제품, 프로세스, 통제관점을 통합한 보안 평가 방안 연구

Abstract

정보보호의 필요성이 커지면서 많은 정보 보호 기준이 제안되어 산업계에 적용되고 있다. 이러한 기존의 방법론들은 크게 프로세스, 제품, 통제 관점으로 분류할 수 있다. 그러나 세가지 관점의 보안 평가 방법론은 적용 방법, 평가 대상, 단계 등이 상이하므로 그 가운데 어느 하나만을 고려하여서는 정보 보호에 결함이 존재할 수 있어 더 나은 보안 보증을 위해 방법론의 통합이 필요하다. 본 논문에서는 한 가지 관점의 방법론만을 고려하여 보안을 평가할 때 발생할 수 있는 문제점과 그 사례를 구체적으로 제시한다. 이러한 문제점은 제품 단독 평가의 경우 대부분 프로세스 평가를 고려하지 않은 결과이고, 프로세스 단독 평가의 경우 제품 평가를 고려하지 않은 결과이다. 또한 통제 기준의 평가는 보안 시스템 관리에만 초점을 두어 전체를 고려하지 못한 결과이다. 따라서 이러한 문제점을 해결하기 위해 제품, 프로세스, 통제 관점의 평가를 통합하여 통합 보안 평가 방법론을 제안한다. ;As the dependability on the information system continues to grow lately, the importance of the evaluation for that information security has also increased. To meet the demands, numerous security evaluation methods have been proposed and those security evaluation methods can be categorized into three different aspects in large including product, process and control. This paper illustrates the possible problems that may occur when one-sided security evaluation is conducted that is on the aspect of product, process or control alone, presents with the actual example of threat, and proposes an approach to resolve each problem. Based on these approaches, we propose the integration security evaluation method, which incorporates these three aspects of product, process and control.