웹 응용 보안을 위한 객체지향 분석·설계 방법론

Abstract

요즘 웹을 이용하여 많은 일들이 처리되고 있다. 이에 따라 다양하고 복잡한 기능을 가진 웹 기반의 응용 시스템들이 요구되고 있다. 이러한 웹 기반의 응용 시스템들을 효율적으로 개발하기 위하여 객체지향 분석 설계 방법론을 사용하고 있으며, 그 구현을 위하여 Java EE(Java Platform, Enterprise Edition) 기반의 기술들이 사용되기도 한다. 이렇게 개발된 웹 기반의 응용 시스템을 통해 많은 일들을 처리하면서 점차 보안과 관련된 이슈들이 중요해졌다. 이를 위하여 Java EE는 보안과 관련된 메커니즘을 제공하고 있지만, 효율적인 웹 응용 시스템을 개발하기 위한 객체지향 분석 설계 방법론과의 상호 연관성은 제공하지 못하고 있다. 이에 따라 Java EE 메커니즘에 따른 보안 방안은 개발 마지막 단계에서 비로소 구현되기 때문에, 요구사항 분석부터 구현에 이르기까지 시스템 개발 전 주기에 따른 일관된 보안 적용은 어려운 실정이다. 따라서 본 논문에서는 요구사항 분석부터 구현에 이르기까지, 보안이 강조된 '안전한 웹 응용 시스템을 위한 객체지향 분석 설계 방법론'을 제안한다. 제안한 객체지향 분석 설계 방법론은 보안에 관한 요구사항 분석과 시스템 분석 및 설계를 위하여 보안이 강조된 모델링 언어인 UMLsec을 사용하고, 그 구현을 위해서 Java EE 기반 기술 중 서블릿의 역할기반 접근제어(RBAC: Role Based Access Control)를 이용한다. 아울러 본 '웹 응용 보안을 위한 객체지향 분석 설계 방법론'을 온라인 뱅킹 시스템 개발에 적용하여 그 효율성을 확인하였다. Nowadays many tasks are performed using the Web. Accordingly, many web-based application systems with various and complicated functions are being requested. In order to develop such web-based application systems efficiently, object-oriented analysis and design methodology is used, and Java EE(Java Platform, Enterprise Edition) technologies are used for its implementation. The security issues have become increasingly important. For such reasons, Java EE provides mechanism related to security but it does not provide interconnections with object-oriented analysis and design methodology for developing web application system. Consequently, since the security method by Java EE mechanism is implemented at the last step only, it is difficult to apply constant security during the whole process of system development from the requirement analysis to implementation. Therefore, this paper suggests an object-oriented analysis and design methodology emphasized in the security for secure web application systems from the requirement analysis to implementation. The object-oriented analysis and design methodology adopts UMLsec, the modeling language with an emphasis on security for the requirement analysis and system analysis & design with regard to security. And for its implementation, RBAC (Role Based Access Control) of servlet from Java EE technologies is used. Also, the object-oriented analysis and design methodology for the secure web application is applied to online banking system in order to prove its effectiveness.