• 정보보호학회지
• /
• 제14권4호
• /
• pp.19-26
• /
• 2004

웹 서비스는 인터넷 기술을 이용한 표준화된 오픈 네트워크를 통해 조직 내 및 조직간 모든 컴퓨터 시스템을 결합시키는 새로운 컴퓨팅 패러다임으로 자리 잡으면서, 기술과 서비스의 융합(Convergence), 표준화(Standardization)가 급속도로 진행되고 있다. 이러한 현상은 정보 및 서비스의 공유를 필수적으로 수반하므로, 프라이버시, 기밀성, 무결성, 인증, 및 접근제어 등과 같은 보안과 신뢰성에 대한 중요성을 부각시킨다. 현재 웹 서비스 보안기술은 W3C, OASIS, WS-I의 세 표준화 단체를 중심으로 표준화가 진행되고 있다. 본 논문에서는 각 표준화 단체에서 추진하고 있는 웹서비스 보안기술의 최근 동향을 분석한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2003년도 하계학술대회논문집
• /
• pp.145-149
• /
• 2003

최근 인터넷 사용이 보편화되면서 웹을 통하여 다양한 서비스가 제공되면서 웹 보안에 대한 중요성이 증가하고 있으며 실제로 여러 방법들이 제안되고 구현되었다. 하지만 현재의 웹 보안 방식들은 벤더의 웹 브라우저나 프로토콜을 수정해야 하는 문제점이 존재한다. 본 논문에서는 사용자 인증과 안전한 통신을 수행하기 위하여 자바 애플릿을 사용함으로써 벤더의 웹 브라우저나 프로토콜을 수정하지 않으면서 사용자 인증 및 안전한 통신을 수행할 수 있도록 한다.

• 정보보호학회지
• /
• 제18권3호
• /
• pp.25-33
• /
• 2008

인터넷에 대한 지식 없이도 누구나 직접 참여하고 생성하고 공유할 수 있는 웹 2.0 환경은 새로운 사용자들을 웹으로 끌어 들이게 되었고 이로 인해 웹은 또 다른 보안 위협의 유통 채널로 확고하게 자리 잡게 되었다. 이와 같은 웹의 보안 문제는 기존의 웹 1.0의 보안 솔루션으로는 웹 2.0의 동적인 페이지와 복잡해진 서버 환경에 대응하기에 한계가 존재한다. 하지만 웹 보안에 대한 인식 부족 및 사용자와 웹 서비스 업체의 보안 불감증으로 인하여 웹 보안에 대한 연구와 솔루션이 부족한 실정이다. 본 논문에서는 웹 2.0 환경에서의 보안 문제를 분석하고 보안 문제 해결을 위한 효율적 웹 검사 방안을 제지해본다. 이와 같은 연구로 제시된 내용을 통해 현재 웹 2.0환경에서의 보안 문제에 대한 '백신'이외의 또 하나의 필수 보안 솔루션이 필요하다는 사회적 인지와 인식이 확립되고 웹 브라우저 보안 문제 해결을 위한 서비스가 보다 많이 제공되길 기대해 본다.

• 정보보호학회지
• /
• 제16권5호
• /
• pp.72-83
• /
• 2006

XML기반 웹서비스의 활성화와 더불어 효율적인 데이터 호출 및 통합을 위해, XML 문서 안에 웹서비스 호출 노드를 내장할 수 있는 Active XML(AXML) 문서가 개발되었다. 본 논문에서는 기존 전송계층 보안 프로토콜 및 WS-Security의 제한점을 방지하기 위한, AXML 문서의 내장형 웹서비스 호출과 XML-Encryption 및 XML-Signature 보안 표준을 통합한 데이터 암호화 및 전자서명 방식에 대해 소개한다. 또한, '전자의료 시스템' 예제를 통해 AXML 문서를 이용한 중첩된 웹서비스 호출 및 쿼리위임 방식에 대해 소개한다. 마지막으로, 기존 보안성 정형분석 방법의 확장을 통한 AXML 시스템의 보안 취약 가능성에 대해 언급하고자 한다.

• 정보보호학회지
• /
• 제22권3호
• /
• pp.48-55
• /
• 2012

웹 애플리케이션의 취약점을 이용한 공격으로 인한 보안 사고가 급증함에 따라, 웹 애플리케이션의 취약점을 진단하고 취약성을 수치화하는 프레임워크가 개발 및 제시되고 있다. 이 논문에서는 현재 웹 애플리케이션의 취약성을 수치화할 수 있는 CVSS와 CWSS와 같은 여러 가지 프레임워크 연구를 분석하고, 현재까지 제시된 취약성 수치화 프레임워크가 가지고 있는 문제점을 제시함으로써 향후 보완해야 할 방향을 제시한다.

