Smart Media Journal (스마트미디어저널)

THE KOREAN INSTITUTE OF SMART MEDIA (한국스마트미디어학회)
권호 표지
DOI QR코드

DOI QR Code

A Study on the Classification of OVAL Definitions for the Application of SCAP to the Korea Security Evaluation System

국내 보안평가체제에 SCAP을 활용하기 위한 OVAL 정의 분류 연구

  • 김세은 (공주대학교 인공지능학과) ;
  • 박현경 (공주대학교 인공지능학과) ;
  • 안효범 (공주대학교 인공지능학과)
  • Received : 2022.03.04
  • Accepted : 2022.05.04
  • Published : 2022.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

With the increase in the types of information systems managed by public institutions and companies, a security certification system is being implemented in Korea to quickly respond to vulnerabilities that may arise due to insufficient security checks. The korea security evaluation system, such as ISMS-P, performs a systematic security evaluation for each category by dividing the categories for technical inspection items. NIST in the United States has developed SCAP that can create security checklists and automate vulnerability checks, and the security checklists used for SCAP can be written in OVAL. Each manufacturer prepares a security check list and shares it through the SCAP community, but it's difficult to use it in Korea because it is not categorized according to the korea security evaluation system. Therefore, in this paper, we present a mechanism to categorize the OVAL definition, which is an inspection item written in OVAL, to apply SCAP to the korea security evaluation system. It was shown that 189 out of 230 items of the Red Hat 8 STIG file could be applied to the korea security evaluation system, and the statistics of the categorized Redhat definition file could be analyzed to confirm the trend of system vulnerabilities by category.

공공기관과 기업에서 관리하는 정보 시스템 종류의 증가로, 국내에서는 보안 점검의 미흡으로 발생할 수 있는 취약성에 신속하게 대응하기 위한 보안 인증제도를 시행하고 있다. ISMS-P와 같은 국내의 정보보호체계 평가는 기술적 점검 항목들에 대해 범주를 나누어 평가함으로써 각 범주에 대한 체계적인 보안성 평가를 수행하고 있다. 미국의 NIST에서는 보안 점검 목록을 작성하고 취약성 점검을 자동화할 수 있는 프로토콜인 SCAP을 개발했으며 SCAP에 사용되는 보안 점검 목록은 OVAL로 작성할 수 있다. 제조사 별로 보안 점검 목록을 작성하여 SCAP 커뮤니티를 통해 공유하고 있지만, 국내 보안평가체제에 맞게 범주화되어있지 않아 국내에서는 실질적으로 사용하기에 어려움이 있다. 이에 본 논문에서는 국내 정보보호체계에 SCAP을 적용하기 위해 OVAL로 작성된 점검 항목인 OVAL 정의를 범주화하는 메커니즘을 제시한다. 레드햇 8 STIG 파일을 대상으로 230개 항목 중 189개의 OVAL 정의를 국내 보안 평가체제에 적용할 수 있음을 보였고, 범주화된 레드햇 정의 파일의 통계를 분석하여 범주별 시스템 취약성 추이를 확인할 수 있었다.

Keywords

Acknowledgement

This work was supported by the Technology development Program of MSS [No. S3033853]

References

  1. 정성수, 고갑승, 문길종, 이남일, 류동주, "안전한 U-City 인프라 구축을 위한 미국의 공통보안규격제도 분석," Proceedings of KIIT Conference, vol. 2012, no. 5, pp. 45-48, May, 2012.
  2. KISA ISMS-P 인증제도 소개, https://isms.kisa.or.kr/main/ispims/intro/ (accessed Nov. 26. 2021)
  3. Security Content Automation Protocol,https://csrc.nist.gov/projects/security-content-automation-protocol (accessed Dec. 27.2021)
  4. Radack, S. and Kuhn, D., "Managing Security: The Security Content Automation Protocol," IT Professional, IEEE, vol. 13, no. 1, pp. 9-11, Feb. 2011. https://doi.org/10.1109/MITP.2011.11
  5. D. Waltermire, S. Quinn, H. Booth, K. Scarfone, and D. Prisaca, "The Technical Specification for the Security Content Automation Protocol (SCAP): SCAP Version 1.3," NIST Special Publication 800-126. Revision 3, National Institute of Standards and Technology, Feb. 2018
  6. J. Baker, M. Hansbury, D. Haynes, "The OVAL® Language Specification Version 5.11," NIST Special Publication 800-126. Revision 5, Mitre, December 2014
  7. OVAL Core Definition Schema Element Diectionary, https://oval.mitre.org/language/version5.11/ovaldefinition/documentation/oval-definitions-schema.html (accessed Nov, 30. 2021)
  8. Harold. B. and Melanie, C., "Security Content Automation Protocol(SCAP) Version 1.2 Content Style Guide," Technical Report, NIST, May. 2015
  9. NCP Checklist Repository, https://ncp.nist.gov/repository (accessed Jan. 12, 2022)
  10. 김선광. "서버 보안기준 준수 평가를 위한 SCAP 적용 타당성 연구", 중앙대학교 대학원 석사학위논문, 2019.8
  11. 이재각, "방산업체 ISMS 인증제도 적용방안 연구", 정보보호학회지, 제25권, 제6호, 53-58쪽, 2015년 12월
  12. 국가사이버안전센터, "정보보안 관리실태 평가 소개," 정보보호학회지, 제23권, 제5호, 9-11쪽, 2013년 10월
  13. 지윤석, 이용석, 윤덕중, 신용태, "美 NIST 보안성 자동평가프로토콜(SCAP)분석을 통한 공공기관의 정보보안관리실태 평가제도 개선방안 연구", Journal of Information Technology Application 제26권, 제4호, 31-39쪽, 2019년 8월
  14. 신동천, 김선광, "서버 중심의 취약성 관리를 위한 SCAP 적용 가능성," 한국데이터베이스학회지, 제26권, 제4호,, 19-30쪽, 2019년 8월
  15. D. Gonzalez, H.Hastings, M. mirakhorli, "Automated Characterization of Software Vulnerabilities", Proceedings of IEEE International Conference on Software Maintenance and Evolution (ICSME), vol. 2019, no. 1, pp. 135-139, Cleveland, OH, USA, Sep. 2019
  16. 과학기술정보통신부, "기술적 취약점 분석.평가방법 상세가이드," 한국인터넷진흥원, pp 10-13, 2021