• 한국정보과학회논문지:소프트웨어및응용
• /
• 제37권10호
• /
• pp.773-778
• /
• 2010

국제 웹 어플리케이션 보안 연구 단체(OWASP)는 2007년에 이어 2010년에도 취약점 대부분이 사용자의 외부 데이터 입력에 기인한 것으로 발표했다. 이러한 오염된 입력 데이터는 실행 시점에서 결정되기 때문에 동적인 취약점 분석이 필요하다. 동적 분석 방법은 주로 실행 시점의 데이터 분석이나 경로 흐름 분석을 위해 인스트루먼트를 코드 내에 삽입 한다. 하지만 직접적인 코드의 삽입은 관리와 확장이 어려워 분석 범위와 대상이 증가할 때 마다 코드 조각들이 흩어지게 된다. 게다가 인스트루먼트 모듈과 시험 대상 모듈 간의 결합도가 높아진다. 따라서 개발이나 유지보수 단계에서 삽입한 분석 코드를 수정하거나 확장하는데 많은 노력이 필요하게 된다. 본 논문은 이러한 문제점을 해결하기 위해 AOP를 이용하여 취약점을 하나의 관심사로 분류함으로써 결합도의 증가 없이 삽입, 삭제와 유연한 확장이 용이한 방법을 제안한다.

• 전자공학회지
• /
• 제29권11호
• /
• pp.1333-1342
• /
• 2002

최근 들어 컴퓨터 통신의 확산과 함께 인터넷의 사용이 전 세계적으로 급증함에 따라 인터넷의 용도는 지금까지의 학술 및 연구를 대상으로한 정보 공유의 목적에서 인터넷을 마케팅의 대상으로 보고 이를 상업적으로 이용하려는 시도가 증가하고 있다. 이미 선진 외국의 경우에는 Mon-dex, Visa cash, Proton 등의 다양한 전자화폐 상품이 개발되어 사용되고 있으나 국제 호환성의 측면에서는 아직 미미한 형편이며 국제간 통용이 가능한 개방형 전자화폐 시스템 개발은 매우 필요하다. 소액지불 시스템의 국제 표준규격으로 인정받고 있는 CEPS(Common Electronic Purse Specification) 기반의 개방형 전자화폐 teem 시스템은 EMV(Europay, Master, Visa) 규격을 준용하고, PKI 기반의 보안기능을 채택하여 지불거래시 반드시 확보되어야 할 거래 데이타의 비밀성, 무결성, 부인방지 기능과 PIN(Personal Identification Number)를 이용한 사용자 인증을 제공하며 구매거래시 IC카드와 가맹점의 구매 단말기(POS)와의 오프라인 동적데이타 인증 (Dynamic Data Authentication) 방식의 상호인증을 제공한다. 개방형 전자화폐 teem 시스템의 구성 모듈은 발급, 충전, 구매, 정산, 인증시스템으로 구성되어 있으며, 웹기반의 사용자 인터페이스를 제공하고 DES, 3-DES, SHA-1, RSA, SEED등 다양한 암호 모듈과 다양한 어플리케이션의 탐재가 가능한 Java Card를 기반으로 하고 있으며, VOP(Visa Open Platform) 2.0,1, Java Card API 2.1 지원하는 시스템이다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2019년도 추계학술발표대회
• /
• pp.475-478
• /
• 2019

