• 정보보호학회논문지
• /
• 제12권4호
• /
• pp.87-98
• /
• 2002

현재는 유형적인 물질의 가치보다 무형적인 정보의 가치가 중요시되고 있는 시대이다. 특히 하드웨어보다는 소프트웨어 제품이 훨씬 급성장하고 있지만 소프트웨어 불법 복제는 정보화시대의 가장 큰 역기능으로 이슈화 되어있다. 그러나 현재 상용화되고 있는 소프트웨어 불법복제방지제품(락)들은 복제방지에 대한 강도가 약하기 때문에 쉽게 락이 크랙되어 복제방지 기능을 할 수 없는 것들이 대부분이다. 논자는 [1,2,3]에서 DES 암호알고리즘을 대체 할 수 있는 112비트 키 길이를 갖는 96비트 블록 Cipher를 제안한 바 있으며, [3.4]에서 칩으로 하였다. 따라서 본 논문은 [1,2,3]에서 제안한 96비트 블록 Cipher와 복제방지에 필요한 보안모듈을 ASIC화하여 소프트웨어 복제방지를 위한 전용 보안칩을 설계 및 구현하며, 보안칩과 연동하여 동작되는 자동블록보호기법을 설계한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제8권2호
• /
• pp.646-663
• /
• 2014

Scrum is one of the most popular and efficient agile development methods. However, like other agile methods such as Extreme Programming (XP), Feature Driven Development (FDD), and the Dynamic Systems Development Method (DSDM), Scrum has been criticized because of lack of support to develop secure software. Thus, in 2011, we published research proposing the idea of a security backlog (SB). This paper represents the continuation of our previous research, with a focus on the evaluation in industry-based case study. Our findings highlight an improved agility in Scrum after the integration of SB. Furthermore, secure software can be developed quickly, even in situations involving requirement changes of software. Based on our experimental findings, we noticed that, when integrating SB, it is quite feasible to develop secure software using an agile Scrum model.

• 정보보호학회논문지
• /
• 제29권2호
• /
• pp.393-399
• /
• 2019

조직으로부터 인가받지 않고 내부로 반입한 비인가SW가 조직의 네트워크 보안에서 위협으로 대두되고 있는 상황에서 SDN(Software-Defined Network) 기반의 네트워크 환경이 구축된 조직에서는 별도의 보안장비를 설치하지 않고도 조직의 특성을 고려한 보안 어플리케이션 개발을 통해 네트워크보안을 강화할 수 있다. 기존 SDN 환경의 보안기술은 방화벽, 침입탐지시스템 등 외부 네트워크로부터 내부 네트워크를 보호하는 연구가 이루어져 왔으나 내부자 위협에 대해서는 부족하였다. 따라서 이러한 SDN 환경에서 조직 내부 위협 중 하나인 비인가SW로 부터 내부 네트워크를 보호할 수 있는 시스템을 제안한다.

• 한국사이버테러정보전학회:학술대회논문집
• /
• 한국사이버테러정보전학회 2004년도 제1회 춘계학술발표대회
• /
• pp.141-144
• /
• 2004

The Common Criteria (CC) philosophy is to provide assurance based upon an evaluation of the IT product or system that is to be trusted. Evaluation has been the traditional means of providing assurance. It is essential that not only the customer' srequirements for software functionality should be satisfied but also the security requirements imposed on the software development should be effectively analyzed and implemented in contributing to the security objectives of customer's requirements. Unless suitable requirements are established at the start of the software development process, the resulting end product, however well engineered, may not meet the objectives of its anticipated consumers. By the security evaluation, customer can sure about the quality of the products or systems they will buy and operate. In this paper, we propose a selection guide for If products by showing relationship between security engineering and security evaluation and make help user and customer select appropriate products or system.

• International Journal of Computer Science & Network Security
• /
• 제21권6호
• /
• pp.245-251
• /
• 2021

This work aims to focus on the current features and characteristics of Human Element and Artificial intelligence (AI), ask some questions about future information security, and whether we can avoid human errors by improving machine learning and AI or invest in human knowledge more and work them both together in the best way possible? This work represents several related research results on human behavior towards information security, specified with elements and factors like knowledge and attitude, and how much are they invested for ISA (information security awareness), then presenting some of the latest studies on AI and their contributions to further improvements, making the field more securely advanced, we aim to open a new type of thinking in the cybersecurity field and we wish our suggestions of utilizing each point of strengths in both human attributions in software security and the existence of a well-built AI are going to make better future software security.

