• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제6권12호
• /
• pp.543-548
• /
• 2017

최근에는 의료기기의 구성 요소 중 소프트웨어의 기능과 역할이 커지고, 의료기기 소프트웨어의 작동이 사용자의 생명과 안전에 직결되는 특성으로 인해 의료기기 소프트웨어의 안전성 보장에 대한 중요함은 더욱 강조되고 있다. 이를 위해 의료기기의 안전성을 효과적으로 보장할 수 있는 활동과 각각의 요구사항들을 제시하고 있는 여러 표준이 제정되었다. 표준들이 의료기기 소프트웨어의 안전성을 보장하기 위해 제시하는 활동으로는 크게 의료기기 소프트웨어의 개발생명주기와 위험관리 프로세스로 나뉜다. 이 두 활동은 개발 과정 중 동시에 진행되어야 하지만, 의료기기 소프트웨어 개발생명주기의 각 단계에서 수행되어야하는 위험관리 요구사항들은 분류되어있지 않다는 한계점이 있다. 이로 인해 개발자들은 의료기기 개발 중에 직접 표준들의 연관성을 분석하여 위험관리 활동을 수행해야한다. 따라서 본 논문에서는 의료기기 소프트웨어 개발생명주기와 위험관리 프로세스의 연관성을 분석하고, 위험관리 요구사항 항목들을 추출한다. 그리고 분석한 연관성을 토대로 추출된 위험관리 요구사항 항목을 개발생명주기에 대응시킴으로서, 의료기기 소프트웨어의 개발 중 효과적이고 체계적인 위험관리를 가능하게 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 춘계학술발표대회
• /
• pp.605-608
• /
• 2017

최근에는 의료기기의 구성 요소 중 소프트웨어의 기능과 역할이 커지면서 의료기기 소프트웨어의 비중이 높아지고, 의료기기의 사용자의 생명과 안전에 직결되는 특성으로 인해 의료기기 소프트웨어 위험관리의 중요성은 더욱 강조되고 있다. 이를 위해 여러 표준들은 위험관리를 위한 다양한 요구사항들을 제시한다. 그러나 의료기기 소프트웨어 개발생명주기의 각 단계에서 수행되어야하는 위험관리 항목들은 분류되어있지 않다. 이로 인해 개발자들은 의료기기 개발 중에 직접 표준들의 연관성을 분석하여 위험관리 활동을 수행해야하는 어려움을 겪고 있다. 따라서 본 논문에서는 위험관리 프로세스의 항목들을 추출하고 PEMS(Programmable Electrical Medical System) 개발생명주기와 대응시켜 연관성을 분석하고, 이를 통해 의료기기 소프트웨어의 개발 중 효과적이고 체계적인 위험관리를 가능하게 한다.

• 정보보호학회지
• /
• 제26권1호
• /
• pp.34-41
• /
• 2016

최근 사이버 공격은 분야와 대상을 막론하지 않고 곳곳에서 발생하고 있으며 소프트웨어의 보안 취약점을 이용한 지능적인 수법으로 지속적인 공격을 수행하는 APT 공격 또한 확산하고 있다. 이와 같은 공격을 예방하기 위해서는 공격에 직접 이용되는 소프트웨어 보안 취약점을 사전에 제거해야 한다. 소프트웨어 보안 취약점(vulnerability)의 원천 원인은 소프트웨어 허점, 결점, 오류와 같은 보안 약점(weakness)이다. 그러므로 소프트웨어에서 보안 약점은 개발 단계에서 완전히 제거하는 것이 가장 좋다. 이를 위해 소프트웨어 개발 생명주기(SDLC:Software Development Life Cycle) 전반에 걸쳐 보안성을 강화하는 활동을 수행한다. 이는 소프트웨어 배포 이후에 발생할 수 있는 보안 취약점에 대한 보안 업데이트 및 패치에 대한 비용을 효과적으로 감소시키는 방안이기도 한다. 본 논문에서는 소프트웨어 개발 단계 보안을 강화한 소프트웨어 개발 생명주기로서 시큐어 SDLC에 대한 주요 사례를 소개한다.

• 정보보호학회지
• /
• 제20권6호
• /
• pp.62-72
• /
• 2010

정보통신 기술 및 전자상거래의 발전으로 지급결제 서비스는 성장을 거듭하고 있으나, 그 중심에 있는 전자지급결제의 위험 역시 계속해서 발견되고 있다. 지급결제카드산업의 정보보호를 위해 설립된 PCI SSC 에서는 지급결제 어플리케이션 개발에 대한 보안 표준인 PCI PA-DSS를 통해서 소프트웨어 벤더가 안전한 개발을 수행하도록 요구하고 있으나, 준수 대상인 기업 관점에서 참조 가능한 정보가 절대적으로 부족한 상황이다. 본 논문에서는 관련 보안 표준과의 연계 및 소프트웨어 개발 생명 주기를 통한 개발 절차 관리 방안을 통해, 소프트웨어 벤더가 PCI PA-DSS를 효과적으로 준수할 수 있는 방안을 제안한다.

• 정보보호학회지
• /
• 제25권1호
• /
• pp.26-31
• /
• 2015

악의적인 공격에 대해 안전한 소프트웨어를 개발하고자 하는 보안강화 활동은 소프트웨어개발 생명주기(SDLC)의 모든 단계에서 수행되어야 한다. 시큐어코딩은 개발 단계에서 적용될 수 있는 안전한 코딩 기법으로 실행코드가 지닐 수 있는 취약성의 근본 원인을 소스코드 수준에서 제거하고자 하는 시도이다. 그럼에도 불구하고 시큐어코딩을 구현활동의 일부로만 국한시켜 보는 시각은 기법이 갖는 장점을 충분히 살리지 못할 수 있다. 외국에서는 이미 시큐어코딩의 적용과 평가를 SDLC 수준에서 시행하고 있으며 시큐어 SDLC로 분류되는 BSIMM과 SAMM, MS SDL은 이러한 시도의 대표적인 사례라 할 수 있다. 본 고에서는 이들 보안 프레임워크를 대상으로 시큐어코딩이 어떻게 정의되고, 수행되며, 평가되는지 비교를 통해 효과적인 시큐어코딩 활동의 이해를 돕고자 한다.

