무기체계 최초양산품 소프트웨어 품질보증 프로세스 연구

류지선(Jiseon Yu),송치훈(Chi-Hoon Song),권순모(Soonmo Kwon),박병훈(Byeonghun Park),오진우(Jinwoo Oh) 한국산학기술학회 2021 한국산학기술학회논문지 Vol.22 No.1

군수품 최초양산품 품질관리는 연구개발 이후 최초로 양산 계약된 군수품을 대상으로 개발 후 완성된 규격에 따라 개발품의 양산 실현 가능성과 적합성 평가를 목적으로 수행한다. 하지만 본 연구를 통한 무기체계 최초양산품 소프트웨어 품질보증을 수행하기 이전까지 최초양산품 품질보증은 하드웨어 중심으로 수행되어 소프트웨어에 대한 품질보증은 미흡한 상태였다. 이로 인해 후속 양산단계에서 소프트웨어의 문제점들이 발견됐을 경우 불가피한 기술변경에 따라 많은 시간과 비용이 소요되었다. 본 논문에서는 소프트웨어 기술자료의 충분성 및 적합성을 점검하기 위한 무기체계 최초양산품 소프트웨어 품질보증 프로세스 연구를 수행한 결과를 보인다. 그 결과 컴퓨터 파일의 완전성 점검, 소프트웨어 기술문서의 적합성 점검, 소프트웨어 기술자료와 그 외 국방규격의 연계 여부를 점검하는 프로세스를 정립하고 이 프로세스를 적용하여 최초양산품 소프트웨어 품질보증을 수행한 결과를 분석하여 최초양산품 소프트웨어 품질보증 프로세스의 효용성을 보인다. 소프트웨어 기술자료의 완전성을 확보하여 양산단계에서 발생할 수 있는 소프트웨어 문제점을 사전에 식별하여 소프트웨어의 선제적인 품질 확보에 기여할 수 있음을 보인다. This study evaluated the process of software quality assurance about the initial product in a weapon system. The software quality assurance of the initial product was insufficient before this study. Therefore, the process of the software quality assurance about the initial product in a weapon system is suggested. The process has three parts. First, the completeness of computer files, such as source code and execute files, were checked. Second, the suitability of the software technical data was checked. Finally, the connectivity of software technical data and the Korean defense specification were assessed. Overall, there is a need to toughen the software quality assurance in the research and development step and achieve early stabilization of mass production by preventing the problems that prevent the production of a product due to the insufficient software technical data.

ISO/IEC 25023을 활용한 무기체계 소프트웨어 보안성 확보 방안

류지선(Jiseon Yu),윤재형(Jae-Hyeong Yun) 한국산학기술학회 2021 한국산학기술학회논문지 Vol.22 No.12

무기체계 소프트웨어의 보안성은 「무기체계 소프트웨어 개발 및 관리 매뉴얼」에 따라 전장관리정보체계만을 대상으로 하여 무기체계 소프트웨어의 보안성 확보는 미흡한 상황이다. 본 논문에서는 시스템 및 소프트웨어를 특성 및 부특성 관점에서 정량적으로 평가하기 위한 품질 측정 항목을 정의한 ISO/IEC 25023의 보안성 측정을 무기체계 소프트웨어 개발 프로세스에 적용하여 보안성을 확보할 수 있는 방안을 제안한다. 여기에 ISO/IEC 25023의 보안성에서 다루지 않는 "가용성"을 추가하여 무기체계 소프트웨어에서 보안의 3요소 모두를 확보할 수 있도록 한다. 제안하는 방안은 무기체계 소프트웨어 개발 산출물인 요구사항 명세서 작성 가이드에 적용하는데 이로써 무기체계 소프트웨어 개발 프로세스 내에서 추가 문서 작성 없이 항목 보완만으로도 보안성 확보가 가능하다. 결과적으로 본 논문에서는 무기체계 소프트웨어 보안성 확보를 위해 요구사항 명세서를 보완하고 시험단계에서 ISO/IEC 25023에 따른 보안성 측정 함수에 따라 보안성을 정량적으로 측정 방안을 제안한다. 그 결과로 개발 중인 무기체계 소프트웨어에 즉시 적용 가능한 요구사항 명세서 작성 가이드를 제안하고 시험 절차서에 적용하여 무기체계 소프트웨어가 요구하는 보안성의 목표값을 달성하여 무기체계 소프트웨어 개발 프로세스에서 보안성을 확보할 수 있는 방안을 제안한다. Since security in「Weapon System Software Development and Management Manual」only covers the battle management system, it is necessary to improve security in weapon system software. To this end, we examine a method to improve the security of weapon system software by applying the security measures of the ISO/IEC 25023 standard. It provides measures including associated measurement functions for the quality characteristics in the product quality model. Here, we propose a method to supplement the software requirement specification and measure security quantitatively according to the security measures of the ISO/IEC 25023. Also, we add the "availability," one of the CIA triads, to acquire security-enhanced software in weapon systems. Finally, we propose a guide for writing software that applies the proposed method and apply it to the test phase of the weapon system development process. In conclusion, we contribute to improving security in the weapon system software development process by quantitatively measuring security and proposing a method that can manage this process from the requirements phase to the test phase.

