Web-based services are exposed to security incidents because of the features to be necessarily connected to the internet network for an unspecified number of users. In particular, web applications written in Java has problems of it’s security vulnerabilities, so it gives hackers a cause of trouble with low-tech versus other hacking method. However, most of public services of public institutions in KOREA are web-based services and built in Java, thus it can be inferred that there are many cased which hold security vulnerability issue. This leads to accidents of security threats that target the entire general public. Thus, this could cause enormous damage with social chaos. Accordingly, our government, especially the ministry of government administration and home affairs, is concentrating security incident prevention activities by providing a secure coding guide line and ordering an introduction of the guide line in the public development and maintenance projects. It is important to identify and control security vulnerabilities during software development, because realizing those after software launching and correcting those costs 30 times as much as doing in advance. Thus, this thesis suggests a management control process by introducing an empirical study which can diagnose security vulnerabilities of web applications operated and managed in a real public organization, monitor current status, identify it and remove it. Security vulnerabilities will be generated continuously with the advances in information technology and it will threat us consistently as attacking techniques evolves. This study is expected to be utilized as a reasonable suggestion to prevent security incident of public organizations.
웹 기반 서비스는 불특정 다수의 사용자를 위하여 필연적으로 외부 인터넷망에 연결되어야 하는 특징 때문에 보안침해 사고에 노출되어 있다. 특히 Java로 만들어진 웹 애플리케이션은 프로그래밍 언어가 가지고 있는 보안취약점 때문에 다른 해킹기법에 비교하여 낮은 기술로 쉽게 공격할 수 있어 해커에게 공격의 빌미를 제공하고 있다. 그런데 우리나라 공공기관의 대민서비스가 웹 기반 서비스로써 대부분 Java로 구축되어 있어 보안취약점 문제를 그대로 안고 있는 경우가 많을 것이라고 유추 할 수 있다. 이는 대국민 전체를 대상으로 하는 대민서비스의 보안침해사고로 이어져 사회적 혼란과 함께 막대한 피해가 발행할 수 있을 것이다. 이에 우리나라 정부는 안전행정부가 중심으로 전자정부 소프트웨어 개발보안 가이드를 제공하여 공공정보화 개발사업 및 운영·유지보수 사업에서 시큐어코딩(Secure Coding) 도입을 의무화하여 보안침해사고 예방활동에 주력하고 있다. 분석·설계단계에서 발생한 보안취약점이 소프트웨어 출시 이후 발견하여 조치하려면 30배의 비용이 발생하는 것처럼 소프트웨어 개발 시 식별하고 제거할 수 있도록 관리통제 하는 것이 무엇보다도 중요 하다. 따라서 본 논문에서는 실증적 사례로 현재 공공기관에서 운영·유지보수하고 있는 웹 애플리케이션에 대한 보안취약점을 진단하여 실태현황을 살펴보고 탐지된 보안취약점을 식별하여 제거할 수 있는 일련의 관리통제 프로세스 개선방안을 제시하였다. 보안취약점은 IT기술의 발전과 함께 새로운 결함이 계속 발생될 것이며 공격 기법도 진화하면서 지속적인 위협을 가할 것이다. 본 논문이 공공기관의 보안침해사고 예방을 위한 합리적인 제언으로 활용되기를 기대한다.