• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2010년도 추계학술발표대회
• /
• pp.1177-1179
• /
• 2010

RFID는 태그가 부착된 사물의 정보를 무선통신을 통해 인식하는 기술로써 바코드를 대체하는 등 다양한 영역으로 응용 범위가 확대되고 있다. 따라서 각 응용에 필요한 보안 문제도 중요시 되고 있다. 본 논문에서는 지금까지 RFID시스템의 보안 취약성을 해결하기 위해 제안된 많은 인증 프로토콜들 중 한국정보통신기술협회에서 제정한 잠정표준인 "수동형 RFID 보안태그와 리더의 인증 및 데이터 보호 프로토콜"에 대하여 프라이버시 침해, 위치추적, 비동기화 공격 가능 및 전방향 안전성을 만족하지 못하는 등의 보안 취약점이 있음을 보이고, 이에 대한 분석을 하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2024년도 춘계학술발표대회
• /
• pp.262-264
• /
• 2024

본 연구에서는 안드로이드 부트로더의 취약점을 효과적으로 발견하기 위한 에뮬레이션 기반 퍼징 프레임워크를 제안한다. 부트로더는 높은 권한을 가지고 실행되기 때문에 취약점이 존재할 경우 심각한 보안 위협이 될 수 있다. 그러나 부트로더는 다양한 하드웨어와 상호작용하기 때문에 에뮬레이션 하기에 어려움이 많다. 이에 본 연구에서는 QEMU 에뮬레이터를 기반으로 부트로더의 주변 장치를 모델링하여 효율적인 퍼징을 수행하였다. 실험 결과, 에뮬레이션을 통해 실제 기기 대비 높은 퍼징 속도를 달성하였으며, 지속적으로 새로운 코드 영역을 발견할 수 있음을 확인하였다. 본 연구의 프레임워크는 향후 부트로더 취약점 분석 및 보안 검증에 활용될 수 있을 것으로 기대된다.

• 한국콘텐츠학회논문지
• /
• 제18권8호
• /
• pp.459-468
• /
• 2018

무기체계 관련 어플리케이션과 국방 관련 기관에서 활용하는 정보시스템이 사이버 공격을 받을 경우 국가의 안보가 위험해지는 결과를 초래한다. 이러한 위험을 줄이기 위해 개발 단계에서부터 시큐어 코딩을 적용하거나, 발견된 취약점들을 체계적으로 관리하기 위한 노력이 지속적으로 행해지고 있다. 또한 다양한 분석 도구를 이용하여 취약점을 분석, 탐지하고 개발 단계에서 취약점을 제거하거나, 개발된 어플리케이션에서 취약점을 제거하기 위해 노력하고 있다. 그러나 취약점 분석 도구들은 미탐지, 오탐지, 과탐지를 발생시켜 정확한 취약점 탐지를 어렵게 한다. 본 논문에서는 이러한 문제점 해결방안으로 분석 대상이 되는 어플리케이션의 위험도를 평가하고 이를 기반으로 안전한 어플리케이션을 개발 및 관리할 수 있는 취약점 탐지기법을 새롭게 제안하였다.

