• The Journal of the Korea institute of electronic communication sciences
• /
• v.9 no.9
• /
• pp.1011-1018
• /
• 2014

Because of the proliferation of web services through web site, web hacking attempts are increasing using vulnerabilities of the web application. In order to improve the security of web applications, we have to find vulnerabilities in web applications and then have to remove. This paper addresses a vulnerability in a web application on existing problems and analyze and propose solutions to the vulnerability. This paper have checked the stability of existing web security solutions and evaluated its suitability through analysis of vulnerability. Also, we have implemented the vulnerability analysis tools for web Proxy system and proposed methods to optimize for resolution of web vulnerabilities.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.04a
• /
• pp.571-574
• /
• 2014

현대 사회에서 정보보안은 무엇보다 중요한 요소로 자리 잡고 있다. 시큐어 코딩은 정보보안 기법의 하나로 보안 취약점을 원천적으로 차단하여 보안 비용을 획기적으로 줄이는 방법이다. 하지만 기존 시큐어 코딩 가이드는 C나 Java와 같은 특정 언어에 대한 가이드만 제공하고 있다. 이 논문에서는 다양한 언어에서도 기존의 시큐어 코딩 가이드를 활용할 수 있도록 언어적 특징을 기반으로 시큐어 코딩 가이드를 재분류하고자 한다. 이를 위해 이 논문에서는 많은 언어의 기반이 되는 C 언어의 시큐어 코딩 가이드 중 안전행정부에서 발표한 C 시큐어 코딩 가이드를 이용하여 재분류 작업을 수행하였다. 그 결과 총 58개의 취약점 중 언어와 관련이 있는 취약점은 19개로 약 33%가 프로그래밍 언어와 관련 있는 것을 확인하였다. 또한, 제안 방법의 내용 중 언어적 특성쪽의 취약성을 모두 해결할 수 있도록 문법을 설계한다면 C 언어보다 보안성이 높은 언어를 설계할 수 있다.

• Journal of the Korea Society of Computer and Information
• /
• v.17 no.2
• /
• pp.127-137
• /
• 2012

Recently, as modern Internet uses mashups, Web 3.0, JavaScript/AJAX widely, the rate at which new vulnerabilities are being discovered is increasing rapidly. It can subsequently introduce big security threats. In order to efficiently mitigate these web application vulnerabilities and security threats, it is needed to rank vulnerabilities based on severity and consider the severe vulnerabilities during a specific phase of software development lifecycle (SDLC) for web applications. In this paper, we have first verified whether the risk rating methodology of OWASP Top 10 vulnerabilities is a reasonable one or not by analyzing the vulnerability data of web applications in the US National Vulnerability Database (NVD). Then, by inspecting the vulnerability information of web applications based on OWASP Top-10 2010 list and CWE (Common Weakness Enumeration) directory, we have mapped the web-related entries of CWE onto the entries of OWASP Top-10 2010 and prioritized them. We have also presented which phase of SDLC is associated with each vulnerability entry. Using this approach, we can prevent or mitigate web application vulnerabilities and security threats efficiently.

• KIISE Transactions on Computing Practices
• /
• v.21 no.3
• /
• pp.257-262
• /
• 2015

As software grows more complex, it contains more bugs that are not recognized by developers. Attackers can then use exploitable bugs to penetrate systems or spread malicious code. As a representative method, attackers manipulated documents or multimedia files in order to make the software engage in unanticipated behavior. Recently, this method has gained frequent use in A.P.T. In this paper, an automatic analysis method to find software security bugs was proposed. This approach aimed at finding security bugs in the software which can arise from input data such as documents or multimedia. Through dynamic taint analysis, how input data propagation to vulnerable code occurred was tracked, and relevant instructions in relation to input data were found. Next, the relevant instructions were translated to a formula and vulnerable input data were found via the formula using an SMT solver. Using this approach, 6 vulnerable codes were found, and data were input to crash applications such as HWP and Gomplayer.

• Convergence Security Journal
• /
• v.19 no.3
• /
• pp.29-36
• /
• 2019

The convergence of traditional industry and ICT is a combination of security threats and vulnerabilities in ICT and specific industry-specific problems of existing industries, and new security threats and vulnerabilities are emerging. In particular, in the medical ICT convergence industry, various problems regarding user authentication are derived from the medical information system, which is being used for abuse and security weaknesses. According, this study designed and implemented a user authentication system for secure user management in medical ICT convergence environment. Specifically, we design and implement measures to solve the abuse and security weaknesses of ID sharing and to solve the inconvenience of individual ID / PW authentication by performing user authentication using personalized devices based on medical information systems.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2023.07a
• /
• pp.189-190
• /
• 2023

