• 정보보호학회논문지
• /
• 제25권4호
• /
• pp.921-932
• /
• 2015

본 논문에서는 소프트웨어 보안취약점의 중요도를 정량적으로 산출할 수 있는 중요도 정량 평가 체계를 제안한다. 제안된 평가 체계는 국내 소프트웨어 이용 환경을 고려한 보안취약점의 파급도, 위험도, 소프트웨어 점유율, 시스템에서의 사용 정도 등을 복합적으로 반영하여 보안취약점에 대한 심각성을 적절히 평가할 수 있는 평가 척도와 이를 기반으로 한 중요도 계산식으로 구성된다. 논문에서는 제안된 소프트웨어 보안취약점 평가 체계를 국내의 보안취약점에 시범적으로 적용하고 그 효용성을 CVSS 및 CWSS 등과 비교, 분석하였으며, 제안된 평가 체계의 활용 방안을 제시하였다.

• 한국정보통신학회논문지
• /
• 제16권7호
• /
• pp.1447-1454
• /
• 2012

최근 P2P는 인터넷에서 매우 대중화된 서비스로 다양한 분야에 응용되고 있으나, P2P 네트워크 특성에 따른 취약점으로 인해 여러 가지 보안 위협이 등장하고 있다. P2P 네트워크는 인터넷을 기반으로 하는 오버레이 네트워크 형태이기 때문에 기존의 인터넷 환경에서 발생하는 보안 문제뿐만 아니라 P2P 네트워크 자체만의 보안 문제도 가지고 있다. 본 논문에서는 국내 상용 P2P 서비스의 취약점 및 위협 분석을 다양한 실험을 통하여 수행한 후 위험분석을 수행하고 대응방안을 제시하였다.

• 한국전자거래학회지
• /
• 제19권4호
• /
• pp.31-43
• /
• 2014

최근 많은 사이버 공격은 S/W의 취약점을 이용한 익스플로잇(exploit)으로 이루어지고 있다. 주기적으로 취약점 동향이 발표되고 있으며 이를 참고로 보안의 방향이 제시되고 개선 방안도 수정되고 있다. 그럼에도 불구하고 2011년 한 해 동안 발생한 해킹 등 사이버 공격은 2010년 대비 81% 증가하였고, 이러한 사이버 공격의 약 75%가 S/W 자체의 보안 취약점을 악용하고 있다. 본 논문에서는 S/W 취약점으로 인한 손실비용 측정을 위해 질병 전파 모델인 SIR 모델을 응용하여 취약점에 의한 악성코드 감염 확산 모델인 VIR모델을 제시하고, 이를 한글 S/W 취약점에 적용하여 손실비용이 어느 정도인지를 추정하였다.

• International journal of advanced smart convergence
• /
• 제13권2호
• /
• pp.48-60
• /
• 2024

With the exponential growth of satellite data utilization, machine learning has become pivotal in enhancing innovation and cybersecurity in satellite systems. This paper investigates the role of machine learning techniques in identifying and mitigating vulnerabilities and code smells within satellite software. We explore satellite system architecture and survey applications like vulnerability analysis, source code refactoring, and security flaw detection, emphasizing feature extraction methodologies such as Abstract Syntax Trees (AST) and Control Flow Graphs (CFG). We present practical examples of feature extraction and training models using machine learning techniques like Random Forests, Support Vector Machines, and Gradient Boosting. Additionally, we review open-access satellite datasets and address prevalent code smells through systematic refactoring solutions. By integrating continuous code review and refactoring into satellite software development, this research aims to improve maintainability, scalability, and cybersecurity, providing novel insights for the advancement of satellite software development and security. The value of this paper lies in its focus on addressing the identification of vulnerabilities and resolution of code smells in satellite software. In terms of the authors' contributions, we detail methods for applying machine learning to identify potential vulnerabilities and code smells in satellite software. Furthermore, the study presents techniques for feature extraction and model training, utilizing Abstract Syntax Trees (AST) and Control Flow Graphs (CFG) to extract relevant features for machine learning training. Regarding the results, we discuss the analysis of vulnerabilities, the identification of code smells, maintenance, and security enhancement through practical examples. This underscores the significant improvement in the maintainability and scalability of satellite software through continuous code review and refactoring.

• 한국컴퓨터정보학회논문지
• /
• 제17권2호
• /
• pp.127-137
• /
• 2012

최근에 매쉬업(mashups), 웹 3.0, JavaScript, AJAX (Asynchronous JavaScript XML) 등이 널리 사용되면서, 새로운 취약점들이 발견되고 있어 보안 위협이 더 증대되고 있다. 이러한 웹 애플리케이션 취약점과 보안 위협을 효율적으로 완화하기 위해, 그 취약점들을 위험도 기준으로 순서화하여 웹 애플리케이션의 개발 생명주기의 해당 단계에서 우선적으로 고려해야 한다. 본 논문에서는 미국 NVD(National Vulnerability Database)의 웹 애플리케이션 취약점에 대한 데이터를 분석하여, OWASP Top 10 취약점들의 위험도 산정 방법이 타당한 지를 검증하였다. 그 다음, OWASP Top-10 2010과 CWE (Common Weakness Enumeration) 데이터를 중심으로 웹 애플리케이션 취약점 정보를 분석하여 웹 취약점들을 사상시켜 순서화하고, 그 취약점들이 어떤 개발 생명주기 단계와 관련이 있는지를 제시하였다. 이를 통해 효율적으로 웹 보안 위협과 취약점을 예방하거나 완화할 수 있다.

