• 융합보안논문지
• /
• 제12권1호
• /
• pp.17-25
• /
• 2012

SQL Injection 기법은 공개된지 수년이 지났지만 웹해킹 공격중 가장 위험한 공격으로 분류되어 있다. 웹 프로그래밍은 자료의 효율적인 저장 및 검색을 위해 DBMS를 필수적으로 사용하고 있다. 주로 PHP,JSP,ASP 등의 스크립트 언어를 이용하여 DBMS와 연동한다. 이러한 웹 어플리케이션에서 클라이언트의 잘못된 입력값을 검증하지 않으므로 비정상적인 SQL 쿼리가 발생할 수 있다. 이러한 비정상적 쿼리는 사용자 인증을 우회하거나 데이터베이스에 저장된 데이터를 노출시킬 수 있다. 공격자는 SQL Injection 취약점을 이용하여 아이디와 암호를 몰라도 웹기반 인증을 통과할 수 있고 데이터베이스에 저장된 데이터를 열람해 볼 수 있다. SQL Injection에 대한 대책으로 다수의 방법이 발표되었다. 그러나 어느 한 가지 방법에 의존할 경우 많은 보안 공백이 발생할 수 있다. 단계적 대응모델은 사고 예방적 측면에서 소스코드 작성 단계, 서버 운용단계, 데이터베이스 핸드링 단계, 사용자 입력값 검증 활용 단계 등 대책을 프레임워크로 구성하여 적용하는 방법이다. 이 대응모델 을 적용할 경우 운용과정을 통해 존재하는 SQL Injection의 공격가능성을 보다 효과적으로 차단이 가능하다.

• 정보보호학회논문지
• /
• 제26권4호
• /
• pp.903-910
• /
• 2016

터치스크린 기반 스마트 기기가 널리 보급 되면서 모바일 환경을 위한 주요 인증 메커니즘으로 그래픽 패스워드 기법 중 하나인 패턴 락 시스템이 등장했다. 사용자가 잠금 해제를 위하여 패턴 락을 사용한 후의 남아있는 패턴 모양의 흔적은 스머지 공격에 취약하다. 이러한 스머지 공격에 대응하기 위하여 TinyLock을 포함한 다양한 패턴 락이 제안되었다. 본 논문에서는 스머지 공격이 발생할 수 있는 환경에서 획득한 스머지 패턴 이미지를 이용하여 기계 학습을 통한 자동화된 스머지 공격의 유효성에 대하여 실험하고 안드로이드 패턴 락과 TinyLock의 안전성에 대하여 비교 분석하였다. 자동화된 스머지 공격에서 높은 공격 성공률을 보였으며 기존에 많이 사용되고 있는 안드로이드 패턴 락이 TinyLock보다 더 안전하지 않음을 검증하였다.

• 한국융합학회논문지
• /
• 제5권4호
• /
• pp.101-106
• /
• 2014

비디오 콘텐츠는 사람의 시각과 청각을 이용함으로 다른 종류의 콘텐츠 보다 이해하기 쉽기 때문에 많은 사람들이 선호한다. 더불어 스마트폰의 보급으로 인터넷을 이용한 비디오 콘텐츠 서비스에 대한 수요가 급증하고 있다. 콘텐츠 거래 활성화를 위해서는 유료 가입자에 대한 인증과 유료 채널로 전송되는 데이터의 보호가 중요하다. 가입자 채널 보호를 위해서는 일반적으로 대칭키 암호 기술이 사용되는데, 안전성을 높이기 위해서 키 값을 주기적으로 변경해야 한다. 또한 다른 사용자에 의한 콘텐츠 불법 이용을 방지하려면 대리 인증이 불가해야 한다. 본 논문에서는 가입자의 바이오메트릭 데이터를 이용한 본인 인증 및 일회용 암호키를 생성하는 모델을 제안한다. 제안한 모델은 바이오메트릭 데이터 등록, 일회용 키 생성, 채널 암호화 및 복호화 단계로 구성된다. 기존의 케이블 TV 콘텐츠 인증 기술인 CAS (Conditional Access System)와의 차이점을 분석하고 인터넷 상거래에서의 응용 분야를 제시한다.

