• 한국정보통신학회논문지
• /
• 제18권10호
• /
• pp.2482-2488
• /
• 2014

본 논문에서는 MS-SQL 데이터베이스의 환경과 C++ 환경을 이용하여 데이터베이스 사용자 계정 취약점을 판별한다. MS-SQL 데이터베이스에서 패스워드나 사용자 설정이 변경되었는지를 체크한다. 또한, 사용자 계정이 만료되었거나 오랫동안 패스워드를 변경하지 않았으면 보안 취약점이 존재하는 것으로 판단한다. 이것은 제 3의 악의적인 사용자가 해킹 등을 하는 것을 방지, 예방을 하기 위한 목적이다. 최근에는 정보 자산이 더욱 중요하게 되어가고 있다. 데이터베이스의 정보 손실이 일어나게 된다면 큰 피해를 입게 된다. 본 논문은 MS-SQL 데이터베이스의 사용자 계정 만료 유무와 오랫동안 패스워드 설정이 변경되지 않은 사용자 계정을 점검하는 모듈을 개발한다. 이 기능을 이용하여 보안취약점 점검을 함으로써 악의적인 사용자가 데이터베이스에 접근을 할 수 없도록 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 춘계학술발표대회
• /
• pp.387-390
• /
• 2014

본 논문은 MS-SQL 데이터베이스의 환경과 C++ 환경을 이용하여 데이터베이스 사용자 계정이 만료 되었는지의 여부를 점검한다. 패스워드 혹은 사용자 설정이 변경된 시간을 체크함으로써 사용자 계정이 만료되었거나 오랫동안 패스워드를 변경하지 않았으면 보안 취약점이 존재하는 것으로 판단한다. 이것은 제 3의 악의적인 사용자가 해킹 등을 하는 것을 방지, 예방을 한다. 최근에는 정보자산이 더욱 중요시 여기게 되는 상황에서 데이터베이스의 정보 손실이 일어나게 된다면 큰 피해를 입게 된다. 본 논문은 MS-SQL 데이터베이스의 사용자 계정 만료 유무와 오랫동안 패스워드 혹은 사용자 설정이 변경되지 않은 사용자 정보를 모듈로 개발하여 보안취약점 점검을 함으로써 악의적인 사용자가 데이터 베이스에 접근을 할 수 없도록 한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제4권3호
• /
• pp.97-104
• /
• 2015

본 논문은 MS-SQL 데이터베이스의 환경과 OLE 원격 접속 기능, C++ 환경을 바탕으로 MS-SQL 데이터베이스 암호정책과 사용자 계정 패스워드 접속 시도, 패스워드 없는 사용자 계정, 패스워드를 일정 기간 이상 변경하지 않은 경우 등에 대한 점검을 통해서 보안취약점 기능을 설계한다. MS-SQL 데이터베이스와 C++의 연동을 위해서는 OLE DB 기능을 사용한다. OLE DB 연동을 통해 계정마다 암호정책 강제 적용의 유무를 확인하고, 계정별 패스워드 접속 실패 유무, 패스워드 없는 사용자, 패스워드를 일정 기간 이상 변경하지 않은 경우 등을 종합적으로 판단하여 보안취약점 유무를 판단한다. MS-SQL 데이터베이스 패스워드 기능과 관련하여 여러 가지 기능들을 판단해서 보안취약점을 점검할 수 있도록 한다. 본 논문에서 제시하는 기능을 활용하여 MS-SQL 데이터베이스 보안을 강화하고자 한다.