• 대한전기학회:학술대회논문집
• /
• 대한전기학회 2008년도 학술대회 논문집 정보 및 제어부문
• /
• pp.209-210
• /
• 2008

In the case of unauthorized individuals, systems and entities or process threatening the instrumentation and control systems of nuclear facilities using the intrinsic vulnerabilities of digital based technologies, those systems may lose their own required functions. The loss of required functions of the critical systems of nuclear facilities may seriously affect the safety of nuclear facilities. Consequently, digital instrumentation and control systems, which perform functions important to safety, should be designed and operated to respond to cyber threats capitalizing on the vulnerabilities of digital based technologies. To make it possible, the developers and licensees of nuclear facilities should perform appropriate cyber security program throughout the whole life cycle of digital instrumentation and control systems. Under the goal of securing the safety of nuclear facilities, this paper presents the KINS' regulatory position on cyber security program to remove the cyber threats that exploit the vulnerabilities of digital instrumentation and control systems and to mitigate the effect of such threats. Presented regulatory position includes establishing the cyber security policy and plan, analyzing and classifying the cyber threats and cyber security assessment of digital instrumentation and control systems.

• 정보보호학회논문지
• /
• 제28권1호
• /
• pp.145-153
• /
• 2018

SSL(Secure Socket Layer) 과 TLS(Transport Layer Security)는 네트워크 통신환경에서 주고받는 데이터를 보호하기 위해서 암호화를 해주는 통신 규약으로 널리 사용되고 있다. 그러나 이 통신 규약들의 설계 결함과 실제 구현에서의 오류로 인해서 보안 이슈가 끊이지 않고 있으며 특히 많은 서버들이 이를 이용하고 있기 때문에 보안취약점으로 인해 심각한 피해를 일으킬 수 있다. 본 논문에서는 서버의 SSL과 TLS 보안 취약점을 자동으로 빠르게 탐지하고 주기적으로 검사할 수 있는 시스템을 개발하였다. 본 연구에서 개발한 취약점 스캐닝 시스템은 기존의 취약점 검사 툴에 비하여 주요 SSL과 TLS 관련 취약점을 내부 네트워크에서 빠르게 검사하여 탐지하는 것이 가능하며 검사 스케쥴링 및 시각화 기능을 제공한다. 개발한 취약점 스캐닝 시스템을 이용하여 네이버 망에서 실제 운용되고 있는 서버에서 SSL과 TLS 관련 취약점들을 탐지하여 그 결과를 분석하였다. 네이버 주요 서비스 및 관계사 도메인 213개에 대해 검사를 수행하여 각 도메인 당 평균 4.2개, 즉 총 816개의 취약점이 발견되었다. 7개 이상의 취약점이 발견된 도메인 21개 중 일반 사용자들이 직접 사용하는 도메인은 없었으나 46개의 도메인에서 2016년도 보안 취약점에 노출되어 있었다. 본 논문에서 개발한 취약점 검사 시스템을 이용해서 네이버 망의 서버에서 발견된 보안 취약점들을 빠르게 대응하여 패치를 수행할 수 있었다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2011년도 한국컴퓨터종합학술대회논문집 Vol.38 No.1(D)
• /
• pp.131-134
• /
• 2011

Several Web Service security standards are widely utilized aiming at securing exchanges of SOAP messages among partners in a collaborative environment. Although such standards are suitable for ensuring end-to-end message level security, certain attacks such as XML rewriting may still occur and lead to significant security vulnerabilities. This paper explores the security vulnerabilities of SOAP messages and proposes an ontology-based approach that can successfully combat the security threats. We develop ontology-based schema to include SOAP structure information in outgoing SOAP message and validate this information in the receiving end. Thus, allow to detect XML rewriting attacks early in the validating process.

• International Journal of Internet, Broadcasting and Communication
• /
• 제15권3호
• /
• pp.149-159
• /
• 2023

Web application security education that can provide practical experience is needed to reduce damage caused by the recent increase in web application vulnerabilities and to strengthen security. In this paper, we proposed a scenario-based web application education method, applied the proposed method to classes, and analyzed the results. In order to increase the effectiveness of scenario-based education, a real-life practice environment to perform scenarios and instructions to be performed by learners are needed. As an example of the proposed method, instructions to be performed by learners from the viewpoint of the attacker and the victim were shown in a practice environment to teach XSS and SQL injection vulnerabilities. After applying the proposed method to the class for students majoring in cyber security, when the lecture evaluation results were analyzed, it was shown that the learner's interest, understanding, and major ability all improved.

• International Journal of Computer Science & Network Security
• /
• 제23권6호
• /
• pp.155-161
• /
• 2023

In the process of remarkable progress in the medical and technical field and activating the role of technology in health care services and applications, and since the safety of medical data and its protection from security violations plays a major role in assessing the security of health facilities and the safety of medical servers Thus, it is necessary to know the cyber vulnerabilities in health information systems and other related services to prevent and address them in addition to obtaining the best solutions and practices to reach a high level of cybersecurity against attackers, especially due to the digital transformation of health care systems and the rest of the dealings. This research is about what cyberattacks are and the purpose of them, in addition to the methods of penetration. Then challenges, solutions and some of the security issues will be discussed in general, and a special highlight will be given to obtaining a safe infrastructure to enjoy safe systems in return.