• 한국정보과학회논문지:시스템및이론
• /
• 제37권4호
• /
• pp.226-238
• /
• 2010

OpenSSL은 보안 통신 프로토콜인 SSL을 구현한 공개 소스 기반의 라이브러리이다. 하지만, 이 라이브러리는 리눅스 혹은 유닉스 운영체제에서 공유 라이브러리 형식으로 사용될 때 보안 정보를 쉽게 노출할 수 있다는 취약점이 있다. 본 논문은 이런 취약점을 공격하는 기법을 제안한다. 이 기법은 실행중인 클라이언트 프로그램에 공격 코드를 주입하여 SSL 핸드셰이크 단계에서 보안 취약점을 다음과 같이 공격한다. 첫째, 클라이언트가 서버에게 지원 가능한 암호 알고리즘의 목록을 전송할 때 그 목록의 모든 알고리즘을 임의로 지정한 알고리즘으로 교체한다. 이 교체는 암호 알고리즘의 목록을 수신한 서버로 하여금 지정한 암호 알고리즘을 선택하도록 한다. 둘째, 암복호화에 사용되는 암호 키를 생성 과정에서 가로채고, 그 암호 키를 외부 공격자에게 전송한다. 그 후 외부 공격자는 지정한 암호 알고리즘과 가로챈 암호키를 사용하여 송수신된 암호 데이터를 복호화한다. 제안하는 기법의 실현성을 보이기 위해 본 논문은 리눅스에서 OpenSSL 공유 라이브러리를 사용하는 ftp 클라이언트가 서버로 전송하는 암호화된 로그인(login) 정보를 가로채 복호화하는 실험을 수행하였다.

• 한국멀티미디어학회논문지
• /
• 제14권10호
• /
• pp.1335-1347
• /
• 2011

최근 모바일 애플리케이션의 보급과 사용은 급속도로 확장되고 있으며, 이 과정에서 모바일 애플리케이션의 보안이 새로운 문제로 대두되고 있다. 일반적인 소프트웨어의 안전성은 시큐어 코딩을 통해 개발 단계에서 부터 검증까지 체계적으로 이루어지고 있으나 모바일 애플리케이션의 경우는 아직 연구가 미흡한 실정이다. 본 논문에서는 모바일 애플리케이션에 특화된 취약점 항목을 도출하고 이를 기반으로 취약점을 분석할 수 있는 취약점 분석기를 설계하고 구현한다. 취약점 목록은 CWE(Common Weakness Enumeration)와 CERT (Computer Emergency Response Team)를 기반으로 모바일 애플리케이션의 특징인 이벤트 구동방식을 한정하여 도출하였으며, 분석 도구는 동적 테스트를 통하여 애플리케이션 소스 내에 취약점이 존재하는지 검사한다. 또한 도출된 취약점 목록은 모바일 애플리케이션을 작성하는 프로그래머의 지침서로 활용 될 수 있다.

• 융합보안논문지
• /
• 제15권4호
• /
• pp.3-9
• /
• 2015

웹 서비스를 가능하게 하는 웹 어플리케이션은 내부 개발자가 보안 의식을 갖고 만든다면 일정 수준 이상의 안전성을 보여준다. 하지만 외주 개발의 경우, 품질의 우수성보다는 요구 사항을 충족하고 요청 받은 기능을 실행시키는데 주안점이 있기 때문에 안전성이 우선되지 못한다. 따라서, 본 논문에서는 소프트웨어에 대한 객관적이고도 독립적인 시각으로의 평가를 가능하게 해주는 소프트웨어 테스트 절차를 보안 중심으로 개선하였다. 제안된 모델은 웹 어플리케이션의 외주 개발 시에도 초기부터 보안을 고려할 수 있게 해주며, 특히 보안 인식이 부족한 상황에서 작성된 프로그램의 수정 소요 발생으로 인한 개발 일정 지연 사태를 미연에 방지할 수 있는 효과가 있음을 확인하였다. 이러한 결과는 자원관리체계를 중심으로 웹 어플리케이션에 대한 소요가 증가하고 있는 국방 분야에서도 엄격한 테스트를 토대로 보안 취약점을 지닌 채 서비스되는 것을 방지할 수 있기에 활용이 가능할 것으로 판단된다.

