원전 디지털 계측제어시스템 사이버보안 기술 체계 수립 방법 연구

정만현(Manhyun Chung),안우근(Woo-Geun Ahn),민병길(Byung-gil Min),서정택(Jungtaek Seo) 한국정보보호학회 2014 정보보호학회논문지 Vol.24 No.3

원자력 발전소(이하 원전)의 계측제어시스템은 원자력 발전소를 안전하게 운전하기 위한 설비로 아날로그 기술에서 디지털기술로 변하고 있다. 그리고 2010년 이란의 부셰르 원자력 발전소의 원심분리기의 가동을 중단시킨 스턱스넷 공격으로 인해 원전의 사이버공격의 가능성이 많이 증가하고 있다. 하지만 국내외 원전 디지털 계측제어시스템의 사이버 보안 강화를 위해 발간된 규제지침들은 보안요구사항들과 정책 및 절차 수립 방법들에 대하여 기술하고 있으며, 실제 적용 가능한 사이버보안 기술을 개발하기 위한 지침으로는 사용하기에 적합하지 않다. 이러한 이유로 원전 디지털 계측제어시스템의 보안을 강화 할 수 있는 원전에 특화된 사이버보안 기술 개발이 필요하다. 이에 본 논문은 원전에 특화된 사이버보안 기술 개발을 위한 기술 개발 체계를 제안하고, 이를 KINCS 사업에서 개발된 공학적안전설비-기기계통에 적용하였다. Nuclear Power Plant Instrumentation and Control System(NPP I&C) which is used to operate safely is changing from analog technology to digital technology. Ever since NPP Centrifuge of Iran Bushehr was shut down by Stuxnet attack in 2010, the possibility of cyber attacks against the NPP has been increasing. However, the domestic and international regulatory guidelines that was published to strengthen the cyber security of the NPP I&C describes security requirements and method s to establish policies and procedures. These guidelines are not appropriate for the development of real applicable cyber security technology. Therefore, specialized cyber security technologies for the NPP I&C need to be developed to enhance the security of nuclear power plants. This paper proposes a cyber security technology development system which is exclusively for the development of nuclear technology. Furthermore, this method has been applied to the ESF-CCS developed by The KINCS R&D project.

커널 기반 데이터를 이용한 효율적인 서비스 거부 공격 탐지 방법에 관한 연구

정만현(Man-hyun Chung),조재익(Jae-ik Cho),채수영(Soo-young Chae),문종섭(Jong-sub Moon) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.1

현재 커널 기반 데이터인 시스템 호출을 이용하는 호스트 기반 침입 탐지 연구가 많이 진행되고 있다. 시스템 호출을 이용한 침입 탐지 연구는 시퀀스 기반과 빈도 기반으로 시스템 호출을 전 처리 하는 방법이 많이 사용되고 있다. 실시간 침입 탐지 시스템에 적용할 때 시스템에서 수집 되는 시스템 호출 데이터의 종류와 수집 데이터가 많아 전처리에 어려움이 많다. 그러나 비교적 시퀀스 기반 방법보다 전처리 시간이 작은 빈도 기반의 주로 방법이 사용 되고 있다. 본 논문에서는 현재에도 시스템 공격 중 비중을 많이 차지하고 있는 서비스 거부 공격을 탐지 하기위해 빈도 기반의 방법에 사용하는 전체 시스템 호출을 주성분 분석(principal component analysis)을 이용하여 주성분이 되는 시스템 호출들을 추출하여 베이지안 네트워크를 구성하고 베이지안 분류기를 통하여 탐지하는 효율적인 방법을 제안한다. Currently much research is being done on host based intrusion detection using system calls which is a portion of kernel based data. Sequence based and frequency based preprocessing methods are mostly used in research for intrusion detection using system calls. Due to the large amount of data and system call types, it requires a significant amount of preprocessing time. Therefore, it is difficult to implement real-time intrusion detection systems. Despite this disadvantage, the frequency based method which requires a relatively small amount of preprocessing time is usually used. This paper proposes an effective method for detecting denial of service attacks using the frequency based method. Principal Component Analysis(PCA) will be used to select the principle system calls and a bayesian network will be composed and the bayesian classifier will be used for the classification.

