• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2003년도 동계학술대회
• /
• pp.458-462
• /
• 2003

기존의 고정적 웹 페이지에, 실시간적으로 변화하는 내용의 제공을 가능하게 하기 위해, 추가적으로 코드를 첨가할 수 있도록 만든 것이 웹 응용 프로그램이다. 그 예로는 cgi, php, jsp, java, python 등이 있다. 많은 수의 언어와 다수의 프로그램들이 빠른 속도로 개발됨에 따라 많은 수의 보안 문제점들이 발생하였고 실제로 대단히 많은 서버들이 침입의 대상이 되었다. 웹 응용 프로그램의 보안에 많은 문제점이 발생한 이유는 첫번째, 기존의 서버 응용 프로그램들에 비하여 웹 응용 프로그램은 휠씬 많은 수가 아주 빠르게 개발되었다는 점이다. 두 번째는 웹 응용 프로그램에서 발생한 새로운 종류의 보안 위험성을 들 수 있다. 기존의 서버 응용 프로그램에서 발생하는 위험성들은 서버프로그램의 버그를 이용한 것이었고, 이들은 외부 입력의 내용보다는 그 크기 등의 간단히 검사 가능한 특징에 의존하는 경우가 많았다. 하지만, 웹 응용 프로그램이 외부 입력의 내용을 코드의 일부로 사용하는 경우가 많음으로 인해서, 웹 응용 프로그램에서는 간단히 검사하기 어려운 특징인 입력의 내용에 의존하는 위험성들이 많이 발생한다. 본 논문에서는 이러한 새로운 방식의 위험성을 소스코드를 이용해서 어떻게 자동적으로 검사할 수 있을 지에 관해서 새로운 아이디어를 제시한다. 이 아이디어는 현재 구현 중에 있으며, 초기 실험 결과 기존의 검사 프로그램들이 찾아내지 못하는 취약점들을 찾아낼 수 있음이 확인되었다.

• 정보처리학회논문지A
• /
• 제15A권3호
• /
• pp.181-188
• /
• 2008

오늘날 대부분의 웹사이트는 웹 응용 프로그램이 적절한 웹 페이지를 생성하여 전송하는 형태인 동적 웹페이지를 사용하고 있다. 이에 대하여, 취약한 웹 응용 프로그램에 악의적인 문자열을 전달하는 공격의 형태가 증가하고 있다. 본 논문에서는 대표적인 문자열 삽입 공격인 SQL 삽입(SQL Injection) 공격과 크로스 사이트 스크립팅(Cross Site Scripting, XSS) 공격에 대하여 웹 응용 프로그램내의 보안 취약성을 자동으로 찾아 주는 프로그램 정적 분석기를 개발하였다. 요약 해석을 사용한 프로그램 분석을 위하여 가능한 문자열 값을 제외 문자열들과 함께 표현하는 요약 자료 공간과 PHP 언어의 요약된 의미 규칙을 설계하였으며, 이를 기반으로 분석기를 구현하였다. 또한 개발된 분석기가 기존의 연구 결과와 비교하여 경쟁력 있는 분석 속도와 정밀도를 가짐을 실험을 통하여 보였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2007년도 추계학술발표대회
• /
• pp.1222-1225
• /
• 2007

보안수준 평가 및 개선에 있어서 온라인 웹사이트 응용프로그램의 경우 측정 기준 설정과 보안 수준 표시에 많은 어려운 점이 있다. 이에 모토롤라부터 도입한 경영혁신 도구로서의 6 시그마 수준 표현 및 개선 기법을 웹사이트 보안수준 평가에 적용할 수 있도록, WASC(Web Application Security Consortium)에서 제공하고 있는 웹 애플리케이션 보안 평가 체크리스트를 사용하여 Bottom-Up 방식으로 웹 사이트에 대한 실제 침해 시도의 결과를 측정, 이를 보안수준 측정 및 개선에 활용할 수 있는 방안을 제시한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2003년도 동계학술대회
• /
• pp.686-690
• /
• 2003

