디지털 라이브러리[ 검색결과 ]
APT 공격 사례 기반 보안 요구사항 추천 프레임워크
http://doi.org/10.5626/JOK.2021.48.9.1014
지능형 지속 위협(APT, Advanced Persistent Threat) 공격은 특정 대상에 지능적이며 지속적으로 공격을 가하는 기법이다. 분명한 공격 목적을 가지고, 공격 대상에 조직적이고 고도화된 기술을 사용하며, 특정 기간 동안 탐지되지 않고 지속적으로 공격을 시도하므로 탐지와 방어가 어려운 공격 중 하나이다. 본 논문은 APT 공격에 대한 선제적 방어 방법으로 실제 발생한 APT 공격에 대한 보안 요구사항을 추천하는 프레임워크를 제안한다. 제안하는 프레임워크는 특정 APT 공격에 대하여 시나리오를 기반으로 공격 요소를 도출하고 요소 간 관계를 분석한다. 분석 결과에 대한 사례 기반 추론을 통해 공격 패턴을 추론하고, 보안 요구사항을 추천한다. 사례 기반 추론과 보안 요구사항 추천을 위해 APT 공격 지식, 일반 보안 지식, 도메인 특화 지식을 포함하는 통합 지식 베이스를 구축하였다. 통합 지식 베이스는 지식별 온톨로지와 관련 데이터베이스로 구성된다. 본 프레임워크를 웹 어플리케이션으로 구현하여 특정 APT 공격에 대해 사례 연구를 수행하였다.
사례 분석을 통한 지능형 지속 위협의 요소 분석 및 모델 설계
http://doi.org/10.5626/JOK.2019.46.12.1328
지능형 지속 위협(Advanced Persistent Threat; APT)공격은 사이버공격 수법 중 하나로 구체적인 공격 목표에 대해 특화된 수단을 사용해 공격하기 때문에 일반적인 보안대책으로 방어하기 어렵다. APT공격을 분석하기 위한 방법으로 제안된 APT 단계모델은 단순히 공격을 표현하는 모델로 사용할 수는 있으나 특정 시스템에 대한 위험 평가를 실시하거나 보안 요구사항을 도출하기는 어렵다. 본 논문에서는 이러한 기존 모델의 한계를 극복하고 APT 공격의 특성을 정의하기 위해 실제 APT공격 사례를 통해 APT공격의 요소를 도출하고 요소 간 관계를 정의하여 APT공격 요소 모델을 완성하였다. 또한 모델을 ‘APT 1’이라는 실제 APT공격 사례에 적용하여 검증한다. 제안한 APT공격 요소 모델을 통해 APT공격에 대한 전체적인 흐름을 파악할 수 있고 사회공학적 측면에서의 공격 요소를 분류하여 APT공격 사례를 통한 위험 평가 및 보안 요구사항 추천에 대한 기반을 마련한다.
요구 공학 과정에서 보안성과 사용성 요구사항 사이의 충돌을 발견하기 위한 온톨로지 기반 접근법
http://doi.org/10.5626/JOK.2018.45.11.1142
요구 공학 과정에서 보안성과 사용성 사이의 충돌을 다루는 일은 어렵다. 보안성과 사용성은 충돌하는 특성을 가지며 관련된 의미론적인 통합 연구가 부족하기 때문이다. 또한 보안 전문가의 수가 감소하고 있으며 요구 공학 과정에서 두 요소 사이의 충돌을 발견하는 방법이 마땅치 않다. 따라서, 우리는 보안성과 사용성의 정의, 기준, 그리고 지표에서 추출한 키워드를 연결하여 3계층의 보안성-사용성 온톨로지 지식 베이스를 구축하는 새로운 접근법을 제안한다. 게다가, 우리는 이 지식 베이스의 실용성을 논의하기 위하여 컴퓨터 공학 전공 학생들과 두 가지의 사례 연구를 진행하였다. 그 결과, 제안하는 지식 베이스를 사용한 그룹(팀 A)이 사용하지 않은 그룹(팀 B)보다 신뢰도가 높은 충돌을 더 많이 예측하였다. 제안하는 접근법은 사용자의 지식 수준에 상관없이 요구 공학 과정에서 보안성과 사용성 사이의 충돌을 발견할 수 있으며 지금까지 요구 공학 연구의 실질적인 부분에 대한 증명이 어려웠음에도 불구하고 요구 공학연구의 응용 가능성을 보여주었다.
