[논문]웹방화벽의 보안성 평가 기준의 구축

이하용; 양효식

doi:10.14400/jdc.2017.15.5.197

웹방화벽의 보안성 평가 기준의 구축
Construction of Security Evaluation Criteria for Web Application Firewall 원문보기

디지털융복합연구 = Journal of digital convergence, v.15 no.5, 2017년, pp.197 - 205

이하용 (서울벤처대학원대학교 융합산업학과) , 양효식 (삼일회계법인 IT Risk & Security)

초록
AI-Helper

웹방화벽이 정보유출방지 등의 웹 보안 기능을 효과적으로 제공하여 웹 애플리케이션 보안이라는 목표를 달성하기 위해서는 웹사이트 보안 강화와 안전한 서비스 제공이라는 목표를 달성할 수 있어야 한다. 따라서 관련된 표준을 근간으로 웹방화벽시스템의 보안성 평가를 체계적으로 수행할 수 있는 연구가 필요하다. 본 논문에서는 웹방화벽시스템의 기반 기술과 웹방화벽의 보안성 품질에 관한 요구사항을 분석하고 소프트웨어 제품평가에 관한 국제표준과 정보보안 관련 제품의 평가에 관련된 표준을 근간으로 보안성 품질을 평가하는 기준을 구축하였다. 본 연구를 통해 웹방화벽시스템의 보안성 품질수준을 확인하고 품질향상을 제고할 수 있는 기준의 확보를 기대할 수 있을 것으로 사료된다. 향후 연구과제로 지속적으로 변화하고 있는 국제표준에 따라 평가기준을 지속적으로 업그레이드할 필요가 있다.

Abstract ▼ AI-Helper

To achieve web application security goals effectively by providing web security features such as information leakage prevention, web application firewall system must be able to achieve the goal of enhancing web site security and providing secure services. Therefore, it is necessary to study the security evaluation of web application firewall system based on related standards. In this paper, we analyze the requirements of the base technology and security quality of web application firewall, and established the security evaluation criteria based on the international standards for software product evaluation. Through this study, it can be expected that the security quality level of the web application firewall system can be confirmed and the standard for enhancing the quality improvement can be secured. As a future research project, it is necessary to continuously upgrade evaluation standards according to international standards that are continuously changing.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

웹방화벽의 보안 기능이 제 역할을 수행해야 웹 공격에 대응하고 정보유출을 방지하며 부정 사용자의 로그인을 차단하고 웹 사이트에 대한 위변조를 방지할 수 있다. 따라서 본 논문에서는 웹방화벽에 대한 보안성 품질에 중점을 두고 품질 수준을 측정할 수 있는 방법에 대해 고찰하고자 한다.
웹방화벽의 품질 수준에 대한 평가의 핵심은 보안성 평가로서 보안성 평가를 위한 체계 구축을 위해서는 관련 표준을 근거로 하는 보안성 품질의 평가기준 구축이 필수적이다. 본 논문에서는 ISO/IEC 25000 표준의 보안성 품질특성과 ISO/IEC 15408을 근간으로 웹방화벽의 보안성 평가를 위한 통합체계를 구축하였다.
본 연구에서 웹방화벽의 보안성에 대한 부특성인 기밀성, 무결성, 부인방지, 책임성, 인증성에 관한 메트릭을 개발하였다.
이 절에서는 웹방화벽의 요구사항을 바탕으로 웹방화벽의 보안성(security)에 관련된 특성을 분류하고 분석하고자 한다. 본 연구에서는 ISO/IEC 15408의 보안성 체계와 특성을 근간으로 ISO/IEC 25000 표준의 보안성 평가체계에 따른 평가 기준을 구축하고자 한다. 즉, ISO/IEC 25000 표준을 근간으로 하는 보안성에 관련된 부특성인기밀성(Confidentiality)과 무결성(Integrity), 책임성(Accountability), 인증성(Authenticity)의 체계에 따라 보안성을 평가하기 위한 기준을 구축하고자 한다.
이 절에서는 웹방화벽의 요구사항을 바탕으로 웹방화벽의 보안성(security)에 관련된 특성을 분류하고 분석하고자 한다. 본 연구에서는 ISO/IEC 15408의 보안성 체계와 특성을 근간으로 ISO/IEC 25000 표준의 보안성 평가체계에 따른 평가 기준을 구축하고자 한다.
본 연구에서는 ISO/IEC 15408의 보안성 체계와 특성을 근간으로 ISO/IEC 25000 표준의 보안성 평가체계에 따른 평가 기준을 구축하고자 한다. 즉, ISO/IEC 25000 표준을 근간으로 하는 보안성에 관련된 부특성인기밀성(Confidentiality)과 무결성(Integrity), 책임성(Accountability), 인증성(Authenticity)의 체계에 따라 보안성을 평가하기 위한 기준을 구축하고자 한다.

