• 정보보호학회논문지
• /
• 제29권3호
• /
• pp.557-564
• /
• 2019

소프트웨어의 증가에 따라 소프트웨어의 취약점도 함께 증가하고 있다. 다양한 소프트웨어는 다수의 취약점이 존재할 수 있으며 취약점을 통해 많은 피해를 받을 수 있기 때문에 빠르게 탐지하여 제거해야 한다. 현재 소프트웨어의 취약점을 발견하기 위해 다양한 연구가 진행되고 있지만, 수행 속도가 느리거나 예측 정확도가 높지 않다. 따라서 본 논문에서는 신경망 알고리즘을 이용하여 소프트웨어의 취약 여부를 효율적으로 예측하는 방법을 제안하며 나아가 기계학습 알고리즘을 이용한 기존의 시스템과 예측 정확도를 비교한다. 실험 결과 본 논문에서 제안하는 예측 시스템이 가장 높은 예측률을 보였다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제5권3호
• /
• pp.139-144
• /
• 2016

소프트웨어 개발 시 보안을 고려한 개발방법의 적용은 추가비용을 발생시키고, 이러한 추가 비용은 많은 개발조직에서 보안을 고려하지 못하는 원인이 된다. 보안을 고려한 개발을 진행 하더라도, 주어진 비용 내에서 처리할 수 있는 취약점 처리량을 산출하는 방법이 부족한 실정이다. 본 논문에서는 보안 취약점 처리 비용을 효율적으로 사용하여 취약점 처리량을 산출하는 방법을 제안한다. 제안한 방법에서는 소프트웨어 개발단계 중 구현 단계에 중점을 두고, 정적 분석 툴을 활용하여 CWE TOP25에 대한 보안 취약점을 찾아낸다. 찾아진 취약점은 CWE의 정보를 활용하여, 각 취약점의 위험도, 처리 비용, 비용 당 위험도를 정의하고, 처리 우선순위를 정의한다. 정의된 우선순위를 통하여 탐지된 취약점 처리에 소모되는 비용을 산출하고, 투입 비용 내에서 취약점 처리량을 제어한다. 본 방법을 적용하면, 투입 비용 내에서 최대의 취약점의 위험도를 처리할 수 있을 것으로 기대된다.

• 정보보호학회논문지
• /
• 제22권6호
• /
• pp.1407-1417
• /
• 2012

소프트웨어 시스템을 보안 침해로부터 보호하기 위해서는 소프트웨어의 개발 단계에서부터 생명주기 전체에 걸쳐 보안약점을 제거하는 작업이 요구된다. 이러한 작업을 수행함에 있어서 계속하여 보고되고 있는 다양한 보안약점들에 대하여 시스템 보안과 실제 활용 목적에 미치는 영향이 큰 보안약점을 선별하여 적절히 대처하는 것이 효과적이다. 본 논문에서는 소프트웨어 보안약점 및 보안취약점의 중요성에 대한 기존의 정량 평가 방법론들을 소개하고, 이를 기반으로 신뢰도가 중요시되는 소프트웨어 시스템에 대하여 보안약점의 일반적인 심각성을 객관적으로 평가할 수 있는 정량 평가 기준을 제안한다. 또한 제안된 기준을 사용하여 2011 CWE/SANS Top 25 보안약점 명세에 대한 중요도 평가를 수행하고 그 결과를 기존 점수와 비교함으로써 제안된 평가기준의 유용성을 보이고자 한다.

