• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제3권9호
• /
• pp.349-354
• /
• 2014

빅데이터 처리 플랫폼인 하둡의 등장 이후 SQL을 이용하여 하둡상에서 데이터 분석을 할 수 있는 SQL-on-Hadoop 기술이 주목받고 있다. 그 중에서도 국내 개발자가 주축이 되어 개발하고 올해 4월 아파치 최상위 프로젝트로 선정된 타조(Tajo)가 많은 주목을 받고 있다. SQL-on-Hadoop 기술의 등장으로 DW시장의 변화가 포착되고 있지만 그 성능에 관한 연구는 미미한 실정이다. 그래서 본 연구에서는 타조를 이용하여 관계형 데이터베이스와의 데이터 분석성능 비교에 관한 실험을 진행하여 SQL-on-Hadoop 기반 DW 선택에 도움이 될 연구를 수행하였다. 하둡 기반기술인 타조를 올바른 사용전략을 세워 활용한다면 관계형 데이터베이스보다 우수한 성능을 보인다는 결과를 얻었으며 오픈 소스인 타조는 많은 개발자들의 참여로 인해 점차 기술의 완성도가 높아져 DW 및 데이터 분석분야에서 중요한 축을 담당할 수 있을 것으로 예상한다.

• 융합보안논문지
• /
• 제12권1호
• /
• pp.17-25
• /
• 2012

SQL Injection 기법은 공개된지 수년이 지났지만 웹해킹 공격중 가장 위험한 공격으로 분류되어 있다. 웹 프로그래밍은 자료의 효율적인 저장 및 검색을 위해 DBMS를 필수적으로 사용하고 있다. 주로 PHP,JSP,ASP 등의 스크립트 언어를 이용하여 DBMS와 연동한다. 이러한 웹 어플리케이션에서 클라이언트의 잘못된 입력값을 검증하지 않으므로 비정상적인 SQL 쿼리가 발생할 수 있다. 이러한 비정상적 쿼리는 사용자 인증을 우회하거나 데이터베이스에 저장된 데이터를 노출시킬 수 있다. 공격자는 SQL Injection 취약점을 이용하여 아이디와 암호를 몰라도 웹기반 인증을 통과할 수 있고 데이터베이스에 저장된 데이터를 열람해 볼 수 있다. SQL Injection에 대한 대책으로 다수의 방법이 발표되었다. 그러나 어느 한 가지 방법에 의존할 경우 많은 보안 공백이 발생할 수 있다. 단계적 대응모델은 사고 예방적 측면에서 소스코드 작성 단계, 서버 운용단계, 데이터베이스 핸드링 단계, 사용자 입력값 검증 활용 단계 등 대책을 프레임워크로 구성하여 적용하는 방법이다. 이 대응모델 을 적용할 경우 운용과정을 통해 존재하는 SQL Injection의 공격가능성을 보다 효과적으로 차단이 가능하다.

• 한국융합학회논문지
• /
• 제10권10호
• /
• pp.21-26
• /
• 2019

현재 사회는 정보화 사회로 데이터를 활용하는 것이 필수불가결하다. 따라서 데이터베이스를 활용하여 방대한 양의 데이터를 관리하고 있다. 실생활에서 데이터베이스에 들어있는 데이터들은 대부분 한 그룹의 회원들의 개인정보들이다. 개인정보는 민감한 데이터이기 때문에 개인정보를 관리하는 데이터베이스 관리자의 역할이 중요하다. 하지만 이런 개인정보를 악의적으로 사용하기 위해 데이터베이스를 공격하는 행위가 늘고 있다. SQL Injection은 가장 많이 알려져 있고 오래된 해킹기법 중에 하나이다. SQL Injection 공격은 공격하기 쉬운 기법으로 알려져 있으나 대응방안 또한 쉽지만 많은 로그인을 요구하는 웹페이지에서 SQL 공격을 피하기 위한 노력을 많이 하지만 일부 사이트는 여전히 SQL 공격에 취약하다. 따라서 본 연구에서 SQL해킹 기술 사례 분석을 통하여 효과적인 방어책을 제시하여 웹 해킹을 막고 안전한 정보통신 환경을 제공하는 데 기여한다.

