• 인터넷정보학회논문지
• /
• 제7권6호
• /
• pp.157-174
• /
• 2006

Ajax의 상호작용 모델은 웹 어플리케이션 상황을 HTTP에서 상태 기반형이 되도록 바꾸어 주며, Ajax 응용프로그램은 브라우저상에서 오래 지속된다. XHR(XML HTTP Request)는 데이터 교환을 촉진하는데 사용된다. 이러한 상호작용 조건에서 HTTPS를 사용하는 것은 데이터 교환의 빈도 때문에 실용적이지 못하다. 더욱이 민감한 정보의 경우 HTTP에서 HTTPS 로 프로토콜을 전환하는 것은 원본서버 유지정책으로 인해 허용되지 않는다. Ajax 어플리케이션의 장기 지속성, 구속성, 비동기성과 같은 특징들은 재 인증을 촉발하는 각기 다른 인증 및 세션 처리 메카니즘을 필요하게 되는데, 이 논문은 Ajax를 사용하는 인증 및 세션 관리의 설계를 제시한다. 본 설계는 OTP(One Time Password)와 유사한 자동 발생 패스워드가 있는 요약 인증을 사용하는 환경에서 기간 단위 및 이벤트 기반의 재인증을 촉발하도록 고안되었다. 이 인증 및 세션 관리는 인증 및 세션 관리가 손상되지 않도록 커플링의 AWAsec(Ajax Web Application Security) 이라고 불리는 체제 안에 포함된다.

• 정보보호학회논문지
• /
• 제29권2호
• /
• pp.417-429
• /
• 2019

WPA2-PSK는 클라이언트와 AP가 공유비밀키에 기반하여 4-way 핸드쉐이크 프로토콜을 이용하여 보안 세션을 설정하는 방식을 사용하고 있다. 이 방식은 도청공격 등 여러 가지 보안 문제점들이 제기되고 있으며 또한 효율성 측면에서도 클라이언트와 AP간에 여러번의 상호작용을 요구하여 보안세션 설정과정이 비효율적이다. WPA2의 보안 문제점을 해결하기 위하여 최근 WPA3 표준이 제안되고 있지만 근본적으로는 동일한 4-way 핸드쉐이크 방법론을 사용하는 소규모 개선이다. OAuth 2.0 토큰인증 기술은 한 번 인증이 확인된 클라이언트에게 서버가 토큰을 발급하여 인증상태를 오랜 기간 효율적으로 유지시킬 수 있는 인증유지 기술로 웹에서 널리 사용되고 있다. 이 논문에서는 OAuth 2.0 기술을 개선한 이중토큰을 이용하는 난수화토큰인증 기술을 Wi-Fi 보안 프로토콜에 결합 적용함으로써, 초기인증과 보안세션설정을 구분하여 효율성을 개선한 새로운 Wi-Fi 보안 프로토콜을 제시한다. 즉, 한 번 초기인증에 성공한 클라이언트에게는 AP가 이중토큰을 발급하고 이후에는 이것을 이용하여 한 번의 평문 메시지 교환만으로 빠르게 보안세션을 생성할 수 있도록 성능을 개선하였다.

• 정보보호학회논문지
• /
• 제30권4호
• /
• pp.631-646
• /
• 2020

편리한 인터넷 이용환경을 조성하기 위해 정부에서는 공공·민간 웹사이트의 플러그인 제거 정책을 추진하고 있다. 일반적으로 금융서비스를 제공하는 금융기관 웹사이트는 전자금융거래 안정성 강화를 위해 이상금융거래 탐지시스템을 운영 중이며 이용자의 정보를 수집 및 분석하기 위해 설치형 소프트웨어를 사용하고 있다. 따라서 플러그인 제거 정책에 따라 별도의 소프트웨어 설치 없이 이용자의 정보를 수집할 수 있는 대체 기술 및 대응정책이 필요하다. 본 연구는 표준 웹 환경에서 사용 가능한 디바이스 핑거프린팅 기술들을 소개하고 다양한 기법 중 선택할 수 있는 가이드라인을 제시한다. 그리고 디바이스 핑거프린트를 활용한 머신러닝 기반 이용자 인증모델을 제안한다. 실제로 크롬과 익스플로러 이용자로부터 디바이스 핑거프린트를 수집하여 머신러닝 알고리즘 기반 Multi-class 인증모델을 생성하였으며 실험 결과, 크롬 기반 모델은 약 85%~89%의 성능을 보였으며 익스플로러 기반 모델은 약 93%~97%의 성능을 보였다.

