• 융합보안논문지
• /
• 제23권5호
• /
• pp.165-172
• /
• 2023

국가간에 이루어지는 사회공학 공격은 주로 비밀정보, 외교의 협상 또는 미래의 정책 변경에 대해 우위를 확보하기 위해 매우 효율적인 공격이므로 꾸준히 실시되고 있다. 우크라이나-러시아 전쟁이 장기화함에 따라 글로벌 해킹 조직의 활동이 꾸준히 증가하고 있으며, 주요 기반시설 또는 글로벌 기업 대상의 대규모 사이버공격 시도가 지속되므로 이에 대한 대응전략이 필요하다. 이를 위해 다양한 사회공학 공격 모델 중 물리적인 접촉을 배제한 사회공학 사이클이 가장 적합한 모델이라 판단하여 주요 위협국이 선호하는 사회공학 공격 방법을 사례분석을 통해 지정학적 전술과 비교하여 분석하였다. 그 결과 중국은 인해전술과 같은 질보다 양을 선호하는 피싱공격을 러시아는 마치 첩보전을 연상하는 은밀하고 복잡한 스피어 피싱을 선호하며, 북한은 미국과 한국에 대한 공격은 스피어 피싱과 워터링홀로 지정학적 전술을 응용하여 활용하였고 그 외 국가들은 대부분 랜섬웨어로 자금확보를 목표로 하였다. 이에 따라 중국에는 클린패스 정책, 러시아에는 주기적인 의무교육, 북한에는 국제적인 제재 등을 대응전략으로 제시하였다.

• 디지털융복합연구
• /
• 제11권12호
• /
• pp.327-332
• /
• 2013

XSS는 공격자가 상대방의 브라우저에 Script를 실행할 수 있게 하여 사용자의 Session을 가로채거나 웹 사이트 변조, 악의적 컨텐츠 삽입, 피싱 공격을 할 수 있다. XSS공격은 저장(Stored)XSS와 반사(Reflected)XSS 이렇게 크게 두 가지 공격이 있다. XSS 공격의 형태는 Cookie Sniffing, 스크립트 암호화 및 우회, 악성코드 유포, Key Logger, Mouse Sniffer, 거짓정보 추가가 있다. XSS 공격은 스크립트 언어 그리고 취약한 코드들이 공격 대상이 된다. XSS 공격의 대응 방법에는 관리자의 대응과 사용자의 대응 두 가지를 제한 하였다.

• 융합보안논문지
• /
• 제19권4호
• /
• pp.35-41
• /
• 2019

북한의 전략을 고려할 때, 개전 상황시 북한의 최우선 타격 목표는 공군을 무력화하는 공군 활주로일 가능성이 높다. 이에 대한 대응 방안으로 비상 활주로와 활주로 긴급 복구 작전이 있다. 하지만 비상 활주로는 주로 비상 착륙, 연료 공급, 재무장로 이용된다. 활주로 긴급 복구 작전도 북한의 위협적인 미사일 수준을 고려할 때 복구 시간 등 몇 가지 한계점이 있기에 활주로 폭파에 신속히 대응할 수가 없다. 본 연구에서는 먼저 북한의 미사일 위협 수준을 판단한다. 이후, 활주로 폭파의 차세대 대응방안인 이동식 활주로의 개념과 한계를 제시하며 기존 대응 방안과의 비교를 통해 이동식 활주로 도입의 필요성을 제시한다.

• ETRI Journal
• /
• 제32권1호
• /
• pp.102-111
• /
• 2010

Recently power attacks on RSA cryptosystems have been widely investigated, and various countermeasures have been proposed. One of the most efficient and secure countermeasures is the message blinding method, which includes the RSA derivative of the binary-with-random-initial-point algorithm on elliptical curve cryptosystems. It is known to be secure against first-order differential power analysis (DPA); however, it is susceptible to second-order DPA. Although second-order DPA gives some solutions for defeating message blinding methods, this kind of attack still has the practical difficulty of how to find the points of interest, that is, the exact moments when intermediate values are being manipulated. In this paper, we propose a practical second-order correlation power analysis (SOCPA). Our attack can easily find points of interest in a power trace and find the private key with a small number of power traces. We also propose an efficient countermeasure which is secure against the proposed SOCPA as well as existing power attacks.

• 정보보호학회논문지
• /
• 제18권2호
• /
• pp.75-84
• /
• 2008

최근 일반 CRT-RSA 알고리듬은 오류 주입 공격에 취약하다는 점이 실험적 결과에 의해 밝혀졌다. 본 논문에서는 CRT-RSA에 대한 오류 주입 공격 및 방어 대책을 분석하고 다양한 형태의 오류 주입 공격을 방어할 수 있는 새로운 알고리듬을 제안하고자 한다. 제안하는 알고리듬은 CRT-RSA에서 두 소수에 대한 멱승연산 시 오류가 발생하면 그 오류를 재결합 과정에서 확산되도록 설계하였다. 이 알고리듬은 판정 기법에 기반한 오류를 검사하는 과정이 없으며 공개 파라미터 e를 사용하지 않는다. 또한 계산량 측면에서도 안전성을 갖춘 타 방식에 비해 효율적이다.

