Refining software vulnerbility Analysis under ISO/IEC 15408 and 18045

CC (Common Criteria) requires collecting vulnerability information and analyzing them by using penetration testing for evaluating IT security products. Under the time limited circumstance, developers cannot help but apply vulnerability analysis at random to the products. Without the systematic vulnerability analysis, it is inevitable to get the diverse vulnerability analysis results depending on competence in vulnerability analysis of developers. It causes that the security quality of the products are different despite of the same level of security assurance. It is even worse for the other IT products that are not obliged to get the CC evaluation to be applied the vulnerability analysis. This study describes not only how to apply vulnerability taxonomy to IT security vulnerability but also how to manage security quality of IT security products practically.

ISO/IEC 15408, 18045 기반 소프트웨어 취약성 분석 방법론

국제표준인 공통평가기준에서는 취약성 정보를 수집하고 침투시험을 수행하는 과정을 요구하고 있다. 하지만 촉박한 개발 및 평가 기간에 따라 임시방편의 취약성 점검 및 분석이 이뤄지며 취약성 분석에 대한 체계의 부재로 개발자의 역량에 따라 취약성 분석 및 적용이 제각각 이루어지고 있다. 이에 동일한 평가등급을 획득한 제품임에도 불구하고 보안성 품질이 상이하다. 본 논문에서는 방대한 취약성 정보를 직관적으로 이해하고 적용할 수 있는 취약성 분류체계 및 적용 방안을 제시한다. 뿐만 아니라, 보안성 평가 대상 여부와 무관하게 정보보호제품 개발 시 정보보호제품 개발 및 평가에 실용적으로 적용할 수 있는 정보보호제품의 보안성 품질 관리 방안을 제안하고자 한다.