• 정보보호학회논문지
• /
• 제30권2호
• /
• pp.213-230
• /
• 2020

스마트 TV가 최근 IoT 생태계의 중심으로 떠오름에 따라 그 중요성은 갈수록 높아지고 있다. 스마트 TV 내 취약점이 발생하는 경우 도청, 도촬로 인한 사생활 침해 및 개인정보 유출의 측면 뿐만 아니라 금전적 피해까지 발생할 가능성이 있다. 본 논문에서는 스마트 TV 취약점 분석의 완전성을 높이기 위해 STRIDE 위협 모델링을 통해 위협을 체계적으로 식별하고 공격 대상에 대한 특성을 파악하였다. 또한 Attack Tree와 취약점 점검리스트를 제작하고 실제 취약점 분석을 통하여 점검리스트의 효과성을 검증하여 안전한 스마트 TV 사용 환경을 위한 보안 요구사항을 도출하였다.

• 정보보호학회논문지
• /
• 제27권3호
• /
• pp.439-448
• /
• 2017

포스트 양자 암호라 할지라도 실제 디바이스에 이를 적용 할 때 부채널 분석 취약점이 존재한다는 것은 이미 알려져 있다. 코드 기반 McEliece 암호와 격자 기반 NTRU 암호에 대한 부채널 분석 연구 및 대응책 연구는 많이 이루어지고 있으나, ring-LWE 암호에 대한 부채널 분석 연구는 아직 미비하다. 이에 본 논문은 8비트 디바이스에서 ring-LWE 기반 암호가 동작할 때 적용 가능한 선택 암호문 SPA 공격을 제안한다. 제안하는 공격은 [$log_2q$]개의 파형으로 비밀키를 복구 할 수 있다. q는 보안 레벨과 관련된 파라미터로 128비트 또는 256비트의 보안 레벨을 만족하기 위해 각각 7681 또는 12289를 사용한다. 또한, 우리는 실제 디바이스에서 동작되는 ring-LWE 복호화 과정의 모듈러 덧셈에서 비밀키를 드러낼 수 있는 취약점이 존재함을 실험을 통해 보이고, 공격 시간 단축을 위한 두 벡터의 유사도 측정 방법을 이용한 공격에 대해 논한다.

• 정보보호학회논문지
• /
• 제34권1호
• /
• pp.21-29
• /
• 2024

ICT와 network의 발달로 규모가 커진 IT 인프라의 보안 관리가 매우 어려워지고 있다. 많은 회사나 공공기관에서 시스템과 네트워크 보안 관리에 어려움을 겪고 있다. 또한 하드웨어와 소프트웨어의 복잡함이 커짐에 따라 사람이 모든 보안을 관리한다는 것은 불가능에 가까워지고 있다. 따라서 네트워크 보안 관리에 AI가 필수적이다. 하지만 실제 네트워크 환경에 공격 모델을 구동하는 것은 매우 위험하기에 실제와 유사한 네트워크 환경을 구현하여 강화학습을 통해 사이버 보안 시뮬레이션 연구를 진행하였다. 이를 위해 본 연구는 강화학습을 네트워크 환경에 적용하였고, 에이전트는 학습이 진행될수록 해당 네트워크의 취약점을 정확하게 찾아냈다. AI를 통해 네트워크의 취약점을 발견하면, 자동화된 맞춤 대응이 가능해진다.

• 한국전자거래학회지
• /
• 제16권2호
• /
• pp.129-142
• /
• 2011

현재까지 서비스지향 아키텍처(SOA) 보안은 개별 표준들과 솔루션에 의한 대응에 집중해있을 뿐 전사적인 위험관리 차원의 통합적인 방법론은 부족한 실정이다. 따라서 SOA 보안 취약점 식별을 통한 다양한 보안 위협들에 대한 사전 분석과 대책 수립이 필요하다. 이를 위해 본 논문에서는 SOA 취약성을 정량적으로 분석하기 위한 SOA 동적 특성을 이용한 메트릭 기반의 취약성 평가 방법을 제안한다. SOA를 구성하는 서비스들 사이의 실행시간 종속성을 측정하여 서비스와 아키텍처 수준의 취약성을 평가한다. 서비스 사이의 실행시간 종속성은 한 서비스가 취약할 때 다른 서비스들이 얼마나 영향을 받게 되는지를 분석하기 위해 사용되는 중요한 특징이다. 한 서비스가 공격에 노출될 때 그 서비스에 종속된 서비스들도 역시 공격가능성이 높아진다. 따라서 실행시간 종속성은 SOA 아키텍처 수준의 취약성에 대한 지표로 활용할 수 있다.