• 정보보호학회논문지
• /
• 제18권5호
• /
• pp.135-148
• /
• 2008

인터넷이 발전함에 따라 웹 애플리케이션을 이용한 서비스가 대중화되었고, 웹 애플리케이션의 취약점을 목표로 하는 공격들도 증가하게 되었다. 많은 웹 공격 중의 하나인 SQL Injection 공격은 민감한 데이터를 처리하는 곳에서는 매우 치명적이고 위험하기 때문에 이를 탐지하고 예방하기 위한 연구들이 다양하게 이루어져 왔다. 이로 인하여 SQL Injection 공격들이 많이 감소했지만 아직도 이를 우회하는 방법들이 존재하며, 기존의 연구 방법들 또한 매우 복잡하여 실제 웹 애플리케이션에 적용하여 사용하기 어렵다. 따라서 본 논문에서는 SQL Injection 공격 탐지를 위해 웹 애플리케이션에 고정되어 있는 정적 SQL 질의와 사용자로부터 생성되는 동적 SQL 질의의 애트리뷰트 값을 제거한 정적 및 동적 분석 방법을 제안하고, 실험을 통하여 효율성을 검증하였다.

• 인터넷정보학회논문지
• /
• 제25권3호
• /
• pp.35-41
• /
• 2024

최근 디지털 변화와 코로나19의 영향으로 온라인 활동이 급증함에 따라 대규모 데이터 처리와 유지보수의 중요성이 점점 커지고 있다. 이 연구는 데이터 저장 및 관리에 널리 사용되는 두 주요 데이터베이스 유형인 관계형 데이터베이스(RDBMS)와 비관계형 데이터베이스(NoSQL)의 성능을 비교 분석한다. 구체적으로, RDBMS의 대표 예인 MySQL과 NoSQL의 대표 예인 Redis를 사용하여 데이터 삽입, 조회, 삭제 기능의 수행 시간을 측정하고 평가했다. 실험 결과, Redis는 MySQL에 비해 데이터 삽입에서 약 5.84배, 조회에서는 약 6.61배, 삭제에서는 약 12.33배 빠른 성능을 보였다. 이 결과는 Redis가 특히 대규모 데이터 처리와 유지보수가 필요한 환경에서 뛰어난 성능을 제공함을 보여준다. 이에 따라 기업 및 온라인 서비스 제공자들은 Redis와 같은 NoSQL 데이터베이스를 선택함으로써 보다 효율적인 데이터 관리 솔루션을 확보할 수 있을 것이다. 본 연구가 데이터베이스 선택 시 데이터 처리 성능을 고려하는 데 중요한 참고 자료로 활용되기를 기대한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2010년도 춘계학술대회
• /
• pp.265-268
• /
• 2010

현재의 IP 위주의 역추적은 Proxy와 우회기법의 발달로 인하여 Real IP 역추적에 어려움이 있다. 또한 IP역추적 후에도 실제 Source IP인지 확인이 어렵다. 따라서 본 논문에서는 지능형 SQL Query에 대한 field, column, table 등의 요소값과 매칭되는 key값을 분석하고 여기에서 사용되는 Data값의 hit point를 분석하여 최초 사용자에 대한 Application Layer를 분석함으로써 IP 역추적에 대한 포렌식 증거로 삼는다. 본 연구는 포렌식과 DB보안 등 전자거래 발전에 기여할 것이다.

