• 정보보호학회논문지
• /
• 제24권1호
• /
• pp.215-219
• /
• 2014

C언어에는 프로그래머의 의도와는 다르게 동작하는 정의되지 않은 행동(undefined behavior)들이 존재한다. 정상적인 데이터를 확인하기 위한 안전성 검사에서 정의되지 못한 행동에 해당되는 경우를 인지하지 못하고 사용하여 안전성 검사가 컴파일러에 의해 무효화 되는 문제점이 발생한다. 본 논문에서는 이러한 문제점들을 해결하기 위해 소스코드에서 안전성 검사를 표기하고 실행파일에서 유효성을 확인하는 자동화된 시스템을 제안한다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제12권4호
• /
• pp.180-187
• /
• 2020

Security threats are increasing with interest due to the mass spread of smart devices, and vulnerabilities in developed applications are being exposed while mobile malicious codes are spreading. The government and companies provide various applications for the public, and for reliability and security of applications, security checks are required during application development. In this paper, among the security threats that can occur in the mobile service environment, we set up the vulnerability analysis items to respond to security threats when developing Android-based applications. Based on the set analysis items, vulnerability analysis was performed by examining three applications of public institutions and private companies currently operating as mobile applications. As a result of application security checks used by three public institutions and companies, authority management and open module stability management were well managed. However, it was confirmed that many security vulnerabilities were found in input value verification, outside transmit data management, and data management. It is believed that it will contribute to improving the safety of mobile applications through the case of vulnerability analysis for Android application security.

• 시큐리티연구
• /
• 제49호
• /
• pp.157-183
• /
• 2016

유럽 등 세계 곳곳에서 이슬람 무장단체(IS)나 자생적 테러 및 국제 테러조직이 다양한 방법으로 철도교통시설에서 폭발물 테러를 발생시켜 "테러와의 전쟁"을 벌이고 있다. 우리나라가 미국의 중동지역에서의 전쟁에 협력하는데 대해 이슬람권 국가들이 반한 감정을 갖고 있고, 이슬람 무장단체(IS)는 2015.9.9 이후 우리나라를 4번이나 테러 대상국으로 지목했다. 또한 북한은 핵 실험, 미사일 발사 실험으로 국제사회에서 고립 당하고 남 북한 간 긴장을 고조시키며 우리의 중요인사 및 시설에 대한 테러 위협을 하고 있다. 이와 같은 테러가 철도교통시설에서 발생하는 것을 예방 및 차단하지 못할 경우 많은 인명 및 재산피해, 사회혼란, 국 내외적으로 테러 대응 정책실패에 대한 정부의 신뢰 하락으로 관광객 감소, 외국의 투자기피, 자본이탈 등 국가적 위기 상황이 발생할 수도 있을 것으로 예상 된다. 본 연구에서는 철도경찰의 철도보안검색 등의 업무를 바탕으로 국민보호와 공공의 안전을 위해 철도보안검색 강화를 위한 정책적 대응 방안을 제안하고자 함에 목적이 있다. 그 방안으로 첫째, 철도경찰의 인력증원 및 일반경찰과 업무 관할권 조정 둘째, 철도 보안검색의 단계적 확대 셋째, 철도의 중요시설 보안시스템 강화 넷째, 철도안전법 보완 다섯째, 동남아 등 각국의 불법체류자 단속 강화 여섯째, 보안검색요원의 인권침해 예방과 전문화대책 일곱째, 보안검색 및 테러예방 홍보와 테러 발생 시 신속한 대응을 위한 관련 기관들의 선제적 주기적 협력 방안 등이 필요하다.

• 정보처리학회논문지A
• /
• 제13A권5호
• /
• pp.399-404
• /
• 2006

Java 2에서 자원에 대한 접근 권한관리를 위하여 프로그래머는 프로그램 실행에 필요한 권한들을 정책파일(polic file)에 기술하고, 보안관 리자(Security Manager)를 설치하여 프로그램을 수행시킨다. 프로그램 실행 중에 자원에 대한 접근을 시도할 때마다. 보안관리자는 스택 인스펙션을 통해 접근 권한이 있는지 검사한다. 본 논문에서는 프로그래머가 안전한 보안정책을 세우는데 편의를 제공하고자 권한검사 관련 정보를 정적으로 분석하여 시각적으로 보여주는 시스템을 구현하였다. 권한김사 시각화 시스템은 정적 권한검사 분석에 기반하여, 각 메소드 별로 항상 성공하거나 항상 실패하는 권한검사를 계산한다. 프로그래머는 프로그램을 실행시켜보기 전에 권한검사와 스택 인스펙션이 어떻게 수행되는지 시각적으로 확인해 볼 수 있다. 이러한 정보를 토대로 안전한 보안정책을 세우기 위해 프로그램이나 정책파일을 수정할 수 있다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2012년도 춘계학술대회
• /
• pp.456-460
• /
• 2012

개인정보보호법이 2012년 3월 30일 시행을 하였다. 일반적으로 개인정보를 관리하는 DB서버는 보안을 강화하기 위한 보안시스템을 갖추고 있으나, PC에서는 개인정보보호를 위한 취약점 분석과 보안성 자가진단에 대한 연구가 필요하다. 본 논문에서는 PC에서 개인정보보호 관련 정보를 검색하고, 암호화하여 보안성을 강화하고 삭제대상 파일은 복구 불가능하게 삭제한다. PC에서 검색된 취약성 분석은 사용자계정점검, 공유폴더점검, 서비스 방화벽 점검, 화면보호기, 자동패치업데이트를 점검한다. 점검 후에 취약점에 관한 정량화 분석과 표현을 통해, 보안성 강화를 위한 점검리스트을 작성해서 보여주고, PC보안 관리를 반자동화하여 서버에서 관리하여 작동시킨다. 본 논문을 통해 PC개인정보보호와 PC보안강화로 국민의 경제적 피해와 고충을 줄이는데 기여할 것이다.

