• 인터넷정보학회논문지
• /
• 제21권1호
• /
• pp.179-190
• /
• 2020

유닉스 계열 시스템 환경에서 GOT 변조(GOT overwrite) 공격은 소프트웨어 권한 탈취를 위한 전통적인 제어흐름 탈취 기법 중 하나이다. 그 동안 GOT 변조를 방어하기 위한 몇 가지 기법들이 제안되었는데, 그 중 프로그램 로딩 단계에서 GOT 영역을 읽기전용 속성으로 메모리 배치하여 실행 시간에 GOT 변조를 원천적으로 차단하는 Full Relro(Relocation Read only) 기법이 가장 효과적인 방어기법으로 알려져 왔다. 하지만, Full Relro 기법은 로딩 시간의 지연을 가져와 시작 성능에 민감한 프로그램의 적용에는 제약이 있고, 라이브러리에 적용시 의존 라이브러리에 의한 연쇄적인 로딩 지연 문제 등으로 라이브러리에는 현재 적용되지 않고 있다. 또한, LLVM을 포함한 다수의 컴파일러들은 Full Relro 기법을 기본 적용하지 않아 실행환경의 프로그램은 GOT 공격에 여전히 취약하다. 이 논문에서는 현재 코드 재사용 공격 방어를 위해 가장 적합한 기법으로 인식되고 있는 CFI(Control Flow Integrity) 기법을 사용한 GOT 보호 장치를 제안한다. LLVM을 기반으로 본 기법을 구현하고 binutils-gdb 프로그램 그룹에 적용해 보안성, 성능, 호환성 등을 평가하였다. 본 CFI 기반 GOT 보호 장치는 우회하기 어렵고, 빠르며 기존 라이브러리 프로그램과도 호환되어 적용가능성이 높다.

• 전자공학회논문지 IE
• /
• 제43권1호
• /
• pp.46-51
• /
• 2006

최근 정보를 안전하게 관리하기 위한 방법으로 휴대가 용이하며 물리적, 전기적 그리고 소프트웨어적인 공격으로부터 안전한 스마트카드 시스템이 주목받고 있다. 자바카드는 스마트카드 플랫폼에 자바 기술을 접목시킨 것으로 객체지향 기법을 적용한 보안상 매우 우수한 장점을 지니고 있으며 특성이 다른 하드웨어에서 동일한 동작을 수행할 수 있는 개방형 운영체제를 가짐으로써 다양한 응용 프로그램을 수용할 수 있는 유연성을 가지고 있다. 본 논문에서는 지금까지 각각의 스마트카드 하드웨어에 맞추어져 수행되던 불편함을 자바의 플랫폼 독립적인 실행 특성을 도입함으로써, 통일된 개발 환경을 구축하고 있는 자바카드 기술을 이용하여 하나의 카드로 소유자 이외에도 다수의 관리자가 각기 다른 접근권한으로 접근통제가 가능한 회원카드를 설계하였다. 제안한 방법에서 사용자 인증은 일반적으로 사용되고 있는 PIN과 함께 서명데이터를 이용하여 PIN이 가지고 있는 본래의 보안취약점을 개선하여 보다 안전한 사용자 인증을 수행한다. 본 논문에서 제안한 방법은 사용자 인증, 파일 보안 등급의 차등적인 접근권한을 설계하고 구현함으로써 보다 안전하고 편리한 사용방법을 제공한다.

