• Electronics and Telecommunications Trends
• /
• v.23 no.4
• /
• pp.89-101
• /
• 2008

홈네트워크는 기술의 통합적인 제공에 따라 높은 신뢰성이 필요하지만, 안전성이 확보되지 않는 홈네트워크는 사용자로부터 외면을 받을 수 밖에 없다. 또한 유무선 네트워크 및 프로토콜들 각각에 대한 보안이 고려되어 있다 하더라도 이들의 혼재로 인한 새로운 취약점이 생길 수 있고, 홈네트워크 서비스를 운용하는 과정에서 새로운 취약점이 드러나고 있다. 본 고에서는 안전한 홈네트워크 구축을 위해 최근 국내/외에서 다양한 표준이 제정, 논의되고 있으며, 홈네트워크 보안에 관한 국내/외 표준화 동향을 소개한다. 또한 홈네트워크 구축시 고려되어야 할 홈네트워크의 보안취약성 및 관련 보안기술 개발동향을 설명한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.28 no.6
• /
• pp.1523-1537
• /
• 2018

The AI speaker is a simple operation that provides users with useful functions such as music playback, online search, and so the AI speaker market is growing at a very fast pace. However, AI speakers always wait for the user's voice, which can cause serious problems such as eavesdropping and personal information exposure if exposed to security threats. Therefore, in order to provide overall improved security of all AI speakers, it is necessary to identify potential security threats and analyze them systematically. In this paper, security threat modeling is performed by selecting four products with high market share. Data Flow Diagram, STRIDE and LINDDUN Threat modeling was used to derive a systematic and objective checklist for vulnerability checks. Finally, we proposed a method to improve the security of AI speaker by comparing the vulnerability analysis results and the vulnerability of each product.

• Journal of Convergence for Information Technology
• /
• v.9 no.8
• /
• pp.35-44
• /
• 2019

The purpose of this study is to find out quantitative vulnerability assessment about COTS(Commercial Off The Shelf) O/S based I&C System. This paper analyzed vulnerability's lifecycle and it's impact. this paper is to develop a quantitative assessment of overall cyber security risks and vulnerabilities I&C System by studying the vulnerability analysis and prediction method. The probabilistic vulnerability assessment method proposed in this study suggests a modeling method that enables setting priority of patches, threshold setting of vulnerable size, and attack path in a commercial OS-based measurement control system that is difficult to patch an immediate vulnerability.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.04a
• /
• pp.145-147
• /
• 2002

컴퓨터 시스템이나 네트워크의 보안을 강화하는 방안으로 보안상 취약성이 발견되는 보안 취약성을 점검 하는 것이 옳다. 그러나 취약성을 파악하기 위하여 국내외 관련 사이트를 수동적 방법으로 검사하는 것은 대단히 어려운 일이다. 따라서 스스로 관련 사이트의 홈 페이지를 검색하고 취약성 정보를 추출한 후 새로운 취약성 관련 정보가 발견되는 대로 이를 취약성 데이터베이스에 기록하는 이른바 취약성 자동 갱신 시스템[1]은 취약성 탐지 시스템의 핵심 기능이다. 본 논문에서 구현한 취약성 자동 갱신 로봇은 웹 페이지 자동 검색프로그램인 스파이더를 활용하여 구현되었으며, ICAT등과 같은 취약점 정보 제공 사이트들로부터 홈페이지를 검색하고 이에 수록된 정보를 수집 및 분석한 후, 취약성 데이터베이스를 자동으로 갱신한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.04a
• /
• pp.297-299
• /
• 2016

기술의 발달과 융합으로 사물인터넷(Internet of Things; IoT)의 시대가 열렸다. 빅 데이터와 센서의 발달로 인해 정보는 전과 달리 더욱 사용자와 밀접해졌고 다양해졌으며 양 또한 많아졌다. 이와 더불어 IoT 환경은 다양한 기술들이 융합된 구조로 기존 기술들이 가지고 있는 보안 취약점뿐만 아니라 보다 복잡한 보안 문제점들이 발생할 수 있다. 본 논문에서는 IoT 환경에서 서비스나 IoT 기기들이 갖춰야할 보안 요구사항들을 확장성(scalability), 상호운용성(interoperability), 최소 자원 필요성(minimum resource necessity)으로 분류 하고 정의하였으며, IoT 서비스를 제공하기 위해 사용하는 대표적 프로토콜인 MQTT(Message Queue Telemetry Transfer)와 CoAP(Constrained Application Protocol)에 초점을 맞춰 각각의 표준 문서에서 권고하고 있는 보안 기술에 대해 살펴본다. 또한 그런 기술들에 있어서 발생 가능한 보안 취약점들을 분석하고 이를 해결하기 위한 방법을 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.04b
• /
• pp.825-828
• /
• 2002