웹 응용프로그램에 대한 위협이 점차 확산되면서 오늘날 많은 Web Application Firewall들이 등장하고 있다. 하지만, 대부분의 기관에서 웹 서버 자체의 변조는 기관의 미지 실추를 제외하면 업무상 큰 문제를 유발하지 않는다. 웹 서버에 대한 보안을 고려하는 이유는 웹 서버가 침입을 당할 경우 DB 서버의 내용에 손상이 가해질 수 있기 때문이다. 본 고에서는 Web Application Firewall과 연동하여 허용되는 SQL 질의패턴을 자동으로 생성하여 불법적인 SQL 질의를 차단하는 DB Application Firewall을 제안한다. 이를 통해 웹 응용프로그램의 취약점으로 인해 SQL 질의가 변조되더라도 DB 서버에 해당SQL질의가 전달되는 것을 차단할 수 있다.

• 한국전자거래학회:학술대회논문집
• /
• 한국전자거래학회 1999년도 학술대회지 vol.1
• /
• pp.185-191
• /
• 1999

최근의 정보통신 기술의 급격한 발달과 인터넷 사용의 폭발적인 증가, 기업의 인트라넷/익스트라넷의 도입으로 인터넷 환경에서의 비즈니스 응용 프로그램의 개발이 다양해지고 있다. 본 논문에서는 기업에서 조달 업무의 투명성과 신속성 및 인터넷을 통한 수요 기관 및 공급 업체간의 글로벌화를 이룰 수 있는 비즈니스 응용 프로그램으로 웹 환경에서의 전자 입찰 시스템의 설계 및 구현을 다룬다. 본 논문에서 설계 및 구현된 전자 입찰 시스템은 구매, 입찰 및 조달 프로세스로 구성되어 있으며 전자 입찰 시스템에서 입찰 가격이나 계약의 보안 및 인증을 위해 PKI 기반의 전자 서명 방식을 사용한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2000년도 제13회 춘계학술대회 및 임시총회 학술발표 논문집
• /
• pp.922-927
• /
• 2000

정보화 시대에 도달하면서 대량의 정보 홍수 속에서 교육은 LAN 및 인터넷 환경 보급으로 급속히 발전하고 있다 .그런데 교육 현장에서의 필요한 소프트웨어 개발은 매우 미흡하다. 그나마 많이 진척된 부분은 웹 환경 분야와 CAI 프로그램이라 볼 수 있다. 그러나 웹 환경은 실시간의 교육의 학습환경에 문제점을 가지고 있고, 보안성 측면에서 취약점을 가지고 있고 더욱 어려운 것은 시설준비에 막대한 시설투자가 이루어져야한다는 것이다. 그리고 CAI 프로그램은 상호 작용이 필요한 교육환경에서 단방향이 면서 정해진 틀에서만이 학습이 이루어지는 단조로움으로 다소 현장과는 멀어지는 결과를 가져오고 있다. 이러한 상황에서 실시간의 학습과 외부로부터의 보안성이 있고 상호작용성의 수업환경을 구축하는 프로그램이 제작이 필요하다. 본 연구에서는 Winsock의 네트워크 프로그램을 이용하여 클라이언트/서버 환경에서 다중 텍스트전송, 이미지전송, 동영상전송, 기타 응용문서 전송, 데이터 베이스 저장활용 및 학습평가 활용 등을 교사와 학생들간의 다중 실시간 상호작용성의 수업에 활용하는 지원도구를 구현하였다.

• 한국컴퓨터정보학회논문지
• /
• 제19권10호
• /
• pp.117-124
• /
• 2014

S/W 개발 보안이란 안전한 SW 개발을 위해 잠재적인 보안취약점을 제거하고, 보안을 고려하여 기능을 설계 구현하는 등 SW 개발 과정에서 일련의 보안활동을 말한다. 본 논문에서는 우리에게 정신적, 금전적으로 상당한 피해를 주는 국내외 해킹 사례를 살펴보도록 한다. 웹 사이트 공격의 약 75%가 응용프로그램 즉, S/W의 취약점을 악용한 것임을 상기시킨다. 그리고 이러한 취약점들을 많이 가지고 있는 S/W 개발 보안의 주요 이슈들을 알아보도록 한다. 그리고 보안관련 법 제도 및 규정을 공공부분과 민간부분으로 나누어 제시하도록 한다. 그리고 보안관련 법 제도 및 규정의 세부 내역들을 예를 들어 나타내 보도록 한다.

