• 정보보호학회논문지
• /
• 제34권4호
• /
• pp.781-799
• /
• 2024

최근 미국과 유럽연합은 ICT 제품 및 서비스에 대한 보안취약점 대응 강화를 위하여 화이트해커와의 협력에 기반한 보안취약점 대응체계인 Coordinated Vulnerability Disclosure(CVD)를 제도적으로 도입 및 확산해 나가고 있다. 이러한 사이버보안 변화에 맞춰 본 논문은 CVD를 정보통신망법에 기반하여 도입하는 방안을 3단계 절차로 제안한다. 첫 번째 단계에서는 CVD 법제화 필요성 및 요구사항을 파악하기 위하여 우리나라 현황과 미국, 유럽연합, OECD의 CVD 관련 동향을 조사한다. 두 번째 단계에서는 CVD 법제화 필요성을 분석하고 CVD를 법제화하기 위해 요구되는 사항을 도출한다. 본 논문에서는 CVD 법제화 필요성을 CVD 도입 필요성, 법률에 기반한 제도화 필요성, 법제화 법률로 정보통신망법의 적합성 등 3가지 측면에서 분석하였으며, CVD 법제화 요구사항으로는 보안취약점 처리방침(VDP, Vulnerability Disclosure Policy) 수립 및 공개, 화이트해커 법적 보호, CVD 운영을 위한 조정기관(coordinator) 지정 및 역할 부여를 도출하였다. 세 번째 단계에서는 CVD 법제화 요구사항을 우리나라 민간 분야 침해사고 예방 및 대응에 관한 법률인 정보통신망법에 적용하는 방안을 소개한다.

• 한국인터넷방송통신학회논문지
• /
• 제15권4호
• /
• pp.63-70
• /
• 2015

유비쿼터스 시대의 도래와 함께 센서를 기반으로 하는 무선 센서 네트워크의 응용 분야는 광범위하게 확산되고 있다. 따라서 무선 센서 네트워크에서 센서들로부터 수집되는 기밀 데이터를 허가 받지 않은 사용자로부터 보호하기 위해, 널리 사용되어지는 스마트카드와 패스워드 기반의 사용자 인증도 견고한 보안을 요구한다. 최근 무선 센서 네트워크는 클러스터 헤드와 센서 노드 이원화를 통해 운용상 보다 효과적인 계층적 무선 센서 네트워크로 전개 발전되고 있다. 2012년 Das 등은 계층적 무선 센서 네트워크에 실제 적용 가능한 동적 패스워드 기반 사용자 인증 스킴을 제안하였다. 본 논문은 안정성 분석을 통해 Das 등의 스킴이 그들의 주장과 달리 여전히 중간자 공격, 패스워드 추측 공격, 패스워드 변경 공격을 막을 수 없을 뿐 아니라, 필수적인 보안 요구사항인 사용자와 클러스터 헤드 간의 상호인증을 투명하게 제공하지 못함을 입증한다.

• 정보보호학회논문지
• /
• 제26권4호
• /
• pp.871-883
• /
• 2016

PC의 입력 장치인 키보드 중 RF 신호를 이용한 무선 키보드의 사용은 꾸준히 증가하고 있다. 특히 2.4 GHz 대역을 사용하는 무선 키보드는 현재 가장 많이 사용되고 있으며 이에 대한 취약점이 2010년부터 보고되고 있다. 본 논문은 기존 연구되어진 마이크로소프트 2.4 GHz 무선 키보드 취약점을 기반으로 안드로이드 스마트폰을 이용한 2.4 GHz 무선 키보드 키 스트로크 분석 및 주입 기능을 모두 갖춘 원격 제어 시스템을 제안하고, 제안된 시스템을 이용해 실제 2.4 GHz 무선 키보드를 사용하는 사용자의 민감한 정보의 노출 위험성을 실험을 통해 보인다.

