• Convergence Security Journal
• /
• v.4 no.2
• /
• pp.27-34
• /
• 2004

The recent explosive use of the Internet and the development of computer communication technologies reveal serious computer security problem. Inspite of many studies on secure access to the system, generally, the attackers do not use the previous intrusion techniques or network flaw, rather they tend to use the vulnerabilities residing inside the program, which are the running programs on the system or the processes for the service. Therefore, the security managers must focus on updating the programs with lots of time and efforts. Developers also need to patch continuously to update the Program, which is a lot of burden for them. In order to solve the problem, we need to understand the vulnerabilities in the program, which has been studied for some time. And also we need to analyze the functions that contains some vulnerabilities inside. In this paper, we first analyzed the vulnerabilities of the standard C library, and Win32 API functions used in various programs. And then we described the design and implementation of the automated scanning tool for writing secure source code based on the analysis.

• The KIPS Transactions:PartA
• /
• v.13A no.5 s.102
• /
• pp.399-404
• /
• 2006

In Jana 2, to enforce a suity policy of a program, programmer writes permission sets required by the code at the policy file, sets Security Manager on system and executes the program. Then Security Manager checks by stack inspection whether an access request to resource should be granted or denied whenever code tries to access critical resource. In this paper, we develop a visualization tool which helps programmers enforce security policy effectively into programs. This system is based on the static permission check analysis which analyzes permission checks which must succeed or fail at each method. Based on this analysis information, programmer can examine visually how permission checks and their stack inspection are performed. By modifying program or policy file if necessary and examining analysis information repeatedly, programmer can enforce security policy correctly.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.317-321
• /
• 2002

최근 Firewall, IDS와 같은 응용프로그램 수준의 보안 제품은 내부서버 자체의 취약성을 방어하지 못한다. 본 논문에서는 TCSEC C2급에 해당하는 보안성을 가지는 리눅스를 LKM(Loadable Kernel Module) 방법으로 B1급 수준의 다중등급 보안을 구현하였다, 따라서 구현된 다중등급 보안 리눅스 커널의 주요 기능을 기술하고, 시험 평가로서 강제적 접근제어, 성능 및 해킹 시험을 실시하였다. 구현된 보안 커널 기반의 리눅스 운영체제는 B1급의 요구사항을 만족하며, root의 권한 제한, DB를 이용한 실시간 감사추적, 해킹차단, 통합보안관리등의 추가적 기능을 제공한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.461-464
• /
• 2016

기업 사용자의 PC를 노리는 알려지지 않은 지능형 위협으로 전사적 IT자원 보안 문제가 대두하고 있다. 지정된 프로그램만 동작하게 하는 화이트리스트 보안 기술로 알려지지 않은 지능형 위협에 대응이 가능하다. 따라서 화이트리스트 기반 전사적 IT자원 보안 관제가 필요하다. 본 논문에서는 WhiteList 기반의 실시간 프로세스 분석을 통해 기업 사용자 PC 내에 허가되지 않은 프로그램을 관제할 수 있는 방법을 제시 하였고, 화이트리스트 기반 전사적 IT자원 보안 관제 시스템을 구현하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2020.11a
• /
• pp.383-386
• /
• 2020

최근 국가기반시설을 대상으로 하는 사이버 공격이 증가하고 있다. 이에 따라 국내외에서는 시설의 침해영향도를 고려하여 자산을 분류하고 관리적/기술적/물리적 보안조치를 수행하도록 지침 및 정책을 제시하고 있다. 그러나 국내 지침은 자산 특성을 고려치 않아 운영 측면의 효율성을 저하하고 있다. 이에 본 논문은 기존 문서의 내용을 보완한 국가기반시설 정보보안 국가기반시설 정보보안 관리체계 프로그램을 제안한다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2024.01a
• /
• pp.477-478
• /
• 2024

본 논문에서는 관련 지식이 없더라도 취약한 비밀번호를 사용하는 AP(Access Point)를 빠르고 편하게 점검할 수 있는 소형 해킹 장치를 제안한다. 터치 디스플레이를 이용한 입출력 장치의 통합으로 휴대성을 극대화시켰다. 필요한 정보를 특정하여 출력하고, 숫자 입력만으로 프로그램을 제어하며, AP의 보안 프로토콜 유형을 자동으로 인식하여 그에 맞는 공격을 시도하는 등의 사용자의 편의성을 고려한 프로그램 설계로 입력장치의 제한으로 인해 생길 수 있는 불편함을 해소하였다.

