• 제목/요약/키워드: 소프트웨어 취약점

검색결과 304건 처리시간 0.073초

소프트웨어 취약점의 보안성 강화를 위한 연구 (The Research for Cyber Security Experts)

  • 김슬기;박대우
    • 한국정보통신학회:학술대회논문집
    • /
    • 한국정보통신학회 2016년도 추계학술대회
    • /
    • pp.347-350
    • /
    • 2016
  • 소프트웨어의 취약점분석에 대한 위험이 발생하고 있다. 소프트웨어의 취약점을 통해 물질적, 금전적인 피해가 발생함에 따라 보안강화의 중요성이 대두되고 있다. 위험잠재요소가 있는 소프트웨어를 사용하는 경우 제조한 기업뿐만이 아닌 해당 소프트웨어를 사용하는 기업 및 개인까지 손실의 위험이 크기 때문에 본 논문에서는 소프트웨어의 취약점을 진단하고, 진단원을 양성하는 교육과정과 진단가이드를 제시하며, 소프트웨어의 취약점 보안성 강화방식을 제안하고자 한다.

  • PDF

소스코드 기반 소프트웨어 취약점 평가 자동화 방안 연구 (A Study of Source Code-based Automated Software Vulnerability Assessment)

  • 송준호;박재표;권현수;전문석
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2015년도 추계학술발표대회
    • /
    • pp.794-796
    • /
    • 2015
  • 본 연구는 소프트웨어의 소스코드를 대상으로 보안 취약성을 자동으로 평가할 수 있는 방안을 연구하여 소프트웨어 취약점 관리의 자동화 기술 아키텍처를 제안한다. IT가 생활환경의 기반기술로 보급화 되며 소프트웨어시장이 가파르게 성장하고 있다. 영리 소프트웨어의 경우 개발기관에서 관리 및 지원을 하지만, 오픈소스 소프트웨어는 비영리 목적과 개발환경으로 인해 체계적으로 관리되기가 어려워 취약점이 발생하기 쉽다. 그럼에도 비용과 효율의 문제로 오픈소스가 광범위하게 활용되고 있어, 오픈 소스 소프트웨어를 도입한 기관 및 단체에 침해를 유발하고, 보안수준을 악화시키고 있다. 이에 오픈 소스 소프트웨어는 소스코드가 공개되는 소프트웨어라는 점을 활용하여 소스코드 수준에서의 취약점 관리 자동화를 지원함으로써, 오픈소스 소프트웨어를 활용하는 분야의 보안 환경을 안전하게 향상시킬 수 있다.

기업 제품의 보안 취약점 개선을 위한 보상제 동향

  • 유동훈;노봉남
    • 정보보호학회지
    • /
    • 제28권2호
    • /
    • pp.43-50
    • /
    • 2018
  • 최근 새로운 플랫폼과 인터넷 환경의 급속한 변화로 인해 소프트웨어가 다양화되면서 보안 위협도 나날이 증가하고 있어 보안 취약점에 대한 효과적인 대응 방안 마련이 주요 쟁점으로 대두되고 있다. 해외 주요 소프트웨어 벤더사의 경우 보안 취약점에 체계적으로 대응하기 위해 설계 단계에서 보안을 적용하는 사례가 알려져 있지만 해외와 국내 소프트웨어 개발 생태계의 환경적 차이점으로 말미암아 동일한 방식을 일률적으로 적용하는 것은 많은 어려움이 따른다. 이번 논문에서는 기업 제품의 보안 취약점을 개선하기 위한 국내외 사례를 통해 소프트웨어 개발 시 설계에서 배포단계까지 각 단계별 취약점 발굴 활동의 유용성과 배포 후 취약점 발굴 인력의 집단지성을 활용하는 보안 취약점 보상제도의 동향에 대해 설명하고자 한다.

