• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.05a
• /
• pp.183-184
• /
• 2023

스마트폰에서의 시간 조작이 JVM 과 앱에 미치는 과정을 분석하여 세 가지 유형의 공격을 식별했다. 구글플레이 스토어의 990 개의 앱을 대상으로 앱의 취약성 분포를 정량화했으며 앱 개발자들에게 권장사항을 제공하고 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.827-828
• /
• 2015

최근 유비쿼터스 컴퓨팅 시대가 도래함에 따라 소프트웨어는 스마트기기, 홈 네트워크 등 다양한 분야에 활용되고 있으며, 이러한 환경 변화에 맞춰 해커들은 소프트웨어의 자체 취약점을 이용한 다양한 악의적 공격을 진행하고 있다. 실제 소프트웨어 보안 취약점으로 인해 발생하는 피해액이 연간 1800억불에 달하고 있으며, 이러한 문제를 방지하기 위해 다양한 시큐어코딩 제품들이 등장하고 있다. 본 논문에서는 기존 시큐어코딩 프로그램의 효율성 향상을 위한 형상관리 시스템 연동 프로세스 방법을 제안한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 1997.11a
• /
• pp.289-299
• /
• 1997

인터넷의 기술은 인트라넷(Intranet), 익스트라넷(Extranet)이라는 이름으로 인터넷 기술을 활용한 기업 내 또는 기업간 네트워크 구성에 관한 연구들이 활발하게 진행되고 있다. 인터넷의 개방성으로 인해서 인터넷은 보안성이 떨어지는 문제점을 가진다. 이를 극복하기 위해서 최근 많은 암호기반 보안 기술들이 개발되고 있다 대부분의 암호기반 보안 기술들은 전체네트워크 객체의 증명을 책임지는 공증 기관을 필요로 하는데, 이를 공중 사무소(Certification Authority)라 한다. 본 논문에서는 인터넷과 인트라넷의 취약한 부분을 보완하기 위한 최근의 암호기반 보안 기술과 그들 간의 상관관계를 파악한다 보안의 기초인 공증사무소의 구조 및 역할을 조사하고, 실제로 공증 사무소를 운영하기 위한 점검 사항 및 운영 규칙 등을 제시한다. 또한, 공증 사무소에 필요한 소프트웨어를 구현한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2010.04a
• /
• pp.739-742
• /
• 2010

본 논문은 국방 네트워크 환경측면에서 실 전략정보에 대한 접근/활용 범위가 확대되고, 정보의 신뢰성/가용성에 대한 중요도가 강조되고 있는 워게임 연동객체의 보안화 방안에 대해 기술한다. 연동객체는 HLA/RTI에서 시뮬레이션을 위한 페더레이터로 정의된다. RTI는 페더레이터간 정보교환, 접속 사양에 정의된 다양한 서비스를 제공하는 미들웨어이다. 정책을 기반으로 네트워크상에서 자원들에 대한 관리와 접근, 사용을 위한 다양한 기능과 안전하고 편리한 보안기능들이 널리 활용되고 있다. 본 논문에서는 RTI Security 인터페이스와 정책을 기반으로 한 자원접근 방법을 사용해서 페더레이터의 취약한 정보보호 기능을 강화하였다. RTI의 페더레이트 실 정보에 다계층 보안 수준을 적용하고 보안등급별로 필터링하여 연동객체 스스로가 정보를 보호(Self-protection)할 수 있도록 하는 환경을 구성하고 관리할 수 있는 시스템을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.05a
• /
• pp.632-635
• /
• 2013

클라우드 컴퓨팅은 최근 IT 기술 중 가장 주목받는 분야로, 클라우드 컴퓨팅 자원을 네트워크 기반으로 제공하는 기술이다. 클라우드 환경에서 소프트웨어를 개발하는 경우 가상 환경을 이용해서 작업 비용을 대폭 절감할 수 있는 이점이 있지만, 웹 어플리케이션 취약점을 이용한 웹 기반 공격 등의 보안 문제가 남아있다. 클라우드 컴퓨팅이 인터넷을 통해서 서비스를 제공하기 때문에 웹 보안 향상이 클라우드 컴퓨팅의 중요한 보안 이슈이다. 본 논문에서는 클라우드 시스템의 웹 보안 문제를 해결하기 위해 클라우드 컴퓨팅을 기반으로 다중 웹 방화벽(Web Application Firewall)을 구축하는 방안을 제안하고자 한다.

