웹 기반 해운 선사 운영시스템 보안 요구사항 연구

Abstract

해운 선사의 운영시스템은 주전산기를 이용한 단말기 접속 환경 또는 클라이언트/서버 구조의 환경을 유지하고 있는 경우가 아직많으며, 웹서버 및 웹 애플리케이션 서버를 이용한 웹 기반 환경으로의 전환을 고려하는 해운 선사가 증가하고 있다. 그런데 전환과정에서, 기존 구성 방식과 지식을 바탕으로 웹 기반 환경의 특성 및 해운 업무의 특성을 고려하지 않고 설계를 진행하는 경우, 다양한 보안상 취약점이 실제 시스템 운영 단계에서 드러나게 되고, 이는 시스템 유지보수 비용의 증가를 초래하게 된다. 그러므로웹 기반 환경으로의 전환 시에는, 시스템 안전성 확보 및 보안 관련 유지보수 비용 절감을 위해 설계 단계에서부터 반드시 보안을고려한 설계가 진행되어야 한다. 본 논문에서는 다양한 위협 모델링 기법의 특성을 살펴보고, 해운 선사 운영시스템에 적합한 모델링 기법을 선정한 후, 데이터 흐름도와 STRIDE 위협 모델링 기법을 해운 선사 업무에 적용하여, 데이터 흐름도의 각 구성 요소에서발생 가능한 보안 위협을 공격자 관점에서 도출하고, 공격 라이브러리 항목과의 매핑을 통해 도출된 위협의 타당성을 입증한다. 그리고, 이를 이용하여 공격자가 최종목표 달성을 위해 시도할 수 있는 다양한 공격 시나리오를 공격 트리로 나타내고, 보안 점검 사항과 관련 위협 및 보안 요구사항을 체크리스트로 구성한 후, 최종적으로 도출된 위협에 대응할 수 있는 23개의 보안 요구사항을 제시한다. 기존의 일반적인 보안 요구사항과는 달리, 본 논문에서 제시하는 보안 요구사항은 해운 선사의 실제 업무를 분석한 후, 여기에위협 모델링 기법을 적용하여 도출된 해운 업무 특성을 반영한 보안 요구사항이므로, 추후 웹 기반 환경으로의 전환을 추진하는 해운 선사들의 보안 설계에 많은 도움이 될 것으로 생각한다.