• 한국통신학회논문지
• /
• 제40권5호
• /
• pp.841-850
• /
• 2015

XaaS(Everything as a Service)는 사용자가 필요한 소프트웨어 컴포넌트를 네트워크를 통하여 제공하고, 사용자는 자신이 이용한 컴포넌트에 따라 과금을 지불하는 서비스이다. 일반적으로 XaaS는 클라우드 컴퓨팅의 일종으로 간주된다. 그러나 XaaS는 일반적으로 중앙의 서비스 사업자에 의하여 제공되기 때문에 다양한 해킹 공격의 목표가 되기 쉽다. 특히, XaaS가 APT (Advanced Persistent Threat) 공격의 목표가 된다면, XaaS 서비스 사업자뿐만 아니라 사용자들까지 심각한 위험에 노출될 수 있다. 현재 다양한 APT 공격 대응 방안이 제안되고 있으나, 보안 통제 측면에서 모든 요소를 고려하고 있지 못하다. 본 논문에서는 안전한 XaaS 운영을 위한 기술적, 정책적 요소를 고려한 보안 감사 방안을 제안한다.

• 한국인터넷방송통신학회논문지
• /
• 제19권3호
• /
• pp.25-32
• /
• 2019

블록체인 기술 핵심은 이중지불에 대한 합의 문제를 해결하는 것이며 이를 위해 이용되고 있는 알고리즘인 PoW, PoS 및 DPoS에 대하여 살펴보았다. PoW인 작업증명은 스팸 전자 메일을 보내거나 서비스 거부(Denial of service, DoS) 공격을 시작하는 등 컴퓨팅 능력의 사소하거나 악의적인 사용을 막기 위해 실현 가능한 노력을 필요로 하는 합의 시스템이다. PoS인 지분증명은 작업증명(PoW) 알고리즘의 에너지 낭비뿐만 아니라 Nothing at stake 문제를 해결하기 위해 만들어졌으며, 계산능력이 아닌 화폐 보유량에 따라 각 노드의 합의 결정권이 정해진다. DPoS는 분산 네트워크를 통해 소수의 권한을 가진 사용자들이 거래 합의를 유지하는 것으로, PoS는 모든 사용자에게 합의 권한을 가지는 것과 달리 DPos는 합의 권한을 소수의 대표자에게 제공 한다는 것이다. 즉 PoS가 직접 민주주의라면 DPoS는 간접민주주의이다. 본 내용은 블록체인 합의 알고리즘에 대한 연구를 통하여 관련 분야의 지속적인 발달에 기여하고자 한다.

• 제어로봇시스템학회:학술대회논문집
• /
• 제어로봇시스템학회 2005년도 ICCAS
• /
• pp.1586-1589
• /
• 2005

GUMF (Global User Management Framework) that is proposed in this research can be applied to next generation network such as BcN (Broadband convergence Network), it is QoS guaranteed security framework for user that can solve present Internet's security vulnerability. GUMF offers anonymity for user of service and use the user's real-name or ID for management of service and it is technology that can realize secure QoS. GUMF needs management framework, UMS (User Management System), VNC (Virtual Network Controller) etc. UMS consists of root UMS in country dimension and Local UMS in each site dimension. VNC is network security equipment including VPN, QoS and security functions etc., and it achieves the QoSS (Quality of Security Service) and CLS(Communication Level Switching) functions. GUMF can offer safety in bandwidth consumption attacks such as worm propagation and DoS/DDoS, IP spoofing attack, and current most attack such as abusing of private information because it can offer the different QoS guaranteed network according to user's grades. User's grades are divided by 4 levels from Level 0 to Level 3, and user's security service level is decided according to level of the private information. Level 3 users that offer bio-information can receive secure network service that privacy is guaranteed. Therefore, GUMF that is proposed in this research can offer profit model to ISP and NSP, and can be utilized by strategy for secure u-Korea realization.

