• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2010년도 추계학술발표대회
• /
• pp.1180-1182
• /
• 2010

오늘날 소프트웨어를 대상으로 하는 악성코드로부터의 공격이 잦아지면서, 소프트웨어 개발 프로세스에서부터의 보안 취약성 점검이 중요시되고 있다. 본 논문에서는 소프트웨어 보안 취약점 분석 기법 중 하나인 정적 분석에 사용되는 도구들을 살펴보고 비교하여 그 구조 및 특성을 분석 파악한다. 그리하여 우리의 궁극적 목표인 향상된 성능의 새로운 정적 분석 툴 개발의 기반을 마련하고자 한다.

• 한국산학기술학회논문지
• /
• 제16권12호
• /
• pp.8908-8914
• /
• 2015

인터넷이 지속적으로 성장과 발전을 거듭해가고 있는 이면에는 이를 악용하기 위한 다양한 인터넷 공격들이 발생하고 있다. 초기 인터넷 환경에서는 공격자가 역량과시 및 취미 등으로 인터넷 환경을 악용한 공격이 존재하였지만, 금전적인 이득을 목적으로 각종범죄와 연관된 체계적으로 복잡한 공격들이 발생하고 있다. 최근 들어서 바이러스나 윔과 같은 구조가 단순한 소스 멀티타깃(one source multi-target)의 형태가 존재하였지만, 멀티소스 싱글타깃(multi-source single target)의 형태를 갖는 APT(Advanced Persistent Threat, 지속적인 지능형 공격)으로 사용자들로 하여금 막대한 피해를 입히고 있다. 그러므로 본 논문에서는 Agent 및 관리 시스템은 악성코드 감염을 사전에 예방하는 기능을 고도화하여 사용자의 부정행위를 통한 자료유출을 감시할 수 방지 시스템을 설계 및 구현하였다. 성능평가에서는 감사데이터 생성 여부, 무결성 침해 발생 시 탐지 여부, 정상트래픽 오탐 여부, 프로세스 탐지 및 차단 기능 설정, Agent 정책 적용 가능여부에 대해서 기능을 분석하였다.

• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.357-367
• /
• 2018

현대 사회의 정보 기술이 발전함에 따라 시스템의 중요 정보를 탈취하거나 파괴하는 목적을 가진 다양한 악성코드도 함께 발전하고 있다. 그 중 사용자의 자원을 접근하지 못하게 하는 대표적인 악성코드로 랜섬웨어가 있다. 암호화를 수행하는 랜섬웨어에 대해 탐지하는 연구는 최근에 계속해서 진행되고 있으나, 공격을 한 이후에 손상된 파일을 복구하는 추가적인 방안은 제안되지 않고 있다. 또한 기존 연구에서는 암호화가 여러 번에 걸쳐 진행되는 것을 고려하지 않고 유사도 비교 기법을 사용했기 때문에 정상적인 행위로 인식할 가능성이 높다. 따라서 본 논문에서는 파일 시스템을 제어하는 필터 드라이버를 구현하며, 랜섬웨어의 암호화 패턴 분석을 기반으로 검증된 유사도 비교 기법을 수행한다. 이에 접근한 프로세스의 악의적 유무를 탐지하고 클라우드 스토리지를 기반으로 손상된 파일을 복구하는 시스템을 제안하고자 한다.

• 융합보안논문지
• /
• 제19권1호
• /
• pp.97-101
• /
• 2019

운영 체제의 코어에 Intel PT가 포함된 경우, 크래시 발생 시 디버거는 프로그램 상태를 검사할 수 있을 뿐만 아니라 크래시를 발생시킨 제어 플로우를 재구성할 수 있다. 또한, 커널 패닉 및 기타 시스템 정지와 같은 상황을 디버그하기 위해 실행 트레이스 범위를 전체 시스템으로 확장할 수도 있다. 2세대 PT인 WinIPT 라이브러리는 Windows 10 (버전 1809/Redstone 5)에서 제공하는 IOCTL 및 레지스트리 메커니즘을 통해 프로세스 별 및 코어 별 트레이스를 실행할 수 있는 추가 코드가 포함된 Intel PT 드라이버를 포함하고 있다. 즉 기존 1세대 PT에서 비정규화된 방식으로만 제한적인 접근이 가능했던 PT 트레이스 정보를 2세대 PT에서는 운영 체제에서 제공하는 IOCTL 및 레지스트리 메커니즘을 통해 프로세스 별 및 코어 별 트레이스를 실행할 수 있게 되었다. 본 논문에서는 1/2세대 PT를 이용하여 윈도우 환경에서 PT 데이터 패킷의 수집 저장 디코딩 및 악성코드 검출을 위한 방법을 비교 설명하였다.

