• 한국콘텐츠학회논문지
• /
• 제18권8호
• /
• pp.459-468
• /
• 2018

무기체계 관련 어플리케이션과 국방 관련 기관에서 활용하는 정보시스템이 사이버 공격을 받을 경우 국가의 안보가 위험해지는 결과를 초래한다. 이러한 위험을 줄이기 위해 개발 단계에서부터 시큐어 코딩을 적용하거나, 발견된 취약점들을 체계적으로 관리하기 위한 노력이 지속적으로 행해지고 있다. 또한 다양한 분석 도구를 이용하여 취약점을 분석, 탐지하고 개발 단계에서 취약점을 제거하거나, 개발된 어플리케이션에서 취약점을 제거하기 위해 노력하고 있다. 그러나 취약점 분석 도구들은 미탐지, 오탐지, 과탐지를 발생시켜 정확한 취약점 탐지를 어렵게 한다. 본 논문에서는 이러한 문제점 해결방안으로 분석 대상이 되는 어플리케이션의 위험도를 평가하고 이를 기반으로 안전한 어플리케이션을 개발 및 관리할 수 있는 취약점 탐지기법을 새롭게 제안하였다.

• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제23권8호
• /
• pp.487-491
• /
• 2017

오픈 소스는 소프트웨어 혹은 하드웨어의 저작권자가 소스코드를 공개하여 누구나 특별한 제한 없이 자유롭게 사용, 복제, 배포, 수정할 수 있는 소프트웨어로 낮은 진입비용과 빠르고 유연한 개발, 호환성 및 신뢰성과 안전성의 장점을 가지고 있다. 이러한 여러 유용한 오픈 소스의 등장은 소프트웨어 개발에 있어 적은 비용과 시간 투입으로도 높은 수준의 결과물을 얻을 수 있다는 장점도 있지만 반면에 오픈 소스의 보안약점을 이용한 피해 사례가 증가하는 등 보안 문제 또한 심각해지고 있으며 오픈 소스 도입에 있어 보안성을 검증하는 별도의 절차도 아직까지 미흡한 상황이다. 따라서 본 논문에서는 실제 신뢰성이 높다고 알려진 오픈 소스를 보안적 관점에서 바라보며 오픈 소스에 존재하는 보안약점을 분석하고, 이러한 보안약점을 제거하기 위한 수단으로 시큐어 코딩 적용 방안을 제안한다.

• ETRI Journal
• /
• 제35권1호
• /
• pp.173-176
• /
• 2013

Existing symmetric cryptography-based solutions against pollution attacks for network coding systems suffer various drawbacks, such as highly complicated key distribution and vulnerable security against collusion. This letter presents a novel homomorphic subspace message authentication code (MAC) scheme that can thwart pollution attacks in an efficient way. The basic idea is to exploit the combination of the symmetric cryptography and linear subspace properties of network coding. The proposed scheme can tolerate the compromise of up to r-1 intermediate nodes when r source keys are used. Compared to previous MAC solutions, less secret keys are needed for the source and only one secret key is distributed to each intermediate node.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2011년도 추계학술발표대회
• /
• pp.958-959
• /
• 2011

본 고에서는 최근 주목 받고 있는 비디오 스트리밍 보안 기술과 관련한 ITU-T 표준화 내용에 대하여 살펴보고자 한다. 특히, SVC (Scalable Video Coding) 기술을 위해 제안된 안전한 트랜스코딩 메커니즘 (Secure Transcodable Mechanism)을 위한 보안 정책 모델에 대하여 논의한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2018년도 춘계학술발표대회
• /
• pp.129-130
• /
• 2018

한국 소프트웨어 시장에 맞는 시큐어 코딩 가이드 기준을 설립하고, 이를 통하여 경제적인 비용을 절감 시키는 등 소프트웨어 개발을 효율적이고 안전성을 갖게 하는 것을 목표로 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권9호
• /
• pp.4484-4501
• /
• 2019

In this paper, we put forward a delay-aware secure maximum distance separable (MDS) coded caching scheme to resist the eavesdropping attacks for device-to-device (D2D) content sharing by combining MDS coding with distributed caching. In particular, we define the average system delay to show the potential coupling of delay-content awareness, and learn the secure constraints to ensure that randomly distributed eavesdroppers cannot obtain enough encoded packets to recover their desired contents. Accordingly, we model such a caching problem as an optimization problem to minimize the average system delay with secure constraints and simplify it to its convex relaxation. Then we develop a delay-aware secure MDS coded caching algorithm to obtain the optimal caching policy. Extensive numerical results are provided to demonstrate the excellent performance of our proposed algorithm. Compared with the random coded caching scheme, uniform coded caching scheme and popularity based coded caching scheme, our proposed scheme has 3.7%, 3.3% and 0.7% performance gains, respectively.