웹어플리케이션의 발전에 따라 자바스크립트 런타임 플랫폼인 Node.js 의 사용도 증가하고 있다. 개발자들은 Node.js 의 다양한 모듈을 활용하여 프로그래밍을 하게 되는데, Node.js 모듈 보안의 중요성에 비하여 모듈 취약점 분석은 충분히 이루어지지 않고 있다. 본 논문에서는 소스코드의 구조를 트리 형태로 표현하는 Abstract Syntax Tree 와 소스코드의 실행 흐름 및 변수의 흐름을 그래프로 나타내는 Control Flow Graph/Data Flow Graph 가 Node.js 모듈 취약점 분석에 효율적으로 활용될 수 있음을 서술하고자 한다. Node.js 모듈은 여러 스크립트 파일로 나누어져 있다는 점과 사용자의 입력이 분명하다는 특징이 있다. 또한 자바스크립트 언어를 사용하므로 선언된 변수들의 타입에 따라 적용되는 범위인 scope 가 다르게 적용된다는 특징이 있다. 본 논문에서는 이러한 Node.js 모듈의 특징을 고려하여 Abstract Syntax Tree 및 Control Flow Graph/Data Flow Graph 을 어떻게 생성하고 취약점 분석에 활용할 것인지에 대한 방법론을 제안하고, 실제 분석에 활용할 수 있는 코드 구현을 통하여 구체화시키고자 한다.

• 한국콘텐츠학회논문지
• /
• 제21권12호
• /
• pp.896-905
• /
• 2021

인공지능 기반 보안관제 시스템은 운영환경에서 발생할 수 있는 학습 데이터 오류, 신규 공격 이벤트 발생으로 인한 오탐 증가 등 문제를 해결하기 위해 피드백 기능이 연구되고 있다. 그러나 한정된 관제 인력의 피드백 수행 방식은 모델 개선에 오랜 시간이 걸리고 숙련되지 않은 관제 인력의 피드백은 오히려 모델 성능 저하의 원인이 될 수 있다. 본 논문에서는 관제 인력 한계 극복, 신규 오탐 개선, 빠른 모델 성능 향상을 위한 능동형 보안관제 모델 개선 프로세스를 제안하였다. 운영 중 예측된 유사 이벤트를 군집화 하고, 피드백이 우선적으로 필요한 군집을 계산하여 운영자에게 대표 이벤트 설명이 가능한 인공지능(eXplainable AI) 기반 시각화도 함께 제시하였다. 수신된 대표 피드백은 동일 군집과 다른 데이터를 계산하여 제외하고 피드백 전파 학습 데이터를 생성한다. 준비된 학습 데이터는 초기 모델과 함께 점진적 학습을 통해 모델을 생성함으로써 성능을 향상시키는 프로세스이다. 제안 프로세스의 실효성 검증을 위해 웹 어플리케이션 방화벽 데이터셋 PKDD2007과 CSIC2012를 선택하여 3개의 시나리오를 통해 실험을 진행하였다. 실험 결과 제안된 프로세스는 피드백을 주지 않았거나 소수 운영자 피드백을 적용한 모델 성능에 비해 모든 지표에서 약 30% 이상의 성능 향상을 확인하였다.

• 디지털융복합연구
• /
• 제13권2호
• /
• pp.177-183
• /
• 2015

크로스사이트 스크립팅은 웹 애플리케이션의 취약점으로 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 비정상적인 기능을 자동으로 수행하게 하거나 할 수 있다. 크로스사이트 스크립팅(XSS) 공격유형은 한 번의 HTTP 요청과 응답에서 행해지는 XSS인 반사 XSS(reflect XSS)와 페이로드를 전송한 뒤 다수의 피해자가 해당 페이지에 접속하면 XSS 공격에 노출되는 저장 XSS(Stored XSS)로 나눌 수 있다. 그리고 크로스사이트 스크립팅 공격에 대한 방어로 사용자 입력하는 데이터에 대한 입력 값 검증, HTML 인코딩 과정에서의 출력 값에 대한 검증, 사용자가 악의적 코드를 웹 어플리케이션에 삽입하기 위한 시도를 막기 위해 위험 가능성 삽입지점 제거를 제시하였다. 본 논문에서는 이 두 가지 방법에 대한 공격방법과 절차를 제시하고 모의해킹을 수행하였다. 이를 통해 크로스사이트 스크립팅 공격에 대한 이해가 가능하고 대응책을 통해 공격에 대비할 수 있도록 하였다.

