정보보호학회지 (Review of KIISC)

한국정보보호학회 (Korea Institute of Information Security and Cryptology)
권호 표지

시큐어 소프트웨어 개발을 위한 위협 모델링 기법의 기술 동향

  • 이진호 (고려대학교 컴퓨터학과) ;
  • 이혁 (고려대학교 컴퓨터학과) ;
  • 강인혜 (서울시립대학교 기계정보공학과)
  • 발행 : 2015.02.28
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

소프트웨어의 보안속성이 중요해짐에 따라 소프트웨어의 개발 단계에서 설계상의 보안약점이나 구현 단계에서의 보안약점을 제거하는 작업이 강조되고 있다. 시큐어 소프트웨어를 개발하기 위해 제안된 마이크로소프트사의 위협 모델링 기법은 마이크로소프트사가 자체적으로 개발한 시큐리티 소프트웨어 개발 생명 주기(MS SDL, Security Software Development Lifecycle) 전반에 걸쳐 하나의 방법론으로 적용되고 있으며, 다른 유사한 위협 모델 기법들도 연구되고 있다. 본 논문에서는 위협 모델링 기법들에 대해 살펴보고, MS 위협 모델링 기법을 기반으로 인터넷 웹사이트 개발에 적용하여 MS 위협 모델링 기법의 분석 결과를 살펴본다.

키워드

참고문헌

  1. SAFECode, Fundamental Practices for Secure Software Development, 2nd Ed., Software Assurance Forum for Excellence in Code, 2011.
  2. F.Swiderski, W.Snyder, Threat Modeling, Microsoft Press, 2004.
  3. M.Howard, S.Lipner, The Security Development Lifecycle. Microsoft Press, 2006.
  4. M.Howard, J.A.Whittacker, "Demistifying the Threat-Modeling Process", IEEE Security & Privacy, 2005.
  5. A.Shostack, Threat Modeling: Designing for Security, John Wiley & Sons, 2014.
  6. OWASP https://www.owasp.org/index.php/Threat_Risk_Modeling
  7. Octave http://www.cert.org/resilience/products-services/octave/index.cfm
  8. National Infrastructure Advisory Council, Common Vulnerability Scoring System, US.Dept.Homeland Security, 2004.
  9. Trike http://www.octotrike.org/
  10. AS/NZS ISO 31000:2009 http://shop.standards.co.nz/catalog/31000%3A2009%28AS%7CNZS+ISO%29/view
  11. PASTA http://www.myappsecurity.org
  12. Klockwork, Threat Modeling for Secure Embedded Software, Security Innovation & Klockwork White Paper, 2011.
  13. M.Deng, K.Wuyts, et.al, "A Privacy Threat Analysis Framework: Supporting the Elicitation and Fulfillment of Privacy Requirements", Journal of Requirements Engineering, Springer-Verlag 2011.
  14. CWE(Common Weakness Enumeration) http://cwe.mitre.org/
  15. CVE(Common Vulnerabilities Exposures) https://cve.mitre.org/
  16. Y.Cherdantseva, J.Hilton, "A Reference Model of Information Assurance & Security", Int. Conf. on Availability, Reliability, & Security, IEEE 2013.