• Journal of Information Technology Applications and Management
• /
• 제27권6호
• /
• pp.89-99
• /
• 2020

Cloud computing is rapidly increasing for achieving comfortable computing. Cloud computing has essentially security vulnerability of software and hardware. For achieving secure cloud computing, the vulnerabilities of cloud computing could be analyzed in a various and systematic approach from perspective of the service designer, service operator, the designer of cloud security and certifiers of cloud systems. The paper investigates the vulnerabilities and security controls from the perspective of administration, and systems. For achieving the secure operation of cloud computing, this paper analyzes technological security vulnerability, operational weakness and the security issues in an enterprise. Based on analysis, the paper suggests secure establishments for cloud computing.

• 정보보호학회논문지
• /
• 제21권3호
• /
• pp.177-182
• /
• 2011

본 논문은 현재 컴퓨팅 플랫폼 상의 기본 입력장치인 PS/2 기반 키보드에서, 키보드 내부에 정의된 명령코드 중 RESEND 명령을 이용한 키보드 스캔코드의 수집 가능성을 제 시하였다. 또한 제시한 방식을 활용한 키보드 감시 소프트웨어를 실제로 구현한 후 상용 보안 소프트웨어 환경에서 실험하여 사용자 인증 시에 패스워드가 유출될 수 있음을 확인함으로써 제시한 취약점의 위험성을 검증하였다. 이는 현재 플랫폼 상에 존재하는 하드웨어 취약점 중의 하나로써 설계 당시 하드웨어적인 보안 대책을 마련하지 않았기 때문에 발생하는 문제점이라 할 수 있어 해당 취약점을 해결하기 위해서 근본적으로 하드웨어적인 보안 대책이 필요할 것으로 사료된다.

• 정보보호학회논문지
• /
• 제18권4호
• /
• pp.187-194
• /
• 2008

본 논문은 문자열 기반 패스워드 인증에서 키보드 감시 문제를 유발하는 하드웨어 취약점에 대한 효과적인 대응방안을 제안한다. 악의적인 공격자가 해당 취약점을 이용하면 기존의 보안 소프트웨어가 실행되고 있는 상황에서도 키보드로부터 입력되는 사용자의 모든 문자열을 탈취할 수 있었으나 본 논문에서 제시하는 방안을 활용하면 공격자가 키보드 감시에 성공한다 하더라도 사용자의 입력 문자열을 온전히 탈취할 수 없다. 따라서 제안한 방안을 구현하여 적용하면 보다 안전한 인터넷 기반 금융거래가 가능해질 것으로 사료된다.

• 정보보호학회논문지
• /
• 제18권3호
• /
• pp.89-95
• /
• 2008

본 논문은 인터넷 금융거래에서 공통적으로 이용하는 키보드 기반 사용자 아이디 및 패스워드 인증에서의 근본적인 취약점을 제시한다. 또한, 키보드 입력정보의 유출 방지를 위한 기존 기술이 동작하고 있는 실제의 상황에서 사용자 패스워드의 취득이 매우 간단하게 이루어질 수 있음을 보인다. 추가적으로 이러한 취약점을 해결하기 위한 방안으로서 장단기적으로 고려하여야 하는 하드웨어 및 소프트웨어 관점에서의 접근방법에 대하여 제시한다. 다양한 방안들을 구현하고 적용하여 보다 신속하게 대응책을 마련함으로써 기존의 인터넷 금융거래 환경의 보안 수준을 개선해야 할 것으로 사료된다.

• 한국재난정보학회 논문집
• /
• 제3권1호
• /
• pp.87-101
• /
• 2007

The definition and concept of disasters and their preparedness have been changing according to the modern situation. The basic change is that the concept of absolute standard and prevention of hardware damage in the past have been changing to the concept of relative standard and mitigation of direct damage to human. For achieving the purpose, advanced countries developed and used their own analysis method of hazard and vulnerability for disaster ; ASHE hazard and vulnerability evaluation method, hazard matrix method by CDC, FEMA model method and SMUG hazard priority method. Because each analysis method cannot evaluate the hazard and vulnerability for specific disaster, the advantages and disadvantages should be applied for specific situation of disaster in Korea and new analysis method should be extracted in the future.

