• International Journal of Computer Science & Network Security
• /
• 제24권5호
• /
• pp.191-197
• /
• 2024

Software reuse gives the meaning for rapid software development and the quality of the software. Most of the Java components/libraries open-source are available only in Java Archive (JAR) file format. When a software design enters into the development process, the developer needs to select necessary JAR files manually via analyzing the given software architecture and related JAR files. This paper proposes an automated approach, JarBot, to suggest all the necessary JAR files for given software architecture in the development process. All related JAR files will be downloaded from the internet based on the extracted information from the given software architecture (class diagram). Class names, method names, and attribute names will be extracted from the downloaded JAR files and matched with the information extracted from the given software architecture to identify the most relevant JAR files. For the result and evaluation of the proposed system, 05 software design was developed for 05 well-completed software project from GitHub. The proposed system suggested more than 95% of the JAR files among expected JAR files for the given 05 software design. The result indicated that the proposed system is suggesting almost all the necessary JAR files.

• 정보보호학회논문지
• /
• 제31권4호
• /
• pp.841-852
• /
• 2021

바이오인식은 각 개인의 신체적, 생리적, 행동적 특성을 자동화된 장치로 측정하여 이를 등록한 후, 개인을 식별하거나 인증하는 기술을 말한다. 그런데, 여기서 사용되는 바이오인식 정보는 개인을 식별할 수 있으므로 개인정보에 해당된다. 따라서, 이것이 유출되거나 오용되었을 때 정보주체의 프라이버시에 부정적인 영향을 미치게 된다. 본 논문에서는 바이오인식 정보와 관련된 국내의 법적 현황을 살펴보고 이와 관련된 침해현황을 살펴본다. 이어서 대표적인 바이오인식 응용 모델을 도출하고, 각각에 대한 취약점 및 대책 방안을 논의한다. 최종적으로 바이오인식 시스템의 개발자와 서비스제공자를 위해 바이오인식 정보의 보호를 위한 수칙을 제시한다.

• 융합보안논문지
• /
• 제15권4호
• /
• pp.3-9
• /
• 2015

웹 서비스를 가능하게 하는 웹 어플리케이션은 내부 개발자가 보안 의식을 갖고 만든다면 일정 수준 이상의 안전성을 보여준다. 하지만 외주 개발의 경우, 품질의 우수성보다는 요구 사항을 충족하고 요청 받은 기능을 실행시키는데 주안점이 있기 때문에 안전성이 우선되지 못한다. 따라서, 본 논문에서는 소프트웨어에 대한 객관적이고도 독립적인 시각으로의 평가를 가능하게 해주는 소프트웨어 테스트 절차를 보안 중심으로 개선하였다. 제안된 모델은 웹 어플리케이션의 외주 개발 시에도 초기부터 보안을 고려할 수 있게 해주며, 특히 보안 인식이 부족한 상황에서 작성된 프로그램의 수정 소요 발생으로 인한 개발 일정 지연 사태를 미연에 방지할 수 있는 효과가 있음을 확인하였다. 이러한 결과는 자원관리체계를 중심으로 웹 어플리케이션에 대한 소요가 증가하고 있는 국방 분야에서도 엄격한 테스트를 토대로 보안 취약점을 지닌 채 서비스되는 것을 방지할 수 있기에 활용이 가능할 것으로 판단된다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2011년도 추계학술발표대회
• /
• pp.531-534
• /
• 2011

본 연구의 목적은 차세대 MEAP 환경에서의 보안 평가 모델을 제시하는 것이다. 기업용 애플리케이션 개발환경은 PES 및 MEAP을 거쳐 완벽한 OSMP구현을 위한 HTML5 환경으로 발전하고 있다. 이와 더불어 보안의 위협도 증대되고 있으나, HTML5 환경에서의 보안에 대한 연구는 미흡한 실정이다. 이러한 문제에 대비하기 위해서는 기존 개발환경의 보안 특징을 살펴볼 필요가 있다. 본 연구에서는 보안위협요소를 Back-End System, Client, Developer, OS 4가지로 도출한 후, 이에 해당하는 보안 위협 문제들을 살펴보고 보안 평가 모델을 제시하였다. 본 모델은 단계별 보안이슈를 포함하고 있으며, 향후 HTML5 시대에 논의될 보안 이슈의 방향성을 제시한다는데 그 의미가 있다. 따라서 본 연구는 기업형 하이브리드 애플리케이션 개발을 준비하는 기업 및 연구자에게 시사점을 제공할 것으로 기대된다.

