• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제8권7호
• /
• pp.177-180
• /
• 2019

대표적인 취약점 스코어링 시스템은 CVSS다. 하지만 CVSS는 취약점이 자산에 미치는 영향성 관점을 평가 하지 않아 사용되지 않거나 중요도가 낮은 자산에 대해서도 동일한 우선순위로 처리해야하기 때문에 대규모 시스템의 위험도가 높은 취약점의 경우 효과적이고 신속한 대응을 할 수 없다. 시스템 구성을 계층화 하고, 계층 간의 그리고 계층내의 중요도에 따른 가중을 평가하는 영향성 관점의 평가 시스템인 계층적 가중 기반의 취약점 영향성 평가 스코어링 시스템을 제안한다.

• 정보보호학회지
• /
• 제24권1호
• /
• pp.7-12
• /
• 2014

각종 악성코드와 취약점이 하루가 다르게 출현하고 있다. 주기적인 취약점 분석 평가는 새로운 사이버보안 위협에 신속하게 대응하고 지속적으로 사이버보안을 강화하는 중요한 활동이다. 그러나 최근 스마트폰 이용 확산에 따른 모바일 보안위협 증가와 기반시설 제어시스템에 대한 보안위협 증가는 기존 취약점 분석 평가 방법의 구조적인 변화를 요구하고 있다. 본 논문에서는 스마트폰 테더링과 같은 모바일 보안위협에 따른 취약점 분석 평가 시의 고려사항과 시스템 영향을 최소화 할 수 있는 분석 절차와 방안을 제시하고 있다. BYOD를 사용한 모바일 인터넷 사용은 내 외부 네트워크 구분을 무의미하게 만들고 있기 때문에 다양한 침입경로에 대한 분석이 필요하다. 또한 제어시스템과 같이 높은 가용성이 요구되는 시스템에 대해서는 유휴시간 점검, 백업 시스템 점검, 테스트 베드 등을 사용한 취약점 점검 방법의 도입이 필요하다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제3권8호
• /
• pp.271-276
• /
• 2014

본 연구는 취약점 분석 평가 수행 시 N/A 점검항목이 보안 수준 결과에 미치는 영향 정도를 분석하였다. 이를 위하여, 본 논문에서는 취약점 분석 평가 범위 및 점검항목과 정량적 산출 방식을 이용하였으며, 항목의 중요성에 따른 등급과 가중치를 부여하였다. 또한, 주위 환경과 IT 기술 발달로 기관은 항상 위험에 노출되어 있으므로 위험 허용 수준을 적용하여 실증적 분석을 수행하였다. 분석한 결과, N/A 점검항목이 보안 수준에 영향을 미치는 요인으로 증명되었다. 즉, 취약점 분석 평가 수행 시 기관 특성상 연계성이 없는 점검항목은 제외시켜야 하는 것을 알 수 있었다. 본 연구에서는 실증검증을 토대로 기관 특성과 연계성을 갖지 않는 항목을 제외한 후 보안 수준 평가를 수행해야 함을 시사 하였으며, 기관 특성을 고려한 취약점 분석 평가 점검항목 정립 모델 연구가 필요함을 제시하였다.

• 한국수자원학회:학술대회논문집
• /
• 한국수자원학회 2018년도 학술발표회
• /
• pp.172-172
• /
• 2018

물이용의 기후변화 취약성은 기후변화 뿐 아니라 이의 직, 간접적 영향으로 인한 물수요량 변화 등의 다양한 요소에 의한 영향을 받기 때문에 그 정도를 파악하기가 어렵다. 또한 기존의 대부분의 물이용 취약성 평가 연구는 단순 기후요소의 변화만 고려한 경우가 대부분이고 사회경제적 요소의 변화를 반영하지 않았다는 한계가 있다. 따라서 본 연구에서는 강 유역에서 미래 기후 변화와 사회경제적 변화에 따른 물이용 취약성 평가방법을 개발하고, 한강에 적용함으로서 다양한 사회경제시나리오에 따른 강유역의 물이용 취약성이 어떠한 영향을 받는지에 대한 이해에 주안점을 맞췄다. 개발한 평가방법은 지표기반 접근법으로, 다기준 의사결정기법인 Technique for Order of Preference by Similarity to Ideal Solution(TOPSIS)를 사용하였다. 이 방법은 IPCC의 취약성분석 방법에 사용되고 있으며, 취약성에 대한 정의에 따라 결과 값이 적응능력, 노출, 민감도로 구성되어있다. 사용된 지표 자료는 통계청 등 다양한 국가 통계자료를 기반으로 한 자료뿐 아니라, 일부분은 수문모형인 SWAT(Soil and Water Assessment Tool)모델로부터 모의된 결과를 포함한다. 기후시나리오로 Representative Concentration Pathways(RCPs), 사회경제시나리오로는 Shared Socioeconomic Pathways(SSPs)를 사용하였다. 본 연구의 물이용 취약성 평가결과는 사회경제적 요소의 변화를 기존의 평가방법에 추가 반영하여 미래 전망을 제시하는 향후 수자원 정책 방향에 기초자료로 활용될 수 있을 것이다.