사이버 무기체계 분류 분석 및 발전 방향

류지선(Jiseon Yu),박정호(Jungho Park) 대한전자공학회 2023 대한전자공학회 학술대회 Vol.2023 No.6

방위산업 디지털 전환에 따른 보안위협 분석 및 대응방안

류지선(Jiseon Yu),박정호(Jeongho Park) 한국산학기술학회 2023 한국산학기술학회논문지 Vol.24 No.10

4차 산업혁명으로의 시대적 흐름과 디지털 트윈, 빅데이터, AI 등 기술이 진보하면서 초연결 시대가 도래하였다. 이에 국방분야에서도 사물과 사람이 커뮤니케이션 할 수 있도록 디지털 전환이 빠르게 진행 중이다. 이와 같은 산업환경의 변화 속에서 불법적으로 정보를 취득하고자 하는 해커 입장에서는 공격 표면이 늘어나 공격에 활용할 수 있는 출입구가 더욱 많아진 것이다. 방산업체는 오래 전부터 해킹 공격의 먹잇감이 되어 왔다. 따라서 초연결 시대로 전환하는 기점 속에서 무기체계를 개발하고 양산하는 방위산업 환경의 변화를 예측하고 이에 따른 공격표면과 보안위협에 대한 선제적인 분석이 필요한 상황이다. 본 논문에서는 방위산업 분야에 영향을 줄 수 있는 핵심 기술을 디지털 트윈, 빅데이터, AI로 판단하고 방위산업 디지털 전환 환경의 보안 위협을 공급망, 내부자, 네트워크로 구분하여 분석하였다. 그리고 관리적 관점에서 신기술 도입 간 보안 내재화, 업체 자체 공격표면 관리 지침 수립, 기술 발전을 반영한 방위산업 규정 개정과 같은 대응 방안을 제안한다. The technological advances in Digital twins, Big Data, and Artificial Intelligence have developed into the Hyper-Connected Society era. Accordingly, the battlefield environment and defense industry are being converted into a network-based environment. On the other hand, digital transformation has widened the scope of supply chain management, increased the security threats of insiders, and increased the exposure of vulnerabilities in the network. In particular, because the defense industry has been a target of hackers, it is necessary to analyze security threats in advance. As the attack surface increases, security threats are on the rise. This paper proposes countermeasures to security internalization, attack surface management guidelines, and defense industry regulations to identify attack surfaces that may occur in the digital transition environment to distinguish and control security threats.