• 정보처리학회논문지C
• /
• 제10C권4호
• /
• pp.413-422
• /
• 2003

액티브 네트워크는 패킷이 목적지에 도착하기 전에 거치게되는 중간노트에서 새로운 정책이나 코드를 추가하여 프로그램을 실행시킬 수 있는 소프트웨어 기반 차세대 네트워크이다. 이러한 액티브 네트워크 환경에서는 다이나믹하게 패킷을 처리할 수 있지만 중간 노드에서 패킷을 처리하기 위해서는 그 노드의 자원을 사용해야 한다. 따라서 액티브 네트워크에서는 기존의 네트워크와는 달리 중간노트의 자원에 접근함으로써 발생하게 되는 네트워크 보안상의 문제점들을 고려하지 않으면 안 된다. 본 논문에서는 액티브 네트워크 환경에서 액티브 노드의 자원에 접근 시 발생되는 보안상의 문제점들을 해결하기 위한 보안 강화 엔진을 제안하고, 보안 강화 엔진 내에 보안, 인증, 권한부여 모듈을 두어 액티브 네트워크 환경에 노출되어있는 악의적인 위협 요소들로부터 보호하고자 한다.

• 한국정보통신학회논문지
• /
• 제11권8호
• /
• pp.1519-1527
• /
• 2007

센서 네트워크에서는 다양하고 폭 넓은 응용 프로그램을 위해서 경제적으로 실행 가능한 모니터링 솔루션을 제공한다. 대부분의 연구에서는 값싼 노드들을 겨냥해서 연구가 진행된다. 센서 네트워크들이 노출되는 보안위협들과 맞서기 위해서, 암호 프로토콜은 센서 노드들 사이에서 점대점 암호화 방식으로 암호화를 실행한다. 알려진 파괴와 속임 위협들은 전송시에 데이터를 암호화 하는 것과 동시에 데이터 소스를 인증하는 것에 의해서 막을 수 있다. 제한된 자원을 가진 노드들에서 저 전력 장치들에게 효과적이라고 알려진 대칭키 알고리즘이 사용된다. 데이터보호는 Dragon Stream Cipher 대칭키 암호화와 새롭게 디자인된 Dragon-MAC Message Authentication Code를 짜 넣는 것에 의한 방법에 의해서 완전하게 된다. 제안된 알고리즘은 MAC 알고리즘에 의해서 요구되는 동작 계산값을 최소화 하기 위한 목적으로써 Dragon Stream Cipher을 기초로 한 계산된 몇몇의 데이터를 사용하기 위해서 디자인 되었다. 빠른 키 스트림 생성을 가진 문자 기반의 Stream Cipher 인 Dragon을 목표로 하여, 한정된 환경에 적합하다. 무선센서 노드에서 권한 암호화의 이행을 통한 실제 인증과 메시지 인증을 겨냥해서 우리의 프로토콜은 계획되었다.

• 한국정보기술응용학회:학술대회논문집
• /
• 한국정보기술응용학회 2001년도 춘계학술대회 E-Business 활성화를 위한 첨단 정보기술
• /
• pp.79-82
• /
• 2001

