• 정보보호학회지
• /
• 제24권1호
• /
• pp.7-12
• /
• 2014

각종 악성코드와 취약점이 하루가 다르게 출현하고 있다. 주기적인 취약점 분석 평가는 새로운 사이버보안 위협에 신속하게 대응하고 지속적으로 사이버보안을 강화하는 중요한 활동이다. 그러나 최근 스마트폰 이용 확산에 따른 모바일 보안위협 증가와 기반시설 제어시스템에 대한 보안위협 증가는 기존 취약점 분석 평가 방법의 구조적인 변화를 요구하고 있다. 본 논문에서는 스마트폰 테더링과 같은 모바일 보안위협에 따른 취약점 분석 평가 시의 고려사항과 시스템 영향을 최소화 할 수 있는 분석 절차와 방안을 제시하고 있다. BYOD를 사용한 모바일 인터넷 사용은 내 외부 네트워크 구분을 무의미하게 만들고 있기 때문에 다양한 침입경로에 대한 분석이 필요하다. 또한 제어시스템과 같이 높은 가용성이 요구되는 시스템에 대해서는 유휴시간 점검, 백업 시스템 점검, 테스트 베드 등을 사용한 취약점 점검 방법의 도입이 필요하다.

• 한국콘텐츠학회:학술대회논문집
• /
• 한국콘텐츠학회 2014년도 추계 종합학술대회 논문집
• /
• pp.291-292
• /
• 2014

본 연구에서는 스마트워크 환경에서 정보보호를 위하여 사용자와 서비스 제공자 입장에서 정보보호 요구사항을 분석하고, 정보보호 요구사항을 바탕으로 스마트워크 도입 및 운영 관점에서의 보안 위협 및 취약점을 분석하여 대안을 찾고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2020년도 춘계학술발표대회
• /
• pp.292-294
• /
• 2020

원자력 발전소의 계측제어시스템에 디지털 관련 기술이 적용되면서 사이버보안 위협이 증가하였고, 이에 따라 사이버보안 위협의 대응은 중요한 현안이 되었다. 하지만, 실제 운영중인 원자력 발전소에 침투 시험은 불가능하기 때문에 테스트베드를 구축 및 활용하여 사이버보안 위협을 분석해야 한다. 계측제어시스템의 비안전계통은 디지털 기반의 제어기기와 통신망이 사용되기 때문에 안전계통보다 많은 사이버보안 취약점이 존재한다. 본 연구에서는 비안전계통인 다양성보호계통을 위한 테스트베드의 구성과 취약점 확인을 위한 공격, 그리고 대처 방안에 대해 논의한다.

• 한국컴퓨터정보학회논문지
• /
• 제17권2호
• /
• pp.127-137
• /
• 2012

최근에 매쉬업(mashups), 웹 3.0, JavaScript, AJAX (Asynchronous JavaScript XML) 등이 널리 사용되면서, 새로운 취약점들이 발견되고 있어 보안 위협이 더 증대되고 있다. 이러한 웹 애플리케이션 취약점과 보안 위협을 효율적으로 완화하기 위해, 그 취약점들을 위험도 기준으로 순서화하여 웹 애플리케이션의 개발 생명주기의 해당 단계에서 우선적으로 고려해야 한다. 본 논문에서는 미국 NVD(National Vulnerability Database)의 웹 애플리케이션 취약점에 대한 데이터를 분석하여, OWASP Top 10 취약점들의 위험도 산정 방법이 타당한 지를 검증하였다. 그 다음, OWASP Top-10 2010과 CWE (Common Weakness Enumeration) 데이터를 중심으로 웹 애플리케이션 취약점 정보를 분석하여 웹 취약점들을 사상시켜 순서화하고, 그 취약점들이 어떤 개발 생명주기 단계와 관련이 있는지를 제시하였다. 이를 통해 효율적으로 웹 보안 위협과 취약점을 예방하거나 완화할 수 있다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2003년도 동계학술대회
• /
• pp.153-159
• /
• 2003