• 정보보호학회논문지
• /
• 제28권6호
• /
• pp.1449-1461
• /
• 2018

소프트웨어 취약점의 수가 해마다 증가함에 따라 소프트웨어에 대한 공격 역시 많이 발생하고 있다. 이에 따라 보안 관리자는 소프트웨어에 대한 취약점을 파악하고 패치 해야 한다. 그러나 모든 취약점에 대한 패치는 현실적으로 어렵기 때문에 패치의 우선순위를 정하는 것이 중요하다. 본 논문에서는 NIST(National Institute of Standards and Technology)에서 제공하는 취약점 자체 정보와 더불어, 공격 패턴이나 취약점을 유발하는 약점에 대한 영향을 추가적으로 고려하여 취약점의 위험도 평가 척도를 확장한 스코어링 시스템을 제안하였다. 제안하는 스코어링 시스템은 CWSS의 평가 척도를 기반으로 확장했으며, 어느 기업에서나 용이하게 사용할 수 있도록 공개된 취약점 정보만을 활용하였다. 이 논문에서 실험을 통해 제안한 자동화된 시스템을 소프트웨어 취약점에 적용함으로써, 공격 패턴과 약점에 의한 영향을 고려한 확장 평가 척도가 유의미한 값을 보이는 것을 확인하였다.

• 정보보호학회논문지
• /
• 제27권4호
• /
• pp.803-810
• /
• 2017

최근 소프트웨어 산업의 발달에 따른 사회적 보안 문제가 지속적으로 발생하고 있으며, 소프트웨어 안정성 검증을 위해 다양한 자동화 기법들이 사용되고 있다. 본 논문에서는 소프트웨어 테스팅 기법 중 하나인 동적 기호 실행을 이용해 윈도우 시스템 콜 함수를 대상으로 Use-After-Free 취약점을 자동으로 탐지하는 방법을 제안한다. 먼저, 목표 지점을 선정하기 위한 정적 분석 기반 패턴 탐색을 수행한다. 탐지된 패턴 지점을 바탕으로 관심 밖의 영역으로의 분기를 차단하는 유도된 경로 탐색 기법을 적용한다. 이를 통해 기존 동적 기호 실행 기술의 한계점을 극복하고, 실제 목표 지점에서의 취약점 발생 여부를 검증한다. 제안한 방법을 실험한 결과 기존에 수동으로 분석해야 했던 Use-After-Free 취약점을 제안한 자동화 기법으로 탐지할 수 있음을 확인하였다.

• 정보보호학회논문지
• /
• 제30권1호
• /
• pp.59-74
• /
• 2020

웹 애플리케이션이 동작하는 웹 공간은 공개된 HTML로 인하여 공격자와 방어자의 사이버 정보전쟁터이다. 사이버 공격 공간에서 웹 애플리케이션과 소프트웨어 취약성을 이용한 공격이 전 세계적으로 약 84%이다. 웹 방화벽 등의 보안제품으로 웹 취약성 공격을 탐지하기가 매우 어렵고, 웹 애플리케이션과 소프트웨어의 보안 검증과 보증에 많은 인건비가 필요하다. 따라서 자동화된 소프트웨어에 의한 웹 스페이스에서의 신속한 취약성 탐지와 대응이 핵심적이고 효율적인 사이버 공격 방어 전략이다. 본 논문에서는 웹 애플리케이션과 소프트웨어에 대한 보안 위협을 집중적으로 분석하여 보안위험 관리 모델을 수립하고, 이를 기반으로 효과적인 웹 및 애플리케이션 취약성 진단 방안을 제시한다. 실제 상용 서비스에 적용한 결과를 분석하여 기존의 다른 방식들보다 더 효과적임을 증명한다.

• Journal of Multimedia Information System
• /
• 제9권3호
• /
• pp.191-200
• /
• 2022

These days, businesses, in both online and offline, have started accepting cryptocurrencies as payment methods. Even in countries like El Salvador, cryptocurrencies are recognized as fiat currencies. Meanwhile, publicly known, but not patched software vulnerabilities are security threats to not only software users but also to our society in general. As the status of cryptocurrencies has gradually increased, the impact of security vulnerabilities related to cryptocurrencies on our society has increased as well. In this paper, we first analyze vulnerabilities from the two major cryptocurrency vendors of Bitcoin and Ethereum in a quantitative manner with the respect to the CVSS, to see how the vulnerabilities are roughly structured in those systems. Then we introduce a modified AML vulnerability discovery model for the vulnerability datasets from the two vendors, after showing the original AML dose not accurately represent the vulnerability discovery trends on the datasets. The analysis shows that the modified model performs better than the original AML model for the vulnerability datasets from the major cryptocurrencies.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 추계학술발표대회
• /
• pp.464-465
• /
• 2014

