• 정보처리학회논문지C
• /
• 제12C권3호
• /
• pp.347-360
• /
• 2005

전자정부 서비스는 국민, 기업, 정부부처에 새롭고 빠른 서비스를 제공하여 업무의 효율성을 향상시킬 뿐만 아니라 열린 정부, 투명한 정부를 지향하고 국가 경쟁력 확보를 위해서 필수 불가결한 국가적 과제이다. 전자정부 서비스는 그 특성상 매우 민감한 데이터를 전송하거나 처리하므로 전자정부 서비스에서 보안은 매우 중요하다. 그러나 현재까지 전자정부에 대한 연구는 다양한 컨텐츠와 인프라에 대한 개발만을 해왔다. 최근에서야 전자정부 선진국을 중심으로 전자정부 서비스에 대한 보안을 고려하기 시작하였다. 전자정부 서비스는 웹 서비스로 구축되어지고 있으며 보안을 고려할 때 웹 서비스 보안 기술에 대한 분석과 이를 전자정부에 적용하기 위한 전자정부에 대한 분석이 선행되어야한다. 본 논문에서는 전자정부 서비스 발전 단계를 고려한 웹 서비스 보안 적용 시나리오를 위해 전자정부와 웹 서비스 보안 기술을 분석하였으며 이를 기반으로 향후 구축될 범정부 통합전산환경에서 웹 서비스 보안 기술 적용을 위한 시나리오와 전체 뷰(view)를 제시하였다.

• 정보보호학회논문지
• /
• 제33권2호
• /
• pp.337-344
• /
• 2023

리눅스를 비롯한 현대 OS들은 모놀리식 커널디자인을 채택하여 높은 확장성을 보여주지만, 모든 메모리 공간을 공유하기 때문에 취약한 보안을 가지고 있었다. 본 연구는 웹어셈블리를 활용하여 커널 내부에서 격리된 커널 모듈을 제시한다. 웹어셈블리는 메모리 안전성을 보장하면서도 저수준 명령어 집합을 정의하여 높은 성능을 보여주는 가상머신을 제공한다. 본 논문에서는 웹어셈블리 실행환경을 커널 내부에 구현하여 개발자가 커널 모듈의 동작을 제어할 수 있도록 허용하고 더 높은 보안성을 달성하였다.

• 한국컴퓨터정보학회논문지
• /
• 제25권6호
• /
• pp.73-79
• /
• 2020

현재, 인터넷 세상은 스트리밍 서비스의 급격한 보급과 더불어 보안의 취약성 역시 매우 급속도로 증가되는 추세이다. 이러한 스트리밍 보안을 위하여, 본 논문은 웹 스트리밍 콘텐츠에 대한 PN 분산 구조 기반 보안프로세서 (SP-WSC)를 제안한다. 제안된 SP-WSC는 기본적으로 PN 분산 코드 알고리즘을 웹 스트리밍 특성에 맞게 설계하였기 때문에 다양한 멀티미디어 컨텐츠에 대한 보안을 수행할 수 있다. 제안된 SP-WSC는 웹 서버의 보안 취약성과 독립적이다. 그러므로 SP-WSC는 웹 서버의 취약성에 무관하게 동작할 수 있다. 즉, SP-WSC는 외부의 비인가 신호에 대한 방어력을 증대시켜 멀티미디어 컨텐츠를 보호한다. 또한 부수적으로 이것은 트래픽 과부하에 의한 버퍼링 현상을 감소시킬 수 있는 방안을 제시한다.