• 한국통신학회논문지
• /
• 제32권2B호
• /
• pp.108-117
• /
• 2007

리커시브 DNS(Recursive DNS)는 사용자 PC환경에서 1,2차 DNS로 설정되어 사용자의 1차적인 DNS 질의에 대한 도메인 네임 레졸루션(Domain Name Resolution)을 수행하는 중요한 DNS이다. 현재 전체 인터넷의 트래픽 중 DNS 트래픽은 많은 양을 차지하고 있으며 IPv6로의 전이에 따라 DNS 질의 응답 실패에 따른 불필요한 트래픽이 매우 증가할 것으로 예상된다. 또한 리커시브 DNS의 경우 악의적인 공격에 따른 DNS 서버의 불능 상태가 발생 시 이를 복구하고 사용자에게 신뢰적인 DNS 서비스를 제공할 수 있는 메커니즘이 부족한 상태이다. 이를 해결하기 위해 본 논문은 애니캐스트(Anycast) 전송 기술을 리커시브 DNS에 적용하여 IPv6 DNS 도입에 따라 발생할 수 있는 불필요한 트래픽과 지연을 최소화한다. 또한 사용자에게 1차로 설정된 리커시브 DNS로의 질의 응답 실패 시에 실패 복구를 위한 리커시브 DNS로써 애니캐스트 리커시브 DNS를 설정하도록 하여 사용자에게 투명하고 공격에 안정적인 도메인 네임 서비스를 제공할 수 있는 방안을 제안한다.

• 한국융합학회논문지
• /
• 제6권4호
• /
• pp.243-248
• /
• 2015

U-Healthcare는 언제, 어디서나 환자의 건강을 검사하고 관리하며 유지할 수 있도록 하는 의료와 IT가 융합된 서비스이다. U-Healthcare 서비스에서 이루어지는 통신은 검진한 분석 결과나 긴급 데이터를 무선 통신방식을 이용하여 병원 서버에 전송하는 방식이 활용되고 있다. 이 때 악의적인 접근을 수행하는 자(공격자)가 U-Healthcare기기나 BS(Base Station)에 DRDoS(Distributed Reflection DoS)공격을 하면 위급한 환자의 상황 정보가 병원 서버까지 전송되지 않는 다양한 피해가 예상된다. 이를 대응하기 위해 DRDoS 공격 시나리오와 DRDoS에 대한 대응방안을 제안하고 대량의 패킷을 처리할 수 있는 빅데이터와 융합한다. 공격자가 U-Healthcare 기기나 BS(Base Station)를 공격 시 DB와 연동하여 일치하면 공격을 막는다. 본 논문은 원격의료 서비스인 U-Healthcare기기나 BS에서 나타날 수 있는 공격방법을 분석하고, 빅데이터를 활용하여 보안 위협에서의 대응방안을 제안한다.

• 한국시뮬레이션학회논문지
• /
• 제18권4호
• /
• pp.207-217
• /
• 2009

본 논문에서는 IP 히스토리 정보를 이용하여 기존의 연결된 flow와 새로 도착한 flow를 다른 우선순위로 서비스하여 특정 서브넷을 DDoS(Distributed Denial of Service) 공격으로부터 보호하는 방어 시스템을 제안한다. DDoS 공격은 일반적으로 네트워크 노드 혹은 링크의 리소스가 제한되어 있으며 네트워크 리소스에 대한 사용자의 수요가 실제 네트워크 노드 혹은 링크의 용량을 초과하는 경우에 발생하게 된다. 제안된 방어 시스템은 두 단계로 나뉘어서 작동하게 되는데, 첫 번째 단계에서는 접속을 시도하는 외부 IP에 대해 샘플링기법을 사용하여 모니터링 하는 IP주소의 개수를 줄이고, 두 번째 단계에서는 정상적인 IP의 목록을 관리하고 DDoS 공격이 발생하였을 때 IP 목록에 기반해 기존의 연결된 flow와 새로 도착한 flow를 구별함으로써 기존의 연결된 flow에 대해서 지속적이고 정상적인 서비스를 제공한다. 제안된 DDoS 방어 시스템의 성능은 시뮬레이션을 통해 평가한다.

• 한국멀티미디어학회논문지
• /
• 제17권8호
• /
• pp.988-994
• /
• 2014

Software Defined Network (SDN) is a new technology in computer network area which enables user to centralize control plane. The security issue is important in computer network to protect system from attackers. SYN flooding attack is one of Distributed Denial of Service attack methods which are popular to degrade availability of targeted service on Internet. There are many methods to protect system from attackers, i.e. firewall and IDS. Even though firewall is designed to protect network system, but it cannot mitigate DDoS attack well because it is not designed to do so. To improve performance of DDOS mitigation we utilize another mechanism by using SDN technology such as OpenFlow and sFlow. The methodology of sFlow to detect attacker is by capturing and sum cumulative traffic from each agent to send to sFlow collector to analyze. When sFlow collector detect some traffics as attacker, OpenFlow controller will modify the rule in OpenFlow table to mitigate attacks by blocking attack traffic. Hence, by combining sum cumulative traffic use sFlow and blocking traffic use OpenFlow we can detect and mitigate SYN flooding attack quickly and cheaply.

