• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제23권8호
• /
• pp.487-491
• /
• 2017

오픈 소스는 소프트웨어 혹은 하드웨어의 저작권자가 소스코드를 공개하여 누구나 특별한 제한 없이 자유롭게 사용, 복제, 배포, 수정할 수 있는 소프트웨어로 낮은 진입비용과 빠르고 유연한 개발, 호환성 및 신뢰성과 안전성의 장점을 가지고 있다. 이러한 여러 유용한 오픈 소스의 등장은 소프트웨어 개발에 있어 적은 비용과 시간 투입으로도 높은 수준의 결과물을 얻을 수 있다는 장점도 있지만 반면에 오픈 소스의 보안약점을 이용한 피해 사례가 증가하는 등 보안 문제 또한 심각해지고 있으며 오픈 소스 도입에 있어 보안성을 검증하는 별도의 절차도 아직까지 미흡한 상황이다. 따라서 본 논문에서는 실제 신뢰성이 높다고 알려진 오픈 소스를 보안적 관점에서 바라보며 오픈 소스에 존재하는 보안약점을 분석하고, 이러한 보안약점을 제거하기 위한 수단으로 시큐어 코딩 적용 방안을 제안한다.

• 소프트웨어공학소사이어티 논문지
• /
• 제28권1호
• /
• pp.13-22
• /
• 2019

경쟁적이며 급진적으로 오늘날 소프트웨어 개발 산업 현장에 시큐어 코딩 방법론을 효과적으로 적용하기 위해서는 보안 취약점 결함을 자동으로 검출하는 결함 검출기의 효과적이고 효율적인 적용이 필수적이다. 본 논문은 Java 웹 어플리케이션을 대상으로 하여 우리 행정안전부가 정의한 42개의 보안 취약점 진단 기준과 총 323개의 오픈소스 보안 취약점 결함 검출기의 검출 대상 결함 패턴을 비교하여, 동일한 결함 패턴을 대상으로 하는 것이 무엇인지를 명시화한 결과를 소개한다. 조사 결과를 바탕으로, 본 논문에서는 현재 행정안전부 보안 취약점 진단 기준 방법론의 한계점, 오픈소스 보안 결함 검출 프레임워크 간의 결함검출 범위의 비교, 그리고 시큐어 코딩 가이드라인에 기반 한 개발 보안 방법론의 발전 과제를 논의한다.

• 한국콘텐츠학회논문지
• /
• 제18권8호
• /
• pp.459-468
• /
• 2018

무기체계 관련 어플리케이션과 국방 관련 기관에서 활용하는 정보시스템이 사이버 공격을 받을 경우 국가의 안보가 위험해지는 결과를 초래한다. 이러한 위험을 줄이기 위해 개발 단계에서부터 시큐어 코딩을 적용하거나, 발견된 취약점들을 체계적으로 관리하기 위한 노력이 지속적으로 행해지고 있다. 또한 다양한 분석 도구를 이용하여 취약점을 분석, 탐지하고 개발 단계에서 취약점을 제거하거나, 개발된 어플리케이션에서 취약점을 제거하기 위해 노력하고 있다. 그러나 취약점 분석 도구들은 미탐지, 오탐지, 과탐지를 발생시켜 정확한 취약점 탐지를 어렵게 한다. 본 논문에서는 이러한 문제점 해결방안으로 분석 대상이 되는 어플리케이션의 위험도를 평가하고 이를 기반으로 안전한 어플리케이션을 개발 및 관리할 수 있는 취약점 탐지기법을 새롭게 제안하였다.

• 한국컴퓨터정보학회논문지
• /
• 제26권1호
• /
• pp.171-178
• /
• 2021

본 논문에서는 C/C++ 기반 이산 사건 시스템 명세(DEVS) 시뮬레이션에서 전송 메시지 변경을 탐지하는 기법을 제안한다. 모델 인스턴스가 생성한 메시지가 다른 모델 인스턴스로 전달될 때, 메시지가 수신자 중 일부가 이를 수정할 수도 있다. 이러한 변경은 시뮬레이션 결과를 오염시킬 수 있으며, 오염된 시뮬레이션 결과는 잘못된 의사결정으로 이어질 수 있다. 제안 기법에서는 모든 모델 인스턴스가 전송 메시지의 사본을 저장한다. 전송 메시지가 삭제되기 전, 인스턴스는 저장된 메시지와 전송 메시지를 비교한다. 변경이 탐지되면 현재 시뮬레이션 실행을 중단시킨다. 모든 절차는 시뮬레이터 인스턴스에 의해 자동으로 수행된다. 그러므로 제안 기법은 개발자에게 시큐어 코딩을 준수하거나 특정 코드를 추가하도록 강요하지 않는다. 제안 기법의 성능을 기존 DEVS 시뮬레이터와 비교한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 추계학술발표대회
• /
• pp.220-223
• /
• 2017

세계적인 웹 어플리케이션 취약점을 다루는 OWASP(The Open Wed Application Security Project) TOP 10 [1]에 따르면 빈도가 높고 영향이 큰 취약점들은 모두 철저한 웹 보안 코드를 작성하면 어느 정도 예방할 수 있다는 결론이 나왔다. 이에 따라 최근 국내에서 일어난 웹 사이트의 취약점 사례를 알아보고 그 대응법에 대하여 분석한 후, 직접 개발한 웹 사이트에 웹 보안 코드를 적용할 수 있도록 하였다. 또한, 소프트웨어 공학자를 위한 java 시큐어코딩 가이드를 숙지하여 웹 개발 시 보안 유지를 강화하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 추계학술발표대회
• /
• pp.1057-1059
• /
• 2012