• 융합보안논문지
• /
• 제12권6호
• /
• pp.61-67
• /
• 2012

현재 스마트폰 사용자의 증가에 따른 영향으로 스마트폰 기반의 악성코드가 많이 발견되고 있다. 그 중에서 안드로이드(android) 악성코드의 개체수가 많은 것은 사용자와 개발자에 대한 개방형 정책과 시스템 접근의 용이성에서 원인을 찾을 수 있다. 인텐트(intent)는 안드로이드 어플리케이션간의 메시지 객체를 전송하여 해당 컴포넌트를 사용할 수 있게 하는 통신 매커니즘이다. 인텐트의 이용은 기존에 존재하는 컴포넌트를 재사용하여 개발자에게 편의성을 제공하지만 보안적인 측면에서는 취약점으로 활용될 수 있다. 인텐트의 보안 취약점은 어플리케이션의 주어진 고유 권한을 임의로 사용 가능하게하고 의도한대로 어플리케이션을 제어할 수 있다. 본 논문에서는 스마트폰 이용자가 커스텀 커널(custom kernel) 사용에 따른 인텐트 보안 취약점에 대해서 대응한다. 브로드캐스트 인텐트의 취약점은 브로드캐스트 리시버에 주요 인텐트를 등록하여 탐지와 차단을 한다. 또한 검증되지 않은 인텐트의 접근 흐름을 실시간으로 감시하여 보안 취약성을 탐지하는 기법을 제안한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2011년도 추계학술대회
• /
• pp.303-306
• /
• 2011

시스템 접근통제를 위한 솔루션은 사용자 개인을 시스템에 인증시키고자 할 때 사용된다. 이러한 유효한 사용자는 과연 바로 권한이 있는 사용자인가 하는 부분으로, 유효한 사용자의 적합성의 여부가 인증되었는지 확실하지 않다는 점이 문제이다. 예를 들어, 한 명의 개발자가 Unix 운영시스템에는 유효할 수 있지만, 권한이 없는 시스템에 대해서는 접근에 제한되어야 한다. 본 논문에서는 1개의 계정으로 여러 사용자가 사용하는 시스템운영의 문제점을 개선하기 위한 세밀한 권한 위임, 세션 감사, 관리자 계정의 정책기반 관리, 모든 권한을 갖는 관리자 계정 배급의 관리와 감사 기능을 통해 시스템 전체적인 접근 제어 방안을 연구한다.

• 한국컴퓨터정보학회논문지
• /
• 제25권11호
• /
• pp.131-138
• /
• 2020

멀웨어는 일반적으로 다른 사용자의 컴퓨터시스템에 침입하여 개발자가 의도하는 악의적인 행위를 일으키는 컴퓨터프로그램으로 인식되지만 사이버 공간에서는 적대국을 공격하기 위한 사이버 무기로써 사용되기도 한다. 사이버 무기로서 멀웨어가 갖춰야 할 가장 중요한 요소는 상대방의 탐지시스템에 의해 탐지되기 이전에 의도한 목적을 달성하여야 한다는 것인데, 하나의 멀웨어를 상대방의 탐지 시스템을 피하도록 제작하는 데에는 많은 시간과 전문성이 요구된다. 우리는 DCM 기법을 사용하여, 바이너리코드 형태의 멀웨어를 입력하면 변종 멀웨어를 자동으로 생성해 주는 프레임워크를 제안한다. 이 프레임워크 안에서 샘플 멀웨어가 자동으로 변종 멀웨어로 변환되도록 구현하였고, 시그니쳐 기반의 멀웨어 탐지시스템에서는 이 변종 멀웨어가 탐지되지 않는 것을 확인하였다.

