• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2001년도 춘계종합학술대회
• /
• pp.667-671
• /
• 2001

IM(Instant Messenger)은 현재 가장 각광받고 있는 개인 커뮤니케이션 도구이다. 이는 개인에게는 전자우편을 대신할 도구로 기업에게는 사용자 확보의 도구이자 무한한 잠재력을 가진 도구로 평가받고 있다. 하지만, IM은 보안상 여러 문제점을 내포하고 있다. 전송 메시지에 대한 총격에 안전하지 못하다는 점을 비롯하여 여러 취약점들이 보고되고 있고, 이를 이용한 해킹 도구들이 개발된 상태이다. 다시 말해, IM을 통해 주고 받는 메시지는 누구든지 엿볼 수 있으며 조작 가능하다는 것이다. 이는 기업의 전략적 도구로의 발전에 큰 걸림돌로 작용하며 개인의 프라이버시에 대한 심각한 문제를 낳을 수 있다. IETF의 IMPP WG(Working Group)에서는 IM간의 상호 연통을 위한 표준을 준비하고 있으나 가장 많은 IM 사용자를 확보하고 있는 AOL(American On-Line)의 불참으로 관련 표준 제정의 진행이 원만하지 않은 상태이며 전송되는 데이터의 형식에 관한 논의만이 주로 이루어질 뿐 전체적인 보안서비스에 대한 논의는 미비한 상태이다. 본 논문에서는 이러한 IM의 취약점과 보안상의 문제를 해결하여 안전한 단문 전송 시스템(SIMS ; Secure Instant Messaging System)을 설계 및 구현하였다.

• 한국산학기술학회논문지
• /
• 제14권6호
• /
• pp.3032-3042
• /
• 2013

멀티미디어 방송통신 융합서비스는 TV 디바이스에 다양한 인터넷 및 미디어 관련 응용 서비스들을 구동하기 위한 플랫폼 기술을 접목한 새로운 형태의 방송통신 융합서비스이다. 기존의 TV 기술에 임베디드 OS를 탑재하고, 다양한 스마트 응용 서비스를 지원할 수 있도록 하기 위해 OS 위에서 다양한 플랫폼 등을 탑재한 형태의 진화된 TV 기술이라고 할 수 있다. 이렇게 융합된 서비스는 Open IPTV, Smart TV, 모바일 IPTV, N-스크린 등의 멀티미디어 방송통신 융합 신규 서비스가 국내 서비스 3사를 주축으로 활발히 서비스 되고 있다. 하지만 서비스 제공을 위해 인터넷에 접속하고 소프트웨어를 사용하기 때문에 인터넷과 소프트웨어의 취약성을 내제하고 있다. 이러한 취약성은 심각한 보안 사고로 이어질 수 있다. 따라서 본 논문에서는 기존의 보안 위협들과 취약성들을 바탕으로 멀티미디어 방송 서비스 환경에서 발생 가능한 보안 위협들을 도출하였고, 실제로 위협이 보안 사고 등으로 이어질 수 있는지 보안 위협에 대한 검증을 모의 해킹을 통해 실시하였다. 이러한 결과를 이용하여 멀티미디어 방송 융합통신 융합서비스 환경에서의 대응 방안을 제시하였다.

• 한국산학기술학회논문지
• /
• 제20권12호
• /
• pp.76-82
• /
• 2019

인터넷의 기술의 발전과 스마트 디바이스의 보급은 사람들에게 편리한 환경을 제공해 주고 있으며, 이는 IoT라는 기술로 보편화 되고 있다. 그러나 IoT 기술의 발전과 수요는 이를 악용한 해커들의 공격으로 인해 개인 정보 유출과 같은 다양한 문제를 야기시키고 있다. 수많은 디바이스들이 네트워크에 연결되는 환경이 조성되었고, 기존 PC 환경에서 악용되던 네트워크 공격이 IoT 환경에서 발생하고 있다. 실제 IP 카메라의 경우 해킹을 통해 DDoS 공격을 진행하거나, 개인정보 유출, 동의 없이 모니터링 하는 등의 보안사고가 발생하고 있다. 이제는 IP카메라나 태블릿 등 IoT 환경에서 활용되는 다양한 스마트 기기가 네트워크 공격에 활용될 수 있음을 확인할 수 있다. 하지만, IoT 환경에서 소형 디바이스들이 가지는 특성상 Memory 공간이나 Power 등이 제한되어 있어 기존 보안 솔루션 설치 및 실행에 어려움을 가지고 있다. 따라서 본 논문에서는 IoT 환경에서 발생할 수 있는 보안 위협에 대해 살펴보고 이를 방지할 수 있는 보안프로토콜을 제안한다. 제안하는 프로토콜은 보안평가를 통해 네트워크에서 발생할 수 있는 다양한 보안 위협에 대응 가능함을 확인할 수 있었다. 또한, 에너지 효율성 분석을 기존 보안 알고리즘으로 활용되는 ECC, RSA, Kerberos 등에 비해 디바이스 증가에 따른 인증 속도에서 최소 2배 이상의 속도가 개선되는 등 디바이스 수의 증가에 따라 인증 시간이 가파르게 감소함을 확인할 수 있었다. 따라서 본 프로토콜을 IoT 환경에 적용한다면 효율적인 운영이 가능할 것으로 기대 된다.

