• Journal of Multimedia Information System
• /
• 제8권4호
• /
• pp.259-266
• /
• 2021

Security vulnerabilities have been reported in major design software systems such as Adobe Photoshop and Illustrator, which are recognized as de facto standard design tools in most of the design industries. Companies need to evaluate and manage their risk levels posed by those vulnerabilities, so that they could mitigate the potential security bridges in advance. In general, security vulnerabilities are discovered throughout their life cycles repeatedly if software systems are continually used. Hence, in this study, we empirically analyze risk levels for the three major graphical design software systems, namely Photoshop, Illustrator and GIMP with respect to a software vulnerability discovery model. The analysis reveals that the Alhazmi-Malaiya Logistic model tends to describe the vulnerability discovery patterns significantly. This indicates that the vulnerability discovery model makes it possible to predict vulnerability discovery in advance for the software systems. Also, we found that none of the examined vulnerabilities requires even a single authentication step for successful attacks, which suggests that adding an authentication process in software systems dramatically reduce the probability of exploitations. The analysis also discloses that, for all the three software systems, the predictions with evenly distributed and daily based datasets perform better than the estimations with the datasets of vulnerability reporting dates only. The observed outcome from the analysis allows software development managers to prepare proactively for a hostile environment by deploying necessary resources before the expected time of vulnerability discovery. In addition, it can periodically remind designers who use the software systems to be aware of security risk, related to their digital work environments.

• 융합보안논문지
• /
• 제22권3호
• /
• pp.19-24
• /
• 2022

메타버스는 '가상', '초월' 등을 뜻하는 영어 단어 '메타'(Meta)와 우주를 뜻하는 '유니버스'(Universe)의 합성어로, 현실세계와 같은 사회·경제·문화 활동이 이뤄지는 3차원의 가상세계를 가리킨다. 메타버스는 가상현실(VR, 컴퓨터로 만들어 놓은 가상의 세계에서 사람이 실제와 같은 체험을 할 수 있도록 하는 최첨단 기술)보다 한 단계 더 진화한 개념으로, 아바타를 활용해 단지 게임이나 가상현실을 즐기는 데 그치지 않고 실제 현실과 같은 사회·문화적 활동을 할 수 있다는 특징이 있다. 하지만, 이에 대한 보안 이슈가 많아 발생하고 있어 사이버보안 안전성 여부를 확인할 필요가 있다. 본 논문은 메타버스 환경에서 발생할 수 있는 사이버보안의 위협과 취약점을 분석하여 안전성을 확인 한다.

• 디지털산업정보학회논문지
• /
• 제6권1호
• /
• pp.105-114
• /
• 2010

C language is frequently used to develop application and system programs. However, programs using C language are vulnerable to buffer overflow attacks. To prevent buffer overflow, programmers have to check boundaries of buffer areas when they develop programs. But vulnerable programs frequently result from improper programming habits and mistakes of programmers. Existing researches for preventing buffer overflow attacks only inform programmers of warnings about vulnerabilities and not remove vulnerabilities in advance so that the programs still include vulnerabilities. In this paper, we propose a function translator which prevents creating programs including buffer overflow vulnerabilities. To prevent creating binary from source including vulnerabilities, the proposed translator searches vulnerable functions which cause buffer overflows, and converts them into secure functions. Accordingly, developing vulnerable programs by programmers which lack in knowledge on security can be prevented.