• 한국ITS학회 논문지
• /
• 제18권2호
• /
• pp.144-155
• /
• 2019

오늘날 자동차 산업의 화두 중 하나는 자율주행차량이다. 국제자동차기술자협회(SAE International)가 정의한 레벨 3이상을 달성하기 위해서는 자율주행 기술과 커넥티드 기술의 조화가 필수적이다. 현재의 차량은 자율주행과 같은 새로운 기능을 가지게 됨에 따라 전장 부품의 수뿐 만 아니라 소프트웨어의 양과 복잡성도 늘어났다. 이로 인해 공격 표면(Attack surface)이 확대되고, 소프트웨어에 내재된 보안 취약점도 늘어나고 있다. 실제로 커넥티드 기능을 가진 차량의 보안 취약점을 악용하여 차량을 강제 제어할 수 있음이 연구자들에 의해 증명되기도 했다. 하지만 차량에 적용 되어야 하는 필수적인 보안 요구 사항은 정의되어 있지 않는 것이 현실이다. 본 논문에서는 실제 공격 및 취약점 사례를 바탕으로 차량내부네트워크(In-Vehicle Network)에 존재하는 자산을 식별하고, 위협을 도출하였다. 또한 보안요구사항을 정의 하였고, 위험 분석을 통해 사이버 보안으로 인한 안전 문제를 최소화하기 위한 필수 보안 요구 사항을 도출하였다.

• 한국정보통신학회논문지
• /
• 제25권10호
• /
• pp.1353-1358
• /
• 2021

IoT(Internet of Things) 기술은 통신, 마이크로 프로세서 그리고 임베디드 소프트웨어 기술의 발전과 융합으로 인해 탄생 되었다. 그에 따른 응용 중 하나로 UAV(Unmanned Aerial Vehicle, 무인 항공기) 시스템에도 적용되고 있다. 운용상 유인용 항공기(manned aircraft)는 지상에 있는 관제 시스템을 통해 운항의 지시를 받아, 조종사가 직접 비행 기체를 제어하는 방식으로 운영되지만, UAV는 GCS(Ground Control System, 지상 제어시스템)를 통해 직접 비행 제어를 받는다. 따라서 UAV와 GCS 간의 통신을 위한 프로토콜로 개방형인 MAVLink (Macro Air Vehicle Link)가 주로 사용이 되고 있으나, 범용이고 공개적이다 보니 일부구간에서 제삼자에 의해 쉽게 노출되어 비행체의 상태 및 기타 제어 정보 등의 정보 보안에 취약하다. 본 제안은 UAV를 안전하게 운영하기 위한 GCS 내 통신메시지의 암호화 적용 방안을 제시한다.

• 정보보호학회논문지
• /
• 제21권5호
• /
• pp.35-45
• /
• 2011

최근 유럽연합의 eSTREAM 공모사업에서 소프트웨어 분야에 선정된 Salsa20/12 알고리즘은 제한된 메모리의 8비트 MCU 상에서 AES보다 우수한 성능을 보여주는 스트림 암호이다. 또한 이론적 분석에 따르면 시차분석공격에 대한 취약성은 없으며, 전력분석 공격의 어려움에 대해서는 하위수준(low)로 평가되었으나, 현재까지 실제 전력분석 공격의 연구 결과가 발표된 바 없다. 따라서 본 논문에서는 소프트웨어 기반 Salsa20/12 에 대한 상관도 전력분석 공격 방법을 제안하고 실험을 통하여 검증하였다. 실험을 위해서 프로그래밍이 가능한 8비트 RISC 계열의 AVR 마이크로프로세서 (ATmega128L)를 장착한 실험보드에 전력분석 공격의 대응방법이 적용되지 않은 시스템을 구현하고, 해밍무게 모델을 적용한 전력분석 공격을 실시하였다.

