보안취약점 공개제도 입법방안에 관한 연구

이현진 성균관대학교 일반대학원 2022 국내석사

최근 4차 산업혁명과 비대면, 디지털 전환 시대를 맞이하여 디지털 환경이 급변함에 따라 사이버 위협도 증가하고 있다. 초창기 사이버 공격은 단순 해킹 능력을 가시하기 위해 불특정 다수를 대상으로 이루어졌으나, 최근 사이버 위협은 명확한 목적을 가지고 특정 공격 대상을 공략하고 개인을 대상으로 한 공격에서 기업과 국가를 대상으로 규모가 확대되고 있다. 사이버 보안의 중요성이 강조되는 환경 속에서 국가 안보와 기업과 개인의 재산을 지키기 위해서는 보유하고 있는 자산과 해당 자산이 내재한 보안취약점을 사전에 인지하고 조치하여 공격 위협을 차단하는 것이 중요하다. 이에 따라 국제 사회에서는 급증하는 보안취약점에 대응하기 위해 보안취약점 공개제도의 필요성을 언급하고 관련 정책을 수립하기 위한 논의들이 활발하게 이루어지고 있다. 2014년 국제표준화기구(ISO; International Oraganization for Standardization)에서 제품과 온라인 서비스의 취약점 공개에 관한 표준을 발간하였고, 미국은 2016년부터 국방부에서 취약점 공개제도(VDP)을 시행하고 있으며, 국토안보부(DHS, Department of Homeland Security)의 사이버 인프라보안국(CISA) 차원에서 보안취약점 정보를 체계적으로 관리 및 공개하고 있다. 또한, 유럽연합(EU)은 유럽네트워크정보보안청(ENISA)에, 일본은 정보처리추진기구(IPA)에 취약점을 신고 받아 해당 기업에 전달하여 조치할 수 있는 법적 권한을 부여하여 대응하고 있다. 우리나라도 「정보통신기반보호법」등에 취약점 분석 및 평가 규정을, 「소프트웨어 진흥법」에 소프트웨어 개발 보안을, 「정보통신망법」에 침해사고의 예방 및 확산 방지를 위한 취약점 대응 조치와 침해사고와 관련된 취약점 조치를 권고할 수 있도록 규정하고 있다. 하지만, 해당 법률들은 보안전문가들에게 취약점을 신고받고 이를 대응하여 취약점 공개제도를 운영하기 위한 법적 근거로 보기에는 다소 미비한 부분이 있다. 따라서 본 연구에서는 조정 공개 방식의 보안취약점 공개제도를 도입하기 위한 입법방안을 제시하였다. 이를 위해 제2장에서는 보안취약점 공개방식의 유형과 공개제도의 개념을 살펴보고, 그 필요성을 보안취약점의 속성과 현황을 통해 알아보았다. 제3장에서는 국가 차원에서 조정 공개제도를 운영 중인 해외 사례들을 알아보고, 해당 국가의 근거 법제와 운영 중인 공개제도 현황을 살펴보았다. 제4장에서 우리나라에서 운영 중인 보안취약점 공개제도의 법적 근거와 운영 현황들을 알아보고 해외 사례들과 비교하여 문제점들을 도출하였다. 이를 바탕으로 제5장에서 정보통신망법에 취약점 신고·접수 및 대응 관련 규정, 보안전문가들의 취약점 신고 면책 규정, 취약점 발굴의 가이드라인 제시, 취약점 대응의 전담 기관 지정 및 국가 차원의 데이터베이스 마련 등을 입법화 할 것을 제안하였다. 본 논문이 우리나라의 취약점 대응을 위해 공개제도를 도입하여 국가 사이버 보안을 확보하는데 기여하기를 바란다. Cyber ​​threats are also increasing as the digital environment changes rapidly in the recent era of the 4th industrial revolution and untact, digital transformation. In the early days of cyber attacks, they aimed at many and unspecified people to show their simple hacking capabilities, but recently, cyber threats have a clear purpose and attack specific attack targets and are expanding from attacks targeting individuals to companies and countries. have. In an environment where the importance of cyber security is emphasized, in order to protect national security and corporate and personal property, it is important to block the attack threat by recognizing in advance the assets held and the security vulnerabilities inherent in those assets and taking appropriate measures. Accordingly, in order to respond to rapidly increasing security vulnerabilities the international community is referring to the necessity of a security vulnerability disclosure system and is actively discussing about establishing related policies. In 2014, the International Organization for Standardization (ISO) published standards on vulnerability disclosure of products and online services, the Pentagon has implemented the Vulnerability Disclosure Procedure (VDP) since 2016, and the Cyber ​​Infrastructure Security Agency (CISA) of the Department of Homeland Security (DHS) systematically manages and discloses security vulnerability information. In addition, EU, UK, and Japan are responding by granting the European Network Information Security Agency (ENISA), the National Cyber Security Center (NCSC), and the Information Processing Agency (IPA), respectively legal authorities to receive a report on vulnerabilities, convey it to corresponding companies, and take appropriate measures. In Korea, the vulnerability analysis and evaluation provisions under the 「Information and Communication Infrastructure Protection Act」, etc., the software development security under the 「Software Promotion Act」, and the vulnerability countermeasures for the prevention and diffusion-prevention of security incidents and vulnerability measures related to security incidents under the 「Information and Communications Network Act」 are stipulated as recommendations. However, these laws seem somewhat incomplete to security experts in terms of legal basis for receiving a report on vulnerabilities and operating a vulnerability disclosure system in response to it. Therefore, this study proposed a legislative measure to introduce the security vulnerability disclosure system of the adjusted disclosure method. To this end, Chapter 2 examines the types of security vulnerability disclosure methods and the concept of the disclosure system, and examines their necessity through the properties and current status of security vulnerabilities. Chapter 3 examines overseas cases in which an adjustment disclosure system is being operated at the national level, and examines the legal basis for the country and the current status of the disclosure system in operation. In Chapter 4, the legal basis and operation status of the security vulnerability disclosure system operating in Korea are investigated, and problems are derived in comparison with overseas cases. Based on these, Chapter 5 suggests that regulations related to reporting, receiving, and responding to vulnerabilities, regulations on exempting security experts from responsibilities due to reporting vulnerabilities, presentation of guidelines for vulnerability discovery, designation of an agency in exclusive charge of vulnerability response, and preparation of a national database be legislated under the Information and Communications Network Act. It is hoped that this thesis will contribute to securing the national cyber security by introducing a disclosure system to respond to vulnerabilities in Korea.