메모리 초기화를 이용한 사용자 데이터 유출 방지에 관한 연구

양대엽,정만현,조재익,손태식,문종섭 大韓電子工學會 2012 電子工學會論文誌-TC (Telecommunications) Vol.49 No.7

컴퓨터 기술이 발전함에 따라 스마트폰, 태블릿 PC 등의 보급이 확산되고 디지털 매체로의 접근이 용이해졌다. 컴퓨터의 하드웨어 성능이 향상되고, 하드웨어 형태의 변화가 발생하였지만 기본적으로 이루어지는 동작 매커니즘의 변화는 이루어지지 않았다. 일반적으로 컴퓨터의 프로그램이 동작하게 되면 프로그램에서 사용하는 데이터가 메모리에 상주하게 된다. 이러한 데이터는 운영체제 동작의 효율성 때문에 메모리에 남아있게 되나, 메모리 덤프나 실시간 메모리 분석을 통해 메모리 내의 데이터에 접근이 가능하다. 이 데이터를 악용할 경우 사용자의 개인정보나 암호화 키, 기밀 데이터 등이 유출될 수 있기 때문에 대응 방안이 마련되어야 한다. 본 논문에서는 가상 메모리의 주소를 이용해 해당 프로세스의 물리 메모리 주소를 찾아내고 해당 프로세스의 메모리 데이터 초기화를 이용하여 사용자의 데이터 유출을 최소화하는 방안을 제안한다. As advances in computer technology, dissemination of smartphones and tablet PCs has increased and digital media has become easily accessible. The performance of computer hardware is improved and the form of hardware is changed, but basically the change in mechanism was not occurred. Typically, the data used in the program is resident in memory during the operation because of the operating system efficiency. So, these data in memory is accessible through the memory dumps or real-time memory analysis. The user's personal information or confidential data may be leaked by exploiting data; thus, the countermeasures should be provided. In this paper, we proposed the method that minimizes user's data leakage through finding the physical memory address of the process using virtual memory address, and initializing memory data of the process.

클라우드 컴퓨팅 가상화 보안을 위한 아키텍처 구성 및 기능 분석 연구

정순기,정만현,조재익,손태식,문종섭 보안공학연구지원센터 2011 보안공학연구논문지 Vol.8 No.5

클라우드 컴퓨팅 시스템은 기존의 시스템과 달리 서버, 네트워크, 스토리지와 같은 부분들이 가상화되어 자원 및 서비스를 공동화하여 활용한다. 클라우드 서비스 기업들은 이러한 서비스를 위해 서비스 기업별로 각기 다른 구성의 컴퓨팅 아키텍처를 사용하고 있다. 다양한 구성의 컴퓨팅 구조에서는, 보안 침해 문제가 발생하면 신속한 대처가 어렵고, 각각의 아키텍처별에 대해, 각기 다른 대응 방법을 사용해야 한다. 또한, 서로 다른 아키텍처에 맞춰 각기 다른 보안요소를 적용하는 방법은 클라우드 컴퓨팅 아키텍처에서 중요 기술인 가상화 기술에 대한 구체적인 보안 요구사항 적용이 어렵고, 상호 호환성에 대한 문제점이 발생 할 수도 있다. 따라서 본 논문에서는 이러한 문제점 해결을 위해 클라우드 컴퓨팅 가상화 보안요소 및 정보보호 요구사항을 분석하고 새로운 구조를 제안한다. 이때 가상화와 관련되어 역할 및 기능별 발생 가능한 위협, 그리고 이에 대응하기 위한 보안요소와 정보보호 요구사항을 도출하여 정의한다. 이러한 방법을 통해 클라우드 컴퓨팅에 대한 위협 요인을 미리 예방하고, 동시에 효율적이고 체계적인 운영 및 관리에 적용 할 수 있다.

비정상 문자 조합으로 구성된 스팸 메일의 탐지 방법

이호섭,조재익,정만현,문종섭 한국정보보호학회 2008 정보보호학회논문지 Vol.18 No.6

As the use of the internet increases, the distribution of spam mail has also vastly increased. The email's main use was for the exchange of information, however, currently it is being more frequently used for advertisement and malware distribution. This is a serious problem because it consumes a large amount of the limited internet resources. Furthermore, an extensive amount of computer, network and human resources are consumed to prevent it. As a result much research is being done to prevent and filter spam. Currently, research is being done on readable sentences which do not use proper grammar. This type of spam can not be classified by previous vocabulary analysis or document classification methods. This paper proposes a method to filter spam by using the subject of the mail and N-GRAM for indexing and Bayesian, SVM algorithms for classification. 인터넷의 활용도가 높아짐에 따라, 스팸메일이 전체 메일에서 차지하는 비중이 점점 커지게 되었다. 전체 인터넷 자원에서 필요에 의해 사용되는 메일의 기능보다, 주로 광고나 악성코드 등의 전파를 위한 목적으로 사용되는 메일의 비중이 점점 커지고 있으며, 이를 방지하기 위한 컴퓨터 및 네트워크, 인적자원의 소모가 매우 심각해지고 있다. 이를 해결하기 위해 스팸 메일 필터링에 대한 연구가 활발히 진행되어 왔으며, 현재는 문맥상의 의미는 없지만 가독상에서 의미를 해석할 수 있는 문장에 대한 연구가 활발히 이루어지고 있다. 이러한 방식의 메일은 기존의 어휘를 분석하거나 문서 분류 기법 등을 이용한 스팸 메일을 필터링 방법을 통해 분류하기 어렵다. 본 연구는 이와 같은 어려움을 해결하기 위해 메일의 제목에 대한 N-GRAM 색인화를 통해 베이지안 및 SVM 을 이용하여 스팸 메일을 필터링 하는 방법을 제안한다.