가설 설정

① 웹방화벽은 인증 사건의 목록과 관련된 규정진 횟수의 인증시도 실패가 발생하면 이를 탐지해야 한다.(식별 및 인증)

제안 방법

보안 관련 행동의 책임을 추적하기 위해 감사 레코드를 생성하고 기록하고 검토하며 감사된 사건에 대한 보안 위반을 탐지하며 대응행동을 수행하는 능력으로[Table 1]에 보안감사에 관한 요구사항을 정리하였다.
시스템이 정보흐름을 중재하기 위해 보안정책에 따라 패킷필터링 등을 통해 외부망으로부터 내부망을 보호하는 능력으로 [Table 6]에 접근통제에 관한 요구사항을 정리하였다.
웹방화벽의 보안성 평가모델 개발 연구로서 웹방화벽 관련 기술을 분석하고 웹방화벽의 보안성 평가모델을 개발하기 위해 웹방화벽에 관한 보안성 품질 요구사항을 분석하고 주요 품질요소를 분석하여 평가 기준을 구축하였다.
점검표의 도출은 웹방화벽의 보안성에 관한 요구사항을 기반으로 한다. 웹방화벽의 보안성에 관한 요구사항으로부터 특정 메트릭의 개념에 맞는 내용을 도출하여 점검표 항목을 구성한다. [Table 13]은 ‘감사 검토’ 메트릭의 점검표를 나타내고 있다.
이 절에서는 ISO/IEC 15408[12]과 ISO/IEC 18045[13]를 기반으로 웹방화벽과 관련된 품질 요구사항을 분석하였다.
이 절에서는 웹방화벽의 보안성을 중심으로 웹방화벽이 갖추어야 할 요구사항을 분석하고 보안성에 관련된 품질특성 체계를 구축하였다.
정보보안 제품에 장애가 발생했을 때 안전한 상태를 유지하고 보안과 관련된 데이터와 실행코드의 무결성 검증을 위한 자체시험 수행 및 사용자가 일정한 기간동안 컴퓨터를 사용하지 않고 있는 상황이 발생하였을 때 세션 관리 기능을 제공하는 능력으로 [Table 2]에 사용자데이터 보호에 관한 요구사항을 정리하였다.
정보보안 제품의 관리자를 포함하여 사용자 신원의식별ㆍ인증 및 인증 실패시의 대응행동을 제공하는 능력으로 [Table 3]에 식별 및 인증에 관한 요구사항을 정리하였다.
정보보안 제품의 보안기능이나 보안속성, 보안에 관련된 데이터, 보안 역할과 관련된 사항을 관리하는 능력으로 [Table 4]에 보안 관리에 관한 요구사항을 정리하였다.

이론/모형

웹방화벽의 보안성 평가모델은 부특성 체계와 평가척도(metrics, measure), 품질검사표, 점검표로 구성하였다. 평가모듈은 평가 관련 사항을 문서화한 것으로 ISO/IEC 25042(Evaluation Modules)에 정의된 구성을 바탕으로 한다. 이 표준에는 평가방법에 관한 전반적인 사항을 기술하기 위해 사용되는 문서의 구성과 내용을 정의하고 있다.
평가모듈은 품질시험 관련 제반 사항을 문서화한 것으로 평가 개요, 기법, 메트릭 상세 내용, 메트릭 적용 절차, 도출된 결과에 대한 해석 등을 포함하고 있고 품질평가 프로세스에 대한 국제표준인 ISO/IEC 25042 평가모듈의 형식에 근거하여 작성하였다. 품질평가 모듈의 체계는 [Table 7]과 같다.

