메시지 구간을 이용한 복귀가 없는 파손 회복 기법

김기범(Kibom Kim),황종선(Chong-Sun Hwang),정광식(GwangSik Chung),유헌창(HeonChang Yu) 한국정보과학회 1996 한국정보과학회 학술발표논문집 Vol.23 No.1A

분산 시스템의 성능 향상에 비례하여 결함 포용에 대한 연구의 중요성이 점점 증가하고 있다. 결합 포용에 대한 기존 연구들은 파손 발생시 복귀를 고려한 일관적 전역 상태에 기반한 방법과 메시지를 받은 프로세스가 메시지를 로깅하여 프로세스의 수행을 계속 진행시키는 방법들이 주류를 이루어 왔다. 그러나 이들 방법은 정상 실행시 결함 포용을 보장하기 위한 프로세스들 사이의 동기화와 결함발생시의 일관성 유지에 많은 오버헤드를 유발시킨다. 본 연구에서는 메시지 구간 MI와 송신 프로세스의 메시지를 로깅함으로써 이러한 오버헤드를 감소시키는 파손 회복 기법을 제안한다. 제안하는 회복 알고리즘은 파손 발생시 복귀를 통하여 일관된 전역 상태를 만드는 것이 아니라, 파손이 발생한 프로세스만을 재실행함으로써 일관된 전역 상태가 되도록 하였다. 결국, 제안하는 방법은 정상실행시 검사점을 취하기 위한 프로세스간의 동기화를 위한 오버헤드를 감소시키고 파손 발생시 정상인 프로세스의 복귀를 없앰으로써 프로세스들의 진행의 정도를 높인다.

결함 주입을 이용한 소프트웨어 보안 테스팅

김기범(Kibom Kim),최영한(Younghan Choi),양진석(Jinseok Yang),홍순좌(Soonjwa Hong) 한국정보보호학회 2006 情報保護學會誌 Vol.16 No.5

사이버 공격이 급증함에 따라 이를 사전에 효과적으로 예방할 수 있는 소프트웨어 보안 테스팅의 필요성이 점차 증대되고 있다. 결함 주입 기법은 사이버 공격과 마찬가지로 프로그램의 외부에 노출된 인터페이스에 고의적으로 결함을 주입하는 방법으로 보안 취약점을 찾는 우수한 방법이다. 이 논문에서는 결함 주입 기법의 기본적인 개념을 살펴본다. 또한, 결함 주입을 수행하는 절차인 결함 주입 대상 외부 인터페이스 선택, 결함 유발 가능 입력 데이터 생성, 결함 주입에 따른 이상현상 탐지 각각에 대한 개요 및 최근 동향을 기술한다.

인과적 메시지 로깅에서 확장성 지원 방법

김기범(Kibom Kim),황종선(Chung-Sun Hwang),유헌창(HeonChang Yu),손진곤(JinGon Shon),정순영(SoonYoung Jung) 한국정보과학회 2000 정보과학회논문지 : 시스템 및 이론 Vol.27 No.4

인과적 메시지 로깅기법은 프로세스의 파손 결함을 포용하는 분산 시스템을 작은 비용으로 구축할 수 있는 기법이다. 기존의 인과적 메시지 로깅기법은 결함 포용 시스템 내에 고정된 수의 프로세스가 존재한다는 기본가정을 갖고 있다. 이러한 가정은 새로운 프로세스의 추가 혹은 현존하는 프로세스의 소멸 시 모든 프로세스들이 자신의 자료구조를 변경해야 한다. 그러나, 우리는 각각의 프로세스가 모든 프로세스에 대한 목록을 유지하는 것이 아니라 통신을 수행하는 프로세스에 대한 목록을 유지하도록 한다. 이러한 방법은 결함 포용시스템을 여러 다른 스케일에서도 동작하도록 하여 준다. 이러한 기법을 이용하여, 우리는 현존하는 인과적 메시지 로깅 기법에 적용할 수 있는 새로운 회복 알고리즘을 개발하였다. 제안하는 알고리즘은 1) 회복리더를 필요로 하지 않는 분산화된 기법이고, 2) 회복이 진행되는 동안 정상프로세스의 실행을 막지 않는 비방해기법이고, 3) 여러 프로세스의 동시 결함도 포용할 수 있는 기법이다. 기존의 인과적 메시지 로깅기법에서는 위의 성질 중 하나 이상을 만족시키지 못했다. The causal message logging is a low-cost technique of building a distributed system that can tolerate process crash failures. Previous research in causal message logging protocol assumes that the number of processes in a fault-tolerant system is fixed. This assumption makes all processes modify their data structures when a new process is added or an existing process terminates. However, the proposed approach in this paper allows to each process retain identifiers of only the communicating processes instead of all processes. This mechanism enables the fault-tolerant system to operate at many different scales. Using this mechanism, we develop a new algorithm that can be adapted for recovery in existing causal message logging protocols. Our recovery algorithm is 1) a distributed technique which does not require recovery leader, 2) a nonblocking protocol which does not force live processes to block while recovery is in progress, and 3) a novel mechanism which can tolerate failures of an arbitrary number of processes. Earlier causal message logging protocols lack one or more of the above properties.