• 인터넷정보학회논문지
• /
• 제14권3호
• /
• pp.23-33
• /
• 2013

최근 IT분야에서 클라우드 컴퓨팅 기술은 유연성, 효율성, 비용절감이라는 특징을 갖고 있어 현 사회에 빠르게 보급되고 있다. 그러나 클라우드 컴퓨팅 시스템은 보안의 취약점을 크게 갖고 있다. 본 연구에서는 클라우드 컴퓨팅 시스템 보안의 취약점 해결을 위해, 가상머신의 취약점에 대한 유형 및 영향분석 타입(impact type)을 정하고, 가상머신의 취약점에 대한 위험도 평가에 따른 우선순위를 정하였다. 취약점 분석을 위해서는 오픈프레임워크인 CVSS2.0을 기반으로 취약점에 대한 위험도 측정 기준을 정의하고 해당 취약점마다 점수를 매겨 위험도 측정을 체계화하였다. 제시된 취약점 위험도 기준은 취약점의 근본적인 특징을 제시하고 취약점에 대한 위험도를 제공하여 취약점 최소화를 위한 기술적 가이드를 작성하는 데에 활용 가능할 것으로 판단된다. 또한 제시된 취약점 위험도 기준은 연구내용 자체로 의미가 있으며 향후 추진될 기술 정책프로젝트에서 활용될 수 있다.

• 대한원격탐사학회:학술대회논문집
• /
• 대한원격탐사학회 2007년도 춘계학술대회 논문집
• /
• pp.288-291
• /
• 2007

점차 심각해지고 있는 기후변화 문제에 대응하기 위해서는 기후변화에 따른 영향(impacts), 취약성(vulnerability), 적응(adaptation)등에 관한 연구가 필요하다. 그러나 기후변화 연구는 미래 시점에 대면적을 대상으혹 다양한 변수를 포함하여 수행해야 하는 어려움이 있기 때문에 현재 대부분의 연구는 영향평가에 주안점을 두고 있다. 따라서 본 연구에서는 시점과 면적，변수 사용이 용이한 GIS 기반의 CEVSA(Carbon Exchange between Vegetation , Soil , and Atmosphere)모형을 이용하여 기후변화가 산림부문에 미치는 취약성을 평가하였다. 평가결과 미 래 기후변화에 취약한 지역의 면적은 $44,201.95\;km^2$로 전체 연구대상지 면적 $146,187.45\;km^2$의 30.24%에 달하는 것으로 분석되었다.

• 한국수자원학회:학술대회논문집
• /
• 한국수자원학회 2021년도 학술발표회
• /
• pp.338-338
• /
• 2021

우리나라 최남단에 위치한 광역자치단체인 제주특별자치도는 태풍의 길목에 위치한 지정학적 특성, 한라산 영향에 의한 호우의 산지효과, 기후변화로 인한 해수면상승 가속화 등에 의해 재해 위험이 매우 높은 지역이다. 또한, 연안지역에 위치한 주거지, 숙박시설 입지 특성과 더불어 해안가의 개발수요 증가에 따라 재해취약성도 지속적으로 악화되고 있다. 이에 본 연구에서는 제주지역을 대상으로 침수재해 취약성을 평가하고, 취약지역 특성을 파악한다. 그 결과, 도 내의 취약지역 분포와 취약등급에 따른 지역적 특성을 알 수 있었으며, 이를 토대로 취약지역 여건에 맞는 도시계획적 방재대책에 대한 시사점을 확인할 수 있었다. 이상과 같은 결과는 기후변화 심화로 인한 호우 패턴 변화에 대응하기 위해 전방위적인 방재시설이 필요함은 물론, 취약지역에 적합한 도시계획적 관점의 관리대책이 마련되어야 함을 시사한다.

