• 정보보호학회논문지
• /
• 제15권6호
• /
• pp.13-25
• /
• 2005

오늘날 리눅스 운영체제는 임베디드 시스템, 라우터, 대규모 서버에 이르기까지 다양한 분야에 사용되고 있다. 이는 리눅스 운영체제가 추구하는 커널 소스 공개 정책이 시스템 개발자들에게 여러 가지 이점을 주기 때문이다. 하지만 시스템 보안 측면에서 볼 때, 리눅스 커널 소스 공개는 보안상 문제점을 발생시킬 수 있는데, 만일 누군가가 리눅스 기반의 시스템을 공격하려 한다면 그 공격자는 리눅스 커널의 취약성을 이용하여 쉽게 시스템을 공격할 수 있기 때문이다. 현재까지 소프트웨어의 취약성을 분석하는 방법은 많이 있었지만 기존의 방법들본 방대한 크기의 리눅스 커널 소스에서 취약성을 발견하기에 적합하지 않다. 본 논문에서는 소스레벨 리눅스 커널 변수 취약성을 발견하는 방법론으로 Onion 메커니즘을 제안한다. Onion 메커니즘은 두 단계로 이루어져 있는데, 첫 번째 단계는 패틴매칭 방법을 이용하여 취약 가능성이 있는 변수들을 선정하는 단계이고, 두 번째 단계는 선정된 변수들의 취약 여부를 시스템 콜 트리를 이용해 검사하는 단계이다. 또한 본 논문에서 제안한 방법론을 이미 알려진 두 가지 소스레벨 취약성에 적용한 결과를 보인다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2007년도 추계학술발표대회
• /
• pp.282-285
• /
• 2007

최근 금융, 공공기관 등에서 개인 정보 유출이 빈번해짐에 따라 사회적으로 심각한 문제가 발생하고 있다. 한국산업기술진흥협회의 조사에 따르면, 이런 정보 유출이 외부의 불법적 시스템 침입으로 인해 발생하는 것보다, 대부분 데이터 접근이 인가된 내부자 소행으로 나타나고 있다. 이는 데이터베이스의 보안 취약성으로 인해, 내부의 비인가자 또는 인가자의 데이터 접근에 대한 통제 정책이 제대로 이루어지지 않기 때문이다. 이에 따라, 본 논문에서는 클라이언트에서 데이터베이스 서버로 요청되는 네트워크상의 패킷 분석을 통한 데이터베이스의 접근통제방법을 제안한다. 제안된 보안모델에서는, 사용자 정보 및 SQL 의 위 변조를 방지하기 위해서 공개키 인증과 메시지 인증코드 교환으로 무결성을 확보하였다. 또한 권한별 테이블의 컬럼 접근통제를 확장하기 위해서 데이터 마스킹 기법을 구현하였다.

• 정보보호학회논문지
• /
• 제27권4호
• /
• pp.803-810
• /
• 2017

최근 소프트웨어 산업의 발달에 따른 사회적 보안 문제가 지속적으로 발생하고 있으며, 소프트웨어 안정성 검증을 위해 다양한 자동화 기법들이 사용되고 있다. 본 논문에서는 소프트웨어 테스팅 기법 중 하나인 동적 기호 실행을 이용해 윈도우 시스템 콜 함수를 대상으로 Use-After-Free 취약점을 자동으로 탐지하는 방법을 제안한다. 먼저, 목표 지점을 선정하기 위한 정적 분석 기반 패턴 탐색을 수행한다. 탐지된 패턴 지점을 바탕으로 관심 밖의 영역으로의 분기를 차단하는 유도된 경로 탐색 기법을 적용한다. 이를 통해 기존 동적 기호 실행 기술의 한계점을 극복하고, 실제 목표 지점에서의 취약점 발생 여부를 검증한다. 제안한 방법을 실험한 결과 기존에 수동으로 분석해야 했던 Use-After-Free 취약점을 제안한 자동화 기법으로 탐지할 수 있음을 확인하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2000년도 제13회 춘계학술대회 및 임시총회 학술발표 논문집
• /
• pp.922-927
• /
• 2000