• 정보보호학회논문지
• /
• 제22권5호
• /
• pp.1009-1017
• /
• 2012

비밀 키가 내장된 암호 장치에 대한 오류 주입 공격은 공격자가 암호화 연산 시 오류를 주입하여 암호 시스템의 키를 찾아내는 공격이다. 이 공격은 AES와 같은 암호 시스템에서 한 바이트의 오류 주입으로도 비밀 키 전체를 찾아낼 수 있을 정도로 매우 위협적이다. 본 논문에서는 AES 암호 시스템에서 입 출력값의 차분을 검사하는 방법으로 오류 주입 공격을 방어하는 새로운 오류 검출 기법을 제안한다. 또한, 제안 방법이 기존의 공격 대응 방법들과 비교하여 오류 탐지 능력이 우수하고 구현에 필요한 추가적인 오버헤드가 적어 효율적임을 컴퓨터 시뮬레이션을 통해 확인하였다.

• 정보보호학회논문지
• /
• 제20권5호
• /
• pp.49-57
• /
• 2010

오류 분석 공격은 암호용 디바이스가 동작하는 동안 오류를 주입한 후 그 결과를 분석함으로써 사용된 비밀키를 추출하는 물리적 공격 방법이다. 이러한 오류 분석 공격에 의해 표준 서명 알고리듬인 DSA(Digital Signature Algorithm)도 취약한 특성이 있음이 밝혀졌고 이를 방어하기 위한 대응책들도 제시된 바 있다. 본 논문에서는 오류 분석 공격을 방어할 수 있는 새로운 DSA 서명 기법을 제안한다. 제안 기법은 서명 연산시 한 번의 역수 연산만 추가 되므로 타 대응 방식에 비해 효율적으로 구현할 수 있다.

• 정보보호학회논문지
• /
• 제25권5호
• /
• pp.1097-1114
• /
• 2015

빠르게 성장한 게임 시장의 규모에 따라 게임봇, 게임핵, 골드파밍, 사설서버, 시스템 해킹, 네트워크 해킹, 계정도용 등과 같은 게임을 이용한 여러 불법 행위가 증가해 왔다. 이러한 불법 행위를 예방 및 탐지하기 위해 게임 보안 솔루션들이 존재하지만 각 게임마다의 특징이 존재하기 때문에 부정행위로부터 보호하는 것에는 어려움이 있다. 또한 게임 보안은 게임의 기획과 조화되는 게임 보안 솔루션 및 탐지 방법들이 필요하다. 본 연구에서는 최근 온라인 게임에서의 보안 관련 연구에 대한 동향을 조사하였다. 온라인 게임에서의 부정행위를 분류하였고, 온라인 게임에서의 각 특징에 따른 부정행위 예방 및 탐지 방법을 분류하였다.

• 한국컴퓨터정보학회논문지
• /
• 제10권4호
• /
• pp.375-384
• /
• 2005

정보통신기술이 발달함에 따라 보안 사고가 증가로 조직의 효율적인 보안 관리를 위한 보안수준 측정에 대한 방법과 도구개발의 필요성이 요구되고 있다. 그러나 외국의 연구는 대부분 수준 측정을 위한 항목구성이 우리 조직의 실정에 맞지 않고 또한 도구 역시 사용의 편이성이나 경제성을 제공하지 못하고 있으며, 국내의 연구 또한 보안수준 측정 시 조직의 특성을 적절히 감안하지 못하고 있다. 따라서 본 논문에서는 다중 가중치를 조직의 특성에 따라 가변적으로 적용하고 수준 측정자의 주관성을 감소시키기 위하여 퍼지기법과 비용 한계의 범위 안에서 보안 대책의 수립을 위해 유전 알고리즘을 적용한 효율적인 보안 수준측정 도구를 제안하고자 한다.

• Journal of information and communication convergence engineering
• /
• 제9권5호
• /
• pp.562-566
• /
• 2011

As telecommunication technologies in telemedicine services are developed, the expeditious development of wireless and mobile networks has stimulated wide applications of mobile electronic healthcare systems. However, security is an essential system requirement since many patients have privacy concerns when it comes to releasing their personal information over the open wireless channels. Due to the invisible feature of mobile signals, hackers have easier access to hospital networks than wired network systems. This may result in several security incidents unless security protocols are well prepared. In this paper, we analyzed authentication and authorization procedures for healthcare system architecture to apply secure M-health systems in the hospital environment. From the analyses, we estimate optimal requirements as a countermeasure to its vulnerabilities.