소프트웨어 참조 데이터세트 구축 동향

김기범(Kibom Kim),박상서(Sangseo Park) 한국정보보호학회 2008 情報保護學會誌 Vol.18 No.1

디지털 포렌식에서 증거 데이터 분석의 효율성을 높이기 위해서는 잘 알려진 파일을 분석 대상에서 제외하거나, 특정 파일의 존재여부에 대한 검사가 필요하다. 이를 위하여, 시스템 파일, 폰트 파일, 응용 프로그램 파일 등 분석 이 필요없는 파일 및 루트킷, 백도어, 익스플로잇 코드 등 악성 파일에 대한 해쉬 값을 미래 계산하여 저장해 둔 것을 소프트웨어 참조 데이터세트라고 한다. 이 논문에서는 소프트웨어 참조 데이터세트 구축에 대한 주요 동향에 대하여 살펴본다. 특히, 소프트웨어 참조 데이터세트 구축을 주도하고 있는 미국의 NSRL RDS에 대하여 활용가능성 측면에서 구체적으로 살펴본다. NSRL RDS에 대한 분석결과 실제 컴퓨터 포렌식 도구에서 활용하기 매우 어렵다는 사실을 알 수 있다.

통신 패턴에 기반한 메시지 로깅

김기범(Kibom Kim),유헌창(HeonChang Yu),안진호(JinHo Ahn),황종선(Chong Sun Hwang) 한국정보과학회 1998 한국정보과학회 학술발표논문집 Vol.25 No.2Ⅲ

메시지로깅을 이용한 기존의 메시지 로깅기법에서는 모든 메시지에 대한 처리를 동일하게 수행하였다. 반면, 이 논문에서는 통신 패턴에 대한 연구를 바탕으로 통신시에 발생하는 중요한 성질인 통신국부성을 발견하였다. 이를 기반으로 프로세스의 통신 집합을 유지하도록 함으로써 결함 발생 후 모든 프로세스에게 도움을 요청하는 메시지를 보는 것이 아니라 오직 자신과 통신을 수행했던 프로세스에게만 메시지를 보내는 기법을 제안한다.

소프트웨어 기반 보안 USB에 대한 취약성 분석 방법론

김민호(Minho Kim),황현욱(Hyunuk Hwang),김기범(Kibom Kim),장태주(Taejoo Chang),김민수(Minsu Kim),노봉남(Bongnam Noh) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.6

USB 메모리가 보편화됨에 따라 보안 USB 제품들이 일반화 되고 있다. 보안 USB는 장치 기반의 접근제어, 저장된 파일의 암호화 등 다양한 방식으로 데이터를 보호하고 있다. 따라서 포렌식 관점에서 분석자가 데이터에 접근하기 위해서는 많은 어려움이 존재하여 데이터 복호화가 필요하다. 본 논문에서는 보안이 적용된 이동식 저장 매체에 대한 취약성 검증을 위해 소프트웨어 방식의 데이터 암·복호화 기술을 연구하고 이에 대한 분석 메커니즘을 제안한다. 보안 메커니즘이 적용된 USB 저장장치를 대상으로 데이터 복호화를 위한 취약점 분석을 수행하였으며, 그 결과 암호화가 적용된 보안 USB 제품에 대해서 패스워드 없이 원본 파일을 추출할 수 있는 취약점이 존재함을 확인할 수 있었다. The modern society with the wide spread USB memory, witnesses the acceleration in the development of USB products that applied secure technology. Secure USB is protecting the data using the method as device-based access control, encryption of stored files, and etc. In terms of forensic analyst, to access the data is a lot of troubles. In this paper, we studied software-based data en/decryption technology and proposed for analysis mechanism to validation vulnerability that secured on removable storage media. We performed a vulnerability analysis for USB storage device that applied security mechanism. As a result, we found vulnerabilities that extracts a source file without a password.