• 융합보안논문지
• /
• 제6권2호
• /
• pp.13-20
• /
• 2006

국내 인터넷뱅킹 환경은 Microsoft 사의 Internet Explorer(IE) 브라우저에 맞게 구축되어 있어 Linux나 FreeBSD 등과 같은 공개 운영체제 및 웹 브라우저에서는 인터넷뱅킹 서비스를 이용할 수 없었다. 이런 문제 해결을 위해, 본 논문에서는 먼저 SEED를 이용한 공개 소프트웨어 환경에서의 전자 지불 시스템을 위한 전자 서명 시스템을 개발한다. 국내 인터넷뱅킹은 현재 공인인증기관이 발행하는 공인인증서를 통해 인증 및 전자서명 검증이 이루어져야 하는데, 그에 맞춰 공인 인증서 유효성 검증 시스템을 분석 및 개발한다. 마지막으로 자체 개발한 웹 서버에서는 이미 가상 인터넷 뱅킹환경이 구축되어 있어 SEED가 포팅 된 모질라 환경을 가지고 있는 클라이언트에서는 인증서를 설치하여 기본 인터넷뱅킹 서비스를 가상으로 받을 수 있으며 인증서 인증 및 전자서명이 정상적으로 작동되고 있다는 것을 구현을 통해 확인했다.

• 한국정보과학회논문지:소프트웨어및응용
• /
• 제32권12호
• /
• pp.1238-1246
• /
• 2005

본 논문은 이종의 시스템에서 안전한 데이타 전송을 만족하는 웹 보안 모듈을 구현한 내용에 대해서 언급한다. 웹 시스템을 통해 사용자에게 사용의 편리함과 많은 정보를 주었고 웹 서비스 사업이 활발해졌으나 웹 시스템의 한계로 인해 보안상의 취약점인 데이타 유출에 의한 손실을 가져오게 되었다. 이에 많은 대응들이 있지만 좀더 효과적이고 편리한 데이타 보안을 위해 서버 클라이언트 보안 모듈을 구현하였다. 제안한 보안 모듈은 크게 두 개의 모듈로 구현된다. 하나는 웹 서버에서 동작하는 서버 보안 모듈이고, 다른 하나는 클라이언트에서 동작하는 클라이언트 보안 모듈이다. 본 논문에서 제안하는 보안 구조는 클라이언트와 서버간의 간단한 모듈의 설치로 안전한 데이타 전송을 보장한다. 속도에 민감한 웹 서버와 브라우저 사이의 빠른 암호화 통신을 위한 대칭 암호화 방식인 Triple-DES를 사용하였으며 키 관리 문제를 해결하기 위한 Diffie-Hellman 키(key) 교환 알고리즘을 적용하였다. 이렇게 함으로써 대칭 암호화에서 발생하는 키 분배 및 관리문제와 속도문제를 해결했다. 또한 DH방식의 알고리즘을 사용함으로써 서버와 클라이언트 사이의 안전한 데이타 보안을 위한 인증문제를 해결하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2007년도 추계학술발표대회
• /
• pp.1258-1261
• /
• 2007

온라인 피싱과 같은 경제적 목적의 정보 수집 행위들이 급격히 증가하고 있는 가운데, 위험 사이트 정보를 관리하는 블랙리스트 기반의 대응과 신뢰할 수 있는 사이트를 기반으로 하는 화이트 리스트 접근 방법이 활용되고 있다. 그러나 블랙리스트 기반 방법은 피싱 사이트의 유효시간을 볼 때 비현실적이며, 화이트 리스트 접근 방법은 인증된 사이트 내에 존재하는 악성 웹 페이지나 악성 사이트로 유도되는 피싱 메일에는 대응하기 어렵다. 이 논문에서는 화이트 리스트 접근 방법을 보완하기 위해 사용자 웹 페이지의 위험도를 정량화 할 수 있는 웹 페이지 위험도 산정 기법을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2023년도 춘계학술발표대회
• /
• pp.745-747
• /
• 2023

깃허브는 개발자의 명함이라는 말이 있듯, 많은 수의 개발자들이 깃허브를 활용해 자신의 개발 이력과 프로젝트들을 관리한다. 이를 위해 기존의 깃허브 정보 요약 서비스들이 제공되어졌으나, 정보 공유의 불편함과 많은 정보를 담지 못한다는 불편함이 존재했다. 본 논문에서는 이러한 불편함을 해소하기 위해 서버 기반의 깃허브 웹 명함 제작 및 멀티플랫폼에서의 서비스를 기반으로 한 효율적인 개발자 명함 생태계 구축을 제안한다. 본 서비스에서는 Next.js 기술을 활용한 한 명함 제작 및 웹, 앱 클라이언트를 통한 명함 관리 기능을 제공한다. Github oauth를 통해 인증된 정보를 바탕으로 Next.js를 활용해 사용자에 대한 정보를 정해진 형식으로 요약한 명함을 제작한다. 제작된 명함은 웹 / 앱 플랫폼을 기반으로 관리되며, 추가적으로 명함의 공유 및 저장 기능을 수행한다. 이를 통해, 명함 공유를 바탕으로 한 개발자 네트워크 형성을 목표로 한다.

