• 정보보호학회논문지
• /
• 제33권4호
• /
• pp.591-599
• /
• 2023

최근 Castryck-Decru에 의해 SIDH 기반 암호가 다항시간 안에 개인키를 복구할 수 있음에 따라 이에 대응하기 위한 여러 방법이 제안되었다. 이 중, Fouotsa 등이 제안한 M-SIDH는 상대방에게 전달하는 torsion point 정보를 마스킹하여 Castryck-Decru 공격에 대응한다. 본 논문에서는 처음으로 C를 이용해 M-SIDH를 구현하였으며, 최적화를 통해 효율성을 평가한다. 본 논문은 M-SIDH의 성능을 확인하기 위해 1024비트 소수를 사용하여 파라미터를 선택하는 방법을 제시하였으며, square-root Velu 공식의 확장체에서의 구현을 통해 M-SIDH를 최적화하였다. 본 논문의 결과 고전 64비트 보안강도를 가지는 MSIDH-1024의 경우 키 교환하는데 대략 1129ms 정도가 필요하다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2020년도 추계학술발표대회
• /
• pp.1052-1055
• /
• 2020

본 논문에서는 3D 메시 정보, RGB-D 손 자세 및 2D/3D 손/세그먼트 마스크를 포함하여 인간의 손과 관련된 다양한 컴퓨터 비전 작업에 사용할 수 있는 새로운 다중 모달 합성 벤치마크를 제안 하였다. 생성된 데이터셋은 기존의 대규모 데이터셋인 BigHand2.2M 데이터셋과 변형 가능한 3D 손 메시(mesh) MANO 모델을 활용하여 다양한 손 포즈 변형을 다룬다. 첫째, 중복되는 손자세를 줄이기 위해 전략적으로 샘플링하는 방법을 이용하고 3D 메시 모델을 샘플링된 손에 피팅한다. 3D 메시의 모양 및 시점 파라미터를 탐색하여 인간 손 이미지의 자연스러운 가변성을 처리한다. 마지막으로, 다중 모달리티 데이터를 생성한다. 손 관절, 모양 및 관점의 데이터 공간을 기존 벤치마크의 데이터 공간과 비교한다. 이 과정을 통해 제안된 벤치마크가 이전 작업의 차이를 메우고 있음을 보여주고, 또한 네트워크 훈련 과정에서 제안된 데이터를 사용하여 RGB 기반 손 포즈 추정 실험을 하여 생성된 데이터가 양질의 질과 양을 가짐을 보여준다. 제안된 데이터가 RGB 기반 3D 손 포즈 추정 및 시맨틱 손 세그멘테이션과 같은 품질 좋은 큰 데이터셋이 부족하여 방해되었던 작업에 대한 발전을 가속화할 것으로 기대된다.

• 한국컴퓨터정보학회논문지
• /
• 제12권1호
• /
• pp.161-168
• /
• 2007

웹에 대한 공격은 웹 서버 자체의 취약점 보다 웹 어플리케이션의 구조, 논리, 코딩상의 오류를 이용한다. OWASP에서 웹 어플리케이션 취약점을 10가지로 분류하여 발표한 자료에 의하면 웹 해킹의 위험성과 피해가 심각함을 잘 알 수 있다. 이에 따라 웹 해킹에 대한 탐지능력 및 대응이 절실히 요구된다. 이러한 웹 공격을 방어하기 위해 패턴 매칭을 이용한 필터링을 수행하거나 코드를 수정하는 방법이 있을 수 있지만 새로운 공격에 대해서는 탐지 및 방어가 어렵다. 또한 침입탐지시스템이나 웹 방화벽과 같은 단위보안 제품을 도입할 수 있지만 운영과 지속적인 유지를 위해서는 많은 비용과 노력이 요구되며 많은 탐지의 오류를 발생한다. 본 연구에서는 웹 어플리케이션의 구조와 파라미터 입력 값에 대한 타입, 길이와 같은 특성 값들을 추출하는 프로파일링 기법을 이용하여 사전에 웹 어플리케이션 구조 데이터베이스를 구축함으로서 사용자 입력 값 검증의 부재에 대한 해결과 비정상적인 요청에 대해 데이터베이스의 프로파일 식별자를 이용하여 검증하고 공격 탐지가 가능하다. 통합보안관리시스템은 현재 대부분 조직에서 도입하여 운영하고 있으며 일반화 되어있다. 그래서 통합보안관리시스템의 보안 감사 로그 수집 에이전트에 웹 어플리케이션 공격 탐지 기능을 추가한 모델을 제시함으로서 추가 단위보안제품을 도입하지 않고서도 웹 어플리케이션 공격을 탐지할 수 있도록 하였다.