정보화 시대에 도달하면서 대량의 정보 홍수 속에서 교육은 LAN 및 인터넷 환경 보급으로 급속히 발전하고 있다 .그런데 교육 현장에서의 필요한 소프트웨어 개발은 매우 미흡하다. 그나마 많이 진척된 부분은 웹 환경 분야와 CAI 프로그램이라 볼 수 있다. 그러나 웹 환경은 실시간의 교육의 학습환경에 문제점을 가지고 있고, 보안성 측면에서 취약점을 가지고 있고 더욱 어려운 것은 시설준비에 막대한 시설투자가 이루어져야한다는 것이다. 그리고 CAI 프로그램은 상호 작용이 필요한 교육환경에서 단방향이 면서 정해진 틀에서만이 학습이 이루어지는 단조로움으로 다소 현장과는 멀어지는 결과를 가져오고 있다. 이러한 상황에서 실시간의 학습과 외부로부터의 보안성이 있고 상호작용성의 수업환경을 구축하는 프로그램이 제작이 필요하다. 본 연구에서는 Winsock의 네트워크 프로그램을 이용하여 클라이언트/서버 환경에서 다중 텍스트전송, 이미지전송, 동영상전송, 기타 응용문서 전송, 데이터 베이스 저장활용 및 학습평가 활용 등을 교사와 학생들간의 다중 실시간 상호작용성의 수업에 활용하는 지원도구를 구현하였다.

• 한국정보과학회논문지:소프트웨어및응용
• /
• 제37권3호
• /
• pp.233-237
• /
• 2010

본 논문에서는 기존 C++ 컴파일러에서 검출하지 못하는 클래스 멤버의 접근성을 위반하는 연산을 정의한다. C++에서는 접근 지정자로 클래스 멤버의 접근성을 선언하도록 하고 있다. 접근 지정자 중에서 private과 protected는 객체 외부에서 접근할 수 없는 멤버 지정을 위해서 사용된다. 그러나 C++ 의 포인터 연산을 이용하면 객체 외부에서 private이나 protected 접근성을 가지는 멤버로 직접 접근 가능하다. 본 논문에서는 멤버 접근성을 위반하는 연산의 원인과 사례를 보이고 이를 정형적으로 정의한다. 본 논문의 공헌은 기존에 다루어지지 않은 문제인 멤버의 접근성을 위반하는 연산을 정의하는 것이다.

• 정보보호학회논문지
• /
• 제32권6호
• /
• pp.1151-1163
• /
• 2022

차량에 무선 통신 기능이 탑재되기 시작하면서 무선 통신 기능의 취약점을 악용한 차량의 사이버 공격이 증가하고 있다. 이에 대응하기 위해 UNECE는 차량 제조사가 무선 통신 기능을 활용하여 차량에 탑재되는 소프트웨어를 안전하게 배포할 수 있도록 UN R156 규정을 제정하였다. 해당 규정은 차량의 소프트웨어를 안전하게 배포하는데 필요한 보안 요구사항을 명시하고 있으나 해당 요구사항을 개발 및 구현하는데 필요한 구성요소와 세부 기능에 대한 정보가 생략된 채 추상적인 요구사항만이 제시되어 있다. 따라서 본 논문에서는 체계적으로 보안 위협을 분석하는 방법인 위협모델링을 활용하여 안전한 SUMS를 구축하는데 필요한 상세 보안 요구사항을 도출한다. 이후 해당 요구사항을 바탕으로 SUMS에 대한 보안성 평가기준을 제안한다.

• 한국컴퓨터정보학회논문지
• /
• 제13권6호
• /
• pp.195-201
• /
• 2008

이동식 시스템의 보안관련 문제점 등을 해결하기 위하여 본 논문은 네트워크 환경과 유무선 통신망에 적합하며 구현의 용이성, 비도 유지, 재수정 및 재사용 할 수 있으며 TCP/IP 프로토콜 아키텍쳐에 적합한 이동식 스마트카드용 MT-Serpent 암호알고리즘을 소프트웨어 기반이 아닌 하드웨어 기반 칩 레벨로 구현하였다. 구현된 MT-Serpent 암호시스템은 크기면에서 4,032이고 throughput은 406.2Mbps@2.44MHz를 가진다. 구현된 MT-Serpent 암호알고리즘은 스마트카드 등과 같은 이동식 시스템의 특징을 살릴 수 있도록 하기 위하여 TCP/IP 프로토콜의 보안 취약성을 보강하며 유무선 환경에서 여러 종류의 서비스가 가능하고 다수의 사용자에 대한 보안을 유지하는데 주요한 목적이 있다.