• 전자공학회논문지CI
• /
• 제45권3호
• /
• pp.22-30
• /
• 2008

최근 들어 개인 정보 보호의 중요성에 대한 인식이 매우 높아지고 있다. 많은 국가에서 개인정보 보호에 관련한 법규를 새로이 제정하고 있으며 이제 개인 신상에 관련된 데이터를 보호하는 것은 단순한 기업 이미지 관리 차원이 아닌 법적인 의무가 되었다. 대부분의 기업의 세일즈 데이터베이스에는 예외 없이 고객의 이름, 주소, 신용카드번호와 같은 정보가 저장되어 있다. 개인 정보는 개인 신상에 관한 민감한 정보이고, 또한 기업의 전략적인 자산이며, 따라서 기업은 개인 정보를 사전 예방차원에서 안정적으로, 그리고 포괄적으로 보호하기 위한 모든 노력을 다해야 한다. 그러나 만일 데이터베이스 관리자의 패스워드 보안이 뚫린다면 속수무책일 수밖에 없다. 이를 위해서 데이터베이스 암호화는 반드시 필요하다. 그러나 암호화의 결과 데이터베이스의 성능에 문제가 될 수 있고 또한, 암호화로 인하여 기존의 SQL 언어에서의 영역(range) 질의에 제한이 있다. 따라서 이와 같은 문제를 해결하여 암호화된 데이터를 효과적으로 질의하기 위한 방법을 본 논문에서 제안하였다.

• Radiation Oncology Journal
• /
• 제33권2호
• /
• pp.142-148
• /
• 2015

Purpose: To develop new on-line statistical program for the Korean Society for Radiation Oncology (KOSRO) to collect and extract medical data in radiation oncology more efficiently. Materials and Methods: The statistical program is a web-based program. The directory was placed in a sub-folder of the homepage of KOSRO and its web address is http://www.kosro.or.kr/asda. The operating systems server is Linux and the webserver is the Apache HTTP server. For database (DB) server, MySQL is adopted and dedicated scripting language is the PHP. Each ID and password are controlled independently and all screen pages for data input or analysis are made to be friendly to users. Scroll-down menu is actively used for the convenience of user and the consistence of data analysis. Results: Year of data is one of top categories and main topics include human resource, equipment, clinical statistics, specialized treatment and research achievement. Each topic or category has several subcategorized topics. Real-time on-line report of analysis is produced immediately after entering each data and the administrator is able to monitor status of data input of each hospital. Backup of data as spread sheets can be accessed by the administrator and be used for academic works by any members of the KOSRO. Conclusion: The new on-line statistical program was developed to collect data from nationwide departments of radiation oncology. Intuitive screen and consistent input structure are expected to promote entering data of member hospitals and annual statistics should be a cornerstone of advance in radiation oncology.

• 한국정보기술응용학회:학술대회논문집
• /
• 한국정보기술응용학회 2005년도 6th 2005 International Conference on Computers, Communications and System
• /
• pp.281-284
• /
• 2005

Kerberos is system that offer authorization in internet and authentication service. Can speak that put each server between client and user in distributed environment and is security system of symmetry height encryption base that offer authentication base mutually. Kerberos authentication is based entirely on the knowledge of passwords that are stored on the Kerberos Server. A user proves her identity to the Kerberos Server by demonstrating Knowledge of the key. The fact that the Kerberos Server has access to the user's decrypted password is a rwsult of the fact that Kerberos does not use public key cryptogrphy. It is a serious disadvantage of the Kerbercs System. The Server must be physically secure to prevent an attacker from stealing the Kerberos Server and learning all of the user passwords. Kerberos was designend so that the server can be stateless. The Kerberos Server simply answers requests from users and issues tickets. This study focused on designing a SIP procy for interworking with AAA server with respect to user authentication and Kerberos System. Kerberos is security system of encryption base that offer certification function mutually between client application element and server application element in distributed network environment. Kerberos provides service necessary to control whether is going to approve also so that certain client may access to certain server. This paper does Credit-Control Server's function in AAA system of Diameter base so that can include Accounting information that is connected to Rating inside certification information message in Rating process with Kerberos system.

• 정보보호학회논문지
• /
• 제25권4호
• /
• pp.781-792
• /
• 2015

본 논문에서는 정보유출을 막기 위하여 보안저장장치를 구비한 가상의 인비저블한 디스크(VIPDISK)기술을 제안한다. 제안 기술은 소프트웨어 기반의 보안 기술로서, 임의의 데이터 저장장치의 운영체제에서는 전혀 확인 할 수 없는 숨은 보안 영역을 설정하여 해당 영역에서 OS를 포함한 어떤 프로그램을 실행하더라도 보안영역의 존재여부를 전혀 알 수 없게 한다. 특히 비활성화상태에서는 타인에게 절대 노출되지 않는 보안 영역을 설정하여 고유의 디지털 키와 복호화 툴을 여는 사용자 암호에 의해서만 활성화되어 사용 가능하게 된다. 그리고 숨은 보안영역에 저장되는 모든 데이터는 실시간으로 암호화하여 저장되므로 만약 VIPDISK가 분실하거나 도난당해도 보안 영역에 저장된 데이터가 절대 유출되지 않도록 보호해준다. 실험을 통하여 VIPDISK는 기존 기법들에 비해 높은 보안성을 제공하는 것을 알 수 있었다.