• 한국정보시스템학회지:정보시스템연구
• /
• 제24권2호
• /
• pp.209-240
• /
• 2015

연구 목적 본 연구는 스마트 뱅킹(smart banking)의 다양한 속성과 사용자 속성, 지각된 즐거움, 신뢰 및 만족, 그리고 지속 사용 의도와의 관계를 구글의 안드로이드 운영체제(Android OS)와 애플의 운영체제(iOS)간 비교 분석하였다. 연구설계/방법론/접근법 본 연구의 목적을 달성하기 위해 2012년 9월 국내에서 실시된 설문조사를 바탕으로 총 245개의 샘플을 수집하였으며 이를 토대로 구조방정식을 통해 분석해 보았다. 결과 스마트 뱅킹 서비스에서 수렴성과 친숙성은 지각된 유용성에 유의미한 영향을 미치는 것으로 나타났으며, 보안성과 경제성은 지각된 신뢰성에 유의미한 영향을 미치는 것으로 밝혀졌다. 또한, 보안성, 경제성 및 혁신성의 지각된 유용성과의 관계, 그리고 편의성 및 친숙성의 지각된 신뢰성과의 관계에서 모두 안드로이드 운영체제가 iOS 보다 강한 영향력을 미침을 확인 할 수 있었다. 본 연구는 스마트 뱅킹에 관한 서로 다른 두 운영체제(Android OS vs. iOS)간의 비교분석을 수행함과 동시에 통합된 프레임워크를 제안함으로써 관련 연구에 이바지 할 것으로 기대된다.

• 한국컴퓨터산업학회논문지
• /
• 제2권10호
• /
• pp.1269-1284
• /
• 2001

SSL은 인터넷의 표준 프로토콜인 TCP/IP 트래픽의 암호화를 위해, 기밀성과 인증, 그리고 데이터 무결성을 제공하는 프로토콜이다. 또한 SSL은 인터넷 클라이언트/서버 통신 보안을 위해, 여러 어플리케이션 계층에 적용할 수 있는 연결 중심형 메커니즘을 제공하기 위한 것을 목적으로 한다. 넷스케이프사에 의해 개발된 SSL은 현재 모든 클라이언트의 브라우저와 보안을 제공하는 서버에 의해 지원된다. 현재 SSL의 버전은 3.0이며, 1999년 1월 IETF의 TLS 작업 그룹이 TLS v1.0 명세서를 발표하였다. SSL은 여러 버전을 거치면서, 많은 취약성을 드러내었다. SSL과 TLS는 핸드쉐이크 프로토콜을 이용하여 암호학적 파라미터들을 교환하여 비밀키를 생성하는데, 이 과정에서 많은 공격이 취해질 수 있으며, 또한 레코드 프로토콜에서도 공격이 일어날 수 있다. 본 논문에서는 SSL 프로토콜을 분석하고, TLS와의 차이점을 비교하였으며, 현재 알려진 공격들을 자세히 분석하여, 개발자들이 구현 시 주의해야 할 것들을 제시하였다.

