김슬기
(Department of Convergence Technology, Hoseo Graduate School of Venture)
,
박대우
(Department of Convergence Technology, Hoseo Graduate School of Venture)
소프트웨어의 취약점으로 인하여, 국가의 사이버 인프라와 실물 금융자산 에 대한 해킹 공격이 발생하고 있다. 소프트웨어는 인터넷 정보제공과 사이버 금융결제 및 사이버 인프라를 통제하고 운영하는, 운영체제 및 실행시스템을 구성하는 필수요소이기 때문이다. 이러한 소프트웨어 취약점을 분석하고, 보안성을 강화해야 사이버 인프라의 보안성이 강화되고, 실제 국가와 국민의 실제 생활에 보안성이 강화된다. 소프트웨어 개발보안 제도 분석과 소프트 웨어 개발보안 진단 분석 및 소프트웨어 취약점의 보안성 강화를 위한 연구를 한다. 또한 소프트웨어 취약점 진단원 양성 및 보수교육을 위한 교재개발과 진단원 시험문제 개발 및 진단원의 파일럿 테스트, 그리고 진단원의 투입인력 비용기준을 연구한다. 본 논문의 연구는 소프트웨어 취약점 진단원을 양성하는 교육과정과 진단가이드를 제시하여, 국가와 국민 생활의 사이버 인프라의 소프트웨어 보안성을 강화하는 데 목적이 있다.
소프트웨어의 취약점으로 인하여, 국가의 사이버 인프라와 실물 금융자산 에 대한 해킹 공격이 발생하고 있다. 소프트웨어는 인터넷 정보제공과 사이버 금융결제 및 사이버 인프라를 통제하고 운영하는, 운영체제 및 실행시스템을 구성하는 필수요소이기 때문이다. 이러한 소프트웨어 취약점을 분석하고, 보안성을 강화해야 사이버 인프라의 보안성이 강화되고, 실제 국가와 국민의 실제 생활에 보안성이 강화된다. 소프트웨어 개발보안 제도 분석과 소프트 웨어 개발보안 진단 분석 및 소프트웨어 취약점의 보안성 강화를 위한 연구를 한다. 또한 소프트웨어 취약점 진단원 양성 및 보수교육을 위한 교재개발과 진단원 시험문제 개발 및 진단원의 파일럿 테스트, 그리고 진단원의 투입인력 비용기준을 연구한다. 본 논문의 연구는 소프트웨어 취약점 진단원을 양성하는 교육과정과 진단가이드를 제시하여, 국가와 국민 생활의 사이버 인프라의 소프트웨어 보안성을 강화하는 데 목적이 있다.
Due to the vulnerability of the software, there is a hacking attack on the country's cyber infrastructure and real financial assets. Software is an integral part of the operating system and execution system that controls and operates Internet information provision, cyber financial settlement and cyb...
Due to the vulnerability of the software, there is a hacking attack on the country's cyber infrastructure and real financial assets. Software is an integral part of the operating system and execution system that controls and operates Internet information provision, cyber financial settlement and cyber infrastructures. Analyzing these software vulnerabilities and enhancing security will enhance the security of cyber infrastructures and enhance the security of actual life in the actual country and people. Software development security system analysis and software development Security diagnosis analysis and research for enhancing security of software vulnerability. In addition, we will develop a textbook for the training of software vulnerability diagnosis and maintenance education, develop pilot test problems, pilot test of diagnostic staff, The purpose of this study is to enhance the software security of the cyber infrastructures of national and national life by presenting curriculum and diagnosis guide to train the software vulnerability examiner.