• 정보보호학회논문지
• /
• 제25권4호
• /
• pp.817-827
• /
• 2015

현대인은 스마트폰과 매우 밀접한 관계를 가지고 있으며 이로 인한 수 많은 보안 위협에 노출되어 있다. 실제로 해커들은 스마트폰에 악성 프로그램을 은밀하게 설치하여 장치 이용 제한 및 개인정보 유출 등의 보안 위협을 야기하고 있다. 그리고 그러한 악성 프로그램은 일반적인 프로그램과 다르게 필요 이상의 권한을 요구한다. 본 논문에서는 이 같은 문제를 바탕으로 사용되는 안드로이드 기반 앱들이 요구하는 권한 데이터를 이용하여 주성분 분석(Principle Component Analysis:PCA)과 확률적 K-인접 이웃(Probabilistic K-Nearest Neighbor:PKNN) 방식을 사용하여 효과적으로 악성 프로그램과 일반 프로그램을 분류하고자 한다. 이뿐 아니라 이를 k-묶음 교차 검증(K-fold Croos Validation)을 통해 PKNN의 정확도를 측정하였다. 그리고 일반적으로 사용되는 K-인접 이웃(K-Nearest Neighbor:KNN) 방식과 비교하여, KNN이 분류하기 힘든 부분을 확률적으로 해결하는 PKNN방법을 제안한다. 최종적으로 제안한 방식을 최적화하는 ${\kappa}$와 ${\beta}$ 파라미터를 구하는 것을 목표로 한다. 본 논문에서 사용된 악성 앱 샘플은 Contagio에 요청하여 이용하였다.

• 한국컴퓨터산업학회논문지
• /
• 제2권10호
• /
• pp.1269-1284
• /
• 2001

SSL은 인터넷의 표준 프로토콜인 TCP/IP 트래픽의 암호화를 위해, 기밀성과 인증, 그리고 데이터 무결성을 제공하는 프로토콜이다. 또한 SSL은 인터넷 클라이언트/서버 통신 보안을 위해, 여러 어플리케이션 계층에 적용할 수 있는 연결 중심형 메커니즘을 제공하기 위한 것을 목적으로 한다. 넷스케이프사에 의해 개발된 SSL은 현재 모든 클라이언트의 브라우저와 보안을 제공하는 서버에 의해 지원된다. 현재 SSL의 버전은 3.0이며, 1999년 1월 IETF의 TLS 작업 그룹이 TLS v1.0 명세서를 발표하였다. SSL은 여러 버전을 거치면서, 많은 취약성을 드러내었다. SSL과 TLS는 핸드쉐이크 프로토콜을 이용하여 암호학적 파라미터들을 교환하여 비밀키를 생성하는데, 이 과정에서 많은 공격이 취해질 수 있으며, 또한 레코드 프로토콜에서도 공격이 일어날 수 있다. 본 논문에서는 SSL 프로토콜을 분석하고, TLS와의 차이점을 비교하였으며, 현재 알려진 공격들을 자세히 분석하여, 개발자들이 구현 시 주의해야 할 것들을 제시하였다.

• 융합보안논문지
• /
• 제14권7호
• /
• pp.85-90
• /
• 2014

클라우드 컴퓨팅(Cloud Computing)은 네트워크 환경이라는 구름 속에서 원하는 작업을 요청하여 실행한다는 데서 기원하였으며, 인터넷 기술을 활용하여 IT 자원을 서비스로 제공하는 컴퓨팅을 뜻하고 오늘날 IT 트렌드의 하나로 가장 주목 받고 있다. 클라우드 컴퓨팅 네트워크는 데이터 센터에 서버, 스토리지와 응용 프로그램들을 구성요소로 하여 네트워크를 통해 데이터 센터와 단말기가 연결되는 형태로 구성된다. 즉 클라우드 컴퓨팅에서는 물리적으로 서로 다른 위치에 있는 컴퓨터의 데이터들을 가상화 기술을 사용하여 통합하고 서비스를 제공한다. 따라서 클라우드 컴퓨팅 시스템은 핵심적인 정보자원이며, 이에 대한 표준화된 기술검증 방안 및 평가 체계가 요구되고 있다. 본 논문에서는 클라우드 컴퓨팅 장비 평가체계 구축을 위하여 다양한 클라우드 컴퓨팅 장비들과 관련된 기술기준 연구와 안정성 평가방법을 위한 파라미터와 내용을 도출하는 것을 목적으로 한다.