보안취약점의 사회적 인식과 법·기술적 대응전략

윤상필 고려대학교 정보보호대학원 2021 국내박사

디지털이 일반화되고 있다. 이제 보안은 특수한 영역이 아니다. 오히려 디지털 시대의 경쟁력이자 생존력이라고 할 수 있다. 미래 디지털 사회에서는 보안도 아주 일반화된 형태로 구현되어야 한다. 디지털 기술의 영향을 받는 사회 구성원들이 기술의 위험요소를 쉽게 알고 대처할 수 있어야 한다. 제품과 서비스는 보안을 고려해 설계되어야 하며 그러한 보안은 모두의 참여로 계속 개선되어야 한다. 보안을 침해하는 요소는 줄이고 보안을 강화하는 영역을 늘려야 한다. 사실 보안 학계와 업계에서는 당연한 내용일 수 있다. 그러나 그런 논의들이 사회에서 공론화되고 정책으로 구현되거나 제도로 자리 잡으려면 사회 전반에서 위험소통이 이루어져야 한다. 디지털 위험에 관한 정보를 드러내고 공유해 사회적 차원에서 문제를 인식해야 한다. 그러한 위험을 합리적으로 수용하기 위한 공론이 벌어져야 한다. 이 연구는 그러한 작업의 한 과정으로서 디지털 위험의 근원이라고 할 수 있는 보안취약점 문제를 다루고 있다. 특히 보안취약점이 어떻게 활용되어 오고 있는지 그 구조를 식별하고 이에 내재한 위험논의의 속성을 분석함으로써 이론적 접근을 시도하였다. 아울러 구체적인 사례들을 통해 식별한 활용구조의 주요 쟁점들을 법적으로 분석하고 핵심과제를 도출하였다. 결론으로서 그러한 과제들을 해결하기 위한 원칙을 제안하고 구체적인 대응전략을 설계하였다. 모든 디지털 기술에는 결함이 있을 수밖에 없다. 사람의 손으로 만든 결과물이기 때문이다. 이 결함이 취약점으로 발현되려면 해당 결함을 조작해 보안을 뚫거나 우회할 수 있는 외부의 접근이 있어야 한다. 이러한 속성으로 인해 취약점은 누가 먼저 찾느냐의 문제가 된다. 즉, 블랙해커가 먼저 찾는다면 보안을 침해하는데 쓰이겠지만 화이트해커가 먼저 찾는다면 보안을 강화하는데 쓰일 수 있다. 이로부터 취약점을 둘러싼 복잡한 구조들이 형성된다. 일단 취약점을 찾아내면 이를 공개하거나 공개하지 않는 경우로 나뉜다. 취약점을 공개하게 되면 어떤 형태로든 취약점은 패치로 이어진다. 물론 그 과정에서 악용되는 사례가 발생할 수 있다. 취약점을 공개하지 않으면 이는 취약점을 찾아낸 사람만이 활용할 수 있게 된다. 찾아낸 사람이 범죄자라면 타인의 시스템에 침입해 데이터를 조작하거나 탈취하거나 파괴할 것이다. 정부 기관이라면 정보나 증거를 수집하기 위해 다른 나라나 기업 또는 범죄자나 테러단체의 데이터에 접근할 것이다. 이 같은 은밀한 행위는 다른 누군가가 그 취약점을 찾아 공개하지 않는 이상 영원히 계속될 수 있다. 따라서 취약점은 일단 공개해야 제거된다. 취약점을 공개하는 행위도 여럿이다. 취약점을 찾는 즉시 공개할 수도 있고, 해당 취약점이 발견된 제품의 제조업체에게만 알려줄 수도 있다. 업체가 취약점 신고를 확인하고 고마움을 표시하며 취약점을 패치하고 신고자에게 보상을 지급하는 등의 절차들이 이어진다면 다행이다. 그러나 현실은 꼭 그렇지만은 않다. 취약점을 찾아 사업자에게 알려줬으나 이를 무시하기도 하고 오히려 함부로 자사 제품의 보안을 침해했다고 소송을 걸기도 한다. 