• Proceedings of the Korean Society of Computer Information Conference
• /
• 2016.01a
• /
• pp.101-102
• /
• 2016

사물인터넷(Internet of Things)의 도래와 함께, 무선공유기(wireless access point)들의 보안이 심각한 문제로 대두되고 있다. 연구진은 대부분의 무선공유기들이 제공하는 웹 기반 관리 인터페이스들에 웹 어플리케이션 취약점(web application vulnerability)들이 존재할 수 있다는 점을 착안, 국내 주요 무선공유기들에 대한 웹 어플리케이션 취약점 점검을 수행하였으며, 악용이 가능한 여러 취약점들이 존재함을 확인하였다. 본 논문에서는 연구진이 무선공유기 대상 웹 어플리케이션 취약점 점검에 보조적으로 사용하기 위하여 개발한 3종의 모바일 앱(mobile app)들을 설명한다.

• Review of KIISC
• /
• v.24 no.1
• /
• pp.45-52
• /
• 2014

서비스 거부 공격 (Denial of Service Attack)은 현재 사이버테러와 맞물려 중요한 이슈로 자리 잡고 있다. 응용계층에서부터 네트워크계층에 이르기까지 다양한 프로토콜들의 취약점을 이용하는 DoS 공격은 공격대상을 서비스 불가능 상태에 빠뜨려 작게는 서버다운에서 크게는 국가적인 보안위험을 야기 시키고 있다. 본 논문은 TCP/IP 기반 네트워크에서 DoS 공격에 대하여 취약점이 있는 응용계층, 전송계층, 및 네트워크 계층 프로토콜들의 보안 취약점을 분석한다. 또한 다양한 프로토콜 취약점들을 활용한 기존 서비스 거부 공격 사례를 분석함으로써 궁극적으로는 DoS 공격을 예측하고 공격 발생 시 신속한 대응책을 마련에 활용될 수 있는 정보를 제공하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2004.05a
• /
• pp.1027-1030
• /
• 2004

본 논문에서는 기계어 프로그램만 주어진 환경에서 디버깅 및 역공학 도구를 사용하여 소프트웨어 보안취약성을 분석하는 방법에 대한 연구를 수행하였다. 즉, MS사의 윈도우즈 2000 서버 운영체제 상에서 아파치(Apache) 웹서버를 대상으로, URL 공격에 대한 한 취약성을 재연하고, 취약점이 있는 코드 부분을 추출하였다. 이는 기계어 프로그램을 실행하면서 보안 취약성 분석 절차를 이해하고 보안 결함을 발견해 내는 기반 자료로 활용될 수 있을 것이다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.11a
• /
• pp.879-881
• /
• 2013

SCADA 시스템과 같은 제어 시스템의 일반 네트워크와의 연결은 시스템의 제어 및 관리에 효율성을 높여주었으나 일반 네트워크를 사용하기 때문에 고전적인 네트워크의 취약성에 노출되어 취약성을 이용한 사이버 공격이 가능하게 되었다. 따라서 기존 네트워크 환경과는 다른 제어 시스템의 환경과 보안을 고려한 프로토콜이 개발 되었거나 개발 중에 있으며 보안은 이 프로토콜들과 밀접한 관계를 가지게 되었다. 본 논문에서는 제어시스템 프로토콜 중 IEC 61850에서 정의된 GOOSE프로토콜을 대상으로 GOOSE프로토콜의 취약점 분석 및 취약점을 이용한 공격과 이러한 공격을 탐지하기 위한 방법을 제시한다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2020.07a
• /
• pp.543-544
• /
• 2020

최근 급증하는 클라우드 도입 정책에 비해 클라우드 취약점 진단 및 관리 기술은 상대적으로 미비하여 오픈소스로 사용되고 있는 클라우드 기술의 신규 취약점이 발생하고 있다. 본 논문에서는 Apache Spark를 활용한 쿠버네티스 클라우드 취악점 진단 시스템을 제안한다. 제안하는 시스템은 Apache Spark를 활용하여 쿠버네티스 클라우드를 구성할 때 작성되는 Object Spec의 데이터 중 취약점을 유발하는 값을 진단 및 분석, 대응이 가능하도록 설계하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.11a
• /
• pp.1247-1249
• /
• 2023

스마트 컨트랙트는 블록체인 상에서 실행되는 프로그램으로 복잡한 비즈니스 논리를 처리할 수 있다. 그러나 블록체인의 무결성과 조건에 따라 실행되는 특성을 이용한 악의적 사용으로 인하여 블록체인 보안에서 시급한 문제가 되고있다. 따라서 스마트 컨트랙트 취약성 탐지문제는 최근 많은 연구가 이루어지고 있다. 그러나 기존 연구의 대부분이 단일 유형의 취약성 여부에 대한 탐지에만 초점이 맞춰져 있어 여러 유형의 취약성에 대한 동시 식별이 어렵다. 이 문제를 해결하고자 본 연구에서는 스마트 컨트랙트 소스코드 제어 흐름 그래프를 기반으로 그래프의 forward edge와 backward edge를 고려한 신경망으로 그래프 구조를 학습한 후 그래프 multi-label classification을 진행하여 다중 취약성을 탐지할 수 있는 모델을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.469-471
• /
• 2004