• 정보처리학회논문지C
• /
• 제8C권5호
• /
• pp.535-542
• /
• 2001

자바, 자바스크립트, 액티브X, 스크립트 코드와 같은 실행가능 컨텐츠 또는 이동코드는 사용자가 인식 없이 서버에서 클라이언트로 전송되어 실행된다. 클라이언트로 전달되는 이동코드에 악의적인 내용이 포함되어 있다면 클라이언트 시스템의 정보를 외부로 유출, 파괴, 변경될 수 있다. 이동코드의 인터프리터들은 시스템을 보호하면서 효율적인 작업 수행을 도울 수 있는 보안모델을 가지고 있거나 이를 위한 도구들이 있는데, 이들은 서로 다른 기술로 개발되었기 때문에 공통으로 사용 가능한 하나의 보안모델을 가지고 있지 않아 관리의 어려움이 있다. 본 논문에서는 여러 종류의 이동코드로부터 사용자의 로컬 시스템을 보호할 수 있는 시스템 설계를 제시하고, 이를 바탕으로 통합인증시스템을 구현하였다. 통합인증시스템은 각 이동코드 별로 시스템 접근에 관한 접근제어목록을 기초로 운영되며, 이동코드의 사용 인증, 이동코드의 시스템 접근 인증, 웹 인터페이스를 이용한 접근제어목록 관리로 구성되어 있다.

• 지적과 국토정보
• /
• 제46권2호
• /
• pp.123-135
• /
• 2016

최근 위치정보 기반 광고, 개인용 내비게이션 등과 같은 공간정보 응용 서비스는 스마트폰의 보편적인 기능으로 인식되고 있으며, 고부가 콘텐츠와 연계하여 온라인 지도 편집과 같은 전문적인 기능을 제공하는 웹 서비스의 수요도 증가하고 있다. 그러나 이러한 공간정보 기반 웹 서비스들을 장애인들이 비장애인들과 동등하게 사용하는 것을 쉽지 않다. 물론 이 같은 실정이 공간정보 관련 서비스에 국한된 것은 아니다. 모든 사람들이 동등하게 다양한 분야의 웹 서비스를 제공받고 정보를 획득할 수 있도록 웹 콘텐츠를 다루는 데 필요한 기술적 사양이 필요하다. 이에 월드와이드웹 컨소시엄(W3C)에서는 웹 콘텐츠 접근성 지침을 개발하여 공표하였으며, 한국형 웹 콘텐츠 접근성 지침 2.1은 이를 참조하고 있으며 이에 대한 인증심사제도가 마련되어 있다. 그러나 국내외를 막론하고 다른 웹 서비스 분야에 비해 공간정보 분야에서는 웹 콘텐츠 접근성 적용에 관한 전문적인 연구나 실무 적용 서비스 사례가 많지 않다. 이 연구에서는 우선 웹 콘텐츠 접근성과 한국형 웹 콘텐츠 접근성 지침 2.1에 관한 내용을 정리하고, 여러 응용 분야 중에서 공간정보 웹 시각화 분야를 중심으로 이 지침을 적용하는 데 필요한 기본적인 방법을 제시하고자 한다.

• 융합보안논문지
• /
• 제23권1호
• /
• pp.19-25
• /
• 2023

현재 네트워크 환경은 초기의 단방향 정보제공 서비스에서 실시간 양방향 서비스를 제공하고 있다. 이에 따라 웹 기반의 정보 공유 형태는 사용자 상호간 다양한 지식 제공과 서비스가 가능하다. 그렇지만 이러한 웹 기반의 실시간 정보 공유 환경은 네트워크 취약점을 악용한 불법적인 공격자들에 의해 그 피해 사례를 빠르게 증가시키고 있다. 특히 피싱 공격을 시도하는 공격자들의 경우 특정 웹 페이지 서비스가 필요한 사용자들에게 위/변조된 웹 페이지를 생성시킨 다음 해당 웹 페이지에 대한 링크를 유도한다. 본 논문은 사이트 위/변조 여부를 기존의 수동적인 서버 기반 탐지 방식이 아닌 사용자가 직접 능동적으로 특정 사이트에 대한 위/변조 여부를 분석할 수 있도록 하였다. 이를 위해 트레이스 백 정보를 이용하여 불법적인 웹 페이지 접속을 유도하는 공격자의 위장된 웹 페이지를 탐지하여 정상 사용자들의 중요한 개인 정보 유출을 방지할 수 있도록 하였다.