시스템 위치기반 웹 서비스 보안수준 평가방법 연구 : A study on the system location-based security level evaluation method for the web service
- 발행기관 서강대학교 정보통신대학원
- 지도교수 임종석
- 발행년도 2008
- 학위수여년월 2008. 8
- 학위명 석사
- 학과 및 전공 정보통신대학원
- 식별자(기타) 000000108375
- 본문언어 한국어
목차
최근 대부분의 기업들은 과거 서버/클라이언트 기반(Client/Server Based)의 컴퓨팅 환경을 활용한 정보제공 방식을 웹 기반 어플리케이션(Web Based Application)으로 전환하고 있다. 웹기반으로의 컴퓨팅 환경의 변화는 정보 제공자 뿐 아니라 해당 시스템을 침해하고자 하는 공격자의 공격패턴 또한 변화시키고 있다. 이러한 변화는 웹 어플리케이션의 정보보호에 대한 관심을 점차 증대시켰다. 하지만 복잡한 처리를 요구하는 최근의 웹 어플리케이션에 대한 정보보호수준에 대한 평가는 대부분 어플리케이션 레벨에 한정되어 수행되고 있다.
본 논문에서는 웹 서비스의 복잡성을 감안하여 웹 서비스 구조(Web Application Architecture)기반에서의 웹 어플리케이션 보안 수준 평가방법을 제안하였다. 기존 평가 방식인 어플리케이션 레벨 위주의 정보보호수준 평가 방식이 아닌 웹 서비스를 구성하는 각 구성요소와 구성요소가 위치한 네트워크영역을 고려한 서비스레벨(Service Level)에서의 정보보호수준 평가를 수행하였다.
동일한 웹 서비스에 대한 정보보호수준 평가를 수행한 결과 제안된 평가방법과 기존 평가방법간의 차이점이 발견되었다. 기존 평가방법은 단순 단위시스템 별 정보보호수준을 평가할 수 있는 반면, 제안된 평가방법은 전체 웹 서비스(Web Service)에서 가장 취약한 시스템과 영역을 도출할 수 있고 네트워크 영역별 보정계수를 적용함으로써 보다 실질적인 정보보호수준을 도출할 수 있다. 뿐만 아니라 평가 후 도출된 대응방안 및 조치계획에 대한 우선순위 선정을 용이하게 함으로써 체계적인 계획수립 시에도 많은 도움을 준다.
목차
Recently, most companies are changing the method for offering information from the computing environment of client/server to the computing environment of web applications. The change of computing environment has changed not only service providers but also attackers who breach the related service systems. This trend increased public interest in information security. Despite the growing complexity of the web service, the evaluation of information security level of web application is carried out, limited to the application level.
This paper proposes the system location-based security level evaluation methodology for the web service. This paper deals with a evaluation method - not the existing method whereby the application level is accomplished in an limited way, but an evaluation method of service level considering that each element is comprised of web service and the location of server in the network architecture.
When evaluating information security after using the existing method and the proposed method, a different security result is found. The method of the existing evaluation can evaluate the information security level per unit system. On the contrary, the method of proposed evaluation can assess the security level in substance, using a correction factor per network zone. Additionally, this method can help to make a security plan systematically and to select the priority of countermeasures from the result of security evaluation.