무기체계 소프트웨어 품질 개선을 위한 ISO/IEC 25023의 소프트웨어 개발 프로세스 적용 방안

윤경환(Gyeonghwan Yoon),류지선(Jiseon Yu) 한국산학기술학회 2021 한국산학기술학회논문지 Vol.22 No.5

본 연구에서는 기존의 무기체계 소프트웨어 개발 프로세스에 ISO/IEC 25023의 소프트웨어 품질 평가 모델을 적용하여 기존보다 무기체계 소프트웨어의 품질을 향상시킬 수 있는지 확인하였다. 현재 무기체계 소프트웨어 개발 프로세스는 소프트웨어 품질 요구사항을 관리하고 있지만 소프트웨어 품질은 제한적으로만 향상시키고 있었다. 소프트웨어 품질 요구사항에서 품질 특성을 정의하고 관리하였지만 개별적인 사업에 따라 품질 특성이 다르게 정의되었기 때문이다. 따라서 소프트웨어 품질 요구사항의 품질 특성이 동일하여도 산출물이 다르고 사업에 따라 품질 관리의 차이가 컸다. 무기체계 소프트웨어 개발 프로세스 내에서 소프트웨어 품질 관리 제한점의 원인은 소프트웨어 품질 특성에 대한 일관된 정의 부족과 정량적으로 측정되지 않는 산출물로 파악하였다. 국제표준 소프트웨어 품질평가 메트릭인 ISO/IEC 25023은 소프트웨어를 8가지 주특성 및 31가지 부특성으로 구분하여 품질 특성을 정의하고 정량적으로 소프트웨어 제품 품질을 평가할 수 있는 기준을 제시한다. ISO/IEC 25023을 무기체계 소프트웨어 개발 프로세스에 적용하여 소프트웨어 품질을 향상시키는 방안을 검토하고 소프트웨어 품질 향상 효과를 분석하였다. This study aimed to improve the software quality in weapon systems by applying ISO/IEC 25023 to the software engineering process. The software engineering process in weapon systems manages the Software Quality Requirement but has restrictively improved the software quality. Software quality items are already defined and used for software engineering processes in weapon systems, but they are defined inconsistently according to individual software development cases. Thus, the methods of quantifying software quality are different, even though the same software quality is defined. In addition, the software quality has been managed differently. The major problems of software engineering processes in weapon systems are the unclear definition of the software quality requirements and the absence of quantifying software quality standards. ISO/IEC 25023 is composed of eight quality characteristics and thirty-one sub-characteristics. ISO/IEC 25023 provides measurement functions that can quantify the software product quality based on its characteristics. To improve the software quality further, the measurement functions in ISO/IEC 25023 are suggested to quantify and manage software quality for software engineering processes in weapon systems. The expected effects of this study were analyzed.

무기체계 소프트웨어의 Java 코딩 규칙 검증 기준 개선 연구

윤재형(Jae-Hyeong Yun),류지선(Jiseon Yu) 한국산학기술학회 2022 한국산학기술학회논문지 Vol.23 No.10

1991년 SUN Microsystems에서는 메모리 사용량이 적고 다양한 플랫폼을 갖는 가전 제품에 적용하기 위해 Java언어를 개발하였다. 이후 스마트폰 플랫폼인 안드로이드에서 Java API를 활용하며 누구나 쉽게 접할 수 있는 대중적인 언어로 발돋움 하였다. 이에 무기체계 소프트웨어 분야에서는 방위력개선사업으로 획득되는 소프트웨어의 체계적인 개발 및 관리를 위한 프로세스와 산출물 작성표준 등을 규정하는 「무기체계 소프트웨어 개발 및 관리 매뉴얼」에 Java 언어로 개발된 무기체계 소프트웨어의 코딩 규칙 검증과 취약점 점검 등을 수행할 수 있는 신뢰성 시험 기준을 추가하여 무기체계 소프트웨어에 최신 소프트웨어의 흐름을 반영하였다. 일반적으로 코딩 규칙은 코드를 확인하는 다른 사람들이 내용에 집중할 수 있도록 일관성 있는 코드를 제공하여 빠른 이해를 돕고 코드의 복사, 변경, 유지 관리할 수 있도록 하는 것을 목적으로 한다. 본 논문에서는 무기체계 소프트웨어 개발 및 매뉴얼의 Java언어 코딩 규칙 검증 기준인 오라클의 코딩 규칙과 최신의 구글의 코딩 규칙을 비교하고 행정안전부 소프트웨어 개발보안 가이드 적용에 대한 적절성을 분석하여 Java언어로 개발된 무기체계 소프트웨어 코딩 규칙의 발전 방향을 제안한다. 그 결과 적용 언어별 점검 난이도가 상이하고 일부 코딩 규칙이 취약점 분석과 유사한 사항이 있음을 식별하고, 개발 언어별 코딩 규칙 시험 난이도가 동일한 수준으로 개선이 필요함을 보인다. In the field of weapon systems software, the coding rules for weapon systems software developed in the Java language are included in the Weapon Systems Software Development and Management Manual, which stipulates the process and output standards for the systematic development and management of software acquired through the defense capability improvement project. The latest trends of software development are reflected in weapon system software by adding a reliability test standard. In general, the purpose of coding rules is to provide consistent code so that people looking at the code can focus on the content, making it easier to understand, copy, change, and maintain the code. In this paper, we compare Oracles Java language coding rule verification standards for Weapon Systems Software Development and Management Manual with the lasted coding rules from Google. We also analyzed whether it is appropriate to apply MOISs software development security guide to the manual. As a result, we suggest an improvement direction for the coding rules of weapon system software developed in Java language.