• 정보보호학회지
• /
• 제23권3호
• /
• pp.51-55
• /
• 2013

웹 기술은 계속적으로 진화하고 있다. 산업적 측면에서는 이종의 서비스들이 융합하는 것이 손쉬운 방안이 된다. 이러한 서비스들 제공에는 스마트폰의 공급이 매우 지대한 영향을 미치고 있다. 인터넷 서비스는 스마트폰 서비스를 효율적으로 제공하기 위한 진통을 격고 있다. 앱스토어에서 제공되는 앱(Application)서비스의 무차별적인 다운로드는 스마트 인터넷 환경의 위해요소로 존재하고 있다. 매쉬업 기술에 의한 보안 위협을 식별하고, 서비스에 대한 보안 요구 사항 및 기술에 대한 ITU-T SG17에서 진행되고 있는 표준화 동향을 소개한다.

• 정보보호뉴스
• /
• 통권129호
• /
• pp.27-29
• /
• 2008

정보보호 부서 이동 후 새로운 업무를 이해하는 것만으로 한 달을 소비한 김 대리. 그렇다고 성과가 전혀 없던 것은 아니었다. 어떤 웹 사이트가 유용한 정보를 제공하고 있는지 알게 됐고, 악성코드나 바이러스처럼 간혹 언론매체를 통해 접했던 정보보호 관련 용어가 더 이상 낯설지 않게 됐다. 무엇보다 '환상'기업의 보안관으로서 어떤 활동을 해야 할 것인지를 이해했다는 점에서 김 대리에게 지난 한 달은 의미있는 시간이었다. 하지만 이제 막 한숨을 돌린 김 대리는 또 다른 난관에 봉착했다. 경영진으로부터 환상기업의 정보보호 수준을 수치화해 보고하라는 지시가 내려온 것이다.

• 한국시뮬레이션학회논문지
• /
• 제19권3호
• /
• pp.99-108
• /
• 2010

본 논문의 주요 내용은 인터넷의 웹서비스 공격에 대한 효과적인 대책을 수립하기 위한 연구로서, 웹서비스 대상으로 하는 공격 정보를 네트워크 계층 및 호스트 구성단위 별 취약점을 분류하며, 서비스 유형에 따른 공격범위 산정 및 분류방법에 대한 모색을 하고자 한다. 이 논문 자료를 이용하여 웹 서비스 공격 정보들의 분석정보를 축척을 통한 다양한 웹 보안 강화 사업 추진의 핵심 정보로 활용될 수 있으며, 웹사이트 공격 탐지 및 대응을 위한 관련 보안 연구의 기초자료 및 정보 보호 산업 활성화에 기여할 수 있다.

• 정보보호학회논문지
• /
• 제19권6호
• /
• pp.121-134
• /
• 2009

소비자 중심 마케팅 성장과 더불어 확대되고 있는 웹 트래픽 수집 및 분석 서비스 시장에서는 이미 서비스 제공자와 사용자간 정보 활용과 정보보호의 치열한 공방이 시작되었고 보다 상세한 소비자 정보를 마케팅에 활용하고 싶은 욕구가 극대화되고 있다. 기업은 익명화된 개인정보의 마케팅활용을 정당화하고 개인은 잠재적 우려사항을 감수할 수밖에 없는 실정이다. 그러므로 본고에서는 국내의 웹 트래픽 수집 및 분석 서비스 산업에서 개인정보보호에 저해되는 프로세스를 검토하고 잠재적 우려사항을 밝히고자 한다. 국내 주요 상용서비스를 중심으로 개인정보보호정책 분석과 서비스과정의 고의 혹은 우연한 개인정보 수집행위 등 목적 외 범위 타당성을 검토하고, 역공학을 통해 서비스과정에서의 개인정보 수집 및 이용 범위를 분석하였다. 개인정보 추출 범위 확대와 침해 가능성 심화로 인해 현재 국내 서비스의 타당성 평가는 매우 중요하다. 웹 트래픽 수집 및 분석 행위로 인한 개인정보 침해의 잠재요인과 서비스 활용을 위한 개인정보보호의 요건을 명확히 밝히는 것은 웹 트래픽 분석산업과 개인정보보호의 균형 발전을 위해 매우 중요할 것이다.

• 정보보호학회지
• /
• 제17권6호
• /
• pp.87-92
• /
• 2007

오픈웹(OpenWeb)으로 인하여 운영체제나 브라우저에 독립적인 클라이언트 PKI툴킷 지원에 대해 짧은 기간 동안 다양한 관계 기관에서 검토가 이루어졌다. 그러나 PKI 툴킷은 개인 정보 보호에 따른 보안과 밀접한 관계가 있으므로 단순히 소비자 권익만을 생각하거나 서비스 제공업체의 입장만을 고려하여 제공할 수 없다. 즉 보안 요구 사항 및 제한된 인적, 시간적, 재정적 환경을 고려를 할 경우 지원해야 할 대상 환경과 기술에도 제약이 따를 수 있다. 본고에서는 웹 브라우저의 확장 기능으로 제공되고 있는 PKI 툴킷에 대해 다양한 운영체제 및 브라우저 환경에서의 서비스 지원에 대해 살펴보고 제약 요소를 고려한 적절한 대응방안을 고려한다.