• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.67-75
• /
• 2019

Solidity에서 다른 계약의 함수를 호출할 때 특정 문제로 인해 호출할 수 없으면 fallback 함수가 실행된다. 이 fallback 함수는 임의로 작성될 수 있는 함수로 어떤 동작을 하는지 정해지지 않았기 때문에 함수의 동작을 알 수 없어 공격에 이용되기 쉽다. 본 논문에서는 이러한 위험성을 개발자의 부담 없이 줄이기 위해 전처리기를 이용한 해결방법을 제안한다. 개발자는 새롭게 정의된 키워드를 이용해서 의사표시를 하고, 전처리기는 해당 키워드에 따라 상태변수와 조건문을 이용해서 전처리 과정을 진행하여 위험성을 줄인다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2004년도 춘계학술발표대회
• /
• pp.157-160
• /
• 2004

본 논문은 미국 차세대 디지털 케이블 방송 표준 규격인 오픈케이블($OpenCable^{TM}$)의 수신제한 모듈인 CableCard의 Physical Layer를 SystemC의 TLM(Transaction Level Modeling)과 RTL(Register-Transfer Level) 모델링 기법으로 설계하였다. 본 논문에서 설계한 CableCard의 Physical Layer는 PCMCIA Interface, Command Inteface 그리고 MPEG-2 TS Interface 로 구성된다. CableCard가 전원이 인가될 때, 카드 초기화를 위하여 동작하는 PCMCIA 인터페이스는 16 비트 PC 카드 SRAM 타입으로 2MByte Memory와 100ns access time으로 동작할 수 있게 설계하였다. PCMCIA 카드 초기화 동작이 완료된 후, CableCard의 기능을 수행하기 위하여 두 개의 논리적 인터페이스가 정의되는데 하나는 MPEG-2 TS 인터페이스이고, 다른 하나는 호스트(셋톱박스)와 모듈 사이의 명령어들을 전달하는 명령어 인터페이스(Command Interface)이다. 명령어 인터페이스(Command Interface)는 셋톱박스의 CPU와 통신하기 위한 1KByte의 Data Channel과 OOB(Out-Of-Band) 통신을 위한 4KByte의 Extended Channel 로 구성되고, 최대 20Mbits/s까지 동작한다. 그리고 MPEG-2 TS는 100Mbits/s까지 동작을 수행할 수 있게 설계하였다. 설계한 코드를 실행한 후, Cadence사의 SimVision을 통해서 타이밍 시뮬레이션을 검증하였다.

• 정보보호학회논문지
• /
• 제22권4호
• /
• pp.901-911
• /
• 2012

개발단계에서의 보안취약점 제거는 운영단계에서 실행하는 것보다 훨씬 더 효율적이고 효과적으로 적용될 수 있다. 소프트웨어에 내재된 보안취약점이 사이버 침해사고의 주요 원인이 되고 있어서 소스코드 수준에서의 보안취약점을 최소화하기 위한 일환으로 시큐어코딩이 주목받고 있다. 소프트웨어 개발과정에서 보안취약점을 제거하는 것이 보다 효과적이면서도 근본적인 해결책이 될 수 있다. 본 논문에서는 개인 단체 조직에서 모바일 시큐어코딩 적용에 따른 보안수준을 평가하기 위한 모바일 시큐어코딩 자가평가(Mobile-Secure Coding Self Assessment) 방법을 연구 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2009년도 추계학술발표대회
• /
• pp.663-664
• /
• 2009

OWASP에서 발표한 2007년 웹 애플리케이션 취약점 중 하나인 XSS 공격이 사용자 브라우저에서 스크립트를 실행하게 함으로써 사용자의 세션을 가로채거나 웜을 업로드하여 악성코드를 삽입하는 공격이다[2]. 하지만 많은 XSS 방어 기법에서는 단순 스크립트 우회기법과 강제적인 스크립트 차단 방법을 채택하고 있다. 또한 강제적인 XSS 필터 적용으로 과탐지로 인한 정상적인 웹 페이지가 출력 되지 않는 사례가 나타나고 있다. 따라서 본 연구는 효율적인 정규식을 이용하여 XSS 공격 특징을 분석하여 특징점들을 추출하고 이 특징점들을 기반으로 특정한 규칙을 가진 문자열들을 모든 문자가 유효한지 확인할 수 있는 정규식 표현 방법을 이용하여 다양한 응용프로그램에 적용할 수 있는 기술을 연구하고자 한다. 또한 이를 기반으로 포털 사이트와 브라우저에서 제공하는 XSS 필터들과 비교하여 과탐지율 및 오탐지율 서로 비교하여 본 연구가 효율성 면에서 효과가 있는지 우위를 둘 것이며, 브라우저 벤더, 포털 사이트, 개인 PC 등 충분한 시험 평가와 수정을 통해서 응용할 수 있는 계기를 마련할 것이다

