• Review of KIISC
• /
• v.25 no.1
• /
• pp.18-25
• /
• 2015

컴퓨터와 네트워크가 보안 상 안전하려면 무엇보다 사용되는 시스템 및 응용 프로그램에 보안약점이 없어야 한다. 보안약점은 공격자가 이용하여 제어 흐름을 탈취하거나 원하는 정보를 유출할 수 있게 하는 프로그램 상의 불완전한 부분을 뜻한다. 보안약점이 없는 프로그램을 만들기 위한 방법으로 시큐어 코딩 규칙을 정의하고, 프로그램 개발 단계에서 이를 적용하게 할 수 있다. 코딩 과정에서 시큐어 코딩 규칙을 준수하여 보안약점 발생을 억제하는 방법은 예방적 조치이다. 아무런 규칙 없이 코딩을 진행한 후 보안약점을 분석, 제거하는 방법보다 프로그래머들에게 부담이 적고, 정적 분석을 사용하여 보안약점을 분석하는 도구들의 치명적인 약점인 오탐 비율을 낮춘다. 이 글은 2014년까지 소프트웨어 개발 보안 센터를 중심으로 진행된 행정자치부의 C/C++, Java, PHP 프로그래밍 언어를 위한 시큐어 코딩 가이드에 대하여 설명한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.290-292
• /
• 2016

시큐어 코딩은 2014년부터 행정자치부에서 법제화되어 의무사용이 이뤄지고 있다. 기존 소프트웨어 시장의 성장과 함께 여러 해킹방법도 고도화됨에 따라 근본적인 설계 및 코딩단계에서의 취약점 보완 필요성이 제시 되었다. 특히 웹쉘 공격은 해킹당하는 웹 페이지의 대부분이 해당 공격으로 피해를 받고 있으며, 위장하여 침투하기 때문에 백신으로 인한 검출도 어렵다. 따라서 본 논문에서는 시큐어코딩 프로그램을 웹쉘과 연동하여 취약점 분석하는 시스템을 제안하고 동작 과정에서 웹쉘 분석 후 생성되는 파일리스트를 확인해 보았다. 이것은 각 파일을 동기화하고 이후 운영과정에서도 변경되는 소스코드들을 반영하기 때문에 웹쉘로부터 웹 페이지를 효과적으로 방어할 수 있을 것으로 기대된다.

• Convergence Security Journal
• /
• v.18 no.2
• /
• pp.69-76
• /
• 2018

The purpose of this study is to prevent cyber crime in private company systems by applying secure coding and identify its problems. Three experiments were conducted. In Experiment 1, a security manager was participated and gave advise to the developer to follow secure coding guidelines. In Experiment 2, a security manager did not participate, but let the developer himself committed on secure coding. In Experiment 3, a security manager provided reports on weaknesses of each package source to the developer and the developer was only focused on source development. The research results showed that the participation of a security manager on development raised secure coding compliance rate and finished the project within a given periods. Furthermore, it was better to entrust a security manager with the task of following the secure coding guide than the developer, which raised secure coding compliance rate and achieved project objectives faster. Further implications were discussed.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.827-828
• /
• 2015

최근 유비쿼터스 컴퓨팅 시대가 도래함에 따라 소프트웨어는 스마트기기, 홈 네트워크 등 다양한 분야에 활용되고 있으며, 이러한 환경 변화에 맞춰 해커들은 소프트웨어의 자체 취약점을 이용한 다양한 악의적 공격을 진행하고 있다. 실제 소프트웨어 보안 취약점으로 인해 발생하는 피해액이 연간 1800억불에 달하고 있으며, 이러한 문제를 방지하기 위해 다양한 시큐어코딩 제품들이 등장하고 있다. 본 논문에서는 기존 시큐어코딩 프로그램의 효율성 향상을 위한 형상관리 시스템 연동 프로세스 방법을 제안한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.30 no.4
• /
• pp.735-743
• /
• 2020

Secure coding is a technique that detects malicious attack or unexpected errors to make software systems resilient against such circumstances. In many cases secure coding relies on static analysis tools to find vulnerable patterns and contaminated data in advance. However, secure coding has the disadvantage of being dependent on rule-sets, and accurate diagnosis is difficult as the complexity of static analysis tools increases. In order to support secure coding, we apply machine learning techniques, such as DNN, CNN and RNN to investigate into finding major weakness patterns shown in secure development coding guides and present machine learning models and experimental results. We believe that machine learning techniques can support detecting security weakness along with static analysis techniques.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.11a
• /
• pp.666-669
• /
• 2013