안전한 소프트웨어 개발을 위한 시큐어 SDLC 동향

  • 박난경;임종인
    • 정보보호학회지
    • /
    • 제26권1호
    • /
    • pp.34-41
    • /
    • 2016
  • 최근 사이버 공격은 분야와 대상을 막론하지 않고 곳곳에서 발생하고 있으며 소프트웨어의 보안 취약점을 이용한 지능적인 수법으로 지속적인 공격을 수행하는 APT 공격 또한 확산하고 있다. 이와 같은 공격을 예방하기 위해서는 공격에 직접 이용되는 소프트웨어 보안 취약점을 사전에 제거해야 한다. 소프트웨어 보안 취약점(vulnerability)의 원천 원인은 소프트웨어 허점, 결점, 오류와 같은 보안 약점(weakness)이다. 그러므로 소프트웨어에서 보안 약점은 개발 단계에서 완전히 제거하는 것이 가장 좋다. 이를 위해 소프트웨어 개발 생명주기(SDLC:Software Development Life Cycle) 전반에 걸쳐 보안성을 강화하는 활동을 수행한다. 이는 소프트웨어 배포 이후에 발생할 수 있는 보안 취약점에 대한 보안 업데이트 및 패치에 대한 비용을 효과적으로 감소시키는 방안이기도 한다. 본 논문에서는 소프트웨어 개발 단계 보안을 강화한 소프트웨어 개발 생명주기로서 시큐어 SDLC에 대한 주요 사례를 소개한다.

파일 퍼징을 이용한 SW 취약점 분석 (Software Vulnerability Analysis using File Fuzzing)

  • 김상수;강동수
    • 한국컴퓨터정보학회:학술대회논문집
    • /
    • 한국컴퓨터정보학회 2017년도 제56차 하계학술대회논문집 25권2호
    • /
    • pp.29-32
    • /
    • 2017
  • 보안 취약점을 악용하여 소프트웨어를 무력화하는 사이버 공격이 증가함에 따라, 조기에 소프트웨어의 취약점을 발견하고 분석하는 보안 테스팅에 대한 중요성이 높아지고 있다. 보안 테스팅의 자동화된 방법 중 하나인 퍼징 기법은 소프트웨어의 입력에 타당하지 않은 무작위 값을 삽입하여 해당 소프트웨어의 예외 즉, 잠재적인 취약점을 발견할 수 있다. 본 논문은 파일 퍼징 과정에서 효율적인 파일 변이 방법을 제안하고 이를 활용한 퍼징 기법을 통해 소프트웨어의 보안성을 높이고자 한다.

  • PDF

소프트웨어 취약점 자동 수정 기술 소개

  • 오학주
    • 정보보호학회지
    • /
    • 제28권2호
    • /
    • pp.27-32
    • /
    • 2018
  • 최근들어 소프트웨어의 오류 및 취약점을 자동으로 수정하는 기술이 주목받고 있다. 소프트웨어의 오류를 수정하는 작업은 소프트웨어 개발 단계에서 매우 큰 비용이 소요된다. 본 글에서는 이를 자동화하는 기술인 소프트웨어 오류 자동 수정 기술에 대해서 소개하고 연구 동향을 살펴본다.

알려진 취약점 정보를 활용한 웹 애플리케이션 서버 퍼징 및 검증 (Fuzzing of Web Application Server Using Known Vulnerability Information and Its Verification)

  • 김기연;조성제
    • 한국정보과학회:학술대회논문집
    • /
    • 한국정보과학회 2011년도 한국컴퓨터종합학술대회논문집 Vol.38 No.1(B)
    • /
    • pp.181-184
    • /
    • 2011
  • 소프트웨어와 인터넷 연결이 일반화되고 소프트웨어 규모가 복잡해짐에 따라, 소프트웨어 보안 취약점 발생 수 및 관련 보안 사고가 나날이 증가하고 있다. 소프트웨어 보안 사고를 예방하기 위한 하나의 방법은 소프트웨어 개발 단계에서 취약점을 발견하여 제거하는 것이다. 이에 본 논문에서는 취약점 발견에 사용되는 대표적 테스팅 기법인 퍼징에 대해 연구하였다. 먼저, 웹 애플리케이션 서버와 관련된 기존의 공개된 취약점 정보를 분석하여 퍼징에 필요한 오용 케이스(misuse case) 생성 방법을 보인다. 생성된 오용 케이스는 URL과 HTTP 요청 메시지의 각 필드에 대한 테스팅 정보를 포함하고 있으며, 이 오용 케이스를 웹 애플리케이션 서버에 퍼징하여 실제 보안 관련 결함이 나타남을 확인하였다.