이 때문에 선의의 화이트해커들은 취약점을 찾더라도 이를 공개하기 어렵다. 전반적으로 보안이 개선되기 어려운 구조다. 반대로 사업자들이 자발적으로 자사의 취약점 연구를 요청하고 취약점을 공개하는 경우도 많다. 아예 CERT 등 제3자가 개입해 취약점을 대신 제보받고 이를 사업자에게 전달하여 패치를 요구하는 유형도 있다. 그러한 제3자의 역할을 사업모델로 삼고 중개료를 받아 이익을 챙기는 버그바운티 사업도 활발하다. 취약점이 가치를 갖고 거래되고 있는 것이다. 이 거래도 다시 유형이 나뉜다. 버그바운티와 같이 좋은 목적으로 보안을 강화하기 위해 거래되기도 하지만 다크웹을 통해 사이버범죄를 목적으로 세상에 공개되지 않은 제로데이 취약점이 거래되기도 한다. 무기 밀매가 그렇듯 지하시장에서 판매되는 취약점이 더 비싸다. 애매한 영역도 있다. 바로 각국 정부의 정보·수사기관들을 상대로 취약점을 판매하는 그레이마켓이다. 심지어 몇몇 권위주의 국가들은 국민의 세금으로 취약점을 구매해놓고 국민을 감시하고 탄압하는데 쓰기도 한다. 정부가 구매한 보안취약점과 고도의 기술력을 동원해 만든 익스플로잇 또는 해킹툴이 역으로 해킹당해 유출되기도 한다. NSA의 이터널 블루나 이탈리아 해킹팀 사건들이 대표적인 사례다. 그 탓에 사이버범죄자들의 기술적 역량도 더욱 고도화되고 있다. 사이버범죄는 하나의 생태계를 이루고 비즈니스화되어 견고하게 이루어지고 있다. 단순히 보안취약점을 거래하기도 하지만 이를 이용한 해킹툴을 제작하기도 하고 봇넷을 만들어주거나 빌려주기도 한다. 방탄호스팅과 같이 사이버범죄 행위를 은닉할 수 있는 서비스들도 제공된다. 테러단체나 범죄자들은 마음만 먹으면 고도의 해킹툴을 구매할 수 있다. 무엇보다 보안취약점을 활용해 은밀하게 정보를 탈취하거나 감시하고 흔적을 지우는 식의 범죄가 이루어지면 사실상 피해 사실을 알아채기도 어렵다. 보안을 강화할 수 있는 전략적 접근들이 필요하다. 디지털 전환이 무슨 뜻인지 사회적 차원에서 인지해야 한다. 디지털 전환은 자칫 더욱 취약하고 위험한 사회와 일상을 의미할 수 있다. 멀리 떨어진 2대의 컴퓨터가 연결됨으로써 다른 사람이 내 데이터를 볼 수 있게 되었다. 연결이 확장되고 융합되어 이제는 모두가 모두의 데이터를 볼 수도 있고 바꿀 수도 있고 삭제할 수도 있다. 때문에 디지털 통신의 전제조건은 통신의 보안이다. 역량있는 정부와 기업들은 보안을 강화하기 위해 더 많은 자원을 투입해야 한다. 그러한 점에서 보안취약점이 이중적으로 활용될 수 있다면 선의의 활용을 장려하고 악의의 활용은 억제해야 한다. 취약점은 어떤 방식의 접근을 통해 발견될지 모르기 때문에 지속적이고 다양한 검사가 이루어져야 한다. 그렇다면 발상을 바꿔야 한다. 디지털이 일반화되는 상황에서 보안연구가 윤리적으로 허용될 수 있는지 논의할 때가 아니다. 취약점 연구를 허용하고 지원해 사회 전반의 보안역량을 제고해야 한다. 조직들이 자발적으로 취약점 연구를 허용한다면 최선이지만 그렇지 못하다면 취약점 연구를 허용할 수 있도록 제도를 개선할 필요도 있다. 정부든 화이트해커든 찾아낸 취약점은 해당 조직이나 기업에게 알려 패치하도록 해야 한다. 그 절차를 원활히 하기 위해 취약점 공개정책을 마련해야 한다. 