• 융합보안논문지
• /
• 제24권2호
• /
• pp.79-87
• /
• 2024

본 논문은 웹 애플리케이션의 증가로 인해 소프트웨어 내 보안 취약점을 이용한 사이버 공격이 증가하고 있다. CSRF(Cross-Site Request Forgery) 공격은 특히 웹 사용자와 개발자에게 심각한 위협으로, 사전에 예방해야하는 공격이다. CSRF는 사용자의 동의 없이 비정상적인 요청을 통해 공격을 수행하는 기법으로, 이러한 공격으로부터 웹 애플리케이션을 보호하기 위한 방법은 매우 중요하다. 본 논문에서는 Spring Security와 Apache Shiro 두 프레임워크를 통해 CSRF 방어에 대한 성능을 비교 분석하고 검증하여, 효과적으로 적용 가능한 프레임워크를 제안한다. 실험 결과, 두 프레임워크 모두 CSRF 공격 방어에 성공하였으나, Spring Security는 평균 2.55초로 Apache Shiro의 5.1초보다 더 빠르게 요청을 처리하였다. 이러한 성능 차이는 내부 처리 방식과 최적화 수준의 차이에서 비롯되었으며, 시스템 자원 사용 측면에서는 두 프레임워크 간에 차이가 없었다. 따라서 높은 성능과 효율적인 요청 처리가 요구되는 환경에서는 Spring Security가 더 적합하며, Apache Shiro는 개선이 필요하다. 이 결과는 웹 애플리케이션의 보안 아키텍처 설계 시 중요한 참고 자료로 활용되기를 기대한다.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제8권4호
• /
• pp.457-467
• /
• 2002

가상 공격을 수행하고 이에 따른 네트워크의 행동 변화를 시뮬레이션하기 위하여는 네트워크 구성요소들의 특성을 시뮬레이션 모델에 반영할 수 있어야 하며, 다양한 사이버 공격과 이를 방어하는 시스템들의 특성을 표현할 수 있어야 한다. 본 연구에서는 사이버 공격시 네트워크의 부하가 어떻게 변하는지를 실험하기 위하여, 프로세스 기반 사건 중심 시뮬레이션 시스템인 SSF[9, 10]를 확장 구현하였다. 사이버 공격을 시뮬레이션하기 위해 보안 관련 클래스인 방화벽과 공격용 프로그램을 작성하기 위한 도구들의 모임인 패킷 조작기를 SSF의 구성요소인 SSFNet에 새로이 추가하였다. 이는 보안 체계를 가진 네트워크를 시뮬레이션 가능하게 할 뿐 아니라, 기존 사이버 공격 프로그램을 쉽게 이식하여 시뮬레이션에 적용할 수 있는 장점을 제공한다. 추가된 클래스들의 작동을 검증하기 위하여 가상 네트워크를 구성한 후, 대표적인 서비스-거부 공격인 smurf 공격을 시뮬레이션하고, 이 때의 네트워크의 행동 변화를 관찰하였다. 실험 결과 본 연구에 의하여 개발된 방화벽이나 패킷 조작기가 정상적으로 작동됨을 확인할 수 있었다.

• 인터넷정보학회논문지
• /
• 제23권5호
• /
• pp.87-101
• /
• 2022

사이버공격은 사이버공간에서 눈 깜짝할 사이에 일어나며, 그 피해는 전 세계에 점차 늘어나고 있다. 따라서, 사이버공간 3계층에 속하는 다양한 자산들을 여러 가지 시각에서 파악할 수 있는 사이버 공통작전상황도의 개발이 필요하다. 이는 군에서 사용하는 전장 정보 파악에 대한 방안을 적용하면 최적의 사이버공간 내 상황인식을 할 수 있다. 따라서 본 연구에서는 사이버 공통작전상황도에 필요한 가시화 화면들을 식별하고 기준(응답속도, 사용자 인터페이스, 객체 기호, 객체 크기)들을 조사한다. 그 후 식별 및 조사한 사항들을 적용하여 프레임워크를 설계하고 그에 따라 가시화 화면들을 구현한다. 최종적으로 가시화 화면이 조사한 기준 중 사진으로는 알아볼 수 없는 응답속도에 대한 실험을 진행한다. 결과적으로 구현된 가시화 화면들은 모두 응답속도 기준에 부합했다. 이와 같은 연구는 지휘관이나 보안 담당자들이 사이버공격을 대비하기 위한 사이버 공통작전상황도를 구축하는데 도움이 된다.