포렌식에서 활용 가능한 삼성 스마트폰 백업 파일 분석 기법

이규원,황현욱,김기범,장태주,Lee, Gyuwon,Hwang, Hyunuk,Kim, Kibom,Chang, Taejoo 한국정보처리학회 2013 정보처리학회논문지. 컴퓨터 및 통신시스템 Vol.2 No.8

스마트폰의 다양한 기능들이 사용되면서 사용자의 개인정보를 비롯한 대용량의 데이터들이 스마트폰에 저장되고 있다. 그러나 운영체제와 어플리케이션의 잦은 업데이트는 데이터의 손실을 야기할 수 있으며, 개인의 소중한 데이터를 분실할 위험성을 갖게 한다. 이로 인하여 데이터의 백업에 대한 중요성이 크게 증가하였으며 많은 사용자들이 자신의 데이터를 안전하게 보관하기 위해 백업 기능을 사용하고 있다. 그러나 포렌식 관점에서 이 백업 파일들은 스마트폰의 은닉 및 데이터의 고의 삭제시 중요한 수사 대상이 된다. 따라서, 이 논문에서는 세계에서 스마트폰 점유율이 가장 높은 삼성 스마트폰의 Kies 백업 파일에 대한 구조를 분석하고, 백업 파일을 복원하는 기법을 제안한다. 실험 결과 제안된 기법은 다양한 유형의 파일들을 분석하여 타 도구들 대비 높은 파일 추출 결과를 보였다. As various features of the smartphone have been used, a lot of information have been stored in the smartphone, including the user's personal information. However, a frequent update of the operating system and applications may cause a loss of data and a risk of missing important personal data. Thus, the importance of data backup is significantly increasing. Many users employ the backup feature to store their data securely. However, in the point of forensic view these backup files are considered as important objects for investigation when issued hiding of smartphone or intentional deletion on data of smartphone. Therefore, in this paper we propose a scheme that analyze structure and restore data for Kies backup files of Samsung smartphone which has the highest share of the smartphone in the world. As the experimental results, the suggested scheme shows that the various types of files are analyzed and extracted from those backup files compared to other tools.

NTFS 파일시스템 기반 파일 접근 흔적 식별 연구

김은진(Eunjin Kim),김기범(Kibom Kim),황현욱(Hyunuk Hwang) 한국디지털포렌식학회 2017 디지털 포렌식 연구 Vol.11 No.2

