• 정보보호학회논문지
• /
• 제28권1호
• /
• pp.53-60
• /
• 2018

암호 알고리즘은 세계적으로 표준화가 진행되고 있으며, 암호 알고리즘의 안전성은 충분히 입증되어 왔다. 하지만, 기존 검증 방법으로는 구현상의 취약점이 존재하여 심각한 피해를 야기할 수 있기 때문에 표준에 따라 올바르게 구현되었는지에 대한 개선된 검증 방법이 필요하다. 그러므로 본 논문에서는 국가정보원에서 수행하는 128비트 이상 블록 암호 모듈 중에서 검증 대상인 ARIA와 LEA를 선정하였고, 고신뢰 암호 모듈을 위해 Cryptol을 이용하여 올바르게 구현되었는지 검증하는 방법을 제시하고자 한다.

• 정보보호학회논문지
• /
• 제29권4호
• /
• pp.821-834
• /
• 2019

사이버 보안위협이 증가하면서 시스템 보안 수준이 보증된 고신뢰 시스템에 대한 수요가 증가하고 있다. 정보보호제품에 대한 평가 인증 국제 표준인 공통평가기준(CC: Common Criteria)은 고등급 보안 수준을 보증하기 위해 시스템에 대한 정형명세 및 검증을 요구하고 있으며 점차 이를 준수하는 사례가 증가하고 있다. 본 논문에서는 고등급 보안 수준을 보증하기 위해 다양한 분야에 적용 가능하며 고신뢰 수준을 요구하는 드론시스템에 대한 보안 위협을 도출한다. 그 결과를 기반으로 시스템 커널 내 스케줄링 측면에서 개선된 시스템 모델을 Z/EVES를 활용하여 정형명세 및 검증을 진행함으로써 고신뢰 드론시스템에 적용 가능한 스케줄링 방식을 제안한다.

• 정보보호학회논문지
• /
• 제14권2호
• /
• pp.57-68
• /
• 2004

본 논문에서는 UOWHF의 도메인을 확장하기 위한 새로운 병렬 처리 알고리즘을 제안한다. 제시되는 알고리즘은 non-complete l-ary tree 에 기반을 두고 있으며 현재까지 최적의 키 길이를 가진 유일한 알고리즘인 Shoup 의 알고리즘과 동일한 최적의 키 길이를 가진다. 또한 Sarkar의 결과를 이용하여 본 논문에서 제시되는 알고리즘이 Shoup의 알고리즘과 함께 Sarkar가 제시한 도메인 확장 알고리즘들의 커다란 집합 중에서 가장 최적화된 키 길이를 가짐을 증명한다. 그러나 제안 알고리즘의 병렬처리능력은 complete tree에 기반 한 구성 방법들 보다 약간 비효율적이다. 그러나 만약 l이 점점 커진다면 알고리즘의 병렬처리능력도 complete tree 에 기반 한 방법들에 가까워진다.

• 정보보호학회논문지
• /
• 제19권2호
• /
• pp.39-48
• /
• 2009

본 논문에서는 미 연방 표준 블록 암호 AES에 대한 기존의 9 라운드 연관키 렉탱글 공격을 10 라운드로 향상시킨다. 256개의 연관키를 사용하는 12 라운드 AES-192의 첫 10 라운드는 $2^{124}$의 데이터 복잡도와 $2^{183}$의 시간 복잡도로 공격되며, 64개의 연관키를 사용하는 AES-192의 첫 10 라운드는 $2^{122}$의 데이터 복잡도와 $2^{183.6}$의 시간 복잡도로 공격된다. 본 논문의 공격은 AES-192에 대한 기존 공격 중 최상의 공격이다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2007년도 추계학술발표대회
• /
• pp.1258-1261
• /
• 2007

온라인 피싱과 같은 경제적 목적의 정보 수집 행위들이 급격히 증가하고 있는 가운데, 위험 사이트 정보를 관리하는 블랙리스트 기반의 대응과 신뢰할 수 있는 사이트를 기반으로 하는 화이트 리스트 접근 방법이 활용되고 있다. 그러나 블랙리스트 기반 방법은 피싱 사이트의 유효시간을 볼 때 비현실적이며, 화이트 리스트 접근 방법은 인증된 사이트 내에 존재하는 악성 웹 페이지나 악성 사이트로 유도되는 피싱 메일에는 대응하기 어렵다. 이 논문에서는 화이트 리스트 접근 방법을 보완하기 위해 사용자 웹 페이지의 위험도를 정량화 할 수 있는 웹 페이지 위험도 산정 기법을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2007년도 추계학술발표대회
• /
• pp.1154-1157
• /
• 2007

