A Study on Security Requirements Specification in an Object-Oriented Development Environment

객체지향 개발환경에서의 보안 요구사항명세에 관한 연구

Security requirements must be defined well to reduce software vulnerabilities in requirement specification phase. In this paper, we show how to specify security requirements in structured manner for object-oriented development methodology. Our method specifies security requirements through four phases: defining security objectives, identifying the threat, construct attack tree, and specifying security function. This method would help developers to specify security requirements and functions which software have to possess clearly and systematically.

소프트웨어 개발시 내재될 수 있는 취약성을 최소화하기 위해서는 요구사항 분석단계에서부터 보안 요구사항을 잘 정의하여야 한다. 본 논문에서는 객체지향 개발 방법론에서 소프트웨어 보안 요구사항 명세를 위한 체계적인 방안을 제시한다. 본 논문에서 제시한 방안은 크게 보안 목표 설정, 위협식별, 공격트리 작성 그리고 보안기능 명세로 이루어진다. 이 방법을 이용하면 소프트웨어가 가져야 할 보안 요구사항과 기능을 보다 명확하고 체계적으로 작성할 수 있다.