• 한국산학기술학회논문지
• /
• 제18권11호
• /
• pp.46-52
• /
• 2017

최근 ICT 및 IoT 제품의 활용 분야가 다양화 되면서 오픈소스 소프트웨어의 활용 분야가 컴퓨터, 스마트폰, IoT 디바이스 등 다양한 기기와 환경에서 활용되고 있다. 이처럼 오픈소스 소프트웨어의 활용분야가 다양해짐에 따라 오픈소스의 보안 취약점을 악용하는 불법적인 사례가 지속적으로 증가하고 있다. 이에 따라 다양한 시큐어 코딩을 위한 도구나 프로그램이 출시되고 활용되고 있지만 여전히 많은 취약점들이 발생하고 있다. 본 논문에서는 안전한 오픈 소스 소프트웨어 개발을 위해 오픈 소스의 취약점 분석 결과에 의한 이력과 패턴을 지속적으로 학습하여 신규 취약점 분석에 활용할 수 있는 방법을 제안한다. 본 연구를통해 취약점 이력 및 패턴 학습기반의 취약점 분석 시스템을 설계하였으며, 프로토타입으로 구현하여 실험을 통해 시스템의 성능을 평가하였다. 5개의 취약점 항목에 대해 평균 취약점 검출 시간은 최대 약 1.61sec가 단축되었으며, 평균 검출 정확도는 약 44%point가 향상된 것을 평가결과에서 확인할 수 있었다. 본 논문의 내용 및 결과는 소프트웨어 취약점 연구 분야에 대한 발전과 소프트웨어 개발자들의 취약점 분석을 통한 시큐어 코딩에 도움이 될 것을 기대한다.

• 정보보호학회논문지
• /
• 제18권3호
• /
• pp.89-95
• /
• 2008

본 논문은 인터넷 금융거래에서 공통적으로 이용하는 키보드 기반 사용자 아이디 및 패스워드 인증에서의 근본적인 취약점을 제시한다. 또한, 키보드 입력정보의 유출 방지를 위한 기존 기술이 동작하고 있는 실제의 상황에서 사용자 패스워드의 취득이 매우 간단하게 이루어질 수 있음을 보인다. 추가적으로 이러한 취약점을 해결하기 위한 방안으로서 장단기적으로 고려하여야 하는 하드웨어 및 소프트웨어 관점에서의 접근방법에 대하여 제시한다. 다양한 방안들을 구현하고 적용하여 보다 신속하게 대응책을 마련함으로써 기존의 인터넷 금융거래 환경의 보안 수준을 개선해야 할 것으로 사료된다.

• International journal of advanced smart convergence
• /
• 제8권4호
• /
• pp.47-57
• /
• 2019

We examine the weaknesses of the existing OOXML-based MS-Word file structure, and analyze how data concealment and forgery are performed in MS-Word digital documents. In case of forgery by including hidden information in MS-Word digital document, there is no difference in opening the file with the MS-Word Processor. However, the computer system may be malfunctioned by malware or shell code hidden in the digital document. If a malicious image file or ZIP file is hidden in the document by using the structural vulnerability of the MS-Word document, it may be infected by ransomware that encrypts the entire file on the disk even if the MS-Word file is normally executed. Therefore, it is necessary to analyze forgery and alteration of digital document through internal structure analysis of MS-Word file. In this paper, we designed and implemented a mechanism to detect this efficiently and automatic detection software, and presented a method to proactively respond to attacks such as ransomware exploiting MS-Word security vulnerabilities.

• 한국산학기술학회논문지
• /
• 제17권9호
• /
• pp.724-731
• /
• 2016

지진으로 인한 구조물의 피해가 지속적으로 증가하면서, 구조물의 취약성을 평가하는 일은 지진 대비에 필수적으로 여겨지고 있다. 지진 취약도 곡선은 지진에 대한 구조물의 안전도에 대한 확률 지표로써 널리 이용되고 있으며, 많은 연구자들에 의해 보다 정확하고 효율적인 취약도 곡선 도출을 위한 노력이 계속되고 있다. 하지만 기존의 대부분의 연구에서는 취약도 곡선 도출시 수치해석 시간 절약을 위해 단순화된 2차원 해석모델을 사용해 왔는데, 많은 경우에 있어 2차원 모델은 정확한 구조물의 내진 거동 및 지진 취약성을 평가하기에 적당하지 않을 수 있다. 이에 본 연구에서는 3차원 해석 모델을 사용하여 더욱 정확하면서도 여전히 효과적으로 지진 취약도 곡선을 도출할 수 있는 방법을 제시한다. 이 방법은 신뢰성 해석 소프트웨어인 FERUM과 구조해석 소프트웨어인 ZEUS-NL을 서로 연동시켜 상호 자동적인 데이터 교환이 가능하게 하고, 샘플링 기법이 아닌 FORM 해석 기법을 통해 구조물의 파괴확률을 구한다. 이는 3차원 모델을 사용의 경우에도 효율적으로 구조 신뢰성 해석이 가능하게 해준다. 이를 이용해 RC 프레임 구조물의 3차원 해석 모델을 사용하여 지진 취약성 평가를 수행하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2024년도 춘계학술발표대회
• /
• pp.199-201
• /
• 2024

많은 양의 데이터 처리를 요구하는 오늘날, 메모리 입/출력 없이 데이터를 처리할 수 있는 Processing-In Memory가 많은 관심을 받고 있다. Processing-In Memory는 소프트웨어 라이브러리를 통해 접근할 수 있는데, 적절히 구현되지 않은 라이브러리는 공격 대상이 된다. 본 논문에서는 Processing-In Memory 소프트웨어 라이브러리에 존재하는 시간적 접근 취약점을 분석하고 그에 대한 완화기법을 제시한다.

