을 측정할 수 있는 방법에 대한 연구가 진행되어야 한다. 이러한 방법이 확보될 경우에는, 소프트웨어의 목적과 특성에 맞는 취약점의 위험도와 처리 비용이 정의가 가능하게 된다.
이러한 방법이 확보될 경우에는, 소프트웨어의 목적과 특성에 맞는 취약점의 위험도와 처리 비용이 정의가 가능하게 된다. 취약점 처리 제어에 소프트웨어의 특징을 반영한 취약점의 위험도와 처리 비용을 사용할 수 있다면, 보다 정확한 처리 효율을 얻을 수 있을 것으로 기대된다.
질의응답
핵심어
질문
논문에서 추출한 답변
많은 개발 조직에서 보안을 고려하지 못하는 원인은?
소프트웨어 개발 시 보안을 고려한 개발방법의 적용은 추가비용을 발생시키고, 이러한 추가 비용은 많은 개발조직에서 보안을 고려하지 못하는 원인이 된다. 보안을 고려한 개발을 진행 하더라도, 주어진 비용 내에서 처리할 수 있는 취약점 처리량을 산출하는 방법이 부족한 실정이다.
유지보수단계에서 취약점을 처리하면 얼만큼의 비용이 필요한가?
하지만 보통의 경우 소프트웨어 개발 시에 보안을 고려하지 않고 개발하고 있으며, 소프트웨어 개발 시에 보안을 고려하지 않고 개발을 할 경우에는, 소프트웨어에서 발생하는 취약점의 처리를 유지보수 단계에서 패치나 업데이트를 통해서 해결하고 있다. 유지보수단계에서 취약점을 처리 하는 것은 개발 단계에서 취약점을 처리하는 것보다 보다 많은 비용을 필요로 하게 된다[2, 3]. 이에 따라서 개발 단계에서부터 보안을 고려한 개발 방법에 대한 움직임이 활성화 되었으며[4, 5], 실제로 보안성을 고려한 개발 방법은 소프트웨어가 가진 취약점을 감소시키는 성과를 내고 있다[5].
본 논문에서 제안한, 보안 취약점 처리 비용을 효율적으로 사용하여 취약점 처리량을 산출하는 방법은 어떻게 작동하는가?
본 논문에서는 보안 취약점 처리 비용을 효율적으로 사용하여 취약점 처리량을 산출하는 방법을 제안한다. 제안한 방법에서는 소프트웨어 개발단계 중 구현 단계에 중점을 두고, 정적 분석 툴을 활용하여 CWE TOP25에 대한 보안 취약점을 찾아낸다. 찾아진 취약점은 CWE의 정보를 활용하여, 각 취약점의 위험도, 처리 비용, 비용 당 위험도를 정의하고, 처리 우선순위를 정의한다. 정의된 우선순위를 통하여 탐지된 취약점 처리에 소모되는 비용을 산출하고, 투입 비용 내에서 취약점 처리량을 제어한다. 본 방법을 적용하면, 투입 비용 내에서 최대의 취약점의 위험도를 처리할 수 있을 것으로 기대된다.
참고문헌 (14)
Gartner, Now is the time for security at Application Level [Internet], https://www.sela.co.il/_Uploads/dbsAttachedFiles/GartnerNowIsTheTimeForSecurity.pdf.
Department of Homeland Security, Practical Measurement Framework for Software Assurance and Information Security [Internet], http://buildsecurityin.us-cert.gov/.
NIST, The Economic Impacts of Inadequate Infrastructure for Software Testing, 2002.
M. G. Choi and M. J. Jeon, "Analysis of Methodologies for Security Development Lifecycle for Security Enhancement System," KIMS Spring Symposium, 2010, pp.418-425. 2010.
Microsoft, Introduction to the Microsoft Security Development Life cycle [Internet], http://www.microsoft.com/security/sdl.
NIPA Software Engineering Center, Software Engineering Withe Book, ch.3, pp.176-183, 2013.
Jovanovic, Nenad, Christopher Kruegel, and Engin Kirda, "Pixy: A static analysis tool for detecting web application vulnerabilities," in Security and Privacy, 2006 IEEE Symposium on, pp.258-263. IEEE, 2006.
Sung min Ahn, Min Sik Jin, and Kyu Jin Cho, "Detecting Software security vulnerability with of Software Security Vulnerabilities," Communication of the Korean Institute of Information Scientists and Engineer, Vol.28, No.2, pp.32-36, 2010.
Mitre, CWE./SANS Top 25 [Internet], http://cwe.mitre.org/top25/.
Leung, Hareton and Zhang Fan, "Software cost estimation," Handbook of Software Engineering, Hong Kong Polytechnic University, 2002.
S. K. Choi and E. H. Choi, "Study on validating proper System Requirements by using Cost Estimations Methodology," KCSA Transactions on Convergence Security, Vol.13, No.5, pp.97-105, 2013.
HP fortify [Internet], http://www8.hp.com/h20195/v2/GetPDF.aspx/4AA5-7039ENW.pdf.
Sung hae Kim, Jin ho Joo, Gunsoo Lee, and Gi hwon Kown, "Implementation of Code Vulnerabilities Checker for Secure Software," in Proceedings of the Korean Society For Internet Information, Vol.2010, No.6, pp,605-608, 2010.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.