• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.11a
• /
• pp.801-802
• /
• 2023

시큐어 코딩은 해킹 등 사이버 공격의 원인인 보안 취약점을 제거해 안전한 소프트웨어를 개발하는 SW 개발 기법을 의미한다. 개발자의 실수나 논리적 오류로 인해 발생할 수 있는 문제점을 사전에 차단하여 대응하고자 하는 것이다. 그러나 현재 시큐어 코딩에는 오탐과 미탐의 문제가 발생한다는 단점이 있다. 따라서 본 논문에서는 오탐과 미탐이 발생하는 단점을 해결하고자 머신러닝 알고리즘을 활용하여 AI 기반으로 개발자의 실수나 논리적 오류를 탐지하는 시큐어 코딩 도구를 만들고자 한다. 다양한 모델을 사용하여 보안 취약점을 모아놓은 Juliet Test Suite를 전처리하여 학습시켰고, 정확도를 높이기 위한 과정 중에 있다. 향후 연구를 통해 정확도를 높여 정확한 시큐어 코딩 점검 도구를 개발할 수 있을 것이다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.05a
• /
• pp.516-519
• /
• 2008

본 논문에서 우리는 SBC(Server Based Computing)를 위한 씬 클라이언트 개발에 관한 우리의 최근 연구에 대하여 소개한다. SBC 란 현대 사회에서 빠르게 변화되는 소프트웨어(SW)/하드웨어(HW) 기술에 대하여 유지 보수 및 업그레이드 비용에 대한 절감과 인력자원 절감 효과, 보안 환경의 강화, 접근 권한에 따르는 차별성, 안정성 확보 그리고 장비의 간소화를 통한 작업 공간 효율성에 이르기까지, 다양한 장점을 가지고 있는 신개념의 컴퓨터 아키텍처이다. 이를 기반으로 하는 씬 클라이언트는 HDD 및 어떠한 어플리케이션도 설치 할 필요가 없다. 따라서 씬 클라이언트는 고사양일 필요가 없으며 보안, 업그레이드 그리고 데이터 백업에 대한 부담도 줄어든다.

• Convergence Security Journal
• /
• v.24 no.2
• /
• pp.55-61
• /
• 2024

With the development of IoT technology, wearable services have also developed rapidly. Wearable devices required for this service are used as sensors and controllers in the form of smart bands. Wearable devices implement very concise SWlogic for possible long-term use and use wireless communication protocols to improve convenience. However, because this wearable device aims to be lightweight, it is more vulnerable to security than terminals used for other information services. Many smart healthcare or smart medical services are passive or do not apply security technology. By exploiting this security environment, attackers can obtain or modify important information through access to wearable devices. In this study, we analyzed the technical operating environment of wearable services and identified authentication information reuse attacks, BIAS attacks, battery drain attacks and firmware attacks on wearable devices. And we analyzed the mechanism of each security threat and confirmed the attack effect. In this study, we presented a response plan to respond to the identified security threats. When developing wearable services, it is expected that safer services can be built if the response plan proposed in this study is considered.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.888-890
• /
• 2015

많은 개발자가 참여하는 대형 소프트웨어 시스템 개발의 효율성 증대를 위해서는 컴포넌트 간 인터페이스의 효과적인 관리가 필수적이다. MDMS는 컴포넌트간의 인터페이스 정의 및 변경 이력 관리, 인터페이스 기술서 자동 생성, 소스 코드 자동 생성 등의 기능을 제공하는 도구이다. 한화탈레스는 1998년 MDMS를 처음 개발하여 적용한 이후 다양한 국방 소프트웨어 시스템 개발에 적용하여 소프트웨어 개발 생산성 향상에 효과를 보았다. 하지만, MDMS를 다양한 프로젝트에 적용하는 과정에서 최초 개발시 고려하지 못했던 여러 문제점 및 한계를 발견하였다. 이러한 문제점 및 한계는 다양한 프로젝트의 특성 지원 미흡, 형상관리 및 유지보수 문제, 프로젝트 간 메시지 재사용 미지원, 취약한 보안 등 이다. 본 논문에서는 이를 해결하기 위하여 네가지 개선방안을 제시한다. 첫 번째, 다양한 프로젝트에 적용이 가능한 유연한 SW 구조로 개선해야 한다. 두 번째, 통일되고 일관된 형상관리와 함께 전담 개발 및 유지보수 조직이 필요하다. 세 번째, 프로젝트간 메시지의 재사용 지원을 위한 방안으로 프로젝트 별 MDMS 운용이 아닌 통합된 MDMS의 운용이 필요하며, 그를 통하여 다른 프로젝트의 인터페이스 정의를 상호 참조할 수 있는 구조를 적용해야 한다. 마지막으로, 외부 협력업체와의 협업을 위한 보안 대책을 수립하고, 관련 보안 기능을 지원하여 사외의 협력업체의 개발자가 직접 MDMS에 접속하여 개발할 수 있도록 개선해야 한다.

• Journal of the Korea Convergence Society
• /
• v.11 no.6
• /
• pp.37-42
• /
• 2020

In the field of public informatization maintenance business, the attacks of external illegal users such as unauthorized leakage, destruction, and alteration due to intentional or inadequate management of personal information are increasing. In order to prevent such security incidents in advance, it is necessary to develop and quantitatively manage SLA indicators. This study presents the privacy SLA indicators and suggests specific methods such as information collection method and timing of the privacy SLA indicators. In order to confirm the validity and reliability of the proposed SLA indicators, an online survey was conducted with a group of experts. As a result, it was evaluated that compliance rate of personal information destruction and compliance rate of personal information protection system would be effective when applied to new and revised SLA indicators in terms of importance and validity. In the future, using SLA indicators for personal information protection as a standard for public information maintenance will contribute to improving SW quality and securing safety.

