• ETRI Journal
• /
• 제31권5호
• /
• pp.554-564
• /
• 2009

In information security and network management, attacks based on vulnerabilities have grown in importance. Malicious attackers break into hosts using a variety of techniques. The most common method is to exploit known vulnerabilities. Although patches have long been available for vulnerabilities, system administrators have generally been reluctant to patch their hosts immediately because they perceive the patches to be annoying and complex. To solve these problems, we propose a security vulnerability evaluation and patch framework called PKG-VUL, which evaluates the software installed on hosts to decide whether the hosts are vulnerable and then applies patches to vulnerable hosts. All these operations are accomplished by the widely used simple network management protocol (SNMP). Therefore, system administrators can easily manage their vulnerable hosts through PKG-VUL included in the SNMP-based network management systems as a module. The evaluation results demonstrate the applicability of PKG-VUL and its performance in terms of devised criteria.

• International Journal of Internet, Broadcasting and Communication
• /
• 제12권3호
• /
• pp.189-195
• /
• 2020

Smart contract, one of the applications of blockchain, is expected to be used in various industries. However, there is risks of damages caused by attacks on vulnerabilities in smart contract codes. Tool support is essential to detect vulnerabilities, and as new vulnerabilities emerge and smart contract implementation languages increase, the tools must have extensibility for them. We propose a design model for extensible architecture of smart contract vulnerability detection tools that detect vulnerabilities in smart contract source codes. The proposed model is composed of design pattern-based structures that provides extensibility to easily support extension of detecting modules for new vulnerabilities and other implementation languages of smart contract. In the model, detecting modules are composed of independent module, so modifying or adding of module do not affect other modules and the system structure.

• 한국재난정보학회 논문집
• /
• 제3권1호
• /
• pp.69-86
• /
• 2007

The fire department has one of the most important role as public resources of response to disasters in the aspect of supply and the adequate distribution of resources of response is essential, but the distribution of the response capability to disaster of fire department does not reflect the regional hazard vulnerability and hazard risks. Researchers performed database process with simple mapping based on the regional fire disaster response capability and the regional hazard vulnerability and hazard risks. The cities and towns are divided to four types each, total eight types and relative threat ratios are extracted from every type. The fire disaster response capability was extracted from number of firemen and fire vehicles in defined region. The distribution of the fire disaster response capability was inadequate and not matching to relative threat especially in small cities and some types of towns. The regional relative threat and resources should be analyzed by more delicate mapping and software development in the future.

• 정보보호학회논문지
• /
• 제18권4호
• /
• pp.187-194
• /
• 2008

본 논문은 문자열 기반 패스워드 인증에서 키보드 감시 문제를 유발하는 하드웨어 취약점에 대한 효과적인 대응방안을 제안한다. 악의적인 공격자가 해당 취약점을 이용하면 기존의 보안 소프트웨어가 실행되고 있는 상황에서도 키보드로부터 입력되는 사용자의 모든 문자열을 탈취할 수 있었으나 본 논문에서 제시하는 방안을 활용하면 공격자가 키보드 감시에 성공한다 하더라도 사용자의 입력 문자열을 온전히 탈취할 수 없다. 따라서 제안한 방안을 구현하여 적용하면 보다 안전한 인터넷 기반 금융거래가 가능해질 것으로 사료된다.

• 융합정보논문지
• /
• 제9권3호
• /
• pp.1-7
• /
• 2019

업무용 PC에 다양한 사이버 공격이 발생하고 있다. PC 보안 위협을 줄이기 위해 사전에 취약점 진단을 통해서 예방하고 있다. 하지만 국내의 취약점 가이드는 진단 항목이 업데이트되지 않아서 이 가이드로만은 대응하기가 어렵다. 본 논문에서는 최근 PC의 사이버 침해사고 사례와 보안 위협에 대응하기 위한 국외의 기술적 취약점 진단 항목에 대해서 살펴본다. 또한, 국외와 국내의 기술적 취약점 진단항목의 차이를 비교하여 개선된 가이드를 제시한다. 제안한 41개의 기술적 취약점 개선 항목을 통하여 다양한 보안 위협으로부터 대응할 수 있다는 것을 알 수 있었다. 현재는 알려진 취약점에만 주로 대응이 가능하지만 이 방법의 가이드 적용을 통해 알려지지 않은 보안 위협을 감소시킬 수 있을 것으로 기대한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2018년도 추계학술발표대회
• /
• pp.193-195
• /
• 2018

홍채코드는 홍채의 정보를 이진코드로 표현함으로써 홍채정보를 보호하는 방법이다. 이러한 방법은 현재 홍채인식 시스템에서 표준으로 채택된 기술이다. 본 논문에서는 1-D 가버 필터를 사용하여 홍채 코드로부터 역공학적 방법을 사용하여 홍채영상을 복원하고, 복원된 홍채 영상과 기존의 홍채영상의 인식 결과를 통해 홍채 인식에 대한 취약성을 연구한다.

