EWBS를 통한 정보보호 시스템의 보안성 평가 업무량 및 비용 산정 프로세스

An Estimation Process of Effort and Cost in Security Evaluation of Information Technology Security Systems by utilizing Evaluation Work Break-down Structure

  • 유형준 (한남대학교 컴퓨터공학과) ;
  • 고정호 (한남대학교 컴퓨터공학과) ;
  • 장수진 (대전보건대학 전산정보처리과) ;
  • 안선숙 (한남대학교 회계학과) ;
  • 이강수 (한남대학교 컴퓨터공학과) ;
  • 정홍진 (한남대학교 회계학과)
  • 발행 : 2000.02.15


국.내외적으로 소프트웨어 산업이 활성화되었음에도 불구하고, 정보보호 소프트웨어 시스템의 보안성 평가를 포함한 각종 소프트웨어의 품질 평가 업무량 및 평가 비용 산정에 대한 연구는 부족하다. 본 연구에서는 업무분해구조(EWBS) 방법과 기존의 소프트웨어 개발비 산정 방법을 응용하여, 정보보호 시스템의 평가기준(Common Criteria 또는 ISO/IEC 15408)에 따라 정보보호 시스템을 평가 할 때의 평가 업무량과 평가 비용을 산정하는 프로세스와 도구를 제시한다. 본 연구는 정보보호 시스템의 평가 업무량과 평가 비용의 산정에 중심을 두고 있지만, 본 연구의 결과는 기존의 소프트웨어 개발 프로세스 및 제품의 품질 평가시의 평가 업무량 및 평가 비용의 산정에도 응용될 수 있다.

Even though software industry has been activated, there lack in results of studies on evaluation effort and cost of software systems including Information Technology Security System (ITSS). In this paper, we present a process and a tool for evaluation effort and cost of ITSS, which are conformed to a ITSS evaluation criteria(i. e., Common Criteria or ISO/IEC 15408), by utilizing Evaluation Work Break-down Structure (EWBS) and conventional software development cost estimation methods. Even though we concentrate on ITSS, results of this paper can be applied to estimation of effort and cost of evaluation of software development process and software products.



  1. S. L. Pfleeger, Software Engineering Theory and Practice, Prentice-Hall, Ch. 11, 1998
  2. ISO/IEC 9126, 'Information Technology ? Software Quality Characteristics and Metrics - Part 1-3
  3. ISO/IEC 14598, 'Information Technology ? Software Product Evaluation - Part 1-6
  4. 양해술, 황석형, 정문재, '소프트웨어 제품 평가를 위한 ISO 14598-3의 적용방법', 99'춘계 한국정보처리학회 학술발표 논문집, 제 6권 1호, pp. 407-410
  5. B. W. Boehm, Software Engineering Economics, Prentice-Hall, 1981
  6. B. Boehm, et. al, 'Cost Models for Furture Software Lifecycle Processes, Annals of Software Engineering Special Volume on Software Process and Production Measurement,' http://sunset.usc. edu/ COCOMO-II/ cocomo.html#conferences, 1995
  7. S. Chulani, 'Incorporating Baysian Analysis to Improve the Accuracy of COCOMO II and ItsQuality Model Extension,' Univ. of Southern California, 박사학위 논문, http://sunset.usc.edu/COCOMO-II/ cocomo. html#conferences, 1998.2
  8. 西澤 脩, '정보처리비의 원가계산 방식', 와세다상학 358호, 1994. 2
  9. '한국 소프트웨어사업 대가의 기준', 정보통신부고시 제 1998-4호, 1998
  10. CCEB, 'Common Criteria for Information Technology Security Evaluation(CC)', Version 2.0,CCIB-97/082, http://csrc.ncsl.gov, Dec 19, 1998.5
  11. European Communication, 'Information Security Evaluation Criteria(ITSEC),' Ver. 1.2, http://www. itsec.gov.uk, June 1991
  12. DoD, 'Department of Defense Trusted Computer System Evaluation Criteria (TCSEC),' Dec. 1985
  13. 'TPEP Procedure,' http://www.radium.ncsc.mil, June 1996
  14. '국내외 정보보호 시스템 가이드', 한국정보보호센터, 1998.11
  15. CCEB, 'Common Evaluation Methodology for Information Technology Security,' Part 1(CEM-97/07), Part 2 (Version 1.0, CEM-99/045), http://csrc.ncsl.gov
  16. '정보보호 시스템 평가기준(안) 0.7,' 정보보호 시스템 평가기준 워크숍, 한국정보보호센터, 1998. 11. 26
  17. '정보통신망 침입차단시스템 평가기준', 정보통신부고시 1998-19호, 한국정보보호센터, 1998.2
  18. '엔지니어링사업 대가기준', 과학기술처 공고 제 97-28호, http://www.most.go.kr/announce/notify/6.html, 1997. 7.31.
  19. 'Labeled Security PP,' Version 1.0, ISSO, NSA, http://csrc.nist.gov/cc/, Sept. 1998
  20. 'Controlled Access PP,' Version 1.b, ISSO, NSA, http://csrc.ncsl.gov/cc/, Sept. 1998
  21. 'U. S. Government Application-level Firewall PP for Low-risk Environment,' Version 1.a, NIST, NSA, http://csrc.nist.gov/cc, Aug. 1998
  22. 'U. S. Government Traffic-filter Firewall PP for Low-risk Environment,' Version 1.a, NIST, NSA, http://csrc.nist.gov/cc/, Aug. 1998
  23. Role-based Access Control PP Version 1.0, NIST, http://csrc.nist.gov/cc/, July 1998
  24. Information Technology Security Evaluation Manual(ITSEM), Commission of the European Communities, http://www.itsec.gov.uk, 1993
  25. 이강수, '정보보호 시스템 평가수수료 산정방안 연구', 한국정보보호센터 연구보고서, 98-11, 1998
  26. 장수진, 이강수, '소프트웨어 평가비 정산모델', 소프트웨어 공학연구회지, 한국정보처리학회, 2권 2호, 한국정보처리학회, pp. 19-28, 1999