Due to the vulnerability of the software, there is a hacking attack on the country's cyber infrastructure and real financial assets. Software is an integral part of the operating system and execution system that controls and operates Internet information provision, cyber financial settlement and cyber infrastructures. Analyzing these software vulnerabilities and enhancing security will enhance the security of cyber infrastructures and enhance the security of actual life in the actual country and people. Software development security system analysis and software development Security diagnosis analysis and research for enhancing security of software vulnerability. In addition, we will develop a textbook for the training of software vulnerability diagnosis and maintenance education, develop pilot test problems, pilot test of diagnostic staff, The purpose of this study is to enhance the software security of the cyber infrastructures of national and national life by presenting curriculum and diagnosis guide to train the software vulnerability examiner.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
보안정책 가이드가 공공사업 및 개인사업에 적용됨에 따라 소프트웨어상의 취약점을 줄일 수 있으며, 소프트웨어의 오류를 최대한 빨리 찾아내고, 오류를 수정함으로써 시간적 피해와 금전적 피해를 최소한으로 줄이는데 목적을 두고 있다.
본 논문에서는 현재 사이버해킹 동향과 시큐어코딩, 소프트웨어보안 취약점에 대해서 분석하며, 소프트웨어 개발보안 진단가이드 분석에서는 제도분석과 진단 가이드를 제안한다. 소프트웨어 취약점의 보안성 강화에서는 진단원 양성 및 보수교육 교재개발과 시험문제를 개발하며, 개발한 시험문제를 기반으로 진단원에게 파일럿 테스트를 진행하며, 투입인력 및 비용기준을 제시한다.
본 논문의 연구는 소프트웨서 취약점 진단원을 양성하는 교육과정과 진단가이드를 제시하여, 국가와 국민 생활의 사이버 인프라를 구성하는 스프트웨어 보안성을 강화하는 데 목적이 있다.
본 연구에서는 소프트웨어의 개발보안 제도와 진단을 분석하였으며, 취약점의 보안성 강화를 위한 진단원양성과 교재, 시험문제 개발에 대해 연구하였다.
제안 방법
교재의 구성으로는 기본교육으로 소프트웨어 개발 보안 제도·기준, 소프트웨어 보안약점 진단·제거기술, 진단 수행능력의 배양을 위한 교육을 진행하며, 소프트웨어 개발보안 의무화 대상, 범위, 기준과 정보화 사업 단계별, 기관별, 주체별 개발보안활동을 교육한다. 또한 소프트웨어 보안약점에 대한 설명 및 보안대책과 JAVA 언어로 작성된 시큐어코딩 예제 기반의 구체적인 진단방법을 소개하며 용어정리와 소프트웨어 보안약점 항목으로 구성한다.
본 논문에서는 현재 사이버해킹 동향과 시큐어코딩, 소프트웨어보안 취약점에 대해서 분석하며, 소프트웨어 개발보안 진단가이드 분석에서는 제도분석과 진단 가이드를 제안한다. 소프트웨어 취약점의 보안성 강화에서는 진단원 양성 및 보수교육 교재개발과 시험문제를 개발하며, 개발한 시험문제를 기반으로 진단원에게 파일럿 테스트를 진행하며, 투입인력 및 비용기준을 제시한다.
자산정보화사업 수행 시 시큐어코딩을 준수하여 소프트웨어를 개발했는지, 여부를 진단하기 위해 소프트웨어 보안약점 진단기법을 제시한다.
진단원 선발을 위한 1차 필기 기본지식 확인(4지선다형, 단답형)문제와 현장실무 지식을 테스트하는 2차 실기(서술식, 논술식 등)에 활용할 문제유형을 개발한다.
대상 데이터
대상은 전자정부 소프트웨어 보안약점 진단원이며 범위는 행정기관 등이 추진하는 정보화사업으로 유지보수로 변경되거나 신규로 개발되는 소스코드 전체로 한다.
후속연구
또한 소프트웨어의 취약점을 찾아낼 때마다 취약점 DB를 업데이트를 하고, 구축을 하여 적용하게 된다면 소프트웨어 개발단계별 적용정책인 5단계 중 3단계인 테스트 요구사항단계에서 취약점 검출에 대한 효과가 나타날 것이라고 예상된다.