• 디지털융복합연구
• /
• 제13권1호
• /
• pp.257-262
• /
• 2015

해킹과 같은 사이버 공격의 약 75%가 애플리케이션의 보안 취약점을 악용하기 때문에 안전행정부에서는 코딩 단계에서부터 사이버 공격을 막을 수 있고 보안취약점을 제거할 수 있는 시큐어 코딩 가이드를 제공하고 있다. 본 논문에서는 안행부가 제시한 시큐어 코딩 가이드 7개의 항목들에 대해 AHP기법을 사용하여 우선순위를 찾고 중요도 분석을 하였다. 그 결과 '에러 처리'가 가장 중요한 항목으로 결정되었다. 현재 소프트웨어 감리에 시큐어 코딩에 관한 항목이 없는데, 이 분석 결과는 소프트웨어 개발 과정 중 감리 기준으로 유용하게 사용될 것이다.

• Structural Engineering and Mechanics
• /
• 제72권1호
• /
• pp.83-97
• /
• 2019

In this research, the vulnerability of some reinforced concrete frames with different stories are studied based on the Park-Ang Damage Index. The damages of the frames are investigated under various earthquakes with nonlinear dynamic analysis in IDARC software. By examining the most important characteristics of earthquake parameters, the damage index and vulnerability of these frames are investigated in this software. The intensity of Erias, velocity spectral intensity (VSI) and peak ground velocity (PGV) had the highest correlation, and root mean square of displacement ($D_{rms}$) had the lowest correlation coefficient among the parameters. Then, the particle swarm optimization (PSO) algorithm was used, and the sinusoidal waves were equivalent to the used earthquakes according to the most influential parameters above. The damage index equivalent to these waves is estimated using nonlinear dynamics analysis. The comparison between the damages caused by earthquakes and equivalent sinusoidal waves is done too. The generations of sinusoidal waves equivalent to different earthquakes are generalized in some reinforced concrete frames. The equivalent sinusoidal wave method was exact enough because the greatest difference between the results of the main and artificial accelerator damage index was about 5 percent. Also sinusoidal waves were more consistent with the damage indices of the structures compared to the earthquake parameters.

• 디지털융복합연구
• /
• 제15권3호
• /
• pp.175-180
• /
• 2017

전 세계적으로 IT 산업이 발전함에 따라 소프트웨어 산업 또한 크게 성장하였으며, 사회전반에 걸쳐 일상생활에서부터 금융과 공공 기관까지 영향력을 미치고 있다. 특히 ICT 기술의 활성화로 인해 소프트웨어 산업은 더욱 고도화 되고, 다양한 기능과 기술을 공유하게 되었다. 그러나 이렇게 성장하는 소프트웨어 산업과 비례하여 제공되는 서비스에 치명적인 위협을 가할 수 있는 다양한 보안 위협 또한 크게 증가 하였다. 이미 OpenSSL 하트블리딩 취약점으로 전 세계적으로 큰 이슈를 일으켰으며, 그밖에도 이란의 원자력 발전시설, 미국의 에너지 기업들이 소프트웨어 취약점으로 인해 많은 피해를 입었다. 본 논문에서는 응용프로그램 보안 사고의 큰 비중을 차지하고 있는 소프트웨어 취약점을 효과적으로 탐지 식별 할 수 있는 블랙박스, 화이트박스 테스트를 연계한 하이브리드 퍼징 시스템을 제안한다.

• 정보처리학회논문지C
• /
• 제15C권2호
• /
• pp.125-132
• /
• 2008

인터넷 기술의 발달에 따라 온라인 서비스를 이용하기 위해 개인이 관리해야 할 아이디의 수가 증가하였고, 사용자의 아이디와 패스워드를 안전하고 편리하게 관리할 수 있는 아이디/패스워드 통합 관리 제품이 개발되어 사용되고 있다. 하지만 이러한 제품에서 관리자 패스워드가 노출되면 사용자의 모든 정보가 노출될 수 있는 위험이 있다. 따라서 현재 상용 제품의 취약성 분석을 통해 보안요구사항을 도출하고, 안전한 아이디/패스워드 통합 관리 제품 개발의 지침으로 용될 평가기준이 필요하다. 본 논문에서는 도출된 보안요구사항을 바탕으로, 안전한 아이디/패스워드 통합 관리 제품을 위한 평가 기준을 제안한다.

• 한국군사과학기술학회지
• /
• 제15권3호
• /
• pp.272-287
• /
• 2012

The optimal use of sonar systems for detection is a practical problem in a given ocean environment. In order to quantify the mission achievability in general, measure of effectiveness(MOE) is defined for specific missions. In this paper, using the specific MOE for detection, which is represented as cumulative detection probability(CDP), an integrated software package named as Optimal Acoustic Search Path Planning(OASPP) is developed. For a given ocean environment and sonar systems, the discrete observations for detection probability(PD) are used to calculate CDP incorporating sonar and environmental parameters. Also, counter-detection probability is considered for vulnerability analysis for a given scenario. Through modeling and simulation for a simple case for which an intuitive solution is known, the developed code is verified.