• 한국수자원학회:학술대회논문집
• /
• 한국수자원학회 2020년도 학술발표회
• /
• pp.390-390
• /
• 2020

자연재해 중 홍수의 경우 단기간에 발생하며, 큰 인명 및 금전적 피해를 가져오는 재해이다. 1970년~2017년 국내 홍수 피해 분석결과 사상자(총 8,152명)는 점차 줄어드는 추세를 보이지만, 반대로 피해액(총 17조5,000억원)은 증가하는 것으로 나타났다(wamis, 국가수자원관리종합정보시스템). 이러한 국내 홍수 피해를 최소화하기 위해서는 각 유역 또는 지역별 특성을 고려한 홍수 취약성 평가가 필요하다. 홍수 취약성은 대상 지역의 기상, 지형, 인문학적 상황에 따라 상이하게 나타나며, 홍수 취약성을 평가하는 인자의 선정 또한 매우 중요하다. 따라서 본 연구에서는 홍수 피해 자료와 홍수 인자간의 인과관계를 분석하여 홍수 취약성 지표 선정 및 취약성 평가를 실시하였다. 홍수 취약성 평가를 위해 홍수 피해 자료와 대상 인자간의 상관성 분석을 통해 상관계수 값이 상대적으로 높게 나온 인자를 선정하였다. 대상 인자는 크게 기상학적 인자, 지형학적 인자, 사회·인문학적 인자로 구분하였다 선정된 인자 간 서로 높은 상관성을 보일 시 공선성이 존재함을 의미하며, 이러한 공선성을 방지하기 위해 VIF (Variance Inflation Factor, 분산팽창계수)를 통한 공선성 검토를 적용하였다. 또한 각 인자 간 에는 서로 다른 단위 및 범위를 가진다. 이러한 경우 특정 인자들의 증감을 취약성 평가에 반영하기에 어려움이 있으며, 유역별 평가 시 신뢰성이 낮아진다. 따라서 Re-scaling 방법을 통해 각 인자의 단위 및 범위를 표준화 후 동일가중치 법을 적용하였다. 본 연구에서는 전체 유역 중 홍수피해가 가장 크게 발생하는 낙동강 태화강 유역을 연구 대상 지역으로 선정하였다. 태화강은 도심지의 중심부를 흐르는 하천이며, 산지의 고도가 높은 지형적 특성을 가지고 있어 홍수에 대한 취약성이 높은 것으로 나타났다(wamis, 국가수자원관리종합정보시스템). 태화강 유역 홍수 취약성 평가결과 유역별 기상, 지형, 인문학적 특성에 따라 홍수 취약성이 높게 나타나는 결과를 보였다. 이와 같은 결과는 유역 내 도심지 비율, 인구밀도, 토지피복 특성에 의한 것으로 주로 지형학적 인자로 인해 취약성이 높게 나타났다. 본 연구에서 활용한 홍수 취약성 평가 방법은 향후 홍수피해 대책 수립에 사용될 수 있을 것으로 판단된다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2002년도 종합학술발표회논문집
• /
• pp.237-241
• /
• 2002

Seo와 Sweeney가 패스워드 기반의 키 교환 프로토콜인 SAKA (Simple Authenticated Key Agreement)를 제안한 이래로 몇몇 변형 프로토콜들이 제안되었다. 그러나 그 프로토콜들은 중간 침입자 공격 또는 패스워드 추측 공격에 취약하거나 완전한 전방향 보안성을 제공하지 못한다. 본 논문에서는 중간 침입자 공격과 패스워드 추측공격에 대하여 안전하며 완전한 전방향 보안성을 제공할 수 있는 새로운 키 교환 프로토콜을 제안한다. 여러 가지 알려진 공격에 강한 프로토콜을 제안하기 위해서 먼저 SAKA 변형 프로토콜들에 대한 기존에 분석되지 못한 추가적인 취약점들을 분석한다. 그리고 기존에 알려진 취약점 및 본 논문에서 분석한 추가적인 취약점에 강한 새로운 패스워드 기반 키 교환 프로토콜을 제안한다.

• 정보보호학회지
• /
• 제22권8호
• /
• pp.31-35
• /
• 2012

안전결제 시스템(ISP)의 사고 건수는 2007년 5천만원부터 2010년 1억7천만원, 최근인 2012년 1억 8천만원으로 증가하고 있다. 안전결제 시스템은 국내 최초의 PKI기반 전자서명방식을 적용한 신용카드 인터넷 결제서비스 이다. 안전결제 시스템에 대한 해킹사고가 국민에게 직접적인 금전 피해를 야기 시켜서 사고에 대한 취약점 분석 및 대응 지침에 관한 연구가 필요하다. 본 논문에서는 안전결제 시스템에 대해 정의하고 원리를 파악하여 취약점을 기술하고 분석하여 취약점에 따른 대응 지침을 연구한다. 아울러 국가와 국민의 사이버 안전을 보호하고, 국민들에게 보다 안전하고 편리하게 온라인 결제를 할 수 있도록 하는 연구가 될 것이며 미흡한 온라인 보안 강화를 위한 전자상거래법 개정안이 채택되는데 도움이 될 것이다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2006년도 하계학술대회
• /
• pp.795-798
• /
• 2006