• 한국산학기술학회논문지
• /
• 제21권3호
• /
• pp.24-31
• /
• 2020

기존의 컴퓨팅 환경에서 사용되는 중앙 집중형 시스템은 해킹에 의한 개인정보 침해 사례와 시스템 장애 발생시 가용성 침해 문제 등의 다양한 문제점을 가지고 있다. 현재 신뢰받는 차세대 융합 정보 핵심 기술 중 하나인 블록체인은 다양한 문제점을 가지고 있던 기존의 중앙 집중형 시스템의 대안 기술로 기대 되고 있으며, 블록체인 환경에 맞는 사용자 인증 시스템의 필요성이 증가 하고 있다. 본 논문은 온라인 환경에서 EID를 이용하여 사용자 식별이 가능한 블록체인 기반의 사용자 통합 인증 시스템을 제안한다. 기존 ID/PW 인증 방식은 사용자가 여러 사이트에 개인정보를 저장하고 각각의 ID를 발급 받아 사용해야 한다. 그러나 제안하는 시스템은 EID 발급 후 여러 사이트에서 회원가입 없이 사용이 가능하다. 제안 시스템은 이메일 및 전화번호 등 최소한의 정보로 EID를 발급한다. 기존 중앙 집중형 시스템과 제안하는 통합 인증 시스템의 안정성과 효율성을 비교하여 우수함을 입증하였다. 컴퓨팅 환경에서 발생하는 공격방법과 침해 요소를 선택하여 기존 시스템과의 안정성을 비교 하였다. 또한 효율성의 검증을 위하여 인증과정에서 발생하는 사용자의 App, 발행 및 인증기관의 서버, 서비스 제공기관 서버 사이의 총 처리량을 트랜잭션 당 처리시간으로 비교 분석하였다.

• Asia pacific journal of information systems
• /
• 제18권4호
• /
• pp.1-26
• /
• 2008

Rapid progress of information technology and widespread use of the personal computers have brought various conveniences in our life. But this also provoked a series of problems such as hacking, malicious programs, illegal exposure of personal information etc. Information security threats are becoming more and more serious due to enhanced connectivity of information systems. Nevertheless, users are not much aware of the severity of the problems. Using appropriate password is supposed to bring out security effects such as preventing misuses and banning illegal users. The purpose of this research is to empirically analyze a research model which includes a series of factors influencing the effectiveness of passwords. The research model incorporates the concept of risk based on information systems risk analysis framework as the core element affecting the selection of passwords by users. The perceived risk is a main factor that influences user's attitude on password security, security awareness, and intention of security behavior. To validate the research model this study relied on questionnaire survey targeted on evening class MBA students. The data was analyzed by AMOS 7.0 which is one of popular tools based on covariance-based structural equation modeling. According to the results of this study, while threat is not related to the risk, information assets and vulnerability are related to the user's awareness of risk. The relationships between the risk, users security awareness, password selection and security effectiveness are all significant. Password exposure may lead to intrusion by hackers, data exposure and destruction. The insignificant relationship between security threat and perceived risk can be explained by user's indetermination of risk exposed due to weak passwords. In other words, information systems users do not consider password exposure as a severe security threat as well as indirect loss caused by inappropriate password. Another plausible explanation is that severity of threat perceived by users may be influenced by individual difference of risk propensity. This study confirms that security vulnerability is positively related to security risk which in turn increases risk of information loss. As the security risk increases so does user's security awareness. Security policies also have positive impact on security awareness. Higher security awareness leads to selection of safer passwords. If users are aware of responsibility of security problems and how to respond to password exposure and to solve security problems of computers, users choose better passwords. All these antecedents influence the effectiveness of passwords. Several implications can be derived from this study. First, this study empirically investigated the effect of user's security awareness on security effectiveness from a point of view based on good password selection practice. Second, information security risk analysis framework is used as a core element of the research model in this study. Risk analysis framework has been used very widely in practice, but very few studies incorporated the framework in the research model and empirically investigated. Third, the research model proposed in this study also focuses on impact of security awareness of information systems users on effectiveness of password from cognitive aspect of information systems users.