• 산업공학
• /
• 제9권3호
• /
• pp.249-256
• /
• 1996

The Internet e-mail security software and standards, such as PGP (Pretty Good Privacy) and PEM (Privacy Enhanced Mail), have several limitations that should be overcome for their further applications to the Internet and network environments. In order to improve and reengineer those software, details of the As-Is software processing should be analyzed. One of the possible techniques for software analysis is IDEFO function modeling. Although IDEFO has been mainly used for BPR as one of the industrial engineering techniques, it has been rarely applied to the analysis of software processing and reengineering in computer and software engineering fields. Additionally, no sufficient details of PGP and PEM processing are analyzed in the literature. The objective of this paper is to demonstrate the application of the IDEFO to the systems analysis of the Internet e-mail security software as well as to provide software developers with the basis for software improvements.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권1호
• /
• pp.43-50
• /
• 2017

최근 컴퓨터 시스템 내부에 존재하는 웹 브라우저, 운영체제 커널 등에서 Use-After-Free 보안문제가 지속적으로 발생하고 있다. 해당 보안약점은 기존의 보안약점 탐지방법으로 제거하기 어려우며 소프트웨어 내부에 해당 보안약점이 존재할 경우 내부 보안에 심각한 영향을 미친다. 본 논문에서는 소프트웨어 개발 과정에서 해당 보안약점을 제거하기 위한 방안을 연구하였다. 이 과정에서 해당 보안약점의 발생 원인을 정리하고 이를 제거하기 위한 방법을 제시한다.

• 정보보호학회논문지
• /
• 제25권6호
• /
• pp.1541-1547
• /
• 2015

최근 IT 산업에서 보안은 소프트웨어 개발 시 가장 중요하게 고려해야 할 요소로 자리 잡았다. 특히 자산을 보호하는 목적의 정보보호시스템의 보안성은 더욱 중요하다. 정보보호시스템의 보안성 평가시 공통평가기준(Common Criteria: CC)에서는 보안 구조(ADV_ARC) 패밀리 요구사항을 제공하여 평가대상의 보안성을 보장하도록 한다. 하지만, 체계적인 소프트웨어 보안 구조 설계 프로세스 없이 이러한 보증 요구사항을 일관되게 만족시키는 것이 다소 어려운 것이 현실이다. 본 논문에서는 BSIMM의 보안 프레임워크를 활용한 정보보호시스템의 보안 설계 방안을 제안한다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제3권11호
• /
• pp.465-470
• /
• 2014

한국의 정보통신산업진흥원(NIPA)에서 제공하는 SP 품질 인증은 소프트웨어 개발 프로세스의 역량을 평가 및 인증하는 제도이다. SP 품질인증은 국내에서 개발된 인증모델로서 전국적으로 확산되고 있다. 최근 보안성이 문제되고 있으나, SP 품질 인증에서는 별도의 보안 속성에 대한 프로세스를 정의하고 있지 않다. 본 논문에서는 SP 품질 인증을 획득한 기업 및 조직들의 보안성 향상을 위해 ISO 27001을 기반으로 하는 새로운 보안 프로세스를 제시한다. 제안 프로세스를 통해 보안 위협요소들을 검출해낼 수 있고, 이러한 요소들에 대처할 수 있는 기회를 제공한다. 또한 검출된 보안 취약점은 보안 척도로 이용될 수 있으므로 시스템의 보안 측면 관리가 가능하다.

• 한국멀티미디어학회논문지
• /
• 제18권11호
• /
• pp.1342-1350
• /
• 2015

Due to rapid development of mobile device technologies, the mobile banking through Internet has become a major service of banking information systems as a security-critical information systems. Recently, lots of mobile banking information systems which handle personal and transaction information have been exposed to security threats in vulnerable security control and management processes, mainly software systems. Therefore, in this paper, we propose a process model for software security improvements in mobile banking information system by application of fault tree analysis(FTA) and failure modes and effects analysis(FMEA) on the most important activities such as 'user authentication' and 'access control' and 'virus detection and control' processes which security control and management of mobile banking information systems are very weak.