• 제목/요약/키워드: security testing

검색결과 379건 처리시간 0.022초

보안기능의 무력화 공격을 예방하기 위한 위협분석 기반 소프트웨어 보안 테스팅 (Threat Analysis based Software Security Testing for preventing the Attacks to Incapacitate Security Features of Information Security Systems)

  • 김동진;정윤식;윤광열;유해영;조성제;김기연;이진영;김홍근;이태승;임재명;원동호
    • 정보보호학회논문지
    • /
    • 제22권5호
    • /
    • pp.1191-1204
    • /
    • 2012
  • 정보보안시스템을 무력화하는 공격이 나타남에 따라, 정보보안제품의 취약성을 분석하는 보안 테스팅에 대한 관심이 높아지고 있다. 보안제품 개발의 주요 단계인 침투 테스팅은, 공격자가 악용할 수 있는 취약성을 찾기 위해 컴퓨터 시스템을 실제적으로 테스팅하는 것이다. 침투 테스팅과 같은 보안 테스팅은 대상 시스템에 대한 정보 수집, 가능한 진입점 식별, 침입 시도, 결과 보고 등의 과정을 포함한다. 따라서 취약성 분석 및 보안 테스팅에서 일반성, 재사용성, 효율성을 극대화하는 것이 매우 중요하다. 본 논문에서는, 정보보호제품이 자신의 보안 기능을 무력화하거나 우회하는 공격에 대응할 수 있는 자체보호기능 및 우회불가성을 제공하는 가를 평가할 수 있는 위협분석 기반의 소프트웨어 보안 테스팅을 제안한다. 위협분석으로 취약성을 식별한 후, 보안 테스팅의 재사용성과 효율성을 개선하기 위해 소프트웨어 모듈과 보안 기능에 따라 테스팅 전략을 수립한다. 제안기법은 위협 분석 및 테스팅 분류, 적절한 보안테스팅 전략 선정, 보안 테스팅으로 구성된다. 사례연구와 보안테스팅을 통해 제안 기법이 보안 시스템을 체계적으로 평가할 수 있음을 보였다.

윈도우즈에서 제공되는 기본 API에 대한 안전성 고찰 (An Empirical Study of Security for API in Windows Systems)

  • 최영한;김형천;오형근;이도훈
    • 정보보호학회논문지
    • /
    • 제19권2호
    • /
    • pp.75-82
    • /
    • 2009
  • 본 논문에서는 전세계적으로 90%이상의 사용자층을 보유하고 있는 윈도우즈 OS의 API에 대한 보안 테스팅 중 Fuzz Testing을 적용하여 그 안전성을 검증하였다. 본 논문에서는 윈도우즈의 시스템 폴더 내에 구현된 함수들을 대상으로 테스팅하기 위해 Fuzz Testing 기반 자동화 방법론인 AWAFT를 제안하였다. AWAFT는 보안 취약점 중 버퍼오버플로우와 함수 파라미터 파싱 오류에 초점을 맞추고 있다. AWAFT를 자동화하기 위한 도구를 구현하였으며 Windows XP SP2 시스템 폴더에 적용한 결과 177개의 프로그램 종료 에러를 발견하였으며, 이 중 10개는 프로그램의 실행 흐름을 변경시킬 수 있는 보안상 위험한 취약점이었다. AWAFT는 윈도우즈 기반으로 개발되는 소프트웨어의 라이브러리에 대해 보안 향상을 위해 적용 가능하다.

A Proposed Framework for the Automated Authorization Testing of Mobile Applications

  • Alghamdi, Ahmed Mohammed;Almarhabi, Khalid
    • International Journal of Computer Science & Network Security
    • /
    • 제21권5호
    • /
    • pp.217-221
    • /
    • 2021
  • Recent studies have indicated that mobile markets harbor applications (apps) that are either malicious or vulnerable, compromising millions of devices. Some studies indicate that 96% of companies' employees have used at least one malicious app. Some app stores do not employ security quality attributes regarding authorization, which is the function of specifying access rights to access control resources. However, well-defined access control policies can prevent mobile apps from being malicious. The problem is that those who oversee app market sites lack the mechanisms necessary to assess mobile app security. Because thousands of apps are constantly being added to or updated on mobile app market sites, these security testing mechanisms must be automated. This paper, therefore, introduces a new mechanism for testing mobile app security, using white-box testing in a way that is compatible with Bring Your Own Device (BYOD) working environments. This framework will benefit end-users, organizations that oversee app markets, and employers who implement the BYOD trend.