최근 몇 년 동안 피싱, 파밍, 크라임웨어에 의한 피해 사례 발생이 증가되고 있다. 현재까지의 피싱 관련 솔루션이 대부분 블랙리스트 방식이고 아직까지 피싱 사이트 판단 기준이 없으며 사람들이 이에 대한 인식의 부족으로 인해 이러한 위협을 대처하는데 많은 한계를 가지고 있다. 이에 본 연구에서는 화이트 리스트 기반 웹사이트 보안수준 확인 시스템을 설계하고 이의 파일럿 시스템을 개발하였다. 각 사이트에 대해 피싱 관련 보안수준을 확인하여 신뢰할 수 있는 사이트들을 선별하고 보안수준 정보를 제공함으로써 안전한 인터넷 이용 기반을 제공할 수 있는 방안이 마련될 것으로 기대한다.

• 한국산림과학회지
• /
• 제88권2호
• /
• pp.255-265
• /
• 1999

본 연구는 토양의 경도(硬度) 등 물리적 역학적 특성이 차량의 주행성(走行性)에 미치는 영향을 파악하고자 시도되었다. 광릉 시험림 38임반 '거'소반에 있는 20m 길이의 임지(林地)에 4m 간격으로 5개의 측점을 설치하여 트랙터로 하여금 하중(荷重)없이 1회 공주행(空走行), 통나무(중량 780-790kg)를 견인한 상태로 1회 왕복, 5회 왕복, 10회 왕복 주행토록 하였다. 각 주행 형태별로 SHM-1형, Lang Penetrometer, Clegg Impact Soil Tester 등 3개의 토양 경도계를 이용하여 측점 당 5차례 토양경도(土壤硬度)를 측정하였으며, 지피식생(地被植生)의 훼손정도와 주행차량의 미끄러짐도 관찰하였다. 조사지의 토양은 SC(점토질 모래)와 건성(乾性) 갈색(褐色) 산림토양(山林土壤)으로 판명되었다. 지피식생(地被植生)의 경우 3-5회 왕복 주행 후에는 초본류(草本類)는 짓이겨지고, 관목류(灌木類)도 잎떨어지고 수피(樹皮)도 벗겨지다가 11회 왕복 후에는 식생(植生)은 거의 사라졌다. 주행 차량이 전복(顚覆)되거나 미끄러지는 경우는 없었지만, 바퀴자국은 토양의 단위밀도가 높고 함수량이 낮은 1-3구간의 경우 불과 1-2cm의 깊이로 파인 반면 단위밀도가 낮고 함수량이 높은 4-5구간은 5-7cm 깊이로 나타났다. 주행(走行) 형태별(形態別)로 각 측점에서 조사한 토양경도(土壤硬度) 변화(變化)는 주행 횟수가 증가할수록 점점 증가하는 것으로 나타났다. L-PNTM에 의한 경도 변화는 완만하고, SHM-1형에 의한 경도 변화는 가파르게 나타났다. 비중(比重)과 단위밀도(單位密度)가 높고, 함수량(含水量)이 낮으며, 액성한계(液性限界)와 소성지수(塑性指數)가 높은 구간에서는 토양경도(土壤硬度)가 높게 나타나서 집재차량의 주행성이 좋았다. 그렇지 않은 토질 역학적인 특성을 갖는 경도가 낮은 구간에서는 바퀴자국이 깊어 주행성이 좋지 않을 것으로 판단된다. CIST로 측정한 경우에는 4kg용 해머를 사용하는 것보다는 2.5kg이나 0.5kg용 해머를 이용하는 것이 바람직할 것으로 생각한다.

