동적 보안정책 모니터링 및 전개를 위한 접근

전문가 제언

○ 보안정책은 응용 앱 내에서 보안기능의 전개를 거쳐 시행되며 보안 기능이 동적으로 변화될 때 전개된 새로운 보안 정책을 적용한다. 여기서 제시하고 있는 인터트러스트(INTER-TRUST)는 상호 정보 교환을 할 수 있는 보안정책의 동적 적용 및 전개, 협상 그리고 규격을 위한 프레임워크이다.

 

○ 이 프레임워크 핵심은 보안특성의 동적 규격의 보안 정책 명시, 보안 정책의 동적 전개, 모니터링, 취약성 탐색을 위한 테스트 단계로 나눈다. 보안정책의 명시 단계는 응용서비스의 보안정책을 명확히 명시하는 것이며 보안 정책의 동적 전개 단계는 정책 엔진에 의해 분석되고 응용 앱 내부에 전개되는 보안정책 변경과 식별 기능을 담당한다. 그리고 정책시행에 관한 평가 결과는 오버헤드 발생에 영향을 미치지 않는 것으로 나타나고 있다. 그러나 다양한 보안의 유형별 보안정책 적용에 대한 테스트 결과 및 평가가 함께 검토되어야 할 것이다.

 

○ 국내에서는 보안 정책이 아직 초기 단계로서 미흡하다. 보안 정책은 통상적으로 시스템의 전반적인 보안 관리 체계 수립을 목적으로 하여 최상위 수준에 위치시켜야 한다. 보안정책을 응용 앱에서 시행하기에 앞서 시행할 정책을 구분할 필요가 있으며 테스트 정책, 그룹화 방법, 런 타임 분석, 모니터링 도구, 테스트 분할, 새로운 테스트 추가 및 테스트의 유형 정의, 그리고 정책파일에서 기존 테스트 정책을 갱신할 수 있어야 한다.

 

○ 보안정책 검토는 지속적으로 이루어져야 하며 조직이나 개인은 보안 규정 및 지침 등의 정보보호 관련 보안 정책을 검토하여 앱 개발에 적용하여 시행하여야 한다. 보안정책의 주요 핵심은 기능성, 비용, 호환성, 신뢰성(기밀성, 무결성, 가용성 기능사항 반영에 대한 제한사항 등)을 종합적으로 적용하는 통합관리 정책이 요구된다. 이를 위해서는 보안 조직을 구성하는 사람, 프로세스, 기술개발 분야를 통합하는 체계적인 지원체제와 융합시스템 구성을 위한 노력과 지속적인 투자가 동시에 이루어져야 할 것이다.

저자

Jose-Miguel Horcas, Monica Pinto, Lidia Fuentes,Wissam Mallouli, Edgardo Montes de Oca

자료유형

니즈학술정보

원문언어

영어

기업산업분류

정보통신

연도

2016

권(호)

58()

잡지명

Computers and Security

과학기술
표준분류

정보통신

페이지

20~38

분석자

조*팔

분석물

• 동적 보안정책 모니터링 및 전개를 위한 접근.pdf [477,985 byte]

이미지변환중입니다.