범용 운영체제를 위한 계층적 패치 분배 구조에서의 효과적인 시스템 인증 방법

배성재(Seongjae Bae),정만현(Manhyun Jung),조재익(Jaeik Cho),문종섭(Jongsub Moon) 한국정보과학회 2007 한국정보과학회 학술발표논문집 Vol.34 No.2D

네트워크가 광범위 하게 발달함에 따라 악의적인 공격도 늘어나고 있다. 악의적인 공격을 막는 방법으로 침입을 차단하는 프로그램을 설치하는 것 외에도 시스템을 패치하는 것은 중요한 부분을 차지한다. 패치 분배 시스템은 대규모 네트워크 상의 시스템에 패치를 분배할 때 부하 분산을 하기 위하여 계층적 구조로 설계된다. 본 논문에서는 계층적 패치 분배 구조에서 상위 계층이 하위 계층을 효과적으로 인증하기 위한 방법을 제안한다.

원전 계측제어시스템 사이버보안 위험도 산정 프로세스

이우묘(Woomyo Lee),정만현(Manhyun Chung),민병길(Byung-Gil Min),서정택(Jungtaek Seo) 한국정보보호학회 2015 정보보호학회논문지 Vol.25 No.3

2000년대 들어 아날로그기술 기반의 원전 계측제어시스템에 디지털기술이 적용되기 시작하였고 현재 국내에서 건설 중인 신월성 원전 2호기, 신고리 원전 3·4호기, 신울진 원전 1·2호기는 국산 MMIS가 적용된 한국형 원전 APR1400 디지털 계측제어시스템을 적용하고 있어 대부분의 장비가 디지털화 되었다. 이러한 디지털 장비는 기존 아날로그 장비에 비해 사이버공격에 취약하므로 원전 계측제어시스템의 사이버보안이 중요한 이슈로 부각되고 있다. 본 논문은 원전계측제어시스템의 사이버보안 위협별 위험도산정 프로세스를 제안하고 원전계측제어시스템개발(KINCS) 사업에서 개발된 원자로보호계통에 제안하는 프로세스를 적용하여 RPS 노드 및 인터페이스의 위협별 위험도를 산출하였다. SInce 2000, Instrumentation and Control(I&C) systems of Nuclear Power Plant(NPP) based on analog technology began to be applied to the digital technology. NPPs under construction in the country with domestic APR1400 I&C system, most devices were digitalized. Cyber security of NPP I&C systems has emerged as an important issue because digital devices compared to the existing analog equipment are vulnerable to cyber attacks. In this paper, We proposed the risk rating process of cyber security threats in NPP I&C system and applied the proposed process to the Reactor Protection System(RPS) developed through Korea Nuclear Instrumentation & Control System(KINCS) project for evaluating the risk of cyber security threats.

BHO 이용한 웹 컨텐츠 변조 탐지 방법

모정훈 ( Jeong Hoon Mo ),정만현 ( Man Hyun Chung ),조재익 ( Jae Ik Cho ),문종섭 ( Jong Sub Moon ) 한국항행학회 2011 韓國航行學會論文誌 Vol.15 No.4

최근 인터넷 서비스 기술이 발달함에 따라 웹 서비스는 사용자의 컴퓨팅 환경에 많은 변화를 주었다. 시사, 경제, 게임/오락은 물론, 개인 금융까지도 웹 페이지를 통해 처리 된다. 이 때, 웹 페이지는 텍스트 형태의 코드를 전송받아 DOM 정보로 가공되어 웹 브라우저에 의해 사용자에게 보여 진다. 하지만, 이 정보들은 다양한 경로를 통해 접근이 가능하고 악의적인 목적으로 변조되어질 수 있다. 또한, 보안 매커니즘을 우회하여 사용자의 로그인 정보나 인증서를 획득할 수도 있다. 따라서, 본 논문에서는 이러한 웹페이지 변조 행위를 탐지하기 위해 웹 브라우저 중 대표적인 MicroSoft 사의 MS Internet Explorer의 Add-On 프로그램인 BHO를 이용하여 웹 컨텐츠에 대한 무결성을 검증하는 탐지 방법을 제안한다. Recently, with improvement of internet service technology, web service has been affecting the environment for computing user. Not only current events, economics, game, entertainment, but also personal financial system is processed by web pages through internet. When data transmission is implemented on the internet, webpage acquire text form code and transform them to DOM information, and then shows processed display to user by web browser. However, those information are not only easily accessed by diversified route, but also easily deformed by intentional purpose. Furthermore, it is also possible to acquire logon information of users and certification information by detouring security mechanism. Therefore, this dissertation propose the method to verify integrity of web contents by using BHO which is one of the Add-On program based on MS Internet Explorer platform which is one of major web browser program designed by MicroSoft to detect any action of webpage deformation.