이를 통해 취약점을 공개해 디지털 기술체제의 안전을 지속적으로 개선해야 한다. 또한 디지털 기술을 악용하는 사이버범죄 행위를 실질적으로 수사할 수 있어야 한다. 우리 정부와 기업, 시민의 정보에 접근해 안보를 위협하는 행위도 차단할 수 있어야 한다. 그러한 목적으로 취약점을 활용할 수 있도록 하기 위해 관련 법적·기술적 문제를 판단할 수 있는 전문기구를 신설하고 구체적인 판단 기준을 마련해 오남용이나 시민의 피해가 발생하지 않도록 해야 한다. 기준으로는 ① 해당 취약점의 영향을 받는 제품과 제품의 속성, 버전 및 범용성, ② 해당 취약점이 공개되면 악용될 가능성, ③ 해당 취약점의 심각성, ④ 취약점 공개 후 패치의 개발 및 배포의 가능성과 실효성, ⑤ 해당 취약점을 다른 기관이나 단체, 개인이 찾아낼 가능성, ⑥ 해당 취약점의 활용이 정보활동이나 수사 등의 목적에 도움이 되는지 여부, ⑦ 이를 대체할 수단이 없는지에 관한 보충성 여부, ⑧ 해당 취약점이 공개될 경우 정보의 출처나 수단, 방법 등이 드러날 가능성, ⑨ 해당 취약점이 공개될 경우 우리나라 정부의 대외 관계 및 산업계 등과의 외부관계 영향, ⑩ 해당 취약점의 활용으로 인해 침해되는 권리 및 이익형량의 결과 등을 고려할 수 있을 것이다. 그러나 어떠한 경우에도 대량감시나 위법한 해킹 등을 위한 취약점 활용은 허용될 수 없다. 기록관리의 제도도 개선해 전문적인 취약점 활용 기록을 비밀로 관리하고 그러한 목적이 저해되지 않는 합리적 기간이 지난 후에는 이를 다시 평가해 국가기록으로 관리할 수 있는 체계도 필요하다. 보안취약점이 표면에 드러나고 점차 인식되기 시작하면 이를 체계적으로 관리할 수도 있어야 한다. 미국과 일본, 중국의 사례처럼 우리나라도 범국가 차원의 보안취약점 데이터베이스를 구축해 취약점을 관리하고 공유해야 한다. 보안취약점이 가치를 갖고 거래된다면 악의적 목적의 거래는 차단해야 한다. 디지털이 국경을 무너뜨렸다면 보안취약점 대응도 국제협력을 통해 이루어져야 한다. 보안취약점이 일반화되는 만큼 이에 대응할 수 있는 역량 기반도 마련해야 한다. 이를 위해 국가적 차원에서 화이트해커를 양성하고 전문가 윤리교육을 체계화해야 한다. 개별적 대응이 어려운 만큼 기금을 마련해 보안 강화를 위한 지원 기반을 마련할 수 있어야 한다. 취약점 거래시장을 양성화하고 블랙마켓 등 불법한 거래는 제재할 수 있어야 한다. 국제적 차원에서 심각한 취약점 문제를 공론화하고 정당한 명분을 제시해 각국 정부와 기업들이 행동할 수 있도록 해야 한다. 그러한 관점에서 우리나라가 디지털 시대의 보안 강화에 기여할 수 있는 부분을 모색하고 관련 작업에 실질적으로 동참해야 한다. 디지털 시스템은 점점 더 복잡해지고 있다. 아직 IoT가 완전히 자리잡지 않은 지금이 적기다. 이만큼 복잡하고 거대한 기술을 사용한다면 그에 걸맞은 위험관리가 필요하다는 인식과 전략적인 노력들이 동반되어야 한다. 특히 보안을 강화할 수 있는 주체들이 전 세계에 함께하고 있다는 점을 인식해야 한다. 점차 보안을 약화하는 행위와 구조들을 줄이고 보안을 강화하는 쪽을 택하도록 장려할 수 있는 정책들이 필요하다. 역량과 자원을 갖춘 정부와 기업이 먼저 나서야 한다.