• 정보보호학회논문지
• /
• 제34권4호
• /
• pp.707-724
• /
• 2024

최근 Golang은 크로스 컴파일이 가능하고 코드 생산성이 높다는 특성으로 프로그래밍 언어 점유율 순위가 매년 지속적 상승하고 있다. 하지만 최근 악성코드 개발자들 또한 랜섬웨어, 백도어 등 악성코드 배포에 자주 활용하고 있다. 특이한 점으로 오픈소스 언어인 Golang은 새로운 버전이 출시될 때, 삭제된 심볼 복구에 필요한 중요한 값들이 포함된 Pclntab이라는 구조체의 값과 구성순서가 상시적으로 변경되고 있다. 개발자 측면에서는 코드 가독성 및 생산성을 위해 구조를 자주 변경하는 것이 문제는 아니나, 사이버보안 측면에서는 구조가 변경된 새로운 버전이 악성코드에 활용될 수 있는 문제점이 존재한다. 따라서 본 논문에서는 Golang 신버전 대상 실행파일 탐지·분석시스템(GoAsap)를 제안하고 기존 바이너리 분석 도구 6종과 비교·평가하여 제안한 시스템의 성능을 검증하였다.

• 융합보안논문지
• /
• 제13권5호
• /
• pp.97-105
• /
• 2013

국가에서 추진하는 모든 프로젝트는 예산이라는 변수에 영향이 크다. 정확한 소요예산 판단불가로 프로젝트 추진 중에 추가적인 예산소요가 발생하여 사업의 중단 혹은 재검토 사례가 빈번히 발생하고 있다. 이는 프로젝트 소요제기단계 및 이를 획득하기 위한 선행연구단계에 제시된 시스템요구사항의 평가와 소요예산의 부정확성으로 기인한다고 평가된다. 시스템요구사항은 사용자가 작성하는 사용자 요구사항과 구별하여 사용자 요구사항을 바탕으로 획득조직에서 시스템의 기술적 요구사항으로 전환하는 것을 말하며 획득조직과 개발자 혹은 제작자 사이에 의사소통을 위한 것이다. 시스템 요구사항 수준은 프로젝트 규모를 결정하는데 중요한 요소로, 시스템요구사항에 대한 비용측면의 적정성 확인은 필수적이다. 그러나 프로젝트 비용요소가 복잡하고 각 요소별로 기준이 상이하여 비용추정이 쉽지 않고 추정된 비용의 오차율도 커서 활용에 어려움이 있었으며, 특히 시스템요구사항을 도출하는 프로젝트 초기단계에는 프로젝트와 관련된 세부자료의 부족으로 비용추정에 어려움이 있었다. 본 연구에서는 요구공학과 비용추정방법에 대한 이론적인 근거를 바탕으로 시스템요구사항 도출 후 비용추정방법을 활용하여 적정성을 검증하고 대안을 비교 후 최적안을 선정하는 아키텍처를 솔루션으로 제시하였고, 이를 위하여 활용 가능한 모수비용추정방법(Parametric Cost Estimating)를 토대로한 비용추정 전산도구인 SEER Cost-IQ를 소개하였다.

• 정보보호학회논문지
• /
• 제17권4호
• /
• pp.61-74
• /
• 2007

공통기준(CC) 평가체계에서 평가신청인과 평가자는 평가프로젝트를 계약할 때 정보보호시스템의 평가비용과 기간을 산정해야한다. 본 논문에서는 2003년과 2005년에 수행한 연구 결과들을 분석하였으며, 연구 결과의 일부분을 활용하여, CC 2.3과 CC 3.1의 평가보증수준($EAL1{\sim}EAL7$)간의 상대적 평가업무량 배율을 실험조사적으로 산정했다. 또한, 각 보증 컴포넌트에 대해 '개발자요구사항', 조정된 '증거요구사항', '평가자요구사항'으로부터 배율을 산정하였고, 특히, 2003년에 KISA 평가 자료로부터 구한 평가자요구사항별 업무량배율을 사용했다. 본 연구의 결과는 새로운 CC 3.1 평가체계에서 특정한 EAL과 제품유형에 대한 평가비용과 기간을 예측해야하는 평가신정인과 평가프로젝트 관리자에게 유용할 것이다.