• Journal of Information Technology Applications and Management
• /
• 제26권4호
• /
• pp.19-30
• /
• 2019

Many organizations need to comply with ISMS-P for information systems and personal information management for ISMS-P certification. Organizations should safeguard vulnerablities to information systems. However, as the kinds of information systems are diversified and the number of information systems increases, management of such vulnerabilities manually accompanies with many difficulties. SCAP is a protocol to manage the vulnerabilities of information system automatically with security standards. In this paper, for the introduction of SCAP in domestic domains we verify the applicability of server-oriented system which is one of ISMS-P certification targets. For SCAP applicability, For obtaining this goal, we analyze the structures and functions of SCAP. Then we propose schemes to check vulnerabilities of the server-oriented system. Finally, we implement the proposed schemes with SCAP to show the applicability of SCAP for verifying vulnerabilities of the server-oriented system.

• 한국전자거래학회지
• /
• 제4권2호
• /
• pp.59-79
• /
• 1999

In order to construct a successful electronic commerce system, three main essential factors must be satisfied to obtain the best effective outcomes. The three main essential factors are as follows : economic factor, effectiveness factor and convenient factor. In order to understand the role of these three factors, one must have some insight knowledge about security to assist him to implement these three factors in his construction of an electronic commerce system. This paper analyses a implementation mechanism of security systems based on the SET 1.0 standard for electronic commerce systems, thus providing an effective plan for the construction of a security system in the SET-based electronic commerce field. This paper helps to analyse the elements of security vulnerabilities in the SET 1.0 standard implementation and also helps to understand the SET 1.0 protocol.

• Journal of Information Technology Applications and Management
• /
• 제27권6호
• /
• pp.89-99
• /
• 2020

Cloud computing is rapidly increasing for achieving comfortable computing. Cloud computing has essentially security vulnerability of software and hardware. For achieving secure cloud computing, the vulnerabilities of cloud computing could be analyzed in a various and systematic approach from perspective of the service designer, service operator, the designer of cloud security and certifiers of cloud systems. The paper investigates the vulnerabilities and security controls from the perspective of administration, and systems. For achieving the secure operation of cloud computing, this paper analyzes technological security vulnerability, operational weakness and the security issues in an enterprise. Based on analysis, the paper suggests secure establishments for cloud computing.

• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.601-613
• /
• 2012

안전한 웹 서비스를 제공하기 위하여 보안을 고려한 웹 애플리케이션의 설계와 구현이 요구되고 있다. 이에 따라 웹 애플리케이션의 취약성을 수치화할 수 있는 여러 가지 프레임워크들이 제시되고 있지만, 이러한 프레임워크에 의하여 도출된 수치는 누적 방식에 의하여 계산되기 때문에 취약점의 심각성을 제대로 분류할 수 없다는 문제점이 존재한다. 본 연구에서는 웹 애플리케이션에서 발생할 수 있는 취약점을 권한 획득 가능성에 따라 등급을 나누고 수치화함으로써 취약점에 대하여 우선순위를 둘 수 있다. 또한 개별 웹 애플리케이션뿐 아니라 한 조직에서 제공하는 여러 웹 애플리케이션에 대한 취약성을 수치화함으로써 어느 웹 애플리케이션이 가장 취약하며 우선적으로 처리해야 하는지 판단할 수 있다. 실제 크롤링 기반 웹 스캐너를 통하여 발견된 취약점들에 대하여 우리가 제안한 프레임워크를 적용하여 등급을 나누고 수치화함으로써 취약점의 권한 획득 가능성에 따른 분류의 중요성을 보이고 있다.

• 보건의료산업학회지
• /
• 제9권2호
• /
• pp.23-32
• /
• 2015

In this paper, we evaluated web security vulnerability and privacy information management of hospital web sites which are registered at the Korea Hospital Association. Vulnerability Scanner (WVS) based on the OWASP Top 10 was used to evaluate the web security vulnerability of the web sites. And to evaluate the privacy information management, we used ten rules which were based on guidelines for protecting privacy information on web sites. From the results of the evaluation, we discovered tertiary hospitals had relatively excellent web security compared to other type of hospitals. But all the hospital types had not only high level vulnerabilities but also the other level of vulnerabilities. Additionally, 97% of the hospital web sites had a certain level of vulnerability, so a security inspection is needed to secure the web sites. We discovered a few SQL Injection and XSS vulnerabilities in the web sites of tertiary hospitals. However, these are very critical vulnerabilities, so all hospital types have to be inspected to protect their web sites against attacks from hacker. On the other hand, the inspection results of the tertiary hospitals for privacy information management had a better compliance rate than that of the other hospital types.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권8호
• /
• pp.189-196
• /
• 2016

많은 기업들은 웹 취약점 관리에 어려움을 겪고 있으며, 보안 사고도 자주 발생하고 있다. 현재는 OWASP 취약점에 기반을 둔 점검도구로 검수를 진행한다. 하지만 현재의 보안 검수는 웹 애플리케이션의 잦은 변화에 현실적으로 대응하기 어려운 실정이다. 본 연구에서는 먼저 기존 취약점 수치화 연구와 검수 프로세스를 검토하였다. 이에 기반을 두어 현실적이며 필수적인 주요 취약점 제거와 능동적인 검수 프로세스에 바탕을 둔 개선된 검수 프레임워크를 제안한다.

