• Journal of Digital Convergence
• /
• v.13 no.3
• /
• pp.201-208
• /
• 2015

Recently computer, smart phone, medical devices, etc has become used in a variety of environments as the application fields of IT products have become diversification. Attack case of abuse of software security vulnerabilities is on the increase as the application fields of software have become diversification. Accordingly, secure coding program is of a varied but history management, updating, API module to be vulnerable to attack. Thus, this paper proposed a materialization of CMS linked system to enable check the vulnerability of the source code to content unit for secure software development, configuration management system that interwork on the transmission module. Implemented an efficient coding system secure way that departmentalized by the function of the program and by analyzing and applying secure coding standards.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.24 no.1
• /
• pp.171-182
• /
• 2014

Common Criteria is a scheme that minimize IT products's vulnerabilities in accordance with the evaluation assurance level. SSDLC(Secure Software Development Lifecycle) is a methodology that reduce the weakness that can be used to generate vulnerabilities of software development life cycle. However, Common Criteria does not consider certificated IT products's vulnerabilities after certificated it. So, it can make a problem the safety and reliability of IT products. In addition, the developer and the evaluator have the burden of duplicating evaluations of IT products that introduce into the government business due to satisfy both Common Criteria and SSDLC. Thus, we researched the relationship among the Common Criteria, the static code analysis tools, and the SSDLC. And then, we proposed how to combine SSDLC into Common Criteria.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.33 no.2
• /
• pp.305-318
• /
• 2023

The complexity of software products led many manufacturers to stitch open-source software for composing a product. Using open-source help reduce the development cost, but the difference in the different development life cycles makes it difficult to keep the product up-to-date. For this reason, even the patches for known vulnerabilities are not adopted quickly enough, leaving the entire product under threat. Existing studies propose to use binary differentiation techniques to determine if a product is left vulnerable against a particular vulnerability. Despite their effectiveness in finding real-world vulnerabilities, they often fail to locate the evidence of a vulnerability if it is a small function that usually is inlined at compile time. This work presents our tool FunRank which is designed to identify the short functions. Our experiments using synthesized and real-world software products show that FunRank can identify the short, inlined functions that suggest that the program is left vulnerable to a particular vulnerability.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.652-654
• /
• 2002

오늘날, 리눅스의 급속한 활용은 상대적으로 해킹사례의 확산으로 이어지고 있다. 이에 리눅스 시스템의 취약점에 대한 패치 파일들이 개발자들에 의해서 빠르게 보급되고 있지만 리눅스 관리자들의 보안에 대한 무관심과 번거로운 업데이트 작업의 기피로 인해 제대로 보안 패치가 이루어지지 않고 있는 것이 현실이다. 본 논문은 이러한 실질적인 문제점들을 해결하고자 지금까지의 번거로운 소프트웨어 패치 작업을 스마트 업데이트 기능을 지닌 LSUS(Linux Smart Update System)을 통해 취약점을 지닌 소프트웨어를 자동으로 패치 함으로써 안전한 시스템을 운영할 수 있도록 하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.279-280
• /
• 2016

Internet of Things 시대의 등장과 디바이스의 발달로 소프트웨어가 다양한 분야에서 활용 되면서, 소프트웨어의 자체 취약점을 이용한 공격 시도가 증가하고 있다. 이에 따라, 안전행정부에서는 소프트웨어 개발 사업 분야에 시큐어코딩을 의무화 하였으며, 그 결과로 다양한 시큐어코딩 프로그램이 활용되고 있다. 하지만 기존 시큐어코딩 프로그램의 경우 이력관리나 CMS 연동 과정에서 다양한 문제를 야기 시키고 있으며, 성능적으로도 한계점을 가지고 있다. 따라서, 본 논문에서는 형상관리 시스템과 CMS 연동, 유사도 분석 적용과 실시간 업데이트 등을 적용하는 시큐어코딩 시스템 설계 방법을 제안하였다. 제안하는 설계 기법을 시큐어코딩 시스템에 적용한다면 시큐어코딩 시스템 성능 향상을 물론 다양한 보안위협에 대응 가능할 것으로 기대된다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.812-814
• /
• 2015