• 융합보안논문지
• /
• 제8권2호
• /
• pp.41-50
• /
• 2008

최근 멀티미디어 스트리밍 어플리케이션이 보편적으로 사용됨에 따라 네트워크로 유입되는 트래픽의 양이 급속도로 증가하고 있으며, 이와 함께 안정적인 서비스 및 QoS 보장을 위한 다양한 네트워크 관리 시스템들이 제시되고 있다. 이러한 시스템들은 네트워크 장비, 네트워크 상태 정보의 측정 및 분석을 통해 QoS 요구사항의 지속적인 유지 여부를 판단할 수 있는 모니터링 기술을 요구하고 있다. 본 논문에서는 네트워크상의 앤드포인트(endpoint)별 트래픽을 모니터링하고 종단 간의 QoS 등급을 측정하기 위한 시스템을 제안한다. 제시된 시스템은 네트워크 트래픽 정보 수집 및 시각적인 모니터링을 기반으로 하며, 멀티미디어 응용 서비스 보장 여부를 확인할 수 있는 QoS 등급을 측정하기 위해 종단 간의 테스트 패킷 전송을 수행하도록 하였고 이를 통해 Throughput, Delay, Jitter 등의 QoS 파라미터 정보를 시각적, 수치적으로 쉽게 인식할 수 있도록 하였다.

• 정보보호학회논문지
• /
• 제27권3호
• /
• pp.439-448
• /
• 2017

포스트 양자 암호라 할지라도 실제 디바이스에 이를 적용 할 때 부채널 분석 취약점이 존재한다는 것은 이미 알려져 있다. 코드 기반 McEliece 암호와 격자 기반 NTRU 암호에 대한 부채널 분석 연구 및 대응책 연구는 많이 이루어지고 있으나, ring-LWE 암호에 대한 부채널 분석 연구는 아직 미비하다. 이에 본 논문은 8비트 디바이스에서 ring-LWE 기반 암호가 동작할 때 적용 가능한 선택 암호문 SPA 공격을 제안한다. 제안하는 공격은 [$log_2q$]개의 파형으로 비밀키를 복구 할 수 있다. q는 보안 레벨과 관련된 파라미터로 128비트 또는 256비트의 보안 레벨을 만족하기 위해 각각 7681 또는 12289를 사용한다. 또한, 우리는 실제 디바이스에서 동작되는 ring-LWE 복호화 과정의 모듈러 덧셈에서 비밀키를 드러낼 수 있는 취약점이 존재함을 실험을 통해 보이고, 공격 시간 단축을 위한 두 벡터의 유사도 측정 방법을 이용한 공격에 대해 논한다.

• 정보보호학회논문지
• /
• 제31권3호
• /
• pp.533-544
• /
• 2021

양자적 특성을 활용한 Shor 알고리즘은 인수분해 및 이산대수 문제를 효율적으로 풀 수 있다. 이로 인해 RSA, 타원곡선(ECC: Elliptic Curve Cryptography) 등 인수분해와 이산대수 문제의 어려움에 기반하고 있는 기존 공개키 암호 시스템이 위협받고 있다. 이에 미국 국립표준기술연구소(NIST)에서는 양자 컴퓨터의 강력한 연산 능력에도 안전한 새로운 공개키 암호 체계의 표준인 양자 내성 암호(PQC: Post Quantum Cryptography)를 선정하는 공모를 진행하고 있다. 양자 내성 암호 후보군 중 다변수 이차식 기반 서명 기법은 짧은 서명 길이와 빠른 서명 및 검증으로 인해 사물인터넷(IoT) 등 제한된 자원을 갖는 기기에 적합하다. 이에 본 논문에서는 다변수 이차식 기반 서명 중 유일하게 3 라운드까지 최종 선정된 Rainbow에 대한 클래식 공격 기법과 양자적 특성을 이용한 공격 기법들을 분석하고, 현재 3라운드에 제시된 레인보우 파라미터에 대한 공격 복잡도를 계산하여 양자 내성 암호표준화 후보 알고리즘인 레인보우 서명기법이 제공하는 보안 강도를 분석한다.

• 정보보호학회논문지
• /
• 제33권1호
• /
• pp.13-31
• /
• 2023

행정전자서명(GPKI)은 대한민국 중앙정부, 지방정부, 공공기관 등이 자체행정과 대민서비스를 제공할 때 사용하는 공개키 기반구조로 정보시스템의 인증 및 보안 기능을 수행한다. 현재 행정전자서명에서 사용하는 암호체계는 2000년대 초반에 구축하였으며, 2010년에 한 차례 고도화를 진행한 후 10여 년이 지났다. 지난 10여 년간 암호를 포함하여 정보보안은 많은 변화를 겪어왔으며, 앞으로도 수많은 변화를 맞이하게 될 것이다. 따라서 행정전자서명의 지속 가능한 안전성을 위해서는 현시점에서 암호체계의 안전성을 재검토할 필요가 있다. 이 논문은 행정전자서명 암호체계에 사용된 기술 및 표준의 현황과 안전성을 분석하여, 안전성이 저하된 암호알고리즘을 사용하거나, 폐지 또는 대체된 표준을 참고하는 사례와 안전성 상향을 위해 조정해야 할 파라미터 등을 식별하였다. 그리고 이를 바탕으로 행정전자서명 암호체계 고도화를 위한 암호알고리즘 및 관련 기술의 개편 방향을 제시한다.