이동코드는 자바 애플릿(applet)이나 스크립트와 같이 원격지에서 실행가능한 코드로서 현재 웹브라우저를 통하여 쉽게 수행 가능하다. 이러한 프로그램은 누구나 작성할 수 있고 브라우저를 수행할 수 있는 어떤 컴퓨터에서도 수행 가능하다. 즉, 자바 애플릿과 같이 운영체제나 하드웨어에 관계없이 어떤 플랫폼에도 동일 코드가 수행될 수 있다. (일반적으로 에이전트도 이동 코드라고 부르지만 여기서는 포함시키지 않는다.) 인터넷에서 어떤 컴퓨터에서도 공통적인 스크립트를 수행할 수 있다는 것은 편리함, 가능성에서 많은 장점을 가지고 있지만 보안 관점에서 보면 이러한 공통의 스크립트를 수행할 수 있는 인터프리터는 매우 위험하다. 또한 이러한 인터프리터가 브라우저의 한 부분이기 때문에 위험은 더욱 증가한다. 이동 코드 인터프리터에서 어떤 버그가 존재할 경우 이것을 이용한 악성 사용자가 프로그램을 특정 컴퓨터에서 수행시켜 접근 권한을 쉽게 얻거나 시스템을 파괴할 수 있다. 일반 사용자들이 주로 사용하는 윈도95 같은 운영체제에서는 이러한 공격을 막을 보호대책이 없고 심지어 UNIX에서도 사용자의 권한을 가지고 이동 코드가 수행되기 때문에 사용자의 파일을 조작하거나 정보가 유출될 수 있다. 또한, 이동코드가 서로 다른 수행환경을 이동할 경우, 악성 이동코드로부터 영향을 받을 수 있는 수행환경의 보호와 악성 호스트 및 수행환경에 의해 이동코드가 파괴되는 경우도 있다. 위와 같은 이동 코드의 위험으로부터 발생할 수 있는 보안문제점들의 실제 피해 사례 및 시스템을 보호하기 위해 사용되어온 몇 가지 기법을 제시하였다.사업을 통하여 경남지역 산업단지에 입주한 기업체의 정보 활용을 극대화하여 지역경제 발전에 기여함과 동시에 국내 지역정보화 시범모델로서 위상을 확립하고자 한다.을 기업의 타인자본비용과 자기자본비용의 조합인 기회자본비용으로 할인함으로써 현재의 기업가치를 구할 수 있기 때문이다. 이처럼 기업이 영업활동이나 투자활동을 통해 현금을 창출하고 소비하는 경향은 해당 비즈니스 모델의 성격을 규정하는 자료도로 이용될 수 있다. 또한 최근 인터넷기업들의 부도가 발생하고 있는데, 기업의 부실원인이 어떤 것이든 사회전체의 생산력의 감소, 실업의 증가, 채권자 및 주주의 부의 감소, 심리적 불안으로 인한 경제활동의 위축, 기업 노하우의 소멸, 대외적 신용도의 하락 등과 같은 사회적·경제적 파급효과는 대단히 크다. 이상과 같은 기업부실의 효과를 고려할 때 부실기업을 미리 예측하는 일종의 조기경보장치를 갖는다는 것은 중요한 일이다. 현금흐름정보를 이용하여 기업의 부실을 예측하면 기업의 부실징후를 파악하는데 그치지 않고 부실의 원인을 파악하고 이에 대한 대응 전략을 수립하며 그 결과를 측정하는데 활용될 수도 있다. 따라서 본 연구에서는 기업의 부도예측 정보 중 현금흐름정보를 통하여 '인터넷기업의 미래 현금흐름측정, 부도예측신호효과, 부실원인파악, 비즈니스 모델의 성격규정 등을 할 수 있는가'를 검증하려고 한다. 협력체계 확립, ${\circled}3$ 전문인력 확보 및 인력구성 조정, 그리고 ${\circled}4$ 방문보건사업의 강화 등이다., 대사(代謝)와 관계(關係)있음을 시사(示唆)해 주