• 융합보안논문지
• /
• 제6권3호
• /
• pp.1-12
• /
• 2006

최근 들어 악성코드와 관련된 정보침해사고는 대부분 Microsoft Windows에서 발생하고 있으며, 해마다 증가 추세에 있다. 이러한 악성코드 중에 커널기반의 악성코드는 Windows 커널 내에서 자신의 정보를 은폐하고 공격코드를 추가하는 방식으로 동작하고 있어 기존의 보안대응책으로 탐지 및 대응이 어려운 특징을 갖는다. 기존의 정보보호시스템이 알려지지 않은(또는 새로운) 커널 공격 기법에 대한 대응이 거의 불가능한 이유는 "공격 시그너쳐"를 기반으로 하고 있기 때문이며, 보다 근본적인 이유는 Windows 커널 정보 및 관련 메커니즘의 부재에 있다. 이로 인해, 커널 공격기법에 대한 현재의 대응기법 수준은 매우 미미하며, 현장에서 활용 가능한 커널공격 대응시스템은 전무한 실정이다. 본 논문에서는 다양한 Windows 커널 공격에 대한 유형과 기법을 정형화하고, 이를 기반으로 커널 메모리 공격 대응기법, 프로세스 및 드라이버 공격 대응기법, 파일시스템 및 레지스트리 공격 대응기법으로 구분하여 효과적인 Windows 커널 공격대응기법과 메커니즘을 제안하였다. 알려지지 않은 Windows 커널 정보 및 관련 메커니즘의 수집과 분석을 통하여 Windows 커널 공격에 대한 대응기법 및 메커니즘의 구현에 적극 활용하였으며, 시스템 활용도 및 안정성을 극대화하기 위해 Windows 멀티 플랫폼을 지원하도록 구현하였다. 다양한 실험을 통하여 제안된 대응시스템이 커널 공격기법에 대해 기존의 정보보호시스템보다 우수한 방어능력을 갖고 있음을 확인하였다.

• 사물인터넷융복합논문지
• /
• 제5권2호
• /
• pp.95-101
• /
• 2019

4차 산업혁명시대와 사물인터넷의 시대로 접어들면서 다양한 서비스가 빠르게 성장하고 있으며 관련된 다양한 연구가 활발히 진행중에 있다. 그중에서도 사물인터넷에서 사용이 되고 있는 다양한 디바이스에 대한 비정상행위에 대한 연구도 진행이 되고 있다. 초연결의 사회에서 하나의 잘못된 디바이스로 인한 피해가 발생하면 다양하게 연결되어 있는 시스템에 심각한 영향을 줄 수 밖에 없다. 본 논문에서는 이러한 사물인터넷 환경에서 디바이스에 대한 안전성을 높일 수 있는 방법과 안전하게 디바이스와 서비스를 이용하 수 있는 방법에 대하여 안티디버깅 기법, 이상 프로세스 탐지 기법, 백도어 탐지 기법 등 여러 가지 비정상적인 행위로 인한 위협요소에 대응하기 위한 기법을 제안한다.

• 정보보호학회논문지
• /
• 제33권6호
• /
• pp.929-938
• /
• 2023

모바일 장치에서 사용되는 ARM 프로세서는 하드웨어 기반의 격리 실행 환경인 TrustZone 개념을 도입하여 신뢰 실행 환경인 Secure World와 비신뢰 실행 환경인 Normal World를 구현하였다. 악성 소프트웨어의 종류 중 루트킷은 관리자 권한을 획득하고 자신의 존재를 숨기면서 백도어를 만든다. Secure World에서 동작하는 프로세스는 메모리 접근에 제한이 없고, 격리되어 있어 Secure World에서 루트킷이 실행되었을 때 탐지하기 어렵다. 본 논문에서는 하드웨어 기반의 성능 측정 모니터인 Performance Monitoring Unit을 활용하여 Secure World 루트킷의 이벤트를 측정하고 딥러닝 기반으로 루트킷을 탐지하는 기법을 제시한다.