• 융합보안논문지
• /
• 제18권4호
• /
• pp.11-17
• /
• 2018

최근 하드웨어 키로거는 키보드 내부에 설치할 수 있는 작은 크기와 Wi-Fi 기능을 내장하고 있는 다양한 모듈식 키로거 제품들이 유통되고 있다. 이러한 키로거는 제3자에 의해서 악의적인 목적으로 사용될 경우 탐지가 어려워 정부와 군, 기업과 개인의 중요정보와 민감정보가 유출될 가능성이 높지만, 소프트웨어 키로거와 달리 대응 보안 솔루션과 탐지 방법에 대한 연구가 미흡한 실정이다. 따라서 본 논문에서는 하드웨어 키로거에 의한 보안 취약점과 기존 연구된 탐지 방법들을 살펴보고 키보드의 소비전력, 적외선 온도, X-RAY, 무게, 전자파 등의 비파괴 측정 방법을 통해 모듈식 하드웨어 키로거의 탐지 가능성을 향상 시킬 수 있는 방법을 실험 결과와 함께 제안한다.

• 한국국방경영분석학회지
• /
• 제22권2호
• /
• pp.166-181
• /
• 1996

Aircraft survivability is determined by the susceptibility and the vulnerability. The aircraft susceptibility and vulnerability depend upon the hardware and software factors. Each of the hardware and software factors consisted of the qualitative and quantitative attributes varies according to the time of the mission. In order to establish the mathermatical model to analyze and evaluate the aircraft survivability, qualitative factors have to be transformed into quantitative factors. Even if many researches in the area of dynamic concept analysis and conversion of qualitative factors into the quantitative factors has been insufficient. This research enhances these insufficient area by developing a reliable aircarft survivability analysis method. The major areas of this research are as follows. First, a method for the conversion of the qualitative factors into the quantitative factors is developed by combining the Fuzzy Set Theory concept and the Delphi Technique. Second, by using the stochastic network diagram for the dynamic survivability analysis, the aircraft survivability and the probability of kill are calculated from the state probability for the situation during mission. The advantage of the analysis technique developed in this research includes ease of use and flexibility. In other words, in any given aircraft's mission execution under any variable probability density function, the developed computer program is able to analyze and evaluate the aircraft survivability.