• 기술혁신학회지
• /
• 제12권1호
• /
• pp.137-164
• /
• 2009

본 연구는 출연(연) 성과향상을 위한 기관평가시스템의 발전방안 논의의 일환으로 출연(연) 기관평가시스템이 연구기관 구성원들의 평가결과에 대한 수용성 정도에 미치는 영향과 이로 인한 연구기관 성과에 미치는 영향을 살펴보았다. 분석결과 경제 인문사회연구회의 출연(연) 기관평가시스템은 연구기관 성과에 유의적인 정(+)의 영향을 미쳤으며, 평가결과 수용성은 연구기관 성과에 관련성이 있는 것으로 확인되었다. 또한, 성과가 높은 기관들은 전반적으로 기관평가시스템에 대한 긍정적 인식과 함께 평가결과 수용태도도 높다는 점을 확인 할 수 있었다. 그러나 출연(연) 기관평가시스템의 전반적 취약점들에 의해 평가결과에 대한 수용도가 높지 않고, 정부 및 연구회 차원에서도 평가결과의 적극적인 활용에 제약이 있음도 알 수 있었다. 끝으로 이러한 연구결과에 따른 개선점을 제시하고, 향후 연구방향과 한계점에 대하여 논의하였다.

• 정보보호학회논문지
• /
• 제31권2호
• /
• pp.263-277
• /
• 2021

자바스크립트로 작성된 웹 어플리케이션에서 Cross-Site Scripting (XSS), SQL Injection과 같은 검증되지 않은 사용자 입력 데이터로 인해 발생하는 취약점을 탐지하기 위해 오염 분석 기법이 널리 사용되고 있다. 이러한 취약점을 탐지하기 위해서는 사용자 입력 데이터에 영향을 받는 변수들을 추적하는 것이 중요하지만, 자바스크립트의 동적인 특성으로 인해 웹 어플리케이션을 실행해 보지 않고 그러한 변수들을 식별하는 것은 매우 어렵다. 때문에, 기존의 오염 분석 도구들은 대상 어플리케이션을 실행하는 오버헤드가 존재하는 동적 오염 분석을 사용하도록 개발되었다. 본 논문에서는 타입스크립트(자바스크립트의 상위집합) 컴파일러를 활용해 얻은 심볼 정보를 기반으로 데이터의 흐름을 정확히 추적하고, 타입스크립트 코드에서 보안 취약점을 발견하는 새로운 정적 오염 분석 기법을 제안하였다. 제안한 기법은 개발자가 검증되지 않은 사용자 입력 데이터를 포함할 수 있는 변수에 표시를 할 수 있도록 하며, 이를 활용해 사용자 입력 값에 영향을 받는 변수와 데이터를 추적한다. 제안한 기법은 TypeScript 컴파일러에 원활히 통합될 수 있기 때문에, 별도의 도구로 작동하는 기존 분석 도구와 달리 개발자가 개발 과정에서 취약점을 발견할 수 있게 한다. 제안한 기법의 유효성을 확인하기 위해 프로토타입을 구현하였으며, 취약점이 보고된 8개의 웹 어플리케이션을 선정하여 분석을 수행하여 성능을 평가한 결과 기존의 취약점을 모두 탐지할 수 있음을 확인하였다.

• 한국전자거래학회지
• /
• 제16권2호
• /
• pp.129-142
• /
• 2011

현재까지 서비스지향 아키텍처(SOA) 보안은 개별 표준들과 솔루션에 의한 대응에 집중해있을 뿐 전사적인 위험관리 차원의 통합적인 방법론은 부족한 실정이다. 따라서 SOA 보안 취약점 식별을 통한 다양한 보안 위협들에 대한 사전 분석과 대책 수립이 필요하다. 이를 위해 본 논문에서는 SOA 취약성을 정량적으로 분석하기 위한 SOA 동적 특성을 이용한 메트릭 기반의 취약성 평가 방법을 제안한다. SOA를 구성하는 서비스들 사이의 실행시간 종속성을 측정하여 서비스와 아키텍처 수준의 취약성을 평가한다. 서비스 사이의 실행시간 종속성은 한 서비스가 취약할 때 다른 서비스들이 얼마나 영향을 받게 되는지를 분석하기 위해 사용되는 중요한 특징이다. 한 서비스가 공격에 노출될 때 그 서비스에 종속된 서비스들도 역시 공격가능성이 높아진다. 따라서 실행시간 종속성은 SOA 아키텍처 수준의 취약성에 대한 지표로 활용할 수 있다.