• 제목/요약/키워드: 보안 테스팅

검색결과 47건 처리시간 0.045초

보안기능의 무력화 공격을 예방하기 위한 위협분석 기반 소프트웨어 보안 테스팅 (Threat Analysis based Software Security Testing for preventing the Attacks to Incapacitate Security Features of Information Security Systems)

  • 김동진;정윤식;윤광열;유해영;조성제;김기연;이진영;김홍근;이태승;임재명;원동호
    • 정보보호학회논문지
    • /
    • 제22권5호
    • /
    • pp.1191-1204
    • /
    • 2012
  • 정보보안시스템을 무력화하는 공격이 나타남에 따라, 정보보안제품의 취약성을 분석하는 보안 테스팅에 대한 관심이 높아지고 있다. 보안제품 개발의 주요 단계인 침투 테스팅은, 공격자가 악용할 수 있는 취약성을 찾기 위해 컴퓨터 시스템을 실제적으로 테스팅하는 것이다. 침투 테스팅과 같은 보안 테스팅은 대상 시스템에 대한 정보 수집, 가능한 진입점 식별, 침입 시도, 결과 보고 등의 과정을 포함한다. 따라서 취약성 분석 및 보안 테스팅에서 일반성, 재사용성, 효율성을 극대화하는 것이 매우 중요하다. 본 논문에서는, 정보보호제품이 자신의 보안 기능을 무력화하거나 우회하는 공격에 대응할 수 있는 자체보호기능 및 우회불가성을 제공하는 가를 평가할 수 있는 위협분석 기반의 소프트웨어 보안 테스팅을 제안한다. 위협분석으로 취약성을 식별한 후, 보안 테스팅의 재사용성과 효율성을 개선하기 위해 소프트웨어 모듈과 보안 기능에 따라 테스팅 전략을 수립한다. 제안기법은 위협 분석 및 테스팅 분류, 적절한 보안테스팅 전략 선정, 보안 테스팅으로 구성된다. 사례연구와 보안테스팅을 통해 제안 기법이 보안 시스템을 체계적으로 평가할 수 있음을 보였다.

ROAD(RPC Object vulnerability Automatic Detector) 도구의 설계 및 구현 (A Design and Implementation of ROAD(RPC Object vulnerability Automatic Detector))

  • 양진석;김태균;김형천;홍순좌
    • 정보보호학회논문지
    • /
    • 제17권2호
    • /
    • pp.51-59
    • /
    • 2007
  • 소프트웨어 테스팅은 소프트웨어의 버그 및 잘못 구현된 부분 등을 찾아내는 과정을 통해 품질을 평가하는 방법이다. 퍼징(fuzzing)은 소프트웨어 테스팅 기술의 여러 가지 방법 중 하나로써 난수를 발생시켜 테스팅하고자 하는 소프트웨어에 주입하는 방법으로써 보안에 중점을 두어 테스팅하는 방법이다. 퍼징은 단위 시간 당 테스팅 효율성, 비용 절감 등 여러 가지 장점을 이유로 다수 사용되고 있으나 퍼징 수행 시 전문가의 개입이 많은 단점이 존재한다. 예를 들면 해당 소프트웨어가 사용하는 프로토콜 혹은 퍼징 대상이 파일인 경우 파일 포맷에 대한 분석을 수행한 후에야 가능하기 때문에 테스팅 기간이 길어질 수 있으며 퍼징 도구를 이용해도 퍼징 대상의 프로토콜 및 포맷에 대한 분석이 난해한 경우 테스팅 대상에 대한 퍼징을 수행하지 못할 수도 있다. 본 논문에서 설계한 ROAD는 RPC 기반 프로토콜 및 소프트웨어를 자동으로 퍼징할 수 있는 도구이다. RPC는 다수의 취약점이 발견된 구성요소로써 본 논문에서는 이를 자동으로 퍼징할 수 있는 도구의 구현을 목표로 하였다. 기존의 도구 중 RPC 기반 소프트웨어를 퍼징하는 도구가 존재하지만 자동화되어 있지 않을 뿐만 아니라 소프트웨어에 따라 도구를 수정해야만 사용이 가능하다. 본 논문은 이러한 단점을 극복하고자 자동화 도구를 설계 및 구현하여 실제 RPC 기반 프로토콜 및 소프트웨어에 적용하였다. 또한 실험을 통해 도구의 효용성을 검증하였다.