소프트웨어의 잠재적 오류가능성 및 보안취약점 비교분석 연구

이성민 高麗大學校 컴퓨터情報通信大學院 2011 국내석사

According to recent news, so many domestic and foreign web applications are being violated by malicious users. And the web applications which were under attack are being misused for secondary attacks such as phishing or outflow tracts of malicious programs. Infringement of the applications are now being used as nationwide cyber crime out of individual curiosity, however, security measures for the application are not systematic. Therefore, web attack techniques always go a step ahead of the security. Recent large-scale events occur such as personal information leakage , and there is always the possibility such things happen. While developing a new software in midst of software vulnerabilities and the risks of error, instead of applying a defensive programme to curb the existing problem, a more stable programme can be developed. Next, vulnerabilities case of software code potential software error and factors such as security vulnerability ㆍ Cross Site Scripting(XSS) ㆍ SQL Injection ㆍ Path traversal vulnerabilities ㆍ Voluntary redirection problem ㆍ OS Command Injection ㆍ Backdoor password ㆍ Nativesoftware bug(buffer overflow, Integer voluntary, Format string voluntary) ㆍ Source code commentsvoluntary This thesis explores the elements that may cause potential software error and factors such as security vulnerability and analyzes the security vulnerabilities of a system in which the Java has been developed and is in application. It also finds that unqualified softwares have randomly been used since there are limits of developer's environment and time.Moreover as the development environment and capability of developer, extra resources and time should be input and danger be taken a risk as a result of weak problems. 최근 뉴스에 의하면 국내·외 수 많은 웹 애플리케이션이 악의적인 사용자에 의해 침해당하고 있다. 그리고 공격을 받은 웹 애플리케이션은 피싱이나 악성 프로그램의 유출지로 활용되는 등 2차적인 공격 용도로 사용되고 있다. 이제는 애플리케이션 침해가 개인의 호기심을 벗어나 범국가적인 사이버 범죄에 활용되는 추세인 반면 애플리케이션에 대한 보안 대책은 체계적이지 못하고 중구난방식으로 이뤄지고 있다. 그렇기 때문에 항상 웹 공격 기술에 비해 보안은 매번 한발 늦고, 최근에 발생한 대규모 개인정보 유출 사건처럼 큼직한 사건들이 발생하고 있고, 그 가능성이 항상 존재하고 있는 것이 현실이다. 이러한 보안취약점 및 오류의 위험은 소프트웨어 개발시 방어적 프로그램(Defensive Programming)을 포함하는 시큐어 코딩(Secure Coding)기법을 적용하여 보다 안정적인 프로그램을 개발 할 수 있다. 소프트웨어 코딩의 오류나 버그로 인해 발생할 수 있는 취약점은 다음과 같다. ㆍ 크로스사이트 스크립팅(XSS) ㆍ SQL 인젝션 ㆍ 경로탐색 취약점 ㆍ 임의의 리다이렉션 문제 ㆍ 운영체제 명령어 인젝션 ㆍ 백도어 비밀번호 ㆍ 네이티브 소프트웨어 버그(버퍼 오버플로우, 정수 취약점, 포맷 스프링 취약점) - 소스코드 주석처리 문제 본 논문에서는 소프트웨어의 잠재적인 오류를 발생할 수 있는 요소와 보안 취약점으로 인하여 생길 수 있는 요소들을 살펴보고 실제 java로 개발되어 운영되고 있는 시스템들의 보안 취약점을 분석하였고, 개발자의 개발환경 및 개발시간 등 여러 가지 제약으로 인해 프로그램 완성도가 떨어지는 소프트웨어들이 아무렇지도 않게 사용되어지고 있음을 알 수 있었다. 뿐 만 아니라 개발당시의 환경과 개발자의 역량에 따라 향후 몇 배에 해당하는 추가적인 자원과 시간을 투입하여야 할 뿐만 아니라 취약 문제점 보완으로 인하여 발생 할 수 있는 위험부담 까지 감수하여야 함을 알 수 있었다.

보안취약점 진단을 활용한 보안관제 고도화에 관한 연구

조상덕 건국대학교 정보통신대학원 2014 국내석사

최근 기업에서는 외부로부터 내부 자산을 보호하기 위해 보안영역에 집중적인 투자를 통해 실시간으로 보안 이벤트를 관리 및 분석할 수 있는 ESM과 패턴 기반 보안시스템을 도입하고, 이를 활용하여 침해 탐지 및 대응의 역할을 할 수 있는 보안관제를 활성화하고 있다. 그러나, 내부자산에 대한 해킹 및 악성코드 등의 공격 위협이 갈수록 고도화 되고 있어 기존 ESM 및 패턴 기반 보안시스템을 활용한 보안관제만으로는 방어할 수 없는 운영의 어려움이 증가 되고 있다. 최근 발생하는 공격의 경우 공격자가 웹서버 해킹과 악성코드 삽입을 통한 복합적인 공격 형태였으나, 공격 당시에는 보안관제의 대처가 제대로 이루어지지 않는 사례가 빈번하였다. 이는 많이 알려진 공격 형태가 아닌 사전에 철저한 탐색과 스캐닝을 통해 이루어진 최신 취약점이 존재하는 서비스를 목표로 공격이 이루어졌기 때문에 보안관제에서 대처하기에는 상당히 어려움이 따른다. 이러한 최신 보안취약점 공격을 막는 근본적인 방법은 미비한 상황이며, 체계적인 대응으로 피해를 최소화 할 뿐이다. 본 논문에서는 보안관제에서 최신 보안취약점 공격에 대해 체계적으로 대응하기 위하여 ESM을 활용한 보안관제의 문제점과 패턴 기반 보안시스템을 활용한 보안관제의 문제점을 알아보고, 이러한 문제점을 해결하기 위해 보안취약점 진단 방법론 중 보안관제에서 활용이 가능한 모의해킹 진단 방법을 활용하여 최신 보안취약점 공격을 효율적으로 대처할 수 있는 보안관제 고도화 방안에 대해 제안하고자 한다. 이를 효율적으로 활용하기 위해 패턴 기반 보안시스템의 탐지정책 관리 표준화 방안을 제시하고, 모의해킹 진단 방법을 적용한 절차를 기술한다. 또한 보안관제에서 모의해킹 진단 방법론을 패턴 기반 보안시스템인 IDS/IPS와 웹방화벽에 실제 적용이 가능한 백도어와 해킹 관련 툴의 패턴 추출 방법과 이를 적용한 실제 적용사례에 대해 알아본다. 적용 후 효과로는 최신 취약점의 방어가 가능해지고, 내부 정보 유출 등의 보안 위협에 대해 보다 능동적으로 대처하고 보안관제 신뢰성 향상을 통해 보안관제의 고도화 방안을 마련할 수 있었다.

