• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.04a
• /
• pp.491-493
• /
• 2015

사이버전의 위협은 종전에는 정보체계와 인터넷망에 국한되는 것으로 여겨졌으나 현재에는 망분리 환경이나 정보체계가 아닌 소프트웨어에 대해서도 위협이 실제하고 있으며, 그 공격 양상이 다양화 복합화 되는 경향을 보이고 있다. 향후 사이버전은 융복합 무기체계가 포함하고 있는 다양한 내장형 소프트웨어에 공격으로 확대될 것이며, 이에 따라 무기체계 내장형 소프트웨어에 대한 사이버전 대용 준비가 필요하다. 본 논문에서는 무기체계 내장형 소프트웨어의 사이버전 대용을 위한 방안으로 무기체계 내장형 소프트웨어의 보안성 강화를 위한 보안강화코딩(시큐어 코딩)을 적용 보안 프레임워크를 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2010.04a
• /
• pp.796-799
• /
• 2010

인터넷의 발전으로 인터넷을 통한 서비스가 증대하고 있다. 반면 응용 소프트웨어의 보안 취약점으로 인해 국가, 기업, 개인 모두에게 정보보호의 중요성이 더욱 강조 되고 있다. 임베디드 소프트웨어인 우주, 항공, 원자력 소프트웨어 등 오류 없이 수행되어야 하는 고안전성 소프트웨어의 개발기법은 이제 응용 소프트웨어의 보안강화 활동에 활용 되고 있다. 특히 시큐어 코딩 (Secure Coding)은 방어적 프로그램(Defensive Programming)을 포함하는 개념으로 소프트웨어의 안전성과 보안성을 향상 시킬 수 있다. 본 논문에서는 범용 보안 취약가능성 분석 도구를 이용하여 소프트웨어의 취약 가능성을 분석하고 보안 취약점 유발 명령어를 분류한다. 그 다음에 시큐어 코딩 기법을 적용하여 취약한 코드를 개선하였다. 이러한 개선을 통해 보안 취약성 가능한 코드 부분을 손쉽게 수정하여 소프트웨어 보안을 개선할 수 있다.

• Journal of Korea Multimedia Society
• /
• v.15 no.11
• /
• pp.1349-1357
• /
• 2012

In recent years, security accidents which are becoming the socially hot issue not only cause financial damages but also raise outflow of private information. Most of the accidents have been immediately caused by the software weakness. Moreover, it is difficult for software today to assure reliability because they exchange data across the internet. In order to solve the software weakness, developing the secure software is the most effective way than to strengthen the security system for external environments. Therefore, suggests that the coding guide has emerged as a major security issue to eliminate vulnerabilities in the coding stage for the prevention of security accidents. Developers or administrators effectively in order to use secure coding coding secure full set of security weaknesses organized structurally and must be managed. And the constant need to update new information, but the existing Secure Coding and Security weakness is organized structurally do not. In this paper, we will define and introduce the structured weakness for mobile applications by the surveys of existing secure coding and coding rules for code analysis tools in Java.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.827-828
• /
• 2015

최근 유비쿼터스 컴퓨팅 시대가 도래함에 따라 소프트웨어는 스마트기기, 홈 네트워크 등 다양한 분야에 활용되고 있으며, 이러한 환경 변화에 맞춰 해커들은 소프트웨어의 자체 취약점을 이용한 다양한 악의적 공격을 진행하고 있다. 실제 소프트웨어 보안 취약점으로 인해 발생하는 피해액이 연간 1800억불에 달하고 있으며, 이러한 문제를 방지하기 위해 다양한 시큐어코딩 제품들이 등장하고 있다. 본 논문에서는 기존 시큐어코딩 프로그램의 효율성 향상을 위한 형상관리 시스템 연동 프로세스 방법을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.04a
• /
• pp.511-513
• /
• 2015

향후 사이버전 환경에서는 기존의 인터넷망과 인터넷 서비스에 대한 사이버 공격을 통한 서비스의 마비 뿐만 아니라, 무기체계 자체에 대한 사이버 공격을 통해 군사 지휘통제에 대한 전략적 수단과 군사작전 수행의 마비를 위한 전술적 수단으로써의 다양한 사이버 공격형태들이 발생할 것이 예상된다. 이러한 사이버 공격에 대한 대응 수단으로 무기체계 내장형 소프트웨어에 대한 시큐어 코딩의 적용이 필요하며, 본 논문에서는 무기체계 내장형 소프트웨어에 대한 시큐어 코딩 적용 관련한 그 동안의 연구 동향을 살펴보고 향후 연구 방향을 제안하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.859-861
• /
• 2015