• 인터넷정보학회논문지
• /
• 제13권6호
• /
• pp.55-62
• /
• 2012

그리드 환경에서 그리드 서비스를 웹 인터페이스 및 웹 서비스로 제공하기 위해 웹 표준 기술에 기반을 둔 그리드-웹 애플리케이션이 증가하고 있다. 그러나 웹 표준 보안 구조에서 위임 인증 방법의 부재로 웹 애플리케이션에 그리드 보안 시스템 GSI를 통합하는 것은 매우 어렵다. 이를 해결하기 위해서는 온라인 자격증명 저장 서비스를 이용하여 웹 애플리케이션에서 그리드 자격증명을 사용할 수 있도록 해야 한다. 본 논문에서는 그리드-웹 애플리케이션과 사용자 간의 상호 신뢰를 전제로 하는 온라인 자격증명 저장 서비스인 MyProxy를 사용하는 방법의 문제점을 분석하고, 상호 신뢰를 바탕으로 하지 않는 그리드 자격증명 위임 서비스를 제안한다. 이 서비스의 자격증명 교환 프로토콜은 OAuth에 X.509 인증 위임 절차를 추가한 것이다. 이 위임 서비스는 그리드-웹 애플리케이션에게 단일 로그온을 제공하고, 하나 이상의 그리드 자격증명을 위임하고 획득할 수 있는 보안 방법을 제공한다.

• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.601-613
• /
• 2012

안전한 웹 서비스를 제공하기 위하여 보안을 고려한 웹 애플리케이션의 설계와 구현이 요구되고 있다. 이에 따라 웹 애플리케이션의 취약성을 수치화할 수 있는 여러 가지 프레임워크들이 제시되고 있지만, 이러한 프레임워크에 의하여 도출된 수치는 누적 방식에 의하여 계산되기 때문에 취약점의 심각성을 제대로 분류할 수 없다는 문제점이 존재한다. 본 연구에서는 웹 애플리케이션에서 발생할 수 있는 취약점을 권한 획득 가능성에 따라 등급을 나누고 수치화함으로써 취약점에 대하여 우선순위를 둘 수 있다. 또한 개별 웹 애플리케이션뿐 아니라 한 조직에서 제공하는 여러 웹 애플리케이션에 대한 취약성을 수치화함으로써 어느 웹 애플리케이션이 가장 취약하며 우선적으로 처리해야 하는지 판단할 수 있다. 실제 크롤링 기반 웹 스캐너를 통하여 발견된 취약점들에 대하여 우리가 제안한 프레임워크를 적용하여 등급을 나누고 수치화함으로써 취약점의 권한 획득 가능성에 따른 분류의 중요성을 보이고 있다.

• 융합보안논문지
• /
• 제15권7호
• /
• pp.9-19
• /
• 2015

안드로이드 운영체제는 웹페이지에서 사용자가 입력하는 보안 정보를 가로채는 피싱 공격에 노출되어 있다. 본 논문은 피싱 공격을 가능하게 하는, 두 가지 보안 취약점을 발견하였다. 첫째, always-on-top 기법은 공격 앱이 최상위 화면 위에 투명한 UI를 배치하여 사용자의 입력을 가로챌 수 있게 한다. 둘째, 공격 앱이 웹 브라우저가 현재 방문 중인 웹페이지의 정보를 안드로이드 API를 통해 접근할 수 있다. 본 논문은 이 취약점을 이용하여 웹페이지를 공격하는 기법을 제안한다. 이 기법은 보안 관련 웹페이지 방문을 탐지하고, 이 웹페이지에 입력하는 정보를 탈취한다. 인기 있는 웹사이트를 대상으로 한 실험을 통해 제안된 기법의 정확도와 공격 위험성을 확인하였다.

• 융합보안논문지
• /
• 제24권2호
• /
• pp.79-87
• /
• 2024

본 논문은 웹 애플리케이션의 증가로 인해 소프트웨어 내 보안 취약점을 이용한 사이버 공격이 증가하고 있다. CSRF(Cross-Site Request Forgery) 공격은 특히 웹 사용자와 개발자에게 심각한 위협으로, 사전에 예방해야하는 공격이다. CSRF는 사용자의 동의 없이 비정상적인 요청을 통해 공격을 수행하는 기법으로, 이러한 공격으로부터 웹 애플리케이션을 보호하기 위한 방법은 매우 중요하다. 본 논문에서는 Spring Security와 Apache Shiro 두 프레임워크를 통해 CSRF 방어에 대한 성능을 비교 분석하고 검증하여, 효과적으로 적용 가능한 프레임워크를 제안한다. 실험 결과, 두 프레임워크 모두 CSRF 공격 방어에 성공하였으나, Spring Security는 평균 2.55초로 Apache Shiro의 5.1초보다 더 빠르게 요청을 처리하였다. 이러한 성능 차이는 내부 처리 방식과 최적화 수준의 차이에서 비롯되었으며, 시스템 자원 사용 측면에서는 두 프레임워크 간에 차이가 없었다. 따라서 높은 성능과 효율적인 요청 처리가 요구되는 환경에서는 Spring Security가 더 적합하며, Apache Shiro는 개선이 필요하다. 이 결과는 웹 애플리케이션의 보안 아키텍처 설계 시 중요한 참고 자료로 활용되기를 기대한다.

