• 정보보호학회논문지
• /
• 제31권2호
• /
• pp.263-277
• /
• 2021

자바스크립트로 작성된 웹 어플리케이션에서 Cross-Site Scripting (XSS), SQL Injection과 같은 검증되지 않은 사용자 입력 데이터로 인해 발생하는 취약점을 탐지하기 위해 오염 분석 기법이 널리 사용되고 있다. 이러한 취약점을 탐지하기 위해서는 사용자 입력 데이터에 영향을 받는 변수들을 추적하는 것이 중요하지만, 자바스크립트의 동적인 특성으로 인해 웹 어플리케이션을 실행해 보지 않고 그러한 변수들을 식별하는 것은 매우 어렵다. 때문에, 기존의 오염 분석 도구들은 대상 어플리케이션을 실행하는 오버헤드가 존재하는 동적 오염 분석을 사용하도록 개발되었다. 본 논문에서는 타입스크립트(자바스크립트의 상위집합) 컴파일러를 활용해 얻은 심볼 정보를 기반으로 데이터의 흐름을 정확히 추적하고, 타입스크립트 코드에서 보안 취약점을 발견하는 새로운 정적 오염 분석 기법을 제안하였다. 제안한 기법은 개발자가 검증되지 않은 사용자 입력 데이터를 포함할 수 있는 변수에 표시를 할 수 있도록 하며, 이를 활용해 사용자 입력 값에 영향을 받는 변수와 데이터를 추적한다. 제안한 기법은 TypeScript 컴파일러에 원활히 통합될 수 있기 때문에, 별도의 도구로 작동하는 기존 분석 도구와 달리 개발자가 개발 과정에서 취약점을 발견할 수 있게 한다. 제안한 기법의 유효성을 확인하기 위해 프로토타입을 구현하였으며, 취약점이 보고된 8개의 웹 어플리케이션을 선정하여 분석을 수행하여 성능을 평가한 결과 기존의 취약점을 모두 탐지할 수 있음을 확인하였다.

• 정보보호학회지
• /
• 제29권6호
• /
• pp.81-88
• /
• 2019

IoT 기술을 이용한 다양한 제품과 서비스의 출시로 국내·외 IoT 산업의 급성장 및 초연결사회로의 진입이 가속화되고 있는 가운데, 보안에 취약한 IoT 기기를 공격 목표 및 도구로 악용하여 다양한 침해사고가 발생되고 있다. 이와 같은 상황은 IoT 기기 보급 활성화와 더불어 더욱 증가할 것으로 전망되고 있으며, 피해의 범위 및 정도에 있어서 막대한 사회적·경제적 손실을 유발하게 될 것으로 우려되고 있다. IoT 기기를 대상으로 하는 침해사고는 주로 디폴트 계정이나 추측하기 쉬운 패스워드를 사용하는 등 관리적 미흡 혹은 기기 자체의 취약점을 악용하여 발생하는 공격으로 인하여 발생되고 있다. 이에 정부 및 산업체에서는 IoT 기기의 보안 내재화, 기기 소유자의 보안인식 제고 등 IoT 기기의 보안성 강화를 위한 다양한 활동을 진행하고 있다. 하지만 IoT 기기 및 사용 환경의 특징 상 모든 IoT 기기를 안전하게 배포하여 관리하는 데에는 한계가 존재하기 때문에, 침해사고 예방 및 대응의 관점에서 공격에 노출되기 쉬운 취약한 기기를 파악하여 사전에 조치하는 노력이 필요하다. 이와 관련하여 본 논문에서는 IoT 기기 취약점을 악용하여 발생하는 공격 대응을 위해, 다양한 채널을 통해 IoT 기기 취약점 및 익스플로잇 정보를 수집하여 IoT 기기 취약점 악용 공격의 유형을 분석하고 대응의 일례를 제시함으로써 IoT 위협 탐지 및 대응 전략 수립을 위한 기초정보를 제공하고자 한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2011년도 한국컴퓨터종합학술대회논문집 Vol.38 No.1(A)
• /
• pp.328-331
• /
• 2011

최근 소프트웨어 결함이나 보안 취약점을 분석하고 발견하기 위해 퍼징(fuzzing)에 대한 연구가 활발하다. 퍼징은 무작위 입력 데이터를 대상 프로그램에 주입하여 그 결과를 관찰하면서 결함을 탐지하는 테스팅 방법이다. 본 논문에서는 웹 브라우저를 대상으로 기존의 '변이 기반의 덤 퍼징'(Mutation based Dumb Fuzzing) 방식과 '생성 기반의 지능적 퍼징'(Generation based Smart Fuzzing) 방식을 비교 분석하였다. 그리고 실험을 통해 기존의 퍼징 도구들의 성능을 측정하고 이를 바탕으로 브라우저 퍼징에서' 변이 기반의 덤 퍼징' 이 웹 브라우저의 결함 및 취약점 탐지에 더 효율적이라는 것을 보인다. 그리고 웹 브라우저를 대상으로 '변이 기반의 덤 퍼징' 방식을 적용할 때, 코드 실행 커버리지를 고려한 다수의 입력 템플릿 확보와 다수의 템플릿들에 대한 구성 요소들을 랜덤하게 섞어서 변이를 하는 효과적인 브라우저 퍼징 전략을 제안한다.

• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.973-983
• /
• 2019

정보 보안의 중요성은 응용 소프트웨어의 보안으로 인해 국가, 조직 및 개인 수준에서 점점 더 강조되고 있다. 임베디드 소프트웨어를 포함하는 높은 안전성 소프트웨어의 개발 기술은 항공 및 원자력 분야 등 에 국한되어 사용되었다. 하지만 이러한 소프트웨어 유형은 이제 응용 소프트웨어 보안을 향상시키는 데 사용된다. 특히 보안 코딩은 방어적 프로그래밍을 포괄하는 개념으로 소프트웨어 보안을 향상시킬 수 있다. 본 논문에서는 개선된 코딩 표준 검색 기법을 적용한 소프트웨어 보안 취약성 탐지 기술을 제안한다. 공개된 정적 분석 도구는 소프트웨어 보안 가능성을 분석하고 취약점을 유발하는 명령어를 분류하는 데 사용되었으며, 소프트웨어 취약점을 유발할 수 있는 API 및 버그 패턴을 쉽게 감지하여 향상시킬 수 있다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2002년도 종합학술발표회논문집
• /
• pp.161-165
• /
• 2002

최근 증가하고 있는 인터넷 및 기타 네트워크 시스템에 대한 위협은 그 공격의 목적과 기법, 피해의 종류가 늘어남에 따라 효과적인 대응책으로 단순한 기술적 접근 이외에 법률 및 심리, 사회 공학적 접근의 결합적인 대처방안이 강구되어야 할 것이다. 이를 효과적으로 보조할 수 있는 시스템이 Honeypot이다. 하지만 Honeypot 자체는 공격의 위협을 그 즉시 막는데는 별다른 능력이 없기 때문에 Honeypot 시스템의 의도대로 공격자가 속지 않거나 Honeypot의 정보가 다른 보안 도구와 보안 정책 갱신에 이용되기 이전의 공격에 대해서는 취약점을 가지고 있다. 이에 따라 본 논문에서는 기존의 Honeypot이 설치된 시스템의 효과적 활용을 위해 신경망 이론에 기반한 침입 탐지 모듈을 연동하며 이를 통해 초기 공격에 대한 Honeypot 시스템 보호, Honeypot 시스템이 활성화 된 다음의 상호 연동 효과 및 향후 과제 등을 기술한다. 또한 이에 대한 보다 확실한 접근을 위해 Honeypot 시스템을 통해 DDoS를 방어하도록 제안되었던 시스템의 취약점과 이를 효과적으로 해결할 수 있는 방법을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2024년도 춘계학술발표대회
• /
• pp.216-217
• /
• 2024

최근 클라우드 컴퓨팅 인프라 및 소프트웨어의 지속적인 발전으로 인한 복잡성 증가로 인해 신속한 확장성과 유연성에 대한 요구가 증가하고 있다. 이에 클라우드 네이티브 환경과의 호환성뿐만 아니라 개발과 운영의 효율성을 높이고자 코드로 인프라를 정의하여 자동화된 환경을 구축해 주는 코드형 인프라(Infrastructure as Code, IaC) 기술이 주목받고 있으며, AWS CloudFormation 은 대표적인 솔루션 중 하나이다. 그러나 IaC 형태로 배포되는 템플릿에 취약성이 존재할 경우, 인스턴스가 실행되기 전까지 보안 취약점을 미리 발견하기 어려워 DevOps 사이클에서의 보안 이슈를 야기할 수 있다. 이에 본 논문은 CloudFormation 템플릿의 보안 취약성 스캔이 가능하다고 알려진 오픈 소스 도구의 효율성을 평가하기 위한 사례 연구를 수행한다. 분석 결과를 바탕으로, DevSecOps 달성을 위한 IaC 기반 환경에서 취약성 사전 탐지의 필요성과 세분화된 접근 방식을 제시하고자 한다.