• 정보보호학회지
• /
• 제28권1호
• /
• pp.36-42
• /
• 2018

사용자는 비밀번호를 외워야하는 불편함을 줄이고 로그인 과정을 편리하게 이용하기 위해 패스워드 매니저를 사용한다. 패스워드 매니저는 크게 브라우저 기반의 패스워드 매니저와 웹 기반의 패스워드 매니저로 나눌 수 있다. 브라우저 기반의 패스워드 매니저의 경우 로컬에 사용자의 계정 정보와 암호화 키를 저장하기 때문에, 비밀번호 복구 프로그램을 사용하거나 간단한 코드를 이용하여 사용자의 계정 정보를 평문 형태로 추출할 수 있다. 로컬에 저장하는 브라우저 기반의 패스워드 매니저와 달리 웹 기반 패스워드 매니저는 웹을 기반으로 실행된다. 웹 기반 패스워드 매니저는 암호화 키를 웹 서버에 저장하기 때문에, 로컬 기반의 패스워드 매니저에 비해 키 노출 우려가 적다. 하지만 웹 기반이기 때문에 공격자가 웹 취약점을 이용하면 사용자의 정보가 누출될 위험성이 있다. 본 논문에서는 사용자의 편의성을 개선하고자 사용되는 패스워드 매니저를 브라우저에서 사용되는 브라우저 기반 패스워드 매니저와 웹에서 사용되는 웹 기반 패스워드 매니저로 분류하고 각 패스워드 매니저가 사용자의 계정 정보를 저장 및 관리하는 방법을 분석하고, 해당 패스워드 매니저들에서 발생 가능한 취약점에 대해 조사하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2014년도 추계학술대회
• /
• pp.947-950
• /
• 2014

최근 해킹 기법의 발전으로 사이버테러를 비롯한 APT공격이 증가하고 있다. 이는 정보기술환경이 모바일, 클라우드, BYOD 기반으로 변화함에 따라 새로운 취약점 또한 증가하고 있기 때문이다. 그러나 기존의 보안 모델은 대응과 치료를 중심으로 적용되고 있어 변화된 침입 위협에 대한 근본적이 방어책을 제시하지 못하고 있는 실정이다. 이에 본 연구에서는 예방 중심의 보안 모델을 제안한다. 본 연구에서 제안하는 모델은, 궁극적으로 보안공격에 대응하기 위해서는 계정, 권한, 인증, 감사추적 및 이상행위 감시라는 것이 매우 중요하다는 관점에서 수립된 모델이다. 본 연구의 결과는 다양한 보안위협요소에 효과적으로 대응할 수 있는 프로세스를 강화함으로써, 끊임없이 진화하는 새로운 유형의 공격에 대비하고, 정보시스템의 신뢰성을 확보할 수 있는 참조모델로 활용될 수 있을 것이다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2016년도 추계학술발표대회
• /
• pp.246-249
• /
• 2016

크롬 OS는 온라인에 연결된 상태라면 시간과 장소의 제약 없이 인터넷에 연결해서 사용자 중심의 개인 환경을 제공하는 웹 OS이다. 크롬 OS의 특징이라면 구글 계정으로 접속하여 원하는 APP 설치나 다양한 구글의 온라인 서비스를 자유롭게 이용할 수 있다는 점을 꼽을 수 있다. 특히 기존의 윈도우나 리눅스와는 달리 사용자가 OS 전반에 걸친 설정을 직접 제어할 필요가 없다는 점이 획기적이다. 하지만 웹 OS 임에도 불구하고 이에 대한 보안 대비책이 전혀 마련되어 있지 않다. 따라서 이같은 보안 위협에 대비하기 위해 본 논문은 취약점 분석 쉘 스크립트 구현을 통해 취약점 탐지와 보안 강화를 통한 성능 개선 방안을 제안한다.