• 정보처리학회논문지D
• /
• 제10D권6호
• /
• pp.1059-1066
• /
• 2003

본 논문에서는 전자상거래 시스템에서의 보안 문제를 해결하기 위해 신용카드 조회 시스템을 설계하고 구현하였다. 전자 상거래시 PC에서 신용카드 조회기를 사용하면 키보드 입력 없이 신용카드 조회기에서 신용카드를 읽어 신용카드 결재를 수행한다. 새로운 신용카드 조회 시스템은 신용카드 조회기 내부의 칩에서 공유키 기반으로 신용카드 정보를 즉시 암호화하여 호스트 시스템에 보냄으로써 키보드 해킹 위험에서 안전하다는 장점이 있다. 신용카드 조회 시스템의 암호화/복호화를 위해 quotient ring 에 기반한 행렬 연산을 사용하였으며, 암호화의 안전성을 위해 모든 암호 대상 데이터에 대해 서로 다른 암호 행렬을 생성하는 방법을 제시하고, 서로 다른 암호 행렬을 구성하기 위해 요구되는 암호키의 크기 및 행렬의 크기를 산출하였다. 신용카드 결재를 위하여는 소량(0.1KB) 의 데이터가 요구되므로, 암호키의 크기가 128bits만 되어도 역행렬을 고려한 $2{\times}2$ 행렬의 경우 좋은 성능을 보이는 것으로 분석되었다. 신용카드 조회 시스템을 인증용으로 사용하기 위하여는 0.5KB 이상의 데이터가 필요하므로, 암호키의 크기가 256bits 이상에서 $2{\times}2$ 행렬의 경우 좋은 성능을 보이는 것으로 분석되었다. 신용카드 조회 시스템을 인증용으로 사용하기 위하여는 0.5KB 이상의 데이터가 필요하므로, 암호키의 크기가 256bits 이상에서 $2{\times}2$ 행렬의 경우 좋은 성능을 보이는 것으로 분석되었다. 신용카드 조회 시스템을 인증용으로 사용하기 위하여는 0.5KB 이상의 데이터가 필요하므로, 암호키의 크기가 256bits 이상에서 $2{\times}2$ 행렬이나 $3{\times}3$ 행렬을 사용하면서 역행렬을 고려하는 것이 좋은 것으로 분석되었다.

• 정보보호학회논문지
• /
• 제24권4호
• /
• pp.635-643
• /
• 2014

인터넷을 통하여 제공되는 대부분의 웹 서비스들은 웹 브라우저를 통하여 사용자에게 제공된다. 웹 브라우저는 텍스트 형태의 웹 페이지를 서버로부터 수신하여 해석하고 사용자에게 보여준다. 웹 브라우저는 추가적으로 설치 할 수 있는 각종 기능들을 통하여 확장성을 제공한다. 하지만 추가로 설치 할 수 있는 기능들도 웹 페이지에 접근하여 내용을 위/변조 할 수 있다는 점에서 웹 브라우저를 통한 웹 서비스는 보안상 문제점을 내포할 수 있다. 웹 브라우저는 웹 페이지정보를 DOM구조의 형태로 메모리에 저장한다. 웹 페이지의 변조를 방지하기 위한 방법으로는 DOM구조의 특정 부분에 해쉬(hash)값을 적용하는 방법이 있다. 하지만 웹 페이지의 특성상 해쉬를 이용한 대응방안이 효과를 발휘할 수 없는 부분이 있다. 즉, 사용자가 직접 입력하는 부분은 정해진 입력 값이 아니기 때문에 미리 해쉬 값을 계산 해 놓을수도 없고 따라서 임의로 변조되는 것을 막을 수 없다. 본 논문에서는 웹페이지에 입력되는 사용자 입력 값의 위조나 변조를 방지 또는 탐지하는 방안을 제안한다. 제안 방법은 사용자가 키보드를 사용하여 입력하는 입력 값을 저장 해 놓았다가 웹 브라우저가 입력 값을 전송하는 순간 저장된 입력 값과 전송되는 값을 비교하여 변조 여부를 파악한다.