• KIPS Transactions on Computer and Communication Systems
• /
• v.8 no.7
• /
• pp.177-180
• /
• 2019

A typical vulnerability scoring system is Common Vulnerability Scoring System(CVSS). However, since CVSS does not differentiate among the individual vulnerability impact of the asset and give higher priority for the more important assets, it is impossible to respond effectively and quickly to high-risk vulnerabilities on large systems. We propose a Layered weight based Vulnerability impact assessment Scoring System which can hierarchically group the importance of assets and weight the number of layers and the number of assets to effectively manage the impact of vulnerabilities on a per asset basis.

• Journal of Korea Multimedia Society
• /
• v.12 no.8
• /
• pp.1120-1127
• /
• 2009

The commensurate number of the attacks and infringement targeting a vulnerability of the game service has been increasing constantly, due to the dramatic growth and expansion of the impact of the game industry. However, there exist no subsequent researches for the differentiated technology, which is to prevent the reverse function of the game service. Therefore, in this study, we examined the current status of infringement toward online game services which are provided in the market currently and designed the proper technical measures for a manipulation of the game service which is the most vulnerable part. We have encrypted an execution file and decrypted it in real time process. Furthermore, we conducted debugging, disassemble, and prevented a its own memory dump, also concealed the information to overcome the module dependency to preclude a manipulation.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2021.11a
• /
• pp.221-224
• /
• 2021

본 논문은 WebAssembly 가 도입된 2017 년부터 현재 2021 년까지 발생한 보안 취약점을 분석하고 분류하여, WebAssembly 에 대한 개발자들의 이해도를 높이고 WebAssembly 도입에 생길 수 있는 문제점들을 정리한다. 특히 CVE-2018-6092(Integer Overflow), CVE-2018-6036(Underflow) 사례들을 제공된 PoC 를 통하여 재현하고, PoC 코드, 원인 코드와 대처 코드까지 분석한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.888-890
• /
• 2015

많은 개발자가 참여하는 대형 소프트웨어 시스템 개발의 효율성 증대를 위해서는 컴포넌트 간 인터페이스의 효과적인 관리가 필수적이다. MDMS는 컴포넌트간의 인터페이스 정의 및 변경 이력 관리, 인터페이스 기술서 자동 생성, 소스 코드 자동 생성 등의 기능을 제공하는 도구이다. 한화탈레스는 1998년 MDMS를 처음 개발하여 적용한 이후 다양한 국방 소프트웨어 시스템 개발에 적용하여 소프트웨어 개발 생산성 향상에 효과를 보았다. 하지만, MDMS를 다양한 프로젝트에 적용하는 과정에서 최초 개발시 고려하지 못했던 여러 문제점 및 한계를 발견하였다. 이러한 문제점 및 한계는 다양한 프로젝트의 특성 지원 미흡, 형상관리 및 유지보수 문제, 프로젝트 간 메시지 재사용 미지원, 취약한 보안 등 이다. 본 논문에서는 이를 해결하기 위하여 네가지 개선방안을 제시한다. 첫 번째, 다양한 프로젝트에 적용이 가능한 유연한 SW 구조로 개선해야 한다. 두 번째, 통일되고 일관된 형상관리와 함께 전담 개발 및 유지보수 조직이 필요하다. 세 번째, 프로젝트간 메시지의 재사용 지원을 위한 방안으로 프로젝트 별 MDMS 운용이 아닌 통합된 MDMS의 운용이 필요하며, 그를 통하여 다른 프로젝트의 인터페이스 정의를 상호 참조할 수 있는 구조를 적용해야 한다. 마지막으로, 외부 협력업체와의 협업을 위한 보안 대책을 수립하고, 관련 보안 기능을 지원하여 사외의 협력업체의 개발자가 직접 MDMS에 접속하여 개발할 수 있도록 개선해야 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.19 no.2
• /
• pp.75-82
• /
• 2009

In this paper, we test for security targeting on APIs of Windows as that is used by many people worldwide. In order to test APIs in DLL fils of Windows OS, we propose Automated Windows API Fuzz Testing(AWAFT) that can execute fuzz testing automatically and implemented the practical tool for AWAFT. AWAFT focuses on buffer overflows and parsing errors of function parameters. Using the tool, we found 177 errors in the system folder of Windows XP SP2. Therefore, AWAFT is useful for security testing of Windows APIs. AWAFT can be applied to libraries of third party software in Windows OS for the security.