• 융합보안논문지
• /
• 제12권6호
• /
• pp.77-84
• /
• 2012

최근 보안 프로그램은 웹 인증에 있어, 클라이언트 시스템의 보안성 향상을 위해 널리 사용되고 있다. 보안 프로그램은 키보드 보안 기능과 인증서 관리, 백신, 방화벽 등의 기능들을 제공하고 있다. 특히 보안을 요하는 금융기관이나, 정부기관, 그리고 일부 민간 기업용 홈 페이지 등에서 사용되고 있으며, 프로그램 설치를 위해 ActiveX가 사용되고 있다. 그러나 보안 프로그램으로 인한 여러 보안 취약점과 문제점들이 나타나면서, 클라이언트 시스템의 안전성을 위협하고 있다. 따라서 본 논문은 보안 프로그램에 따른 취약점과 문제점을 사례연구 및 실험을 통해 분석함으로써, 향후 보안 프로그램의 성능향상 및 새로운 인증체계의 구축을 위한 자료로 활용될 것으로 기대한다.

• 정보보호학회논문지
• /
• 제28권6호
• /
• pp.1449-1461
• /
• 2018

소프트웨어 취약점의 수가 해마다 증가함에 따라 소프트웨어에 대한 공격 역시 많이 발생하고 있다. 이에 따라 보안 관리자는 소프트웨어에 대한 취약점을 파악하고 패치 해야 한다. 그러나 모든 취약점에 대한 패치는 현실적으로 어렵기 때문에 패치의 우선순위를 정하는 것이 중요하다. 본 논문에서는 NIST(National Institute of Standards and Technology)에서 제공하는 취약점 자체 정보와 더불어, 공격 패턴이나 취약점을 유발하는 약점에 대한 영향을 추가적으로 고려하여 취약점의 위험도 평가 척도를 확장한 스코어링 시스템을 제안하였다. 제안하는 스코어링 시스템은 CWSS의 평가 척도를 기반으로 확장했으며, 어느 기업에서나 용이하게 사용할 수 있도록 공개된 취약점 정보만을 활용하였다. 이 논문에서 실험을 통해 제안한 자동화된 시스템을 소프트웨어 취약점에 적용함으로써, 공격 패턴과 약점에 의한 영향을 고려한 확장 평가 척도가 유의미한 값을 보이는 것을 확인하였다.

• 정보보호학회논문지
• /
• 제29권6호
• /
• pp.1225-1234
• /
• 2019

임베디드 디바이스의 대중화로 인해 펌웨어의 보안은 더욱 중요해지고 있다. 유무선 공유기와 같은 네트워크 장비는 내재된 펌웨어의 웹 인터페이스 취약점을 통해 외부의 공격자로부터 피해를 받을 수 있기 때문에 빠르게 찾아내어 제거해야 한다. 이전 연구인 Firmadyne 프레임워크는 펌웨어를 에뮬레이션 한 뒤 취약점을 찾아내기 위한 동적 분석 방법을 제안한다. 그러나 이는 도구에서 정의된 분석 방법대로만 취약점 점검을 수행하므로 찾을 수 있는 취약점의 범위가 한정되어 있다. 본 논문에서는 소프트웨어 보안 테스트 기술 중 하나인 퍼징을 통해 에뮬레이션 기반 환경에서의 퍼징 테스트를 수행한다. 또한 효율적인 에뮬레이션 기반 퍼징을 위해 Fabfuzz 도구를 제안한다. 실험을 통해 확인한 결과 기존 도구에서 식별했던 취약점뿐만 아니라 다른 유형의 취약점도 발견할 수 있다.

• 융합보안논문지
• /
• 제18권3호
• /
• pp.37-44
• /
• 2018

오늘날 우리는 웹 사이트의 홍수 속에 살고 있으며, 다양한 정보를 얻기 위해서 인터넷을 통해 수많은 웹 사이트에 접속을 하고 있다. 하지만 웹 사이트의 보안성이 담보되지 않는다면, 여러 악의적인 공격들로부터 웹 사이트의 안전성을 확보할 수가 없다. 특히 금전적인 목적, 정치적인 목적 등 다양한 이유로 웹 사이트의 보안 취약점을 악용한 해킹 공격이 증가하고 있다. SQL-Injection, 크로스사이트스크립트(XSS), Drive-By-Download 등 다양한 공격기법들이 사용되고 있으며, 그 기술 또한 갈수록 발전하고 있다. 이와 같은 다양한 해킹 공격들을 방어하기 위해서는 웹 사이트의 개발단계부터 취약점을 제거하여 개발하여야 하지만, 시간 및 비용 등 여러 문제들로 인해 그러지 못하는 것이 현실이다. 이를 보완하기 위해 웹 취약점 점검을 통해 웹 사이트의 취약점을 파악하고 조치하는 것이 중요하다. 이에 본 논문에서는 웹 취약점 및 진단기법에 대해 알아보고 실제 웹 취약점 진단 사례를 통해 각 사례별 조치현황에 따른 개발단계에서의 취약점별 조치 우선 순위에 대해 알아보고자 한다.