반가상화 환경 Guest OS보호를 위한 효율적인 서비스 거부 공격 탐지 방법에 관한 연구

신승훈(Seunghun Shin),정만현(Manhyun Jung),문종섭(Jongsub Moon) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.3

최근에 자원의 효율적 사용과 비용 절감을 위해 클라우드 컴퓨팅 서비스가 크게 이슈화 되도 있다. 하지만 클라우드 컴퓨팅 서비스에 대한 보안 안전성이 제대로 검증이 되지 않아 대중적으로 사용하기엔 한계가 있다. 특히, Guest OS에 대해 보안 취약점이 그대로 드러나 있어 좀비 PC로 활용되어 서비스 거부 공격을 유발시킬 가능성이 점차 증대되고 있다. 본 논문에서는 Xen으로 구현된 클라우드 시스템에서 Guest OS 취약점으로 인해 좀비 PC로 사용되어 발생될 수 있는 내부 서비스 거부 공격에 대해 Xen에서 발생되는 하이퍼콜 빈도수를 이용한 침입 탐지 방안에 대해제안 한다. 실험을 통해서 K-means와 EM을 사용하여 제안된 방법이 2분, 5분, 10분, 30분 동안 수집한 두 데이터가 2분, 5분일 때 90%이상 10분 이상일 때 100% 분류율을 모이며 성공적으로 분류가 가능함을 보였다. Recently, cloud computing service has become a rising issue in terms of utilizing sources more efficiently and saving costs. However, the service still has some limitations to be popularized because it lacks the verification towards security safety. In particular, the possibility to induce Denial of service is increasing as it is used as Zombie PC with exposure to security weakness of Guest OS’s. This paper suggests how cloud system, which is implemented by Xen, detects intrusion caused by Denial of service using hypercall. Through the experiment, the method suggested by K-means and EM shows that two data, collected for 2 mins, 5 mins, 10mins and 20mins each, are distinguished 90% when collected for 2min and 5min while collected over 10mins are distinguished 100% successfully.

일회성 암호를 이용한 효율적이고 안전한 SIP 사용자 인증 및 SDP 암호화 기법

김정제(Jungie Kim),정만현(Manhyun Chung),조재익(Jaeik Cho),손태식(Taeshik Shon),문종섭(Jongsub Moon) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.3

본 논문에서는 일회서 암호를 이용한 SIP UA와 서버 사이의 상호 인증 및 SDP암호화 기법을 제안한다. 기존의 HTTP Digest 인증 기법의 취약성을 해결하기 위해 다양한 SIP 인증 기법이 연구되었지만, 여전히 취약성이 존재하거나 암호학적 연산량에 대한 부담이 존재한다. 제안 기술은 매 인증마다 해쉬함수를 사용하여 갱신되는 일회성 암호를 사용하여 복잡한 암호학적 연산을 필요로 하지 않으면서 효율적으로 사용자 인증을 수행한다. 또한 사용자 인증에 사용되는 일회성 암호를 통해 SIP메시지의 무결성 검증 및 SDP 암/복화를 수행하기 때문에 메시지 교환 과정에서 S/MIME, TLS 적용 시 발생하는 오버헤드를 줄일 수 있다. This paper propose a security method that performs mutual authentication between the SIP UA and the server, check for integrity of the signaling channel and protection of SDP information for VoIP using a One-Time Password. To solve the vulnerability of existing HTTP Digest authentication scheme in SIP, Various SIP Authentication schemes have been proposed. But, these schemes can’t meet security requirements of SIP or require expensive cryptographic operations. Proposed method uses OTP that only uses hash function and is updated each authentication. So Proposed method do not require expensive cryptographic operations but performs user authentication efficiently and safely than existing methods. In addition, Proposed method verifies the integrity of the SIP message and performs SDP encryption/decryption through OTP that used for used for user authentication. So Proposed method can reduce communication overhead when applying S/MIME or TLS.