• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.15 no.3
• /
• pp.91-101
• /
• 2005

Although the studies on the analysis and classification of source-level vulnerabilities in operating systems are not direct and positive solutions to the exploits with which the host systems are attacked, It is important in that those studies can give elementary technologies in the development of security mechanisms. But, whereas Linux systems are widely used in Internet and intra-net environments recently, the information on the basic and fundamental vulnerabilities inherent in Linux systems has not been studied enough. In this paper, we propose characteristic classification and correlational analyses on the source-level vulnerabilities in Linux kernel that are opened to the public and listed in the SecurityFocus site for 6 years from 1999 to 2004. This study may contribute to expect the types of attacks, analyze the characteristics of the attacks abusing vulnerabilities, and verify the modules of the kernel that have critical vulnerabilities.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.11a
• /
• pp.1057-1059
• /
• 2012

스마트폰이 대중화되면서 안드로이드 애플리케이션의 보안문제가 대두되고 있다. PC환경의 소프트웨어는 개발단계에서부터 시큐어코딩을 통해 안전성을 확보하고 있으나 안드로이드 애플리케이션의 경우는 연구가 더 필요한 상황이다. 본 논문에서는 CWE(Common Weakness Enumeration)의 취약점 분류 체계와 CAPEC(Common Attack Pattern Enumeration and Classification)의 공격 패턴 분류 체계와 CERT(Computer Emergency Response Team)의 취약점 발생 예방을 위한 정책들을 통해 안드로이드 애플리케이션의 최신화된 취약점 목록을 도출하고 카테고리별로 분류하여 취약점을 효율적으로 분석하는 기법을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.10b
• /
• pp.947-950
• /
• 2001

프로그램들은 밝혀지거나 잠재적인 취약점을 가지고 있으며, 취약점 데이터베이스는 취약점에서 얻어진 정보를 분류하여 저장하고 있다. 그러나 취약점 데이터베이스의 정보만으로는 취약점을 이용하기 위한 난이도에 대한 평가를 한 수가 없다. 본 논문에서는 취약점의 여러 속성의 조합을 통한 이용 난이도에 따른 취약점의 평가 방법을 제시한다. 이용 난이도가 높을수록 그 취약점을 이용한 공격이 어려울 것이며, 이에 따라 공격자의 수준을 나눌 수 있다.

• Review of KIISC
• /
• v.28 no.2
• /
• pp.33-42
• /
• 2018

머신러닝 및 인공지능 기술의 발전은 다양한 분야 활용되고 있고, 이는 보안 분야에서도 마찬가지로 로그 분석이나, 악성코드 탐지, 취약점 탐색 및 대응 등 다양한 분야에서 자동화를 위한 연구가 진행되고 있다. 특히 취약점 탐색 및 대응 분야의 경우 2016년 데프콘에서 진행된 CGC를 필두로 바이너리나 소스코드 내의 취약점을 정확하게 탐색하고 패치하기 위해 다양한 연구가 시도되고 있다. 이에 본 논문에서는 취약점을 탐색 및 대응하기 위해 각 연구 별 탐색 기술과 대응 기술을 분류 및 분석한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06a
• /
• pp.80-82
• /
• 2012

다양한 정보보호 제품이 개발됨에 따라, 정보보호 제품 보증을 위해 자체의 보안성 평가 및 인증이 중요시되고 있다. 정보보호 제품의 평가 및 인증을 위해서는 보안기능 검사와 취약점 분석 단계가 매우 중요하지만 이를 위한 정보보호 제품의 보안기능 시험과 취약성 분석을 위한 테스팅 절차에 대한 연구는 그 중요성에 비해 많이 수행되지 않았다. 현재까지는 보안제품을 기능별로 제품을 분류하여 보안성을 평가하였는데, 본 논문에서는 보안 제품들에서 공격에 취약한 SW 모듈 중심으로 테스팅 대상을 분류하는 방법을 제안한다. 분류된 SW 모듈별로 적합한 보안 테스팅 기법을 정의하고, 보안제품의 취약점을 효과적으로 탐지하기 위해 공개되어 있는 관련 취약점도 분석하였다. 이를 통해 정보보호 제품의 취약점 분석 및 제품 보안성 평가를 위한 SW 모듈별 보안 테스팅 절차를 수립하고, 테스트하였다. 실험을 통해 취약한 SW 모듈별 적절한 공격 기법 선정 시 제안 절차가 정보보호 제품 평가 인증에 활용될 수 있음을 확인하였다.

