• 정보보호학회지
• /
• 제13권5호
• /
• pp.16-23
• /
• 2003

최근 정보통신망을 이용한 해킹사고가 급격하게 증가하고 있으며, 그 피해의 파급효과가 매우 커지고 있다. 따라서, 해킹사고로부터 네트워크와 시스템 등의 자산을 보호하는 것이 더욱 중요해지고 있다. 크래커들은 네트워크와 시스템에 존재하는 취약점을 찾아내고, 그 취약점을 이용하여 네트워크 및 시스템에 침투하여 악의적인 행동을 한다. 정보통신망에 대한 취약점 분석$.$평가에서는 네트워크 및 시스템에 존재하는 기술적, 관리적, 물리적 취약점을 분석하고, 각각의 취약점을 이용한 침투의 가능여부와 피해 파급효과에 대한 위험도 평가를 수행한다. 취약점 분석$.$평가를 수행함으로써 대상 기관에 적합한 보안대책을 수립 및 적용하여 해킹사고를 사전에 예방하고, 사고 발생시 적절히 대응할 수 있도록 한다. 본 논문에서는 정보통신망 취약점 분석$.$평가 방법론을 제시하고자 한다.

• 융합정보논문지
• /
• 제9권8호
• /
• pp.35-44
• /
• 2019

본 연구는 즉시 패치가 어려운 상용 운영체제 기반의 계측제어시스템의 취약점 평가 방안 및 시간의 경과에 따른 위험의 크기를 정량적으로 파악하는 것이다. 연구 대상은 상용 OS가 탑재된 계측제어시스템의 취약점 발견과 영향의 크기이다. 연구에서는 즉각 취약점 조치가 힘든 디지털 계측제어시스템의 취약점 분석 및 조치방법을 연구함으로써, 계측제어시스템이 존재하는 핵심기반시설의 전체적인 사이버보안 위험과 취약점을 정량적으로 파악하는 것이다. 본 연구에서 제안한 확률론적 취약점 평가 방안은 즉각적인 취약점 패치가 어려운 상용 운영체제 기반의 계측제어시스템에서 취약점 패치 우선 순위 및 패치가 불 가능시 수용 가능한 취약점의 임계값 설정, 공격 경로에 대한 파악을 가능하게 하는 모델링 방안을 제시한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2018년도 춘계학술발표대회
• /
• pp.126-128
• /
• 2018

웹 해킹 사고 건수와 피해규모가 매년 증가하고 있다. 해킹사고의 대부분이 웹을 통해 발생하고 있으며 웹 취약점 점검을 통해 사전에 예방할 수 있지만 인력과 예산 부족으로 주기적인 점검이 어려운 것이 현실이다. 본 연구에서는 효율적인 웹 점검을 위해 공격가능성을 바탕으로 점검 항목의 위험도를 분석하고 향후 지속되어야 할 연구 방향을 제시한다.

• 한국지능시스템학회:학술대회논문집
• /
• 한국퍼지및지능시스템학회 2003년도 춘계 학술대회 학술발표 논문집
• /
• pp.197-201
• /
• 2003

해킹을 방지하기 위한 목적으로 개발된 보안 도구들 중 네트워크 취약점을 검색할 수 있도록 만들어진 프로그램들이 있다. 네트워크 취약점을 자동 검색해 주는 보안 관리 도구를 역이용하여 침입하고자 하는 시스템의 보안 취약점 정보를 알아내는데 사용하여, 알아낸 정보들을 가지고 공격 대상을 찾는데 활용하고 있다. 해킹 수법들에는 서비스 거부 공격, 버퍼오버플로우 공격 등이 있다. 따라서, 해커들이 침입하기 위하여 취약점을 알아내려고 의도하는 침입시도들을 탐지하여 침입이 일어나는 것을 사전에 방어할 수 있는 침입시도탐지가 적극적인 예방차원에서 더욱 필요하다. 본 논문에서는 이러한 취약점을 이용하여 침입시도를 하는 사전 공격형태인 서비스 거부 공격 중 TCP 프로토콜을 사용하는 Syn Flooding 공격에 대하여 패킷분석을 통하여 탐지하고 탐지된 경우 실제 침입의 위험수준을 고려하여 시스템관리자가 대처하는 방어수준을 적절히 조절하여 침입의 위험수준에 따른 방어대책이 가능한 침입시도 방지 모델을 제시한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제8권7호
• /
• pp.177-180
• /
• 2019

대표적인 취약점 스코어링 시스템은 CVSS다. 하지만 CVSS는 취약점이 자산에 미치는 영향성 관점을 평가 하지 않아 사용되지 않거나 중요도가 낮은 자산에 대해서도 동일한 우선순위로 처리해야하기 때문에 대규모 시스템의 위험도가 높은 취약점의 경우 효과적이고 신속한 대응을 할 수 없다. 시스템 구성을 계층화 하고, 계층 간의 그리고 계층내의 중요도에 따른 가중을 평가하는 영향성 관점의 평가 시스템인 계층적 가중 기반의 취약점 영향성 평가 스코어링 시스템을 제안한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2010년도 한국컴퓨터종합학술대회논문집 Vol.37 No.1(D)
• /
• pp.106-109
• /
• 2010