웹 어플리케이션의 안전한 서비스를 위한 보안성강화 기법

박재형 강원대학교 2017 국내석사

초고속 인터넷의 보급이 확산되고 웹 서비스의 수요가 늘어나면서 우리 생활에 많은 변화를 주고 있다. 인터넷 사용의 초기에는 뉴스 형태의 단순 정보교류 위주였으나 현재는 세금 및 공과금 납부, E-mail, 인터넷 뱅킹, 정부 민원 서비스, 홈쇼핑, 온라인 강의, 온라인 게임 등 일상생활의 필수 요소로 자리 잡고 있다. 이와 같이 웹 사이트를 통해 정보 제공이 활성화되면서 웹 어플리케이션의 보안취약점을 이용한 해킹 시도가 증가하고 있다. 웹 어플리케이션은 사용자가 입력한 정보 및 데이터를 처리하는 프로그램의 특성상 불특정 다수가 쉽게 사용할 수 있고, 외부 공격에 항상 노출되어 있어서 사이버 공격이 발생할 가능성이 높다. 또한 웹 서버, 웹 어플리케이션 서버 등 웹 관련 SW자체의 보안취약점을 이용한 공격은 보안장비로도 대응하기가 쉽지 않다. 최근에는 이러한 보안취약점을 이용한 세션 하이재킹, XSS(Cross Site Script)공격, 메시지 전송시 데이터의 위/변조, 취약한 쿠키의 재사용 등 사이버 공격을 통해 사용자의 금전적인 손실이 발생하고 주요한 개인정보가 유출되고 있다. 본 논문에서는 이 기종간 통신이 쉽고 특정 플랫폼에 종속적이지 않는 웹 서비스(WSDL: WebService Description Language)방식과 사용자 정보와 세션정보를 안전하게 저장할 수 있는 HTML5의 웹 스토리지를 이용하여 인증 및 세션관리의 보안취약점을 해소하는 웹 스토리지 AGENT 서비스 기법을 제시한다. 세션관리의 보안취약점인 개인정보의 노출을 사전에 차단하고 세션 하이재킹을 방지하며 웹 스토리지 AGENT에서 생성되는 wsSession 값을 활용하는 저비용의 웹 스토리지 AGENT 서비스를 구현하였다. 보안성 평가를 위한 실험을 실시한 결과 웹 어플리케이션의 보안성이 강화됨을 확인하였다.

딥러닝 기반 소스코드 취약점 자동 패치 기법에 관한 연구

이관목 극동대학교 대학원 2023 국내박사

최근 ICT 기술의 급격한 발달은 다양한 산업 분야에서 최첨단 기술 및 시스템을 통해 많은 사용자에게 매우 유용한 도움을 주고 있으며, 사회 전반에 걸쳐 매우 혁신적인 변화를 일으키고 있다. 하지만 이러한 혁신적인 변화의 이면에는 표준화되고 점점 고도화되는 악성코드의 대량생산으로 인해 지속되는 무분별한 사이버 공격 등의 악영향도 함께 일어나고 있다. ICT 시스템에 매우 큰 위협을 가하는 이러한 사이버 공격은 고도화를 넘어 더욱 지능화되고 있어서 이제는 더 이상 기존의 대응 방법으로는 적절히 대응하기가 어려운 한계에 이르렀다. 행정안전부는 사이버 공격의 주요 원인인 소프트웨어 보안 취약점을 개발단계에서 제거하기 위하여 정보화 사업에 소프트웨어 개발 보안을 의무적으로 적용하고 있다. 하지만, 취약점 점검 후 발견된 취약점 제거는 수동으로 제거해야 하므로 개발자의 숙련도에 의존적이며, 소스코드 취약점 제거 비용 발생, SW 개발 기간 증가 등의 한계가 존재한다. 더욱이 보안을 위해서는 소스코드 취약점 진단 시스템을 통한 취약점 검출과 제거가 동시에 되어야 하지만, 기존 소스코드 취약점 진단 시스템은 취약점 검출은 하지만 자동화된 취약점 제거 기능은 제공하지 못하고 있다. 그리고 이러한 소스코드 취약점 진단 결과에 따른 취약점 제거를 위한 소스코드 수정에 많은 시간과 노력이 소요되며, 다수의 개발자가 수행하면 개발자의 숙련도에 의존되어 취약점 진단 및 보안 가이드에 의한일관성 있는 소스코드 취약점 제거가 어려운 상황이다. 이에 본 연구에서는 이러한 기존의 소스코드 취약점 진단 기술 및 시스템의 문제점을 해결하기 위해 딥러닝을 이용하여 소스코드 취약점 제거를 위한 소스코드 데이터셋을 학습시켜 자동화된 패치까지 제공함으로써 일관된 소스코드 취약점 제거를 가능하게 하는 모델을 제안하고, 이를 시스템을 구현하였으며, 구현된 시스템에 대한 실험을 통해 성능평가를 수행하였다.실험에서 취약점 학습 데이터셋은 Java 소스코드의 경우, 19,597개, c및 cpp 소스코드의 경우, 20,000개를 사용하였으며, 취약점 제거 학습 데이터셋은 Java 소스코드의 경우, 100개, c 및 cpp 소스코드의 경우, 100 개의 데이터셋을 각각 사용하였다. 또한 성능평가 결과, 소스코드 취약점자동패치 정확도는 99.8%, 소프트웨어 취약점 점수화는 전체 확인 가능,발견된 취약점별 추적정보 존재 유무는 확인되었으며, 행렬형 보기의 분류 정확도는 10회 이상 측정하여 모두 확인하였으며, 취약점 분석에 따른 자동 진단율은 96.5%로 나타났다. 따라서 본 연구를 통해 개발된 딥러닝 기반 소스코드 취약점 자동 패치 시스템의 성능은 매우 높게 나타난 것을 확인할 수 있었으며, 본 시스템을 통해 해당 소스코드 내에 있는 취약점을 한눈에 알아볼 수 있고, 취약점이 자동으로 패치되는 것은 기존 취약점 분석 시스템 대비 장점으로 평가할 수 있다. 또한 본 연구를 통해 개발된 딥러닝 기반 소스코드 취약점 자동 패치 시스템은 소스코드 취약점에 대해 국제표준에 기반한 CWE 점수화를 통해 Java 소스코드 취약점의 위험 순위를 제공할 뿐만 아니라 딥러닝을 통해 소스코드의 취약점을 검출하고, 자동으로 제거까지 할 수 있다는 점에서 연구의 의의가 있다고 할 수 있다.

