Scrum 방법을 적용한 웹 서비스 개발 프로세스의 웹 취약점 분석 방안 연구
A Study on Web Vulnerability Analysis Methods in Web Service Development Processes Applying the Scrum Methodology
- 주제어 (키워드) 스크럼 방법론 , 공통 취약점 등급 시스템 , Scrum Process , CVSS , OWASP
- 발행기관 서강대학교 AI.SW대학원
- 지도교수 박수용
- 발행년도 2025
- 학위수여년월 2025. 8
- 학위명 석사
- 학과 및 전공 AI.SW대학원 소프트웨어공학
- 실제 URI http://www.dcollection.net/handler/sogang/000000081685
- UCI I804:11029-000000081685
- 본문언어 한국어
- 저작권 서강대학교 논문은 저작권 보호를 받습니다.
초록 (요약문)
최근 기업과 공공기관은 실시간 사용자 중심의 서비스 제공을 위해 웹 기 반 플랫폼의 확장과 함께 클라우드 네이티브(Cloud Native) 기술 및 마이크로 서비스 아키텍처(MSA)를 적극적으로 도입하고 있다. 이에 개발 및 배포의 민첩성이 크게 향상 되었으나, 시스템의 복잡성 증가와 더불어 웹 취약점에 대 한 보안 위협 또한 심화되고 있다. 특히 스크럼(Scrum)을 중심으로 한 애자일(Agile) 개발 방법론이 널리 확산되면서 개발속도와 효율성은 높아졌으나, 보안 요구사항이 개발 프로세스에 충분히 내재화 되지 못하는 문제가 지속적으로 제기되고 있다. 본 논문은 스크럼 방법을 적용한 웹 서비스 개발 환경에서 웹 취약점 분석을 효과적으로 수행할 수 있는 방안을 모색하고, 이를 실제 개발 현장에 통합 할 수 있는 프레임워크를 제안하는데 목적이 있다. 이를 위해 국내 기업 및 공공기관의 스크럼 조직을 대상으로 설문조사와 사례분석을 실시하였으며, Product Backlog 단계 및 각 스프린트 단계(계획, 실행, 리뷰, 회고)별로 보안 요구사항 정의 및 관리 역량, 보안 활동의 내재화 수준 등을 분석하였다. 분석 결과 기존 스크럼 프로세스에서는 Product Backlog 및 사용자 스토리 단계에서 보안 요구사항이 명확하게 정의되지 않거나 개발 전 과정에 걸쳐 체계적으로 관리되지 않는 한계가 존재함을 확인하였다. 또한 스프린트 각 단계 별로 보안 활동을 내재화 하는 것이 웹 취약점 예방에 효과적임을 확인하였으며, 스크럼 프로세스에 웹 취약점 분석을 통합하는 프레임워크 도입이 개발팀 의 보안 인식 제고와 취약점 발생 감소에 영향을 미칠 수 있음을 확인하였다. 다만 본 연구는 특정 조직 및 설문 참여자의 경험에 기반한 분석이라는 한계를 가지므로 다양한 산업 군과 조직 규모를 포괄하는 후속 연구가 필요하다 . 향후, 자동화된 도구와의 연계, DevSecOps 등과 통합 방안에 대한 심층 연구가 이루어져야 할 것이다.
more초록 (요약문)
Recent advancements in cloud-native technologies and microservices a rchitecture (MSA) have led enterprises and public institutions to aggre ssively adopt web-based platforms to deliver real-time, user-centric se rvices. While this shift has significantly enhanced development and dep loyment agility, it has also introduced heightened system complexity an d exacerbated security vulnerabilities in web services. Notably, the wi despread adoption of Agile methodologies, particularly Scrum, has accel erated development speed and efficiency. However, it has concurrently h ighlighted the persistent issue of insufficient integration of security requirements into the development process. This study aims to explore effective strategies for analyzing web vu lnerabilities in Scrum-based web service development environments and p ropose a framework for integrating such strategies into real-world deve lopment practices. To achieve this, we conducted surveys and case studi es targeting Scrum teams in local enterprises and public institutions. The analysis focused on evaluating the definition and management of sec urity requirements at the Product Backlog stage, as well as the degree of security activity internalization across each sprint phase(planning, execution, review, and retrospective). The findings revealed critical limitations in existing Scrum process es: security requirements are often ambiguously defined during the Prod uct Backlog and user story stages, and they lack systematic management throughout the development lifecycle. Furthermore, the study demonstrat ed that internalizing security activities at each sprint phase-such as incorporating security checks during sprint planning, code reviews, and retrospectives-effectively prevents web vulnerabilities. The proposed f ramework, which integrates web vulnerability analysis into Scrum proces ses, was validated as enhancing development teams' security awareness a nd reducing the incidence of vulnerabilities. However, this study is limited by its reliance on data from specific organizations and survey participants, necessitating subsequent researc h encompassing diverse industries and organizational scales. Future wor k should prioritize in-depth analysis of integration strategies with au tomated security tools and DevSecOps practices to further strengthen th e framework's scalability and applicability.
more목차
제 1 장 서론 1
제 1 절 연구 배경 1
제 2 절 연구 범위 및 방법 3
(1) 연구 범위 3
(2) 연구 방법 3
제 2 장 이론적 배경 5
제 1 절 스크럼(Scrum) 방법론 5
(1) 스크럼 프로세스 모델 5
(2) 스크럼 팀의 역할 및 산출물 7
제 2 절 공통 취약점 등급 시스템(CVSS) 9
제 3 절 OWASP Risk Rating Methodology 13
제 3 장 스크럼 기반 웹 서비스 개발 취약점 분석 19
제 1 절 스크럼 프로세스의 웹 취약점 유입 경로 분석 19
(1) 제품 목록(Product Backlog) 단계 19
(2) 스프린트(Sprint) 계획 및 실행 단계 20
(3) 스프린트(Sprint) 리뷰 및 회고 단계 21
제 2 절 스크럼 프로세스와 웹 취약점 분석 통합 방안 22
제 4 장 연구 방법 및 설계 24
제 1 절 프레임워크 모델 적용 방안 24
제 2 절 프레임워크 모델 상세 구조 25
(1) 제품 목록(Product Backlog) 25
(2) 스프린트 계획 27
(3) 스프린트 실행 29
(4) 스프린트 리뷰 30
(5) 스프린트 회고 31
제 5 장 데이터 분석 33
제 1 절 설문 데이터 분석 33
제 2 절 제품 목록(Product Backlog) 단계 분석 34
제 3 절 스프린트 계획 단계 분석 36
제 4 절 스프린트 실행 단계 분석 38
제 5 절 스프린트 리뷰 단계 분석 39
제 6 절 스프린트 회고 단계 분석 41
제 7 절 통합 프레임워크 도입 필요성 분석 42
제 6 장 결론 46
참고문헌 48
부 록 49