후속연구

하지만 다양한 정보보안 제품 중에서 기업이나 조직의 목적과 용도에 맞는 제품을 선택하기 위해서는 관련 제품에 대한 적절한 판단 기준이 필요할 수밖에 없다. 따라서 정보보안 제품의 선택에 있어서 핵심이 되는 보안성 품질에 대해 판단하는 올바른 기준을 구축해야 하며 가능한 한 관련 표준을 준수한 평가체계의 구축이 바람직하다고 할 것이다.
향후 웹방화벽은 인공지능과 머신러닝이 결합되는 양상으로 진화될 것이며 이를 위한 관련 기업들 간의 협력과 공동 개발이 예상된다.
향후, 웹방화벽의 보안성에 대한 평가사례를 구축하고 이를 축적하여 타당성과 객관성을 갖춘 평가기준으로 확립될 수 있도록 지속적인 연구가 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	기밀성이란 무엇인가?	기밀성이란 데이터가 액세스할 권한이 있는 것에만 액세스할 수 있다는 것을 보증하는 정도를 의미하며 기밀성에 관련된 웹방화벽의 특성에 속하는 항목에는 다음과 같은 것들이 있다.
	웹방화벽에 필요한 정책으로 제공하고 있는 기능은 무엇이 있는가?	차단 성능과 속도 간의 균형이 중요한데 기존의 보안이 침해를 피할 수 없는 감시ㆍ차단을 중점으로 하는데 반해 웹방화벽에서는 빠른 선 조치를 위한 실시간성 확보와 개인정보 유출을 탐지하고 실시간으로 차단하는 것이 강조되고 있다. 또한, 웹방화벽에 필요한 정책으로서 실시간 탐지 및 차단, 예외처리, 리포트 기능 등을 제공하고 있다.
	웹방화벽이 일반 네트워크 방화벽과의 다른 특징은 무엇인가?	웹방화벽은 일반 네트워크 방화벽(Firewall)과는 다르다. 주로 엡 애플리케이션 보안 솔루션의 성격을 가지고 있으며 SQL Injection이나 Cross-Site Scripting 같은 웹 공격을 감지하여 차단한다. 그 외에도 정보유출 방지 솔루션이나 부정 로그인 방지 솔루션, 웹사이트 위변조 방지 솔루션으로 활용할 수 있다[9].

참고문헌 (16)

Byung-Jun Jeon, Deok-Byeong Yoon, Seung-Soo Shin, “Improved Integrated Monitoring System Design and Construction,” Journal of Convergence Society for SMB, Vol. 7, No. 1, pp. 25-33, 2017. 2.
Sunghyuck Hong, "DDos attack traffic through the analysis of responses to research," Journal of Convergence Society for SMB, Vol. 4, No. 3, p. 1, 2014. 8.
Bae-Keun Kang, "Research about Quality Analysis of Web Fire Wall System," The Graduate School of Hoseo University, 2009.
Yun-A Hur, Keun-Ho Lee, “A Study on Countermeasures of Convergence for Big Data and Security Threats to Attack DRDoS in U-Healthcare Device,” Journal of the Korea Convergence Society, Vol. 6, No. 4, pp. 243-248, 2015. 8.

원문보기 상세보기
Ju-Hye Oh, Keun-Ho Lee, “Attack Scenarios and Countermeasures using CoAP in IoT Environment,” Journal of the Korea Convergence Society, Vol. 7, No. 4, pp. 33-38, 2016. 7.
Ha-Young Lee, Hyo-Sik Yang, “Development of Functional Suitability Evaluation Measure of DRM Software,” Journal of digital Convergence , Vol. 14, No. 5, pp. 293-300, 2016.
Ha-Yong Lee, Jung_Gyu Kim, “Quality Evaluation Model about Efficiency for Fingerprint Recognition System,” Journal of digital Convergence, Vol. 12, No. 6, pp. 215-216, 2014.
Sang-Won Kang, In-Oh Jeon, Hae-Sool Yang, "Usability Quality Evaluation Plan of DRM Softwares," Proceedings of The Korea Academia-Industrial Cooperation Society, 2010. 11.
Wikipedia, https://ko.wikipedia.org/wiki/%EC%9B%B9%EB%B0%A9%ED%99%94%EB%B2%BD, 2017. 2. 9.
Sang-Soo Hong, http://www.ciociso.com/news/articleView.html?idxno11072, 2017. 2. 9.
You-Ji Lee, http://byline.network/2016/06/1-206/, 2017. 2. 10.
ISO/IEC 15408, Information technology--Security techniques--Evaluation criteria for IT security, 1999.
ISO/IEC 18045, Information technology Security techniques--Methodology for IT security evaluation, 2005.
ISO/IEC 9126-1, 2, 3, 4, Software engineering--Product quality--Part 1, 2, 3, 4, 2001.
ISO/IEC 25041, Systems and software engineering--Systems and software Quality Requirements and Evaluation(SQuaRE)--Evaluation guide for developers, acquirers and independent evaluators, 2012.
ISO/IEC 25051, Systems and software engineering--Systems and software Quality Requirements and Evaluation(SQuaRE)--Requirements for quality of Ready to Use Software Product(RUST) and instructions for testing, 2014.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증