디지털 기기에서 사용된 파일을 식별 하는 것은 디지털 포렌식 수사의 핵심 요소이며 사용자의 의도를 파악하는데 활용되는 방법이다. 디지털 포렌식 조사관들은 Windows 운영체제 환경에서 파일 접근 흔적을 식별하기 위해 다양한 아티팩트를 연구하고 분석해 오고 있다. Windows 운영체제에서 파일 접근 흔적을 찾을 수 있는 방법 중 대표적인 것은 링크 파일과 점프리스트를 분석하는 것이다. 그러나 링크 파일과 점프리스트는 쉽게 삭제될 수 있다. 본 논문에서는 Windows 운영체제에서 링크 파일과 점프리스트가 고의로 삭제되었을 때 파일 접근 흔적을 식별하기 위해서 NTFS 파일시스템을 분석하는 방법을 제안한다. NTFS 파일시스템에 속한 모든 파일들은 MFT 엔트리를 가지고 있다. 그리고 Windows 운영체제 환경에서 파일에 접근 할 때, MFT 엔트리에 $OBJECT_ID 속성이 생성된다. 따라서 MFT 엔트리에서 $OBJECT_ID 속성의 존재 유무를 조사하는 것으로 파일 접근 여부를 식별할 수 있다. 이러한 연구를 바탕으로 본 논문에서 제안하고 있는 방법은 사용자가 고의로 링크 파일을 삭제 했을 때 MFT 엔트리의 $OBJECT_ID 속성 정보를 분석하는 기법으로, 이 방법을 이용 하면 파일의 접근 여부를 파악 할 수 있다. 실험 결과 링크 파일을 삭제하고 재부팅을 5회 하였음에도 파일의 $OBJECT_ID 속성은 계속 유지되어 접근 여부 파악에 활용할 수 있다. Identifying used files from digital devices is a key element of digital forensic investigation and is essential to understand the intension of suspect. Digital forensic investigators have studied and analyzed various artifacts to identify file access traces in the Windows operating system. All files in NTFS filesystem have MFT entries. Well-known methods for identifying accessed files in Windows operation system is the analysis of link files and jumplists. However, link files and jump lists can be easily deleted. In this paper, we propose a method to analyze the NTFS file system to identify the file access when the link file and the jump list are intentionally deleted in the Windows operating system. When a file is accessed in Windows operating system, the $OBJECT_ID attribute is created in the MFT entry. Therefore it can be identified whether a file is accessed by examining the existence of the $OBJECT_ID attribute in the MFT entry. Based on this study, the proposed method can know whether a file is accessed by analyzing the $OBJECT_ID attribute information of the MFT entry even though a user deliberately deletes a link file. From the experiments, even if link files were deleted and the system was rebooted five times, the $OBJECT_ID attribute of files was retained and can be used to identify file access.

자바 메시지 전달 시스템에서의 결함 포용 병렬 애플리케이션

안진호(Jin Ho Ahn),김기범(Kibom Kim),김정훈(Jeong Hoon Kim),황종선(Chong Sun Hwang) 한국정보과학회 1998 한국정보과학회 학술발표논문집 Vol.25 No.2Ⅲ

동기적 검사점(synchronous checkpointing) 기법, 인과적 메시지 로깅(causal message logging)과 향상된 회복 비동기성(improved asynchronism during recovery)을 제공하는 복귀회복(rollback recovery) 기법을 적용하여 자바 메시지 전달 시스템(java message passing system)에서 수행하는 병렬 애플리케이션들에게 저 비용의 결함 포용성(fault-tolerance)을 제공하는 소프트웨어 패키지를 구현하고자 한다. 최근에 통신과 프로세서 기술이 급속도로 발전함에 따라, 통신망으로 연결된 이질형(heterogeneous) 컴퓨터들을 이용하는 대규모 분산 시스템들은 아주 효율적인 병렬 컴퓨팅 환경을 제공해준다. 그러나, 이러한 분산 시스템들의 규모가 커짐에 따라 고장률(failure rate)도 그만큼 증가하게 된다. 따라서, 고장률이 높은 대규모 분산 시스템들에게 좀 더 효율적인 결함 포용성을 제공하는 기법들이 필요하다. 또한, 대규모 분산시스템들은 이질형 컴퓨터들로 구성되어 있기 때문에, 결함 포용성을 제공하는 소프트웨어 패키지들은 플랫폼 독립적(platform independent)이어야 한다. 이러한 문제점은 높은 이식성(portability)을 가지고 있는 자바 언어로 구현함으로써 해결될 수 있다. 따라서, 본 논문은 자바 메시지 전달 시스템에서 수행하는 병렬 애플리케이션들에게 동기적 검사적 기법, 인과적 메시지 로깅과 향상된 회복 비동기성을 제공하는 복귀회복 기법을 높은 이식성을 가진 자바 언어로 구현하여 저 비용으로 결함 포용성을 제공하고자 한다.

정보배포 능력을 가진 AVOD서비스 시스템의 설계 및 구현

이혜정(Hye-Jung Lee),김기범(Kibom Kim),박두순(Doo-Soon Park) 한국멀티미디어학회 2000 한국멀티미디어학회 학술발표논문집 Vol.2000 No.1