• 한국콘텐츠학회논문지
• /
• 제21권2호
• /
• pp.499-506
• /
• 2021

해커들의 사이버 공격기법은 전에 볼 수 없었던 형태의 공격으로 점점 더 정교해지고 다양화 되고 있다. 정보 보안 취약점 표준 코드(CVE)측면에서 살펴보면 2015년에서 2020년에 약 9 만 건의 신규 코드가 등록되었다[1]. 이는 보안 위협이 빠르게 증가하고 있음을 나타내고 있다. 신규 보안 취약점이 발생하면 이에 대한 대응 방안 마련을 통해 피해를 최소화해야 하지만, 기업의 경우 한정된 보안 IT예산으로 보안관리 수준과 대응체계를 감당하기에는 역 부족인 경우가 많다. 그 이유는 수동 분석을 통해 분석가가 취약점을 발견하고 보안장비를 통한 대응 방안 마련 및 보안 취약점 패치 까지 약 한 달의 시간이 소요되기 때문이다. 공공분야의 경우에는 국가사이버안전센터에서는 보안운영정책을 일괄적으로 배포하고 관리하고 있다. 하지만, 제조사의 특성에 따라 보안규칙을 수용하는 것이 쉽지 않으며, 구간 별 트래픽 검증작업까지 약 3주 이상의 시간이 소요된다. 그 외 비 정상적인 트래픽 유입이 발생하면 취약점 분석을 통한 침해행위 공격 검출 및 탐지와 같은 대응방안을 마련해야 하나, 전문적인 보안전문가 부재로 인하여 대응의 한계가 존재한다. 본 논문에서는 신규 보안 취약점 공격에 효과적인 대응 방안 마련을 위해 보안규칙정보 공유사이트 "snort.org"를 활용하는 방안을 제안하였다.

• Structural Engineering and Mechanics
• /
• 제41권4호
• /
• pp.527-538
• /
• 2012

In seismic analyses of structures, additional eccentricity is introduced to take account for oscillations of random and unknown origins. In many codes of practice, the torsion about the vertical axis is considered through empirical accidental eccentricity formulation. Due to the random nature of structural systems, it is very difficult to evaluate the accidental eccentricity in a deterministic way and to specify its effect on the overall seismic response of structures. The aim of this study is to develop a procedure for the evaluation of the accidental eccentricity induced by uncertainties in stiffness and mass of structural members, using the neural network techniques coupled with Monte Carlo simulations. This method gives very interesting results for single story structures. For real structures, this method can be used as a tool to determine the accidental eccentricity in the seismic vulnerability studies of buildings.

• 연구윤리
• /
• 제4권1호
• /
• pp.15-21
• /
• 2023

Purpose: Psychological and clinical studies targeting children and adolescents have become increasingly important in recent years as researchers strive to understand better the psychological and physiological development of children and teens. The purpose of the study is to explore significant research ethics on the psychological and clinical study targeting children and adolescents. In addition to these ethical considerations, international and national codes of ethics and regulatory bodies guide ethical research practices with children and adolescents. Research design, data, and methodology: The present study used the qualitative textual collection through investigating the past and current literature review. Numerous prior studies have conducted this research design to obtain the right prior studies. Results: Previous Research has indicated there are four research ethics on the psychological and clinical study targeting children and adolescents. (1) Respect for autonomy, (2) Respect for privacy and confidentiality, (3) Respect for vulnerability, (4). Respect for beneficence. Conclusions: In conclusion, research ethics are essential for protecting children and adolescents when conducting psychological and clinical studies. In the future, research should focus on developing innovative methods to ensure the safety of children and adolescents while still allowing them to participate in research.

• 한국항해항만학회지
• /
• 제41권3호
• /
• pp.165-172
• /
• 2017

현행 해양유출사고 시나리오는 예상가능한 최대 유출사고를 근거로 하여 시나리오가 작성되었다. 하지만, 최대유출사고 시나리오와 유사한 규모의 사고는 실제 거의 일어나지 않았는데, 이러한 시나리오를 바탕으로 한 훈련이나 대응장비배치 등은 대비 측면에서 본다면 낮은 비용효율을 가지는 것으로 볼 수 있다. 현행의 시나리오는 활용성과 현장도가 높은 시나리오 구현을 통한 실전에 가까운 형태로 구성될 필요가 있고, 활용 목적에 적합하도록 설계될 필요가 있다. 따라서, 본 연구에서는 과거 사고사례를 바탕으로 한 시나리오 작성을 위해 기 개발된 HNS 사고 표준코드를 활용하여 현행 시나리오를 대체할 수 있는 대체 사고 시나리오(Alternative Accident Scenario)를 구성하고자 하였다. 시나리오는 HNS 사고 표준코드를 모듈화하여 최대 빈도 시나리오, 최대 피해 시나리오, 최대 취약성 시나리오 3가지로 구분하여 작성하였다. 이런 과정을 거쳐 제시된 각 시나리오별로 제시된 사고발생 상황은 실제 사고와 유사한 형태를 나타내므로 현장에서의 합목적적인 활용이 가능할 것으로 판단된다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권11호
• /
• pp.5642-5670
• /
• 2017