스마트폰이 대중화되면서 안드로이드 애플리케이션의 보안문제가 대두되고 있다. PC환경의 소프트웨어는 개발단계에서부터 시큐어코딩을 통해 안전성을 확보하고 있으나 안드로이드 애플리케이션의 경우는 연구가 더 필요한 상황이다. 본 논문에서는 CWE(Common Weakness Enumeration)의 취약점 분류 체계와 CAPEC(Common Attack Pattern Enumeration and Classification)의 공격 패턴 분류 체계와 CERT(Computer Emergency Response Team)의 취약점 발생 예방을 위한 정책들을 통해 안드로이드 애플리케이션의 최신화된 취약점 목록을 도출하고 카테고리별로 분류하여 취약점을 효율적으로 분석하는 기법을 제안한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권4호
• /
• pp.79-86
• /
• 2016

소프트웨어 보안 사고의 약 75%는 소프트웨어 취약점으로 인해 발생한다. 또한, 제품 출시 후 결함 수정 비용은 설계 단계의 수정 비용보다 30배 이상 많다. 이러한 배경에서, 시큐어 코딩은 유지 보수 문제를 해결하는 방법 중 하나로 제안되었다. 다양한 연구 기관에서는 소프트 웨어 보안 약점의 표준 양식을 제시하고 있다. 새로운 한글 프로그래밍 언어 새싹은 언어 수준에서 보안 약점 해결 방법을 제안하였다. 그러나 이전 연구의 새싹은 API에 관한 보안 약점을 해결하지 못하였다. 본 논문에서는 API에 의한 보안 약점을 해결하는 방법을 제안한다. 이 논문에서 제안하는 방법은 새싹에 위험한 메소드를 검사하는 정적 분석기를 적용하는 것이다. 위험한 메소드는 오염된 데이터 유입 메소드와 오염된 데이터 사용 메소드로 분류한다. 분석기는 위험한 메소드 탐색, 호출 그래프 구성, 호출 그래프를 바탕으로 유입 메소드와 사용 메소드간의 경로 탐색, 검출된 보안 약점 분석 순으로 4단계에 걸쳐 보안 약점을 분석한다. 이 방법의 효율성을 측정하기 위해 정적 분석기를 적용한 새로운 새싹을 이용하여 두 가지 실험을 실행하였다. 첫 번째 실험으로서 이전 연구의 새싹과 개선된 새싹을 Java 시큐어 코딩 가이드를 기준으로 비교하였다. 두 번째 실험으로써 개선된 새싹과 Java 취약점 분석 도구인 FindBugs와 비교하였다. 결과에 따르면, 개선된 새싹은 이전 버전의 새싹보다 15% 더 안전하고 개선된 새싹의 F-measure는 68%로써 FindBugs의 59%인 F-measure와 비교해 9% 포인트 증가하였다.

• 한국멀티미디어학회논문지
• /
• 제14권10호
• /
• pp.1335-1347
• /
• 2011

최근 모바일 애플리케이션의 보급과 사용은 급속도로 확장되고 있으며, 이 과정에서 모바일 애플리케이션의 보안이 새로운 문제로 대두되고 있다. 일반적인 소프트웨어의 안전성은 시큐어 코딩을 통해 개발 단계에서 부터 검증까지 체계적으로 이루어지고 있으나 모바일 애플리케이션의 경우는 아직 연구가 미흡한 실정이다. 본 논문에서는 모바일 애플리케이션에 특화된 취약점 항목을 도출하고 이를 기반으로 취약점을 분석할 수 있는 취약점 분석기를 설계하고 구현한다. 취약점 목록은 CWE(Common Weakness Enumeration)와 CERT (Computer Emergency Response Team)를 기반으로 모바일 애플리케이션의 특징인 이벤트 구동방식을 한정하여 도출하였으며, 분석 도구는 동적 테스트를 통하여 애플리케이션 소스 내에 취약점이 존재하는지 검사한다. 또한 도출된 취약점 목록은 모바일 애플리케이션을 작성하는 프로그래머의 지침서로 활용 될 수 있다.

• 디지털산업정보학회논문지
• /
• 제11권4호
• /
• pp.81-87
• /
• 2015

Recently, with the development of the ICT environment, the use of the software is growing rapidly. And the number of the web server software used with a variety of users is also growing. However, There are also various damage cases increased due to a software security vulnerability as software usage is increasing. Especially web shell hacking which abuses software vulnerabilities accounts for a very high percentage. These web server environment damage can induce primary damage such like homepage modification for malware spreading and secondary damage such like privacy. Source code weaknesses checking system is needed during software development stage and operation stage in real-time to prevent software vulnerabilities. Also the system which can detect and determine web shell from checked code in real time is needed. Therefore, in this paper, we propose the system improving security for web server by detecting web shell attacks which are invisible to existing detection method such as Firewall, IDS/IPS, Web Firewall, Anti-Virus, etc. while satisfying existing secure coding guidelines from development stage to operation stage.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 추계학술발표대회
• /
• pp.1184-1186
• /
• 2015

학술지는 책자 형태에서 전자 파일 형태로 급속히 변화하고 있다. 또한, 최근 전자 저널의 원문은 PDF에서 XML로 바뀌는 추세에 있다. 학술지 원문 XML은 JATS(Journal Article Tag Suite)라는 ANSI/NISO 표준을 따라 만드는 것이 보편화 되고 있다. 본 논문에서는 우리나라 학술지를 XML로 구축하고 국제적으로 서비스하기 위해서 만들어진 전자저널 출판 모델을 설계하고, 이를 개발 구현한 내용을 소개한다. 개발된 전주기 학술지 출판 플랫폼(KPubS)는 리눅스 기반 스프링 프레임워크와 MVC 패턴 및 시큐어 코딩 기법을 적용하여 개발하였으며, 반응형 웹 기술을 적용하였다.