• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.22 no.10
• /
• pp.1392-1397
• /
• 2018

Nuclear power plants(NPPs) are protected as core facilities managed by major countries. Applying general IT technology to facilities of NPPs, the proportion of utilizing the digitized resources for the rest of the assets except for the existing installed analog type operating resources is increasing. Using the network to control the IT assets of NPPs can provide significant benefits, but the potential vulnerability of existing IT resources can lead to significant cyber security breaches that threaten the entire NPPs. In this paper, we analyze the nuclear cyber security vulnerability regulatory requirements, characteristics of existing vulnerability scanners and their requirements and investigate commercial and free vulnerability scanners. Based on the proposed application method, we can improve the efficiency of checking the network security vulnerability of NPPs when applying vulnerability scanner to NPPs.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.32 no.4
• /
• pp.709-722
• /
• 2022

The recent "Log4j Security Vulnerability Incident" has occurred, and the information system that uses the open source "Log4J" has been exposed to vulnerabilities. The incident brought great vulnerabilities in the information systems of South Korea's major government agencies or companies and global information systems, causing problems with open source vulnerabilities. Despite the advantages of many advantages, the current development paradigm, which is developed using open source, can easily spread software security vulnerabilities, ensuring open source safety and reliability. You need to check the open source. However, open source vulnerability scan tools have various languages and functions. Therefore, the existing software evaluation criteria are ambiguous and it is difficult to evaluate advantages and weaknesses, so this paper has developed a new evaluation criteria for the vulnerability analysis tools of open source

• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.04a
• /
• pp.475-478
• /
• 2014

최근 인터넷이 발전함에 따라 월드와이드웹(World Wide Web) 기반의 웹 서비스가 급격한 발전을 이루었다. 또한 이 웹 서비스를 바탕으로 다양한 컨텐츠들과 이를 이용하는 사용자의 수도 함께 증가하였다. 그러나 이와 같은 웹 서비스의 보편화가 증대될수록 이를 악용하려는 사이버 범죄 또한 비례하여 증가하고 있다. 최근에는 공격자들이 스마트폰을 대상으로 악성코드를 전파하기 위한 방법으로 웹 서비스를 활용하기 시작하면서 웹 서비스의 보안에 대한 중요성이 더욱 강조되고 있다. 이러한 웹 서비스 보안의 필요성을 인지하고, 많은 사람들이 무료로 쉽게 웹 서비스 보안취약점을 진단 할 수 있도록 여러 오픈소스 기반의 보안 취약점 진단도구가 연구, 개발되고 있다. 하지만 웹 서비스의 보안약점을 진단하는 도구의 적합성 평가 및 기능 분류가 명확하지 않아서 진단도구를 선택하고 활용함에 있어 어려움이 따른다. 본 논문에서는 OWASP에서 위험도에 따라 선정한 웹 서비스의 보안 취약점 Top 10 항목과 소프트웨어 보안약점 진단가이드 등을 통해 웹 서비스 보안 취약점을 진단하는 도구에 대한 분석 기준을 제시한다. 이후 오픈소스로 공개된 테스트 기반 취약점 탐지도구와 소스 기반 취약점 진단도구들에 대해 제시한 기준을 이용하여 분석한다. 본 논문의 분석결과로 웹 서비스의 안전성을 평가하기 위해 활용할 수 있는 진단 도구에 대한 분석정보를 제공함으로써 보다 안전한 웹 서비스의 개발과 운영에 기여할 것으로 기대한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2010.04a
• /
• pp.796-799
• /
• 2010

인터넷의 발전으로 인터넷을 통한 서비스가 증대하고 있다. 반면 응용 소프트웨어의 보안 취약점으로 인해 국가, 기업, 개인 모두에게 정보보호의 중요성이 더욱 강조 되고 있다. 임베디드 소프트웨어인 우주, 항공, 원자력 소프트웨어 등 오류 없이 수행되어야 하는 고안전성 소프트웨어의 개발기법은 이제 응용 소프트웨어의 보안강화 활동에 활용 되고 있다. 특히 시큐어 코딩 (Secure Coding)은 방어적 프로그램(Defensive Programming)을 포함하는 개념으로 소프트웨어의 안전성과 보안성을 향상 시킬 수 있다. 본 논문에서는 범용 보안 취약가능성 분석 도구를 이용하여 소프트웨어의 취약 가능성을 분석하고 보안 취약점 유발 명령어를 분류한다. 그 다음에 시큐어 코딩 기법을 적용하여 취약한 코드를 개선하였다. 이러한 개선을 통해 보안 취약성 가능한 코드 부분을 손쉽게 수정하여 소프트웨어 보안을 개선할 수 있다.

• The Journal of the Institute of Internet, Broadcasting and Communication
• /
• v.9 no.1
• /
• pp.19-24
• /
• 2009

In these days, security threat is ever increasing as computer systems and networking is everywhere. This paper is on the development of security scanner using search engine, with which site managers can easily check security vulnerability on their systems. Our security server automatically collects security-related information on the Internet, and indexes them in the database. To check the vulnerability of a customer server, the client system collects various system-specific information, and sends necessary queries to our security server for vulnerability checking. Up-to-date and site-specific vulnerability information is retrieved through the viewer, which allows the customer effectively to check and respond to security threat on client systems.

