The Journal of the Korea Contents Association (한국콘텐츠학회논문지)

The Korea Contents Association (한국콘텐츠학회)
권호 표지
DOI QR코드

DOI QR Code

A Study on Vulnerability Analysis Techniques for Secure Weapon System Software

안전한 무기체계 소프트웨어를 위한 취약점 분석 기법에 관한 연구

  • 김종복 (배재대학교 사이버보안학과) ;
  • 조인준 (배재대학교 사이버보안학과)
  • Received : 2018.07.16
  • Accepted : 2018.08.16
  • Published : 2018.08.28
Download PDF
⟨ Previous Next ⟩

Abstract

Cyberattacks on information systems used by applications related to weapon system and organizations associated with national defense put national security at risk. To reduce these threats, continuous efforts such as applying secure coding from the development stage or managing detected vulnerabilities systematically are being made. It also analyzes and detects vulnerabilities by using various analysis tools, eliminates at the development stage, and removes from developed applications. However, vulnerability analysis tools cause problems such as undetected, false positives, and overdetected, making accurate vulnerability detection difficult. In this paper, we propose a new vulnerability detection method to solve these problems, which can assess the risk of certain applications and create and manage secured application with this data.

무기체계 관련 어플리케이션과 국방 관련 기관에서 활용하는 정보시스템이 사이버 공격을 받을 경우 국가의 안보가 위험해지는 결과를 초래한다. 이러한 위험을 줄이기 위해 개발 단계에서부터 시큐어 코딩을 적용하거나, 발견된 취약점들을 체계적으로 관리하기 위한 노력이 지속적으로 행해지고 있다. 또한 다양한 분석 도구를 이용하여 취약점을 분석, 탐지하고 개발 단계에서 취약점을 제거하거나, 개발된 어플리케이션에서 취약점을 제거하기 위해 노력하고 있다. 그러나 취약점 분석 도구들은 미탐지, 오탐지, 과탐지를 발생시켜 정확한 취약점 탐지를 어렵게 한다. 본 논문에서는 이러한 문제점 해결방안으로 분석 대상이 되는 어플리케이션의 위험도를 평가하고 이를 기반으로 안전한 어플리케이션을 개발 및 관리할 수 있는 취약점 탐지기법을 새롭게 제안하였다.

Keywords

References

  1. 행정안전부, 한국인터넷진흥원, 소프트웨어 개발보안 가이드, 2017.
  2. 박상현, 최준성, "전장정보체계를 위한 시큐어 소프트웨어 구현에 관한 연구," 한국통신학회 학술대회논문집, pp.620-621, 2017.
  3. 방위사업청, 무기체계 소프트웨어 개발 및 관리매뉴얼, 2017.
  4. 최준성, 시스템 특성에 최적화된 시큐어 코딩규칙선정 평가 모형 개발, 서울과학기술대학교 대학원, 학위논문박사, 2013.
  5. 행정안전부, 행정기관 및 공공기관 정보시스템 구축.운영 지침 개정안, 2017.
  6. 방지호, 소스코드 보안약점 진단도구 기반의 소프트웨어 보안성 보증 방안 연구, 홍익대학교 대학원, 학위논문박사, 2014.
  7. 최경철, 문관주, 이태연, 쉽게 배우는 안드로이드앱 취약점 진단 : 안드로이드 앱 취약점 분석 실무 기술, secuBOOK, 2015.12.
  8. 최경철, 김태한, 웹 모의해킹 및 시큐어코딩 진단가이드, secuBOOK, 2014.4.
  9. 김영숙, 해킹 방어를 위한 JAVA 시큐어코딩, OPENEG, 2014.8.
  10. 김형주, 강정호, 김경훈, 이재승, 전문석, "융복합전자정부 서비스를 위한 전자정부 표준프레임워크 기반 시큐어 코딩 점검 시스템 설계 및 개발," 디지털융복합연구논문지, 제13권, 제2호, pp.201-208, 2015.
  11. 권경용, 주준석, 김태식, 오진우, 백지현, "신뢰성시험 프로세스 개선을 통한 무기체계 내장형 소스코드 품질확보에 관한 연구," 정보과학회논문지, 제42권, 제7호, pp.860-867, 2015.
  12. 김석모, 동적분석을 통한 정적분석의 과탐 보완에 관한 연구: 소프트웨어 취약점 탐지 사례 중심, 단국대학교 대학원, 학위논문석사, 2015.
  13. 김준호, 소스코드 보안약점 탐지를 위한 정적도구의 활용과 기호실행 엔진을 활용한 개선 방안 연구, 숭실대학교 정보과학대학원, 학위논문석사, 2016.
  14. 현요한, 웹 소스코드 분석을 통한 취약점 점검효율에 관한 연구, 서강대학교 정보통신대학원, 학위논문박사, 2017.
  15. 류인현, 웹 취약점 분석을 위한 CVSS 기반의 스코어링 기법, 충북대학교 대학원, 학위논문석사, 2017.
  16. 최종석, 고성능 정적 코드 분석을 위한 취약점 연관 변수 분류기, 부산대학교 대학원, 학위논문박사, 2017.
  17. 이문구, "사이버 국방 보안에 대한 연구," 한국콘텐츠학회지, 제11권, 제4호, pp.18-22, 2013. https://doi.org/10.20924/CCTHBL.2013.11.4.018
  18. 김정숙, "소프트웨어 보안을 위한 시큐어 코딩," 한국콘텐츠학회지, 제11권, 제4호, pp.56-60, 2013. https://doi.org/10.20924/CCTHBL.2013.11.4.056