• 정보보호학회논문지
• /
• 제22권5호
• /
• pp.1191-1204
• /
• 2012

정보보안시스템을 무력화하는 공격이 나타남에 따라, 정보보안제품의 취약성을 분석하는 보안 테스팅에 대한 관심이 높아지고 있다. 보안제품 개발의 주요 단계인 침투 테스팅은, 공격자가 악용할 수 있는 취약성을 찾기 위해 컴퓨터 시스템을 실제적으로 테스팅하는 것이다. 침투 테스팅과 같은 보안 테스팅은 대상 시스템에 대한 정보 수집, 가능한 진입점 식별, 침입 시도, 결과 보고 등의 과정을 포함한다. 따라서 취약성 분석 및 보안 테스팅에서 일반성, 재사용성, 효율성을 극대화하는 것이 매우 중요하다. 본 논문에서는, 정보보호제품이 자신의 보안 기능을 무력화하거나 우회하는 공격에 대응할 수 있는 자체보호기능 및 우회불가성을 제공하는 가를 평가할 수 있는 위협분석 기반의 소프트웨어 보안 테스팅을 제안한다. 위협분석으로 취약성을 식별한 후, 보안 테스팅의 재사용성과 효율성을 개선하기 위해 소프트웨어 모듈과 보안 기능에 따라 테스팅 전략을 수립한다. 제안기법은 위협 분석 및 테스팅 분류, 적절한 보안테스팅 전략 선정, 보안 테스팅으로 구성된다. 사례연구와 보안테스팅을 통해 제안 기법이 보안 시스템을 체계적으로 평가할 수 있음을 보였다.

• 정보보호학회논문지
• /
• 제19권2호
• /
• pp.75-82
• /
• 2009

본 논문에서는 전세계적으로 90%이상의 사용자층을 보유하고 있는 윈도우즈 OS의 API에 대한 보안 테스팅 중 Fuzz Testing을 적용하여 그 안전성을 검증하였다. 본 논문에서는 윈도우즈의 시스템 폴더 내에 구현된 함수들을 대상으로 테스팅하기 위해 Fuzz Testing 기반 자동화 방법론인 AWAFT를 제안하였다. AWAFT는 보안 취약점 중 버퍼오버플로우와 함수 파라미터 파싱 오류에 초점을 맞추고 있다. AWAFT를 자동화하기 위한 도구를 구현하였으며 Windows XP SP2 시스템 폴더에 적용한 결과 177개의 프로그램 종료 에러를 발견하였으며, 이 중 10개는 프로그램의 실행 흐름을 변경시킬 수 있는 보안상 위험한 취약점이었다. AWAFT는 윈도우즈 기반으로 개발되는 소프트웨어의 라이브러리에 대해 보안 향상을 위해 적용 가능하다.

• International Journal of Computer Science & Network Security
• /
• 제21권5호
• /
• pp.217-221
• /
• 2021

Recent studies have indicated that mobile markets harbor applications (apps) that are either malicious or vulnerable, compromising millions of devices. Some studies indicate that 96% of companies' employees have used at least one malicious app. Some app stores do not employ security quality attributes regarding authorization, which is the function of specifying access rights to access control resources. However, well-defined access control policies can prevent mobile apps from being malicious. The problem is that those who oversee app market sites lack the mechanisms necessary to assess mobile app security. Because thousands of apps are constantly being added to or updated on mobile app market sites, these security testing mechanisms must be automated. This paper, therefore, introduces a new mechanism for testing mobile app security, using white-box testing in a way that is compatible with Bring Your Own Device (BYOD) working environments. This framework will benefit end-users, organizations that oversee app markets, and employers who implement the BYOD trend.