• 한국과학교육학회지
• /
• 제42권1호
• /
• pp.77-96
• /
• 2022

본 연구는 초임 중등 과학교사들의 협력적 성찰이 어떻게 각자의 수업 전문성 발달을 촉진하였는지 탐색하고자 수행되었다. 이를 위해 충분한 라포가 형성되어 있는 이들을 의도적으로 연구 참여자로 선정하였다. 각 교사가 진행한 수업, 사전 의견 나누기, 사후 면담, 9차례의 협력적 성찰 과정을 통해 자료를 수집하였고 모든 자료는 전사한 후 분석하였다. 연구 결과 세 교사는 모두 협력적 성찰을 반복해서 진행하면서 수업 전문성 발달과 수업 실행 변화를 보였다. 민영의 경우 교사 주도의 수업을 진행하는 한계를 보였으나, 학생의 과학 학습에 관한 지식과 과학 교수전략에 관한 지식을 발달시켰고 수업 내 학생들의 권한을 확대해나갈 수 있게 되었다. 소영의 경우 학문적 엄격성을 강조하면서 다소 교육과정에 벗어나는 학습 내용을 선정하는 한계를 보였으나, 학생의 과학 학습에 관한 지식과 과학 교육과정에 관한 지식을 발달시켰고 교육과정 범위 내에서 학생들이 이해할 수 있는 수준에 대해 고려할 수 있게 되었다. 마지막으로 지연은 활동을 이론 설명과 분리하여 따로 진행하는 한계를 보였으나, 협력적으로 활동을 개선하고 다시 실행해보는 과정을 통해 단순한 활동 수행을 넘어서 활동을 통해 설명을 구성하고 모형구성 활동을 제시하기까지 탐구 활동의 영역을 확장할 수 있었다. 본 연구에서 협력적 성찰이 교사의 수업 전문성 발달을 촉진할 수 있었던 요인은 크게 세 가지이다. 첫 번째로 서로 다른 교수 지향을 지닌 세 교사가 각기 다른 관점에서 상호작용하는 과정은 서로가 생각하지 못한 부분에 대해 다양한 의견을 제시하면서 성찰을 촉진하였다. 두 번째로 수업 실행을 기반으로 주기적으로 진행한 협력적 성찰은 구체적이고 실제적인 피드백을 가능하게 하여 문제 인식과 수업 전문성 발달을 촉진하였다. 세 번째로 세 교사가 충분한 라포를 형성하고 있고 동등한 지위를 지닌 환경은 비난에 대한 두려움 없이 자신의 어려움이나 갈등을 거리낌 없이 표현하도록 도왔으며 생산적인 성찰을 할 수 있는 환경을 조성하였다. 본 연구 결과는 동료 교사들 간의 협력적 성찰을 통한 수업 전문성 발달에 대한 이해를 돕는다. 또, 앞으로의 교사교육 프로그램에서 서로의 수업 실행을 기반으로 협력적 성찰을 촉진할 수 있는 공동체 형성이 필요하다는 시사점을 제공한다.

• 정보처리학회논문지A
• /
• 제8A권4호
• /
• pp.391-398
• /
• 2001

대부분의 안전한 운영체제는 주체와 객체에 보안 등급을 부여하여 운영하는 다중등급 정책(MLP：Multi-Level Policy)을 수용하고 있으며, BLP(Bell and LaPadula) 모델은 이 정책을 표현하는 검증된 대표적인 모델이다. 하지만 BLP 모델을 적용한 안전한 운영체제들은 사용자의 보안 등급을 프로세스에 그대로 상속하고 있음을 알 수 있다. 이러한 접근방법의 문제점은 프로세스를 전적으로 신뢰할 수 없다는 것에서 기인한다. 즉, 사용자의 보안 등급과 권한허용 범위를 오류가 내재되어 있거나 의도적으로 수정된 악의적인(malicious) 프로세스에게 그대로 상속할 경우, 시스템 안전성이 파괴될 가능성이 있다. 이는 BLP 모델이 접근 주체를 정의함에 있어서 시스템 사용자와 실제 그 접근을 대행하는 프로세스를 동일시 하도록 단순하게 정의하고 있기 때문이며, 따라서 사용자와 프로세스간 신뢰관계를 모델에 도입함으로써 해결 가능하다. 또한 다중등급 보안 운영체제들은 접근 주체인 프로세스가 접근 객체로서 존재하는 등급화 된 프로그램 실행 시, 새로운 프로세스를 위한 보안 등급을 부여해야 하는데, 접근 주체와 접근 객체의 보안 등급이 다를 경우, 보안 등급 결정 문제가 발생하며 정보보호의 목적에 위배되는 결과가 발생한다. 이에 본 논문에서는 프로세스의 신뢰성을 고려하고, 보안 등급 결정 문제를 해결할 수 있는 확장된 BLP(E-BLP) 보안 모델을 제안하고 리눅스 커널(2.4.7)에 구현한다.

