Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지

Enhanced Security Measurement of Web Application Testing by Outsourcing

외주 개발 웹 어플리케이션 테스팅의 보안성 강화 방안

  • Received : 2015.05.04
  • Accepted : 2015.05.28
  • Published : 2015.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

A web application that allows a web service created by a internal developer who has security awareness show certain level of security. However, in the case of development by outsourcing, it is inevitable to implement the development centered on requested function rather than the issue of security. Thus in this paper, we improve the software testing process focusing on security for exclusion the leakage of important information and using an unauthorized service that results from the use of the vulnerable web application. The proposed model is able to consider security in the initial stage of development even when outsourced web application, especially, It can prevent the development schedule delay caused by the occurrence of modification for program created by programer who has low security awareness. This result shows that this model can be applied to the national defense area for increasing demand web application centered resource management system to be able to prevent service of web application with security vulnerability based on high test.

웹 서비스를 가능하게 하는 웹 어플리케이션은 내부 개발자가 보안 의식을 갖고 만든다면 일정 수준 이상의 안전성을 보여준다. 하지만 외주 개발의 경우, 품질의 우수성보다는 요구 사항을 충족하고 요청 받은 기능을 실행시키는데 주안점이 있기 때문에 안전성이 우선되지 못한다. 따라서, 본 논문에서는 소프트웨어에 대한 객관적이고도 독립적인 시각으로의 평가를 가능하게 해주는 소프트웨어 테스트 절차를 보안 중심으로 개선하였다. 제안된 모델은 웹 어플리케이션의 외주 개발 시에도 초기부터 보안을 고려할 수 있게 해주며, 특히 보안 인식이 부족한 상황에서 작성된 프로그램의 수정 소요 발생으로 인한 개발 일정 지연 사태를 미연에 방지할 수 있는 효과가 있음을 확인하였다. 이러한 결과는 자원관리체계를 중심으로 웹 어플리케이션에 대한 소요가 증가하고 있는 국방 분야에서도 엄격한 테스트를 토대로 보안 취약점을 지닌 채 서비스되는 것을 방지할 수 있기에 활용이 가능할 것으로 판단된다.

Keywords

References

  1. 양환석, 유승재, "웹 어플리케이션 보안을 위한 가상화 기반 보안 모델", 융합보안 논문지, 제14권, 제4호, pages 28 - 32, 한국융합보안학회, 2014. 6.
  2. Jack Danahy, "The 'phasing-in' of security governance in the SDLC", Network Security, Vol. 2008, Issue 12, pages 15 - 17, December, 2008. https://doi.org/10.1016/S1353-4858(08)70142-9
  3. 홍진근, "스마트폰 환경의 응용 소프트웨어 개발과정에서 보안정책 이슈", 디지털융복합연구, 제10권, 제10호, pages 319 - 324, 한국디지털정책학회, 2012. 11. https://doi.org/10.14400/JDPM.2012.10.10.319
  4. Kibria Khalil Rana and Syed Shams Uddin Ahmad, "Bringing maturity to test", Electronics Systems and Software. Vol. 3, Issue 2, pp. 32-35, Apr/May, 2005. https://doi.org/10.1049/ess:20050206
  5. 최준열, 김외철, 허성재, "국방 소프트웨어 개발 및 테스팅 현황", 정보과학회지, 제32권, 제4호, pages 27 - 34, 한국정보과학회, 2014. 4.
  6. 김점구, 노시춘, "SSE-CMM 기반 기술적 보안 성숙도 수준 측정 모델 연구" 융합보안 논문지, 제12권, 제4호, pages 25 - 31, 한국융합보안학회, 2012. 9.
  7. 한경숙, 김태환, 한기영, 임재명, 표창우, "대한민국 전자정부 소프트웨어 개발보안 가이드 개선방안 연구", 정보보호학회논문지, 제22권, 제5호, pages 1180 - 1189, 한국정보보호학회, 2012. 10.
  8. 김동진, 정윤식, 윤광열, 유해영, 조성제, 김기연, 이진영, 김홍근, 이태승, 임재명, 원동호, "보안기능의 무력화 공격을 예방하기 위한 위협분석 기반 소프트웨어 보안 테스팅", 정보보호학회논문지, 제22권, 제5호, pages 1191 - 1204, 한국정보보호학회, 2012. 10.
  9. 방지호, 하란, "소프트웨어 개발 보안성 강화를 위한 주요 보안약점 진단규칙 연구", 한국통신학회논문지, 제38권, 제10호, 한국통신학회, 2013. 10.
  10. 송경희, 이병걸, 류동국, 김진수, "국방 소프트웨어 시험성숙도모델 개발을 위한 테스트 프로세스 모델 비교분석", 한국멀티미디어학회지, 제11권, 제2호, pages 58 - 69, 한국멀티미디어학회, 2007. 6.