• 정보과학회 논문지
• /
• 제44권10호
• /
• pp.1019-1025
• /
• 2017

바이너리 유사도 분석은 취약점 분석, 악성코드 분석, 표절 탐지 등에서 사용되고 있는데, 분석대상 함수가 알려진 안전한 함수와 동일하다는 것을 증명해주면 바이너리 코드의 악성행위 분석, 취약점 분석 등의 효율성을 높이는 데에 도움이 될 수 있다. 하지만 기존에는 동일 함수의 서로 다른 버전에 대한 유사도 분석에 대해서 별도로 이루어진 연구가 거의 없었다. 본 논문에서는 바이너리로부터 추출 가능한 함수 정보들을 바탕으로 다양한 방법을 통해 함수 단위의 유사도를 분석하고 적은 시간으로 효율적으로 분석할 수 있는 방안을 모색한다. 특히 OpenSSL 라이브러리의 서로 다른 버전을 대상으로 분석을 수행하여 버전이 다른 경우에도 유사한 함수를 탐지하는 것을 확인한다.

• Earthquakes and Structures
• /
• 제2권3호
• /
• pp.207-232
• /
• 2011

The development of reliable earthquake mitigation plans and seismic risk management procedures can only be based on the establishment of comprehensive earthquake hazard and loss scenarios. Two cities, Grevena (Greece) and D$\ddot{u}$zce (Turkey), were used as case studies in order to apply a comprehensive methodology for the vulnerability and loss assessment of lifelines. The methodology has the following distinctive phases: detailed inventory, identification of the typology of each component and system, evaluation of the probabilistic seismic hazard, geotechnical zonation, ground response analysis and estimation of the spatial distribution of seismic motion for different seismic scenarios, vulnerability analysis of the exposed elements at risk. Estimating adequate earthquake scenarios for different mean return periods, and selecting appropriate vulnerability functions, expected damages of the water and waste water systems in D$\ddot{u}$zce and of the roadway network and waste water system of Grevena are estimated and discussed; comparisons with observed earthquake damages are also made in the case of D$\ddot{u}$zce, proving the reliability and the efficiency of the proposed methodology. The results of the present study constitute a sound basis for the development of efficient loss scenarios for lifelines and infrastructure facilities in seismic prone areas. The first part of this paper, concerning the estimation of the seismic ground motions, has been utilized in the companion paper by Kappos et al. (2010) in the same journal.

• 정보보호학회논문지
• /
• 제15권6호
• /
• pp.3-12
• /
• 2005

최근 웹사이트들은 HTML과 스크립트 언어의 한계를 뛰어넘어 사용자에게 다양한 서비스를 제공하기 위해 많은 ActiveX Control 들을 배포하고 있다. 하지만, ActiveX Control은 웹 페이지나 이메일을 통해 실행될 수 있기 때문에 안전하지 못한 ActiveX Control은 개인 PC 보안에 치명적인 약점이 될 수 있다. 그럼에도 불구하고 대부분의 ActiveX Control들은 안전성에 대한 검증 없이 사용자들에게 배포되고 있어 많은 개인 PC들이 외부의 침입에 노출되고 있다. ActiveX Control 취약점을 줄이기 위해서는 제 3자에 의한 취약점 검사와 검증이 필요하다. 본 고에서는 점검대상 식별부터 Reverse Engineering까지 ActiveX Control 의 취약점 검사를 수행하기 위한 절차와 관련 기술들에 대해 기술한다. 또한 ActiveX Control 경우 일반 응용프로그램과 다를 뿐만 아니라 국내 환경과 국외환경의 차이로 인해 기존의 취약점 검증 기법들을 그대로 적용할 수 없다. 본 고에서는 ActiveX Control 취약점 검증을 위해 필요한 요소기술들에 대해 기술한다.

• 정보처리학회논문지C
• /
• 제18C권5호
• /
• pp.331-338
• /
• 2011

RFID 시스템은 리더와 태그간의 무선 통신 구간이 존재한다. 이 부분은 항상 보안 취약성으로 공격자의 목표가 되며 기밀누설, 프라이버시침해등 보안적인 문제가 발생한다. 이와 관련하여 기존에 여러 가지의 프로토콜이 제안된 바 있으나 구현이 까다로워 대부분 이론적 정리증명의 수준에서 머물러 보안 프로토콜의 안정성이 정확히 증명되지 못했다. 따라서 본 논문에서는 특히 기존에 제안된 Kenji et al. 의 프로토콜이 보안 속성을 만족하는지 검사하고 ID 및 메시지의 노출 등 취약성을 확인하였다. 이 문제의 해결책으로 공개키 및 난수를 줄여 개선한 RFID 보안 프로토콜을 제안한다. 주요 특징으로는 불필요한 계산을 없애고 보안상으로 취약성이 없도록 구성했다. 안전한 프로토콜을 개발 및 검증하기 위해 Casper 및 FDR(Failure Divergence Refinements) 도구를 이용하여 확인하고 제안한 프로토콜이 보안상으로 안전함을 확인했다. 아울러 본 연구의 학술적 기여는 다음과 같이 요약된다. 첫째 정리증명에서 벗어나 모델 체킹으로 보안성을 검증하였다. 둘째 FDR 검증으로 프로토콜의 개발을 좀 더 효과적으로 할 수 있는 방법을 제시하였다.

