보안기능의 무력화 공격을 예방하기 위한 위협분석 기반 소프트웨어 보안 테스팅

정보보안시스템을 무력화하는 공격이 나타남에 따라, 정보보안제품의 취약성을 분석하는 보안 테스팅에 대한 관심이 높아지고 있다. 보안제품 개발의 주요 단계인 침투 테스팅은, 공격자가 악용할 수 있는 취약성을 찾기 위해 컴퓨터 시스템을 실제적으로 테스팅하는 것이다. 침투 테스팅과 같은 보안 테스팅은 대상 시스템에 대한 정보 수집, 가능한 진입점 식별, 침입 시도, 결과 보고 등의 과정을 포함한다. 따라서 취약성 분석 및 보안 테스팅에서 일반성, 재사용성, 효율성을 극대화하는 것이 매우 중요하다. 본 논문에서는, 정보보호제품이 자신의 보안 기능을 무력화하거나 우회하는 공격에 대응할 수 있는 자체보호기능 및 우회불가성을 제공하는 가를 평가할 수 있는 위협분석 기반의 소프트웨어 보안 테스팅을 제안한다. 위협분석으로 취약성을 식별한 후, 보안 테스팅의 재사용성과 효율성을 개선하기 위해 소프트웨어 모듈과 보안 기능에 따라 테스팅 전략을 수립한다. 제안기법은 위협 분석 및 테스팅 분류, 적절한 보안테스팅 전략 선정, 보안 테스팅으로 구성된다. 사례연구와 보안테스팅을 통해 제안 기법이 보안 시스템을 체계적으로 평가할 수 있음을 보였다.

Statistics

Show / Hide Statistics

Cite this article

[IEEE Style]

D. Kim, Y. Jeong, G. Yun, H. Yoo, S. Cho, G. Kim, J. Lee, H. Kim, T. Lee, J. Lim, D. Won, "Threat Analysis based Software Security Testing for preventing the Attacks to Incapacitate Security Features of Information Security Systems," Journal of The Korea Institute of Information Security and Cryptology, vol. 22, no. 5, pp. 1191-1204, 2012. DOI: 10.13089/JKIISC.2012.22.5.1191.

[ACM Style]

Dongjin Kim, Youn-Sik Jeong, Gwangyeul Yun, Haeyoung Yoo, Seong-Je Cho, Giyoun Kim, Jinyoung Lee, Hong-Geun Kim, Taeseung Lee, Jae-Myung Lim, and Dongho Won. 2012. Threat Analysis based Software Security Testing for preventing the Attacks to Incapacitate Security Features of Information Security Systems. Journal of The Korea Institute of Information Security and Cryptology, 22, 5, (2012), 1191-1204. DOI: 10.13089/JKIISC.2012.22.5.1191.