분산시스템의 증가와 인터넷의 확산으로 인하여 네트워크를 통한 공격의 가능성은 점점 커지고 있다. 이러한 잠재적인 위협으로부터 시스템을 보호하기 위해 IDS와 Firewall같은 정보보호 시스템들이 개발되었으나 이들은 네트워크 차원의 효율적인 대응이 어렵고 또한 새로운 공격 패턴이나 보안정책 변화에 적응이 어렵다는 단점을 가지고 있다. 이를 해결하기 위하여 능동보안이라는 분야가 활발히 연구중이나, 능동보안의 기반인 능동 네트워크는 동적이고 유연한 본성으로 인해 그 자체적으로도 심각한 위협을 가지고 있다. 본 논문에서는 능동보안 기반구조의 구성요소와 메커니즘에 대해서 알아보고 능동보안 기반구조에 내포된 취약점을 분석 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2024.05a
• /
• pp.216-217
• /
• 2024

최근 클라우드 컴퓨팅 인프라 및 소프트웨어의 지속적인 발전으로 인한 복잡성 증가로 인해 신속한 확장성과 유연성에 대한 요구가 증가하고 있다. 이에 클라우드 네이티브 환경과의 호환성뿐만 아니라 개발과 운영의 효율성을 높이고자 코드로 인프라를 정의하여 자동화된 환경을 구축해 주는 코드형 인프라(Infrastructure as Code, IaC) 기술이 주목받고 있으며, AWS CloudFormation 은 대표적인 솔루션 중 하나이다. 그러나 IaC 형태로 배포되는 템플릿에 취약성이 존재할 경우, 인스턴스가 실행되기 전까지 보안 취약점을 미리 발견하기 어려워 DevOps 사이클에서의 보안 이슈를 야기할 수 있다. 이에 본 논문은 CloudFormation 템플릿의 보안 취약성 스캔이 가능하다고 알려진 오픈 소스 도구의 효율성을 평가하기 위한 사례 연구를 수행한다. 분석 결과를 바탕으로, DevSecOps 달성을 위한 IaC 기반 환경에서 취약성 사전 탐지의 필요성과 세분화된 접근 방식을 제시하고자 한다.

• Journal of Digital Convergence
• /
• v.17 no.8
• /
• pp.105-113
• /
• 2019

The purpose of this study is to analyze cyber security risk modeling of critical infrastructure, draw out limitations and improvement measures. This paper analyzed cyber security risk modeling of national critical infrastructure like as electricity sector, nuclear power plant, SCADA. This paper analyzed the 26 precedent research cases of risk modeling in electricity sector, nuclear power plant, SCADA. The latest Critical Infrastructure is digitalized and has a windows operating system. Critical Infrastructure should be operated at all times, it is not possible to patch a vulnerability even though find vulnerability. This paper suggest the advanced cyber security modeling characteristic during the life cycle of the critical infrastructure and can be prevented.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.34 no.2
• /
• pp.245-261
• /
• 2024

The COVID-19 pandemic has led to the widespread adoption of contactless transactions, resulting in a noticeable increase in the trend towards fully unmanned stores. In such stores, all operational processes are automated, primarily using artificial intelligence (AI) technology. However, this AI technology has several security vulnerabilities, which can be critical in the environment of fully unmanned stores. This paper analyzes the security vulnerabilities that AI-based fully unmanned stores may face, focusing particularly on the object detection model YOLO, demonstrating that Hiding Attacks and Altering Attacks using adversarial patches are possible. It is confirmed that objects with adversarial patches attached may not be recognized by the detection model or may be incorrectly recognized as other objects. Furthermore, the paper analyzes how Data Augmentation techniques can mitigate security threats by providing a defensive effect against adversarial patch attacks. Based on these results, we emphasize the need for proactive research into defensive measures to address the inherent security threats in AI technology used in fully unmanned stores.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.06b
• /
• pp.391-393
• /
• 2006

버퍼 오버런과 같은 소프트웨어의 보안 취약점이 알려진 이후로 이를 해결하기 위한 분석 도구 개발이 다양한 연구그룹에 의해 수행되었다. 하지만 범용 소프트웨어를 분석할 수 있는 실용적인 도구는 않지 않다. 본 논문은 모든 버그를 빠트림 없이 찾는 정적 분석에서 한발 물러나 조금 부정확하지만 빠른 시간안에 보안 취약점을 검출할 수 있는 방법을 소개하고, 버그가 알려진 소프트웨어에 대한 실험 결과를 통해 제안하는 검출기의 실용성을 보인다.