• 예술인문사회 융합 멀티미디어 논문지
• /
• 제5권2호
• /
• pp.289-296
• /
• 2015

자바는 다양한 플랫폼에서 실행 가능한 인터프리터 언어이며, 네트워크 사용에 유용한 기능들을 갖고 있다. 이러한 자바 언어의 특징으로 인해 자바는 다양한 분야에서 사용되고 있다. 본 논문에서는 자바 가상머신의 보안 관리자를 위협하는 악성 코드가 어떠한 방법으로 가상머신의 취약점을 노리는지에 대해 언급한다. 그리고 이에 대응 방안으로 자바 콜 그래프와 자바 접근 권한 검사 트리를 이용한 자바 시스템 클래스의 취약점 분석 방법을 제안으로써 사전에 미리 보안 위협을 방지하기 위한 토대를 마련하고자 한다.

• 한국수자원학회:학술대회논문집
• /
• 한국수자원학회 2020년도 학술발표회
• /
• pp.271-271
• /
• 2020

GIS-Based Disaster Prevention Engineering Tools(이하 GDP Tools)는 수자원·방재 관련 설계 편의를 위해 개발된 도구로 직관적인 사용자 편의 인터페이스(GUI)를 바탕으로 한 독립실행형 응용프로그램이다. GDP Tools의 기능은 다음과 같이 세 가지로 구분할 수 있다. 1) GIS 관련 기능: 지오코드, 지도 관리, 래스터/벡터 파일 관리 등 2) 재해 발생가능성 분석 기능: 하천·내수·사면·토사·바람·가뭄·대설재해 등 자연재해저감종합계획에서 다루는 재해유형별 전지역단위 분석, 지형분석 3) 기타 기능: 현장조사표 작성, 저감대책의 개략사업비 산정, 각종 파일 관리, 기초통계 및 수문분석 등 GDP Tools는 실무에서 자주 사용되는 GIS 기능은 물론 각종 재해유형별 자연재해 발생가능성 분석, 지형분석 등 각종 편의 기능을 제공하고 있어서 수자원·방재 과업을 일괄적으로 진행할 수 있다. 여러 수치모형을 종합적으로 사용하는 기존 방법과 달리 별도로 자료 전·후처리 과정이 필요 없으며, 과업에 필요한 기본 자료가 전국 단위로 구축·준비되어 있어 사용자가 따로 준비해야할 사항을 최소화한다는 장점이 있다. 본 논문에서는 GDP Tools의 개발 내용과 세부 기능, 적용사례를 소개하고자 한다.

• 한국비블리아학회지
• /
• 제18권2호
• /
• pp.125-140
• /
• 2007

문화콘텐츠는 시간과 공간을 초월하여 사람과 사람을 연계하는 코드를 담고 있는 국가의 핵심 자원으로써 전 국민 누구나가 장애 없이 원하는 콘텐츠에 접근이 보장되도록 웹 서비스를 제공하여야 한다. 본 연구는 문화관광부 지원으로 운영되고 있는 문화포털, 예술로, 한국의 문향, 독립예술영화관, e뮤지엄 등을 웹 접근성 평가대상으로 선정하여, 자동평가 총 11개 평가지표와 수동평가 3개 영역의 총 13개 평가항목, 26개 평가지표를 기준으로 웹 접근성 평가를 수행하였다. 평가결과 문화콘텐츠의 웹 접근성 준수 수준은 아직 초기 단계로 평가되었다. 본 연구는 문화콘텐츠의 웹 접근성 제고를 위해 실행 가능한 사례 제시를 통하여 문화콘텐츠의 접근성 향상을 위한 방안을 제시하였다.

• 정보보호학회논문지
• /
• 제25권5호
• /
• pp.1043-1057
• /
• 2015

지능형 위협을 빠르게 인지하고 능동적으로 탐지 및 대응하기 위해 주요 공공단체 및 민간기관에서는 침입탐지시스템(IDS)을 관리 운영하고 있으며, 이는 공격의 검출 및 탐지에 매우 중요한 역할을 한다. 그러나 IDS 경보의 대부분은 오탐(false positive)을 생성하는 문제가 있다. 또한, 알려지지 않은 악성코드를 탐지하고 사전에 위협을 인지 대응하기 위해서 APT대응솔루션이나 행위기반체계를 도입 운영하고 있다. 이는 가상기술을 이용해 악성코드를 직접실행하고 가상환경에서 이상행위를 탐지하거나 또는 다른방식으로 알려지지 않은 공격을 탐지한다. 그러나 이 또한 가상환경 회피, 트래픽 전수조사에 대한 성능적 문제, 정책오류 등의 약점 등이 존재한다. 이에 따라 결과적으로 효과적인 침입탐지를 위해서는 보안관제 고도화가 매우 중요하다. 본 논문에서는 보안관제 고도화의 한가지 방안으로 침입탐지시스템의 주요 단점인 오탐(false positive)을 줄이는 방안에 대해 논한다. G기관의 경험적 데이터를 근거로 실험을 수행한 결과 세 가지 유형 11가지 규칙을 도출하였다. 이 규칙을 준수하여 테스트한 결과 전반적인 오탐율이 30%~50% 이상 줄어들고 성능이 30% 이상 향상됨을 검증하였다.