• 정보보호학회지
• /
• 제29권6호
• /
• pp.81-88
• /
• 2019

IoT 기술을 이용한 다양한 제품과 서비스의 출시로 국내·외 IoT 산업의 급성장 및 초연결사회로의 진입이 가속화되고 있는 가운데, 보안에 취약한 IoT 기기를 공격 목표 및 도구로 악용하여 다양한 침해사고가 발생되고 있다. 이와 같은 상황은 IoT 기기 보급 활성화와 더불어 더욱 증가할 것으로 전망되고 있으며, 피해의 범위 및 정도에 있어서 막대한 사회적·경제적 손실을 유발하게 될 것으로 우려되고 있다. IoT 기기를 대상으로 하는 침해사고는 주로 디폴트 계정이나 추측하기 쉬운 패스워드를 사용하는 등 관리적 미흡 혹은 기기 자체의 취약점을 악용하여 발생하는 공격으로 인하여 발생되고 있다. 이에 정부 및 산업체에서는 IoT 기기의 보안 내재화, 기기 소유자의 보안인식 제고 등 IoT 기기의 보안성 강화를 위한 다양한 활동을 진행하고 있다. 하지만 IoT 기기 및 사용 환경의 특징 상 모든 IoT 기기를 안전하게 배포하여 관리하는 데에는 한계가 존재하기 때문에, 침해사고 예방 및 대응의 관점에서 공격에 노출되기 쉬운 취약한 기기를 파악하여 사전에 조치하는 노력이 필요하다. 이와 관련하여 본 논문에서는 IoT 기기 취약점을 악용하여 발생하는 공격 대응을 위해, 다양한 채널을 통해 IoT 기기 취약점 및 익스플로잇 정보를 수집하여 IoT 기기 취약점 악용 공격의 유형을 분석하고 대응의 일례를 제시함으로써 IoT 위협 탐지 및 대응 전략 수립을 위한 기초정보를 제공하고자 한다.

• 한국통신학회논문지
• /
• 제42권4호
• /
• pp.838-847
• /
• 2017

최근 마이크로소프트사의 CAPI를 대체하기 위해 제안된 CNG는 플러그인 구조 기반의 독립된 모듈들로 구성되어 있기 때문에 개발비용과 확장 용이성 부분에서 우수하다. 하지만 이러한 이점과 반대로 보안성에 대한 고려는 다소 부족하며, 현재 CNG가 배포되어 활용되고 있는 상황에서 이와 관련된 연구는 반드시 필요하다. 이에 본 논문에서는 CNG에서 발생 가능한 보안 취약점을 분석하였다. 분석된 취약점을 토대로 개념 검증 도구를 구현하여 이를 검증하였다. 검증 결과는 CNG를 활용하는 Outlook 프로그램과 Internet Explorer 프로그램에서 메일 및 계정정보의 탈취, Amazon, E-bay, Google, Facebook 웹 사이트의 계정정보의 탈취가 가능하였다. 본 논문의 결과는 CNG를 활용하는 다양한 응용의 보안성을 향상시키는데 기여할 것으로 사료된다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2014년도 제49차 동계학술대회논문집 22권1호
• /
• pp.263-265
• /
• 2014

본 논문에서는 OTP를 이용한 사용자 계정 로그인 정보 관리 시스템 구현을 제안한다. 웹에서 패스워드(PW)를 통해 인증을 하는 대부분의 사용자는 편리를 위해 단순한 패스워드를 설정한다. 하지만 단순한 패스워드는 추측 공격 등 해킹 당할 위험이 높다. 그러므로 제시하고자 하는 시스템은 로그인 정보 중 ID와 PW를 복잡하게 설정하고 체계적으로 관리하여 보안성과 편리성을 동시에 높이고자 한다. 또한 PW를 통한 인증 방법의 단점인 추측 공격과 스나이퍼 공격의 취약점을 보완하기 위해 OTP(One-time Password) 기술을 이용하여 보안을 강화하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2018년도 추계학술발표대회
• /
• pp.292-295
• /
• 2018

Open API의 사용이 대중화되면서 대형 포털사이트 및 대형 소셜 네트워크 서비스에 입력한 개인정보를 바탕으로 사용자들이 원하는 서비스를 제공하는 외부 서비스(Third-party application)의 수가 계속 증가하고 있다. 이러한 외부 서비스들이 정보 제공자에게 개인정보를 요청할 때, 외부 서비스가 권한 부여를 받은 정당한 요청을 하는지 여부를 확인하기 위해 OAuth 인증 프레임워크를 사용한다. 그러나 외부 서비스가 유효한 요청을 하고 있음을 판단하기 위해 사용하는 엑세스 토큰을 탈취하면 이를 이용하여 로그인 과정을 우회할 수 있으며, 개인정보 또한 쉽게 취득 가능하다. 본 논문에서는 이러한 취약점을 해결하기 위해 OAuth 인증 프레임워크에 2차적인 인증과정을 추가하여 엑세스 토큰의 탈취를 방지하여 사용자의 계정정보와 개인정보를 보호하는 프레임워크를 제시한다.