수많은 정보자산들이 네트워크를 통해 연결된 환경에서 사이버 공격으로부터 정보자산들을 효과적으로 방어하기 위한 기본적인 수단으로 네트워크 침입탐지 시스템과 취약점 분석 시스템이 활용되고 있다. 그러나 네트워크 보안을 위해 개별적으로 운용되고 있는 네트워크 침입탐지 시스템과 취약점 분석 시스템이 보안관리 측면에서 오히려 보안 운용자의 부담을 가중시키는 요인으로 작용하고 있는 것이 현실이다. 따라서, 본 연구에서는 네트워크 보안 관리에 필수적인 정보 요소인 네트워크 자산, 취약점 및 위협이 갖는 의미와 상관성을 분석하고, 네트워크 침입탐지 시스템과 취약점 분석 시스템이 제공하는 정보들을 상호 연동하여 네트워크 침입탐지 시스템이 탐지하는 불필요한 경보정보의 양을 대폭 줄여 Log관리를 최적화할 수 있는 시스템을 구축하기 위한 설계방법을 제시하였다.

• 인터넷정보학회논문지
• /
• 제23권6호
• /
• pp.27-37
• /
• 2022

디지털 통신 환경 기술이 다양화되고 네트워크 이용 접근성이 높아지고 있으며 보안이 중요한 방산업체, 국방 관련 기관 등 국가의 안보에 관련된 다양한 환경에서 가상 사설망 서비스를 사용한다. 하지만 기술에 발전에 따라 매년 가상 사설망의 취약점을 통한 공격이 증가하고 있다. 본 논문은 가상 사설망에서 발생 가능한 잠재적 취약점 및 신규 취약점에 대해 대비하기 위해 STRIDE 위협 모델링을 통해 보안 요구사항을 도출하였다. STRIDE 위협 모델링은 위협을 총 6가지 범주로 그룹화 위협을 체계적으로 식별한다. 이를 적용하기 위해 가상 사설망의 기능을 분석하고 가상 사설망 서비스가 이루어지는 동안의 자료 흐름도를 생성하였다. 그 후, 가상 사설망에서 발생 가능한 위협을 수집하고 이를 기반으로 STRIDE 위협 모델링을 분석했다. 생성한 가상 사설망의 자료 흐름도는 총 96개의 STRIDE 위협으로 분류되며, 실제 취약점 리스트와 비교 분석하여 분류 결과를 구체화했다. 그 후 위협들의 공격 루트를 파악하기 위해 위협 시나리오를 작성했다. 본 논문은 작성된 시나리오를 기반으로 가상 사설망의 구성요소에 따른 총 30개의 보안 요구사항을 도출했다. 본 논문을 통해 국방부와 같이 보안이 중요한 시설에서 사용하는 가상 사설망의 보안 안정성을 높일 수 있는 보안요구사항을 제시한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권8호
• /
• pp.197-210
• /
• 2016

최근 스마트폰 사용의 증가 및 사물인터넷 시대에 다양한 기기들이 무선 통신을 지원한다. 이에 따라 기존 기지국의 포화 상태를 막기 위한 기술로 일종의 소형 기지국인 펨토셀(Femtocell)을 보급하고 있다. 그러나 해킹 기술의 발전에 따라 펨토셀의 본래 목적과는 다르게, 관리자 권한 획득과 같은 취약점들이 발견되고 이를 통하여 펨토셀 사용자에 대한 개인정보 노출과 같은 심각한 문제가 발생할 수 있다. 따라서 펨토셀에서 발생할 수 있는 보안위협을 식별하고 체계적인 취약점 분석을 위한 방안이 필요하다. 본 논문에서는 위협 모델링(Threat Modeling) 기법을 이용하여 펨토셀에 발생할 수 있는 보안위협을 분석하고 취약점 점검을 위한 체크리스트를 도출한다. 그리고 도출한 체크리스트를 이용하여 실제 취약점 분석을 한 결과를 다루어 펨토셀의 위협과 취약점에 대한 분석 및 사례 연구를 통해 펨토셀의 보안성을 향상시킬 수 있는 방안을 제안한다.