• 정보보호학회논문지
• /
• 제24권3호
• /
• pp.535-545
• /
• 2014

최근 소프트웨어 산업의 발전과 더불어 소프트웨어 취약점을 이용한 공격이 사회적으로 많은 이슈가 되고 있다. 특히, 웹 브라우저 취약점을 이용한 공격은 윈도우 보호메커니즘을 우회할 수 있기 때문에 주요 공격 대상이 될 수 있다. 이러한 보안위협으로부터 웹 브라우저를 보호하기 위한 퍼징 연구가 지속적으로 수행되어 왔다. 하지만 기존 웹 브라우저 퍼징 도구에서는 대부분 DOM 트리를 무작위로 변형시키는 단순한 형태의 퍼징 방법을 사용하고 있다. 본 논문에서는 알려진 취약점에 대한 패턴 분석과 기존 웹 브라우저 퍼징 도구의 분석을 통해 최신 웹 브라우저 취약점을 보다 효과적으로 탐지하기 위한 이벤트 및 커맨드 기반 퍼징 방법을 제안한다. 기존 퍼징 도구 3종과 제안하는 방법을 비교한 결과 이벤트 및 커맨드 기반의 퍼징 도구가 더욱 효과적이라는 것을 볼 수 있었다.

• 정보보호학회논문지
• /
• 제25권2호
• /
• pp.363-374
• /
• 2015

기존의 원자력발전소 계측제어 시스템은 아날로그 기술 기반으로 설계 및 운영되어 왔지만, 정보기술(IT)의 발달로 신규 원자력발전소에는 점차 디지털 기반 기술이 도입되고 있다. 디지털 기반 기술은 여러 가지 순기능에 반하여 사이버 위협에 취약한 측면이 존재하며 이로 인해 시스템 상에 안전성과 신뢰성에 악영향을 끼치고 발전소 전체에 심각한 영향을 미칠 수 있다. 그러므로 원자력발전소에 탑재되는 소프트웨어는 개발 초기 단계부터 사이버보안 요소들을 고려하여 설계되고 각 단계마다 사이버보안 평가를 통하여 사이버보안에 대한 신뢰 수준을 측정하고, 기술적 관리적 운영적 측면에서의 사이버보안 척도가 요구된 바와 같이 이행되는지를 확인하는 것이 필요하다. 그러나 현재 이러한 사이버보안 평가 방법을 포함한 전반적인 사이버보안 프로그램이 마련되어 있지 않은 실정이므로 본 논문에서는 원자력발전소와 관련된 규제요건 및 기술표준문서를 기반으로 원자력발전소의 소프트웨어 생명주기 단계별 사이버보안 활동과 평가 항목을 도출하여 소프트웨어 생명주기 단계별로 사이버보안 평가가 가능한 방법을 제안한다.

• 한국인터넷방송통신학회논문지
• /
• 제16권6호
• /
• pp.33-42
• /
• 2016

최근 인공지능 분야는 구글, 아마존, 마이크로 소프트 등 선진 기업을 중심으로 머신러닝에 대한 투자와 연구경쟁이 가속화 되고 있다. 가상화 기술은 가상화 보안 구조에 대한 보안 취약점 문제가 지속적으로 이슈화 되었다. 또한 내부 데이터 보안이 플랫폼 제공자의 가상화 보안 기술에 의존적인 경우가 대부분이다. 이는 기존 소프트웨어, 하드웨어 보안 기술은 가상화 영역 접근이 어렵고 보안 기능 수행에 데이터 분석 및 처리 효율성이 낮기 때문이다. 본 논문은 사용자 중요 정보를 기계학습 알고리즘을 적용하고, 학습 가능한 보안 인증벡터 생성하여 이를 가상화 내부 영역에서 보안 검증을 수행할 수 있는 방법을 제안한다. 성능분석 결과 인증벡터의 가상화 환경의 내부 전송 효율성, 연산방법의 높은 효율성과 주요 생성 파라미터에 대한 안전성을 입증하였다.