• 환경정책연구
• /
• 제9권2호
• /
• pp.185-205
• /
• 2010

기후변화 적응정책을 수립하기 위해서는 지역에 기초한 취약성 평가가 선행되어야 한다. 지금까지 기후변화 취약성에 관한 연구는 주로 국가별 취약성의 비교 및 분석에 집중되었기 때문에 지역별 기후변화 취약성을 평가하고 비교하기 위한 방법론은 아직 국내외적으로 확립되어 있지 않은 실정이다. 본 논문의 목적은 기후변화 취약성의 개념적 틀을 확립하고 이를 지역적으로 평가하기 위한 일반적인 방법론을 개발하는 데에 있다. 기후변화 취약성을 IPCC (1996) 개념틀에 따라 기후노출과 시스템의 민감도, 그리고 시스템이 대응할 수 있는 적응능력의 함수로 보았다. 여러 기후노출 중 본 논문에서는 기후변화에 의해 일차적으로 피해를 입을 수 있는 해수면 상승을 상정하였다. 방법론 적용 대상도시로는 국내 해안에 위치한 목포시를 선정하였다. 이는 목포시가 포함된 우리나라 서남해 지역의 평균 해수면이 전반적으로 증가추세를 보이고 있고, 특히 목포시가 가장 큰 증가폭을 보였으며, 하구언과 방조제 건설 이후 이상고조 발생 가능성이 현격하게 높아진 해역이기 때문이다. 해수면 상승에 따른 민감도는 GIS 기술을 활용하여 해수면이 1~5m 상승할 경우의 침수 시뮬레이션 결과를 기반으로 계산하였다. 행정구역(동)별 침수면적 비율에 기초하여 여기에 인구밀도 및 65세 이상 인구비율에 대한 통계자료를 고려하였고, 표준화 과정(dimension index)을 거쳐 민감도 지수를 도출하였다. 적응능력으로는 하드웨어적인 측면과 소프트웨어적인 측면을 고려하였는데, 하드웨어적 적응능력으로는 방파제와 방조제의 존재여부 및 높이를 고려하였고, 소프트웨어적 적응능력은 목포시 75명 공무원을 대상으로 설문조사를 수행하여 평가하였다. 설문조사 문항에는 기후변화에 대한 인식, 거버넌스, 경제적 능력 및 정책 기반이 포함되었는데, 0~1 사이의 정량적인 값을 설문문항 응답수준에 따라 부여하였다. 해수면 상승에 따른 취약성은 민감도에서 적응능력을 뺀 나머지로 표현하였다. 목포시의 해수면 상승에 따른 취약성은 총 20개 동 중 7개 동이 높은 것으로 나타났다. 본 연구결과를 이용하여 기후변화 적응대책 수립의 방향성을 제시하기 위해서는 첫째, 과거 침수피해와의 상관관계 다이어그램을 통하여 적응정책 시행의 우선순위 지역을 선정하고, 둘째, 우선순위 지역에 대한 단기, 중기, 장기 개발계획 및 프로젝트를 검토한 후 이에 합당한 적응조치를 제언할 수 있을 것으로 사료된다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2019년도 춘계학술발표대회
• /
• pp.168-169
• /
• 2019

Trusted Execution Environment(TEE), such as Intel SGX, AMD Secure Processor and ARM TrustZone, has recently been a rising issue. Trusted Execution Environment provides a secure and independent code execution, hardware-based, environment for untrusted OS. In this paper, we show that Trusted Execution Environment's research trends on its vulnerability and attack models. We classify the previous attack models, and summarize mitigations for each TEE environment.

• Nuclear Engineering and Technology
• /
• 제36권4호
• /
• pp.346-356
• /
• 2004

14 Pressurized Water Reactors (PWR) in Korea use a remote monitoring system (RMS), which have been used in Korea since 1998. A Memorandum of Understanding on Remote Monitoring, based on Enhanced Cooperation on PWRs, was signed at the 10th Safeguards Review Meeting in October 2001 between the International Atomic Energy Agency (IAEA) and Ministry Of Science and Technology (MOST). Thereafter, all PWR power plants applied for remote monitoring systems. However, the existing method is high cost (involving expensive telephone costs). So, it was eventually applied to an Internet system for Remote Monitoring. According to the Internet-based Virtual Private Network (VPN) applied to Remote Monitoring, the Korea Atomic Energy Research Institute (KAERI) came to an agreement with the IAEA, using a Member State Support Program (MSSP). Phase I is a Lab test. Phase II is to apply it to a target power plant. Phase III is to apply it to all the power plants. This paper reports on the penetration testing of Phase I. Phase I involved both domestic testing and international testing. The target of the testing consisted of a Surveillance Digital Integrated System (SDIS) Server, IAEA Server and TCNC (Technology Center for Nuclear Control) Server. In each system, Virtual Private Network (VPN) system hardware was installed. The penetration of the three systems and the three VPNs was tested. The domestic test involved two hacking scenarios: hacking from the outside and hacking from the inside. The international test involved one scenario from the outside. The results of tests demonstrated that the VPN hardware provided a good defense against hacking. We verified that there was no invasion of the system (SDIS Server and VPN; TCNC Server and VPN; and IAEA Server and VPN) via penetration testing.