• 예술인문사회 융합 멀티미디어 논문지
• /
• 제9권1호
• /
• pp.387-394
• /
• 2019

최근 빅 데이터의 중요성이 부각되면서 데이터 분석에 대한 수요가 증가하고 있다. R 언어는 데이터 분석을 목적으로 고안된 언어로서, 사용자들은 R언어의 다양한 통계, 머신러닝, 데이터 마이닝 패키지의 알고리즘을 활용하여 데이터를 효과적으로 분석 할 수 있다. 그러나 R 언어는 분석 결과를 어플리케이션으로 만들어 활용하기 어렵다는 단점이 있다. 이를 보완하기 위해 PHP, Java등과 같은 다른 언어를 통해 R 스크립트를 호출하는 법이 제안되었다. 그러나 이러한 개발 방식은 R 이외에도 다른 언어를 혼용해서 작성해야 하는 번거로움이 있다. 본 연구에서는 R 언어의 Plumber 패키지를 활용하여 다른 언어를 사용하지 않고 오직 R 언어만을 이용하여 API를 작성하는 방법을 제안하였다. 또한 API를 구현할 때 고려해야할 보안 이슈와 해결 방안에 대해서도 제시하였다. 본 연구에서 제안한 기술을 이용하여 웹 응용 프로그램을 개발 한다면 높은 생산성과 개발의 편리성, 운영의 효율성을 기대할 수 있다.

• 인터넷정보학회논문지
• /
• 제16권1호
• /
• pp.21-28
• /
• 2015

최근 다양한 웹 서비스와 어플리케이션들이 사용자에게 제공되고 있다. 이러한 서비스들은 인증된 사용자에 한해서 서비스를 제공하기 때문에 사용자는 매번 서비스 별로 인증을 수행해야 하는 불편함을 겪고 있다. 이러한 불편함을 해결하기 위해 $3^{rd}$ Party 어플리케이션이 웹 서비스에 대하여 제한된 접근 권한을 얻을 수 있게 해주는 OAuth(Open Authorization) 프로토콜이 등장하게 되었다. 이러한 OAuth 프로토콜은 사용자에게 편리하고 유연한 서비스를 제공한다. 그러나 OAuth 2.0 프로토콜에서는 재전송 공격, 피싱 공격, 위장 공격 취약점이 발생할 수 있다. 그러므로 본 논문에서는 OAuth 2.0 프로토콜의 보안성 향상을 위하여 E-mail인증을 통해 Resource Owner를 인증 후 Access Token 발급을 할 수 있는 방법을 제안한다.

• 한국정보과학회논문지:정보통신
• /
• 제30권1호
• /
• pp.75-81
• /
• 2003

인터넷과 같이 신뢰할 수 없는 네트워크를 통한 통신에서 비밀성과 무결성 뿐만 아니라 원거리 사용자 인증은 시스템의 보안에서 중요한 부분이다. 그러나 사용자 인증정보로서 인간이 기억할 수 있는 패스워드의 사용은 패스워드의 선택범위가 사용자의 기억에 제한 받는 낮은 비도(Entropy) 때문에 공격자의 오프라인 사전공격에 취약하다. 본 논문은 원거리 사용자 인증과 키 교환에 적합한 새로운 패스리드 인증 및 키 협상 프로토콜을 제안한다. 이 프로토콜은 오프라인 사전공격을 예방할 수 있으며 공격자에게 패스워드가 노출되더라도 이전 세션의 복호화나 이후 세션키의 손상에 영향을 미치지 않는 PFS(Perfect Forward Secrecy)를 제공한다. 또한 사용자의 패스워드가 서버의 패스리드 데이타베이스 파일에 순수하게 패스워드 자체로 저장되지 않기 때문에 공격자가 패스워드 데이타베이스를 획득하더라도 직접적으로 프로토콜의 안전성을 손상하지 않으며 직접 서버에 접근을 요청할 수 없다. 또한 PKI 및 키서버와 같은 제3의 신뢰기관을 이용하지 않기 때문에 단순인증에 적합하다. 따라서 이 프로토콜은 웹을 통한 홈뱅킹이나 사용자의 모바일 환경이 요구되는 셀룰러 폰, telnet이나 ftp와 같은 로긴 시스템, 기존 패스워드를 이용한 인증시스템 개선 등의 어플리케이션에 유용한 인증형태를 제공하며 인증정보가 장기간 저장될 필요성이 있어 위험하거나 실용적이지 못한 경우와 SSL(Secure-Sockets Layer), SET(Secure Electronic Transactions), IPSEC(Internet Protocol Security Protocol) 서비스에 추가될 수 있다.