항공보안장비 성능 인증제의 현실과 품질개선에 관한 연구 (A Study on Reality and Quality Improvement of Aviation Security Equipments Performance Certification System in Korea)

  • 이원주;유상우;박수홍;김경훈;설은숙;한수진;박서하;이지수;김찬휘;강진구;이기영
    • 품질경영학회지
    • /
    • 제49권2호
    • /
    • pp.113-125
    • /
    • 2021
  • Purpose: This study focused on reality and quality improvement of aviation security equipment performance certification system. Methods: For this propose, we analyzed aviation security equipment performance certification system related legislations. Using analyzed data, we suggested advancement plan of aviation security equipment performance certification system. Results: In results, South Korea has been implementing aviation security performance certification system since October 2018. Parts for improvement of system are mutual certification with major countries that operate aviation security equipment performance certification systems, the spread of the defense industry's system, development of similar substances for handling explosives, and introduction of preliminary inspections. Conclusion: The research result could be used as a basic data for upgrading Korea's aviation security performance certification system.

ROAD(RPC Object vulnerability Automatic Detector) 도구의 설계 및 구현 (A Design and Implementation of ROAD(RPC Object vulnerability Automatic Detector))

  • 양진석;김태균;김형천;홍순좌
    • 정보보호학회논문지
    • /
    • 제17권2호
    • /
    • pp.51-59
    • /
    • 2007
  • 소프트웨어 테스팅은 소프트웨어의 버그 및 잘못 구현된 부분 등을 찾아내는 과정을 통해 품질을 평가하는 방법이다. 퍼징(fuzzing)은 소프트웨어 테스팅 기술의 여러 가지 방법 중 하나로써 난수를 발생시켜 테스팅하고자 하는 소프트웨어에 주입하는 방법으로써 보안에 중점을 두어 테스팅하는 방법이다. 퍼징은 단위 시간 당 테스팅 효율성, 비용 절감 등 여러 가지 장점을 이유로 다수 사용되고 있으나 퍼징 수행 시 전문가의 개입이 많은 단점이 존재한다. 예를 들면 해당 소프트웨어가 사용하는 프로토콜 혹은 퍼징 대상이 파일인 경우 파일 포맷에 대한 분석을 수행한 후에야 가능하기 때문에 테스팅 기간이 길어질 수 있으며 퍼징 도구를 이용해도 퍼징 대상의 프로토콜 및 포맷에 대한 분석이 난해한 경우 테스팅 대상에 대한 퍼징을 수행하지 못할 수도 있다. 본 논문에서 설계한 ROAD는 RPC 기반 프로토콜 및 소프트웨어를 자동으로 퍼징할 수 있는 도구이다. RPC는 다수의 취약점이 발견된 구성요소로써 본 논문에서는 이를 자동으로 퍼징할 수 있는 도구의 구현을 목표로 하였다. 기존의 도구 중 RPC 기반 소프트웨어를 퍼징하는 도구가 존재하지만 자동화되어 있지 않을 뿐만 아니라 소프트웨어에 따라 도구를 수정해야만 사용이 가능하다. 본 논문은 이러한 단점을 극복하고자 자동화 도구를 설계 및 구현하여 실제 RPC 기반 프로토콜 및 소프트웨어에 적용하였다. 또한 실험을 통해 도구의 효용성을 검증하였다.

항공보안장비 성능인증제의 고도화 방안에 관한 연구 (Aviation Security Equipments Certification System in Korea: Suggestions for Improvement)

  • 이원주;유상우;박수홍;김경훈;하다솜;설은숙;한수진;박서하;이지수;김찬휘;강진구;이기영
    • 품질경영학회지
    • /
    • 제48권3호
    • /
    • pp.395-408
    • /
    • 2020
  • Purpose: This study was performed for advancement of aviation security equipments certification system. Methods: We investigated aviation security equipments certification-related registrations and the latest research trends of explosive detection technologies. Based on the literature studies, we draw the critical issues of the aviation security equipment certification system and suggested improvement direction. Results: We found some inaccuracies of the definition of explosive trace detection equipments, accreditation review committee, and performance evaluation test method. These problems should be modified to suit being practical. Conclusion: The present results would be useful for basic data for modifying aviation security equipments certification systems.

블록 기반 파일 결함 주입 기법을 이용한 소프트웨어 보안 테스팅 (Software Security Testing using Block-based File Fault Injection)