오늘날, 가용성과 중단 없는 서비스 제공에 대한 관심 고조, 개방화되는 시스템, 중앙 집중적 단일화된 관리와 통제 적용의 어려움으로 시스템이 주어진 임무를 수행해 나갈 수 있는 능력인 생존성이 요구되고 있다. 정보통신기반의 생존성을 평가하기 위해서는 평가 방법론을 정의해야하고 이를 뒷받침해주는 기술적인 연구가 수행되어야한다. 특히, 복잡 다양한 시스템들로 구성된 현재의 정보통신기반 네트워크의 특성과 실제 공격을 통해 테스트하기 어려운 현실을 감안하여, 시뮬레이션 기법을 사용한 생존성 평가기술이 연구되고 있다. 보안 시뮬레이션은 공격자, 네트워크 모델, 성능평가 모델, 원인.결과 모델들로 이루어져 있으며 이 중 원인.결과 모델이란 모델들 자체의 동적 정보이며 모델들간을 이어주는 관계 데이터이다. 본 논문에서는 원인-결과 모델링을 위해 단위 취약점(Atomic Vulnerability)을 이용한 취약점 분석 방법을 제안하고 이를 토대로 한 시뮬레이션용 취약성 데이터베이스인 VDBFS의 구축과정과 결과를 소개한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.11a
• /
• pp.869-872
• /
• 2012

전 세계적으로 스마트폰의 대중화와 보급률이 증가함에 따라 모바일 악성코드 확산으로 인한 피해가 늘어나고 있다. 많은 플랫폼들 중 최근 사용량이 증가하고 있는 안드로이드 마켓에는 악성코드 검증 절차가 없기 때문에 악성코드 배포에 용이한 환경을 가지고 있다. 또한 개발자가 생성한 자가 서명 인증서를 사용하기 때문에 개발자의 신원을 확인하기 어렵고, 유통 중에 발생할 수 있는 어플리케이션의 변조 유무를 확인하기 어렵다는 등의 취약점이 존재한다. 이러한 취약점들을 고려한 이중 코드서명 기법이 제안되었으나 기존 환경을 유지하려는 제약사항 때문에 취약점들을 보완하는 것에 한계가 있었다. 본 연구에는 안드로이드가 기반하고 있는 자바 코드서명 방식을 개선함으로써 기존연구가 해결하지 못한 취약점을 해결하였다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2023.07a
• /
• pp.215-216
• /
• 2023

군사 목적으로 사용되던 드론이 일반 사용자를 위한 범용 드론으로 활용 분야가 확장됨에 따라, 국방 및 운송, 물류, 농업과 같은 다양한 분야에서 활용되는 실정이며, 이와 관련된 산업의 발전에 기여하고 있다. 그러나 급격한 발전으로 인하여, 드론의 안전성은 고려하지 못한 한계점이 존재하였고, 이는 드론에서의 다양한 보안위협으로 나타났다. 본 논문에서는 4차 산업 혁명 시대의 핵심 기술인 드론의 안전성을 향상시키기 위한 목적으로, 드론의 신규 취약점을 발굴하고 실증하였다. 실험을 위하여, 최근 출시된 G 제품을 대상으로, 드론에서 발생 가능한 다양한 취약점 중 하나인 GPS 스푸핑 공격을 시도하였으며, 실험 결과, GPS 좌표를 변조함으로써, 비행이 가능한 구역에서 비행 금지 구역으로 인식하도록 좌표를 조작하였으며, 비행 금지 구역으로 인식한 드론은 준비된 동작에 따라, 강제로 착륙시키거나 다른 장소로 이동시키는 것이 가능하다. 본 논문의 결과는 드론의 안전성을 향상시키기 위한 참고 자료로 활용될 것으로 사료된다.

• Journal of the Korea Society of Computer and Information
• /
• v.20 no.3
• /
• pp.75-80
• /
• 2015

Vulnerability management is in compliance with security policies, and then, this is to ensure the continuity and availability of the business. In this paper, the application vulnerability management and IT infrastructure of the system is that it must be identified. And a viable vulnerability management plan should be drawn from the development phase. There are many that are not defined vulnerability in the area of identification and authentication, encryption, access control in identification and classification of vulnerabilities. They define the area without missing much in technical, managerial, and operational point of view. Determining whether the response of the identified vulnerability, and to select a countermeasure for eliminating the vulnerability.