• 정보보호학회논문지
• /
• 제31권4호
• /
• pp.817-839
• /
• 2021

소프트웨어를 안전하게 관리하기 위해 군은 RMF A&A(Risk Management Framework Assessment & Authorization) 표준에 따라 제품을 구매하고 관리한다. 해당 표준은 무기체계를 비롯한 군 IT 제품의 획득 체계에 관한 표준으로 제품에 대한 요구사항, 평가를 통한 구매, 유지보수를 다룬다. 해당 표준에 따르면 제품 개발활동에는 군에서 제시한 임무의 위험도가 반영되어야 한다. 즉, 개발사는 보안 내재화 및 공급망 보안을 통해 제시된 위험도를 완화하였고, RMF A&A의 보안 요구사항을 제대로 준수하였음을 입증하는 자료를 제출해야하고, 군에서는 개발사로부터 제출된 증거자료에 대한 평가를 통해 최종 획득 여부를 결정한다. 기존에 RMF A&A 실증 연구가 수행된 사례가 있다. 하지만, 해당 연구는 RMF A&A의 전체 단계가 아닌 일부분에 대해서만 다루고 있고, 해당 연구의 실증 사례가 대외비인 관계로 상세한 정보가 공개되지 않아 실제 산업 환경에 적용하는데 어려움이 있다. 이에 본 논문에서는 군의 위험도 측정 및 RMF A&A 관련 표준들을 분석하고, 이를 바탕으로 군 RMF A&A의 요구사항을 만족시킬 수 있는 증거자료 작성방안에 대해 제시한다. 또한, 제시한 방안을 실제 드론 시스템에 적용하여 작성된 평가 제출물이 RMF A&A의 요구사항에 부합한지 검증을 수행한다.

• 융합보안논문지
• /
• 제15권1호
• /
• pp.69-82
• /
• 2015

고도화되고 지능화가 예상되는 사이버 침해대응에 대해 효율적으로 대응키 위해서는 악성코드의 공격에 대해 기존 방어적 대응형태에서 공격적 전환개념이 요구되기에 이러한 환경을 근간으로 연구한 결과 기존의 OS, APPLICATION SYSTEM 등의 각 영역별 SINGLE-MODE 체계의 구조대비 Real-time에 의한 공통 전수 취약점 탐지 분석 개념으로 다단계기반의 탐지 및 분석개념(MPSM)을 연구하였다. 동시에 필요시 해당 정보자산과 직접적인 단독접속형태의 취약점 탐지 및 분석을 위해 API 기반의 전용하드웨어 플랫폼형태의 방안이 요구되어 짐과 동시에 이를 위해서는 H/W 및 S/W의 분리된 현재와 같은 2중화된 형태가 아닌 일체형의 H/W 타입의 플랫폼구조 기반 형태로 설계됨과 동시에 병행되어 빅데이타 분석에 의한 정보보안의 포렌직 측면을 고려할 시 항시 모니터링 되고 관리할 수 있는 구조로 연동 설계 등에 대해 제안하였다.

• International Journal of Computer Science & Network Security
• /
• 제22권8호
• /
• pp.113-122
• /
• 2022

At the point when it is check out ourselves, it might track down various information in each turn or part of our lives. Truth be told, information is the new main thrust of our advanced civilization and in this every day, "information-driven" world, security is the significant angle to consider to guarantee dependability and accessibility of our organization frameworks. This paper includes a new cryptographic algorithm for safe route traversal for data of smart cities which is a contemporary, non-hash, non-straight, 3D encryption execution intended for having information securely scrambled in the interim having a subsequent theoretical layer of safety over it. Encryption generally takes an information string and creates encryption keys, which is the way to unscramble as well. In the interim in another strategy, on the off chance that one can sort out the encryption key, there are opportunities to unravel the information scrambled inside the information string. Be that as it may, in this encryption framework, the work over an encryption key (which is created naturally, henceforth no pre-assurance or uncertainty) just as the calculation produces a "state" in a way where characters are directed into the Rubik block design to disregard the information organization.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.695-706
• /
• 2018

최근 제조업을 시작으로 농업, 금융업 등의 전 산업 영역에서 ICBM(IoT, Cloud, Bigdata, Mobile)을 중심으로 한 신산업과의 융합이 급속도로 진행되고 있다. 향후 융합산업의 가장 큰 문제 중 하나인 사이버 위협에 대비하기 위해 정보보호를 고려한 융합산업의 발전이 매우 중요한 상황이다. 이에 본 연구에서는 현재 발표된 산업발전정책과 이와 관련된 정보보호정책들의 세부 내용을 교차영향분석으로 분석하고 전문가 설문을 통해 정책의 우선순위를 제시하였다. 이를 통해 정보보호정책 내의 우선순위 및 상호 연관성을 밝히고, 효과적인 정책 시행방향에 대해서 제시하고자 하였다. 결과적으로 본 연구에서 도출한 6개의 정보보호정책과제들은 모두 핵심 동인에 속하며, 정책의 중요도를 고려한다면 보안 산업의 체질개선 및 지원 강화, 정보보호 인재양성, 정보보호산업 투자확대 등의 정책이 상대적으로 우선 시행될 필요가 있는 것으로 나타났다.