• 한국정보통신학회논문지
• /
• 제5권2호
• /
• pp.357-364
• /
• 2001

IM(Instant Messenger)은 현재 가장 각광받고 있는 개인 커뮤니케이션 도구이다. 이는 개인에게는 전자우편을 대신할 도구로 기업에게는 사용자 확보의 도구이자 무한한 잠재력을 가진 도구로 평가받고 있다. 하지만, IM은 보안상 여러 문제점을 내포하고 있다. 전송 메시지에 대한 공격에 안전하지 못하다는 점을 비롯하여 여러 취약점들이 보고되고 있고, 이를 이용한 해킹 도구들이 개발된 상태이다. 다시 말해, IM을 통해 주고받는 메시지는 누구든지 엿볼 수 있으며 조작 가능하다는 것이다. 이는 기업의 전략적 도구로의 발전에 큰 걸림돌로 작용하며 개인의 프라이버시에 대한 심각한 문제를 낳을 수 있다. IETF의 IMPP WG(Working Group)에서는 IM간의 상호 연동을 위한 표준을 준비하고 있으나 가장 많은 IM 사용자를 확보하고 있는 AOL(American On-Line)의 불참으로 관련 표준 제정의 진행이원만하지 않은 상태이며 전송되는 데이터의 형식에 관한 논의만이 주로 이루어질 뿐 전체적인 보안서비스에 대한 논의는 미비한 상태이다. 본 논문에서는 이러한 IM의 취약점과 보안상의 문제를 해결하여 안전한 단문 전송 시스템 (SIMS : Secure Instant Messaging System)을 설계 및 구현하였다.

• 한국융합학회논문지
• /
• 제11권5호
• /
• pp.19-25
• /
• 2020

모바일 기기 사용자가 증가함에 따라서 민감한 개인정보를 보호하기 위해 다양한 사용자 인증 방식에 대한 연구가 활발하게 진행되고 있다. 지식기반 기법들은 인증 수단 노출이 쉬워 보안성이 저하되는 단점이 존재하며, 소유기반 기법들은 서비스를 사용하기 위한 구축비용 증가 및 사용자 편리성이 낮은 문제점이 존재한다. 이러한 문제를 해결하기 위해 본인의 스마트 기기를 활용하는 사용자 인증 기법인 FIDO 인증 시스템이 제안되었다. FIDO 인증 시스템은 사용자의 생체 정보기반 인증을 수행하기 때문에 인증 수단이 유출되는 위험이 낮으며, 아울러 사용자의 스마트 기기에 인증 정보를 저장하기 때문에, 서버 해킹에 의한 사용자 정보가 노출되는 문제점을 해결한다. 이를 통해 서비스의 보안 수준에 맞는 사용자 인증기술을 선정하고 활용할 수 있다. 논문에서는 FIDO 인증 시스템에 대해 소개하고, FIDO UAF 클라이언트-서버 개발에 필요한 주요 부분을 설명하고 실제 ebay에서 제공하는 UAF 오픈소스를 활용한 구현 예제를 보여준다.

• 한국정보통신학회논문지
• /
• 제21권8호
• /
• pp.1581-1588
• /
• 2017

최근 광범위하게 유포되고 있는 랜섬웨어는 단순 파일 암호화 후 금전을 요구하는 기존 방식의 공격에서 벗어나 신 변종 유포, 사회공학적 공격 방법을 이용한 표적형 유포, 광고 서버를 해킹해 랜섬웨어를 대량으로 유포하는 멀버타이징 형태의 유포, RaaS 등을 통해 더욱 고도화, 지능화되고 있다. 특히, 보안솔루션을 우회하거나 파일암호화를 통해 파라미터 확인을 불가능하게 하고, APT 공격을 접목한 타겟형 랜섬웨어 공격 등으로 공격자에 대한 추적을 어렵게 하고 있다. 이와 같은 랜섬웨어의 위협에서 벗어나기 위해 다양한 탐지기법이 개발되고 있지만 새롭게 출몰하는 랜섬웨어에 대응하기에는 힘든 상황이다. 이에 본 논문에서는 시그니처 기반의 탐지 패턴 제작 및 그 문제점에 대해 알아보고, 랜섬웨어에 보다 더 능동적으로 대처하기 위해 일련의 과정을 자동으로 진행하는 랜섬웨어 감염 탐지 패턴 자동화 모델을 제시한다. 본 모델은 기업이나 공공 보안관제센터에서 다양한 응용이 가능할 것으로 기대된다.