보안 취약점을 이용한 공격에 대응하는 포렌식 기법 방안 연구 : Apache Struts 2 사례를 중심으로

이상환 동국대학교 2018 국내석사

웨어러블 심전도 모니터의 보안취약점 분석 및 대응방안 연구

김용관 숭실대학교 정보과학대학원 2020 국내석사

웨어러블 심전도 모니터는 신체에 부착하여 사용하는 기기이며, 사람의 심전도 신호를 측정하여 건강상태를 모니터링 하는 서비스를 제공한다. 웨어러블 의료, 헬스케어 기기는 다른 산업 분야의 사물인터넷 기기들에 비해 큰 폭으로 확산되고 있으며 대부분 스마트폰과 BLE 통신으로 데이터를 송수신하고 또한 스마트폰을 외부 네트워크와 연결하는 게이트웨이로 활용하므로 이 점을 활용한 취약점 공격도 늘어날 것으로 예상된다. 그리하여 사용자들의 개인정보 노출 및 사생활침해 문제 발생 가능성이 높다. 따라서 웨어러블 심전도 모니터를 안전하게 이용하기 위해 해당 기기에 대한 보안 취약점 분석과 대응 방안 연구가 필요하다. 본 논문에서는 현재 상용 제품으로 인지도가 있는 한 개의 제품을 선정하고 물리적인 취약점 점검과 아울러 소프트웨어 취약점 분석 툴을 활용하여 취약점 점검을 진행하였으며 점검 결과에 대한 보안 취약점 대응 방안에 대해 제안한다. Wearable ECG monitor is a device attached to the body and provides a service to monitor the health state by measuring the ECG signal of a person. Wearable medical and healthcare devices are spreading significantly compared to IoT devices in other industries, and most of them are used as a gateway for transmitting and receiving data through BLE communication with a smartphone and connecting the smartphone to an external network. The number of exploits exploited is also expected to increase. As a result, users are more likely to encounter personal information disclosure and privacy violations. Therefore, in order to safely use the wearable ECG monitor, it is necessary to analyze the security vulnerability of the device and study the countermeasures. In this paper, we select one product that is currently recognized as a commercial product, perform physical vulnerability check, vulnerability check using software vulnerability analysis tool, and propose a countermeasure for security vulnerability against the result.

OVAL 기반의 리눅스 시스템 보안취약점 진단 도구 설계 및 구현

이희재 韓南大學校 大學院 2004 국내석사

취약점 진단 도구는 컴퓨터 시스템 상에 존재하는 취약점을 미리 진단하고 발견하여 적절한 해결방안 및 패치 정보를 제공함으로서 시스템을 더욱 안전한 상태로 유지할 수 있도록 해주는 보안 도구의 일종이다. 취약점 진단 도구의 종류로는 크게 호스트기반 진단 도구, 네트워크기반 진단 도구 그리고 특정 응용프로그램을 대상으로 취약점을 진단하는 어플리케이션 진단 도구 등이 있다. 이러한 취약성 진단 도구들은 주로 스크립트 언어 등으로 작성된 공격코드(exploit)를 실행하여 시스템상의 취약점을 탐지한다. 그러나 각각의 취약성 진단 도구들은 취약점 탐지에 있어 공통된 기준을 적용하지 않으며 취약점 진단스크립트 또한 다양한 언어를 사용하여 구현하기 때문에 어떤 도구가 정확한 진단 결과를 제공하는지 판단하기가 힘들며 진단스크립트의 개발 및 지에 있어 많은 비용이 든다는 문제가 있다. 이러한 문제들을 해결하기 위해 미국의 비영리 단체인 MITRE에서는 OVAL을 제안하였다. OVAL(Open Vulnerability Assessment Language)은 시스템의 특성 및 설정 정보를 대상으로 하여 로컬 시스템상의 취약점을 탐지 할 수 있는 표준 언어이다. OVAL은 기본적으로 CVE의 취약점을 XML로 정의하며 이를 바탕으로 질의 문을 구성하고 실행함으로서 취약점을 찾아내는 방식을 취한다. 본 논문에서는 MITRE에서 제안한 OVAL을 사용하여 레드햇 리눅스 시스템의 호스트기반 취약성 진단 도구를 설계하고 구현하였다. 본 논문에서 개발된 취약점 진단 도구를 사용하면 레드햇 리눅스 시스템 상에서 CVE 표준에서 정의하고 있는 모든 보안취약점의 진단이 가능하다.