지능형 지속 위협을 막기 위한 사회공학 기반 보안요구사항 추천 프레임워크
http://doi.org/10.5626/JOK.2018.45.10.1015
지능형 지속 위협(Advanced Persistent Threat, APT)는 우리 사회를 구성하고 있는 사회 기술적 시스템(Socio-technical System, STS)에 큰 위협이 되고 있다. 지능형 지속 위협은 기존의 전통적인 방식의 사이버 위협과는 다르게 하나의 해킹 기술이 아닌 공격 프로세스로서, 고도화된 다양한 익스플로잇을 이용하여 오랜 기간 동안 특정 대상을 노리기 때문에 탐지하거나 방어하기가 쉽지 않다. 특히, 기존의 지능형 지속 위협 대응책에는 방화벽, 로그검사, 패킷 분석과 같은 기술적인 방법들이 주를 이루는데, 지능형 지속 위협의 전체 프로세스 중 초기 단계에서 사람의 취약점을 노리는 사회 공학 기법이 이용되기 때문에 이러한 기술적인 보안 체계는 손쉽게 무력화된다. 본 논문에서는 지능형 지속 위협을 막기 위한 첫걸음으로 3계층 접근법을 이용하여 취약한 사회 공학 기법을 다양한 인적 요소를 분석해 사전에 파악하고 이를 보완할 보안 요구사항을 온톨로지를 통해 추천해주는 프레임워크를 제안한다.
허혈성 심장질환 진단을 위한 기계 학습 알고리즘 비교 연구
http://doi.org/10.5626/JOK.2018.45.4.376
최근, 인공지능에 대한 연구가 활발히 진행되고 있고, 인공지능 기술을 통한 정확하고 효율적인 의사결정이 가능해지고 있다. 또한, 점차 의료 지식 및 관련 데이터의 축적이 가속화되고 있으며, 인공지능 기술을 통한 질환 진단 및 처방에 대한 연구도 활발히 진행되고 있다. 본 연구에서는 대표적인 심혈관 질환인 허혈성 심장질환을 연구 도메인으로 설정하고, 해당 질환의 진단을 위한 의료 전문가 시스템내에서 활용이 가능한 알고리즘과 효율적인 접근 방식을 비교 및 분석하여 제안한다. 본 연구의 궁극적 목표는 기존 환자의 초진기록 데이터를 바탕으로 의료 전문가 및 의사를 보조하는 것으로, 허혈성 심장질환에 대한 인과 관계 설명에 도움을 주고, 불필요한 관련 검사를 최소화한다는 데에 그 의미가 있다. 또한, 실험 데이터를 구성하여 의료 전문가 및 의사는 학습용 모델로 활용하면서, 이를 통해 경험과 지식을 효율적으로 극대화할 수 있다.
프라이버시 친화 시스템 개발을 위한 프라이버시 요구사항 도출 및 보증 사례 작성
http://doi.org/10.5626/JOK.2017.44.9.918
스마트폰과 웨어러블 기기의 확산으로 개인정보의 축적 및 사용이 증가하여 프라이버시 보호가 이슈화되고 있다. 이에 따라 개인정보 보호를 위한 다양한 보안 기술이 연구 및 발전되고 관련 법률이 개정되고 있지만, 여전히 개인정보 유출 사고가 발생하고 있다. 이는 요구사항 명세 단계에서 프라이버시 요구사항이 명확히 정의되지 않은 채 보안 요구사항만 명세 되어 소프트웨어 개발 시 보안 기술 구현에 집중하기 때문이다. 즉, 기존 연구들은 프라이버시와 보안의 관계성을 고려하지 않은 채 보안 요구사항을 도출하거나 프라이버시 보호를 위한 원칙, 법률 등을 보완하는 것에 집중되어 있다. 따라서 법률을 기반으로 소프트웨어 개발 시 적용 가능한 프라이버시 요구사항을 도출하고 프라이버시와 보안의 관계를 명확히 명시하는 방법이 필요하다. 본 연구에서는 프라이버시 친화 시스템 구축을 위해 필요한 프라이버시 요구사항을 검증 및 도출하고, 프라이버시 보증 사례 작성을 통해 보안과 프라이버시의 관계성을 표현한다.
안전 필수 시스템을 위한 요구사항 명세 및 검증 방법
http://doi.org/10.5626/JOK.2017.44.9.893
안전 필수 시스템에서 소프트웨어 결함은 심각한 결과를 초래하므로, 개발의 첫 단계인 요구사항 명세부터 안전성을 고려해야한다. 자연어로 작성된 요구사항은 여러 이해관계자들에게서 도출되어 모호함과 부정확성에 의한 결함을 갖고 있어도 검출하기 어렵다. 이러한 문제를 해결하기 위해 표준문안과 GSN 모델을 이용한 요구사항 명세방법을 제안한다. 표준문안은 선 정의된 서식에 맞춰 요구사항을 작성하는 준-정형 언어로, 표준문안에 맞춰 요구사항을 작성하면 표현의 일관성을 갖기 때문에 이해관계자들이 요구사항이 의미하는 바에 대한 모호함을 방지하여 요구사항의 정확한 의미를 정의하는데 도움이 된다. GSN은 시스템이 안전하다는 것을 관련기관에 증명하기 위한 Safety Case 작성에서 적합성을 인정받고 있는 표기법으로 기능목표, Safety Evidence 등을 표현한다. 본 연구에서는 안전 필수 시스템의 요구사항을 명세하기에 적합하도록 설계된 표준문안과 GSN 모델을 이용하여 요구사항 명세단계에서부터 결함을 쉽게 식별하고, Safety Evidence와의 연결을 통해 안전적합성을 증명할 수 있다. 또한 이 과정에서 발견된 요구사항의 결함을 수정하여 안전성 있는 소프트웨어를 개발할 수 있다.