정보 보안 평가 및 취약점 분석을 위한 SW 테스팅 절차 (A SW Testing Procedure for Information Technology Security Evaluation and Vulnerability Analysis)

  • 김동진;정윤식;조성제;박민규;이진영;김일곤;이태승;김홍근
    • 한국정보과학회:학술대회논문집
    • /
    • 한국정보과학회 2012년도 한국컴퓨터종합학술대회논문집 Vol.39 No.1(A)
    • /
    • pp.80-82
    • /
    • 2012
  • 다양한 정보보호 제품이 개발됨에 따라, 정보보호 제품 보증을 위해 자체의 보안성 평가 및 인증이 중요시되고 있다. 정보보호 제품의 평가 및 인증을 위해서는 보안기능 검사와 취약점 분석 단계가 매우 중요하지만 이를 위한 정보보호 제품의 보안기능 시험과 취약성 분석을 위한 테스팅 절차에 대한 연구는 그 중요성에 비해 많이 수행되지 않았다. 현재까지는 보안제품을 기능별로 제품을 분류하여 보안성을 평가하였는데, 본 논문에서는 보안 제품들에서 공격에 취약한 SW 모듈 중심으로 테스팅 대상을 분류하는 방법을 제안한다. 분류된 SW 모듈별로 적합한 보안 테스팅 기법을 정의하고, 보안제품의 취약점을 효과적으로 탐지하기 위해 공개되어 있는 관련 취약점도 분석하였다. 이를 통해 정보보호 제품의 취약점 분석 및 제품 보안성 평가를 위한 SW 모듈별 보안 테스팅 절차를 수립하고, 테스트하였다. 실험을 통해 취약한 SW 모듈별 적절한 공격 기법 선정 시 제안 절차가 정보보호 제품 평가 인증에 활용될 수 있음을 확인하였다.

AR 콘텐츠의 테스팅을 위한 품질모델 연구 (A Study on the Quality Model for Testing of Augmented Reality Contents)

  • 이종원
    • 한국컴퓨터정보학회:학술대회논문집
    • /
    • 한국컴퓨터정보학회 2022년도 제65차 동계학술대회논문집 30권1호
    • /
    • pp.65-66
    • /
    • 2022
  • AR을 기반으로 하는 현실과 가상세계가 공존하는 콘텐츠들이 증가하고 있다. 이에 따라 AR 콘텐츠에 대한 체계적인 테스팅에 대한 필요성도 증가하고 있다. 소프트웨어 테스팅과 관련한 품질특성은 ISO/IEC 25010에서 정의하고 있다. 기존의 연구에서 ISO/IEC 25010을 기반으로 AR의 테스팅에 적용할 수 있는 품질특성을 제안하였다. 본 논문에서는 기존의 연구에서 제안한 AR 테스팅 품질특성에 신뢰성과 보안성을 보완할 것을 제안한다. 이러한 품질특성으로 고려하여 AR의 테스팅에 필요한 테스트 케이스를 개발하고 실행한다면 보다 체계적인 테스팅이 가능할 것이다.

  • PDF

파일 퍼징을 이용한 SW 취약점 분석 (Software Vulnerability Analysis using File Fuzzing)

  • 김상수;강동수
    • 한국컴퓨터정보학회:학술대회논문집
    • /
    • 한국컴퓨터정보학회 2017년도 제56차 하계학술대회논문집 25권2호
    • /
    • pp.29-32
    • /
    • 2017
  • 보안 취약점을 악용하여 소프트웨어를 무력화하는 사이버 공격이 증가함에 따라, 조기에 소프트웨어의 취약점을 발견하고 분석하는 보안 테스팅에 대한 중요성이 높아지고 있다. 보안 테스팅의 자동화된 방법 중 하나인 퍼징 기법은 소프트웨어의 입력에 타당하지 않은 무작위 값을 삽입하여 해당 소프트웨어의 예외 즉, 잠재적인 취약점을 발견할 수 있다. 본 논문은 파일 퍼징 과정에서 효율적인 파일 변이 방법을 제안하고 이를 활용한 퍼징 기법을 통해 소프트웨어의 보안성을 높이고자 한다.