최근 소프트웨어는 IT 산업이 발달함에 따라 스마트 단말, 가전기기, 의료기기 등 다양한 분야에서 활용되고 있으며, 소프트웨어 사용이 증가함에 따라 이를 악용한 다양한 공격 사례가 발생하였다. 이를 위해 행정안전부에서는 2011년부터 시큐어코딩을 단계적으로 의무화 하였으며 이에 따라, 시큐어코딩 시장이 증가하고 있는 추세이다. 본 논문에서는 기존 시큐어코딩 프로그램에서 신규 취약점에 능동적으로 대응이 가능한 Rule Base를 기반으로 시큐어코딩 프로그램 성능 향상 방안을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.11a
• /
• pp.801-802
• /
• 2023

시큐어 코딩은 해킹 등 사이버 공격의 원인인 보안 취약점을 제거해 안전한 소프트웨어를 개발하는 SW 개발 기법을 의미한다. 개발자의 실수나 논리적 오류로 인해 발생할 수 있는 문제점을 사전에 차단하여 대응하고자 하는 것이다. 그러나 현재 시큐어 코딩에는 오탐과 미탐의 문제가 발생한다는 단점이 있다. 따라서 본 논문에서는 오탐과 미탐이 발생하는 단점을 해결하고자 머신러닝 알고리즘을 활용하여 AI 기반으로 개발자의 실수나 논리적 오류를 탐지하는 시큐어 코딩 도구를 만들고자 한다. 다양한 모델을 사용하여 보안 취약점을 모아놓은 Juliet Test Suite를 전처리하여 학습시켰고, 정확도를 높이기 위한 과정 중에 있다. 향후 연구를 통해 정확도를 높여 정확한 시큐어 코딩 점검 도구를 개발할 수 있을 것이다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.23 no.2
• /
• pp.243-250
• /
• 2013

We have entered into an era of smart software system where the many kinds of embedded software, especially SCADA and Automotive software not only require high reliability and safety but also high-security. Removing software weakness during the software development lifecycle is very important because hackers exploit weaknesses which are source of software vulnerabilities when attacking a system. Therefore the coding rule as like core functions of MISRA-C should expand their coding focus on security. In this paper, we used CERT-C secure coding rules for nuclear-related software being developed to demonstrate high-safety software, and proposed how to remove software weakness during development.

• Convergence Security Journal
• /
• v.12 no.6
• /
• pp.93-99
• /
• 2012

As the most common application development of software development time, error-free quality, adaptability to frequent maintenance, such as the need for large and complex software challenges have been raised. When developing web applications to respond to software reusability, reliability, scalability, simplicity, these quality issues do not take into account such aspects traditionally. In this situation, the traditional development methodology to solve the same quality because it has limited development of new methodologies is needed. Quality of applications the application logic, data, and architecture in the entire area as a separate methodology can achieve your goals if you do not respond. In this study secure coding, the big issue, web application factors to deal with security vulnerabilities, web application architecture, design procedure is proposed. This proposal is based on a series of ISO/IEC9000, a web application architecture design process.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.11a
• /
• pp.666-669
• /
• 2013

2012년 고시된 '정보시스템 구축 운영 지침'에 따라 행정안전부에서는 '전자정부 SW 개발 운영자를 위한 시큐어 코딩 가이드'를 배포하고 있다. 시큐어 코딩 기법을 예제 위주로 제시함으로써, 개발 실무에 활용도를 높이기 위하여 배포된 시큐어 코딩 가이드는 유용한 지침서임에는 틀림이 없으나, 개발자 개개인이 그 내용을 모두 숙지하기 위해서는 많은 시간과 노력을 필요로 한다. 특히 입력 데이터 검증 및 표현에 관한 시큐어 코딩은 시스템 아키텍쳐 차원의 중앙집중적인 관점이 아닌 개발자 개개인이 구현한 기능 단위 수준에서 수행되고 있는 필드의 현실상, 이를 중앙집중적인 관점에서의 입력 데이터 검증을 통하여, 보다 안전한 소프트웨어를 제작하기 위한 방법을 코드 중심의 사례로 설명하고자 한다.