초록

용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

정보의 불법적 유출 및 해킹 등과 같은 정보화 역기능을 해결하기 위해서 안전성과 신뢰성이 검증된 정보보호시스템을 사용하여 정보보호 수준 강화가 요구되고 있다. 우리나라를 비롯한 각 국에서는 안정성과 신뢰성 평가를 위한 ITSEC, CC 등과 같은 평가기준들이 개발되어 평가를 시행중이며 이러한 평가기준들에 현존하는 보안위협에 정보보호시스템이 잘 대처하고 있는지를 평가하는 침투시험 항복이 공통적으로 존재한다. 본 논문에서는 정보보호시스템 개발자 및 평가자의 이해를 돕기 위하여 침투시험을 이용한 평가방법론에 대하여 기술한다.

정보의 불법적 유출 및 해킹 등과 같은 정보화 역기능을 해결하기 위해서 안전성과 신뢰성이 검증된 정보보호시스템을 사용하여 정보보호 수준 강화가 요구되고 있다. 우리나라를 비롯한 각 국에서는 안정성과 신뢰성 평가를 위한 ITSEC, CC 등과 같은 평가기준들이 개발되어 평가를 시행중이며 이러한 평가기준들에 현존하는 보안위협에 정보보호시스템이 잘 대처하고 있는지를 평가하는 침투시험 항복이 공통적으로 존재한다. 본 논문에서는 정보보호시스템 개발자 및 평가자의 이해를 돕기 위하여 침투시험을 이용한 평가방법론에 대하여 기술한다.

AI 본문요약

엑셀 다운로드 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

• 연구 주제
• 연구 방법
• 연구 결과

문제 정의

• 본 논문에서는 정보보호 수준 향상과 신뢰성 있는 정보보호 시스템 개발 올 위해 칩투시험을 이용한 평가방법론을 제시한다. 본 논문의 2장에서는 침투시험을 이용한 평가를 위해 침루시험을 정의하였으며 3장에서는 CC 기반 침투시험 평가방법론에 대하여 제시하였다.
• 정보보호 시스템의 신뢰성과 안전성을 평가하고 높은 보안 수준으로 향상시키기 위해 침투시험은 필수불 가결한 존재가 되어가고 있다. 본 논문에서는 최근 중요도가 높아지고 있는 침투시험올 정의하였으며 CC를 기반으로 한 침투시험 평가방법론을 제시하였다 또한 우리나라 및 선진 각국에서 채택하고 있는 평가기준에 정의되어 있는 침투시험 요구사항에 대하여 조사 및 분석하였으며 침투시험을 손쉽게 수행하기 위한 침투 시나리오를 정의하였다. 침투 시나리오의 표현 형태는 다양하고 추상적이므로 침투시험 사례로 적용하기 위해 정형화된 명세 언어를 이용하여야 하며 명세 언어의 요구사항 및 예를 보였다.

가설 설정

• . 정확성 조건 : 명세 언어는 정확성을 갖춘 표현 눙력이 있어야 한다.

제안 방법

• 君투방법에는 트로이목마, 트랩도어, 살라미 기법, 슈퍼 잽用, 비동기 성 공격, CDMA 프로토콜 발 신호 침투 공격 둥 여러 가지 종류가 존재하지만 본 논문에서는 몇 가지만 간략히 다루도록 한다.
• ② 침투사례 확인 : 평가자는 표준화된 침투시나리오와 원시 프로그램, 스 팩 등과 같은 제출물에 대하여 분석하여 침투사례를 조사하며 확인된 침투 사실은 문서화된다. 또한 침투시나리오를 이용하여 실제 침투시험을 실시하며 이는 기능시험의 블랙박스 시험과 비숫하다. 블랙박스 시험 온 보안위 협을 막기 위한 보안 기능의 순기능적인 측면에 해당한다.
• ① 침투사례 목록 생성 : 평가대상물을 이해하기 위해서 제출되는 문서를 이용하여 분석하여 침투사례 목록(예 : 유사한 시스템 평가 시 습득한 지식, 부정확한 보안정책과 모델, 구현상의 오류 둥)을 생성한다. 또한 평가자 돌 간의 브레인스토밍을 통하여 심도 있게 평가대상물을 분석 및 시스템 설계를 재검토한다.
• 침투시험 방법론을 크게 침투사례 목록 생성, 침투사혜 확인, 침투사례 일 반화, 침투사례 제거의 4가지 단계로 정의한다. 4가지 단계를 거쳐 침투시험 보고서를 작성한다.
• 중의 시험단계에서 일차적으로 실시한 후 살시결과를 제출물로 평가자에게 전달한다. 평가자는 개발자가 실시한 침투시험이 정당했는가롤 자체적인 침투시험 방법올 통해 확인 및 검증한다. 그림 2에서는 침투시험 방법론의 프레임워크를 제시한다.

성능/효과

• 표 2는 TCSEC에서 규정하고 있는 보 중 수준 별 침투시험 요구사항과 산출물에 포함되어야 할 내용올 나타낸 것이다[6]. (2) nSEC: HSEC에서는 평가등급에 관계없이 전 등급에서 침투시험을 수행하도록 규정하고 있으며 표 3은 nSEC에서 규정하고 있는 보증 수준별 침투시험 요구사항과 산출물에 포함되어야 할 내용을 나타낸 것이다. [7J.
• 정형화 명세 언어의 이점은 침투시나리오의 문제점을 실제 침투시험 직전에 분석해볼 수 있으며 모호성, 불완전성 및 모순성을 해결할 수 있는 수학적인 논리와 집합 이론의 표현력을 가지므로 구현 결과의 부정확성 시험에 용이하다. 또한 정형화 명세 언어의 정형화된 구조 특성은 기계적인 번역 또는 조작을 가능하게 함에 따라 시험 과정의 상당 부분 자동화가 가능하며 보안 관련 표준들을 구조적 형태로 포함시켜 Z와 VDM 같은 모델 근간의 언어를 이용하는 것이 적절하다. 정형화 명세 언어로의 변환 온 쉬운 작업이 아니며 이에 대한 연구는 향후 과제로 남긴다.

후속연구

• 또한 해커들은 침투시험에 시간 제한을 두지 않으므로 침투시험의 평가기간 등을 설정하기 어려우며 침투 시험시 평가대상물을 손상시킬 가능성이 존재하므로 시험비용올 예측하기 어렵다. 그러므로 향후 연구과제로 이러한 단점들을 보완하고 침투 시나 리오들을 표준화 및 둥급화하여 객관성과 일관성을 유지하며 명세 언어로 의 구현 및 비용 효과적인 보안평가를 수행하기 위한 자동화된 침투시험평 가도구 개발이다.
• 또한 정형화 명세 언어의 정형화된 구조 특성은 기계적인 번역 또는 조작을 가능하게 함에 따라 시험 과정의 상당 부분 자동화가 가능하며 보안 관련 표준들을 구조적 형태로 포함시켜 Z와 VDM 같은 모델 근간의 언어를 이용하는 것이 적절하다. 정형화 명세 언어로의 변환 온 쉬운 작업이 아니며 이에 대한 연구는 향후 과제로 남긴다.

본문요약 정보가 도움이 되었나요? 예 아니오 제출

이 논문을 인용한 문헌

더보기