컴퓨터의 대중화와 네트워크의 발달로 인해 우리 사회는 컴퓨터와 통신이 없이는 생각조차 할 수 없는 시대에 살고 있으며, 또한 많은 정보시스템들을 일상생활 속에서 접하고 살고 있다. 하지만 소프트웨어들의 보안 취약점으로 인해 개인뿐만 아니라 기업은 물론이고 국가에 이르기까지 그 위험성은 모두 열거할 수 없을 정도이며 그에 따른 정보보호의 중요성이 더욱 강조가 되고 있으며, 어느 시스템도 이러한 정보보호에서 자유로울 수 없다. 이러한 보안적 및 오류의 위험은 현재 개발되고 있는 소프트웨어 뿐만 아니라, 정상적으로 운영되고 있는 시스템도 예외가 될 수 없다. 이러한 보안취약점 및 오류의 위험은 소프트웨어 개발시 방어적 프로그램(Defensive Programming)을 포함하는 시큐어 코딩(Secure Coding)기법을 적용하여 보다 안정적인 프로그램을 개발 할 수 있다. 본 논문에서는 소프트웨어의 잠재적인 오류를 발생할 수 있는 요소와 보안 취약점으로 인하여 생길 수 있는 요소들을 살펴보고 실제 java로 개발되어 운영되고 있는 시스템들의 보안 취약점을 분석하였다.

• 한국컴퓨터정보학회논문지
• /
• 제25권7호
• /
• pp.85-92
• /
• 2020

사물인터넷(Internet of Things: IoT) 기술 발전에 따라서, IoT기술의 적용범위는 실내 환경의 생활 편의성 개선에서 벗어나 실외 환경에서의 발생가능한 위험을 사전에 감지·예방하는 산업안전 분야로 확대되고 있다. 이러한 IoT서비스 확대는 많은 장점을 제공함에도 데이터 유출과 변조 등의 보안 문제도 함께 발생시키므로 이에 따른 보안 대응전략 연구도 활발히 진행되고 있다. 본 논문에서는 실외환경에서의 IoT기반 도로건설 위험방지시스템을 연구대상으로 IoT 보안관리 가이드라인을 제안한다. 연구대상에 적용한 저전력-광역(LPWA, BLE) 통신프로토콜의 보안취약점을 조사한 결과, 정보보안의 3대 요소인 기밀성, 무결성, 가용성 측면에서 보안취약점을 확인하여 이를 최소화할 수 있도록 취약점 별 대응방안을 제안하였다. 본 연구는 기 구현된 실외환경에서의 IoT기반 도로건설 위험방지시스템 운영에서 발생할 수 있는 취약점 조사·분석과 취약점별 실질적인 보안지침을 제안하는데 연구의 의의가 있다.

• 한국정보과학회논문지:시스템및이론
• /
• 제36권5호
• /
• pp.380-386
• /
• 2009

중요 IT 자산에 대한 보안성 강화를 위해서는 관련 위협(또는 취약점)의 식별 및 이에 대한 보안 대비책의 적정성 분석이 선행되어야 한다. 이를 위해 본 논문에서는 자산 및 위협에 기반한 보안 위험도 평가기법을 제안한다. 제안한 기법은 식별된 자산 및 위협 관련 공격시도 탐지와 취약점 점검 등의 대응 범위 및 수준의 사전 점검과 정량적인 위험도 평가를 제공함으로써 기존 연구에 비해 효과적으로 위협관리 업무에 활용될 것으로 기대된다.

• 정보보호학회지
• /
• 제30권5호
• /
• pp.35-44
• /
• 2020

정보화 시대의 도래와 함께 원자력발전소 등 사회 간접자본의 중요 시설에서 운영되는 각종 장치들 역시 디지털화되면서 기존에 존재하지 않았던 사이버 공격에 대한 위협이 현실화되고 있다. 이러한 중요 사회 간접자본 등의 운영에 위협을 가하는 행위는 사회적으로 경제적으로 매우 큰 재난을 발생시킬 수 있기 때문에 공격 발생 이전에 사전 방어 체계를 구축해야 하는데, 이때, 실질적으로 위협이 되는 취약점의 존재 여부를 사전 인지하는 것이 매우 중요하다. 이를 위하여 본 논문에서는 원자력발전소의 계측제어계통에서 운영되는 국산화된 디지털 장치에 대하여 관련 취약점을 확인하고 확인된 취약점의 실질적인 위험도를 장치의 운영환경 특징을 반영하여 도출하며, 주요 기기의 운영 규제지침의 준수 여부를 점검하는 도구의 개발 결과를 소개한다. 본 논문은 원자력발전소 상에서 운영되는 시스템을 주요 대상으로 작성되었다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2023년도 제68차 하계학술대회논문집 31권2호
• /
• pp.597-598
• /
• 2023

본 논문에서는 상용 소프트웨어나 웹, 앱, 클라우드 서비스 등 다양한 IT 서비스에서 취약점이 발생하는 근본적인 원인을 알아보고 그에 대한 효과적이고 미래지향적인 대응 방안을 제안한다. 이 대응 방안은 공개된 취약점들을 학습한 인공지능 모듈을 기존의 개발환경에 도입하는 것을 통해 개발 중인 서비스의 설계 문제에 대해 즉각적인 피드백을 줌으로서 작업 효율을 높이고 피드백한 취약점의 위험도를 함께 알려줌으로 혹여 미흡했을 수 있는 개발자의 기존 보안 의식 수준을 높여서 IT 시장에 전체적으로 긍정적인 영향을 끼칠 수 있을 것이라 보여진다. 이 과정을 통해 IT 보안 관점에서 인공지능의 양면성을 바라보고 점점 발전해 가는 인공지능 기술 앞에 우리가 각추어야할 자세를 제안하고자 한다.