$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

소프트웨어 개발 수명 주기(SDLC)를 고려한 국내 무기체계 Fuzz Testing 적용 방법 연구
A Study on the Application Method of Fuzz Testing to Domestic Weapon Systems Considering the Software Development Life Cycle (SDLC) 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.31 no.2, 2021년, pp.279 - 289  

조현석 (LIG넥스원) ,  강수진 (LIG넥스원) ,  신영섭 (LIG넥스원) ,  조규태 (LIG넥스원)

초록
AI-Helper 아이콘AI-Helper

현재 국내 무기체계 산업에서는 소프트웨어의 보안 취약점 제거를 위한 규정들이 제/개정되어 적용 중에 있다. 하지만 현재까지 발표된 규정은 알려진 소프트웨어 보안 취약점에 대한 대비만 일부 될 수 있을 뿐이고 알려지지 않은 소프트웨어 보안 취약점에 대해서는 무방비하다. Fuzz testing은 알려지지 않은 소프트웨어 보안 취약점을 분석하는데 가장 많이 사용되고 있는 테스트 기법 중 하나이다. 최근 연구 자료에서는 fuzz testing의 효율을 높이기 위해 fuzzer의 알고리즘 변형 또는 효과적인 seed 값 추출 등의 방법이 많이 제시되고 있다. 하지만 fuzz testing 기법을 SDLC와 연계한 연구 자료는 찾기 힘들다. 본 논문에서는 국내 무기체계 SDLC에서 산출되는 데이터를 fuzz testing에 적용함으로써 효율적인 국내 무기체계 취약점 분석 강화 방안을 제안한다.

Abstract AI-Helper 아이콘AI-Helper

Currently, regulations for removing security vulnerabilities in software have been enacted/revised and applied in the domestic weapon system industry. However, the regulations published so far can only be part of the preparation for known software security vulnerabilities, and are defenseless agains...

주제어

#Weapon System   #SDLC   #Fuzz Testing   #Security Vulnerability Analysis  

표/그림 (11)

AI 본문요약
AI-Helper 아이콘 AI-Helper

문제 정의

  • 앞서 언급한 MS-SDL과 RMF에서는 모두 fuzz testing 기법이 소프트웨어 개발 수명 주기(Software Development Life Cycle, SDLC)에 내재화되어 수행되는데 반해 국내 무기체계 관련 규정에는 아직 도입되지 않은 기법이다. 따라서 본 논문에서는 fuzz testing 기법을 국내 무기체계 SDLC에 적용하여 기존 취약점 분석을 강화하는 것을 제안한다.
  • 이미 미군에서는 RMF 프로세스를 무기체계 SDLC 전 단계에 적용하여 보안을 고려한 체계적인 개발 프로세스를 구축하고 적용 중이다. 본 논문은 한국형 RMF 프로세스를 구축하는데 있어 현재 수행중인 취약점 분석 활동을 강화하기 위해 fuzz testing 적용을 제안하였다. 한국형 RMF를 구축하는데 본 논문에서 제시한 fuzz testing 이외의 필요 연구항목을 더 발굴해야 하며 기존 SDLC를 발전시켜 나갈 필요가 있다.
본문요약 정보가 도움이 되었나요?

참고문헌 (17)

  1. "Risk Management Framework (RMF) for DoD Information Technology (IT)," DoDI 8510.01, Mar. 2014 

  2. "Weapon System Development and Management Manual," DAPA(Defense Acquisition Program Administration), Nov. 2018 

  3. "Defence Interoperability Management Instruction," MND(Ministry of National Defense), No.2020-003, Jan. 2020 

  4. "Interoperability Management Guideline," DAPA No.673, Aug. 2020 

  5. "Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy," NIST SP 800-37 Rev.2, Dec. 2018 

  6. "Security & Privacy Controls for Federal Information Systems and Organizations," NIST SP 800-53 Rev.4, Apr. 2013 

  7. "Instruction for Supporting the Development of Weapon System Software" DAPA, No.626, Sep. 2020 

  8. "National Defense Work Instruction," MND, No.2040, Jun. 2017 

  9. "National Defense Cyber Security Instruction", MND, No.2234, Dec. 2018 

  10. Yeonoh Jeong, "A Study about Development Methodology for Ensure the Software Security of Weapon System," The Korean Institute of Information Scientists and Engineers, 2018(6), pp. 77-79, Jun. 2018 

    상세보기 crossref

  11. Woncheol Lee, Kanghyun Kim and Seunghyeon Lee, "A Study of Software Security of Embedded Weapon Software Development Lifecycle," The Korean Institute of Information Scientists and Engineers, 2016(12), pp. 92-94, Dec. 2016 

  12. Hyunsuk Cho, Sungyong Cha and Seungjoo Kim "A Case Study on the Application of RMF to Domestic Weapon System", Journal of The Korea Institute of information Security & Cryptology, 29(6), pp. 1463-1475, Dec. 2019 

    원문보기 상세보기 crossref

  13. V. J. M. Manes, H. Han, C. Han, S. K. Cha, M. Egele, E. J. Schwartz, and M. Woo, "Fuzzing: Art, science, and engineering," CoRR, vol. abs/1812.00140, 2018. [Online]. Available: https://arxiv.org/pdf/1812.00140.pdf 

  14. Cheng Wen, "Recent Papers Related To Fuzzing" https://wcventure.github.io/FuzzingPaper/, Mar. 2021 

  15. Beyond Security, "To Fuzz or Not to Fuzz: 8 Reasons to Include Fuzz Testing in Your SDLC" https://blog.beyondsecurity.com/fuzz-testing-sdlc/, Sep. 2020 

  16. Adith Sudhakar, VMWare; Mohit Arora, Dell; and Souheil Moghnie, Norton LifeLock, "Focus on Fuzzing: Fuzzing Within the SDLC" https://safecode.org/focus-on-fuzzing-fuzzing-within-the-sdlc/, Sep. 2020 

  17. A. Rebert, S. K. Cha, T. Avgerinos, J. M. Foote, D. Warren, G. Grieco, and D. Brumley, "Optimizing seed selection for fuzzing." 23rd USENIX Security Symposium, Aug. 2014. 

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로