• 정보보호학회논문지
• /
• 제16권4호
• /
• pp.127-138
• /
• 2006

IPv6 네트워크에서는 기본 보안 메커니즘인 IPSec 메커니즘을 사용함으로써, 통신 양자 간에 전송되는 데이터에 대한 무결성 및 기밀성을 보장하고, 데이터와 통신 주체에 대한 인증을 실시할 수 있다. 그러나 IPSec 메커니즘을 악용하여 대량의 비정상 트래픽(세션설정 단계 또는 통신 단계의 비정상 IPSec 트래픽)을 전송하였을 경우, IPSec 메커니즘 자체에서 해당 패킷을 차단하는 데 한계가 있다. 본 논문에서는 IPv6 네트워크 환경에서 IPSec 메커니즘의 ESP 확장헤더에 의해 암호화된 패킷의 비정상 여부를 복호화 없이 IPSec 세션테이블과 설정테이블을 이용하여 탐지함으로써, 성능향상을 가질 수 있는 효과적인 보안 시스템에 대한 설계 내용을 보이고자 한다. 또한 설계는 단계적 대응 메커니즘를 기반으로 한다.

• 정보보호학회논문지
• /
• 제17권4호
• /
• pp.103-113
• /
• 2007

최근 P. Peris-Lopez 등에 의하여 제안된 일련의 RFID 상호인증 프로토콜 LMAP[10], $M^2AP$[11], EMAP[12]은 간단한 논리 연산에 기반하여 경량 환경에서 높은 구현 효율성을 제공하도록 설계되었다. 그런데, T. Li 등은 [8,9]에서 전송 메시지를 변조하는 능동적 공격으로 위 프로토콜들에 대한 비동기화공격이 높은 확률로 적용됨을 보이고, 태그의 ID를 포함한 일부 비밀 정보를 얻을 수 있음을 보였다. 본 논문에서는 [9]의 일부 오류를 수정하여 비동기화공격이 항상 가능함을 보이고 LMAP에 대한 대폭 개선된 능동적 공격을 제시한다. 한편, $M^2AP$, EMAP에 대한 새로운 분석으로서, $2{\sim}3$개 연속 세션의 도청으로 태그의 ID를 포함한 일부 비밀 정보를 얻을 수 있음을 보인다. 이들 정보는 태그 추적 외에, $M^2AP$의 경우 태그 위장에도 사용될 수 있어 본고의 공격은 $M^2AP$와 EMAP의 치명적인 결함을 드러낸다고 하겠다.

• 정보보호학회논문지
• /
• 제18권5호
• /
• pp.93-101
• /
• 2008

스마트카드, USB token과 같은 저 전력 정보보호장치의 가장 큰 위협요소인 부채널 공격은 장치 내부에 구현된 암호 알고리즘의 이론적인 안전도와는 무관하게 적용될 수 있다. 특히, 부채널 공격들 중에서 차분 전력분석 공격은 적용이 쉽고 근본적인 방어가 어려워서 매우 위협적인 공격이지만 공격을 적용하기 위해서는 측정된 모든 신호가 시간축 상에서 매우 잘 정렬된 신호라는 전제조건이 필요하기 때문에, 트리거 지터링, 잡음, 차분 전력 분석 공격 방어책 등 여러 요인들에 의해 시간축 상에 정렬되지 않은 측정된 신호를 정렬하기 위한 여러 가지 방법들이 제안되어 왔다. 기존의 신호 정렬 방법들은 측정된 신호의 시간축 상의 위치만을 정렬하는 방법들이어서, 랜덤 클럭을 이용하여 알고리즘의 수행 시간(시간축 상의 신호 크기)을 변화시키는 차분 전력 분석 대응 방법에는 적용이 되지 않는다. 본 논문에서는 측정된 소비 전력 신호를 보간(interpolation)과 추출(decimation) 과정을 통해서 시간축 상에서 위치뿐만 아니라 크기도 동시에 정렬시키는 향상된 신호 정렬 방법을 제안하였다. 또한 랜덤 클럭 방식의 차분 전력 분석 공격 방어대책이 구현된 스마트카드 칩에 개선된 신호 정렬 방법을 적용하여 차분 전력 분석 공격이 효과적으로 적용됨을 실험적으로 확인하였다.