• 품질경영학회지
• /
• 제49권2호
• /
• pp.113-125
• /
• 2021

Purpose: This study focused on reality and quality improvement of aviation security equipment performance certification system. Methods: For this propose, we analyzed aviation security equipment performance certification system related legislations. Using analyzed data, we suggested advancement plan of aviation security equipment performance certification system. Results: In results, South Korea has been implementing aviation security performance certification system since October 2018. Parts for improvement of system are mutual certification with major countries that operate aviation security equipment performance certification systems, the spread of the defense industry's system, development of similar substances for handling explosives, and introduction of preliminary inspections. Conclusion: The research result could be used as a basic data for upgrading Korea's aviation security performance certification system.

• 정보보호학회논문지
• /
• 제17권2호
• /
• pp.51-59
• /
• 2007

소프트웨어 테스팅은 소프트웨어의 버그 및 잘못 구현된 부분 등을 찾아내는 과정을 통해 품질을 평가하는 방법이다. 퍼징(fuzzing)은 소프트웨어 테스팅 기술의 여러 가지 방법 중 하나로써 난수를 발생시켜 테스팅하고자 하는 소프트웨어에 주입하는 방법으로써 보안에 중점을 두어 테스팅하는 방법이다. 퍼징은 단위 시간 당 테스팅 효율성, 비용 절감 등 여러 가지 장점을 이유로 다수 사용되고 있으나 퍼징 수행 시 전문가의 개입이 많은 단점이 존재한다. 예를 들면 해당 소프트웨어가 사용하는 프로토콜 혹은 퍼징 대상이 파일인 경우 파일 포맷에 대한 분석을 수행한 후에야 가능하기 때문에 테스팅 기간이 길어질 수 있으며 퍼징 도구를 이용해도 퍼징 대상의 프로토콜 및 포맷에 대한 분석이 난해한 경우 테스팅 대상에 대한 퍼징을 수행하지 못할 수도 있다. 본 논문에서 설계한 ROAD는 RPC 기반 프로토콜 및 소프트웨어를 자동으로 퍼징할 수 있는 도구이다. RPC는 다수의 취약점이 발견된 구성요소로써 본 논문에서는 이를 자동으로 퍼징할 수 있는 도구의 구현을 목표로 하였다. 기존의 도구 중 RPC 기반 소프트웨어를 퍼징하는 도구가 존재하지만 자동화되어 있지 않을 뿐만 아니라 소프트웨어에 따라 도구를 수정해야만 사용이 가능하다. 본 논문은 이러한 단점을 극복하고자 자동화 도구를 설계 및 구현하여 실제 RPC 기반 프로토콜 및 소프트웨어에 적용하였다. 또한 실험을 통해 도구의 효용성을 검증하였다.

• 품질경영학회지
• /
• 제48권3호
• /
• pp.395-408
• /
• 2020

Purpose: This study was performed for advancement of aviation security equipments certification system. Methods: We investigated aviation security equipments certification-related registrations and the latest research trends of explosive detection technologies. Based on the literature studies, we draw the critical issues of the aviation security equipment certification system and suggested improvement direction. Results: We found some inaccuracies of the definition of explosive trace detection equipments, accreditation review committee, and performance evaluation test method. These problems should be modified to suit being practical. Conclusion: The present results would be useful for basic data for modifying aviation security equipments certification systems.

