• 한국재난정보학회 논문집
• /
• 제3권1호
• /
• pp.69-86
• /
• 2007

The fire department has one of the most important role as public resources of response to disasters in the aspect of supply and the adequate distribution of resources of response is essential, but the distribution of the response capability to disaster of fire department does not reflect the regional hazard vulnerability and hazard risks. Researchers performed database process with simple mapping based on the regional fire disaster response capability and the regional hazard vulnerability and hazard risks. The cities and towns are divided to four types each, total eight types and relative threat ratios are extracted from every type. The fire disaster response capability was extracted from number of firemen and fire vehicles in defined region. The distribution of the fire disaster response capability was inadequate and not matching to relative threat especially in small cities and some types of towns. The regional relative threat and resources should be analyzed by more delicate mapping and software development in the future.

• 정보보호학회논문지
• /
• 제30권6호
• /
• pp.1225-1236
• /
• 2020

퍼징은 예상되는 범위를 벗어난 입력값을 무작위로 생성해 소프트웨어를 동적으로 테스팅 하는 방법으로, 취약점 분석을 자동화하기 위해 주로 쓰인다. 현재 한국인터넷진흥원에서는 국내 표준 암호 알고리즘들에 대한 소스코드를 공개하고 있으며, 많은 암호모듈 개발업체들이 이 소스코드를 이용하여 암호모듈을 개발하고 있다. 만약 이러한 공개 소스코드에 취약점이 존재할 경우, 이를 참고한 암호 라이브러리는 잠재적 취약점을 가지게 되어 향후 막대한 손실을 초래하는 보안 사고로 이어질 수 있다. 이에 본 연구에서는 SEED, HIGHT, ARIA와 같은 블록암호 소스코드의 안전성을 검증하기 위한 적절한 보안 정책을 수립하였고, 차분 퍼징을 이용해 안전성을 검증하였다. 최종적으로 스택 버퍼 오버플로우와 널 포인터 역참조를 포함하는 메모리 버그 항목과 오류 처리 항목에서 총 45개의 취약점을 발견하였으며, 이를 해결할 수 있는 취약점 개선 방안을 제시한다.

• 정보보호학회논문지
• /
• 제31권4호
• /
• pp.701-713
• /
• 2021

Race Condition은 둘 이상의 프로세스가 하나의 공통 자원에 대해 입력이나 조작이 동시에 일어나 의도치 않은 결과를 가져오는 취약점이다. 해당 취약점은 서비스 거부 또는 권한 상승과 같은 문제를 초래할 수 있다. 소프트웨어에서 취약점이 발생하면 관련된 정보를 문서화하지만 종종 취약점의 발생 원인을 밝히지 않거나 소스코드를 공개하지 않는 경우가 있다. 이런 경우, 취약점을 탐지하기 위해서는 바이너리 레벨에서의 분석이 필요하다. 본 논문은 UNIX 커널기반 File System의 Time-Of-Check Time-Of-Use (TOCTOU) Race Condition 취약점을 바이너리 레벨에서 탐지하는 것을 목표로 한다. 지금까지 해당 취약점에 대해 정적/동적 분석 기법의 다양한 탐지 기법이 연구되었다. 기존의 정적 분석을 이용한 취약점 탐지 도구는 소스코드의 분석을 통해 탐지하며, 바이너리 레벨에서 수행한 연구는 현재 거의 전무하다. 본 논문은 바이너리 정적 분석 도구인 Binary Analysis Platform (BAP)를 통해 Control Flow Graph, Call Graph 기반의 File System의 TOCTOU Race Condition 탐지 방법을 제안한다.

• 한국컴퓨터정보학회논문지
• /
• 제19권10호
• /
• pp.117-124
• /
• 2014

S/W 개발 보안이란 안전한 SW 개발을 위해 잠재적인 보안취약점을 제거하고, 보안을 고려하여 기능을 설계 구현하는 등 SW 개발 과정에서 일련의 보안활동을 말한다. 본 논문에서는 우리에게 정신적, 금전적으로 상당한 피해를 주는 국내외 해킹 사례를 살펴보도록 한다. 웹 사이트 공격의 약 75%가 응용프로그램 즉, S/W의 취약점을 악용한 것임을 상기시킨다. 그리고 이러한 취약점들을 많이 가지고 있는 S/W 개발 보안의 주요 이슈들을 알아보도록 한다. 그리고 보안관련 법 제도 및 규정을 공공부분과 민간부분으로 나누어 제시하도록 한다. 그리고 보안관련 법 제도 및 규정의 세부 내역들을 예를 들어 나타내 보도록 한다.

• 한국IT서비스학회지
• /
• 제21권5호
• /
• pp.65-79
• /
• 2022

The smart factory has spread to small and mid-size enterprises (SMEs) under the leadership of the government. Smart factory consists of a work area, an operation management area, and an industrial control system (ICS) area. However, each site is combined with the IT system for reasons such as the convenience of work. As a result, various breaches could occur due to the weakness of the IT system. This study seeks to discover the items and vulnerabilities that SMEs who have difficulties in information security due to technology limitations, human resources, and budget should first diagnose and check. First, to compare the existing domestic and foreign smart factory vulnerability classification systems and improve the current classification system, the latest smart factory vulnerability information is collected from NVD, CISA, and OWASP. Then, significant keywords are extracted from pre-processing, co-occurrence network analysis is performed, and the relationship between each keyword and vulnerability is discovered. Finally, the improvement points of the classification system are derived by mapping it to the existing classification system. Therefore, configuration and maintenance, communication and network, and software development were the items to be diagnosed and checked first, and vulnerabilities were denial of service (DoS), lack of integrity checking for communications, inadequate authentication, privileges, and access control in software in descending order of importance.

