• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제21권11호
• /
• pp.721-726
• /
• 2015

이 논문은 PHP 프로그램의 시큐어 코딩 규칙을 보이고 있다. 이 코딩 규칙들은 PHP와 관련된 28개 보안약점의 발생을 억제하기 위하여 프로그램 개발 단계에서 준수하도록 규정한 것이다. 28개 보안약점은 CVE에 보고된 실제 취약점 사례에서 분류된 22개 보안약점과 PHP 언어로 작성된 프로그램의 보안약점(CWE-661)의 하위 보안약점들, OWASP의 PHP Top5 보안약점들에서 선별하였다. 이를 기반으로 하여 14개 시큐어 코딩 규칙 범주에 걸쳐 28개 세부규칙을 개발하였다. 이 논문은 또한 적용 사례를 통해 규칙 적용이 보안약점 억제 효과가 있음을 보이고 있다. 개발된 규칙은 PHP 프로그램의 보안 목적의 분석 도구 개발의 기준으로 활용될 수 있다.

• 정보처리학회논문지C
• /
• 제11C권4호
• /
• pp.471-484
• /
• 2004

현재 차세대 인터넷 IPv6 네트워크의 보안을 위한 IPsec(IP Security)의 구현에 대한 연구가 매우 활성화 되고 있는 추세이다. 그러나 현재 IPv6 네트워크 계층의 보안성을 평가하기 위한 자동화된 도구나 평가 방법론 등에 관한 연구는 매우 미진한 상황이다 본 논문에서는 IPv6 기반 IPsec이 적용된 보안 시스템의 보안성을 평가하기 위해, 보안성 평가 항목을 정의할 수 있는 평가규칙표기언어를 설계하고 평가규칙표기언어를 이용하여 정의된 평가규칙을 해석하고 실행하기 위한 평가규칙 처리 도구를 제안한다. 평가규칙 처리도구는 사용자 인터페이스 부, 평가규칙 모듈 부, DBMS부로 구성되며 평가 대상 시스템에 탑재된 에이전트와의 협력을 통해 평가를 수행하는 구조를 갖는다.

• 정보처리학회논문지C
• /
• 제10C권5호
• /
• pp.525-532
• /
• 2003

이 논문은 모바일 에이전트를 이용해서 보안규칙을 관리하는 방안을 제시하였다. 침입탐지 시스템(IDS : Intrusion Detection System)은 침입탐지 모델을 기반으로 비정상적인 행위 탐지(anomaly detection)와 오용 침입탐지(misuse detection)로 구분할 수 있다. 오용 침입탐지(misuse detection)는 알려진 공격 방법과 시스템의 취약점들을 이용한 공격들은 탐지가 가능하지만, 알려지지 않은 새로운 공격을 탐지하지 못한다는 단점을 가지고 있다. 이에 본 논문에서는, 계속적으로 인터넷 상을 이동하는 모바일 에이전트를 이용해서 안전하게 보안규칙을 관리하는 방안을 오용탐지의 단점을 해결하는 방안으로 제시하였다. 이러한 모바일 에이전트 메커니즘을 이용해서 보안규칙을 관리하는 것은 침입탐지 분야에서는 새로운 시도이며, 모바일 에이전트를 이용해서 보안규칙을 관리하는 방법의 유효성을 증명하기 위해서 기존의 방식과 작업부하 데이터(workload data)를 수식적으로 비교하였고, NS-2(Network Simulator)를 이용하여 시간에 대하여 시뮬레이션을 수행하였다.

• 정보보호학회논문지
• /
• 제4권2호
• /
• pp.55-70
• /
• 1994

본 논문은 데이타베이스의 동적 기능을 모형화하기 위해서 동적 규칙을 사건과 동적 규칙 객체로 취급하여 개념적 스키마에 표현하는 동적 객체지향 데이타 모델을 제안한다. 제안된 모델에서 정적 구조와 동적 구조에 대한 개념들을 정의하고 모형화 과정에서 사용자의 이해도를 증진시키는 모델의 구성요호에 대한 그래픽 다이어그램을 제시하였다. 그리고 동적 규칙이 데이타베이스 구조에 포함됨으로써 발생가능한 정보의 불법적인 노출 또는 변경을 방지하기 위해서 BLP모델의 보안 정책을 확장하여 제안된 모델에 대한 11가지 종류의 다단계 보안 성질들을 정의하였다. 또한, 정의된 다단계 보안 성질들이 타당한가를 조사하기 위해서 패트리네트를 확장하여, 보안 성질의 검증작업을 수행하였다.