  • 최영한;김형천;홍순좌
    • 정보보호학회논문지
    • /
    • 제17권4호
    • /
    • pp.3-10
    • /
    • 2007
  • 본 논문에서는 파일에 결함을 주입하는 기법을 이용하여 보안 테스팅(security testing)을 수행하는 방법론을 제안한다. 본 논문에서 제안한 방법론은 파일 내의 여러 필드(field)들을 묶어 블록(block)으로 처리하는 파일 포맷을 대상으로 필드를 고려하여 결함 주입 기법을 수행함으로써 소프트웨어의 취약점을 발견한다. 해당 방법론은 파일 데이터의 변경으로 발생할 수 있는 메모리 처리 관련 취약점에 초점을 맞추고 있다. 파일에 결함을 주입할 때 필드를 고려하면 파일을 파싱하는 과정에서 발생할 수 있는 파일 포맷 불일치의 에러 처리를 줄일 수 있는 장점이 있다. 본 논문에서는 블록으로 처리하는 파일 포맷 중 대표적인 파일 포맷인 이미지 파일에 대해 해당 방법론을 적용하였다. 이와 함께 이미지 파일에 대해 자동으로 결함을 주입할 수 있는 도구인 ImageDigger를 구현하였다. ImageDigger를 이용하여 WMF, EMF 이미지 파일 포맷에 대해 결함 주입을 수행하였으며 10종류의 서비스 거부 취약점을 발견하여 원인을 분석하였다. 해당 방법론은 블록을 기반으로 파일을 처리하는 대표적인 파일 포맷인 MS Office와 이외의 파일 포맷에 대해서도 적용 가능하다.

외주 개발 웹 어플리케이션 테스팅의 보안성 강화 방안 (Enhanced Security Measurement of Web Application Testing by Outsourcing)

  • 최경호;이동휘
    • 융합보안논문지
    • /
    • 제15권4호
    • /
    • pp.3-9
    • /
    • 2015
  • 웹 서비스를 가능하게 하는 웹 어플리케이션은 내부 개발자가 보안 의식을 갖고 만든다면 일정 수준 이상의 안전성을 보여준다. 하지만 외주 개발의 경우, 품질의 우수성보다는 요구 사항을 충족하고 요청 받은 기능을 실행시키는데 주안점이 있기 때문에 안전성이 우선되지 못한다. 따라서, 본 논문에서는 소프트웨어에 대한 객관적이고도 독립적인 시각으로의 평가를 가능하게 해주는 소프트웨어 테스트 절차를 보안 중심으로 개선하였다. 제안된 모델은 웹 어플리케이션의 외주 개발 시에도 초기부터 보안을 고려할 수 있게 해주며, 특히 보안 인식이 부족한 상황에서 작성된 프로그램의 수정 소요 발생으로 인한 개발 일정 지연 사태를 미연에 방지할 수 있는 효과가 있음을 확인하였다. 이러한 결과는 자원관리체계를 중심으로 웹 어플리케이션에 대한 소요가 증가하고 있는 국방 분야에서도 엄격한 테스트를 토대로 보안 취약점을 지닌 채 서비스되는 것을 방지할 수 있기에 활용이 가능할 것으로 판단된다.

AES(Advanced Encryption Standard) 평가에 대한 고찰 (Criteria for Evaluating Cryptographic Algorithms, based on Statistical Testing of Randomness)

  • 조용국;송정환;강성우
    • 정보보호학회논문지
    • /
    • 제11권6호
    • /
    • pp.67-76
    • /
    • 2001
  • 본 논문에서는 미국 NIST(National Institute of Standards & Technology)의 AES(Advanced Encry-ption Standard) 선정기준 중 안전성 평가인 난수검정에 대하여 고찰하고자 한다. 암호 알고리즘의 안전성 평가는 입출력문과 키의 크기, 평문과 암호문 및 키와 암호문의 상관성, 평문과 키의 변화에 따르는 암호문의 변화 그리고 구조적 특이성 등이 고려대상이 된다. 주어진 암호 알고리즘에 대한 안전성 필요충분조건 만족여부를 평가하는 것은 어려우며 객관적인 평가를 위해서는 정량적인 평가결과가 도출되어야 한다. 본 논문에서는 NIST에서 실시한 AES 안전성 평가항목들과 기준에 대하여 고찰하며, 국내 암호 알고리즘 표준인 SEED등 여러 암호 알고리즘과 난수발생기를 AES 평가기준에 맞추어 새롭게 분석해 보고자 한다.

항공보안장비 성능인증기술 고도화 방안 연구 (Improving Performance Certification of Aviation Security Equipment)

  • 정진형;김기연;윤연아;김나연;심현수;이승훈;하다솜;설은숙;한수진;박수홍;유상우;김용수
    • 품질경영학회지
    • /
    • 제48권1호
    • /
    • pp.187-199
    • /
    • 2020
  • Purpose: This study suggests how to upgrade performance certification technology. Current performance certification of aviation security equipment and the requirements thereof were analyzed. Methods: The performance certification of aviation security equipment worldwide and identified issues with the domestic certification system were compared. The government must upgrade certification in terms of technical standards, the assessment methodology used, and the operating system. Results: Three principal conclusions were drawn. First, certification requirements must be based on a review of the technical literature and real-world experience. Second, development priorities must be set by reference to assessment techniques. Third, both research on the certification system and improvements thereof are essential. Conclusion: Certification of aviation security equipment performance requires gradual upgrading.