• 정보보호학회논문지
• /
• 제25권3호
• /
• pp.559-565
• /
• 2015

USB 메모리에 의한 정보유출 악성코드 유입 등에 대한 방어를 위해 다양한 복사방지 장치제어와 같은 보안기술들이 지속적으로 연구 개발 되고 있다. 하지만, 지난 2014년 Black Hat Security Conference에서 USB의 새로운 취약성으로 제시된 BadUSB에 대해서는 치명적 보안결함으로 인식되고 있음에도 불구하고 대응책이 미흡한 실정이다. 이를 개선하기 위해, BadUSB로 인한 취약성을 대상으로, 기술적 제도적 관리적 측면의 대응방안을 제시하고자 한다.

• 한국융합학회논문지
• /
• 제6권1호
• /
• pp.85-91
• /
• 2015

최근 전자금융사기가 급증하여 정부에서 스미싱, 파밍, 피싱, 메모리 해킹에 대한 예방법, 대처 요령을 배포하고 전자금융거래법을 강화하였다. 이에 따라 전자금융사기 방법 또한 진화하고 대처하기 어렵게 변하고 있다. 과거의 무작위 대상로 보이스피싱이 아닌 공격 대상의 개인 정보를 알아내서, 공격대상의 개인정보를 빅데이터로 만들어 치밀하게 분석한다. 분석한 정보를 토대로 보이스피싱을 하는 신종 전자금융사기로 진화하였다. 빅데이터화된 개인정보를 융합한 보이스피싱의 공격 방법을 분석하고 앞으로 점점 더 진화하고 있는 전자금융사기의 대응방안을 제안한다. 메모리에 의미 없는 데이터를 저장하는 방법으로 공격자는 빅데이터 기반으로 개인정보를 획득한다해도 정확한 정보를 도출 시킬 수 없으며 보이스피싱 또한 제대로 할 수 없게 된다. 본 논문에서 새로운 사회공학적 공격을 알아보고 그에 따른 대응방안을 제안한다.

• 정보처리학회논문지C
• /
• 제9C권4호
• /
• pp.453-458
• /
• 2002

최근 들어 버퍼오버플로우 취약성을 이용한 해킹 사례들이 늘어나고 있다. 버퍼오버플로우 공격을 탐지하는 방법은 크게 입력 데이터의 크기 검사 비정상적인 분기 금지, 비정상 행위 금지의 세가지 방식 중 하나를 취한다. 본 논문에서는 비정상적인 분기를 금지하는 방법을 살펴본 것이다. 기존의 방법은 부가적인 메모리를 필요로 하고, 컨트롤 플로우가 비정상적인 흐름을 찾기 위해 코드를 추가하고 실행함으로써 프로그램 실행시간의 저하를 단점으로 이야기할 수 있다. 본 논문에서는 부가적인 메모리 사용을 최소한으로 줄임으로 메모리 낭비를 저하시키고 실행시간에 컨트롤 플로우가 비정상적으로 흐르는 것을 막기 위한 작업들을 최소화함으로서 기존의 방법보다 더 효율적인 방법을 제안하고자 한다.

• 융합보안논문지
• /
• 제18권5_2호
• /
• pp.21-27
• /
• 2018

우리나라 인터넷 사용자의 대부분은 공인인증서를 발급받아 이를 이용해 다양한 업무에 사용하고 있다. 이런 이유로 공인인증기관 및 보안관련 업체에서는 공인인증서를 사용자의 데스크톱(PC)에 저장하지 말고 USB메모리 및 휴대용 저장장치에 저장하고 사용하는 것을 권장하고 있다. 이런 노력에도 불구하고 공인인증서의 해킹은 지속적으로 발생하고 금전적 피해도 잇따르고 있다. 또한, 우리 군에서는 보안상의 이유로 일반 사용자에게는 USB를 사용할 수 없게 하고 있다. 그러므로 본 연구는 사용자가 소유한 USB메모리와 PC의 고유정보를 이용한 이중 암호화(Two-factor)방식을 제안하여 일반 사용자에게 안전한 개인키 파일 관리방안을 제시하고자 한다. 나아가 이를 국방에 적용하여 중요자료의 생산 및 보관중인 비밀에 대한 외부유출 및 비인가자의 접근방지에 기여하고자 한다.

• 한국인터넷방송통신학회논문지
• /
• 제9권6호
• /
• pp.63-68
• /
• 2009

모든 정보기술 분야에서 비인가자의 편취나 의도적 변경 등으로부터 정보를 보호하는 것은 핵심적인 문제가 되었다. 이에 안전한 작업진행을 위해 효과적이고 편의한 보안방법들이 요구되는데, 암호화 알고리즘은 많은 연산시간을 요하며, 실제 CPU 시간과 메모리 등의 많은 시스템 자원을 소모한다. 본 논문에서는 대형 자료의 암호화를 위해 평문의 압축, 입력 블록의 가변 크기, 라운드 횟수의 사용자 설정, 소프트웨어 최적화 등의 4가지 특징을 고려한 AES 확장 구조를 제안하였다. 실험은 C++로 수행하였으며 암호화와 복호화에서 개선된 실행시간을 보인다.

• 정보처리학회논문지C
• /
• 제9C권2호
• /
• pp.173-180
• /
• 2002

기존의 스마트카드는 사용자의 인증, 접근제어, 정보 저장·관리기능 등을 수행하기에 보안성이 매우 뛰어난 기반으로 부각되고 있으며 시장 또한 급성장하고 있다. 그러나 이런 급성장에 따라 해킹에 의한 위·변조 가능성 역시 점점 더 높아지고 있다. 이에 본 논문에서는 홀로그래픽 암호화 기반에서 각 다중화 및 암호키 다중화 기법을 사용하여 위·변조를 차단하였다. 또한 스마트카드 칩과 홀로그래픽 메모리 칩을 채택하여 기존의 스마트카드에서는 불가능했던 위·변조의 검증이 가능한 시스템을 제안하였다.