• 융합보안논문지
• /
• 제22권1호
• /
• pp.11-17
• /
• 2022

최근 사이버 공격으로 인해 발생한 우크라이나 대규모 정전 사태를 비롯하여 국가 기반시설에 대한 사이버 공격이 지속해서 발생하고 있다. 이에 따라 ICS-CERT 취약점이 작년보다 두 배 이상이 증가하는 등 원자력 시설 등의 산업제어시스템에 대한 취약점이 날로 증가하고 있다. 대부분의 제어시스템 운영자는 미국의 ICS-CERT에서 제공하는 산업제어시스템 취약점정보원을 바탕으로 취약점 대응 방안을 수립한다. 그러나 ICS-CERT는 연관된 모든 취약점 정보를 포함하지 않으며, 국내 제조사 제품에 대한 취약점을 제공하지 않아 이를 국내 제어시스템 보안에 적용하기 어렵다. 따라서 본 연구에서는 ICS-CERT에서 제공하는 제어시스템 취약점 정보(1,843건)를 기준으로 해당 취약점과 관련된 CVE, CWE, CAPEC, CPE 정보를 통합한 취약점 분석 프레임워크를 제시한다. 또한 원자력 시설의 자산을 CPE를 이용하여 식별하고 CVE와 ICS-CERT를 이용하여 취약점을 분석한다. 기존의 방법론으로 취약점 분석 시 임의의 국내 원자력 시설 자산 중 ICS-CERT에는 단 8%의 자산에 대한 취약점 정보를 탐색하였지만, 제안하는 방법론을 이용하면 70% 이상의 자산에 대해 취약점 정보를 탐색할 수 있다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제18권8호
• /
• pp.2253-2280
• /
• 2024

In the upcoming era of transportation, a groundbreaking technology, known as vehicle-to-everything (V2X) communication, is poised to redefine our driving experience and revolutionize traffic management. Real-time and secure communication plays a pivotal role in V2X networks, with the decision-making process being a key factor in establishing communication and determining malicious nodes. The proposed framework utilizes a directed acyclic graph (DAG) to facilitate real-time processing and expedite decision-making. This innovative approach ensures seamless connectivity among vehicles, the surrounding infrastructure, and various entities. To enhance communication efficiency, the entire roadside unit (RSU) region can be subdivided into various sub-regions, allowing RSUs to monitor and govern each sub-region. This strategic approach significantly reduces transaction approval time, thereby improving real-time communication. The framework incorporates a consensus mechanism to ensure robust security, even in the presence of malicious nodes. Recognizing the dynamic nature of V2X networks, the addition and removal of nodes are aligned. Communication latency is minimized through the deployment of computational resources near the data source and leveraging edge computing. This feature provides invaluable recommendations during critical situations that demand swift decision-making. The proposed architecture is further validated using the "veins" simulation tool. Simulation results demonstrate a remarkable success rate exceeding 95%, coupled with a significantly reduced consensus time compared to prevailing methodologies. This comprehensive approach not only addresses the evolving requirements of secure V2X communication but also substantiates practical success through simulation, laying the foundation for a transformative era in transportation.

• 한국정보통신학회논문지
• /
• 제27권1호
• /
• pp.87-96
• /
• 2023

보안 취약점 수가 해마다 증가함에 따라 보안 위협이 지속해서 발생하고 있으며 취약점 위험도의 중요성이 대두되고 있다. 본 논문에서는 보안 취약점 위험도 판단을 위해 동향을 반영한 보안 위협 스코어링 산출식을 고안하였다. 세 단계에 따라 공격 유형과 공급업체, 취약점 동향, 최근 공격 방식과 기법 등의 핵심 항목 요소를 고려하였다. 첫째로는 공격 유형, 공급업체와 CVE 데이터의 관련성 확인 결과를 반영한다. 둘째로는 LDA 알고리즘으로 확인된 토픽 그룹과 CVE 데이터 간 유사성 확인을 위해 자카드 유사도 기법을 사용한다. 셋째로는 최신 버전 MITRE ATT&CK 프레임워크의 공격 방법, 기술 항목 동향과 CVE 간의 관련성 확인 결과를 반영한다. 최종 보안 취약점 위협 산출식 CTRS의 활용성 검토를 위해 공신력 높은 취약점 정보 제공 해외 사이트 내 데이터에 제안한 스코어링 방식을 적용하였다. 본 연구에서 제안한 산출식을 통하여 취약점과 관련된 일부 설명만으로도 관련성과 위험도가 높은 취약점을 확인하여 신속하게 관련 정보를 인지하고 대응할 수 있다.