  • PDF

오픈 소스 C++에서의 유닛 테스팅 프레임워크에 관한 고찰 (A Study of Unit Testing Frameworks on Open Source C++)

  • 허석렬;손영호
    • 융합보안논문지
    • /
    • 제13권4호
    • /
    • pp.33-39
    • /
    • 2013
  • 소프트웨어 개발을 성공적으로 수행하기 위하여서 유닛 테스팅은 아주 필수 불가결한 요소이다. Python, Java, C# 등의 현대 컴퓨터 개발 언어에서는 유닛 테스팅을 용이하게 하기 위하여 다양한 기능을 제공하고 있다. 하지만, C++ 언어에 있어서는 워낙 많은 프레임워크를 제공하고 있는 관계로, 유닛 테스팅을 위한 프레임워크 선택이 결코 용이하지 않다. 이 논문에서는 C++ 언어에서의 유닛 테스팅을 위한 프레임워크를 집약된 test runner와 분리된 test runner의 두 그룹으로 나눠서 고찰하였다.

결함 주입을 이용한 소프트웨어 보안 테스팅

  • 김기범;최영한;양진석;홍순좌
    • 정보보호학회지
    • /
    • 제16권5호
    • /
    • pp.65-71
    • /
    • 2006
  • 사이버 공격이 급증함에 따라 이를 사전에 효과적으로 예방할 수 있는 소프트웨어 보안 테스팅의 필요성이 점차 증대되고 있다. 결함 주입 기법은 사이버 공격과 마찬가지로 프로그램의 외부에 노출된 인터페이스에 고의적으로 결함을 주입하는 방법으로 보안 취약점을 찾는 우수한 방법이다. 이 논문에서는 결함 주입 기법의 기본적인 개념을 살펴본다. 또한, 결함 주입을 수행하는 절차인 결함 주입 대상 외부 인터페이스 선택, 결함 유발 가능 입력 데이터 생성, 결함 주입에 따른 이상현상 탐지 각각에 대한 개요 및 최근 동향을 기술한다.

알려진 취약점 정보를 활용한 웹 애플리케이션 서버 퍼징 및 검증 (Fuzzing of Web Application Server Using Known Vulnerability Information and Its Verification)

  • 김기연;조성제
    • 한국정보과학회:학술대회논문집
    • /
    • 한국정보과학회 2011년도 한국컴퓨터종합학술대회논문집 Vol.38 No.1(B)
    • /
    • pp.181-184
    • /
    • 2011
  • 소프트웨어와 인터넷 연결이 일반화되고 소프트웨어 규모가 복잡해짐에 따라, 소프트웨어 보안 취약점 발생 수 및 관련 보안 사고가 나날이 증가하고 있다. 소프트웨어 보안 사고를 예방하기 위한 하나의 방법은 소프트웨어 개발 단계에서 취약점을 발견하여 제거하는 것이다. 이에 본 논문에서는 취약점 발견에 사용되는 대표적 테스팅 기법인 퍼징에 대해 연구하였다. 먼저, 웹 애플리케이션 서버와 관련된 기존의 공개된 취약점 정보를 분석하여 퍼징에 필요한 오용 케이스(misuse case) 생성 방법을 보인다. 생성된 오용 케이스는 URL과 HTTP 요청 메시지의 각 필드에 대한 테스팅 정보를 포함하고 있으며, 이 오용 케이스를 웹 애플리케이션 서버에 퍼징하여 실제 보안 관련 결함이 나타남을 확인하였다.

취약점 점검 시스템의 퍼즈 테스팅 결과 및 분석 (A Result and Analysis for Fuzz Testing of Vulnerability Assessment System)

  • 김연숙;최유나;양진석
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2013년도 추계학술발표대회
    • /
    • pp.680-683
    • /
    • 2013
  • 방화벽, 백신, IPS, 취약점 점검 시스템 등 중요 시스템의 보안을 위해 다수의 소프트웨어들이 운용되고 있다. 그 중 취약점 점검 시스템은 중요 서버의 보안 취약점을 점검하여 사전에 보안 위협을 예방한다는 측면에서 중요하다. 그러나 서버의 취약점을 점검해주는 소프트웨어 자체에 취약점이 존재한다면 취약점 보완을 위해 도입한 시스템이 취약점을 내포하고 있는 모순된 상황을 발생시킨다. 본 논문에서는 취약점 점검 시스템의 매니저와 에이전트의 점검 패킷을 분석하여 데이터 필드에 임의의 값을 주입하는 SPIKE 기반의 퍼즈 테스팅 기법으로 매니저와 에이전트 모두에서 DoS(Denial of Service) 취약점을 발견하였다. 해당 취약점은 다수의 SQL 세션을 생성하고 시스템의 CPU 점유율을 100%로 높여 시스템의 다른 서비스조차 이용할 수 없는 상태를 보였다.