• 지능정보연구
• /
• 제17권4호
• /
• pp.175-191
• /
• 2011

국가신성장동력으로MICE(Meeting, Incentive travel, Convention, Exhibition) 산업이각광받으면서국내전시산업에 대한 관심이 드높아 지고 있다. 이에 따라 국내 전시산업(domestic exhibition industry)도 미국이나 유럽과 같이 전시성과를 향상시키기 위한 다양한 연구가 진행 중이다. 그 중에서도 전시환경이나 전시기법 등에 따라 관람효과가 다르기 때문에 지능형 정보기술을 이용하여 전시장에 방문한 참관객의 참관패턴을 분석하여 참관객을 이해하고 더 나아가 참여업체 간의 연관관계 도출 및 전시회의 성과를 높이고자 하는 연구들이 진행되고 있다. 그런데, 이러한 기존의 부스추천시스템과 관련된 연구를 살펴보면 시스템적인 관점에서 추천의 정확성만을 논하고 있을 뿐 추천을 통한 참관객의 행동이나 인식의 변화에 대해서는 충분히 논의하고 있지 못하다. 부스추천시스템(Booth Recommendation System)은 참관객의 부스방문 정보를 바탕으로 참관객에게 적절한 부스를 추천하기 때문에 참관객은 사전에 계획하지 않은 전시장을 방문하게 될 수 있다. 이 때 참관객은 계획하지 않은 방문행동을 통해서 만족할 수도 있지만 추천과 정이 번거롭다거나 자유롭게 참관을 하는데 방해가 된다고 생각할 수 있다. 이 경우 참관객의 자유로운 관람보다 오히려 더 좋지 않은 성과를 낼 수 있다. 따라서 부스 추천시스템을 전시장에 적용하기 위해서는 시스템의 성과에 미치는 영향요인이 무엇인지 전반적으로 검토하고, 부스추천시스템이 참관객의 계획되지 않은 방문행동에 미치는 영향에 대해 면밀히 검토해야 한다. 이에 본 연구에서는 부스추천시스템의 성과에 영향을 미치는 요인이 무엇인지 이론과 기존문헌을 통해 살펴보고자 하였다. 또한, 참관객의 지각된 부스추천시스템의 성과가 참관객의 계획되지 않은 행동에 대한 만족도와 부스추천시스템의 재사용의도에 어떤 영향을 미치는지 살펴보고자 하였다. 이러한 연구목적을 달성하기 위한 이론적 프레임워크로 본 연구는 계획되지 않은 행동이론(Unplanned Behavior Theory)을 도입하였다. 계획되지 않은 행동(unplanned behavior)이란 "소비자들이 사전에 계획하지 되지 않은 채 실행된 어떤 행동"으로 정의할 수 있다. 소비자들의 계획되지 않은 행동은 그 동안 마케팅 등 다양한 분야에서 연구되어 왔다. 특히, 마케팅에서는 계획되지 않은 행동 중 계획되지 않은 구매(unplanned purchasing)에 많은 관심을 두어 왔는데 이 개념은 종종 충동적 구매(impulsive purchasing)와 혼동되어 사용되곤 하였다. 그런데, 충동적 구매가 갑자기 무엇인가 구매를 해야하는 강하고 지속적인 충동(urge)이라고 본다면 계획되지 않은 구매는 구매의사결정의 시점이 상점에 들어가기 전이 아닌 상점 내에서 수행된다는 점이 다르다. 즉, 모든 충동적 구매는 비계획적이나, 모든 계획되지 않은 구매가 충동적인 구매는 아니다. 그런데, 왜 소비자들은 계획되지 않은 행동을 하는가? 이에 대해서는 학자들에 따라 여러 가지 의견이 있으나 소비자가 사전에 철저한 계획을 수립하지 않고 따라서 중간에 계획을 변화시킬만한 유연성(flexibility)이 있기 때문이라는 점에 일관된 의견을 보인다. 즉, 계획되지 않은 행동을 하는데 많은 비용이 소요된다면 소비자들은 사전에 수립한 계획을 변경하기 어렵게 될 것이기 때문이다. 