• 정보보호학회논문지
• /
• 제23권2호
• /
• pp.243-250
• /
• 2013

스마트 시대로 진입하면서, 다양한 임베디드 소프트웨어, 특히 SCADA 소프트웨어와 자동차 소프트웨어 등은 신뢰도와 고 안전성뿐만이 아니라 높은 보안성도 중요하게 되었다. 따라서 해커가 공격하는 데 사용하는 소프트웨어 취약점(vulnerability)의 근본 원인인 소프트웨어 보안 약점(weakness)을 개발 단계에서 제거하는 것이 매우 중요하게 되었다. 기능성 중심의 MISRA-C와 같은 코딩 룰은 보안성 중심의 시큐어 코딩규칙으로 확대가 될 필요가 있다. 본 논문에서는 고 안전성 소프트웨어의 데모용으로 개발 중인 원자력 관련 소프트웨어를 CERT-C 시큐어 코딩 규칙으로 조사하여 얼마나 많은 보안약점을 내재하고 있는 지를 분석하여, 이러한 보안약점을 소프트웨어 개발 시에 제거하는 방법에 대하여 제안한다.

• 한국자동차공학회논문집
• /
• 제22권3호
• /
• pp.68-74
• /
• 2014

As the number of ECUs (Electronic control units) are increasing, reliability and functional stability of a software in an ECU is getting more important. Therefore the application of functional safety standards ISO 26262 is making the software more reliable. Software fault injection test (SFIT) is required as a verification technique for the application of ISO 26262. In case of applying SFIT, an artificial error is injected to inspect the vulnerability of the system which is not easily detected during normal operation. In this paper, the basic concept of SFIT will be examined and the application of SIFT based on ISO26262 will be described.

• 한국산학기술학회논문지
• /
• 제18권11호
• /
• pp.46-52
• /
• 2017

최근 ICT 및 IoT 제품의 활용 분야가 다양화 되면서 오픈소스 소프트웨어의 활용 분야가 컴퓨터, 스마트폰, IoT 디바이스 등 다양한 기기와 환경에서 활용되고 있다. 이처럼 오픈소스 소프트웨어의 활용분야가 다양해짐에 따라 오픈소스의 보안 취약점을 악용하는 불법적인 사례가 지속적으로 증가하고 있다. 이에 따라 다양한 시큐어 코딩을 위한 도구나 프로그램이 출시되고 활용되고 있지만 여전히 많은 취약점들이 발생하고 있다. 본 논문에서는 안전한 오픈 소스 소프트웨어 개발을 위해 오픈 소스의 취약점 분석 결과에 의한 이력과 패턴을 지속적으로 학습하여 신규 취약점 분석에 활용할 수 있는 방법을 제안한다. 본 연구를통해 취약점 이력 및 패턴 학습기반의 취약점 분석 시스템을 설계하였으며, 프로토타입으로 구현하여 실험을 통해 시스템의 성능을 평가하였다. 5개의 취약점 항목에 대해 평균 취약점 검출 시간은 최대 약 1.61sec가 단축되었으며, 평균 검출 정확도는 약 44%point가 향상된 것을 평가결과에서 확인할 수 있었다. 본 논문의 내용 및 결과는 소프트웨어 취약점 연구 분야에 대한 발전과 소프트웨어 개발자들의 취약점 분석을 통한 시큐어 코딩에 도움이 될 것을 기대한다.

• 한국산학기술학회논문지
• /
• 제17권9호
• /
• pp.724-731
• /
• 2016

지진으로 인한 구조물의 피해가 지속적으로 증가하면서, 구조물의 취약성을 평가하는 일은 지진 대비에 필수적으로 여겨지고 있다. 지진 취약도 곡선은 지진에 대한 구조물의 안전도에 대한 확률 지표로써 널리 이용되고 있으며, 많은 연구자들에 의해 보다 정확하고 효율적인 취약도 곡선 도출을 위한 노력이 계속되고 있다. 하지만 기존의 대부분의 연구에서는 취약도 곡선 도출시 수치해석 시간 절약을 위해 단순화된 2차원 해석모델을 사용해 왔는데, 많은 경우에 있어 2차원 모델은 정확한 구조물의 내진 거동 및 지진 취약성을 평가하기에 적당하지 않을 수 있다. 이에 본 연구에서는 3차원 해석 모델을 사용하여 더욱 정확하면서도 여전히 효과적으로 지진 취약도 곡선을 도출할 수 있는 방법을 제시한다. 이 방법은 신뢰성 해석 소프트웨어인 FERUM과 구조해석 소프트웨어인 ZEUS-NL을 서로 연동시켜 상호 자동적인 데이터 교환이 가능하게 하고, 샘플링 기법이 아닌 FORM 해석 기법을 통해 구조물의 파괴확률을 구한다. 이는 3차원 모델을 사용의 경우에도 효율적으로 구조 신뢰성 해석이 가능하게 해준다. 이를 이용해 RC 프레임 구조물의 3차원 해석 모델을 사용하여 지진 취약성 평가를 수행하였다.