• 한국원자력학회:학술대회논문집
• /
• 한국원자력학회 2002년도 춘계공동학술발표회요약집
• /
• pp.179.1-179
• /
• 2002

• 한국컴퓨터정보학회논문지
• /
• 제17권2호
• /
• pp.127-137
• /
• 2012

최근에 매쉬업(mashups), 웹 3.0, JavaScript, AJAX (Asynchronous JavaScript XML) 등이 널리 사용되면서, 새로운 취약점들이 발견되고 있어 보안 위협이 더 증대되고 있다. 이러한 웹 애플리케이션 취약점과 보안 위협을 효율적으로 완화하기 위해, 그 취약점들을 위험도 기준으로 순서화하여 웹 애플리케이션의 개발 생명주기의 해당 단계에서 우선적으로 고려해야 한다. 본 논문에서는 미국 NVD(National Vulnerability Database)의 웹 애플리케이션 취약점에 대한 데이터를 분석하여, OWASP Top 10 취약점들의 위험도 산정 방법이 타당한 지를 검증하였다. 그 다음, OWASP Top-10 2010과 CWE (Common Weakness Enumeration) 데이터를 중심으로 웹 애플리케이션 취약점 정보를 분석하여 웹 취약점들을 사상시켜 순서화하고, 그 취약점들이 어떤 개발 생명주기 단계와 관련이 있는지를 제시하였다. 이를 통해 효율적으로 웹 보안 위협과 취약점을 예방하거나 완화할 수 있다.

• 한국멀티미디어학회:학술대회논문집
• /
• 한국멀티미디어학회 2003년도 춘계학술발표대회논문집
• /
• pp.671-674
• /
• 2003

최근 정보보호에 대한 관심이 높아짐에 따라 그에 따른 기반 기술들이 요구되고 있다. 특히, 통신 인프라에 집중되었던 정보보호 산업이 이를 기반한 제품으로 관심이 부각되고 있다. 이러한 정보보호제품의 신뢰성은 매우 중요한 요소이며, 신뢰성 보장을 위한 보안 기능의 보증은 중요하다. 본 논문에서는 개발 단계에서 유지보수 단계에 이르는 생명주기 찰동의 보증과 품질보증 위한 방법 또한 중요하다는 것을 인식하고 이를 위해 소프트웨어 개발에 정보보호시스템 공동평가기준(정보통신부 고시 제2002-40호, 이하 공통평가기준)을 적용하여 개발할 수 있도록 프로세스를 제시한다 이를 통해 소프트웨어 개발자나 시스템 관리자들이 정보보호 인증을 보장하며, 안전한 소프트웨어를 개발하여 효율적으로 관리할 수 있도록 소프트웨어 개랄 및 변경시 발생할 수 있는 위험들과 이에 대한 통제들을 제안한다 향후 전산망 시스템에서 사용되는 정보보호 제품의 개발 및 관리에 도움 줄 것을 기대한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권3호
• /
• pp.121-134
• /
• 2017

다양한 산업에 걸쳐 IoT 기기의 보급이 급격히 증가하면서 신뢰성, 보안성과 같은 안전한 IoT 기기 및 서비스를 위한 요구가 증가하고 있으며 보안공학에서는 고 신뢰(Trustworthy) 시스템의 설계 및 구현을 위해 안전한 개발 생명주기를 활용한다. 안전한 개발 생명주기는 보안요구사항 도출, 설계, 구현, 운영 단계로 구분되며 각 단계별로 달성하기 위한 목표 및 활동이 존재한다. 그 중 보안요구사항 도출 단계는 가장 첫 단계로 향후 설계, 구현 단계의 목표를 달성을 위해 정확하고 객관적인 보안요구사항을 도출하는 것이 중요하다. 정확하고 객관적인 보안요구사항을 도출하기 위해 보안위협모델링을 활용하며 이를 통해 도출된 보안요구사항은 위협 식별 범위에 대한 완전성과 대응되는 위협에 대한 추적성을 만족시킬 수 있다. 해외에서는 다양한 대상과 보안위협방법론을 활용한 연구가 진행되고 있는 반면 국내 연구는 중요성에 비해 상대적으로 미흡한 편이다. 따라서 본 논문에서는 IP Camera를 대상으로 Data Flow Diagram, STRIDE, Attack Tree와 같은 체계적인 보안위협모델링을 통해 보안요구사항을 도출하는 과정에 대해 설명하고 객관적인 의미 전달을 위해 도출한 보안요구사항은 국제표준인 공통평가기준을 활용하여 표현한다.

• 시스템엔지니어링학술지
• /
• 제4권1호
• /
• pp.11-18
• /
• 2008

As a government agency or the Government-donated Research Institute or industrial research institute is intended to develop a product or to construct a system such as a railway safety systems by research and development process, a life cycle model leading a product development or a research and development is essential to them to systematically and effectively progress it. In this paper, the refined life cycle model to effectively conduct the national railway safety project consists of the life cycle phases and their detail descriptions with reference to other life cycle model in the international standard and the other national guidance and other industrial domain such as ship-building, weapon system, and aerospace areas, the proposed life cycle model in the paper considerably reflects the characteristics of the traditional research and development project in railway safety domain. A guidance of a life cycle model which based on lots of the life cycle model in other domains proposes additionally.