• 디지털산업정보학회논문지
• /
• 제20권1호
• /
• pp.119-131
• /
• 2024

The purpose of this study is to examine the operational performances by the investment level of information security in companies. The theoretical background summarized the meaning of information security, management information security, and network security. The research process was carried out in four stages. As a result of the analysis, the level of information security was classified into four groups, and the difference in operational performance was confirmed. According to the categorical regression analysis of the three dependent variables, independent variables such as network threats, non-network threats, executive information security awareness, industry, organizational size, and information security education all affected information security regulations, in-house information security checks, and information security budget investments. The theoretical implications of this study have contributed to updating the latest information security theory. Practical implications are that rational investments should be made on the level of information security of companies.

• 한국컴퓨터정보학회논문지
• /
• 제4권2호
• /
• pp.39-45
• /
• 1999

본 논문은 디지털서명을 위한 암호화 기법의 분석과 이산대수 문제와 소인수 분해와 같이 계산 복잡도의 어려움에 안전성의 근거를 둔 암호방식을 비교한다. 특히 계산량에 의한 성분분석과 데이터 크기 비교 및 처리속도를 시뮬레이션에 의해 비교, 검토하였다.

• 정보보호학회논문지
• /
• 제30권5호
• /
• pp.881-893
• /
• 2020

CFI(Control Flow Integrity)는 제어 흐름을 검증해 프로그램을 보호하는 기법이다. 안드로이드 환경에서 애플리케이션 보호를 위해 LLVM Clang 컴파일러가 지원하는 CFI 기법인 IFCC(Indirect Function Call Checks)와 SCS(Shadow Call Stack)이 도입되었다. IFCC가 함수 호출, SCS이 함수 복귀 시 제어 흐름을 보호한다. 본 논문에서는 IFCC, SCS을 적용한 애플리케이션 환경에서 CFI 우회 공격기법을 제안한다. 사용자 애플리케이션에 IFCC, SCS을 적용하여도 애플리케이션 메모리 내 IFCC, SCS으로 보호되지 않은 코드 영역이 다수 존재하는 것을 확인하였다. 해당 코드 영역에서 공격을 위한 코드를 실행해 1) IFCC로 보호된 함수 우회 호출 기법, 2) SCS 우회를 통한 복귀 주소 변조 기법을 구성한다. 안드로이드10 QP1A. 191005.007.A3 환경에서 IFCC, SCS으로 보호되지 않은 코드 영역을 식별하고 개념 증명(proof-of-concept) 공격을 구현해 IFCC, SCS이 적용된 환경에서 제어 흐름 변조가 가능함을 보인다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제4권4호
• /
• pp.671-690
• /
• 2010

The continuous growth of attacks in the Internet causes to generate a number of rules in security devices such as Intrusion Prevention Systems, firewalls, etc. Policy anomalies in security devices create security holes and prevent the system from determining quickly whether allow or deny a packet. Policy anomalies exist among the rules in multiple security devices as well as in a single security device. The solution for policy anomalies requires complex and complicated algorithms. In this paper, we propose a new method to remove policy anomalies in a single security device and avoid policy anomalies among the rules in distributed security devices. The proposed method classifies rules according to traffic direction and checks policy anomalies in each device. It is unnecessary to compare the rules for outgoing traffic with the rules for incoming traffic. Therefore, classifying rules by in-out traffic, the proposed method can reduce the number of rules to be compared up to a half. Instead of detecting policy anomalies in distributed security devices, one adopts the rules from others for avoiding anomaly. After removing policy anomalies in each device, other firewalls can keep the policy consistency without anomalies by adopting the rules of a trusted firewall. In addition, it blocks unnecessary traffic because a source side sends as much traffic as the destination side accepts. Also we explain another policy anomaly which can be found under a connection-oriented communication protocol.

• 스마트미디어저널
• /
• 제11권3호
• /
• pp.54-61
• /
• 2022

공공기관과 기업에서 관리하는 정보 시스템 종류의 증가로, 국내에서는 보안 점검의 미흡으로 발생할 수 있는 취약성에 신속하게 대응하기 위한 보안 인증제도를 시행하고 있다. ISMS-P와 같은 국내의 정보보호체계 평가는 기술적 점검 항목들에 대해 범주를 나누어 평가함으로써 각 범주에 대한 체계적인 보안성 평가를 수행하고 있다. 미국의 NIST에서는 보안 점검 목록을 작성하고 취약성 점검을 자동화할 수 있는 프로토콜인 SCAP을 개발했으며 SCAP에 사용되는 보안 점검 목록은 OVAL로 작성할 수 있다. 제조사 별로 보안 점검 목록을 작성하여 SCAP 커뮤니티를 통해 공유하고 있지만, 국내 보안평가체제에 맞게 범주화되어있지 않아 국내에서는 실질적으로 사용하기에 어려움이 있다. 이에 본 논문에서는 국내 정보보호체계에 SCAP을 적용하기 위해 OVAL로 작성된 점검 항목인 OVAL 정의를 범주화하는 메커니즘을 제시한다. 레드햇 8 STIG 파일을 대상으로 230개 항목 중 189개의 OVAL 정의를 국내 보안 평가체제에 적용할 수 있음을 보였고, 범주화된 레드햇 정의 파일의 통계를 분석하여 범주별 시스템 취약성 추이를 확인할 수 있었다.