무기체계 소프트웨어 기술변경 원인 및 결함 유입단계 분석

김종규(Jong-Kyu Kim),윤재형(Jae-Hyeong Yun),류지선(Jiseon Yu) 한국산학기술학회 2022 한국산학기술학회논문지 Vol.23 No.3

무기체계 개발단계에서 무기체계의 복잡성, 소요군과 개발기관의 의사소통 문제 등 다양한 이유로 결함이 체계로 유입된다. 유입된 결함은 양산 및 운영유지 단계에서 문제점으로 발현되어 이를 해결하기 위한 기술변경이 증가하고 있으며, 특히 무기체계의 소프트웨어 비중이 증가함에 따라 무기체계 소프트웨어 기술변경에 대한 별도의 관리가 필요한 상황이다. 국방기술품질원에서는 무기체계 소프트웨어 기술변경에 대한 체계적인 추적성 관리를 위하여 기술변경 원인 및 소프트웨어 기술지원 결과에 대한 데이터베이스를 구축한 상태이다. 본 논문에서는 국방기술품질원에서 구축한 데이터베이스의 자료를 바탕으로 2017, 2018년도에 기술변경이 이루어진 소프트웨어들에 대한 결함 원인을 분석하였다. 결함 원인 유입단계는 무기체계 소프트웨어 개발 프로세스를 기반으로 요구사항분석 단계, 설계 단계, 구현 단계, 시험단계, 규격화 단계, 운영유지 단계로 구분하였으며, 각 유입 단계에 따른 결함의 분류 방법을 정의하였다. 최종적으로 8대 무기체계 분류에 따라 결함이 빈번하게 유입되는 개발단계를 식별하였다. 본 논문의 분석결과를 바탕으로 향후 개발단계 소프트웨어 품질관리를 수행할 때 결함이 빈번하게 유입되는 개발단계를 식별하고 집중적으로 품질관리를 수행하여 효율적인 무기체계 소프트웨어 품질 확보에 기여할 수 있음을 보인다. Defects flow into weapon system development for various reasons, such as the complexity of the weapon system and the communication problems between the requirement-raising armed forces and developers. These defects also emerge as problems in the operation and maintenance stage. Hence, engineering change to make up for the defects is increasing. In particular, as the proportion of software in the weapon system increases, separate management of software engineering change is needed. Hence, DTaQ has established a database for the systematic traceability management of software engineering changes. This research used the database built by DTaQ and analyzed the cause of defects in weapon system software that was changed in 2017 and 2018. As a result, the cause of the defect was identified to be from requirement analysis, design, implementation, testing, standardization, or the operation and maintenance stage, depending on the software development process of the weapon system. Finally, defect classification was carried out according to the eight weapon system types. Based on the analysis results of this paper, this research is expected to contribute to the efficient securement of the quality of weapon system software. In particular, the quality of weapons system software is achieved by intensively managing the development stage in which defects frequently flow during software quality management.