Analysis of characteristics in software vulnerabilities can be used to assess security risks and to determine the resources needed to develop patches quickly to handle vulnerability discovered. Being a new research area, the quantitative aspects of software vulnerabilities and risk assessments have not been fully investigated. However, further detailed studies are required related to the security risk assessment, using rigorous analysis of actual data which can assist decision makers to maximize the returns on their security related efforts. In this paper, quantitative software vulnerability analysis has been presented for major Web browsers (Internet Explorer (IE), Firefox (FX), Chrome (CR) and Safari (SF)) with respect to the Common Vulnerability Scoring System (CVSS). The results show that, almost all the time, vulnerabilities are compromised from remote networks with no authentication required systems, and exploitation aftermath is getting worse.

• 정보보호학회논문지
• /
• 제17권2호
• /
• pp.51-59
• /
• 2007

소프트웨어 테스팅은 소프트웨어의 버그 및 잘못 구현된 부분 등을 찾아내는 과정을 통해 품질을 평가하는 방법이다. 퍼징(fuzzing)은 소프트웨어 테스팅 기술의 여러 가지 방법 중 하나로써 난수를 발생시켜 테스팅하고자 하는 소프트웨어에 주입하는 방법으로써 보안에 중점을 두어 테스팅하는 방법이다. 퍼징은 단위 시간 당 테스팅 효율성, 비용 절감 등 여러 가지 장점을 이유로 다수 사용되고 있으나 퍼징 수행 시 전문가의 개입이 많은 단점이 존재한다. 예를 들면 해당 소프트웨어가 사용하는 프로토콜 혹은 퍼징 대상이 파일인 경우 파일 포맷에 대한 분석을 수행한 후에야 가능하기 때문에 테스팅 기간이 길어질 수 있으며 퍼징 도구를 이용해도 퍼징 대상의 프로토콜 및 포맷에 대한 분석이 난해한 경우 테스팅 대상에 대한 퍼징을 수행하지 못할 수도 있다. 본 논문에서 설계한 ROAD는 RPC 기반 프로토콜 및 소프트웨어를 자동으로 퍼징할 수 있는 도구이다. RPC는 다수의 취약점이 발견된 구성요소로써 본 논문에서는 이를 자동으로 퍼징할 수 있는 도구의 구현을 목표로 하였다. 기존의 도구 중 RPC 기반 소프트웨어를 퍼징하는 도구가 존재하지만 자동화되어 있지 않을 뿐만 아니라 소프트웨어에 따라 도구를 수정해야만 사용이 가능하다. 본 논문은 이러한 단점을 극복하고자 자동화 도구를 설계 및 구현하여 실제 RPC 기반 프로토콜 및 소프트웨어에 적용하였다. 또한 실험을 통해 도구의 효용성을 검증하였다.

• 소프트웨어공학소사이어티 논문지
• /
• 제28권1호
• /
• pp.13-22
• /
• 2019

경쟁적이며 급진적으로 오늘날 소프트웨어 개발 산업 현장에 시큐어 코딩 방법론을 효과적으로 적용하기 위해서는 보안 취약점 결함을 자동으로 검출하는 결함 검출기의 효과적이고 효율적인 적용이 필수적이다. 본 논문은 Java 웹 어플리케이션을 대상으로 하여 우리 행정안전부가 정의한 42개의 보안 취약점 진단 기준과 총 323개의 오픈소스 보안 취약점 결함 검출기의 검출 대상 결함 패턴을 비교하여, 동일한 결함 패턴을 대상으로 하는 것이 무엇인지를 명시화한 결과를 소개한다. 조사 결과를 바탕으로, 본 논문에서는 현재 행정안전부 보안 취약점 진단 기준 방법론의 한계점, 오픈소스 보안 결함 검출 프레임워크 간의 결함검출 범위의 비교, 그리고 시큐어 코딩 가이드라인에 기반 한 개발 보안 방법론의 발전 과제를 논의한다.