• 정보보호학회지
• /
• 제23권2호
• /
• pp.55-65
• /
• 2013

스마트폰, 태블릿 PC 등 2010년부터 폭발적으로 보급 확산된 스마트 디바이스의 영향으로 모바일 결제 분야에 가장 핫이슈로 떠오른 기술이 바로 NFC (Near Field communication) 기술이다. 사실, NFC 기술은 2004년부터 표준이 개발되었지만 이를 적용할 디바이스 및 서비스의 부재로 활용이 되고 있지 않다가 2011년 구글이 구글 월렛 서비스를 시작하면서 본격적으로 NFC 기반 서비스가 적용되기 시작하였다. 국내에서도 2011년 11월 명동 NFC 존 시범 사업을 통해 모바일 결제, 스마트 포스터, 스마트 주문 등 다양한 NFC 기반 서비스를 추진하였다. 이렇듯 국내외에서 다양한 NFC 기반 서비스 발굴 및 활성화에 노력을 기울이고 있기는 하지만, 보안을 고려하지 않은 서비스 제공 시 이에 대한 사고 피해는 상상을 초월할 수 있다. 특히, NFC 기반 서비스의 대부분이 사용자의 금전적 결제를 요구하는 서비스라는 점이 이를 입증해준다. NFC 기술 자체에는 보안 기능이 일부 포함되어져 있기는 하지만 NFC 기반 서비스별 보안 취약점이 존재할 수 있다. 이에 따라, 본 논문에서는 NFC 기반 서비스별 보안 위협 취약점 분석 및 해당 위협 및 취약점에 대한 기술적 제도적 보안 대책 등을 제시한다.

• 한국정보통신학회논문지
• /
• 제16권7호
• /
• pp.1447-1454
• /
• 2012

최근 P2P는 인터넷에서 매우 대중화된 서비스로 다양한 분야에 응용되고 있으나, P2P 네트워크 특성에 따른 취약점으로 인해 여러 가지 보안 위협이 등장하고 있다. P2P 네트워크는 인터넷을 기반으로 하는 오버레이 네트워크 형태이기 때문에 기존의 인터넷 환경에서 발생하는 보안 문제뿐만 아니라 P2P 네트워크 자체만의 보안 문제도 가지고 있다. 본 논문에서는 국내 상용 P2P 서비스의 취약점 및 위협 분석을 다양한 실험을 통하여 수행한 후 위험분석을 수행하고 대응방안을 제시하였다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2024년도 제69차 동계학술대회논문집 32권1호
• /
• pp.117-121
• /
• 2024

기존의 외장 하드디스크는 보안 기능의 부재로 인하여, 비인가자로부터 디스크가 탈취되는 경우에는 저장된 데이터가 유출되거나 훼손되는 문제점이 존재한다. 이러한 문제점을 보완하기 위하여, 보안 기능을 제공하는 보안 외장 하드디스크가 등장하였지만, 보안 기능 중 패스워드나 지문 인증과 같은 사용자 인증을 우회하는 취약점이 지속적으로 발견됨으로써, 비인가자가 장치 내부에 안전하게 저장된 데이터에 접근하는 보안위협이 발생하였다. 이러한 보안위협은 국가사이버안보센터에서 공개한 보안 요구사항을 만족하지 못하거나, 만족하더라도 설계나 구현 과정에서 내포된 취약점으로 인하여 발생한다. 본 논문은 이와 같이 보안 외장 하드디스크에서 발생하는 취약점을 점검하기 위한 목적으로 보안 외장 하드디스크 익스플로잇 프레임워크를 설계하였다. 취약점을 점검하기 위한 전체 프레임워크를 설계하였고, 프레임워크에서 제공하는 각 기능 및 유즈케이스 다이어그램을 설계하였으며, 설계된 프레임워크를 활용한다면, 현재 상용화되었거나 추후 개발될 보안 외장 하드디스크를 대상으로 안전성을 평가할 것으로 판단된다. 그뿐만 아니라, 안전성 평가 결과를 기반으로, 보안 외장 하드디스크에 내재된 취약점을 보완함으로써 안전성을 더욱 향상시키고, 수동으로 분석하여야만 하는 보안 외장 하드디스크의 취약점 점검을 자동화함으로써, 안전성을 평가하는 시간과 비용 또한 절감할 것으로 사료된다.