• Journal of KIISE:Computer Systems and Theory
• /
• v.29 no.4
• /
• pp.220-231
• /
• 2002

Trojan-horse programs are the programs that disguise normal and useful programs but do malicious thing to the hosts. This paper proposes an anti-Trojan horse mechanism using the information attached to the code by the developers. In this mechanism, each code is accompanied with the information on their possible accesses to resources, and based on this information users determine whether the code is malicious or not. Even in the case a code is accepted by users due to its non-malicious appearance, its runtime behaviors are monitored and halted whenever any attempts to malicious operations are detected. By hiring such runtime monitoring system, this mechanism enables detecting unknown Trojan horses and reduces the decision-making overhead being compared to the previous monitoring-based approaches. We describe the mechanism in a formal way to show the advantages and the limitations of the security this mechanism provides.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.19 no.5
• /
• pp.189-194
• /
• 2009

Most of anti-virus programs detect and compare the signature of the malicious code to detect buffer overflow malicious code. Therefore most of anti-virus programs can't detect new or unknown malicious code. This paper introduces a new way to detect malicious code traces memory executable of essentials APIs by malicious code. To prove the usefulness of the technology, 7 sample codes were chosen for compared with other methods of 8 anti-virus programs. Through the simulation, It turns out that other anti-virus programs could detect only a limited portion of the code, because they were implemented just for detecting not heap areas but stack areas. But in other hand, I was able to confirm that the proposed technology is capable to detect the malicious code.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.05a
• /
• pp.206-208
• /
• 2023

비대면 활동 및 원격 작업 증가에 따라 문서 파일을 이용한 사이버 공격 빈도가 증가하고 있으며, 별도의 실행 파일 대신 문서 내의 기본적인 기능을 악용하는 문서 공격은 기존의 악성코드 탐지 메커니즘을 우회할 수 있기 때문에 큰 문제가 되고 있다. 이러한 문제에 대응하기 위한 여러 기술 중 CDR 기술은 악성 행위에 이용될 가능성이 있는 액티브 콘텐츠를 제거하거나 비활성화하여 사전에 악성코드로 탐지되지 않았던 파일에 대한 보안성을 제공하지만, 문서의 내용을 분석하고 안전하게 재조합하는 과정에서 오류가 발생하여 전달하고자 했던 내용을 제대로 표현할 수 없게 되거나, 파일을 사용할 수 없게 되는 문제가 발생할 수 있다. 본 논문에서는 파일을 후처리하는 방식으로만 CDR을 적용하는 것이 아니라, 확장 프로그램이나 가상 환경 등을 이용해 문서의 작성 단계에서부터 CDR 처리과정을 거치게 하는 방법을 제안하여 파일 손상이나 내용 누락 문제를 완화하고 사용자의 업무 효율을 높이는 동시에 강화된 보안성을 제공한다.

• Proceedings of the Korean Society of Broadcast Engineers Conference
• /
• 2008.02a
• /
• pp.55-58
• /
• 2008

디지털 증거분석 단계에서 조사관은 용의자 시스템을 통해 사건 날짜와 시간에 실행된 응용 프로그램이나 악성 프로그램의 설치 여부 등을 유추하여 관련 증거를 발견할 수 있다. 그러나 대부분의 범죄자는 혐의 부인을 위해 대상 시스템에서 특정 프로그램의 설치 및 사용 정보를 삭제하여 증거를 인멸한다. 이와 같이 디지털 포렌식 조사를 방해하는 기술이나 도구와 관련된 분야를 안티포렌식(Anti-Forensics)이라 한다. 사이버 범죄의 증가로 인해 디지털 포렌식 기술이 발전할수록 범죄의 흔적을 남기지 않기 위한 안티포렌식 기술 또한 발전하고 있다. 이러한 안티포렌식에 대응하기 위해, 본 논문에서는 프로그램 사용 또는 설치와 같은 흔적을 시스템에서 삭제한 경우 시스템 복원지점을 이용한 증거탐지 방법을 제시한다. 또한 실제 발생 가능한 상황을 예로 들어 설명하고 수사 시 유용하게 쓰일 수 있는 도구 개발에 대한 계획을 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2017.04a
• /
• pp.234-237
• /
• 2017

정보화 사회가 도래함에 따라 정보를 가공, 처리 유통하는 활동이 주를 이루고 정보의 가치는 경제적 가치를 창출하는 요소로 연결됐다. 이와 맞물려 ICT(Information & Communication Technology) 산업이 발전함에 따라 정보를 디지털 데이터 형식으로 저장관리 한다. 이러한 이유로 디지털 정보를 노리는 악성 행위들이 디지털 세상에서 문제가 되고 있다. 그중 사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자의 디지털 파일(정보)를 인질로 잡아 금전적인 요구를 하는 악성 프로그램인 랜섬웨어의 피해는 날로 증가하고 있다.[1]. 본 논문에서는 운영체제의 시스템 콜 후킹을 통한 읽기/쓰기 권한을 제한함으로써 다양한 종류의 랜섬웨어 중 파일 암호화 기반 랜섬웨어로부터 사용자가 선택적으로 파일을 보호할 수 있는 방안을 제시하려 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2011.06a
• /
• pp.313-315
• /
• 2011

