보안 강화 인식 소프트웨어 개발

전문가 제언

○ 정보기술에서 말하는 애플리케이션이란 기술, 시스템 및 제품 등을 사용하는 애플리케이션 프로그램, 즉 응용프로그램의 줄임말이다. 응용프로그램은 사용자 또는 어떤 경우에는 다른 응용프로그램에게 특정한 기능을 직접 수행하도록 설계된 프로그램이다. 응용프로그램은 컴퓨터의 운영체계와 기타의 다른 지원 프로그램들의 서비스를 사용하기도 한다.

○ 보안 정책 강화에 대한 애플리케이션 개발자의 관심은 거의 무시되어왔다. 그 결과로 다양한 정책 하에 적절하게 기능할 수 있는 유용하고 신뢰할 만한 애플리케이션의 개발이 어려워지고 있다. 애플리케이션 보안 정책의 이슈는 보안 오토마타로 명시되고 런타임(run-time) 모니터링을 통하여 강화된 보안 정책이다.

○ 지금까지 정책 강화를 설계하는 데 있어서 중요한 요인은 정책 언어의 건전성과 표현성이다. 그러나 정책 강화는 유용하고 믿을 만한 애플리케이션 구축 작업을 복잡하게 만든다. 코드 소비자 입장에서 강력한 보안 정책은 코드 제작자에게 애플리케이션을 다시 작성하도록 강요한다.

○ 이 논문에서는 애플리케이션 보안 강화 인식 소프트웨어 개발을 위하여 강화된 정책에 대한 추상적 인터페이스의 정의, 그 정책을 질의하기 위한 안전한 구조물 및 핵심 코드 블록에서 보안 정책 위반의 부재를 보장하는 정적 입증 알고리즘에 대하여 개관하고 이들을 위한 이벤트 시퀀스를 제안한다.

○ 최근에 발생한 DDoS 공격에 대하여 보안 대책은 매우 무력한 양상을 보여주었다. 이와 같은 보안 공격은 네트워크 시스템에 국한된 것이 아니고 애플리케이션에서도 발생할 수 있다는 점에서 소프트웨어 개발자의 입장에서 고려할 사항이 많다. 보안 정책을 소프트웨어 개발 단계에서 논의한 이 논문은 그런 의미에서 많은 것을 생각하게 만든다. 애플리케이션 개발자, 보안 정책 입안자 및 소비자 입장에서 이 분야에 대한 관심과 연구가 더욱 진행되었으면 한다.

저자

Dries Vanoverberghe, Frank Piessens

자료유형

학술정보

원문언어

영어

기업산업분류

정보통신

연도

2009

권(호)

51

잡지명

Information and Software Technology

과학기술
표준분류

정보통신

페이지

1172~1185

분석자

김*기

분석물

• 보안 강화 인식 소프트웨어 개발.pdf [398,607 byte]

이미지변환중입니다.