• 한국정보과학회논문지:시스템및이론
• /
• 제33권3호
• /
• pp.178-192
• /
• 2006

버퍼 오버플로우 공격은 Code Red나 SQL Stammer와 같은 최근의 웜의 발발에서 알 수 있는 것과 같이 가장 강력하고 치명적인 형태의 악성 코드 공격이다. 버퍼 오버플로우 공격은 일반적으로 시스템에 비정상적인 증상들을 유발한다. 버퍼 오버플로우 공격에 대한 기존의 대처방안들은 심각한 성능 저하를 초래하거나, 다양한 형태의 버퍼 오버플로우 공격을 모두 방지하지 못했으며, 특히 일반적으로 사용되는 소프트웨어 패치를 사용하는 방법은 버퍼 오버플로우 입의 확산을 효과적으로 차단하지 못한다. 이러한 문제를 해결하고자 본 논문에서는 적은 하드웨어 비용과 성능 저하만으로 거의 모든 악성 코드 공격을 탐지하고 피해를 복구할 수 있도록 하는 복귀 주소 포인터 스택 (Return Address Pointer Stack: RAPS) 과 변조 복구 버퍼 (Corruption Recovery Buffer: CRB)라는 마이크로 구조 기술들을 제안한다. 버퍼 오버플로우 공격으로 인한 비정상적인 증상들은 RAPS를 통해 프로세스 실행 중 메모리 참조의 안전성을 점검함으로써 쉽게 탐지될 수 있으며, 이는 그러한 공격들에 의한 잠재적인 데이타 흑은 제어 변조를 피하는 것을 가능하게 한다. 안전 점검 장치의 사용으로 인한 하드웨어 비용과 성능 손실은 거의 발생하지 않는다. 또한, RAPS에 비해 더욱 강도 높은 방법인 CRB를 이용하여 보안 수준을 더욱 향상시킬 수 있다. 변조 복구 버퍼는 안전 점검 장치와 결합되어 버퍼 오버플로우 공격에 의해 발생했을 가능성이 있는 의심스러운 쓰기들을 저장함으로써 공격이 탐지되는 경우 메모리의 상태를 공격 이전의 상태로 복구시킬 수 있다. SPEC CPU2000 벤치마크 중에서 선정한 프로그램들에 대해 상세한 시뮬레이션을 수행함으로써, 제안된 마이크로구조 기술들의 효율성을 평가할 수 있다. 실험 결과는 안전 점검 장치를 사용하여 공격으로 인한 복귀 주소 변조로부터 스택 영역을 방어하는 것이 시스템의 이상 증상들을 상당 부분 감소시킬 수 있다는 것을 보여준다. 또한, 1KB 크기의 작은 변조 복구 버퍼를 안전 점검 장치와 함께 사용할 경우 스택 스매싱 공격으로 인해 발생하는 추가적인 데이타 변조들까지 막아낼 수가 있는데, 이로 인한 성능 저하는 2% 미만에 불과하다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제10권10호
• /
• pp.285-290
• /
• 2021

의료분야에서 인공지능 기술을 도입한 질환 진단 및 예측 연구들이 활발하게 진행되고 있다. 의료영상기반의 인공지능 기술 적용에 가장 많이 활용되고 있는 질환 진단 및 예측에 대한 다양한 제품으로 출시되고 있다. 인공지능은 질병에 대한 진단, 양성과 악성으로 구분되는 질환의 구분, 질병의 위험도에 따른 구별이나 판독에 이용하기 위해 질환부위를 분리하는 등에 적용되고 있다. 최근에는 클라우드기술과 연계하여 서비스 제품으로 활용성이 높아지고 있다. 본 논문에서 다루는 질환 중에 간 질환은 통증이 적어 조기진단이 어려워 그 위험도가 매우 높은 질환이다. 이러한 질환 진단에 비침습적인 진단방법으로 의료영상기반으로 인공지능 기술을 도입하였다. 우리는 임상에서 가장 의미 있는 간 경화증 환자의 판독을 돕기 위한 웹 서비스 개발 내용을 기술한다. 그리고 웹서비스 프로세스를 보이고 각 프로세스의 구동 화면과 최종 결과화면을 보인다. 제안한 서비스를 통해 간 경화증을 조기에 진단하고, 빠른 치료를 통해 환자의 회복에 도움을 줄 수 있을 것으로 기대한다.

• 디지털융복합연구
• /
• 제10권6호
• /
• pp.341-347
• /
• 2012

시스템 및 네트워크에 설치/운용되는 의료자산보호 솔루션 중 네트워크 접근통제 시스템은 내부 네트워크에 접근하는 정보통신 디바이스의 안전성을 검증한 후 자원을 사용하게 하는 프로세스를 제공한다. 그러나 인가된 정보통신 디바이스의 위장 및 허가된 사용자의 이석 시간을 이용한 비인가 사용 등으로 내부 네트워크에 대한 의료 정보절취 위협은 여전히 존재하고 있고, 장시간 운영되는 정보통신 디바이스의 경우는 사용자가 인지하지 못하는 시간대에 악성코드 감염에 의한 외부 네트워크 임의 접속 및 의료 정보유출도 발생할 수 있기 때문에 이러한 위협을 차단하기 위한 보안 대책이 필요하다. 따라서 본 논문에서는 의료 정보유출 방지를 위해 현행 네트워크 접근통제 시스템을 개선하여 적용한 네트워크 이중 접근통제 모델을 제시한다. 제안한 네트워크 이중 접근통제 모델은 사용자가 실제 조직 내부에 위치하고 있어 인가된 정보통신 디바이스를 활용하는 때에만 내부 네트워크 접속을 허용한다. 그러므로 비인가자의 내부 네트워크 접근을 차단하고, 허가된 사용자 부재 시의 불필요한 외부 인터넷 접속을 차단함으로써 의료 정보를 보호할 수 있는 안전한 의료자산 환경을 제공한다.