• 정보보호학회논문지
• /
• 제32권5호
• /
• pp.845-853
• /
• 2022

스마트폰의 메모리 용량이 증가하면서 스마트폰에 저장된 개인 정보의 종류와 양도 증가하고 있다. 하지만 최근 악의적인 공격자의 악성 앱이나 수리기사 등의 타인으로 인해 스마트폰의 사진, 동영상 등의 다양한 개인 정보가 유출될 가능성이 증가하고 있기 때문에, 사용자의 이러한 개인 정보를 보호할 수 있는 다양한 정보 은닉 앱이 출시되고 있다. 본 논문은 이러한 정보 은닉 앱의 암호 알고리즘 및 데이터 보호 기능을 분석하여 안전성 및 취약점을 분석 및 연구했다. 이를 위해 우리는 Google Play에 등록된 정보 은닉 앱 중에서 전 세계적으로 가장 많이 다운로드된 AppLock 3.3.2 버전(December 30, 2020)과, 5.3.7 버전(June 13, 2022)을 분석했다. 접근 제어 기능의 경우, 사용자가 입력한 패턴을 암호화하기 위한 값들이 소스 코드에 평문으로 하드코딩 되어있으며 암호 알고리즘이 적용된 패턴 값은 xml 파일에 저장한다는 취약점이 존재했다. 또한 금고 기능의 경우 금고에 저장하기 위한 파일과 로그 파일을 암호화하지 않는 취약점이 존재했다.

• 정보보호학회논문지
• /
• 제33권2호
• /
• pp.281-293
• /
• 2023

산업제어시스템의 특성에 대한 공격자들의 이해 증가와 더불어 정보 기술과의 연결성이 확대되면서 산업제어시스템을 대상으로 하는 보안사고가 증가하고 있다. 이와 관련된 취약점의 수는 매년 급증하고 있지만, 모든 취약점에 대해 적시의 패치를 수행하는 것은 어렵다. 현재 취약점 패치의 기준으로 여겨지는 공통 취약점 평가체계는 취약점이 발견된 후의 무기화를 고려하고 있지않다는 한계점을 지니고 있다. 따라서 본 연구에서는 운영 기술 및 산업제어시스템 내 발생 취약점 정보가 포함된 공개 정보를 기반으로 시간의 흐름에 따라 변화하는 공격자의 기술 수준을 분류하기 위한 기준을 정의한다. 또한 해당 속성을 기존 심각도 점수 산출에 반영하여 취약점의 실제 위험성과 긴급성이 반영된 심각도를 평가하는 방안을 제안하고자 한다. 해당 평가 방안의 시계열적 특성 반영 및 운영기술 및 산업제어시스템 환경에서의 유효성을 확인하기 위해 실제 사고에 활용된 취약점에 기반한 사례연구를 수행하였다.

• 한국정보통신학회논문지
• /
• 제15권11호
• /
• pp.2399-2403
• /
• 2011

RFID 는 유비쿼터스 환경하에서 필수불가결한 기술이 되도 있다. 그러나 RFID 의 본질적인 단점으로 인하여 프라이버시와 같은 보안적인 취약점을 기자고 있다. 따라서 본 논문에서는 RFID 시스템의 관점하에서 태그에서의 보안적인 취약점 및 이럴 해결하기 위한 여러 가지의 프로토콜에서의 문제점을 분석하였다. 최근에는 반도체 공정 기술의 발전과 경량화프로토콜의 발전으로 인하여 태그에서의 보안성이 향상되고 있는 중이다.

• Journal of Information Technology Applications and Management
• /
• 제26권4호
• /
• pp.19-30
• /
• 2019

Many organizations need to comply with ISMS-P for information systems and personal information management for ISMS-P certification. Organizations should safeguard vulnerablities to information systems. However, as the kinds of information systems are diversified and the number of information systems increases, management of such vulnerabilities manually accompanies with many difficulties. SCAP is a protocol to manage the vulnerabilities of information system automatically with security standards. In this paper, for the introduction of SCAP in domestic domains we verify the applicability of server-oriented system which is one of ISMS-P certification targets. For SCAP applicability, For obtaining this goal, we analyze the structures and functions of SCAP. Then we propose schemes to check vulnerabilities of the server-oriented system. Finally, we implement the proposed schemes with SCAP to show the applicability of SCAP for verifying vulnerabilities of the server-oriented system.

• 융합보안논문지
• /
• 제19권3호
• /
• pp.3-12
• /
• 2019

인터넷 상의 사용자가 목적지 시스템으로 정보를 전송할 수 있도록 라우팅 정보를 서로 교환하여 라우팅 테이블을 생성하고 변화된 정보를 업데이트 해주는 라우팅 프로토콜 중 가장 중요한 프로토콜이 BGP 이다. 본 논문은 현재 사용되고 있는 BGPv4의 취약성을 이용하여 악의적인 공격과 네트워크 관리자의 실수로 발생할 수 있는 문제점을 사전에 차단하는 방법과 BGP의 대표적인 보안 취약점에 대한 공격기법인 AS-PATH 공격에 대한 실제 공격실험을 수행하여 공격기법들을 분석하고, AS-PATH 공격을 식별하는 알고리즘을 제안하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2014년도 춘계학술대회
• /
• pp.169-170
• /
• 2014

웹사이트 공격의 대부분이 응용프로그램(SW)의 취약점을 악용한 것이다. 현재에도 국내외로 해킹 사례가 빈번히 발생하고 있다. 본 논문에서는 S/W 개발 보안의 주요 이슈를 다루어 본다. 그리고 보안 관련 법 제도 규정을 살펴보도록 한다.