• 디지털융복합연구
• /
• 제12권2호
• /
• pp.513-518
• /
• 2014

IT기술의 발전에 따라 다양한 신규 IT서비스가 생겨나고 있다. 신규 IT 서비스는 이용자의 서비스 접근의 편의성을 제공하나 네트워크와 복합 단말기 사용 등 정보시스템의 복잡도가 증가하고 있어 다양한 보안에 대한 위협과 취약성이 증가하고 있다. 정보시스템에 대한 안전성을 확보하기 위하여 정보통신 서비스 구축단계에서부터 정보보호 취약점 분석 등을 통해 사전에 취약점을 제거하고 정보보호 대책을 수립하여 적용하였는지에 대한 점검 활동에 대한 제도를 마련하고 있다. 본 논문에서는 정보시스템에 사전점검 방법에 대한 각 나라별 소개와 추진현황에 대해서 살펴본다. 한국인터넷 진흥원에서 추진하고 있는 사전점검 방법에 대한 추진 방향과 안전성을 확보하기 위한 활성화 방향에 대해서 제안한다.

• 융합보안논문지
• /
• 제12권4호
• /
• pp.115-122
• /
• 2012

애플리케이션 개발이 보편화됨에 따라 대부분의 소프트웨어는 개발기간 단축, 에러없는 품질, 수시 유지보수에 대한 적응성, 거대하고 복잡한 소프트웨어의 필요성 등과 같은 과제가 제기되었다. 웹 애플리케이션 개발시 이러한 품질 문제에 대응하기 위해 소프트웨어의 재사용성, 신뢰성, 확장성, 단순성 등과 같은 측면을 고려하지 않을 수 없는 환경으로 변화 되었다. 이같은 상황에서 전통적 개발방법론으로는 품질을 해결하는데 한계를 가지고 있기 때문에 품질에 기반한 개발 방법론이 필요하다. 애플리케이션 품질은 애플리케이션 로직, 데이터, 아키텍처 전체 영역에서 별도의 방법론으로 대처하지 않으면 목표를 달성할 수 없다. 본 연구는 시큐어코딩의 최대 현안인 웹 애어플리케이션 개발을 위하여 웹애플리케이션 아키텍쳐 설계절차를 제안한다. 본 제안은 ISO/IEC9000 시리즈를 기반으로 한 웹 애플리케이션 아키텍쳐 설계절차의 하나의 예제이다.

• 한국정보통신학회논문지
• /
• 제21권5호
• /
• pp.945-950
• /
• 2017

소프트웨어의 취약점으로 인하여, 국가의 사이버 인프라와 실물 금융자산 에 대한 해킹 공격이 발생하고 있다. 소프트웨어는 인터넷 정보제공과 사이버 금융결제 및 사이버 인프라를 통제하고 운영하는, 운영체제 및 실행시스템을 구성하는 필수요소이기 때문이다. 이러한 소프트웨어 취약점을 분석하고, 보안성을 강화해야 사이버 인프라의 보안성이 강화되고, 실제 국가와 국민의 실제 생활에 보안성이 강화된다. 소프트웨어 개발보안 제도 분석과 소프트 웨어 개발보안 진단 분석 및 소프트웨어 취약점의 보안성 강화를 위한 연구를 한다. 또한 소프트웨어 취약점 진단원 양성 및 보수교육을 위한 교재개발과 진단원 시험문제 개발 및 진단원의 파일럿 테스트, 그리고 진단원의 투입인력 비용기준을 연구한다. 본 논문의 연구는 소프트웨어 취약점 진단원을 양성하는 교육과정과 진단가이드를 제시하여, 국가와 국민 생활의 사이버 인프라의 소프트웨어 보안성을 강화하는 데 목적이 있다.

• 융합보안논문지
• /
• 제13권6호
• /
• pp.83-89
• /
• 2013

웹 해킹 대책을 적용할 경우 어느 한가지 기술이나 방법보다 통합된 대책을 구성하고 정보보안을 단계적으로 실행하는 방법이 필요하다. 웹 해킹 대응을 어느 한가지 방법에만 의존 시 많은 보안 공백을 발생 시킬 수 있다. 본 연구에서는 Cross-site scripting 공격 프로세스를 진단하여 웹 해킹 대응절차를 설계한다. 대응체계는 프레임워크를 구성하고 정보보안을 단계적으로 실행하는 방법이다. 단계적 대응모델은 대책의 구조를 시스템 설계단계, 운용단계, 사용단계로 구성하는 방법이다. 시스템 설계단계는 방법은 개발 라이프 사이클에 기초하여 시큐어코딩 설계로 보안 효율성을 높인다. 사용단계에서는 사용자의 보안 이행사항을 체계화한다. 본 방법론을 실무현장에 적용할 경우 현장에서 필요한 종합적인 접근방법론 모델로 활용할 수 있다.

• 한국산학기술학회논문지
• /
• 제18권11호
• /
• pp.46-52
• /
• 2017

최근 ICT 및 IoT 제품의 활용 분야가 다양화 되면서 오픈소스 소프트웨어의 활용 분야가 컴퓨터, 스마트폰, IoT 디바이스 등 다양한 기기와 환경에서 활용되고 있다. 이처럼 오픈소스 소프트웨어의 활용분야가 다양해짐에 따라 오픈소스의 보안 취약점을 악용하는 불법적인 사례가 지속적으로 증가하고 있다. 이에 따라 다양한 시큐어 코딩을 위한 도구나 프로그램이 출시되고 활용되고 있지만 여전히 많은 취약점들이 발생하고 있다. 본 논문에서는 안전한 오픈 소스 소프트웨어 개발을 위해 오픈 소스의 취약점 분석 결과에 의한 이력과 패턴을 지속적으로 학습하여 신규 취약점 분석에 활용할 수 있는 방법을 제안한다. 본 연구를통해 취약점 이력 및 패턴 학습기반의 취약점 분석 시스템을 설계하였으며, 프로토타입으로 구현하여 실험을 통해 시스템의 성능을 평가하였다. 5개의 취약점 항목에 대해 평균 취약점 검출 시간은 최대 약 1.61sec가 단축되었으며, 평균 검출 정확도는 약 44%point가 향상된 것을 평가결과에서 확인할 수 있었다. 본 논문의 내용 및 결과는 소프트웨어 취약점 연구 분야에 대한 발전과 소프트웨어 개발자들의 취약점 분석을 통한 시큐어 코딩에 도움이 될 것을 기대한다.

