위험 기반 테스트 평가와 맞춤화를 위한 체계적 분류법

초록

본 논문은 위험 기반 테스트(Risk‑Based Testing, RBT)를 체계적으로 정의·분류·평가하기 위한 종합적인 분류체계를 제시한다. ISO/IEC/IEEE 29119, ETSI EG, OWASP Security Testing Guide 등 최신 테스트 표준에 적용하고, SmartTesting, RACOMAT, PRISMA, 퍼지 전문가 시스템 기반 테스트 우선순위 기법 등 네 가지 실무 접근법에 매핑한다. 이를 통해 표준 요구사항과 실제 접근법 간의 차이를 정량·정성적으로 드러내어, 각 접근법의 강점·약점을 명확히 파악하고 실무 적용 가능성을 논의한다.

상세 분석

논문은 먼저 위험 기반 테스트의 핵심 개념을 ‘위험 식별·위험 평가·위험 대응·테스트 설계·테스트 실행·결과 평가’의 6단계 프로세스로 정형화한다. 각 단계는 입력(예: 자산, 위협, 취약점), 산출(예: 위험 점수, 테스트 목표), 적용 기법(예: 정량적 모델, 퍼지 로직)으로 세분화되며, 이를 토대로 ‘위험 기반 테스트 분류 체계(Taxonomy)’를 구축한다. 이 체계는 ‘위험 정의’, ‘위험 측정’, ‘위험 우선순위’, ‘테스트 선택·설계’, ‘테스트 실행·관리’, ‘결과 피드백’이라는 7개의 핵심 차원으로 구성된다.

다음으로 ISO/IEC/IEEE 29119, ETSI EG, OWASP STG 세 표준에 이 분류 체계를 적용한다. 표준마다 위험 정의 방법(자산 중심 vs. 위협 중심), 위험 측정 방식(정량 vs. 정성), 테스트 설계 지침(시나리오 기반 vs. 체크리스트 기반) 등이 다르게 제시되어 있음을 확인한다. 예컨대 ISO 29119는 위험을 ‘테스트 우선순위’에만 활용하도록 제한하는 반면, OWASP STG는 취약점 스캐닝 결과를 위험 점수와 직접 연결한다. 이러한 차이는 표준 간 일관성 부족을 드러내며, 실제 프로젝트에서 표준 선택에 따라 테스트 전략이 크게 달라질 수 있음을 시사한다.

논문은 또한 네 가지 실무 접근법을 동일한 체계에 매핑한다. SmartTesting은 위험 식별 단계에서 비즈니스 가치와 결함 심각도를 결합한 가중치를 사용하고, RACOMAT은 위험 평가에 베이지안 네트워크를 도입해 확률적 위험 모델을 제공한다. PRISMA는 테스트 케이스 우선순위 결정에 다중 기준 의사결정(MCDM) 기법을 적용하며, 퍼지 전문가 시스템 기반 기법은 불확실성을 퍼지 집합으로 표현해 위험 점수와 테스트 우선순위를 연계한다. 각각의 접근법은 체계의 특정 차원에 강점을 보이지만, 다른 차원에서는 공백이 존재한다. 예를 들어 SmartTesting은 위험 대응(테스트 설계) 단계에서 구체적인 테스트 설계 기법을 제시하지 않아, 실제 테스트 케이스 생성 시 추가적인 방법론이 필요하다.

마지막으로 논문은 분류 체계를 활용해 표준과 접근법 간 ‘편차(Deviation)’를 정량화한다. 편차 매트릭스는 0~2점 척도로 각 차원의 충족 정도를 평가하고, 총점이 낮은 경우 해당 접근법이 표준 요구사항을 충분히 반영하지 못함을 의미한다. 이를 통해 RACOMAT은 위험 측정·우선순위 단계에서 높은 점수를 받지만, 테스트 실행·관리 단계에서는 낮은 점수를 받아 실무 적용 시 보완이 필요함을 알 수 있다. 전체적으로 이 체계는 위험 기반 테스트를 설계·평가·맞춤화하는 데 있어 객관적인 기준을 제공하고, 조직이 자신에게 맞는 표준과 방법론을 선택하도록 돕는다.