문제 도메인 온톨로지를 통한 보안 요구사항의 이해와 추천: 3계층 접근법의 활용

Abstract

[Context Motivation] Socio-technical System(STS)는 다양한 이해당사자들의 관점과 구성요소들간의 이기종적인 특성으로부터 유래된 복잡한 요구사항으로 구성되어 있다. STS안에서 보안 이슈는 침투피해 발생에 따른 피해 비용 및 엔터프라이즈 시스템의 영향에서 알 수 있듯이, 지속적으로 문제가 되는 사안이다. [Question / Problem] 보안관련 이슈가 발생하는 원인으로 먼저 STS의 설계, 개발, 실행을 위한 지식이 널리 분산되어 있어, 정확한 이해를 가지고 문제를 이해하기 위한 시스템적인 지식 및 모델링 활용이 이루어지지 않은 문제가 있다. 두번째로, 대부분의 보안 요구사항 도출시 기술적인 접근에만 집중하여 다양한 이해당사자들간의 합의를 이루어내지 못하여 보안요구사항 결점 등의 문제가 발생한다. 마지막으로 많은 보안 요구공학 접근법이 지식의 재사용적인 측면의 접근이 다소 미흡하며, 이에 대한 비용 효율적인 문제가 발생한다. [Principal Idea/result] 이러한 문제점을 해결하기 위해, 우리는 문제 도메인 온톨로지를 기반으로 보안 요구공학적 접근법을 통해 보안 요구사항 추천을 위한 PIC 프레임워크를 제시한다. 이러한 프레임워크를 사용하여 어떻게 다양한 지식을 활용하여 보안 상황을 이해하고, PDO를 바탕으로 위협 분석 및 위험 평가로부터 보안 요구사항이 추천되는지를 제시할 것이다. 그리고 구현된 웹 어플리케이션을 바탕으로 실제 위협 시나리오에 기초하여 사례연구를 실시하여 제시하는 프레임워크의 적용가능성을 논의하고, 어떠한 연구목표가 어떻게 달성되는지를 확인하여, 제시한 프레임워크를 평가할 것이다. [Contribution] 이 논문은 다양한 지식을 조직화한 PDO를 활용하여 PIC 프레임워크에 따라 정확한 보안 상황 이해와 보안 요구사항을 도출할 수 있다. 그리고 다양한 보안 요구공학적 접근법을 활용하여 보안 요구사항 명세를 제공함과 동시에 지식의 분류를 활용하여 지식의 재사용성을 높이는 접근법을 통한 비용 효율적인 방법론을 제시하는데 기여한다.