• 융합보안논문지
• /
• 제19권1호
• /
• pp.3-10
• /
• 2019

5G 네트워크는 초고속, 초연결, 초저지연이라는 요구를 구현하기 위해 다양한 ICT 기술들을 접목한 차세대 융합 네트워크로서, 이전 세대 이동통신 네트워크의 보안취약점을 해결하기 위해 다양한 노력들이 시도되었다. 그러나 현재까지 발표된 표준화 규격들에는 USIM 탈취 및 복제, 메시지 재전송 공격, 경쟁조건 공격 등의 보안취약점이 여전히 존재한다. 이러한 문제를 해결하기 위해, 본 논문에서는 물리적 복제방지 기능인 PUF 기술을 적용한 새로운 5G 인증 및 키합의 프로토콜을 제시한다. 제시된 PUF 기반의 인증 및 키합의 프로토콜은 특정 입력값에 대해 장치별로 고유하게 생성되는 응답값과 해시함수를 이용하여 현재까지 식별된 보안취약점을 개선한다. 이러한 접근 방법은 보안성이 중요하게 요구되는 영역에서 5G 네트워크를 활용할 경우, 저렴한 PUF 회로의 추가를 통해 강력한 화이트리스트 정책을 구현할 수 있게 해 준다. 또한 기존 프로토콜에 추가적인 암호 알고리즘을 적용하지 않기 때문에 연산 비용 증가나 인증 파라미터 저장 공간 증가의 부담도 상대적으로 적다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제7권8호
• /
• pp.1989-2009
• /
• 2013

How to discover router vulnerabilities effectively and automatically is a critical problem to ensure network and information security. Previous research on router security is mostly about the technology of exploiting known flaws of routers. Fuzzing is a famous automated vulnerability finding technology; however, traditional Fuzzing tools are designed for testing network applications or other software. These tools are not or partly not suitable for testing routers. This paper designs a framework of discovering router protocol vulnerabilities, and proposes a mathematical model Two-stage Fuzzing Test Cases Generator(TFTCG) that improves previous methods to generate test cases. We have developed a tool called RPFuzzer based on TFTCG. RPFuzzer monitors routers by sending normal packets, keeping watch on CPU utilization and checking system logs, which can detect DoS, router reboot and so on. RPFuzzer' debugger based on modified Dynamips, which can record register values when an exception occurs. Finally, we experiment on the SNMP protocol, find 8 vulnerabilities, of which there are five unreleased vulnerabilities. The experiment has proved the effectiveness of RPFuzzer.

• ETRI Journal
• /
• 제31권5호
• /
• pp.554-564
• /
• 2009

In information security and network management, attacks based on vulnerabilities have grown in importance. Malicious attackers break into hosts using a variety of techniques. The most common method is to exploit known vulnerabilities. Although patches have long been available for vulnerabilities, system administrators have generally been reluctant to patch their hosts immediately because they perceive the patches to be annoying and complex. To solve these problems, we propose a security vulnerability evaluation and patch framework called PKG-VUL, which evaluates the software installed on hosts to decide whether the hosts are vulnerable and then applies patches to vulnerable hosts. All these operations are accomplished by the widely used simple network management protocol (SNMP). Therefore, system administrators can easily manage their vulnerable hosts through PKG-VUL included in the SNMP-based network management systems as a module. The evaluation results demonstrate the applicability of PKG-VUL and its performance in terms of devised criteria.

• 정보보호학회논문지
• /
• 제23권3호
• /
• pp.531-543
• /
• 2013

에너지 방송 통신 교통 등의 주요 기반시설의 파괴와 침해는 사회 경제적 손실 뿐 아니라 개인의 자유와 권리를 위협하는 결과를 초래할 수 있다. 특히 교통신호제어시설이 침해되었을 경우에는 시민들의 생활 불편 뿐 아니라 교통사고 등 사회 혼란을 유발시킨다. 최근의 제어시스템은 폐쇄망으로 운영하고 있어 안전하다는 생각으로 정보보호시스템이 구축되어 있지 않거나 보안 패치 및 바이러스 백신 업데이트 등이 제대로 이루어지지 않아 보안취약점을 이용한 사이버 공격에 노출되어 있다. 따라서, 사이버 공격 및 침해사고를 방지하기 위해서 지능형교통시스템의 특성을 파악하고 그에 맞는 대응방안을 마련할 필요가 있다. 본 논문에서는 지능형교통시스템에 대한 보안취약요인을 분석하고 보안취약점 개선방안을 제시하고자 한다.