• 한국융합학회논문지
• /
• 제6권4호
• /
• pp.225-234
• /
• 2015

웹 서비스 사용자가 증가하면서 웹 애플리케이션을 공격하는 방법들이 여러 가지 유형들로 나타나면서 웹 애플리케이션 보안에 관한 중요성의 인식도 증가하고 있다. 정보통신기술 발달과 함께 도래한 지식정보사회는 급변하는 사회에서 창의성과 인성 교육에 필요한 웹사이트의 구축이 절실히 요구되고 있다. 본 논문에서는 창의 인성 교육기반의 디지털 큐레이션 시스템에서 제공하는 교육 콘텐츠에 대한 SQL Injection과 XSS에 대한 공격 방법과 취약점을 분석한다. 그리고 SQL Injection과 XSS에 대한 웹 공격에 대응하는 방법을 제시하고자 한다.

• 정보보호학회논문지
• /
• 제26권1호
• /
• pp.81-91
• /
• 2016

현재 전자기기가 없는 현실을 상상하기 어려울 만큼 각종 전자기기들이 우리 생활 속 깊숙한 곳까지 파고들어와 있다. 그중 높은 편의성과 휴대성을 가진 스마트폰, 태블릿 PC, 무선 키보드와 같은 무선 전자기기의 사용이 급격히 증가하고 있다. 또한 전자기기에서 중요한 개인정보 및 금융정보의 사용이 증가함에 따라 이를 탈취하기 위한 다양한 공격들이 보고되고 있다. 이에 본 논문에서는 대표적인 무선기기 중 27MHz 무선 키보드를 대상으로 취약성을 분석하고, 무선 키보드 분석 환경을 구축하였다. 뿐만 아니라 실생활에서 무선 키보드 사용 시 존재하는 취약성에 대한 실험을 수행하였다. 실험 결과는 향후 무선기기의 취약성 및 안전성 검증에 활용될 것으로 사료된다.

• 정보보호학회논문지
• /
• 제28권5호
• /
• pp.1247-1258
• /
• 2018

록히드 마틴사(社)에서 제안한 사이버킬체인은 사이버 공격절차를 7단계로 표준화하고, 각 단계별로 적절한 대응방안을 제시함으로써 궁극적으로 공격자가 공격목적을 달성하지 못하도록 하는 사이버작전 수행 간 방어에 대한 방법론을 제공한다. 이와 같은 사이버킬체인 모델을 활용하면 기존의 방법들로는 대응하기 어려웠던 지능형 지속공격(APT)에 보다 효과적인 대응이 가능하다는 장점이 있다. 하지만 최근의 사이버작전은 목표시스템을 직접 공격하는 기술적 사이버작전보다는 목표시스템 관리자나 사용자의 취약점을 통해 목표시스템을 우회적으로 공격하는 사회공학 사이버작전의 비중이 늘어가고 있는 추세이다. 이런 상황에서 기술적 사이버작전을 방어하기 위한 기존의 사이버킬체인 개념만으로는 사회공학 사이버작전에 효과적으로 대응할 수 없다. 따라서 본 논문에서 우리는 사회공학 사이버 작전에 효과적으로 대응할 수 있는 사회공학 사이버킬체인에 대한 개념을 정립하고자 한다.

• 한국통신학회논문지
• /
• 제42권2호
• /
• pp.349-357
• /
• 2017

많은 웹 사이트들이 사용자가 패스워드를 분실하거나 온라인 결제를 진행하는 등의 상황에서 SMS(Short Message Service) 기반의 사용자 인증을 채택하고 있다. SMS 기반 인증에서 인증 서버는 텍스트를 평문으로 전송하기 때문에 공격자가 그 텍스트를 도청하거나 가로채면 다른 사람(피해자)인 것처럼 인증을 받을 수 있다. 본 논문에서는 사용자가 스마트폰을 지금, 어느 위치에서 소유하고 있는지를 인증하는 챌린지-응답(challenge-response) 형태의 인증 방식을 제안한다. 제안 방식은 서버가 보낸 챌린지, 사용자의 현재 위치정보, 스마트폰에 저장된 비밀 값을 모두 사용하여 응답을 생성한다. 그 결과로, 단순히 사용자가 받은 SMS 메시지를 어떤 가공도 없이 그대로 서버로 되돌리는 SMS 기반 인증에 비해, 제안 방식은 훨씬 더 안전하다. 제안 방식은 기존 SMS 기반 인증의 텍스트에 해당하는 응답의 입력과 더불어, 인증 과정의 시작을 위해 추가로 패스프레이즈(passphrase)의 입력을 요구하나, 추가 입력의 부담은 향상되는 보안성을 고려할 때 대부분의 사용자들이 감내할 수 있는 수준이라 판단한다.

