• 한국멀티미디어학회논문지
• /
• 제14권10호
• /
• pp.1335-1347
• /
• 2011

최근 모바일 애플리케이션의 보급과 사용은 급속도로 확장되고 있으며, 이 과정에서 모바일 애플리케이션의 보안이 새로운 문제로 대두되고 있다. 일반적인 소프트웨어의 안전성은 시큐어 코딩을 통해 개발 단계에서 부터 검증까지 체계적으로 이루어지고 있으나 모바일 애플리케이션의 경우는 아직 연구가 미흡한 실정이다. 본 논문에서는 모바일 애플리케이션에 특화된 취약점 항목을 도출하고 이를 기반으로 취약점을 분석할 수 있는 취약점 분석기를 설계하고 구현한다. 취약점 목록은 CWE(Common Weakness Enumeration)와 CERT (Computer Emergency Response Team)를 기반으로 모바일 애플리케이션의 특징인 이벤트 구동방식을 한정하여 도출하였으며, 분석 도구는 동적 테스트를 통하여 애플리케이션 소스 내에 취약점이 존재하는지 검사한다. 또한 도출된 취약점 목록은 모바일 애플리케이션을 작성하는 프로그래머의 지침서로 활용 될 수 있다.

• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.243-253
• /
• 2022

최근 국가 기반시설에 대한 사이버 공격이 지속해서 발생하고 있다. 이에 따라 ICS-CERT 취약점이 작년보다 두 배 이상이 증가하는 등 원자력 시설 등의 산업제어시스템에 대한 취약점이 날로 증가하고 있다. 대부분의 제어시스템 운영자는 미국의 ICS-CERT에서 제공하는 산업제어시스템 취약점 정보원을 바탕으로 취약점 대응 방안을 수립한다. 그러나 ICS-CERT는 연관된 모든 취약점 정보를 포함하지 않으며, 국내 제조사 제품에 대한 취약점을 제공하지 않아 이를 국내 제어시스템 보안에 적용하기 어렵다. 따라서 본 연구에서는 CVE, CWE, ICS-CERT, CPE 등의 공개된 취약점 관련 정보를 활용하여 제어시스템의 자산에 존재 가능한 취약점을 발견하고 향후 발생 가능한 취약점을 예측할 수 있는 방안을 제안하며, 이를 국내 주요 제어시스템 정보에 적용해보았다.

• 융합보안논문지
• /
• 제22권1호
• /
• pp.11-17
• /
• 2022

최근 사이버 공격으로 인해 발생한 우크라이나 대규모 정전 사태를 비롯하여 국가 기반시설에 대한 사이버 공격이 지속해서 발생하고 있다. 이에 따라 ICS-CERT 취약점이 작년보다 두 배 이상이 증가하는 등 원자력 시설 등의 산업제어시스템에 대한 취약점이 날로 증가하고 있다. 대부분의 제어시스템 운영자는 미국의 ICS-CERT에서 제공하는 산업제어시스템 취약점정보원을 바탕으로 취약점 대응 방안을 수립한다. 그러나 ICS-CERT는 연관된 모든 취약점 정보를 포함하지 않으며, 국내 제조사 제품에 대한 취약점을 제공하지 않아 이를 국내 제어시스템 보안에 적용하기 어렵다. 따라서 본 연구에서는 ICS-CERT에서 제공하는 제어시스템 취약점 정보(1,843건)를 기준으로 해당 취약점과 관련된 CVE, CWE, CAPEC, CPE 정보를 통합한 취약점 분석 프레임워크를 제시한다. 또한 원자력 시설의 자산을 CPE를 이용하여 식별하고 CVE와 ICS-CERT를 이용하여 취약점을 분석한다. 기존의 방법론으로 취약점 분석 시 임의의 국내 원자력 시설 자산 중 ICS-CERT에는 단 8%의 자산에 대한 취약점 정보를 탐색하였지만, 제안하는 방법론을 이용하면 70% 이상의 자산에 대해 취약점 정보를 탐색할 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제22권3호
• /
• pp.81-88
• /
• 2017