Antivirus is an important issue to the security of virtual machine (VM). According to where the antivirus system resides, the existing approaches can be categorized into three classes: internal approach, external approach and hybrid approach. However, for the internal approach, it is susceptible to attacks and may cause antivirus storm and rollback vulnerability problems. On the other hand, for the external approach, the antivirus systems built upon virtual machine introspection (VMI) technology cannot find and prohibit viruses promptly. Although the hybrid approach performs virus scanning out of the virtual machine, it is still vulnerable to attacks since it completely depends on the agent and hooks to deliver events in the guest operating system. To solve the aforementioned problems, based on in-memory signature scanning, we propose an agentless runtime antivirus system VirtAV, which scans each piece of binary codes to execute in guest VMs on the VMM side to detect and prevent viruses. As an external approach, VirtAV does not rely on any hooks or agents in the guest OS, and exposes no attack surface to the outside world, so it guarantees the security of itself to the greatest extent. In addition, it solves the antivirus storm problem and the rollback vulnerability problem in virtualization environment. We implemented a prototype based on Qemu/KVM hypervisor and ClamAV antivirus engine. Experimental results demonstrate that VirtAV is able to detect both user-level and kernel-level virus programs inside Windows and Linux guest, no matter whether they are packed or not. From the performance aspect, the overhead of VirtAV on guest performance is acceptable. Especially, VirtAV has little impact on the performance of common desktop applications, such as video playing, web browsing and Microsoft Office series.

• 한국콘텐츠학회논문지
• /
• 제10권1호
• /
• pp.46-58
• /
• 2010

SIP 프로토콜 기반 VoIP 서비스는 편리함과 저렴한 통신비용으로 사용자 수가 급증하고 있다. 하지만 SIP 프로토콜은 텍스트 형태의 SIP 헤더 정보를 UDP 방식으로 전송하기 때문에 손쉽게 위변조 할 수 있으며, 송신자에 대한 인증 기능을 제공하고 있지 않기 때문에 악의적 공격자에 의해 SIP 패킷 폭주 공격등에 매우 취약하다. 따라서 본 논문에서는 이러한 SIP 취약성을 해결하기 위해 SIP 상태코드를 모니터링 하여 SIP 폭주 공격을 탐지하고 SIP 패킷에 대해 인증 및 보안 기능이 강화된 프로토콜을 제시하였다. SIP 공격탐지 시스템을 구축하여 SIP 세션을 능동적으로 관리하였으며 보안 기능을 강화하기 위해 사용자 인증을 적용하여 SIP 프로토콜의 취약점을 해결할 수 있었다. 본 논문에서 제시한 기법은 기존 SIP 프로토콜에서의 보안 취약성을 해결하고 최소한의 트래픽 전송 지연만으로도 안전하게 패킷을 송수신할 수 있도록 하였으며 SIP 프록시 서버에서의 서비스 지연, 서버의 과부하 등의 문제를 최소화할 수 있도록 설계되었다.

• 정보보호학회논문지
• /
• 제15권6호
• /
• pp.3-12
• /
• 2005

최근 웹사이트들은 HTML과 스크립트 언어의 한계를 뛰어넘어 사용자에게 다양한 서비스를 제공하기 위해 많은 ActiveX Control 들을 배포하고 있다. 하지만, ActiveX Control은 웹 페이지나 이메일을 통해 실행될 수 있기 때문에 안전하지 못한 ActiveX Control은 개인 PC 보안에 치명적인 약점이 될 수 있다. 그럼에도 불구하고 대부분의 ActiveX Control들은 안전성에 대한 검증 없이 사용자들에게 배포되고 있어 많은 개인 PC들이 외부의 침입에 노출되고 있다. ActiveX Control 취약점을 줄이기 위해서는 제 3자에 의한 취약점 검사와 검증이 필요하다. 본 고에서는 점검대상 식별부터 Reverse Engineering까지 ActiveX Control 의 취약점 검사를 수행하기 위한 절차와 관련 기술들에 대해 기술한다. 또한 ActiveX Control 경우 일반 응용프로그램과 다를 뿐만 아니라 국내 환경과 국외환경의 차이로 인해 기존의 취약점 검증 기법들을 그대로 적용할 수 없다. 본 고에서는 ActiveX Control 취약점 검증을 위해 필요한 요소기술들에 대해 기술한다.