• Journal of Internet Computing and Services
• /
• v.9 no.6
• /
• pp.49-62
• /
• 2008

AV (Atomic Vulnerability) is a conceptual definition representing a vulnerability in a systematic way, AVs are defined with respect to its type, location, and result. It is important information for meaning based vulnerability analysis method. Therefore the existing vulnerability can be expressed using multiple AVs, CVE (common vulnerability exposures) which is the most well-known vulnerability information describes the vulnerability exploiting mechanism using natural language. Therefore, for the AV-based analysis, it is necessary to search specific keyword from CVE's description and classify it using keyword and determination method. This paper introduces software design and implementation result, which can be used for atomic vulnerability analysis. The contribution of this work is in design and implementation of software which converts informal vulnerability description into formal AV based vulnerability definition.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2015.01a
• /
• pp.81-82
• /
• 2015

본 논문에서는 시스템의 어플리케이션 및 IT 인프라에 대한 모든 중요한 기술적 취약점 관리는 식별되어야한다는 것을 제시한다. 특히 개발 단계에서 실행 가능한 취약점 관리 방안이 도출되어야 한다. 그리고 취약점의 식별 및 분류에서 식별 및 인증, 암호화, 접근제어의 영역에서 정의되지 않은 취약점들은 기술적, 관리적, 운영적 관점에서 해당 영역(어플리케이션, IT 인프라) 별로 누락 없이 정의하도록 한다.

• Journal of the Korea Society of Computer and Information
• /
• v.20 no.3
• /
• pp.75-80
• /
• 2015

Vulnerability management is in compliance with security policies, and then, this is to ensure the continuity and availability of the business. In this paper, the application vulnerability management and IT infrastructure of the system is that it must be identified. And a viable vulnerability management plan should be drawn from the development phase. There are many that are not defined vulnerability in the area of identification and authentication, encryption, access control in identification and classification of vulnerabilities. They define the area without missing much in technical, managerial, and operational point of view. Determining whether the response of the identified vulnerability, and to select a countermeasure for eliminating the vulnerability.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.22 no.3
• /
• pp.601-613
• /
• 2012

It is required to design and implement secure web applications to provide safe web services. For this reason, there are several scoring frameworks to measure vulnerabilities in web applications. However, these frameworks do not classify according to seriousness of vulnerability because these frameworks simply accumulate score of individual factors in a vulnerability. We rate and score vulnerabilities according to probability of privilege acquisition so that we can prioritize vulnerabilities found in web applications. Also, our proposed framework provides a method to score all web applications provided by an organization so that which web applications is the worst secure and should be treated first. Our scoring framework is applied to the data which lists vulnerabilities in web applications found by a web scanner based on crawling, and we show the importance of categorizing vulnerabilities according to privilege acquisition.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2024.05a
• /
• pp.241-242
• /
• 2024

컨테이너 오케스트레이션 도구로 쿠버네티스가 가장 많이 사용되고 있으며, 관련 취약점 연구는 DevSecOps 관점에서 4C layer로 분류된 클라우드 보안 계층 중, 클러스터 및 코드 계층에 초점이 맞춰져 왔다. 반면에 클러스터 계층에도 네트워크 정책, 인증 제어, 권한 설정 및 매개변수 설정에 관한 취약점이 존재한다. 이에 본 논문은 취약점을 분석하여 OWASP 10과 접목하여 분류한 뒤 예방법을 제시함으로써 앞으로의 안전한 클러스터 계층 구축에 기여하고자 한다.