In this paper, we classified the weaknesses of C/C++ programs listed in CWE based on the diagnostic information produced at each stage of program compilation. Our classification identifies which stages should be responsible for analyzing the weaknesses. We also present algorithmic frameworks for detecting typical weaknesses belonging to the classes to demonstrate validness of our scheme. For the weaknesses that cannot be analyzed by using the diagnostic information, we separated them as a group that are often detectable by the analyses that simulate program execution, for instance, symbolic execution and abstract interpretation. We expect that classification of weaknesses, and diagnostic information accordingly, would contribute to systematic development of static analyzers that minimizes false positives and negatives.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 추계학술발표대회
• /
• pp.1057-1059
• /
• 2012

스마트폰이 대중화되면서 안드로이드 애플리케이션의 보안문제가 대두되고 있다. PC환경의 소프트웨어는 개발단계에서부터 시큐어코딩을 통해 안전성을 확보하고 있으나 안드로이드 애플리케이션의 경우는 연구가 더 필요한 상황이다. 본 논문에서는 CWE(Common Weakness Enumeration)의 취약점 분류 체계와 CAPEC(Common Attack Pattern Enumeration and Classification)의 공격 패턴 분류 체계와 CERT(Computer Emergency Response Team)의 취약점 발생 예방을 위한 정책들을 통해 안드로이드 애플리케이션의 최신화된 취약점 목록을 도출하고 카테고리별로 분류하여 취약점을 효율적으로 분석하는 기법을 제안한다.

• 디지털산업정보학회논문지
• /
• 제17권4호
• /
• pp.77-83
• /
• 2021

As Open Source Software(OSS) recently invigorates, many companies actively use the OSSes in their business software. With such OSS invigoration, our web application is developed in order to provide the safety in using the OSSes, and update the information on the new vulnerabilities and the patches at all times by crawling the web pages of the relevant OSS home pages and the managing organizations of the vulnerabilities. By providing the updated information, our application helps the OSS users and developers to be aware of such security issues, and gives them to work in the safer environment from security risks. In addition, our application can be used as a security platform to greatly contribute to preventing potential security incidents not only for companies but also for individual developers.

• Wind and Structures
• /
• 제32권3호
• /
• pp.249-265
• /
• 2021

As high-rise buildings become more and more slender and flexible, the wind effect has become a major concern to modern buildings. At present, wind engineering for high-rise buildings mainly focuses on the following four issues: wind excitation and response, aerodynamic damping, aerodynamic modifications and proximity effect. Taking these four issues of concern in high-rise buildings as the mainline, this paper summarizes the development history and current research progress of wind engineering for high-rise buildings. Some critical previous work and remarks are listed at the end of each chapter. From the future perspective, the CFD is still the most promising technique for structural wind engineering. The wind load inversion and the introduction of machine learning are two research directions worth exploring.

• 한국식품저장유통학회지
• /
• 제24권6호
• /
• pp.834-841
• /
• 2017

본 연구는 대표적인 산채지역으로 알려져 있는 영양군 곰취 열수추출물의 총 폴리페놀 함량과 DPPH 라디컬 소거능을 측정하였으며 사람 비만세포주인 HMC-1 세포를 이용하여 PMACI을 처리하여 비만세포를 활성화시켜 세포 생존률을 확인하였고, 염증성 사이토카인인 $TNF-{\alpha}$, IL-6, IL-8의 변화량을 측정하여 곰취의 기능성 식품 소재로서의 이용 가능성을 알아보고자 실험을 실시하였다. 영양군 곰취 열수 추출물의 추출수율은 원물 건조량 대비 $24.43{\pm}1.82%$(w/w), 총 폴리페놀 함량은 $198.07{\pm}0.24mg/g$으로 다른 곰취 추출물의 연구결과와 유사한 값을 나타내고, 영양군 곰취 열수 추출물의 DPPH radical 소거 활성을 측정한 결과, $IC_{50}$ 값이 $28.2{\pm}0.04{\mu}g/mL$로 양성대조군인 ascorbic acid의 $IC_{50}$ 값 $3.5{\pm}0.01{\mu}g/mL$보다 낮은 항산화활성을 보였으나 일반 천연물 유래 추출물보다 비교적 높은 항산화활성을 나타내었다. 영양군 곰취 열수 추출물을 HMC-1 세포에 처리했을 때 MTT assay법으로 분석한 결과, 세포 생존률에는 아무런 영향을 미치지 않고, $TNF-{\alpha}$, IL-6, IL-8 생성에 대한 억제효과는 유의성 있게 나타났다. 이상의 결과를 종합해 보면 항산화력 및 세포를 이용한 in vitro 실험을 실시한 결과 영양군 곰취 열수 추출물은 항산화력이 매우 우수할 뿐만 아니라 항염증효과도 뛰어나 향후 기능성 소재로서의 이용 가능성이 높은 것으로 판단되나 보다 다양하고 진보된 연구로 곰취의 염증성 질환 치료에 대한 정확한 기전이 설명되어야 할 것이다.