• 정보과학회 논문지
• /
• 제44권1호
• /
• pp.1-12
• /
• 2017

지속적으로 증가하는 인터넷 서비스 요구사항을 만족하기 위하여 인터넷 서비스를 제공하는 시스템은 웹 서버와 DB(database) 서버로 구성된 multitier 구조로 변화되어왔다. 이러한 multitier 웹 어플리케이션 환경에서 기존의 IDS(intrusion detection system)는 웹 서버와 DB 서버에서 misused traffic pattern들이나 signature들을 매칭하여 이미 알려진 공격을 검출하고 해당 접속을 차단하는 방식으로 동작한다. 하지만 이러한 방식의 IDS는 정상적인 HTTP(hypertext transfer protocol) request를 이용하여 악의적으로 DB 서버의 내용의 변조를 시도하는 attacker의 공격을 DB 서버단에서 제대로 검출하지 못한다. 그 이유는 DB 서버는 웹 서버로부터 받은 SQL(structured query language) query가 어떤 사용자의 HTTP request에 의해 발생한 것인지 알지 못하는 상태에서 처리하며, 웹 서버는 SQL query 처리 결과 중 어떤 것이 악의적으로 DB 서버 변조를 시도한 SQL query에 의한 결과인지 알 수 없기 때문이다. 이런 공격을 검출하기 위해서는 HTTP request와 SQL query 사이의 상호작용관계를 명확히 파악하고, 이를 이용하여 악의적인 SQL query를 발생시킨 사용자를 추적해야 한다. 이를 위해서는 해당 시스템의 소스코드를 분석하거나 application logic을 완벽하게 파악해야 하므로 현실적으로 불가능하다. 본 논문에서는 웹 서버와 DB 서버에서 제공하는 로그만을 이용하여 모든 HTTP request와 SQL query간의 mapping 관계를 찾아내고, 이를 이용하여 특정 SQL query를 발생시킨 HTTP request를 추정하는 기법을 제안한다. 모의실험을 통하여 94%의 정확도로 HTTP request를 추정할 수 있음을 확인하였다.

• 한국멀티미디어학회논문지
• /
• 제21권8호
• /
• pp.934-941
• /
• 2018

There are some limits on cost and efficiency for large amount of data in RDBMS, and NoSQL is starting to gain popularity. In medical institutions, data forms are different between organizations, and that makes difficulty for interoperability between organizations. In this paper we focused on performance issues between RDMBS and NoSQL in medical documents. We had built two different environment and had experiment comparative analysis of NoSQL with RDBMS based on medical data. We used medical HL7 FHIR as a medical data standard. Also YCSB benchmark tool was used for performance comparison. Experiments shows that NoSQL has better performance in large amounts of medical data processing systems that have over 10,000~100,000 records.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2015년도 제52차 하계학술대회논문집 23권2호
• /
• pp.147-148
• /
• 2015

대학의 컴퓨터 관련 학과에서 데이터베이스에 대한 SQL(DML)을 학생들에게 숙지시키기 위한 시험(정기 시험, 퀴즈)은 필수이며, 이에 대한 채점을 수작업을 하고 있어 교수들에게 채점의 부담으로 작용하고 있다. 본 논문은 이런 부담을 덜기 위한 SQL 채점 자동화 시스템을 개발함으로써 학생들에게 채점의 부담 없이 시험을 통해 충분한 시험을 실시하도록 하는 시스템을 개발하였다. 대학에서 SQL은 SELECT, UPDATE, INSERT, DELETE 4개의 데이터 조작어로 구분되며, 기본적인 구문의 시험이 대부분이다, 이에 대한 채점 구문분석을 위한 파싱트리(parsing tree)을 만들어 자동 채점 시스템을 구현하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권5호
• /
• pp.117-126
• /
• 2016

최근 빅 데이터나 소셜 네트워크 서비스의 활용도가 증가하면서 기존 관계형 데이터베이스의 한계를 극복한 NoSQL 데이터베이스의 수요가 꾸준히 증가하고 있다. 디지털 포렌식 관점에서 관계형 데이터베이스의 디지털 포렌식 조사 기법은 꾸준히 연구되어 왔으나 NoSQL 데이터베이스의 디지털 포렌식 조사 기법에 대한 연구는 거의 없는 실정이다. 본 논문에서는 메모리 기반의 Key-Value Store NoSQL 데이터베이스인 Redis를 소개하고 디지털 포렌식 관점에서 살펴보아야 할 아티팩트의 수집과 분석, 삭제된 데이터 복구 기법을 제안한다. 또한 제안된 데이터 복구 기법을 도구로 구현하여 복구 기법을 검증한다.