• 정보보호학회지
• /
• 제25권1호
• /
• pp.18-25
• /
• 2015

컴퓨터와 네트워크가 보안 상 안전하려면 무엇보다 사용되는 시스템 및 응용 프로그램에 보안약점이 없어야 한다. 보안약점은 공격자가 이용하여 제어 흐름을 탈취하거나 원하는 정보를 유출할 수 있게 하는 프로그램 상의 불완전한 부분을 뜻한다. 보안약점이 없는 프로그램을 만들기 위한 방법으로 시큐어 코딩 규칙을 정의하고, 프로그램 개발 단계에서 이를 적용하게 할 수 있다. 코딩 과정에서 시큐어 코딩 규칙을 준수하여 보안약점 발생을 억제하는 방법은 예방적 조치이다. 아무런 규칙 없이 코딩을 진행한 후 보안약점을 분석, 제거하는 방법보다 프로그래머들에게 부담이 적고, 정적 분석을 사용하여 보안약점을 분석하는 도구들의 치명적인 약점인 오탐 비율을 낮춘다. 이 글은 2014년까지 소프트웨어 개발 보안 센터를 중심으로 진행된 행정자치부의 C/C++, Java, PHP 프로그래밍 언어를 위한 시큐어 코딩 가이드에 대하여 설명한다.

• 중소기업연구
• /
• 제42권1호
• /
• pp.57-77
• /
• 2020

국내에서는 기술유출을 방지하기 위한 다양한 제도가 시행되고 있으나, 실질적인 효과를 가져오지 못하고 있다. 관련 법·제도는 사후조치에 치중되어 있으며, 사전 예방 측면에서는 기업에 대하여 보안 조치 의무를 부과하거나 실태조사를 하도록 하는 등의 내용을 담고 있음에도 불구하고 실질적인 예방효과를 나타내고 있지 않다. 본 연구는 노동관계법상 근로자에 의한 기술유출 방지 대책에 관하여 검토한다. 이를 위해 노동관계법상 기업의 기술보호와 경업금지에 대하여 검토하고 기술보호를 강화하기 위한 대안을 제시한다. 특히 본 연구에서는 취업규칙상 보안규정의 마련 방안을 제안한다. 노동조합이 조직되어 있지 않은 대부분의 중소기업에서는 취업규칙이 사규의 최고 상위 기준임에도 취업규칙에는 기술유출방지 및 보호에 대한 사항이 없다보니 보안서약서의 법적 근거가 없이 운영되고 있다. 취업규칙은 근로기준법에 따라 기업에 근무하는 모든 근로자들의 합의가 요구되고 이를 공지하도록 하고 있기에, 기술유출방지 및 보호에 대한 내용을 취업규칙에 명시하는 것이 기업의 모든 근로자가 보안에 대한 공통된 인식을 할 수 있고, 보안과 관련한 보안서약서 및 보안 관련 지침 및 절차 등 보안 관련 문서들의 법적 준거성을 제시 할 수 있다고 보이므로 표준취업규칙에 표준으로 반영할 필요성이 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2005년도 가을 학술발표논문집 Vol.32 No.2 (1)
• /
• pp.85-87
• /
• 2005

프로그래밍 기술과 인터넷 통신의 발달로 인하여 보안성이 검증되지 않은 다양한 프로그램들이 생성되고 쉽게 유포되어 보안 취약성으로 인해 야기되는 다양한 문제의 심각성이 더해가고 있다. 따라서 사용자가 보안상 안전하게 사용할 수 있는 소프트웨어 인증절차가 필수적으로 요구되고 있는데, 이를 해결하기 위해 소프트웨어 안전성 평가에 대한 연구가 진행 중이지만, 기존의 방법들은 특정 영역에 한정적이어서 일반적인 소프트웨어의 보안성 평가(security evaluation) 방법으로써 부적합하다. 뿐만 아니라 기존의 시스템들은 단순 패턴매칭에 기반을 두고 있어 오용탐지가 크고 정확성이 떨어진다는 문제점을 가지고 있다. 따라서 본 논문에서는 이러한 문제점들을 해결하기 위해 악성프로그램 코드의 구조와 흐름을 분석하여 규칙으로 정의하고 그 규칙에 따라 검사 대상 프로그램 코드에서 악성코드와 취약점 흐름을 탐지하는 규칙 기반의 소프트웨어 보안성 검증 시스템 프로토타입을 제안한다. 제안한 검증 시스템의 프로토타입은 악성코드와 소프트웨어 취약성을 동시에 탐지하여 보안성을 평가함으로써 범용적인 소프트웨어 평가에 활용 가능할 것이다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2001년도 추계학술발표논문집 (하)
• /
• pp.953-956
• /
• 2001

