• 정보보호학회논문지
• /
• 제32권4호
• /
• pp.709-722
• /
• 2022

최근 "Log4j 보안 취약점 사태" 가 발생함에 따라 오픈소스인 "Log4j"를 활용하는 정보시스템이 취약점에 노출되었다. 이번 사태로 인해 전 세계뿐만 아니라 국내 주요 정부 기관 또는 기업들의 정보시스템에 큰 취약점이 발생하여 오픈소스의 취약점에 대한 문제가 대두되었다. 오픈소스는 여러 장점에도 불구하고 오픈소스를 활용하여 개발하는 현재의 개발 패러다임으로 인해 소프트웨어 보안 취약점이 손쉽게 확산될 수 있다는 문제점이 많아 오픈소스의 안전성 및 신뢰성 확보하기 위해 오픈소스에 대한 취약점 점검이 필요하다. 하지만 오픈소스 취약점 스캐닝 도구는 종류도 많고 지원하는 언어와 기능들이 상이한 다형적인 특징을 가지고 있다. 따라서, 기존 소프트웨어 평가 기준으로는 평가하기 모호하고 장단점을 평가하기 어려우므로 본 논문에서는 오픈소스 취약점 분석 도구에 대한 새로운 평가 기준을 개발하였다.

• 한국통신학회논문지
• /
• 제42권4호
• /
• pp.785-790
• /
• 2017

네트워크 기반 단말 정보 식별 도구는 일반적으로 포트 스캔을 사용해 네트워크 단말들의 정보를 탈취하고 취약점을 찾아낸다. 특히 Shodan과 Censys는 네트워크 기반 단말 정보 식별 도구를 이용하여 광범위한 단말 정보를 탈취하여 데이터베이스에 저장한 후, 이를 사용자에게 제공한다. 이 정보는 누구나 확인할 수 있기 때문에 사이버 공격에 악용될 수 있다. 따라서 네트워크 단말 정보 탈취 방지가 필요하며, 이를 위해서는 스캔 도구가 사용하는 스캐닝 방법을 알아야한다. 하지만 Shodan과 Censys가 사용하는 스캐닝 방법은 잘 알려져 있지 않다. 따라서 본 논문에서는 Shodan과 Censys의 스캐닝 방법을 추정해 모델링하고 성능을 분석하였다.