A Framework Integrating Problem Frames and Goal Modeling to Support Variability Analysis during Requirements Elicitation
가변성 관리는 시스템이 어느 정도까지의 복잡성을 처리할 수 있는가를 정의하는 가장 중요한 기준이다. 대부분의 요구 공학 연구에서는 시스템이 동작하는 환경에 대해 많은 부분을 간과하거나 추측하는 수준에 그치고 있다. 그러나 실시간 시스템에서는 본질적으로 변화하는 컨텍스트를 관찰하고 조정하는 것은 중요한 요소이다. 본 연구에서는 i* 목표 모델, 문제 프레임, 유즈 케이스 맵, 라이브 시퀀스 차트를 활용하여 다양한 컨텍스트에 적합한 요구사항을 식별할 수 있는 프레임워크를 제안하며 스마트 그리드의 실시간 가격 정책 변화 시스템을 사례 연구로 활용하여 제안하는 프레임워크를 단계별로 자세하게 설명한다. 사례 연구를 통해 제안방법에서 유즈 케이스 맵과 라이브 시퀀스 차트를 활용한 시나리오 정교화 과정이 초기 컨텍스트 분석 및 검증에 도움을 주는 것을 보여주며 장애물 및 충돌 분석을 위한 요구사항을 정교화함으로써 요구공학 엔지니어들이 시스템의 건장성을 증가시키는 것을 도와줄 수 있음을 증명한다. 이처럼 제안하는 프레임워크는 이론적인 방법과 실증적인 사례를 통해 평가된다.
품질속성의 트레이드오프 분석을 통한 아키텍처 패턴 추천 방법
아키텍처는 시스템의 품질 속성과 요구사항 그리고 비즈니스 목적 달성을 위해 이루어지는 중요한 설계 결정들의 집합으로 현재 소프트웨어 공학 프로세스에서 필수적으로 다루어지는 과정 중 하나이다. 최근 소프트웨어가 사용되는 컨텍스트와 개발 환경이 크게 변화하면서 복잡한 요구사항을 다루고 시스템의 품질 속성을 달성하는 것이 더욱 중요해지고 있다. 하지만 아키텍처 설계가 많은 부분에 있어 아키텍트의 직관에 의존하고 있으며 재사용 가능한 아키텍처 패턴을 설계에 적용할 때 패턴 스키마가 통일되지 않고 사용자 관점에서 표현되어지지 않아 비교 분석에 어려움을 겪고 있다. 본 논문은 아키텍처 패턴을 사용자 관점에서 재해석하여 품질 속성 요구사항과의 간격을 줄여주는 새로운 스키마를 제안한다. 또한 스키마로 재구성한 패턴 모델을 이용해 아키텍처 설계의 가장 중요한 요인인 품질속성이 설계 결정에 어떤 영향을 주는지 트레이드 오프를 고려한 패턴 추천 방법을 제안 한다.
적응형 사용자 인터페이스 개발을 위한 요구사항 도출 및 명세 기법
사용자 및 기기의 상황을 파악하고 이에 따라 실시간으로 사용자 인터페이스를 변경하는 ‘적응형 사용자 인터페이스 (Adaptive User Interface)’ 연구가 진행되어 왔다. 기존 관련 연구들은 주로 설계방법론에 초점을 맞추고 있으며, 요구공학 방법론에 대해서는 거의 다루어지지 않았다. 본 연구에서는 적응형 사용자 인터페이스를 요구공학 관점에서 조명하고, 자가 적응 시스템 분야에서 연구되어 온 개념들에 기초한 요구사항 도출 및 명세 방법을 제안한다. 잘 알려진 자가 적응 소프트웨어 개념들을 재정의 및 해석한 후, 적응형 사용자 인터페이스 요구사항을 도출 및 명세하는 방법을 단계적으로 보인다. 사례연구에서는 제안하는 방법에 따라 적응형 사용자 인터페이스 요구사항을 도출 및 명세하여 본 기법이 효과적임을 보인다.