인터넷에서 정보보호 서비스를 제공하는 시스템은 일반적인 시스템보다 보안성 유지의 필요성이 더욱 중요하다. 그렇기 때문에 시스템의 안전성, 즉 시스템의 구현상의 적합성과 보안성을 평가하는 기술이 필요하다. 특히 고도로 발전하는 해킹기술에 대해 시스템이 얼마만큼의 정보보호 서비스를 제공하는지에 대해 평가할 수 있어야 그 시스템의 적합성과 보안성을 확인할 수 있다. 이러한 보안성 평가 기술은 정보보호 서비스를 제공하는 시스템에 독립적으로 구동 되어야 하고, 고도로 발전하는 해킹기술에 대해 유연히 대처할 수 있어야 한다. 본 논문에서는 프로토콜 레벨의 정보보호 서비스를 제공하는 시스템에 대해 다양한 규칙을 적용하여 시스템의 적합성 및 보안성을 객관적으로 평가할 수 있는 규칙기반 프로토콜 보안평가 시스템을 설계한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2005년도 추계학술발표대회 및 정기총회
• /
• pp.965-968
• /
• 2005

본 논문에서는 보안 정책 및 규칙에 기반을 둔 네트워크 포트 기반의 오용침입 탐지 기능 및 센서 객체 기반의 이상침입 탐지 기능을 갖춘 리눅스 서버 시스템을 제안 및 구현한다. 제안한 시스템은 먼저 시스템에 사용하는 보안 정책에 따른 규칙을 수립한다. 이러한 규칙에 따라 정상적인 포트들과 알려진 공격에 사용되고 있는 포트번호들을 커널에서 동적으로 관리하면서, 등록되지 않은 새로운 포트에도 이상탐지를 위해 공격 유형에 대하여 접근제어 규칙을 적용하여 이상 침입으로 판단될 경우 접근을 차단한다. 알려지지 않은 이상침입 탐지를 위해서는 주요 디렉토리마다 센서 파일을, 주요 파일마다 센서 데이터를 설정하여 센서 객체가 접근될 때마다 감사로그를 기록하면서, 이들 센서 객체에 대해 불법적인 접근이 발생하면 해당 접근을 불허한다. 본 시스템은 보안정책별 규칙에 따라 다단계로 구축하여 특정 침입에 대한 더욱 향상된 접근제어를 할 수 있다.

• 한국컴퓨터산업학회논문지
• /
• 제5권8호
• /
• pp.781-790
• /
• 2004

이 논문은 모바일 에이전트를 이용해서 보안규칙을 관리하는 방안을 제시하였다. 침입탐지시스템(IDS: Intrusion Detection System)은 침입탐지 모델을 기반으로 비정상적인 행위 탐지(anomlay detection)와 오용 침입탐지 (misuse detection)로 구분할 수 있다. 오용 침입탐지는 알려진 공격방법과 시스템의 취약점들을 이용한 공격들은 탐지가 가능하지만, 알려지지 않은 새로운 공격을 탐지하지 못한다는 단점을 가지고 있다. 이에 본 논문에서는, 계속적으로 인터넷 상을 이동하는 모바일 에이전트를 이용해서 안전하게 보안규칙을 관리하는 방안을 오용탐지의 단점을 해결하는 방안으로 제시하였다. 이러한 모바일 에이전트 메커니즘을 이용해서 보안규칙을 관리하는 것은 침입탐지분야에서는 새로운 시도이며, 모바일 에이전트를 이용해서 보안규칙을 관리하는 방법의 유효성을 증명하기 위해서 기존의 방식과 작업부하 데이터 (workload data)를 수식적으로 비교하였고, NS-2 (Network Simulator)를 이용하여 시간에 대하여 시뮬레이션을 수행하였다.