• Annual Conference of KIPS
• /
• 2019.10a
• /
• pp.394-396
• /
• 2019

기존의 컴퓨터 잠금에서는 비밀번호만 알게 되면 누구나 쉽게 컴퓨터를 사용할 수 있다는 보안 취약점이 있었다. 본 연구는 이를 보완하기 위해 OTP(One Time Password)를 이용한 컴퓨터 이중 잠금을 구현하였다. 어플리케이션과 클라이언트, 서버를 각각 개발한 후 서버와 어플리케이션 간 30초마다 생성되는 OTP의 생성 알고리즘을 연동시켜 놓았다. 클라이언트에서 잠금 화면이 출력되면 설정되어있던 비밀번호를 치고, 이후 OTP 입력창이 출력되면 OTP 어플리케이션을 확인하여 OTP 코드를 입력한다. 이러한 이중 잠금 방식은 해킹의 위험을 막을 수 있으며 안전성을 보장받을 수 있다.

• Proceedings of the KAIS Fall Conference
• /
• 2000.10a
• /
• pp.302-306
• /
• 2000

우리는 하루에도 수많은 웹사이트를 돌아다니며 다양한 정보를 얻고 있다. 자신의 정보가 항상 노출될 수 있다고 불안감은 떨쳐 버릴 수 없다. 인터넷이 급속도로 확산되면서 개인정보가 쉽게 유출되고 이로 인한 피해가 속출하고 있다. 애플릿과 액티브X같은 클라이언트(Client)에서 실행되는 프로그램이 역컴파일(Decompile)되면서 소스가 누출되고 나아가 서버측도 위험하게 되었다. 본 논문은 자바 애플릿을 이용한 서버측 해킹사례와 이를 막을 수 있는 든든한 방어책을 제시하였다. 그리고 개인의 소중한 정보를 스스로 지진 수 있는 보안 대책 및 프로그래밍에 대하여 연구하였다.

• Review of KIISC
• /
• v.27 no.4
• /
• pp.22-26
• /
• 2017

온라인 게임은 가장 성공적인 인터넷 서비스 중 하나로서 빠른 속도로 성장해 왔다. 그러나 게임을 대상으로 하는 다양한 공격들이 있었고 그로 인해 많은 정상 사용자들 및 게임서비스 회사에 피해가 발생함에 따라, 온라인 게임 서비스를 보호하기 위한 다양한 기법들이 연구되어 왔다. 실제로 대규모 이용자들이 접속하는 PC 게임들의 경우, 게임 클라이언트단, 네트워크 단, 서버 단 각 구간별로 다양한 보안 기법들이 개발되어 적용되어 왔다. 이 중, 게임 클라이언트는 사용자 및 해커 쪽에서 손쉽게 접근이 가능하기 때문에 공격에 쉽게 노출되어 있어 신뢰하기 어려운 구간이었다. 더불어, 게임 클라이언트 단에 강력한 보안을 적용할 경우 성능저하가 발생하기 때문에 상용 게임보안 솔루션에 의해 프로세스 및 메모리 보호를 받는 등 역공학 방지 기법 및 난독화 기법 정도만을 최소한으로 적용하고, 그 외에는 대부분의 탐지 및 차단 기법들을 네트워크 단 및 서버 단에 적용하는 것이 일반화 되어 있다. 하지만, 최근 하드웨어의 지원을 받아 클라이언트 단의 성능저하를 최소화 하면서도, 게임 클라이언트를 TEE (Trusted Execution Environment)에서 안전하게 실행할 수 있는 기술들이 등장하면서, 게임 클라이언트 단의 보안기술이 다시 주목받고 있다. 본 논문에서는 메모리 변조 공격 및 게임프로세스에 인젝션 공격을 하는 게임해킹 기법들에 대응하기 위하여 Intel에서 발표한 새로운 하드웨어 보안 기술인 Intel SGX(Software Guard Extensions)를 적용하는 방안에 대해 소개한다. Intel SGX를 적용하여 게임프로그램의 프로세스를 보호할 경우 코드와 데이터의 무결성 및 기밀성을 보장하며 실행시킬 수 있기 때문에, 온라인게임보안 발전에 상당히 기여할 수 있을 것으로 기대된다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.04b
• /
• pp.703-705
• /
• 2002

최근 컴퓨터 해킹이 커다란 사회적 문제로 대두되고 있다. 물론 시스템 보호를 위한 많은 상용 제품들이 존재하지만, 침입피해 상황에서는 대부분의 경우, 시스템 관리자의 현장 경험에 의존하는 실정이다. 따라서 시스템 관리자는 기존의 침입에 관한 해결방법 뿐만 아니라, 새로운 위협들에 대한 대처방안을 항상 준비 하여야 한다. 이러한 침입상황을 시스템 관리자들에게 교육하기 위하여, 본 논문에서는 모의 훈련환경을 설계하고 구현하였다. 본 시스템의 특징은 우선, 지식베이스로부터 동적으로 생성되는 학습 주제들로 이루어진 교과 과정을 학습자에게 제시한다. 학습자에 의해 선택된 학습 주제는 학습목표로 간주되고, 이 주제는 교수 계획에 의해 다수의 임무(mission)들을 생성한다. 학습자는 각 임무에서 주어진 상황을 가상의 UNIX명령어들을 직접 사용하여 모의 실험해 봄으로써 임무 완수에 필요한 지식을 숙지할 수 있게 된다. 시스템은 임무 완수에 요구되는 해 경로(solution paths)를 유지함으로써, 학습자의 문제 해결 과정을 감독할 수 있고, 도움을 요구하거나 실수를 할 때 적절한 힌트를 제공한다. 시스템은 웹 기반의 클라이언트/서버 구조로 설계되어, 학습자는 브라우저만으로도 학습이 가능하고, 자바 애플릿으로 이루어진 가상 운영체제 하에서 직접 침입대처 상황을 학습 할 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06d
• /
• pp.268-270
• /
• 2012