IT 산업의 발전으로 인하여, 이동식 저장장치의 빠른 발전에도 불구하고, 대중적으로 사용되는 USB 저장 장치의 분실 및 탈취로 인한 민감 데이터의 노출 문제가 발생하였다. 이러한 문제점을 해결하기 위하여, 다양한 인증 방식을 적용한 보안 USB 저장장치가 등장하였지만, 소프트웨어의 구조적인 문제점으로 인하여, 사용자 인증정보를 검증하는 함수가 노출되는 것과 같은 인증 과정에서 발생하는 취약점을 악용함으로써, 보안 USB 저장장치에 안전하게 저장된 민감한 데이터를 보호하지 못하는 보안 위협이 발생하는 실정이다. 따라서 본 논문에서는 보안 USB 저장장치 중, F 제품을 대상으로, 지문 인증과정에서 발생하는 취약점을 분석하고 실증한다. 본 논문의 결과는 보안 USB 저장장치의 데이터 보호 및 인증기술을 더욱 안전하게 향상시키기 위한 참고 자료로 활용될 것으로 사료된다.

• Journal of Convergence for Information Technology
• /
• v.11 no.10
• /
• pp.144-150
• /
• 2021

The purpose of this paper is to review the direction of the slicing security policy, which is a major consideration in the context of standardization in 5G communication network security, to derive security vulnerability diagnosis items, and to present about analyzing and presenting the issues of discussion for 5G communication network virtualization. As for the research method, the direction of virtualization security policy of 5G communication network of ENISA (European Union Agency for Cybersecurity), a European core security research institute, and research contents such as virtualization security policy and vulnerability analysis of 5G communication network from related journals were used for analysis. In the research result of this paper, the security structure in virtualization security of 5G communication network is arranged, and security threats and risk management factors are derived. In addition, vulnerability diagnosis items were derived for each security service in the risk management area. The contribution of this study is to summarize the security threat items in 5G communication network virtualization security that is still being discussed, to be able to gain insights of the direction of European 5G communication network cybersecurity, and to derive vulnerabilities diagnosis items to be considered for virtualization security of 5G communication network. In addition, the results of this study can be used as basic data to develop vulnerability diagnosis items for virtualization security of domestic 5G communication networks. In the future, it is necessary to study the detailed diagnosis process for the vulnerability diagnosis items of 5G communication network virtualization security.

• Review of KIISC
• /
• v.30 no.2
• /
• pp.31-39
• /
• 2020

IT 기술을 차량에 적용하여 사람의 조작 없이 차량 스스로 운행하는 자율 주행 자동차에 대한 연구가 활발하게 진행되고 있으며 상용화 및 대중화에 집중하고 있는 추세이다. 자율 주행 자동차의 경우, 보안 취약점을 통한 공격을 통해 오류를 발생시킬 경우, 운전자 또는 보행자에게 직접적인 해를 끼칠 수 있어 보안 취약점 및 보안 기술에 대한 연구는 자율 주행 자동차 상용화 및 대중화에 있어 핵심적인 부분이라고 할 수 있다. 본 논문에서는 현재 자율 주행 자동차의 기술 단계와 작동 원리에 대해 설명하며, 자율 주행 자동차의 보안 위협 요소를 살펴보고, 보안 위협으로부터 운전자 또는 보행자를 보호할 수 있는 보안 기술 현황에 대해 설명한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2021.11a
• /
• pp.1016-1018
• /
• 2021

블루투스 취약점을 이용한 공격을 방지하기 위한 블루투스 보안으로 블루투스의 링크키 인증 과정을 OTP 기능과 접목하여 실행하여 블루투스 재연결 인증 과정 취약점(BIAS)에 대해 보안을 강화한다.

• Review of KIISC
• /
• v.22 no.5
• /
• pp.73-78
• /
• 2012

스마트그리드는 기존 전력망에 IT 기술을 융합한 차세대 전력망이다. 전력망에 IT 기술을 도입함으로써 운영효율이 증가하고 다양한 부가서비스가 창출되지만 반대로 사이버 보안위협은 증가하게 된다. 사이버 보안위협의 기술적 증가요인으로는 신재생에너지의 보급으로 인한 전력망 연결 접점 증가와 실시간 양방향 통신으로 인한 스마트그리드 기기 공격, 양방향 통신 프로토콜 공격 가능성 존재 등이 있다. 또한, 환경적 증가요인으로는 스마트그리드는 전력망 특성상 사고 발생시 피해 규모가 크므로, 상대국 및 테러집단에 의한 주요 공격대상이 되고 있다는 점이다. 본 논문에서는 이러한 스마트 그리드 사이버 보안위협을 사전에 차단하기 위해, 스마트그리드의 핵심 기술이라 할 수 있는 AMI의 보안 취약점을 발견할 수 있는 현실적인 취약점 점검 항목을 제시한다.