• 인터넷정보학회논문지
• /
• 제15권4호
• /
• pp.141-152
• /
• 2014

스마트폰의 확산과 위치정보를 활용한 다양한 서비스가 확대됨에 따라 전 세계적으로 위치기반서비스(LBS) 시장이 활성화 되고있다. 하지만, 개인 위치정보 침해사례에 대한 논란이 증가하고 있어 이에 따라 규제 정비에 대한 관심도 높아지고 있다. 위치정보 규제는 이용자의 개인정보와 프라이버시를 보호할 수 있으나, 다양한 서비스의 개발과 산업 활성화 측면에서 부정적인 영향을 끼칠 수 있다는 양면성이 있다. 특히 우리나라는 전 세계적으로 유일하게 위치정보 관련 독립적인 '위치정보보호법'을 제정하여 높은 위치 정보 규제를 적용하고 있어 LBS 산업이 활성화 되지 못하고 있다는 지적과 산업 활성화를 위한 규제 완화가 필요하다는 비판이 지속적으로 제기되고 있다. 국내외 LBS 시장 성장과 관련 규제를 비교 분석하여 LBS의 규제가 산업 활성화와 음(-)의 관계 즉, 규제가 강화 될수록 시장 진입 및 사업 활동에 제약이 있음을 확인하였으며, 또한 프라이버시와 직접적인 관련이 없는 규제를 완화함으로써 LBS 산업을 활성화 할 수 있음을 확인하였다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1159-1174
• /
• 2014

스마트폰, 태블릿 PC와 같은 스마트 기기들의 사용이 증가하면서 애플리케이션을 이용한 금융 업무 등 중요 업무를 해당 스마트 기기를 이용하여 처리하는 경우가 많아지고 있으며, 이러한 정보를 획득 할 수 있는 여러 공격들이 존재하고 있다. 그 중 사회공학기법인 어깨너머공격은 해킹 기술과 같은 특정 컴퓨터 기술 없이도 직접적으로 정보를 획득할 수 있어 강력한 공격 방법으로 꼽힐 수 있다. 그러나 지금까지의 어깨너머공격은 사용자 모르게 정보를 엿보는 행위라는 단순한 정의밖에 존재하지 않았다. 또한, 국제표준인 공통평가기준(CC)의 공통평가방법론(CEM)에서 제공하는 attack potential 방법론은 어깨너머공격에 대한 내성을 정량적으로 나타내지 못하는 한계를 가지고 있다. 이에 본 연구에서는 어깨너머공격에 필요한 공격조건들을 나열하고 공통평가기준에서 제공하는 공격 성공 가능성(attack potential)의 방법론을 차용하여 어깨너머공격까지 공격 성공 가능성을 계산할 수 있도록 이를 포함할 수 있는 공격성공 가능성을 제안한다. 더불어, 현재 스마트 기기들에 제공되고 있는 모바일뱅킹 애플리케이션의 보안 키패드인 쿼티키패드와 숫자 키패드의 안전성을 분석하고 공격 시나리오를 기반으로 하여 현재 제공되고 있는 모바일뱅킹 애플리케이션들의 어깨너머공격에 대한 공격 성공 가능성을 알아본다.

• 정보보호학회논문지
• /
• 제31권1호
• /
• pp.31-49
• /
• 2021

IoT 기기는 네트워크 통신이 가능한 임베디드 기기를 의미한다. IoT 기기는 금융, 개인, 산업, 공공, 군 등과 같이 우리 주변의 다양한 분야에서 많이 사용되고 있기 때문에 공격이 발생할 경우 개인정보 유출과 같은 다양한 피해가 발생할 수 있다. IoT에 대한 취약점 분석은 IoT 기기와 상호작용 하는 스마트폰의 애플리케이션, 웹 사이트와 같은 소프트웨어 인터페이스 분석뿐만 아니라, IoT 기기의 주요 구성요소인 펌웨어에 대해서도 필수적으로 수행되어야 한다. 하지만 문제는 펌웨어의 추출 및 분석이 생각보다 쉽지 않으며, 보안팀 내 분석하는 사람의 전문성에 따라 같은 대상을 분석하더라도 결과물의 수준이 다를 수 있어 일정한 수준의 품질 관리가 쉽지 않다는 것이다. 따라서 본 논문에서 우리는 IoT 기기의 펌웨어에 대한 취약점 분석 프로세스를 정립하고 단계별로 사용 가능한 도구를 제시함으로써, IoT 보안성 분석에 있어 로드맵을 제시하고 일정한 수준의 품질 관리가 가능하였다. 우리는 다양한 상용 제조사들이 생산한 IoT 기기의 펌웨어 획득부터 분석까지의 과정을 제안하였으며, 이를 다양한 제조사의 드론 분석에 직접 적용해 봄으로써 그 타당성을 입증하였다.