http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
- 中文 을 입력하시려면 zhongwen을 입력하시고 space를누르시면됩니다.
- 北京 을 입력하시려면 beijing을 입력하시고 space를 누르시면 됩니다.
RISS 인기검색어
- 검색키워드
- 저자 : 김경곤 ( Kyounggon Kim ) (검색결과 5 건)
- 무료
- 기관 내 무료
- 유료
-
AST 와 CFG 에 기반한 Node.js 모듈 취약점 분석
김희연 ( Hee Yeon Kim ),오호균 ( Ho Kyun Oh ),김지훈 ( Ji Hoon Kim ),유재욱 ( Jaewook You ),신정훈 ( Jeong Hoon Shin ),김경곤 ( Kyounggon Kim ) 한국정보처리학회 2019 한국정보처리학회 학술대회논문집 Vol.26 No.2
웹어플리케이션의 발전에 따라 자바스크립트 런타임 플랫폼인 Node.js 의 사용도 증가하고 있다. 개발자들은 Node.js 의 다양한 모듈을 활용하여 프로그래밍을 하게 되는데, Node.js 모듈 보안의 중요성에 비하여 모듈 취약점 분석은 충분히 이루어지지 않고 있다. 본 논문에서는 소스코드의 구조를 트리 형태로 표현하는 Abstract Syntax Tree 와 소스코드의 실행 흐름 및 변수의 흐름을 그래프로 나타내는 Control Flow Graph/Data Flow Graph 가 Node.js 모듈 취약점 분석에 효율적으로 활용될 수 있음을 서술하고자 한다. Node.js 모듈은 여러 스크립트 파일로 나누어져 있다는 점과 사용자의 입력이 분명하다는 특징이 있다. 또한 자바스크립트 언어를 사용하므로 선언된 변수들의 타입에 따라 적용되는 범위인 scope 가 다르게 적용된다는 특징이 있다. 본 논문에서는 이러한 Node.js 모듈의 특징을 고려하여 Abstract Syntax Tree 및 Control Flow Graph/Data Flow Graph 을 어떻게 생성하고 취약점 분석에 활용할 것인지에 대한 방법론을 제안하고, 실제 분석에 활용할 수 있는 코드 구현을 통하여 구체화시키고자 한다.
-
안드로이드 간편결제 애플리케이션 보안 솔루션 결과값 변조를 통한 검증기능 우회 방법에 대한 연구
유재욱(Jaewook You),한미정(Mijeong Han),김규헌(Kyuheon Kim),장준영(Junyoung Jang),진호용(Hoyong Jin),지한별(Hanbyeol Ji),신정훈(Jeonghoon Shin),김경곤(Kyounggon Kim) 한국정보보호학회 2018 정보보호학회논문지 Vol.28 No.4
2014년도부터 금융권의 규제가 완화됨으로써 간단한 인증만으로 대금을 결제 할 수 있는 모바일 간편결제 시장이 확대되어 다양한 간편결제 서비스가 등장하고 있다. 모바일 간편결제 애플리케이션의 보안 위협을 막기 위해 여러 검증 기능을 가진 보안 솔루션들이 애플리케이션에 적용되었지만, 보안 솔루션의 적용 구조상 취약점은 여전히 발생할 수 있다. 본 논문에서는 간편결제 애플리케이션과 보안 솔루션을 프로세스 관점에서 분석하여, 검증 결과 값을 변조하는 것만으로도 각 보안 기능의 상세 분석 없이도 보안 솔루션의 검증 기능을 쉽게 우회 할 수 있음을 실제 간편결제 애플리케이션들을 대상으로 한 실험을 통해 증명한다. 그리고 본 논문에서 제시한 우회 방법의 대응방안을 세 가지 시점으로 나누어 제시함으로써 국내 간편결제 서비스의 보안성을 향상시킬 수 있도록 기여한다. Since 2014, ease of regulations on financial institutions expanded the mobile payment market based on simple authentication, and this resulted in the emergence of various simple payment services. Although several security solutions have been used to mitigate possible security threats to payment applications, there are vulnerabilities which can still be found due to the structure in which the security solution is applied to the payment service. In this paper, we analyze the payment application and security solution from the process perspective, and prove through experimentation that verification functions of security solutions can be bypassed without detailed analysis of each security function, but by simply manipulating the verification result value. Finally, we propose methods to mitigate the bypass method presented in this paper from three different perspectives, and thereby contribute to the improvement of security level of the payment service.
