Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

Analysis on Vulnerability of Secure USB Flash Drive and Development Protection Profile based on Common Criteria Version 3.1

보안 USB 플래시 드라이브의 취약점 분석과 CC v3.1 기반의 보호프로파일 개발

  • 정한재 (성균관대학교 정보보호연구소) ;
  • 최윤성 (성균관대학교 정보보호연구소) ;
  • 전웅렬 (성균관대학교 정보보호연구소) ;
  • 양비 (성균관대학교 정보보호연구소) ;
  • 원동호 (성균관대학교 정보보호연구소) ;
  • 김승주 (성균관대학교 정보보호연구소)
  • Published : 2007.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

The USB flash drive is common used for portable storage. That is able to store large data and transfer data quickly and carry simply. But when you lose your USB flash drive without any security function in use, all stored data will be exposed. So the new USB flash drive supported security function was invented to compensate for the problem. In this paper, we analyze vulnerability of 6 control access program for secure USB flash drives. And we show that exposed password on communication between secure USB flash drive and PC. Also we show the vulnerability of misapplication for initialization. Further we develop a protection profile for secure USB flash drive based on the common criteria version 3.1. Finally, we examine possible threat of 6 secure USB flash drives and supports of security objectives which derived from protection profile.

USB 플래시 드라이브는 대용량의 데이터 저장이 가능하고 데이터의 전송속도도 빠르며. 또한 휴대가 간편하여 휴대용 저장장치로서 널리 이용되고 있다. 그러나 보안 기능이 없는 USB 플래시 드라이브는 사용 중에 분실하면 저장되어 있는 모든 정보가 노출될 수 있는 문제점이 있다. 이를 보완하고자 접근제어 기능이 있는 USB 플래시 드라이브가 개발되었다. 본 논문에서는 6가지의 보안 USB 플래시 드라이브의 접근제어 프로그램을 분석하며, 접근제어용 비밀번호가 USB 통신 과정에서 노출되는 취약점과 초기화 기능의 악용에 관한 취약점을 보인다. 이를 바탕으로 공통평가기준 3.1기반의 보안 USB 플래시 드라이브 보호프로파일을 개발하고, 6 가지 보안 USB 플래시 메모리 제품에서 발생 가능한 위협과 보호프로 파일에서 도출한 보안목적의 제공 여부를 살펴본다.

Keywords

References

  1. http://www.wikipedia.org
  2. http://www.usb.org
  3. IT 보안성 평가를 위한 공통평가기준 Version 3.1 개정1판, CCMB-2006-09
  4. http://www.sec.co.kr
  5. Mark G. Graff, Kenneth R. van Wyk, Secure Coding: Principles and Practices, ISBN: 0-596-00242-4
  6. McAfee Threat Center, http://www.mcafee.com/us/threat_center
  7. MITRE, http://cve.mitre.org
  8. Blackhat (http://www.blackhat.com)
  9. Kingspin, 'Attacks on and Countermeasures for USB Hardware Token Devices', Proceedings of the Fifth Nordic Workshop on Secure IT Systems Encouraging Co-operation, pp 35-57, 2000, Oct
  10. Nikolai Joukov and Erez Zadok, 'Adding Secure Deletion to Your Favorite File System', Proceedings of the Third IEEE International Security in Storage Workshop, 2005
  11. ZDNet, http://www.zdnet.com
  12. Security News Portal, http://www.securitynewsportal.com
  13. JISEC Threats Database, www.ipa.go.jp/security/jisec/vuln_tool_200508.html
  14. Jan Axelson, USB Complete 3rd, 2005
  15. Radia Perlman, 'Secure Deletion of Data', International IEEE Security in Storage Workshop, 2005
  16. 고찬, 박연, 'RSSS 방식에 의한 USB Driver의 보안기능 강화', 2005
  17. 김윤구, 이기동, 'USB의 데이터 송수신 성능향상을 위한 적응성 통신방식', 한국통신학회논문지, 31, pp. 996-1002, 2006
  18. 이준호, 김영태, 이완석, '네트워크 스팸메일 차단시스템 보호프로파일 개발에 관한 연구, 한국 정보처리학회 추계학술발표대회 논문집 제13권 제2호', 한국정보처리학회, 2006. 11
  19. 홍원순, 김영태, 이완석, '기업용 바이러스 차단 소프트웨어 보호프로파일에 대한 연구, 한국정보처리학회 추계학술발표대회 논문집 제13권 제 2호', 한국정보처리학회, 2006. 11
  20. http://msdn.microsoft.com
  21. http://www.atpinc.com
  22. http://www.perisoft.net
  23. http://www.national.com