SW 취약점의 보안성 강화를 위한 진단원의 교육 양성 연구 (Research on Education and Training of the Analyzer for Security Enhancement of SW Vulnerability)

  • 김슬기;박대우
    • 한국정보통신학회논문지
    • /
    • 제21권5호
    • /
    • pp.945-950
    • /
    • 2017
  • 소프트웨어의 취약점으로 인하여, 국가의 사이버 인프라와 실물 금융자산 에 대한 해킹 공격이 발생하고 있다. 소프트웨어는 인터넷 정보제공과 사이버 금융결제 및 사이버 인프라를 통제하고 운영하는, 운영체제 및 실행시스템을 구성하는 필수요소이기 때문이다. 이러한 소프트웨어 취약점을 분석하고, 보안성을 강화해야 사이버 인프라의 보안성이 강화되고, 실제 국가와 국민의 실제 생활에 보안성이 강화된다. 소프트웨어 개발보안 제도 분석과 소프트 웨어 개발보안 진단 분석 및 소프트웨어 취약점의 보안성 강화를 위한 연구를 한다. 또한 소프트웨어 취약점 진단원 양성 및 보수교육을 위한 교재개발과 진단원 시험문제 개발 및 진단원의 파일럿 테스트, 그리고 진단원의 투입인력 비용기준을 연구한다. 본 논문의 연구는 소프트웨어 취약점 진단원을 양성하는 교육과정과 진단가이드를 제시하여, 국가와 국민 생활의 사이버 인프라의 소프트웨어 보안성을 강화하는 데 목적이 있다.

공개 취약점 정보를 활용한 소프트웨어 취약점 위험도 스코어링 시스템 (Risk Scoring System for Software Vulnerability Using Public Vulnerability Information)

  • 김민철;오세준;강현재;김진수;김휘강
    • 정보보호학회논문지
    • /
    • 제28권6호
    • /
    • pp.1449-1461
    • /
    • 2018
  • 소프트웨어 취약점의 수가 해마다 증가함에 따라 소프트웨어에 대한 공격 역시 많이 발생하고 있다. 이에 따라 보안 관리자는 소프트웨어에 대한 취약점을 파악하고 패치 해야 한다. 그러나 모든 취약점에 대한 패치는 현실적으로 어렵기 때문에 패치의 우선순위를 정하는 것이 중요하다. 본 논문에서는 NIST(National Institute of Standards and Technology)에서 제공하는 취약점 자체 정보와 더불어, 공격 패턴이나 취약점을 유발하는 약점에 대한 영향을 추가적으로 고려하여 취약점의 위험도 평가 척도를 확장한 스코어링 시스템을 제안하였다. 제안하는 스코어링 시스템은 CWSS의 평가 척도를 기반으로 확장했으며, 어느 기업에서나 용이하게 사용할 수 있도록 공개된 취약점 정보만을 활용하였다. 이 논문에서 실험을 통해 제안한 자동화된 시스템을 소프트웨어 취약점에 적용함으로써, 공격 패턴과 약점에 의한 영향을 고려한 확장 평가 척도가 유의미한 값을 보이는 것을 확인하였다.

공개 정적 분석도구를 활용한 JAVA 보안취약성 분석 (JAVA Security Vulnerability Improvement Using Open Static Analysis Tools)

  • 오동준;장영수
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2015년도 춘계학술발표대회
    • /
    • pp.392-395
    • /
    • 2015
  • 인터넷 확산에 따라 소프트웨어의 보안 취약점을 이용한 공격이 커지고 있다. 이와 같은 공격을 방지하기 위해서는 응용프로그램을 사전에 보안 취약점을 분석하여 분석된 취약점에 대해서는 시큐어 코딩을 적용하여 취약한 코드를 개선해야한다. 본 논문에서는 보안취약점을 분석하기 위한 공개 정적분석도구를 활용하여 분석하고 취약점 유발 코드는 시큐어 코딩을 적용하여 소프트웨어 보안을 할 수 있게 적용하였다.