• 한국멀티미디어학회논문지
• /
• 제19권10호
• /
• pp.1792-1807
• /
• 2016

Android application is vulnerable to reverse engineering attack. And by this, it is easy to extract significant module from source code and repackage it. To prevent this problem, dynamic class loading technique, which is able to exclude running code from distributed source code and is able to load running code dynamically during runtime can be used. Recently, this technique was adapted on variety of fields and applications like updating pre-loaded android application, preventing from repacking malicious application, etc. Despite the fact that this technique is used on variety of fields and applications, there is fundamental lack on the study of potential weakness or related secure coding. This paper would deal with potential weaknesses during the implementation of dynamic class loading technique with analysing related international/domestic standard of weaknesses and suggest a secure way for the implementation of dynamic class loading technique. Finally, we believe that this technique described here could increase the level of trust by decreasing the weakness related to dynamic class loading technique.

• 한국멀티미디어학회논문지
• /
• 제17권6호
• /
• pp.706-715
• /
• 2014

It is used to lead to serious structural vulnerability of the system security of security-critical system when we have quickly developed software system according to urgent release schedule without appropriate security planning, management, and assurance processes. The Data Set and Provider of DataSnap, which is a middleware of Delphi XE2 of the Embarcadero Technologies Co., certainly help to develop an easy and fast-paced procedure, but it is difficult to apply security program and vulnerable to control software system security when the connection structure Database-DataSnap server-SQL Connection-SQL Data set-Provider is applied. This is due to that all kinds of information of Provider are exposed on the moment when DataSnap Server Port is sure to malicious attackers. This exposure becomes a window capable of running SQL Command. Thus, it should not be used Data Set and Provider in the DataSnap Server in consideration of all aspects of security management. In this paper, we study on the verification of the security vulnerabilities for Client and Server DataSnap in Dlephi XE2, and we propose a secure coding method to improve security vulnerability in the DataSnap server system.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2010년도 한국컴퓨터종합학술대회논문집 Vol.37 No.1(D)
• /
• pp.106-109
• /
• 2010

컴퓨터의 대중화와 네트워크의 발달로 인해 우리 사회는 컴퓨터와 통신이 없이는 생각조차 할 수 없는 시대에 살고 있으며, 또한 많은 정보시스템들을 일상생활 속에서 접하고 살고 있다. 하지만 소프트웨어들의 보안 취약점으로 인해 개인뿐만 아니라 기업은 물론이고 국가에 이르기까지 그 위험성은 모두 열거할 수 없을 정도이며 그에 따른 정보보호의 중요성이 더욱 강조가 되고 있으며, 어느 시스템도 이러한 정보보호에서 자유로울 수 없다. 이러한 보안적 및 오류의 위험은 현재 개발되고 있는 소프트웨어 뿐만 아니라, 정상적으로 운영되고 있는 시스템도 예외가 될 수 없다. 이러한 보안취약점 및 오류의 위험은 소프트웨어 개발시 방어적 프로그램(Defensive Programming)을 포함하는 시큐어 코딩(Secure Coding)기법을 적용하여 보다 안정적인 프로그램을 개발 할 수 있다. 본 논문에서는 소프트웨어의 잠재적인 오류를 발생할 수 있는 요소와 보안 취약점으로 인하여 생길 수 있는 요소들을 살펴보고 실제 java로 개발되어 운영되고 있는 시스템들의 보안 취약점을 분석하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2014년도 춘계학술대회
• /
• pp.595-598
• /
• 2014

최근의 사이버 공격은 보안패치가 발표되기 이전의 보안취약점을 악용하는 제로 데이(Zero Day) 공격, 웹 사이트를 대상으로 한 공격이 주를 이루고 있다. 이러한 공격은 소프트웨어 자체에 내장된 보안취약점을 이용하는 것이 대부분으로, 특히나 소스코드의 보안취약점을 이용한 사이버 공격은 보안장비로는 대응이 어려운 특성을 가진다. 따라서 이러한 공격을 예방하기 위해 소프트웨어를 구현하는 단계에서부터 보안취약점을 배제 시켜야한다. 본 논문에서는 구현단계에서부터 보안위협을 해소하는 Secure Coding 가이드 지원 도구를 설계하고자 한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2014년도 춘계학술대회
• /
• pp.261-263
• /
• 2014

이제 국내에서 IT서비스는 웹을 통하지 않고서는 불가능할 정도까지 일반화 되었다. 반면, 이러한 웹에 대한 보안 문제가 이슈가 되면서 웹서버에 대한 안전한 코팅이 2012년부터 안전행정부를 통하여 강제적인 지시사항으로까지 된 상황이다. 기존에는 이러한 요구를 해결하고자 보안 장비인 웹 방화벽이 국내 시장에서 많은 탄력을 받으며 판매가 되어 왔다. 본 연구에서는 이러한 웹 방화벽의 보안 정책을 운영자가 능동적으로 설정할 수 있는 방안을 제시하여, 보다 안전한 웹서비스를 가능하게 하는 방안을 제시하고자 한다.