• 융합보안논문지
• /
• 제12권6호
• /
• pp.93-99
• /
• 2012

웹 애플리케이션 개발이 보편화됨에 따라 대부분의 소프트웨어는 개발기간 단축, 에러없는 품질, 수시 유지보수에 대한 적응성, 거대하고 복잡한 소프트웨어의 필요성 등과 같은 과제가 제기되었다. 웹 애플리케이션 개발시 이러한 품질문제에 대응하기 위해 소프트웨어의 재사용성, 신뢰성, 확장성, 단순성 등과 같은 측면을 고려하지 않을 수 없는 환경으로 변화 되었다. 이같은 상황에서 전통적 개발방법론으로는 보안품질을 해결하는데 한계를 가지고 있기 때문에 품질에 기반한 시큐어코딩 방법론이 필요하다. 웹 애플리케이션 보안품질은 애플리케이션 로직, 데이터, 아키텍처 전체 영역에서 별도의 방법론으로 대처하지 않으면 목표를 달성할 수 없다. 본 연구는 시큐어코딩의 최대 현안인 웹 애어플리케이션 개발을 위하여 웹 애플리케이션 아키텍쳐 설계절차를 제안한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2014년도 제49차 동계학술대회논문집 22권1호
• /
• pp.83-87
• /
• 2014

본 논문에서는 안드로이드 스마트폰 환경에서 높은 점유율을 가진 카카오톡 모바일 메신저 앱에 대하여 행정안전부가 고시한 Android-JAVA 시큐어 코딩가이드의 입력 데이터 검증 및 표현, API악용, 보안특성, 시간 및 상태, 에러처리, 코드 품질, 캡슐화 등 18가지 보안 취약점을 분석하고, 해당 취약점에 대한 시큐어 코딩 기법을 적용한다. 먼저 현재 상용화되고 있는 카카오톡 모바일 메신저 코드를 역공학(리버스엔지니어링)방법을 이용하여 코드단에서 소스를 분석한다. 실제 코드에서 시큐어 코딩이 안드로이드 스마트폰 환경에서 행정안전부가 고시한 Android-JAVA 시큐어 코딩가이드를 기준으로 취약한 부분을 찾고, 적용이 안 되어 있는 부분에 안드로이드 환경에 맞는 시큐어 코딩 기법을 적용한다.

• 한국산학기술학회논문지
• /
• 제18권11호
• /
• pp.46-52
• /
• 2017

최근 ICT 및 IoT 제품의 활용 분야가 다양화 되면서 오픈소스 소프트웨어의 활용 분야가 컴퓨터, 스마트폰, IoT 디바이스 등 다양한 기기와 환경에서 활용되고 있다. 이처럼 오픈소스 소프트웨어의 활용분야가 다양해짐에 따라 오픈소스의 보안 취약점을 악용하는 불법적인 사례가 지속적으로 증가하고 있다. 이에 따라 다양한 시큐어 코딩을 위한 도구나 프로그램이 출시되고 활용되고 있지만 여전히 많은 취약점들이 발생하고 있다. 본 논문에서는 안전한 오픈 소스 소프트웨어 개발을 위해 오픈 소스의 취약점 분석 결과에 의한 이력과 패턴을 지속적으로 학습하여 신규 취약점 분석에 활용할 수 있는 방법을 제안한다. 본 연구를통해 취약점 이력 및 패턴 학습기반의 취약점 분석 시스템을 설계하였으며, 프로토타입으로 구현하여 실험을 통해 시스템의 성능을 평가하였다. 5개의 취약점 항목에 대해 평균 취약점 검출 시간은 최대 약 1.61sec가 단축되었으며, 평균 검출 정확도는 약 44%point가 향상된 것을 평가결과에서 확인할 수 있었다. 본 논문의 내용 및 결과는 소프트웨어 취약점 연구 분야에 대한 발전과 소프트웨어 개발자들의 취약점 분석을 통한 시큐어 코딩에 도움이 될 것을 기대한다.

• 한국컴퓨터정보학회논문지
• /
• 제26권1호
• /
• pp.171-178
• /
• 2021

본 논문에서는 C/C++ 기반 이산 사건 시스템 명세(DEVS) 시뮬레이션에서 전송 메시지 변경을 탐지하는 기법을 제안한다. 모델 인스턴스가 생성한 메시지가 다른 모델 인스턴스로 전달될 때, 메시지가 수신자 중 일부가 이를 수정할 수도 있다. 이러한 변경은 시뮬레이션 결과를 오염시킬 수 있으며, 오염된 시뮬레이션 결과는 잘못된 의사결정으로 이어질 수 있다. 제안 기법에서는 모든 모델 인스턴스가 전송 메시지의 사본을 저장한다. 전송 메시지가 삭제되기 전, 인스턴스는 저장된 메시지와 전송 메시지를 비교한다. 변경이 탐지되면 현재 시뮬레이션 실행을 중단시킨다. 모든 절차는 시뮬레이터 인스턴스에 의해 자동으로 수행된다. 그러므로 제안 기법은 개발자에게 시큐어 코딩을 준수하거나 특정 코드를 추가하도록 강요하지 않는다. 제안 기법의 성능을 기존 DEVS 시뮬레이터와 비교한다.