• 정보보호학회논문지
• /
• 제32권4호
• /
• pp.709-722
• /
• 2022

최근 "Log4j 보안 취약점 사태" 가 발생함에 따라 오픈소스인 "Log4j"를 활용하는 정보시스템이 취약점에 노출되었다. 이번 사태로 인해 전 세계뿐만 아니라 국내 주요 정부 기관 또는 기업들의 정보시스템에 큰 취약점이 발생하여 오픈소스의 취약점에 대한 문제가 대두되었다. 오픈소스는 여러 장점에도 불구하고 오픈소스를 활용하여 개발하는 현재의 개발 패러다임으로 인해 소프트웨어 보안 취약점이 손쉽게 확산될 수 있다는 문제점이 많아 오픈소스의 안전성 및 신뢰성 확보하기 위해 오픈소스에 대한 취약점 점검이 필요하다. 하지만 오픈소스 취약점 스캐닝 도구는 종류도 많고 지원하는 언어와 기능들이 상이한 다형적인 특징을 가지고 있다. 따라서, 기존 소프트웨어 평가 기준으로는 평가하기 모호하고 장단점을 평가하기 어려우므로 본 논문에서는 오픈소스 취약점 분석 도구에 대한 새로운 평가 기준을 개발하였다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2017년도 제56차 하계학술대회논문집 25권2호
• /
• pp.29-32
• /
• 2017

보안 취약점을 악용하여 소프트웨어를 무력화하는 사이버 공격이 증가함에 따라, 조기에 소프트웨어의 취약점을 발견하고 분석하는 보안 테스팅에 대한 중요성이 높아지고 있다. 보안 테스팅의 자동화된 방법 중 하나인 퍼징 기법은 소프트웨어의 입력에 타당하지 않은 무작위 값을 삽입하여 해당 소프트웨어의 예외 즉, 잠재적인 취약점을 발견할 수 있다. 본 논문은 파일 퍼징 과정에서 효율적인 파일 변이 방법을 제안하고 이를 활용한 퍼징 기법을 통해 소프트웨어의 보안성을 높이고자 한다.

• 한국멀티미디어학회논문지
• /
• 제24권3호
• /
• pp.440-447
• /
• 2021

Smartphones are currently being produced with similar functions, shapes, and software. The foldable smartphone is a product that dramatically changed the shape of the existing smartphone. Therefore, it affects the functions and software. In this paper, we analyze the potential security vulnerability of current mobile authentication methods by dividing them into two parts, security vulnerabilities of non-foldable smartphones, and security vulnerability that appears with the changed smartphone structure. According to the analysis result, the classic and current mobile user authentication methods appears to be easily affected by the smartphone display structure. Finally, we propose an appropriate authentication method as well as the concept of security measures for smartphones with foldable screen. Our method shows that it is more secure than the conventional authentication methods in foldable display smartphone.

• 한국소프트웨어감정평가학회 논문지
• /
• 제8권2호
• /
• pp.45-51
• /
• 2012

본 논문은 SOA 보안 취약점을 분석하기 위해 서비스 계층 구조상의 특징을 고려하여 취약점을 식별하고 평가한다. 제안된 분석방법은 모델기반 접근방법으로써, 안전한 서비스 모델을 도출하기 위해, 비즈니스 모델에서 보안요구사항을 표현하는 방법과 서비스의 취약점 식별 과정을 정의한다. 분석적 검증을 통해 제안된 방법이 유용성을 평가하였다.

• 한국국방경영분석학회지
• /
• 제22권2호
• /
• pp.166-181
• /
• 1996

Aircraft survivability is determined by the susceptibility and the vulnerability. The aircraft susceptibility and vulnerability depend upon the hardware and software factors. Each of the hardware and software factors consisted of the qualitative and quantitative attributes varies according to the time of the mission. In order to establish the mathermatical model to analyze and evaluate the aircraft survivability, qualitative factors have to be transformed into quantitative factors. Even if many researches in the area of dynamic concept analysis and conversion of qualitative factors into the quantitative factors has been insufficient. This research enhances these insufficient area by developing a reliable aircarft survivability analysis method. The major areas of this research are as follows. First, a method for the conversion of the qualitative factors into the quantitative factors is developed by combining the Fuzzy Set Theory concept and the Delphi Technique. Second, by using the stochastic network diagram for the dynamic survivability analysis, the aircraft survivability and the probability of kill are calculated from the state probability for the situation during mission. The advantage of the analysis technique developed in this research includes ease of use and flexibility. In other words, in any given aircraft's mission execution under any variable probability density function, the developed computer program is able to analyze and evaluate the aircraft survivability.