-
이경민(GyungMin Lee),심신우(ShinWoo Shim),조병모(ByoungMo Cho),김태규(TaeKyu Kim),김경곤(KyoungGon Kim) 한국정보과학회 2020 정보과학회논문지 Vol.47 No.5
2000년 후반 이후로 국가에서 후원하는 조직적이고 고도화된 사이버 공격이 지속되고 있으며 공격자들이 남긴 흔적을 토대로 공격 기술을 분석하고 대응하는 기술들 또한 발전하고 있다. 사이버 공격자들은 이러한 분석과 대응으로부터 자신들의 공격을 숨기기 위해 다양한 기술을 사용한다. 특히, 공격에 사용되는 파일을 공격 이후에 시스템에 남기지 않는 파일리스(fileless) 사이버공격이 증가하고 있는 추세다. 파일리스 사이버 공격은 방어자의 입장에서 분석해야 할 실행파일이 남아 있지 않아 분석이 어려우며, 백신에서도 검사하기 위한 파일이 존재하지 않아 악성코드 탐지가 어렵다. 본 논문에서는 은닉화되고 있는 파일리스 사이버공격을 조사 및 분석하고, 파일리스 사이버공격 기법을 분류하기 위해 사이버 킬 체인(Cyber Kill Chain)을 바탕으로 모델링을 제시한다. 이를 통해 새로운 파일리스 사이버공격이 발생했을때 보다 신속하게 공격유형을 파악하여 대응할 수 있을 것으로 기대한다. Since late 2000, state-sponsored and sophisticated cyber-attacks have continued unabated. Also, preparing countermeasures against cyber-attack techniques based on traces are also in development. Cyber attackers use a variety of techniques to veil their attacks from these analyses and countermeasures. In particular, fileless cyber-attacks that do not create a file used for an attack are increasing. Fileless cyber-attacks are difficult to analyze because there are no executable files to analyze from the defender"s perspective. In this paper, we investigate and analyze fileless cyber-attacks and present a model based on the cyber kill chain to classify fileless cyber-attacks. Through this, it is expected to identify and respond to attack types more quickly than when new fileless cyber-attacks occur.
-
이범진 ( Beomjinlee ),문시우 ( Siwoo Mun ),유재욱 ( Jaewook You ),신정훈 ( Jeonghoon Shin ),김경곤 ( Kyounggon Kim ) 한국정보처리학회 2019 한국정보처리학회 학술대회논문집 Vol.26 No.2
Node.js 는 자바스크립트 런타임으로 확장성 있는 웹 애플리케이션 개발에 주로 사용되는 플랫폼이다. 자바스크립트는 수 년에 걸쳐 많은 발전을 이뤘으며 현재는 Node.js 로 서버 사이드까지 자리 잡아 웹이라는 생태계에서 빼놓을 수 없는 요소가 되었다. 본 논문은 Node.js 에 관한 전반적인 이론을 포함하여 자바스크립트 특성으로 인하여 Node.js 에서 자주 발견되는 취약점의 탐색 방법을 모듈 관점에서 다뤄보고자 한다. 또한 취약점이 발생하는 다양한 패턴과 해당 패턴을 막기 위하여 적용된 Mitigation 을 실제 모듈을 예시로 살펴보며 분석해보고자 한다.
-
STRIDE 위협 모델링에 기반한 스마트 TV 보안 요구사항 도출
오인경(In-Kyung Oh),서재완(Jae-Wan Seo),이민규(Min-Kyu Lee),이태훈(Tae-Hoon Lee),한유나(Yu-Na Han),박의성(Ui-Seong Park),지한별(Han-Byeol Ji ),이종호(Jong-Ho Lee),조규형(Kyu-Hyung Cho),김경곤(Kyounggon Kim) 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.2
스마트 TV가 최근 IoT 생태계의 중심으로 떠오름에 따라 그 중요성은 갈수록 높아지고 있다. 스마트 TV 내 취약점이 발생하는 경우 도청, 도촬로 인한 사생활 침해 및 개인정보 유출의 측면 뿐만 아니라 금전적 피해까지 발생할 가능성이 있다. 본 논문에서는 스마트 TV 취약점 분석의 완전성을 높이기 위해 STRIDE 위협 모델링을 통해 위협을 체계적으로 식별하고 공격 대상에 대한 특성을 파악하였다. 또한 Attack Tree와 취약점 점검리스트를 제작하고 실제 취약점 분석을 통하여 점검리스트의 효과성을 검증하여 안전한 스마트 TV 사용 환경을 위한 보안 요구사항을 도출하였다. As smart TVs have recently emerged as the center of the IoT ecosystem, their importance is increasing. If a vulnerability occurs within a smart TV, there is a possibility that it will cause financial damage, not just in terms of privacy invasion and personal information leakage due to sniffing and theft. Therefore, in this paper, to enhance the completeness of smart TV vulnerability analysis, STRIDE threat classification are used to systematically identify threats. In addition, through the manufacture of the Attack Tree and the actual vulnerability analysis, the effectiveness of the checklist was verified and security requirements were derived for the safe smart TV use environment.
ScienceON연관 검색어 추천
이 검색어로 많이 본 자료
활용도 높은 자료