• 한국정보통신학회논문지
• /
• 제21권7호
• /
• pp.1393-1400
• /
• 2017

스마트폰 이용자가 증가함에 따라서 개인정보 보호에 대한 취약점이 증가하고 있다. 개인의 정보를 인터넷에 연결된 여러 서버에 저장하고 동일한 아이디와 비밀번호를 이용하여 인증하는 경우가 많기 때문이다. 전통적인 인증방식을 해결하기 위해 OTP, FIDO, PIN 코드 등의 인증 방식이 도입되었지만 타 사용자와의 공유가 필요한 인증에는 사용이 제한적이다. 본 논문에서는 병원, 기업과 같이 공용으로 정보를 관리하는 곳에서 필요로 하는 인증방식을 제안하였다. 제안한 알고리즘은 스마트폰 IMEI, QR 코드, BLE, 푸쉬 메시지를 이용하여 같은 장소에 있는 사용자끼리 실시간으로 인증을 진행할 수 있는 알고리즘이다. 스마트폰을 이용하여 상호 협력을 통하여 사용자 인증을 진행할 수 있고, 실시간 인증 취소가 가능한 인증 알고리즘을 제안하고 상호 협력 인증 시스템을 설계 및 구현하였다.

• 정보처리학회논문지C
• /
• 제14C권2호
• /
• pp.129-138
• /
• 2007

AAA(Authentication, Authorixation, Accounting) 프로토콜은 유선망뿐만 아니라 무선망과 다양한 서비스 및 프로토콜 상에서 안전하고 신뢰성 있는 사용자 인증, 인가, 과금 기능을 체계적으로 제공하는 정보보호 기술이다. 현재 IETF(Internet Engineering Task Force) AAA 워킹그룹에서도 AAA 프로토콜에 관하여 중요하게 다루고 있으며, 활발히 연구 중 이다. 최근 사용자의 익명성과 프라이버시 침해 측면에서 많은 문제점을 드러내고 있어 본 연구에서는 모바일 디바이스가 홈 인증 서버로부터 인증을 받고 난 후에 외부 네트워크로 이동하더라도 홈 인증서버로부터 발급받은 티켓을 이용하여 홈 인증 서버로 접근 하지 않고 외부 네트워크에서의 인증을 제공하여 서비스를 받을 수 있게 한다. 또한 서비스를 이용하는데 있어 사용자의 프라이버시 및 익명성을 제공할 수 있는 방안에 초점을 맞춘다. 본 방식은 인증, 인가, 과금 중 인증과 인가에 초점을 두고 시간 동기화 OTP를 사용함으로써 제 3자의 공격에 안전하며, 안전하고 효율적인 인증방식을 제공한다. 또한 티켓을 사용함으로써 정당한 사용자만이 서비스를 제공받을 수 있고 교환되는 메시지 및 지연을 줄이며 지속적인 서비스를 제공받을 수 있어 안전성과 효율성을 높일 수 있다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2018년도 춘계학술대회
• /
• pp.114-115
• /
• 2018

최근 사회적 화두가 된 비트코인은 블록체인 기술을 활용한 수평적 및 분권적 디지털 가상화폐라 불리기도 하며 암호화폐의 일종이다. 블록체인은 피어-투-피어(P2P) 네트워크상에서 공유되는 분산원장이라고 할 수 있는 블록체인은 비트코인에서 먼저 사용되었다. 이러한 기술은 다른 분야에서도 다양하게 응용 가능한 기술이라고 하여 높은 사회적 관심을 받고 있다. 최근 비트코인 등 가상화폐 시장 동향을 살펴보면 작년 일본정부가 가상화폐를 결제의 수단으로 인정한 이후 가격 변동성 높아졌다. 따라서 혁신적 기술을 바탕으로 한 비트코인의 핵심기술인 블록체인 기술을 조망을 통해 이론적 실무적 함의를 제시하고자 한다.