• 디지털융복합연구
• /
• 제11권4호
• /
• pp.221-227
• /
• 2013

RFID는 IC 칩과 무선통신을 통해 다양한 개체의 정보를 관리할 수 있는 인식기술이다. 생산에서 판매에까지의 과정을 초소형 IC 칩에 내장하여 이를 무선으로 추적하는 기술로써 전자태그, 스마트태그 또는 전자라벨 등으로 불러지고 있다. 현재 의료, 국방, 물류, 보안 등에 응용하여 사용하기위해 적용 및 개발이 진행되고 있으나 구조상 태그의 정보를 읽어 들이는 리더와 정보를 제공하는 태그, 데이터를 관리하는 데이터베이스로 구성되는데 리더와 태그 구간이 무선구간으로 보안에 취약한 문제가있다. 따라서 취약한 부분을 해결하고자 보안프로토콜의 연구가 활발히 진행되고 있으나 구현부분이 어려워 정리증명 단계의 제안이 대부분이다. 이는 추후 다른 연구자에 의해 취약성이 발견되는 부분이 많아 실제시스템에 적용시 많은 어려움이 존재한다. 본 논문에서는 제안한 보안프로토콜을 CasperFDR 정형검증 도구를 사용하여 제안한 프로토콜의 보안성을 실험 검증하였으며 각종공격에 안전한 방식임이 확인되었다. 향후 실제 태그에 적용할시 보안성에 대한 안전보장 및 새로운 공격에 대한 안전성을 충족하였다.

• 디지털융복합연구
• /
• 제10권10호
• /
• pp.325-332
• /
• 2012

RFID 시스템은 무선 구간의 통신 취약성으로 공격자의 공격 목표가 되며 도청, 정보노출, 트래픽분석, 스푸핑 등 보안상 다양한 문제점을 가지고 있다. 따라서 많은 연구자에 의해 여러 가지 방식의 프로토콜이 제안되고 있으나 구현부분이 까다로워 정리증명이나 검증의 수준에서 제안되고 있는 실정이다. 따라서 본 논문에서는 공개키, 세션키, 해시, XOR 및 난수 개념을 사용하여 각각 태그와 리더구간, 리더와 서버 구간에 안전한 RFID 보안 프로토콜을 제안한다. 보안상 가장 취약한 리더와 태그 구간에 타임스탬프와 해시를 적용하여 시간차가 있는 공격신호에 대하여 공격을 탐지하며, 마지막 세션에서도 태그 정보를 노출시키지 않기 위해 해시 연산 후 통신하고 있다. 끝으로 본 논문의 학문적 기여도는 실제 시스템에서 사용가능한 프로토콜을 설계하고 차별화된 Casper 정형검증기법을 도입하여 제안프로토콜의 보안성을 검증하는데 있다.

• 한국인터넷방송통신학회논문지
• /
• 제19권5호
• /
• pp.9-17
• /
• 2019

IoT 환경이 보편화됨에 따라 사람의 직접적인 개입 없이 물체와 물체 사이의 통신 환경을 구축하는 M2M 환경의 안전성이 중요시 되고 있다. 무선 통신 환경의 특성상 데이터 노출, 위조, 변조, 삭제 및 개인 정보 보호와 같은 다양한 측면에서 보안 위협에 노출 될 가능성이 존재하고, 안전한 통신 보안 기술이 중요한 요구 사항으로 다뤄진다. 본 논문에서는 해시충돌을 이용하여 기존 'M2M 통신 환경에서 트랩도어 충돌 해쉬을 이용한 그룹키 생성 및 교환 기법' 연구의 한계점을 확인하고, 스니핑 공격에 안전한 그룹간에 키를 생성하고 이를 세션 키와 교환하는 기법과 그룹 키 생성 후에 장치와 게이트웨이의 인증을 확인하는 메커니즘을 제안한다. 제안 된 방법은 충돌 메시지 및 충돌 해시의 특이성을 이용하여 그룹 통신 섹션의 위장 공격, 중간자 공격, 재전송 공격과 같은 공격 저항을 가지며, 해시충돌의 취약점에 대해 안전성을 증명하는 기법이다.