Security Policy Issue in Application Software Development Process of Smart Phone Environment

Abstract The application software, which is developed on smart phone environment, is applied to according to system development methodology. This paper presents security consideration, that is required to major application program, which is developed in smart phone environment. First it reviews security issues in application program, and the next it considered to security policy for secure application program. Key Words : security, software, smart, IT, application * 백석대학교 정보통신학부 논문접수: 2012년 10월 23일, 1차 수정을 거쳐, 심사완료: 2012년 11월 20일 1. 서론 스마트 폰 환경에서 어플리케이션 소프트웨어를 기반으로 하는 시스템은 시스템 개발방법론을 기반으로 설계 및 구현되어 오고 있다. 보안 소프트웨어의 경우 보안 개발 라이프사이클을 자체적으로 개발 및 검증에 대한 요구가 지속적으로 증가하고 있는 실정이다. 미국 정부는 국방부를 중심으로 security SDLC 개념을 제도화하여 실시해오고 있으며, 특히 상무부 산하 NIST를 중심으로 연방정부 및 민간 지침을 제시하여 적용해오고 있는 실정이다. 상용 분야에서는 MS사가 제품 개발과정에 보안 개발을 위한 라이프 사이클(분석, 설계, 구현, 시험단계)을 자체적으로 개발 적용하고 있으며 이로 인해 취약점의 개수를 60%이하로 감소시키고 있다고 발표되고 있다. 이러한 노력들은 국내 주요 통신사나 은행, 관련 개발사 등에서도 추진되어오고 있는 실정이다.[1-3]기존 연구에서 Ben Smith 등은 보안 테스트 패턴의 효과적인 사용이라는 주제로 보안 테스트 패턴 내에 포함된 보안 요소에 접근하기 위한 블랙박스 보안 테스트를 효과적으로 생성하는 방안에 대해 연구한 바 있다.[4]Ansar et. al 등은 CIA를 기초로 보다 나은 결과를 위한 보안 소프트웨어에 대한 방안들에 관해 접근하고 있다. 소프트웨어 개발시에 효과적인 보안 실행 요소들에 대해 제시하고 있다.[5]llkka et. al 등은 소프트웨어 개발 과정에서 보안 보증을 위한 평가에 대한 연구를 수행한 바 있다.[6] 이 연구는 소프트웨어 개발 라이프 사이클의 올바른 가치 측면에서 가이드라인을 제시하고 있다. 또한 이 휴리스틱한 평가에서는 명시된 특정 상황과 비교하여 소프트웨어 프로세스를 위한 보증 수준을 도출할 수 있는 단계라는 측면에서 의미를 가진다고 볼 수 있다.Philipp Zech et. al 등은 서비스 중심의 시스템의 위험