인터넷의 급속한 발달로 빈번히 발생하고 있는 해킹 및 악성프로그램과 같은 사이버 공격으로부터 중요 정보를 보호하기 위한 망분리 기술이 요구되고 있다. 망분리에는 외부와 내부망을 물리적으로 분리하는 물리적 망분리와 가상화 기술을 이용하여 분리하는 논리적 망분리가 있다. 물리적 망분리는 망구축 및 유지비용이 높으며, 논리적 망분리는 보안 신뢰성이 낮다. 제안하는 LNP는 사이버 공격을 대응할 수 있는 논리적 망분리 방안으로 트래픽 유형을 탐지하여 망을 분리하고, 위협 요소 제거 시 망분리를 해제한다. 논리적으로 망을 분리하는 LNP는 트래픽 경로를 차단하여 중요 정보를 안전하게 보호할 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.254-255
• /
• 2016

최근 IT 기술이 눈에 띄게 발전해 가고 있는 가운데 그 중에서도 사물인터넷 또한 많은 발전을 해오고 있다. 그러나 사물인터넷은 보안에 매우 취약한 단점이 있다. 그 중에서도 요즈음 사물인터넷을 대상으로 한 랜섬웨어 공격이 기승을 부린다고 전해진다. 그 중 웹에 접속하여 파일을 다운받는 경로가 가장 많이 감염되는 경우이다. 이처럼 사용자가 원치 않게 악성코드가 다운되는 경우가 급격히 증가하고 있다. 본 논문에서는 이러한 경우를 고려하여 IoT 기기를 통해 파일을 다운 받거나 위험성이 있는 사이트에 방문 시 빅데이터를 사용하여 데이터를 먼저 분석하여 위험성 있는 구문을 삭제하거나 차단하여 안전한 데이터들만 사용자에게 전송하는 프로그램을 만들어 사용자의 디바이스를 보호하는 방향을 제안한다.

• Journal of Convergence Society for SMB
• /
• v.4 no.2
• /
• pp.13-18
• /
• 2014

Due to the development of information systems and the Internet, the Internet and smart phones can access networking in any where and any time. This causes the program to exploit various vulnerabilities and malicious code created to go out information, the disclosure of such crime increasing day by day. The proposed countermeasure model will be able to contribute to block all kinds of malicious code activities.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.11a
• /
• pp.923-926
• /
• 2012

안드로이드는 스마트폰에서 프로그램을 실행하도록 하는 구글에서 개발한 모바일 전용 운영체제로써 현재 수백만 대의 스마트폰, 태블릿PC에 탑재되어 있다. 안드로이드는 빠른 속도의 웹브라우저, 멀티 태스킹, 클라우드 컴퓨팅 기능, 다른 장치와 쉽게 연결하여서 공유하는 기능 등을 제공하고 있다. 이에 따라 많은 스마트폰 제품들이 안드로이드 운영체제를 탑재하여 출시하고 있으며, 안드로이드는 전 세계 스마트폰 운영체제 점유율의 절반가량을 차지하고 있다. 하지만 안드로이드 운영체제가 많이 사용됨에 따라 그에 따른 안드로이드 악성코드 또한 급격하게 증가하고 있다. 따라서 본 논문에서는 안드로이드 악성코드를 탐지 및 차단할 때 분석 비용을 감소시킬 수 있는 권한정보 관리를 통한 안드로이드 안티바이러스 어플리케이션을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2004.05a
• /
• pp.1237-1240
• /
• 2004

초고속국가망은 지식정보사회에 대비하여 국가가 공공기관을 중심으로 데이터서비스와 인터넷서비스를 제공하고 있는 비영리 정보통신 망이다. 이에 따라 공공기관이 다양한 형태의 정보를 자유롭게 이용할 수 있는 기반을 제공해야 한다. 따라서 최근 침해유형이 웜 트로이목마 등의 악성프로그램에 의한 DDoS 공격이나 대량의 패킷생성으로 네트워크 과부하를 일으키는 등의 네트워크 공격이 많아지면서 인터넷 사용자에 대한 보안의 필요성이 강조된다. 본 논문에서는 초고속국가망 인터넷 서비스에 대한 네트워크의 주요 구성요소를 진단해 보고 최근 침해 유형에 대한 보안의 취약성을 분석한 후 이를 해결할 수 있는 방안으로 네트워크 구조와 보안시스템의 효율적 개선안을 제시한다.