보안진단프로세스 개선방안에 대한 연구

정원형 성균관대학교 2016 국내석사

정보통신 기술의 발전과 함께 해킹 기술도 진화하고 있으며, 이에 따른 정보유출 및 금전피해 등 보안이슈가 끊임없이 발생하고 있다. 또한, IoT가 실생활과 밀접한 관계를 형성하여 본격적인 시장 활성화가 진행 중이며, 다양한 O2O 서비스가 봇물 터지듯 출시되고 있는 초연결 환경에서의 보안이슈는 사이버 공간의 경계를 넘어 현실세계까지 전이/확대되어 인간의 생명까지 위협할 수 있을 정도의 심각한 영향을 미칠 수 있다는 점을 주목해야 할 것이다. 기업들은 이제 IT투자의 많은 부분을 보안부분 투자로 할당하고 있다. 기업마다 보안 강화를 위해 정보보안 전문가를 영입하여 정보보안 전담부서를 조직하고 각각의 영역에 대한 보안 솔루션들을 도입하고 있다. 그러나, 아직도 보안사고가 발생해야 뒤늦게 대응하는 경우가 많으며, 평상시 체계적인 프로세스에 의한 보안활동은 미흡한 실정이다. 보안 솔루션은 각각의 영역에서 해당 역할을 적절히 수행하고 있기 때문에 보안 솔루션을 도입하지 않은 조직보다는 보안위협에 비교적 안전하다할 수 있다. 그러나, 보안 솔루션이 도입되었으니 보안에는 문제없다는 생각은 상당히 위험한 생각이다. 이러한 생각은 보안진단의 중요성을 망각하게 하고, 누락되거나 미흡한 보안진단으로 인해 보안 홀이 발생하여 이를 통한 보안사고로까지 발전하는 밑바탕이 되고 있다. 이 같은 보안 현실을 체계적으로 개선하기 위해서는 관리적, 기술적, 물리적 융합 보호체계를 갖춰야 하며, Secure Coding 사전 적용, 모의해킹 및 보안 취약점 분석/점검을 통한 보안 강화가 무엇보다 중요하다. 지속적으로 늘어나는 기업의 다양한 서비스에 대해 적재적소에 보안 취약점 진단을 수행하고 신속하게 취약점을 제거하여 기업의 잠재된 보안위협을 제거할 수 있는 효과적인 프로세스 개선에 대한 필요성이 대두되기 시작했다. 본 논문에서 보안 취약점 진단 업무의 문제점을 소개하고, 이에 대한 개선 방안과 기업들이 기 운영하고 있는 개별 보안 솔루션과 보안 취약점 진단 프로세스와의 연계를 통해 기업이 요구하는 특화된 보안 진단 프로세스에 대해 소개하고자한다. 아울러, 기업 IT 인프라스트럭처 및 애플리케이션에 대한 보안 취약점 진단 이력관리를 통해 기업 내부의 보안위협 요소를 효과적으로 제거할 수 있는 통합 보안취약점진단관리시스템에 대한 소개도 하고자한다. Information and communication technology has also evolved, along with hacking skills of information leakage and consequent damage to cash, such as security issues are occurring constantly. In addition, IoT is to form a close relationship with real life jungyimyeo a full-fledged market activation progresses, various O2O services are security issues in the second connection environment is being launched seems to pop botmul beyond the boundaries of cyberspace transition to the real world / expanding human to the life it will be noted that could severely enough to threat. Enterprises are now allocated a large portion of IT spending as part of investment security. For each enterprise security information security professionals hired by the organization information security department and has introduced a security solution for each area. However, still often too late to respond to security incidents occur, security activities by the usual systematic process is insufficient. Security solutions may be relatively safe to security threats than did not introduce a security solution, since to carry out properly the tissue part in each area. However, it has no problem in security solutions Security Now that the introduction is a very dangerous idea. The idea is to forget the importance of the security assessment, security assessment due to missing or insufficient security holes caused by the foundation that has been developed up to security incidents through it. In order to improve the security reality, such a systematic managerial, technical, and physical fusion gatchwoya protection system, Secure Coding Pre-application, security is through penetration testing and security vulnerability analysis / inspection it is more important than ever. Continue to perform a vulnerability diagnosis in place for a variety of services, companies and increasing vulnerability to remove quickly began to be a need for an effective process improvements that can remove a potential threat of emerging companies. About the issue of security vulnerabilities diagnostic work in this paper, and thus for improvement and organizations based operations, and that through association with individual security solutions and security vulnerabilities diagnostic process will be introduced for a specific security assessment processes that businesses are required. In addition, it is also to introduce to the enterprise IT infrastructure and unified security management system security vulnerabilities vulnerability diagnosis diagnostic record management that can effectively remove the security threats to internal corporate applications.