• 정보처리학회논문지B
• /
• 제17B권6호
• /
• pp.421-428
• /
• 2010

인터넷이 느린 환경이나 이미지가 큰 경우에 서버로부터 이미지를 전부 보는 데는 시간이 걸린다. 이를 위해, 이미지의 일부를 우선적으로 처리하는 방법이 필요하여, JPEG2000에서는 ROI(Region-of-Interest) 코딩으로 제공하고 있다. ROI 코딩은 이미지의 thumbnail을 사용자에게 보내어 개략적인 이미지를 보고 먼저 보고 싶어 하는 영역을 지정하면, 이 영역에 관한 정보가 서버로 전달되어, 서버는 사용자에게 이 영역을 우선적으로 전송한다. 이를 처리하기 위해, 기존의 방법은 사용자가 지정한 영역을 계산할 때, 섬세하게 계산을 함으로써 영역에 관한 마스크 정보 생성 시간을 많이 요구하였는데, 본 연구에서 제안하는 방법은 개략적으로 영역을 계산하고, ROI 마스크의 생성시간을 줄이는 방법을 제안한다. 각 블록에서 ROI와 배경이 섞여 있는 블록이면 적절한 경계선을 찾기 위하여 코드블록의 가장자리를 이진 탐색하여 두 경계지점을 얻고, 두 점 간의 중간에 위치한 코드블록 내의 경계점을 얻기 위하여, 두 점 간의 중간 지점을 이진 탐색한다. 이렇게 얻어진 세 점을 지나는 두 직선의 방정식을 이용해서 개략적인 ROI 코딩을 한다. 제안한 방법은 품질 면에서는 큰 차이가 없지만 실행 속도 면에서는 현저하게 빠르다는 것을 보인다.

• 한국정보과학회논문지:시스템및이론
• /
• 제33권3호
• /
• pp.178-192
• /
• 2006

버퍼 오버플로우 공격은 Code Red나 SQL Stammer와 같은 최근의 웜의 발발에서 알 수 있는 것과 같이 가장 강력하고 치명적인 형태의 악성 코드 공격이다. 버퍼 오버플로우 공격은 일반적으로 시스템에 비정상적인 증상들을 유발한다. 버퍼 오버플로우 공격에 대한 기존의 대처방안들은 심각한 성능 저하를 초래하거나, 다양한 형태의 버퍼 오버플로우 공격을 모두 방지하지 못했으며, 특히 일반적으로 사용되는 소프트웨어 패치를 사용하는 방법은 버퍼 오버플로우 입의 확산을 효과적으로 차단하지 못한다. 이러한 문제를 해결하고자 본 논문에서는 적은 하드웨어 비용과 성능 저하만으로 거의 모든 악성 코드 공격을 탐지하고 피해를 복구할 수 있도록 하는 복귀 주소 포인터 스택 (Return Address Pointer Stack: RAPS) 과 변조 복구 버퍼 (Corruption Recovery Buffer: CRB)라는 마이크로 구조 기술들을 제안한다. 버퍼 오버플로우 공격으로 인한 비정상적인 증상들은 RAPS를 통해 프로세스 실행 중 메모리 참조의 안전성을 점검함으로써 쉽게 탐지될 수 있으며, 이는 그러한 공격들에 의한 잠재적인 데이타 흑은 제어 변조를 피하는 것을 가능하게 한다. 안전 점검 장치의 사용으로 인한 하드웨어 비용과 성능 손실은 거의 발생하지 않는다. 또한, RAPS에 비해 더욱 강도 높은 방법인 CRB를 이용하여 보안 수준을 더욱 향상시킬 수 있다. 변조 복구 버퍼는 안전 점검 장치와 결합되어 버퍼 오버플로우 공격에 의해 발생했을 가능성이 있는 의심스러운 쓰기들을 저장함으로써 공격이 탐지되는 경우 메모리의 상태를 공격 이전의 상태로 복구시킬 수 있다. SPEC CPU2000 벤치마크 중에서 선정한 프로그램들에 대해 상세한 시뮬레이션을 수행함으로써, 제안된 마이크로구조 기술들의 효율성을 평가할 수 있다. 실험 결과는 안전 점검 장치를 사용하여 공격으로 인한 복귀 주소 변조로부터 스택 영역을 방어하는 것이 시스템의 이상 증상들을 상당 부분 감소시킬 수 있다는 것을 보여준다. 또한, 1KB 크기의 작은 변조 복구 버퍼를 안전 점검 장치와 함께 사용할 경우 스택 스매싱 공격으로 인해 발생하는 추가적인 데이타 변조들까지 막아낼 수가 있는데, 이로 인한 성능 저하는 2% 미만에 불과하다.