• 전기전자학회논문지
• /
• 제22권2호
• /
• pp.242-249
• /
• 2018

본 논문에서는 전장 정보 체계 개발에 최적화된 시큐어 코딩룰 셋에 기반하여 Visual Studio 컴파일러와 코드 분석기를 통해 자동으로 검출이 가능한 코드의 보안 약점을 식별하고, 도구를 이용한 자동 검출이 어려운 보안 약점 항목에 대하여는 시큐어 코딩 라이브러리 구현을 통해 개별 프로그래머의 시큐어 코딩에 대한 이해나 능력에 의존하지 않고도 구현 단계에서 대응할 수 있는 방안을 설명한다. 시큐어 코딩룰 셋을 기준으로, 개발자는 VS 컴파일러와 코드 분석기를 이용하면 약 38%의 보안 약점을 검출할 수 밖에 없는 한계가 있으나, 기존의 개발 도구와 더불어 제안하는 시큐어 코딩 라이브러리를 함께 이용하는 경우 48%로 보안 약점의 사전진단에서 10%의 향상이 가능하며, 개발단계에 해당 보안 취약점을 검출하여 예방하는 것이 가능하다.

• 융합보안논문지
• /
• 제17권4호
• /
• pp.11-16
• /
• 2017

이동 노드로만 구성된 MANET은 응급 상황에서 신속하게 네트워크를 구축할 수 있는 장점 때문에 다양한 환경에 적용되고 있다. 그러나 노드들의 이동으로 인한 동적 토폴로지와 링크 실패는 많은 라우팅 취약점을 노출하고 있으며, 네트워크 성능을 크게 떨어뜨릴 수 있는 요인이 된다. 본 논문에서는 신뢰 모델을 기반으로 한 안전한 라우팅 프로토콜 기법을 제안하였다. 제안한 기법에서는 노드들에 대한 효율적인 신뢰 평가 및 관리를 위해 영역 기반 네트워크 구조를 이용하였다. 노드들의 신뢰 평가는 노드들의 제어 패킷과 데이터 패킷의 폐기 비율 측정을 통해 이루어졌으며, 라우팅의 효율을 높이기 위하여 트래픽 검사를 실시하고 과도한 트래픽을 발생시키는 경로에 존재하는 노드들에 대한 DSN 검사하여 비정상행위 노드를 탐지하였다. 제안한 기법을 통해 경로상에 공격이 존재하더라도 안전하게 데이터 전송이 이루어짐을 실험을 통하여 확인하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2007년도 추계종합학술대회
• /
• pp.713-716
• /
• 2007

본 논문은 Ad-hoc 네트워크의 무선 보안의 취약성과 현재 활용되고 있는 인증기법을 분석하여, Ad-hoc 기반 강력한 인증을 위해 검증자를 이용한 인증기법을 제안한다. 제안기법은 라우팅, 등록, 실행 단계로 구성하며, 라우팅 단계에서는 AODV 프로토콜을 이용하였다. 등록 및 실행 단계에서는 적법한 소스노드 인증을 위해 원타임 패스워드 S/key와 패스워드 기반 DH-EKE를 적용하였다. 제안 인증 기법의 안전한 패킷 데이터 전송과 데이터 암호화를 위한 세션키 설정시 H(pwd) 검증자로 암호화 하여 키교환을 수행하고, 원타임 패스워드는 소스노드의 패스워드 소유 검증과 효율성 향상을 위해 사용한다. EKE는 식별자를 해쉬함수에 모듈라 지수승 하는 DH-EKE 방식을 이용하여 단대단 세션키를 설정하고 키교환 단계에서는 H(pwd) 검증자로 암호화 함으로써 안전한 세션키 교환을 한다.