유비쿼터스 시대가 ICT 산업의 발달과 함께 도래함에 따라 이용자들의 요구를 충족시켜 주는 다양한 서비스들이 소프트웨어 형태로 등장하고 있다. 이제는 단순 컴퓨터 뿐만이 아니라 모바일, 웨어러블 디바이스, 자동차, 로봇, 의료 산업 등 까지 소프웨어는 현대 사람들의 삶에 깊이 연계되어 있으며 아직도 그 영역은 팽창하고 있다. 이러한 소프트웨어의 풍부한 발달과 비례로 소프트웨어의 취약점을 공략하여 서비스에 치명적인 위협을 가해 이익을 얻으려는 단체도 증가하게 되었다. 본 논문에서는 소프트웨어를 출시하기 전에 취약점을 미리 탐지 식별 할 수 있는 그레이 박스를 활용한 스마트 퍼징 시스템을 제안한다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2014.05a
• /
• pp.595-598
• /
• 2014

The cyber attacks of recent attacks that target zero-day exploit security vulnerabilities before the security patch is released (Zero Day) attack, the web site is without the Lord. These attacks, those that use the vulnerability of security that is built into the software itself is in most cases, cyber attacks that use the vulnerability of the security of the source code, in particular, has a characteristic response that are difficult to security equipment. Therefore, it is necessary to eliminate the security vulnerability from step to implement the software to prevent these attacks. In this paper, we try to design a Secure Coding Guide support tool to eliminate the threat of security from the stage of implementation.

• Review of KIISC
• /
• v.19 no.4
• /
• pp.72-77
• /
• 2009

가상화 기술은 클라우드 컴퓨팅의 핵심 기술로서 서버 및 스토리지, 하드웨어 등을 분리된 시스템이 아닌 하나의 자원 영역으로 간주하여 자원을 필요에 따라 할당할 수 있다. 클라우드 컴퓨팅 환경에서는 가상화 기술을 통해 자원을 통합하여 활용을 극대화하고, 운영비용 절감 및 공간절약의 효과를 얻을 수 있다. 그러나 가상화 가술을 제공하는 가상화 소프트웨어의 경우, 소프트웨어 자체에서 발생할 수 있는 보안 취약점이 존재하게 되고, 이를 이용한 보안 위협 요소는 가상화 환경 기반의 클라우드 컴퓨팅 서비스의 신뢰도를 저하시킬 수 있다. 본 논문에서는 가상머신(VM : Virtual Machine)이 갖는 취약점 분석을 통하여 가상화 환경에서 발생 가능한 보안 위협을 정의하고, 분석 결과를 기반으로 클라우드 컴퓨팅의 가상화 환경에서 고려해야할 보안 문제 및 대응 방안을 기술한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2018.05a
• /
• pp.110-112
• /
• 2018

북한은 소프트웨어 개발기관인 조선콤퓨터센터(KCC)를 설립하고 자체 소프트웨어를 개발하여 사용하고 있다. 조선콤퓨터센터(KCC)는 리눅스 오픈소스 기반의 붉은별 운영체제를 개발하고, 내부 응용프로그램인 서광문서처리체계를 개발하여 사용하고 있다. 이러한 내부문서체계의 보안 취약점을 분석하기 위해 서광문서체계와 유사한 워드프로세스의 CVE 보안 취약점을 분석하고, 서광문서체계의 파일인 ODT 파일의 구조를 분석한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.202-205
• /
• 2016

취약점 스캐너(Vulnerability Scanner)는 이름 그대로 기업의 네트워크나 시스템(컴퓨터, 서버, 라우터 등)을 스캔하고 오픈 포트, 활성화된 IP주소와 로그온, 운영체제, 설치되어 실행되는 소프트웨어와 서비스 등을 식별하고 보고하는 도구이다. 가용성과 데이터의 신뢰성이 우선적으로 중요시되고 있는 제어시스템 환경에서는 이러한 취약점 스캐너 도구의 사용은 운영에 영향을 미칠 수 있다. 본 저자는 기존에 상용화된 스캐너 제품의 취약점 식별 방법을 분석하고 현재까지 발표된 제어시스템 풀랫폼의 공개 취약점 정보를 이용하여 폐쇄적인 제어시스템 운영환경에 적합한 새로운 제어시스템 플랫폼 취약점 스캐너를 제안한다.