• Journal of Internet Computing and Services
• /
• v.8 no.6
• /
• pp.29-42
• /
• 2007

This paper describes a security object designed to support a dynamic security service for application services in u-healthcare computing environments in which domains are used to object groups for specifying security policies, In particular, we focus on security object for distributed framework support for u-healthcare including policy, role for security and operations use to access control. And then, by using the DPD-Tool. we showed the access right grant procedure of objects which are server programs, the developing process of client program. Also, we verified the executablility of security service supporting by distributed framework support for u-healthcare use to the mobile monitoring application developing procedure implemented through DPD-Tools.

• Korean Security Journal
• /
• no.25
• /
• pp.185-208
• /
• 2010

This study is to suggest the current security education programs and improvement of industrial security curriculums in Korea. We live in a world of insecurity; the world is changing at an ever accelerating pace. Life, society, economics, international relations, and security risk are becoming more and more complex. The nature of work, travel, recreation, and communication is radically changing. We live in a world where, seemingly with each passing year, the past is less and less's guide to the future. Security is involved in on one way or another in virtually every decision we make and every activity we undertake. The global environment has never been more volatile, and societal expectations for industrial security and increasing if anything. The complexities of globalization, public expectation, regulatory requirements, transnational issues, jurisdictional risks, crime, terrorism, advances in information technology, cyber attacks, and pandemics have created a security risk environment that has never been more challenging. We had to educate industrial security professional to cope with new security risk. But, how relevant is a college education to the security professional? A college degree will not guarantee a job or advancement opportunities. But, with a college and professional training, a person has improved chances for obtaining a favored position. Commonly, Security education and experience are top considerations to find a job so far, also training is important. Today, Security is good source to gain competitive advantage in global business. The future of security education is prospect when one considers the growth evident in the field. Modern people are very security-conscious today, so now we had to set up close relevant industrial security programs to cope with new security risk being offered in colleges or several security professional educational courses.

• Review of KIISC
• /
• v.26 no.1
• /
• pp.9-19
• /
• 2016

프로그램 개발단계에서 개발자의 실수로 인한 소스코드 내의 보안약점을 제거하여 정보시스템의 안전성을 강화하려는 노력이 이루어지고 있는 가운데, 의도적으로 삽입된 악의적인 보안 약점에 대한 대응의 필요성이 증가하고 있다. 본 논문에서는 상용 및 공개 소프트웨어의 의도적 보안약점에 의한 침해 사례 및 관련 취약점의 주요 형태와 모바일 앱의 의도적 보안약점 개요 및 관련 사례를 기술한다. 이를 통하여 의도적 보안약점에 대한 개괄적 내용을 제시하고 이에 대한 대응방안을 모색하고자 한다.

• Review of KIISC
• /
• v.19 no.5
• /
• pp.60-67
• /
• 2009

본 논문에서는 산업제어시스템 보안을 위한 네트워크 설계 및 구조에 대하여 살펴보고자 한다. 산업제어시스템을 위한 네트워크 구조 설계에서, 통상적으로 제어 네트워크를 사내 망과 분리하는 것이 권고된다. 그러나 산업제어시스템과 사내망의 연결이 필요한 실제 상황이 발생할 수 있다. 만약 이런 연결이 이루어진다면, 심각한 보안 위험을 유발하기 때문에 설계 및 구현에서 주의가 요구된다. 따라서 본 논문에서는 산업제어시스템 보안을 위한 네트워크 설계 원칙 및 네트워크 구조와 방화벽의 사용, DMZ의 생성, 효과적인 보안 정책을 갖춘 침입탐지 능력, 훈련 프로그램과 사고 대응 메커니즘을 포함하는 심층-방어 보안 구조에 대하여 소개하고자 한다.