• Proceedings of the Korean Information Science Society Conference
• /
• 2010.06d
• /
• pp.106-109
• /
• 2010

컴퓨터의 대중화와 네트워크의 발달로 인해 우리 사회는 컴퓨터와 통신이 없이는 생각조차 할 수 없는 시대에 살고 있으며, 또한 많은 정보시스템들을 일상생활 속에서 접하고 살고 있다. 하지만 소프트웨어들의 보안 취약점으로 인해 개인뿐만 아니라 기업은 물론이고 국가에 이르기까지 그 위험성은 모두 열거할 수 없을 정도이며 그에 따른 정보보호의 중요성이 더욱 강조가 되고 있으며, 어느 시스템도 이러한 정보보호에서 자유로울 수 없다. 이러한 보안적 및 오류의 위험은 현재 개발되고 있는 소프트웨어 뿐만 아니라, 정상적으로 운영되고 있는 시스템도 예외가 될 수 없다. 이러한 보안취약점 및 오류의 위험은 소프트웨어 개발시 방어적 프로그램(Defensive Programming)을 포함하는 시큐어 코딩(Secure Coding)기법을 적용하여 보다 안정적인 프로그램을 개발 할 수 있다. 본 논문에서는 소프트웨어의 잠재적인 오류를 발생할 수 있는 요소와 보안 취약점으로 인하여 생길 수 있는 요소들을 살펴보고 실제 java로 개발되어 운영되고 있는 시스템들의 보안 취약점을 분석하였다.

• Review of KIISC
• /
• v.25 no.5
• /
• pp.26-36
• /
• 2015

PLC(Programmable Logic Controller)는 기반시설 운영 현장의 다양한 환경을 견딜 수 있도록 설계된 소규모 산업용 컴퓨터로써, 많은 제어시스템에서 사용되고 있다. 과거의 PLC가 장치 제어를 위한 목적으로 제한된 필수 프로그램만을 사용하였다. 하지만 최근의 PLC는 ethernet 등의 네트워크를 기반으로 다양한 IT 기술들이 적용되고 있다. PLC 기반의 제어시스템은 운영자 및 관리자에게 편의성을 제공하지만 여러 보안 취약점들이 내재되어 있을 수 있다. 취약점들이 공격자에게 노출되어 사이버 위협을 받을 경우, 심각한 보안 사고를 일으킬 수 있으므로, 이러한 취약점들을 찾고 보안 대책을 마련하여 적용하는 것이 필요하다. 그러나 PLC의 특성 및 운용 환경 등이 IT 장비들과는 상이한 점이 있어 IT 장비들을 위한 취약점 분석 방법을 그대로 PLC에 적용하는 것은 한계가 있다. 따라서, 본 논문에서는 PLC의 특성 및 운용 환경 등을 고려한 PLC 취약점 분석 방법에 대해서 제안하고자 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.15 no.3
• /
• pp.91-101
• /
• 2005

Although the studies on the analysis and classification of source-level vulnerabilities in operating systems are not direct and positive solutions to the exploits with which the host systems are attacked, It is important in that those studies can give elementary technologies in the development of security mechanisms. But, whereas Linux systems are widely used in Internet and intra-net environments recently, the information on the basic and fundamental vulnerabilities inherent in Linux systems has not been studied enough. In this paper, we propose characteristic classification and correlational analyses on the source-level vulnerabilities in Linux kernel that are opened to the public and listed in the SecurityFocus site for 6 years from 1999 to 2004. This study may contribute to expect the types of attacks, analyze the characteristics of the attacks abusing vulnerabilities, and verify the modules of the kernel that have critical vulnerabilities.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.04a
• /
• pp.514-517
• /
• 2014

HTML5 는 웹 문서를 작성하기 위한 HTML(Hyper Text Markup Language)의 차세대 웹 표준 이다. HTML5 는 아직 개발 중에 있으며 2014 년 하반기에 최종표준이 발표 될 것으로 전망 된다. HTML5 는 이전 버전의 HTML 과 호환성을 유지하면서 개발자에게 동영상, 위치정보, 소켓통신 및 다양한 미디어 서비스 을 별도의 플러그인 없이 HTML5 의 확장된 표준 태그로 Dynamic 한 기능을 구현할 수 있게 한다. 그러나 HTML5 에 새롭게 추가된 일부 표준 태그 에서 웹 어플리케이션(Web application) 서비스의 데이터 보안 취약점이 발견되었다. 본 논문에서는 HTML5 로 웹 어플리케이션 소프트웨어 개발 과정에서 발견된 표준 태그 및 API 보안 취약점을 분석하고 공격대상이 되는 소스코드 의 취약점을 개선 하였다. 보안에 취약한 소스코드 취약점을 개선하여 외부 공격자의 위협으로 부터 보안 취약점을 예방 할 수 있는 대응방법을 제안한다.

• Journal of the Korea Society of Computer and Information
• /
• v.25 no.7
• /
• pp.85-92
• /
• 2020

Following the development of Internet of Things (IoT) technology, the scope of application of IoT technology is expanding to industrial safety areas that detect and prevent possible risks in outdoor environments in advance, away from improving the convenience of living in indoor environments. Although this expansion of IoT service provides many advantages, it also causes security problems such as data leakage and modulation, so research on security response strategies is being actively carried out. In this paper, the IoT-based road construction risk management system in outdoor environment is proposed as a research subject. As a result of investigating the security vulnerabilities of the low-power wide-area (LPWA, BLE) communication protocol applied to the research targets, the security vulnerabilities were identified in terms of confidentiality, integrity, and availability, which are the three major elements of information security, and countermeasures for each vulnerability were proposed. This study is meaningful in investigating and analyzing possible vulnerabilities in the operation of the IoT-based risk management system and proposing practical security guidelines for each vulnerability.