• 한국전자통신학회논문지
• /
• 제9권1호
• /
• pp.137-142
• /
• 2014

산업제어시스템(Industrial Control System)은 전력, 가스, 수도, 하수, 오일 및 교통시스템과 같은 국가주요기반시설 및 산업분야에서 원거리에 산재된 시스템의 효과적인 원격모니터링 및 제어를 위해 필수적으로 사용되는 컴퓨터 기반의 시스템을 말한다. 고도로 발전된 IT 및 네트워크 관련 기술들이 산업제어시스템에 적용되어 효율성을 높이는 장점이 있지만, 일반적인 IT 환경에서의 각종 정보시스템이 가지는 사이버보안 취약성 및 사고의 가능성이 증대되는 단점을 가지게 되었다. 산업제어시스템에서 통상적으로 발견되는 취약점은 우선순위, 발생빈도 및 영향의 심각성들과는 무관하게 정책 및 절차, 플랫폼 및 네트워크 등으로 분류된다. 이러한 취약점들은 첫째, 패스워드의 강제 사용등과 같은 보안 정책 및 절차를 적용함으로서 취약점을 경감 시킬 수 있다. 둘째로, 운영체제 및 응용프로그램의 패치 적용, 물리적인 접근제어, 보안프로그램 사용등과 같은 다양한 보안통제를 적용함으로서 취약점을 경감 및 완화 시킬 수 있다. 셋째로, 심층방호개념의 네트워크 설계, 네트워크 통신의 암호화, 네트워크 트래픽 제한, 네트워크 장비에 대한 물리적 접근제어 방법 등과 같은 다양한 보안통제를 적용함으로서 취약점을 제거하거나 완화 시킬 수 있다.

• 한국인터넷방송통신학회논문지
• /
• 제12권5호
• /
• pp.237-242
• /
• 2012

공격 대상 소프트웨어의 취약점을 악용한 사이버 공격이 급속히 증가하여 왔다. 그러나, 이러한 취약점을 탐지하고 대처하는 것은 매우 어렵고 시간이 많이 걸리는 작업이다. 이 문제를 효과적으로 대응하기 위하여, 본 논문에서는 실행코드 상에서의 체계적인 보안 취약점 분석 프로세스 방법론을 제시한다. 구체적으로, 본 연구진은 기존 취약점을 웹 환경 유무, 대상 소프트웨어 특성 등을 고려하여 분류하고 취약점 리스트 및 범위를 결정하는 접근법을 택하였다. 향후 연구 방향으로는 현재 도출된 방법론을 좀 더 구체화하고 검증하는 과정이 필요하다.

• 융합보안논문지
• /
• 제4권2호
• /
• pp.43-51
• /
• 2004

운영체제 및 응용프로그램들은 프로그램 개발 과정의 특성상 보안 취약성을 가지고 있다. 최근 이러한 취약성을 악용하는 침해사례가 증가하고 있으며, 그 피해의 파급효과가 더욱 커지고 있다. 패치의 분배 및 설치는 취약성을 이용하는 침해사고를 예방하기 위한 가장 중요한 요소 중의 하나이다. 특정 기관이나 조직은 다양한 운영체제 및 응용프로그램을 사용하기 때문에 관리자가 매번 신속하게 모든 시스템들에 대하여 패치를 설치하기는 어려움이 있다. 본 논문에서는 중앙의 관리자가 패치관리서버를 이용하여 Windows, Linux, Solaris 클라이언트 시스템들에 대하여 안전하게 패치를 자동분배하고 설치하는 패치관리시스템을 설계 및 구현하였다 또한, 대규모 네트워크를 지원하기 위하여 확장성을 고려한 계층적인 패치 분배 구조로 설계 및 구현하였다.