• 정보보호학회논문지
• /
• 제17권4호
• /
• pp.3-10
• /
• 2007

본 논문에서는 파일에 결함을 주입하는 기법을 이용하여 보안 테스팅(security testing)을 수행하는 방법론을 제안한다. 본 논문에서 제안한 방법론은 파일 내의 여러 필드(field)들을 묶어 블록(block)으로 처리하는 파일 포맷을 대상으로 필드를 고려하여 결함 주입 기법을 수행함으로써 소프트웨어의 취약점을 발견한다. 해당 방법론은 파일 데이터의 변경으로 발생할 수 있는 메모리 처리 관련 취약점에 초점을 맞추고 있다. 파일에 결함을 주입할 때 필드를 고려하면 파일을 파싱하는 과정에서 발생할 수 있는 파일 포맷 불일치의 에러 처리를 줄일 수 있는 장점이 있다. 본 논문에서는 블록으로 처리하는 파일 포맷 중 대표적인 파일 포맷인 이미지 파일에 대해 해당 방법론을 적용하였다. 이와 함께 이미지 파일에 대해 자동으로 결함을 주입할 수 있는 도구인 ImageDigger를 구현하였다. ImageDigger를 이용하여 WMF, EMF 이미지 파일 포맷에 대해 결함 주입을 수행하였으며 10종류의 서비스 거부 취약점을 발견하여 원인을 분석하였다. 해당 방법론은 블록을 기반으로 파일을 처리하는 대표적인 파일 포맷인 MS Office와 이외의 파일 포맷에 대해서도 적용 가능하다.

• 융합보안논문지
• /
• 제15권4호
• /
• pp.3-9
• /
• 2015

웹 서비스를 가능하게 하는 웹 어플리케이션은 내부 개발자가 보안 의식을 갖고 만든다면 일정 수준 이상의 안전성을 보여준다. 하지만 외주 개발의 경우, 품질의 우수성보다는 요구 사항을 충족하고 요청 받은 기능을 실행시키는데 주안점이 있기 때문에 안전성이 우선되지 못한다. 따라서, 본 논문에서는 소프트웨어에 대한 객관적이고도 독립적인 시각으로의 평가를 가능하게 해주는 소프트웨어 테스트 절차를 보안 중심으로 개선하였다. 제안된 모델은 웹 어플리케이션의 외주 개발 시에도 초기부터 보안을 고려할 수 있게 해주며, 특히 보안 인식이 부족한 상황에서 작성된 프로그램의 수정 소요 발생으로 인한 개발 일정 지연 사태를 미연에 방지할 수 있는 효과가 있음을 확인하였다. 이러한 결과는 자원관리체계를 중심으로 웹 어플리케이션에 대한 소요가 증가하고 있는 국방 분야에서도 엄격한 테스트를 토대로 보안 취약점을 지닌 채 서비스되는 것을 방지할 수 있기에 활용이 가능할 것으로 판단된다.

• 정보보호학회논문지
• /
• 제11권6호
• /
• pp.67-76
• /
• 2001

본 논문에서는 미국 NIST(National Institute of Standards & Technology)의 AES(Advanced Encry-ption Standard) 선정기준 중 안전성 평가인 난수검정에 대하여 고찰하고자 한다. 암호 알고리즘의 안전성 평가는 입출력문과 키의 크기, 평문과 암호문 및 키와 암호문의 상관성, 평문과 키의 변화에 따르는 암호문의 변화 그리고 구조적 특이성 등이 고려대상이 된다. 주어진 암호 알고리즘에 대한 안전성 필요충분조건 만족여부를 평가하는 것은 어려우며 객관적인 평가를 위해서는 정량적인 평가결과가 도출되어야 한다. 본 논문에서는 NIST에서 실시한 AES 안전성 평가항목들과 기준에 대하여 고찰하며, 국내 암호 알고리즘 표준인 SEED등 여러 암호 알고리즘과 난수발생기를 AES 평가기준에 맞추어 새롭게 분석해 보고자 한다.

• 품질경영학회지
• /
• 제48권1호
• /
• pp.187-199
• /
• 2020

Purpose: This study suggests how to upgrade performance certification technology. Current performance certification of aviation security equipment and the requirements thereof were analyzed. Methods: The performance certification of aviation security equipment worldwide and identified issues with the domestic certification system were compared. The government must upgrade certification in terms of technical standards, the assessment methodology used, and the operating system. Results: Three principal conclusions were drawn. First, certification requirements must be based on a review of the technical literature and real-world experience. Second, development priorities must be set by reference to assessment techniques. Third, both research on the certification system and improvements thereof are essential. Conclusion: Certification of aviation security equipment performance requires gradual upgrading.