• 정보처리학회논문지A
• /
• 제18A권5호
• /
• pp.193-204
• /
• 2011

인터넷 상의 웹 응용 프로그램은 불특정 다수의 사용자가 접근할 수 있기 때문에 보안상의 위험이 가중된다. 특히, 응용 프로그램의 소스코드에 보안 취약성이 있을 경우에는 침입 탐지 시스템과 같은 시스템 수준의 방어가 어렵기 때문에 이를 미리 제거하는 것이 중요하다. 본 논문에서는 웹 응용 프로그램의 대표적인 소스 코드 취약성인 PHP 파일 삽입 취약성을 자동으로 검출할 수 있는 정적 분석기의 구현에 대해 다룬다. 본 연구에서는 의미 기반의 정적 분석을 사용하여 소스 코드의 취약성을 미리 자동으로 검출하고 수정하도록 함으로써, 기존의 침입 테스트 기법이나 응용 프로그램 방화벽 사용과 다르게 보안 취약성을 안전하게 제거하면서 추가적인 실행 시간 부하를 피하고자 하였다. 이를 위하여 의미 기반 분석 방법인 요약 해석 방법론을 적용했으며, PHP 삽입 취약성에 최적화된 요약 분석 공간을 설계하여 사용함으로써 PHP의 특성인 복잡한 문자열 기반 자료 흐름을 효과적으로 처리하면서 목적으로 하는 취약성을 효과적으로 검출할 수 있었다. 프로그램의 취약성 분석 결과는 Java GUI 도구를 통해 확인할 수 있으며, 분석된 취약성 지점에서의 메모리 상태 및 계산 정보도 같은 도구를 사용해 확인할 수 있다. 구현된 분석기의 취약성 검출의 정확성과 실행 속도를 검증하기 위하여 공개된 PHP 프로그램을 사용하여 성능 실험을 수행하였으며, 이를 통해 구현된 분석기의 실용성을 확인하였다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2014년도 제50차 하계학술대회논문집 22권2호
• /
• pp.81-82
• /
• 2014

국내외로 자주 발생하는 해킹 사례로 인하여 웹 사이트들이 중단되거나 상당한 금전적 피해를 보고 있다. 이러한 웹사이트 공격의 대부분이 응용프로그램(SW)의 취약점을 악용한 것이다. 본 논문에서는 이러한 S/W의 취약점을 이용한 S/W 개발 보안의 주요 이슈를 다루어 본다. 또한 보안 관련법 제도 및 규정 현행 정보 보호 관련 법령은 법률인 정보통신망 이용 촉진 및 정보보호 등에 관한 법률을 기본법으로 하여 분야 및 적용 대상에 따라 산발적인 개별 법규를 두어 각 분야별, 적용 대상별로 정보보호를 위한 규율을 실시하고 있다.

• 한국산학기술학회:학술대회논문집
• /
• 한국산학기술학회 2001년도 추계산학기술 심포지엄 및 학술대회 발표논문집
• /
• pp.236-239
• /
• 2001

전세계는 웹을 이용하여 모든 사람들과 통신이 가능한 시대이다. 많은 컴퓨터에 연결되어있는 수많은 자료를 플랫폼과 응용 프로그램에 종속되지 않고 사용할 수 있다면 우리들은 많은 자료를 효율적으로 어느 곳에서든지 활용할 수 있을 것이다. 또한 개발환경이 인터넷과 인트라넷의 급격한 증가로 인해 개발자들은 분산된 환경에서 작업을 수행하는 일이 많아지면서 기존의 HTML을 이용한 문서의 공유나 교환은 HTML의 제한점들로 인해 많은 부담이 된다. 본 논문에서는 공유되어진 XML데이터의 출력 인터페이스를 작성하여 효율적인 인터페이스를 제안하였으며, 분산환경에서의 정보 공유와 교환을 위해 HTML의 제한점들을 보안하도록 XML을 연구하였다.