• 한국정보과학회논문지:시스템및이론
• /
• 제37권4호
• /
• pp.226-238
• /
• 2010

OpenSSL은 보안 통신 프로토콜인 SSL을 구현한 공개 소스 기반의 라이브러리이다. 하지만, 이 라이브러리는 리눅스 혹은 유닉스 운영체제에서 공유 라이브러리 형식으로 사용될 때 보안 정보를 쉽게 노출할 수 있다는 취약점이 있다. 본 논문은 이런 취약점을 공격하는 기법을 제안한다. 이 기법은 실행중인 클라이언트 프로그램에 공격 코드를 주입하여 SSL 핸드셰이크 단계에서 보안 취약점을 다음과 같이 공격한다. 첫째, 클라이언트가 서버에게 지원 가능한 암호 알고리즘의 목록을 전송할 때 그 목록의 모든 알고리즘을 임의로 지정한 알고리즘으로 교체한다. 이 교체는 암호 알고리즘의 목록을 수신한 서버로 하여금 지정한 암호 알고리즘을 선택하도록 한다. 둘째, 암복호화에 사용되는 암호 키를 생성 과정에서 가로채고, 그 암호 키를 외부 공격자에게 전송한다. 그 후 외부 공격자는 지정한 암호 알고리즘과 가로챈 암호키를 사용하여 송수신된 암호 데이터를 복호화한다. 제안하는 기법의 실현성을 보이기 위해 본 논문은 리눅스에서 OpenSSL 공유 라이브러리를 사용하는 ftp 클라이언트가 서버로 전송하는 암호화된 로그인(login) 정보를 가로채 복호화하는 실험을 수행하였다.

• Computers and Concrete
• /
• 제19권3호
• /
• pp.283-291
• /
• 2017

A large number of residential buildings in regions subjected to severe earthquakes do not have enough load carrying capacity. The most of them have been constructed without receiving any structural engineering attention. It is practically almost impossible to perform detailed experimental evaluation and analytical analysis for each building to determine their seismic vulnerability, because of time and cost constraints. This fact points to a need for a simple evaluation method that focuses on selection of buildings which do not have the life safety performance level by adopting the main requirements given in the seismic codes. This paper deals with seismic assessment of existing reinforced concrete residential buildings and contains an alternative simplified procedure for seismic evaluation of buildings. Accuracy of the proposed procedure is examined by taking into account existing 250 buildings. When the results of the proposed procedure are compared with those of the detailed analyses, it can be seen that the results are quite compatible. It is seen that the accuracy of the proposed procedure is about 80% according to the detailed analysis results of existing buildings. This accuracy percentage indicates that the proposed procedure in this paper can be easily applied to existing buildings to predict their seismic performance level as a first approach before implementing the detailed and complex analyses.

• Earthquakes and Structures
• /
• 제4권3호
• /
• pp.241-264
• /
• 2013

Since the beginning of the twentieth century, the progressive and rapid spread of reinforced concrete (RC) has led to the adoption of mixed masonry-RC solutions, such as the confined masonry. However, together with structures conceived with a definite role for earthquake behaviour, the spreading of RC technology has caused the birth of mixed solutions inspired more by functional aspects than by structural ones, such as: internal masonry walls replaced by RC frames, RC walls inserted to build staircases or raising made from RC frames. Usually, since these interventions rise from a spontaneous build-up, any capacity design or ductility concepts are neglected being designed only to bear vertical loads: thus, the vulnerability assessment of this class becomes crucial. To investigate the non-linear seismic response of these structures, suitable models and effective numerical tools are needed. Among the various modelling approaches proposed in the literature and codes, the authors focus their attention on the equivalent frame model. After a brief description of the adopted model and its numerical validation, the authors aim to point out some specific peculiarities of the seismic response of mixed masonry-RC structures and their repercussions on safety verification procedures (referring in particular way to the non-linear static ones). In particular, the results of non-linear static analyses performed parametrically to various configurations representative of different interventions are discussed.