• 한국컴퓨터정보학회논문지
• /
• 제13권3호
• /
• pp.139-146
• /
• 2008

웹 서비스를 이용한 개인 정보 유출은 보안시스템 구축에도 불구하고 급격하게 줄어들지 않고 있다. 방화벽 시스템 구축 후에도 HTTP 80 port나 HTTPS의 443 port는 외부로부터의 접근을 허용하여 지속적으로 서비스를 하고 있으므로 웹 어플리케이션으로 유입되는 트래픽은 취약하다. 따라서 본 논문에서는 웹 서비스 환경으로 유입되는 다양한 형태의 공격 패턴 및 취약한 트래픽을 분석하여 정상 트래픽과 비정상 트래픽을 분류하였다. 분류된 비정상 트래픽을 대상으로 OWASP(Open Web Application Security Project)에서 권고한 웹 어플리케이션 보안취약점을 바탕으로 공격 패턴을 분석하고, 실시간 공격탐지 및 차단이 가능한 시스템을 설계하여 웹 어플리케이션의 보안 취약성을 이용한 다양한 공격 패턴을 즉각적이며, 효과적으로 방지하여 유해한 공격 트래픽으로부터 공격방지 효율을 높일 수 있는 방법을 제안하였다.

• 정보보호학회논문지
• /
• 제14권4호
• /
• pp.97-110
• /
• 2004

현재의 웹 규모는 과거와 비교할 수 없을 만큼 복잡해지고 사용자의 패턴 또한 다양해지고 있다. 웹에 대한 공격은 점차 증가하고 있으며 이에 대한 탐지는 점점 어려워지고 있다. 이러한 웹사이트의 효과적인 관리를 위하여 시각화를 통한 사용자들의 사용패턴과 보안 측면에서 이상행위 발생에 대한 신속하고 적절한 정보전달이 필요하다. 본 연구에서는 이러한 필요성에 기반을 두어 웹 서버의 access log를 분석하여 웹 사용 현황과 이상행위에 대한 효율적인 실시간 시각화를 위한 요구사항을 제안하고 이를 만족시키기 위해 SAD Viewer라는 툴을 개발하였다. 그리고 실제 시그네춰 위반 공격, DoS 공격, 코드레드 공격, Whisker 공격에 대한 실험을 통하여 구현된 Viewer가 효율적으로 사용자들의 사용패턴과 이상행위를 시각화함을 보여주었다.

• 융합보안논문지
• /
• 제8권4호
• /
• pp.199-207
• /
• 2008

웹 서비스는 기능의 특성상 다른 서비스와는 달리 외부에 노출되어 있고 다양한 어플리케이션들이 웹 서비스와 연동되어 있어서 많은 보안 취약점들이 존재한다. 특히 새로운 웹 기술들이 개발되면서 전에 없던 새로운 형태의 보안 취약점들이 꾸준히 생겨나고 있다. 본 논문에서는 이러한 취약점들을 바탕으로, 가상화 환경을 이용하여 웹서버와 허니웹을 구축함으로써 어떤 공격에 대해서도 시스템의 하드웨어까지 영향을 미치지 않도록 구성되며 허니웹을 통하여 새로운 공격에 대해서도 정보를 수집할 수 있도록 웹 서버 보안시스템을 설계 및 구현 하였다. 이를 통하여 상호 통신의 웹 환경에서 적절한 보안을 제공 할 수 있다.