최근 소프트웨어의 복잡도가 증가되어감에 따라 소프트웨어 취약점 검출에 대한 정형화된 방법과 자동화된 도구가 필요하게 되었다. 본 논문에서는 기존의 소프트웨어 테스트에서 고려되지 않았던 보안을 고려한 테스트라는 측면에서 자동화된 도구를 이용하여 소스가 없고 바이너리 코드만 있는 경우 결함 주입 기법을 통해 취약점 분석 방법을 보여주며, 윈도우즈 환경에서 사용되는 응용프로그램에 대한 상호 비교를 통해 향후 발생할 취약점에 대한 예방과 회피에 활용 될 사례를 보여주고 있다.

• 한국정보통신학회논문지
• /
• 제15권6호
• /
• pp.1307-1312
• /
• 2011

RFID 는 유비쿼터스 환경하에서 필수불가결한 기술이 되도 있다. 그러나 RFID 의 본질적인 단점으로 인하여 프라이버시와 같은 보안적인 취약점을 기자고 있다. 따라서 본 논문에서는 이러한 태그에서의 취약점과 프로토콜의 위협 요소를 살펴보고, 이를 위한 실제적인 기술적인 요소에 대해서 상세히 분석하였다. 특히 현재 표준안으로 사용되고 있는 EPCglobal RFID Gen2에 적용하기 위한 보안성 향상을 위한 기술적인 방법에 대해서 분석하였다.

• 정보보호학회지
• /
• 제30권5호
• /
• pp.35-44
• /
• 2020

정보화 시대의 도래와 함께 원자력발전소 등 사회 간접자본의 중요 시설에서 운영되는 각종 장치들 역시 디지털화되면서 기존에 존재하지 않았던 사이버 공격에 대한 위협이 현실화되고 있다. 이러한 중요 사회 간접자본 등의 운영에 위협을 가하는 행위는 사회적으로 경제적으로 매우 큰 재난을 발생시킬 수 있기 때문에 공격 발생 이전에 사전 방어 체계를 구축해야 하는데, 이때, 실질적으로 위협이 되는 취약점의 존재 여부를 사전 인지하는 것이 매우 중요하다. 이를 위하여 본 논문에서는 원자력발전소의 계측제어계통에서 운영되는 국산화된 디지털 장치에 대하여 관련 취약점을 확인하고 확인된 취약점의 실질적인 위험도를 장치의 운영환경 특징을 반영하여 도출하며, 주요 기기의 운영 규제지침의 준수 여부를 점검하는 도구의 개발 결과를 소개한다. 본 논문은 원자력발전소 상에서 운영되는 시스템을 주요 대상으로 작성되었다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (중)
• /
• pp.819-822
• /
• 2003

액티브 네트워크는 중간 노드에 "처리" 능력을 부여함으로써 새로운 서비스의 빠른 전개가 가능하도록 하고 네트워크 기반 구조에 유연성을 부여할 수 있는 새로운 접근 방법이다. 중간 노드에서 프로그램의 실행은 장점도 있지만 성능과 보안에 있어서 단점을 수반하고 있으며 이에 대한 연구가 활발히 진행되고 있다. 액티브 네트워크 보안은 액티브 네트워크 구성요소 즉, 노드운영체제, 실행환경 등의 보안과 공격의 탐지 및 대응 그리고 기반 구조의 보안에 대한 연구는 활발히 진행되고 있지만 존재하는 취약성에 대한 연구는 전무한 상태이다. 본 논문은 액티브 네트워크에 암시적으로 존재할 수 있는 취약성을 기존의 취약성과 연관지어 분석한다.