• 전자통신동향분석
• /
• 제28권1호
• /
• pp.100-109
• /
• 2013

사용자들은 스마트폰의 무선랜 접속을 통해 편리하게 인터넷 서비스를 사용할 때 무선 구간 도청의 위험성 정도만 인지하는 수준이지만, 편리하다는 그 이면에는 불특정 다수에 의한 도청 위험성뿐만 아니라, 무선랜은 타 무선 네트워크에 비해 비교적 저렴하고 손쉬운 공격 도구를 이용하여 네트워크 무력화가 가능하다는 큰 단점이 있다. 이에 따라 무선랜 보안성 강화를 위해, IEEE 등 관련 표준화 기구에서는 무선랜 보안과 셀룰러 망 연동, 로밍, 무선 메시 네트워크 등 다양한 활용을 염두에 둔 보안 규격을 정의하였으며, 표준 영역에서 다루지 않는 무선랜 보안 위협에 대응하는 장비에 대한 시장의 요구도 분명하다. 본고에서는 2012년 최신 무선랜 표준에서의 보안 기술과 Gbps급 차세대 무선랜 환경에서의 보안의 취약점을 이용한 공격과 이를 탐지하고 방어하는 무선랜 침해방지 기술에 대하여 논한다.

• 정보보호학회논문지
• /
• 제14권2호
• /
• pp.101-111
• /
• 2004

ISP 네트워크의 보안수준 진단과 대응방안을 수립하기 위해서는 네트워크상의 정보자산에 대한 취약점과 위협 요인을 식별하고, 피해 발생시 예상되는 손실의 정도를 산정하는 위험분석 절차가 필수적이다. 하지만, 기존의 위험분석 방법론 및 도구들은 대부분 방법론적 분석절차와 수단만을 제공하며, 개별 시스템의 취약점 및 위협요인의 변동정보를 실시간으로 반영할 수가 없다. 따라서. 본 논문에서는 네트워크 침입탐지 시스템과 취약점 분석 시스템의 탐지 정보들을 실시간으로 수집, 분석하여 네트워크 자산에 발생할 수 있는 위험의 가능성을 찾아내고, 정량적인 위험수준을 평가하는 시스템을 제안한다. 또한, 실험을 통해 시스템의 성능수준을 제시하였다.

• 정보보호학회논문지
• /
• 제30권5호
• /
• pp.847-857
• /
• 2020

IoT 장비가 상용화되면서 IP카메라, 도어락, 자동차, TV 등 일반 생활기기에 블루투스나 유무선의 네트워크가 내재되어 출시되고 있다. IoT 장비는 네트워크를 통해 많은 정보들을 공유하며 개인적인 정보들을 수집하여 시스템을 가동하기 때문에 IoT 장비에 대한 보안은 더욱 중요해지고 있다. 또한, 현재 사이버 위협 중 웹 기반 공격과 애플리케이션 공격이 상당히 많은 비중을 차지하고 있고, 이를 보안하기 위해 보안 전문가들이 수동 분석을 통해 사이버 공격의 취약점들을 분석하고 있다. 그러나 수동 분석으로만 취약점을 분석하기에는 사실상 불가능하기 때문에 현재 시스템 보안을 연구하는 연구원들은 자동화된 취약점 탐지 시스템을 연구하고 있고, 최근 USENIX에서 발표된 Firm-AFL은 커버리지 기반의 퍼저를 사용하여 퍼징의 처리속도와 효율성에 대해 연구를 진행하여 시스템을 제안했다. 하지만, 기존 도구는 펌웨어의 퍼징 처리속도에 초점을 두고 연구를 진행하다 보니 다양한 경로에서 취약점을 발견하지 못했다. 본 논문에서는 기존 도구에서 찾지 못한 다양한 경로에서 취약점을 발견하고자 변이과정을 강화시켜 기존 도구가 찾은 경로보다 더 많은 경로를 찾고, 제약조건을 해결하며 더 많은 크래시를 발견하는 IoTFirmFuzz를 제안한다.

• 정보보호학회논문지
• /
• 제24권3호
• /
• pp.535-545
• /
• 2014

최근 소프트웨어 산업의 발전과 더불어 소프트웨어 취약점을 이용한 공격이 사회적으로 많은 이슈가 되고 있다. 특히, 웹 브라우저 취약점을 이용한 공격은 윈도우 보호메커니즘을 우회할 수 있기 때문에 주요 공격 대상이 될 수 있다. 이러한 보안위협으로부터 웹 브라우저를 보호하기 위한 퍼징 연구가 지속적으로 수행되어 왔다. 하지만 기존 웹 브라우저 퍼징 도구에서는 대부분 DOM 트리를 무작위로 변형시키는 단순한 형태의 퍼징 방법을 사용하고 있다. 본 논문에서는 알려진 취약점에 대한 패턴 분석과 기존 웹 브라우저 퍼징 도구의 분석을 통해 최신 웹 브라우저 취약점을 보다 효과적으로 탐지하기 위한 이벤트 및 커맨드 기반 퍼징 방법을 제안한다. 기존 퍼징 도구 3종과 제안하는 방법을 비교한 결과 이벤트 및 커맨드 기반의 퍼징 도구가 더욱 효과적이라는 것을 볼 수 있었다.