고려대학교 행정학과

서울특별시 성북구 안암로 145 고려대학교 자연계캠퍼스 로봇융합관 401호

보안공학(Security Assessment aNd Engineering Lab) 연구실의 주요 연구 목표는 ‘안전한(trustworthy) S/W 및 H/W 개발 방법론’ 및 관련 기반 기술을 개발하는 것입니다. ‘보안공학(Security Engineering)’ 또는 ‘보안내재화(Security by Design)’ 또는 ‘SDL(Security Development Lifecycle)’ 또는 ‘RMF(Risk Management Framework)’라고도 불리는 이 방법론은 제품 개발시 요구사항 분석 및 설계 단계에서부터 일찌감치 보안을 고려하게 함으로써, 제품의 신뢰성을 강화시킵니다.

이를 위한 세부 기술에는 다음과 같은 것들이 있습니다.

(1) Security/Privacy by design (HW/SW/architecture)

(2) Security engineering processes, from requirements to maintenance

(3) Security requirements engineering

(4) Tools and methodology for secure architecture design & secure code development

(5) Risk management and testing strategies to improve security

(6) Formal verification and other high-assurance methods for security

(7) Human-centered design for systems security

(8) Security assessment & authorization such as Common Criteria, CMVP, SSE-CMM, RMF A&A, etc

(9) Secure update

(10) Supply chain security

(11) Blockchain & Crypto engineering

이를 통해 지금까지 다음과 같은 괄목할만한 성과를 이루어 왔습니다.

(1) 스마트카드 (삼성SDS R&D) : 2006년 한국에서는 최초로 스마트카드 O/S에 대한 CC(Common Criteria) EAL4+ 보안성 인증을 획득하였습니다.

(2) 프린터복합기 (삼성전자 R&D) : 2008년 삼성전자와 공동으로 프린터 보안모듈을 개발하여 한국에서는 처음으로 CC 보안성 인증을 받았습니다.

(3) 스마트TV (LG전자 R&D) : 2013년에 스마트TV의 해킹 가능성을 최초로 블랙햇(Black Hat)에서 시연해 보인바 있으며, 2017년에는 세계 최초로 스마트TV에 대한 CC EAL2 인증을 획득하였습니다. (CC EAL2는 삼성 KNOX와 동일한 보안 등급입니다.)

(4) 첨단 군 무기체계 (합동참모본부 R&D) : 2016년부터 2017년까지 2년간 사이버 공격에 안전한 첨단 군 무기시스템(F-35등) 개발 및 검수 체계를 개발하였으며, 현재 군에서 이를 도입해 활용하고 있습니다.

(5) 클라우드 서비스를 이용하는 앱들의 취약점을 동적 분석하는 자동화 도구, 'soFrida'를 개발해 전세계 구글 Play 스토어에 등록된 400만개의 앱을 분석하였으며, 이중 취약점이 있을 것으로 의심되는 2,700개의 앱을 찾아내 개발자들에게 통보하였습니다. 저희가 개발한 soFrida는 DEF CON에서 발표되었으며, 현재 오픈소스로 공개되어 있습니다.

이외에도 본 연구실은 매년 사단법인 화이트해커연합 HARU와 함께 SECUINSIDE라는 국제 해킹대회를 개최해 오고 있으며, 국내에서는 Black Hat, DEFCON, ICCC 등에 가장 많은 연구논문을 발표하였습니다.