IAP (In App Purchase) 컨텐츠는 스마트 기기의 앱 내부에서 진행되는 컨텐츠 구매로 최근 앱 스토어의 주요 수입원으로 떠오르고 있다. 많은 앱 개발사들이 사용자들이 쉽게 앱을 접할 수 있도록 앱 자체는 무료로 판매하고 주요한 기능이나 추가적인 기능을 IAP를 통해서만 구입하여 사용할 수 있도록 유도하고 있다. 이런 방식을 통해 사용자가 불법으로 앱을 다운로드 하더라도 추가적인 기능이나 컨텐츠를 이용하기 위해서는 IAP를 사용하여 대가를 지불하도록 유도하는 것이다. 그러나 앱 자체가 클라이언트 기능만을 수행하는 경우는 문제가 없지만 full-time으로 서버와 동기화를 해가며 동작하는 방식이 아닌 앱의 경우 IAP를 불법적으로 해킹하여 취득하는 것이 가능하다. 본 논문에서는 이러한 불법적인 IAP 컨텐츠 획득을 방지하기 위하여 full-time으로 서버와 동기화를 하지 않으면서도 IAP 컨텐츠를 보호하기 위한 메커니즘을 제안한다.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.4 no.1
• /
• pp.261-266
• /
• 2000

The password is the first step for computer security. If security of password is unimportant even constructing of fire-wall, it is useless. But end-user is not able to manage a high-difficulty password. So complement for password management is needed. In this paper, algorithm which produces one time password by using random number in client is used. Not oかy this is easy for end-user to manage password, but also this can eliminate insecurity for server hacking.

• Annual Conference of KIPS
• /
• 2004.05a
• /
• pp.1125-1128
• /
• 2004

사용자 고유번호와 패스워드 기반의 사용자 인증 매커니즘을 수행하는 네트워크 시스템 환경에서는 스니퍼 프로그램 등을 이용하여 불법 도청함으로써 쉽게 사용자의 패스워드를 알아낼 수 있다. 이러한 불법적인 도청에 의한 패스워드 노출 문제를 해결하는 방법으로 일회용 패스워드, Challenge-Response 인증 방식이 유용하게 사용되며, 클라이언트/서버 환경에서는 별도 동기가 필요 없는 시간을 이용한 일회용 패스워드 방식이 특히 유용하게 사용될 수 있다. 안전성은 Square root problem에 기초를 두고 있고, 프리 플레이 공격, 오프라인 사전적 공격 그리고 서버 등을 포함하여 지금까지 잘 알려진 공격(해킹)들에 대해서 안전성을 높이기 위한 OPI을 제안하고자한다. OPI는 패스워드를 생성하는데 특별한 키를 생성할 필요가 없다는 것이다. OPI는 승인된 자를 확인하는데 걸리는 시간이 적게 소요되며, 특출하다.

• Journal of the Institute of Electronics and Information Engineers
• /
• v.51 no.11
• /
• pp.127-133
• /
• 2014

In order to protect information asset from various malicious code, Honeypot system is implemented. Honeypot system is designed to elicit attacks so that internal system is not attacked or it is designed to collect malicious code information. However, existing honeypot system is designed for the purpose of collecting information, so it is designed to induce inflows of attackers positively by establishing disguised server or disguised client server and by providing disguised contents. In case of establishing disguised server, it should reinstall hardware in a cycle of one year because of frequent disk input and output. In case of establishing disguised client server, it has operating problem such as procuring professional labor force because it has a limit to automize the analysis of acquired information. To solve and supplement operating problem and previous problem of honeypot's hardware, this thesis suggested hybrid honeypot. Suggested hybrid honeypot has honeywall, analyzed server and combined console and it processes by categorizing attacking types into two types. It is designed that disguise (inducement) and false response (emulation) are connected to common switch area to operate high level interaction server, which is type 1 and low level interaction server, which is type 2. This hybrid honeypot operates low level honeypot and high level honeypot. Analysis server converts hacking types into hash value and separates it into correlation analysis algorithm and sends it to honeywall. Integrated monitoring console implements continuous monitoring, so it is expected that not only analyzing information about recent hacking method and attacking tool but also it provides effects of anticipative security response.

• Journal of the Korea Computer Industry Society
• /
• v.5 no.1
• /
• pp.29-38
• /
• 2004

It was fast and easily used limitless information as a development of information technology, but it was increased side effects. There are hacking or cracking, personal information leakage in these side effects. A computer virus is stated in a serious problem recently. The best solution about a computer virus is an anti-virus. An anti-virus downloads and is updated virus signature in server after it was installed in a client computer. Products interworking with server are released recently. However, if signature isn't aptly updated, anti-virus program doesn't normally operate these anti-virus systems, and remote management is impossible. Therefore, in this paper, an active server-based anti-virus system which is installed in server and was able to be managed remotely was designed and implemented in order to solve these problems.

• Journal of Korea Game Society
• /
• v.16 no.1
• /
• pp.83-92
• /
• 2016

An online game is a huge distributed system comprised of servers and untrusted clients. In such circumstances, cheaters may employ abnormal behaviors through client modification or network packet tampering. Client-side detection methods have the merit of distributing the burden to clients but can easily be breached. In the other hand, server-side detection methods are trustworthy but consume tremendous amount of resources. Therefore, this paper proposes a security reinforcement method which involves both the client and the server. This method is expected to provide meaningful security fortification while minimizing server-side stress.