본 연구에서 살펴보고자 하는 전시장 역시 참관객들은 방문하기 전에 전시장이 어떤 프로그램으로 구성되어 있는지 살펴보고, 어떤 부스를 방문할지를 사전에 계획하게 된다. 그 이유는 참관객들이 전시장 방문에 투입할 수 있는 시간은 한정되어 있는 반면에 전시회는 대규모의 다양한 부스로 운영되기 때문에 참관객들이 모든 부스를 참관한다는 것이 현실적으로 불가능하기 때문이다. 따라서 본 연구에서 제시하는 부스추천시스템이 참관객이 선호할 만한 부스를 추천하게 되면 참관객은 자신의 계획을 변화시켜서 부스추천시스템이 추천한 부스를 방문하게 된다. 이러한 방문행동은 소비자가 상점을 방문하거나, 관광객이 관광지에서 계획하지 않은 행동을 하는 것과 유사한 측면에서 이해가 가능하며 특히 최근 여행소비자들이 정보기기의 영향으로 계획되지 않은 행동을 하는 경우가 부쩍 증가한 추세와 동일한 맥락에서 이해가 가능하다. 이에 다음과 같은 연구모형을 설정하였다. 이 연구모형은 참관객이 지각한 부스추천시스템의 성과(performance)를 매개변수로 하고 있는데 이 성과에 영향을 미치는 요인으로 부스추천시스템에 대한 신뢰(trust), 전시장 참관객의 지식수준 (knowledge level), 부스 추천시스템의 기대된 개인화 (expected personalization) 그리고 부스추천시스템의 자유위협(threat to freedom)을 영향요인으로 파악하였다. 또한, 지각된 부스추천시스템 성과와 계획되지 않은 행동에 대한 참관객의 만족도와 향후 부스추천시스템의 재사용의도간의 인과관계도 파악하고자 하였다. 이 때 부스추천시스템에대한신뢰는권한(competence), 자선(benevolence), 그리고진실(integrity)의2차요인(2nd order factor)으로구성하고, 나머지 요인들은 1차 요인으로 구성하였다. 이를 검증하기 위해 2011 DMC Culture Open 행사에서 부스추천시스템을 테스트하기 위하여 시스템을 개발하고, 101명의 참관객을 대상으로 실증조사를 하여 분석하였다. 분석결과 첫째, 부스추천시스템에 있어서 참관객의 신뢰가 가장 중요한 요소이며 실제 해당 부스추천시스템을 이용한 참관객들은 신뢰를 통해 부스추천시스템이 성과 있다고 인식하였다. 둘째, 참관객의 지식수준 역시 부스추천시스템의 성과에 유의한 영향을 미쳤는데 이는 추천의 성과가 전시장에 대한 사전적 이해가 필요함을 의미한다. 즉, 전시장에 대한 이해가 높은 참관객이 부스추천시스템의 유용성을 더 잘 파악하는 것으로 나타났다. 셋째, 기대된 개인화 수준은 성과에 유의한 영향을 미치지 못했는데 이는 기존 연구와 다른 결과로 본 연구에 사용된 부스추천시스템이 충분히 개인화 서비스를 제공하지 못했기 때문이라고 판단된다. 넷째, 부스추천시스템의 추천정보는 개인의 자유를 위협하거나 제한한다고 느끼지 않음으로 충분히 유용한 가치를 갖는다고 할 수 있다. 끝으로 부스정보시스템의 높은 성과는 참관객들의 계획되지 않은 행동에 대한 높은 만족도와 향후에도 부스추천시스템을 재사용할 의도를 만드는 것으로 나타났다. 이와 같이 본 연구는 부스추천시스템이 야기하는 참관객의 계획되지 않은 부스방문행동에 미치는 영향력을 분석하기 위해 계획되지 않은 행동이론을 중심으로 실증자료를 이용하여 분석하고, 이를 통해 향후 부스추천시스템의 구축 및 설계에 유용한 시사점을 도출할 수 있었다. 향후에는 보다 정교한 설문구성과 측정대상을 이용하여 추가적인 검토가 필요할 것으로 기대된다.