소프트웨어의 취약점의 보안성 강화를 위해 진단원 양성 및 보수교육과 교재개발을 제시하였는데, 이때 진단원 양성하는데 필요한 커리큘럼에 대하여 미흡한 교육부분에 대해서는 교육방식을 추가시켜 진단원 양성에 대한 효과를 극대화시키도록 할 것이다. 또한 취약점을 진단하여 패치가 이루어져 보안성을 강화시키는데, 이때 진단하는 진단원의 기준을 제시하여, 진단원 양성을 하여 더 많은 취약점을 찾아내는 것이 보안성을 강화시키는 방법 중 하나이므로 제시한 방법을 통해 진단원이 현재보다 많이 양성될 수 있도록 보안성 강화를 향상시킬 것이다.
소프트웨어의 취약점을 통해 물질적, 금전적 피해가 많이 발생함에 따라, 향후 논문에서는 소프트웨어보안의 취약점을 진단하는 방식에 대하여 연구할 예정이다.
소프트웨어의 취약점의 보안성 강화를 위해 진단원 양성 및 보수교육과 교재개발을 제시하였는데, 이때 진단원 양성하는데 필요한 커리큘럼에 대하여 미흡한 교육부분에 대해서는 교육방식을 추가시켜 진단원 양성에 대한 효과를 극대화시키도록 할 것이다. 또한 취약점을 진단하여 패치가 이루어져 보안성을 강화시키는데, 이때 진단하는 진단원의 기준을 제시하여, 진단원 양성을 하여 더 많은 취약점을 찾아내는 것이 보안성을 강화시키는 방법 중 하나이므로 제시한 방법을 통해 진단원이 현재보다 많이 양성될 수 있도록 보안성 강화를 향상시킬 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
시큐어코딩이란 무엇입니까?
‘시큐어코딩’이란 소프트웨어 개발과정에서 개발자실수, 논리적 오류 등으로 인해 소프트웨어에 내재된 보안취약점을 최소화하는 한편, 해킹 등 보안위협에 대응할 수 있는 안전한 소프트웨어를 개발하기 위한 일련의 과정을 의미한다[3].
코딩한 프로그램에서 발견이 되지 않은 오류로 인한 문제점은 무엇입니까?
이러한 오류는 테스팅에 의해 발견이 되지만, 발견이 되지 않은 오류가 존재하며, 프로그램을 사용하는 중에 발견이 되는 경우가 있어 이러한 경우에는 수정에 많은 시간과 비용이 소모된다. 이러한 오류는 사용 중인 프로그램에 내재된 기능성의 문제를 발생시킬 뿐만이 아닌 보안성에 중요한 문제인 프로그램 취약성을 발생시킨다.
안전한 소프트웨어 개발을 위한 단계별 개발보안은 어떻게 나뉘게 됩니까?
그렇게 때문에 안전한 소프트웨어 개발을 위한 단계별 개발보안으로는 요구사항, 설계 및 디자인, 구현, 테스트 단계로 나눈다. 첫 번째 요구사항 단계에서는 요구사항 중 보안 요구사항 식별을 진행하며, 설계 및 디자인 단계에서는 보안요구사항과 위협에 대한 보안통제를 고려하고 위협원을 도출, 외부인터페이스를 식별, 보안통제 수립단계를 거친다.
참고문헌 (6)
K. B. Kim, "Cyber Attack using Software Vulnerability," inews24, [Internet]. Available: http://news.inews24.com/php/news_view.php?g_serial963171&g_menu020200, 2016. 06. 16.
2015REVIEWS & 2016PREDICTIONS, AhnLab Clinic Center, "The Top 5 Security Threats that Swept 2015," [Internet]. Available: http://acc.giro.or.kr/secu_view.asp?seq24474, 2016.1.4.
"Software Development Security Guide," Ministry of the Interior, Korea Internet & Security Agency(KISA), Nov. 2013.
"Software Development Security Guide," Ministry of the Interior, Korea Internet & Security Agency(KISA), Nov. 2013.
S. M. Cho, H. Lee, "A Countermeasure against the Abatement Attack to the Security Server," Journal of the Korea Institute of Information and Communication Engineering, vol. 20, no. 1, pp. 94-102, Jan. 2016.
S. G. Kim, D. W. Park, "Research for Enhancing Security of Software Vulnerability," in Proceeding of Conference on Korea Institute of Information and Communication Engineering, KOREA, vol. 20, no. 2, pp. 182, Oct. 2016.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.