• 한국산학기술학회논문지
• /
• 제19권12호
• /
• pp.863-871
• /
• 2018

본 논문에서는 기존의 취약점 분석 도구들의 미탐지, 오탐지, 과탐지를 발생시켜 정확한 취약점 탐지를 어렵게 하는 문제점을 해결하고 분석 대상이 되는 어플리케이션의 위험도를 평가하여 안전한 어플리케이션을 개발하거나 관리할 수 있는 정적 및 동적 분석을 이용한 크로스 체크기반의 취약점 탐지 기법을 제안한다. 또한 각각의 취약점이 가지고 있는 자체 위험도를 계산하고 정확도를 높인 취약점 탐지 기법을 바탕으로 최종적인 어플리케이션의 위험도를 평가, 제시함으로서 안전한 어플리케이션의 개발 및 운영을 돕는다. 제안하는 기법은 정적 분석 및 동적 분석 기법을 사용하는 도구들의 상호작용을 통해 각 기법의 단점들을 극복하여 취약점 탐지 정확도를 향상시킨다. 또한 기존의 취약점 위험도평가 시스템은 취약점 자체 위험도에 대해서만 평가하였으나, 제안하는 위험도 평가는 취약점 자체 위험도와 탐지 정확도를 복합적으로 반영하여 어플리케이션이 얼마나 위험에 노출되어 있는지를 평가한다. 제안하는 기법은 CWE에서 SANS top 25의 상위 10위 항목을 기준으로 기존의 분석 도구들과 탐지 가능한 목록, 탐지 정확도를 비교분석하였으며, 기존의 취약점 위험도에 대한 정량적 평가 시스템과 제안하는 어플리케이션 위험도 평가 결과를 비교 분석 및 평가하였다. 제안하는 기법으로 프로토타입 분석 툴을 구현하여 실험을 통해 어플리케이션의 취약점을 분석하였을 때, 기존의 분석 도구들의 취약점 탐지 능력보다 우수한 것으로 나타났다.

• Wind and Structures
• /
• 제24권5호
• /
• pp.465-480
• /
• 2017

Modelling an equilibrium atmospheric boundary layer (ABL) in computational wind engineering (CWE) and relevant areas requires the boundary conditions, the turbulence model and associated constants to be consistent with each other. Among them, the inflow boundary conditions play an important role and determine whether the equations of the turbulence model are satisfied in the whole domain. In this paper, the idea of modeling an equilibrium ABL through specifying proper inflow boundary conditions is extended to the SST $k-{\omega}$ model, which is regarded as a better RANS model for simulating the blunt body flow than the standard $k-{\varepsilon}$ model. Two new sets of inflow boundary conditions corresponding to different descriptions of the inflow velocity profiles, the logarithmic law and the power law respectively, are then theoretically proposed and numerically verified. A method of determining the undetermined constants and a set of parameter system are then given, which are suitable for the standard wind terrains defined in the wind load code. Finally, the full inflow boundary condition equations considering the scale effect are presented for the purpose of general use.