2012년 고시된 '정보시스템 구축 운영 지침'에 따라 행정안전부에서는 '전자정부 SW 개발 운영자를 위한 시큐어 코딩 가이드'를 배포하고 있다. 시큐어 코딩 기법을 예제 위주로 제시함으로써, 개발 실무에 활용도를 높이기 위하여 배포된 시큐어 코딩 가이드는 유용한 지침서임에는 틀림이 없으나, 개발자 개개인이 그 내용을 모두 숙지하기 위해서는 많은 시간과 노력을 필요로 한다. 특히 입력 데이터 검증 및 표현에 관한 시큐어 코딩은 시스템 아키텍쳐 차원의 중앙집중적인 관점이 아닌 개발자 개개인이 구현한 기능 단위 수준에서 수행되고 있는 필드의 현실상, 이를 중앙집중적인 관점에서의 입력 데이터 검증을 통하여, 보다 안전한 소프트웨어를 제작하기 위한 방법을 코드 중심의 사례로 설명하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2020.05a
• /
• pp.199-202
• /
• 2020

정보화시대로 넘어오면서 코딩 역시 중요한 교육으로 자리 잡고 있다. 초등학교는 물론 중, 고등학교도 교육적인 측면에서 프로그래밍을 중요시하고 있으며 C언어나 Java는 더이상 개발자만을 위한 언어로 인지되지 않는다. 하지만 코딩의 결과만 의존할 경우 정보보호를 하는 시큐어 코딩의 요소를 중요하게 여기지 않을 수 있다. 그 결과 DB는 물론 서버 에러를 비롯해 개인정보는 많은 위험에 노출될 수 있다. 기본적인 프로그래밍을 숙지한 개발자를 위해 더욱 안전한 코딩을 교육하고자 시큐어 C 코딩 앱을 기획하게 되었고, 정보보호를 코딩의 중요한 요소로 인지하기를 기대한다.

• Journal of IKEEE
• /
• v.22 no.2
• /
• pp.242-249
• /
• 2018

In this paper, we identify the code vulnerabilities that can be automatically detected through Visual Studio (VS) compiler and code analyzer based on a secure coding rule set which is optimized for development of battlefield information system. Then we describe a weak point item that can be dealt with at the implementation stage without depending on the understanding or ability of the individual programmer's secure coding through the implementation of the secure coding library. Using VS compiler and the code analyzer, the developers can detect only about 38% of security weaknesses. But with the help of the proposed secure coding library, about 48% of security weaknesses can be detected and prevented in the proactive diagnosis in the development stage.

• KIISE Transactions on Computing Practices
• /
• v.21 no.11
• /
• pp.721-726
• /
• 2015

This paper shows secure coding rules for PHP programs. Programmers should comply with these rules during development of their programs. The rules are crafted to restrain 28 weaknesses that are composed of 22 corresponding to reported CVEs of PHP, the children of CWE-661 for PHP, and the top 5 weaknesses according to OWASP. The rule set consists of 28 detailed rules under 14 categories. This paper also demonstrates through examples that programs complying with these rules can curb weaknesses. The rules can also serve as a guideline in developing analysis tools for security purposes.

• Journal of Korea Multimedia Society
• /
• v.15 no.11
• /
• pp.1349-1357
• /
• 2012

In recent years, security accidents which are becoming the socially hot issue not only cause financial damages but also raise outflow of private information. Most of the accidents have been immediately caused by the software weakness. Moreover, it is difficult for software today to assure reliability because they exchange data across the internet. In order to solve the software weakness, developing the secure software is the most effective way than to strengthen the security system for external environments. Therefore, suggests that the coding guide has emerged as a major security issue to eliminate vulnerabilities in the coding stage for the prevention of security accidents. Developers or administrators effectively in order to use secure coding coding secure full set of security weaknesses organized structurally and must be managed. And the constant need to update new information, but the existing Secure Coding and Security weakness is organized structurally do not. In this paper, we will define and introduce the structured weakness for mobile applications by the surveys of existing secure coding and coding rules for code analysis tools in Java.