표제지
감사의 글
목차
제1장 서론 10
1.1 연구 배경 및 목적 10
1.2 연구 동향 및 연구내용 11
1.3 논문의 개요 및 구성 12
제2장 관련 연구 13
2.1 최근 해킹동향 및 사례 13
2.1.1 최근 해킹 동향 13
2.1.2 웹 취약점 14
2.1.3 웹 취약점을 이용한 해킹 사례 20
가. △△기관, SQL Injection 취약점으로 악성코드 유포지 악용 20
나. □□기관 파일다운로드 취약점으로 자료유출 21
2.2 취약점 분석 /대응 관련 법령 및 필요성 22
2.2.1 정보통신기반보호법 22
2.2.2 국가사이버안전규정 및 국가사이버안전매뉴얼 24
2.2.3 국방정보통신기반보호규정 26
2.2.4 취약성 분석 /보완의 필요성 28
2.3 위험 관리 개요 29
(1) 자산(asset) 29
(2) 위협(threat) 29
(3) 취약점(vulnerability) 30
2.4 위험 분석평가 방법론 31
2.4.1 위험평가방법론 분류 31
2.4.2 KISA 위험분석 모델(CI²RA) 33
(1) 현황 분석 단계 33
(2) 취약점 분석 단계 33
(3) 위험평가 단계 36
(4) 대책권고 단계 36
2.4.3 국방부 위험 분석 평가 절차 37
(1) 계획수립 단계 37
(2) 사전 단계 38
(3) 실시 단계 38
(4) 사후 단계 39
제3장 위험분석시스템 설계 및 구현 40
3.1 제안하는 모델 40
3.2 제안하는 모델과 기존 모델과의 비교 43
3.3 시스템 설계 44
3.4 시스템 구현 49
제4장 결론 및 향후 연구 방향 59
참고문헌 60
논문요약 62
[표 2-1] 최근 2년간 사이버침해사고 건수 13
[표 2-2] 가장 심각한 10가지 웹 어플리케이션 취약점 16
[표 2-3] 국방 주요정보통신기반체계 취약점 분석ㆍ평가 절차 및 방법 28
[표 2-4] 위험평가 방법론 분류 31
[표 2-5] 정량적 위험분석 vs 정성적 위험분석 비교(1) 32
[표 2-6] 정량적 위험분석 vs 정성적 위험분석 비교(2) 32
[표 2-7] 자산평가기준표 34
[표 2-8] 위협평가기준표 35
[표 2-9] 위협평가매트릭스 35
[표 2-10] 취약성 평가기준표 36
[표 2-11] 위험도 산정기준표 36
[표 2-12] 영향분석 판단의 기준 38
[표 3-1] 자산 가치 부여 방법 41
[표 3-2] 위협 및 취약성 평가 기준 41
[표 3-3] 안정성지수 산출 방법 42
[표 3-4] 시스템 개발 단계에서의 위험 분석ㆍ평가 수행 시기 42
[표 3-5] 제안모델과 기존모델과의 비교 43
[표 3-6] 사용자 정보 테이블 설계 46
[표 3-7] 자산정보 테이블 설계 46
[표 3-8] 평가항목 정보 테이블 설계 47
[표 3-9] 평가결과 테이블 설계 47
[표 3-10] 평가이력 테이블 구성 48
[표 3-11] 접속로그 테이블 설계 48
[표 3-12] 권한정보 테이블 설계 48
[표 3-13] 소속부서 정보 테이블 설계 48
[표 3-14] 관리시스템 구현 환경 49
[그림 1-1] 만6세 이상 인터넷 이용자수 증가율 10
[그림 2-1] 웹 취약점 개념도 16
[그림 2-2] WebShell(웹해킹 도구) 실행 화면 20
[그림 2-3] iframe 태그를 삽입하여 악성코드 유포지로 악용한 예 21
[그림 2-4] 파일다운로드 취약점에 의한 자료유출 화면(예) 21
[그림 2-5] 취약점 분석ㆍ평가 절차 22
[그림 2-6] 사이버안전 업무 체계도 25
[그림 2-7] 자산, 위협 그리고 취약점 비교 29
[그림 2-8] 위험의 감소 30
[그림 2-9] 위험관리 요소간의 관계 31
[그림 2-10] KISA 위험 분석 평가 모델 33
[그림 2-11] 국방부 위험 분석ㆍ평가 절차 및 방법 37
[그림 3-1] 제안된 위험 분석ㆍ평가 모델 40
[그림 3-2] 위험 분석 시스템 구성 개념도 44
[그림 3-3] 데이터 모델링 45
[그림 3-4] 시스템 메뉴 구성 50
[그림 3-5] 시스템 화면 구성 50
[그림 3-6] 사용자 등록 51
[그림 3-7] 사용자 등록정보 조회 51
[그림 3-8] 사용자 등록정보 수정 52
[그림 3-9] 자산 등록 52
[그림 3-10] 자산 등록정보 조회 53
[그림 3-11] 자산 등록정보 수정 53
[그림 3-12] 평가항목 등록 54
[그림 3-13] 평가항목 조회 54
[그림 3-14] 항목별 평가결과 등록 55
[그림 3-15] 항목별 평가결과 조회 55
[그림 3-16] 평가 항목별 보호대책 활용 56
[그림 3-17] 종합평가결과 조회 56
[그림 3-18] 종합평가결과 상세 조회 57
[그림 3-19] 평가이력 등록 57
[그림 3-20] 평가이력 조회 57
[그림 3-21] 접속 로그 조회 58