• 한국지능시스템학회논문지
• /
• 제24권4호
• /
• pp.349-354
• /
• 2014

지금까지 스마트 카드의 사용자 인증은 단말기에서 PIN(Personal Information Number)을 대조하는 MOT(Match On Terminal)방식으로 이루어져 왔다. 이러한 기존의 방법은 사용자의 망각이나 분실로 인해 PIN정보가 유출될 위험이 있으며, 단말기에서 사용자 정보를 대조하기 때문에 사용자 정보에 대한 불법적인 접근 가능성이 높다. 따라서, 본 논문은 PIN방식과 비교하여 현저히 분실과 망각 위험이 낮은 생체정보를 이용하는 MOC(Match On Card)방식 사용자 인증 방법을 제안한다. 이를 위해, 제한적인 저장 공간을 가지고 있는 스마트 카드에도 저장 할 수 있는 저용량의 얼굴 생체벡터를 구성하고 낮은 연산속도를 가진 스마트 카드에서 실시간으로 매칭 결과를 알아 낼 수 있는 단순한 매칭 알고리즘을 제안한다.

• 정보보호학회논문지
• /
• 제25권4호
• /
• pp.941-950
• /
• 2015

인터넷의 발달과 함께 인터넷 뱅킹은 널리 사용되고 있다. 이와 함께 금전적 이득을 목적으로 인터넷 뱅킹을 타겟으로 하는 피싱 공격이 기승을 부리고 있으며, 이에 대응하기 위해 은행에서는 보안 모듈을 사용자 컴퓨터에 설치하고 인터넷 뱅킹을 이용하도록 요구한다. 하지만 메모리 해킹 공격 등 고도화된 피싱 공격은 보안 모듈을 우회한다. 본 논문에서는 국내 은행에서 제공하는 인터넷뱅킹 보안 모듈 현황을 알아보고, 그 중에서도 이체 정보의 암호화를 담당하는 키보드 보안 모듈을 분석한다. 그리고 자바스크립트를 이용하여 이체정보를 변조하는 기법을 제안한다. 키보드 보안 모듈은 공격자가 심어놓은 악의적 프로그램으로부터 사용자가 입력한 이체 정보의 노출 및 변조를 방지하는 기능을 담당한다. 하지만 우리가 제안한 자바스크립트 변조 공격은 키보드 암호화 모듈을 우회하고 이체 정보를 변조하는 것이 가능하다. 또한 이체정보확인 페이지를 변조하여 사용자가 정상적인 거래를 한 것처럼 속일 수 있다.

• 한국융합학회논문지
• /
• 제8권11호
• /
• pp.21-27
• /
• 2017

초연결사회를 지향하기 위해 발전하고 있는 사물인터넷(Internet of Things)은 아두이노 등의 OSHW(Open Source Hardware)를 기반으로 두고 있으며 다양한 소형 제품 등이 등장하고 있다. 이러한 사물인터넷은 저성능, 저메모리라는 한계로 인하여 강력한 보안 기술을 적용하기 어렵다는 심각한 정보보안 문제를 야기하고 있다. 본 논문에서는 사물인터넷 기기로 주로 사용되는 아두이노의 응용프로그램이 호스트컴퓨터에서 컴파일과 로딩이 수행됨에 따라 발생할 수 있는 취약성을 분석하여 아두이노 보드의 센서로부터 입력되는 값을 공격자가 임의로 변경할 수 있는 새로운 공격 방법을 제안한다. 이러한 방법을 통해 아두이노 보드가 환경정보를 오인식하여 정상적인 동작이 불가능하게 할 수 있다. 이러한 공격 기법의 이해를 통해 안전한 개발환경 구축방안을 고려할 수 있으며 이러한 공격으로부터 대응할 수 있다.

• 전기학회논문지
• /
• 제65권1호
• /
• pp.128-134
• /
• 2016

IoT devices including smart devices are connected with internet, thus they have security threats everytime. Particularly, IoT devices are composed of low performance MCU and small-capacity memory because they are miniaturized, so they are likely to be exposed to various security threats like DoS attacks. In addition, in case of IoT devices installed for a remote place, it's not easy for users to control continuously them and to install immediately security patch for them. For most of IoT devices connected directly with internet under user's intention, devices exposed to outside by setting IoT gateway, and devices exposed to outside by the DMZ function or Port Forwarding function of router, specific protocol for IoT services was used and the devices show a response when services about related protocol are required from outside. From internet search engine for IoT devices, IP addresses are inspected on the basis of protocol mainly used for IoT devices and then IP addresses showing a response are maintained as database, so that users can utilize related information. Specially, IoT devices using HTTP and HTTPS protocol, which are used at usual web server, are easily searched at usual search engines like Google as well as search engine for the sole IoT devices. Ill-intentioned attackers get the IP addresses of vulnerable devices from search engine and try to attack the devices. The purpose of this study is to find the problems arisen when HTTP, HTTPS, CoAP, SOAP, and RestFUL protocols used for IoT devices are detected by search engine and are maintained as database, and to seek the solution for the problems. In particular, when the user ID and password of IoT devices set by manufacturing factory are still same or the already known vulnerabilities of IoT devices are not patched, the dangerousness of the IoT devices and its related solution were found in this study.