• 문화기술의 융합
• /
• 제9권6호
• /
• pp.1017-1029
• /
• 2023

블록체인을 통해 많은 양의 거래가 일어나고 있다. 그중에서도 스마트 계약을 통한 거래의 비중이 커지고 있다. 이에 따라 스마트 계약에 대한 취약점 공격과 스마트 계약을 이용한 사기와 같은 문제점들도 증가한다. 스마트 계약에 대한 보안 감사를 통해 개발자는 취약점을 발견해 해결할 수 있고, 이용자는 스마트 계약의 사기 여부를 구분할 수 있다. 하지만 현재 스마트 계약에 대한 보안 감사에 대한 규정과 표준이 없으므로 보안 감사를 수행하는 서비스들이 불균일하다. 본 논문에서는 스마트 계약에 대한 보안 감사 동향을 분석하고 어떠한 서비스들이 제공되고 있는지 파악한다. 보안 감사 보고서를 중심으로 스마트 계약으로부터 어떠한 요소들을 분석하는지 조사한다. 또한 어떠한 취약점들을 검출할 수 있는지 조사한다. 마지막으로 스마트 계약에 대한 품질 지표와 설계 추출의 가시화 요소를 조사한다. 이를 통해 스마트 계약에 특화된 가시화 요소를 찾을 수 있을 것을 기대한다.

• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.485-500
• /
• 2018

시스템 및 네트워크 환경의 규모가 확대되고, 네트워크 구조 및 시스템 구성이 빈번하게 변화함에 따라 네트워크 관리자가 현황을 수동으로 관리하고 실시간 변동사항을 식별하는 데에 많은 어려움이 발생하고 있다. 본 논문에서는 동적인 네트워크 정보를 실시간으로 스캔하고, 사전에 수집한 취약점 정보를 바탕으로 네트워크 내 장치의 취약성 정도를 점수화하고 최종적으로 공격자의 입장에서 공격 가능한 모든 경로를 도출하여 네트워크 관리자에게 공격 가능성이 높은 경로 목록을 제공하는 알고리즘을 제안하였다. 또한 제안하는 알고리즘을 토대로 한 Attack Graph를 실제로 구현하였으며, Software Defined Networking (SDN) 환경이 포함된 동적으로 변화하는 가상 네트워크 환경을 구축한 후 시뮬레이션을 진행하여 Moving Target Defense (MTD) 개념이 반영된 시스템에도 적용이 가능함을 입증하였다.

• 정보보호학회논문지
• /
• 제30권4호
• /
• pp.735-743
• /
• 2020

시큐어코딩은 악의적인 공격 혹은 예상치 못한 오류에 대한 강인함을 제공해줄 수 있는 안전한 코딩 기법으로 정적분석도구의 지원을 통해 취약한 패턴을 찾아내거나 오염 데이터의 유입 가능성을 발견한다. 시큐어코딩은 정적기법을 적극적으로 활용하는 만큼 룰셋에 의존적이라는 단점을 가지며, 정적분석 도구의 복잡성이 높아지는 만큼 정확한 진단이 어렵다는 문제점을 안고 있다. 본 논문은 시큐어코딩을 지원하는 목적으로 기계학습 기법 중 DNN과 CNN, RNN 신경망을 이용하여 개발보안가이드 상의 주요 보안약점에 해당하는 패턴을 학습시키고 분류하는 모델을 개발하며 학습 결과를 분석한다. 이를 통해 기계학습 기법이 정적분석과 더불어 보안약점 탐지에 도움을 줄 수 있을 것으로 기대한다.

• 한국통신학회논문지
• /
• 제38C권4호
• /
• pp.335-343
• /
• 2013

SW 개발단계에서 사이버침해사고의 주요 원인인 SW 보안약점을 진단하여 제거하면 사이버침해사고를 효과적으로 예방할 수 있다. 국내의 경우, SW 개발보안 적용이 의무화되어 SW 보안약점을 제거하는 것이 필수사항이 되었다. 효과적으로 SW 보안약점을 진단하여 제거하기 위해서는 신뢰된 SW 보안약점 진단도구의 도움이 필요하다. 따라서, 본 논문은 국내환경에 적합한 진단도구 기능 요구사항과 진단도구의 신뢰성을 보증할 수 있는 평가방법론을 제안한다. 그리고, 제안된 평가체계의 효과를 분석하기 위한 시범 적용한 결과 및 절차를 제시한다.