• The Journal of Korean Institute of Information Technology
• /
• v.17 no.7
• /
• pp.123-131
• /
• 2019

In this paper, related studies were investigated by dividing them into cost-benefit analysis, security continuity services, and SW-centric calculations. The case analysis was conducted on A institutions in the United States, Japan and South Korea. Based on this, an improvement model was prepared through comparison with the current system. The SCS(Security Continuity Service) performance evaluation system-based information protection service cost calculation model is proposed. This method applies a service level agreement(SLA) and NIST Cybersecurity framework that are highly effective through cost-effectiveness analysis and calculates consideration based on characteristics, performance criteria, and weights by information protection service. This model can be used as a tool to objectively calculate the cost of information protection services at public institutions. It is also expected that this system can be established by strengthening the current recommended statutory level to the enforceability level, improving the evaluation system of state agencies and public institutions, introducing a verification system of information protection services by national certification bodies, and expanding its scope to all systems.

• Journal of IKEEE
• /
• v.22 no.2
• /
• pp.242-249
• /
• 2018

In this paper, we identify the code vulnerabilities that can be automatically detected through Visual Studio (VS) compiler and code analyzer based on a secure coding rule set which is optimized for development of battlefield information system. Then we describe a weak point item that can be dealt with at the implementation stage without depending on the understanding or ability of the individual programmer's secure coding through the implementation of the secure coding library. Using VS compiler and the code analyzer, the developers can detect only about 38% of security weaknesses. But with the help of the proposed secure coding library, about 48% of security weaknesses can be detected and prevented in the proactive diagnosis in the development stage.

• Convergence Security Journal
• /
• v.19 no.2
• /
• pp.83-89
• /
• 2019

In accordance with information security compliance and security regulations, there is a need to develop regular and real-time concepts for cyber-infringement attacks against network system vulnerabilities in branch and periodic forms. Vulnerability Analysis Analysis It is judged that it will be a countermeasure against new hacking attack in case of concept validation by interworking with TOOL. Vulnerability check module is standardized in event attribute management and ease of operation. Opening in terms of global sharing of vulnerability data, owasp zap / Angry ip Etc. were investigated in the SIEM system with interlocking design implementation method. As a result, it was proved that the inspection events were monitored and transmitted to the SIEM console by the vulnerability module of web and network target. In consideration of this, ESM And SIEM system In this paper, we propose a new vulnerability analysis method based on the existing information security consultation and the results of applying this study. Refer to the integrated interrelationship analysis and reference Vulnerability target Goal Hacking It is judged to be a new active concept against invasion attack.

• Journal of Convergence for Information Technology
• /
• v.10 no.12
• /
• pp.22-30
• /
• 2020

With the development of information and communication technology, DDoS and DRDoS continue to become security issues, and gradually develop into advanced techniques. Recently, IT companies have been threatened with DRDoS technology, which uses protocols from normal servers to exploit as reflective servers. Reflective traffic is traffic from normal servers, making it difficult to distinguish from security equipment and amplified to a maximum of Tbps in real-life cases. In this paper, after comparing and analyzing the DNS amplification and Memcached amplification used in DRDoS attacks, a countermeasure that can reduce the effectiveness of the attack is proposed. Protocols used as reflective traffic include TCP and UDP, and NTP, DNS, and Memcached. Comparing and analyzing DNS protocols and Memcached protocols with higher response sizes of reflective traffic among the protocols used as reflective traffic, Memcached protocols amplify ±21% more than DNS protocols. The countermeasure can reduce the effectiveness of an attack by using the Memcached Protocol's memory initialization command. In future studies, various security-prone servers can be shared over security networks to predict the fundamental blocking effect.

• Information and Communications Magazine
• /
• v.27 no.1
• /
• pp.21-27
• /
• 2009

IT KOREA 미래전략 '5대 핵심과제'의 전략분야별 주요 이슈와 현재 R&D현장에서 추진 중이거나 추진 예정으로 있는 연구개발 방향과 유망기술에 대해 간략히 살펴보고자 한다. IT융합 부문은 IT와 상호 Win-Win 가능한 자동차 조선 의료 등 비(非)IT산업의 IT융합을 촉진하고, 시스템반도체 스마트SOC Green IT 등을 고도화한다는 전략을 토대로 4개 전략분야에서 23개의 유망기술을 발굴 제시하였다. SW 부문은 IT 분야 중 가장 취약한 것으로 평가되고 있는 SW산업을 하드웨어 인프라 등과 연계하여 세계시장 진출이 가능한 수준으로 동반성장 시킨다는 전략을 기반으로 R&D 연관성이 높은 2개 전략분야에서 11개의 유망기술을 발굴 제시하였다. 주력 IT기기 부문은 반도체 디스플레이 휴대폰 등 이미 세계 시장에서 독자적 위치를 차지하고 있는 하드웨어산업의 글로벌 주도권을 더욱 확고히 한다는 전략에 따라 5개 전략분야에서 유망기술 10개를 발굴 제시하였다. 방송통신 부문은 WiBro DMB 등 세계적 수준의 방송통신기술을 바탕으로 4G 3DTV 등 차세대 방송통신기술의 핵심원천기술을 개발하고, 국제표준을 확보한다는 전략을 기반으로 4개 전략분야에서 유망기술 8개를 발굴 제시하였다. 인터넷 부문은 UBcN 미래인터넷 정보보안 등을 대상으로 하고 있으며, 특히 미래인터넷의 경우, 초기 개발단계부터 핵심원천기술 확보를 목표로 시스코 구글 등과 같은 세계적인 기업들을 배출할 수 있는 여건을 조성한다는 전략에 따라 4개 전략분야에서 유망기술 8개를 발굴 제시하였다.