• 융합보안논문지
• /
• 제19권2호
• /
• pp.83-89
• /
• 2019

정보보안 컴플라이언스 및 보안규정에 의거 분기 및 정기적 형태의 네트웍 시스템 대상 취약점 점검은 사이버침해공격대응을 위해 상시 실시간 개념으로 발전시킬 필요성이 대두 된다. 이를 위해 상시 운용 관리 체계인 ESM/SIEM을 기반으로 공개된 취약점분석 점검TOOL과의 연동구현 으로 개념 검증 시 새로운 해킹공격대응 방안이 될 것으로 판단된다. 취약점점검모듈은 표준화된 이벤트 속성 관리와 운용의 편이성 취약점데이터의 글로벌 공유측면에서 공개SW Module인 owasp zap/Angry ip등을 SIEM 체계에 해당취약점모듈과의 연동 설계 구현방식으로 연구 검토 결과 web 및 network 대상 해당 취약점 모듈에 의해 점검이벤트가 SIEM 콘솔로 전송 모니터 되는 것으로 입증 되었다. 현재 사이버 관제실에서 운용중인 ESM 및 SIEM 시스템을 기반으로 해당 개념을 최적화 적용 운용할시 상용 취약점 툴 구매 비용문제와 패턴 및 버전관리에 대한 한계성 등을 고려할시 본연구가 효율적 측면으로 검토됨과 동시에 현 정보보안 컨설턴트에 의한 취약점분석결과 와 본 연구 사안으로 결과 등에 대해 상호 비교 분석 운용할시 사이버 침해공격에 대한 발전적인 개념으로 판단되므로 이에 대한 관련 사안에 대해 논고하고자 한다.

• 해양환경안전학회:학술대회논문집
• /
• 해양환경안전학회 2008년도 춘계학술발표회
• /
• pp.1-4
• /
• 2008

근년 일본, 캐나다, 호주, 미국, EU(주로 노르웨이, 영국) 등에서 인공위성을 이용한 해양 안전의 확보를 위한 연구개발이 진행되고 있으며, 일부 실해역 적용의 분야도 도출되고 있는 실정이다. 9.11테러 이후, 국제해사기구에서도 해상보안의 문제는 주요 이슈로 대두되어, 해상보안에의 활용 기술 개발이 먼저 시작되었다. 그 외, 밀입국 선박 감시 덴 해양오염 모니터링이 주요 활용분야이다. 간단하게 요약하면 다음과 같다. -노르웨이: Norwegian Defence Hesearch Establishment(NDRE)에서 주도적으로 선박 탐지 실험 및 기술 개발을 실시. 주로, ESA의 위성을 활용. 국가 보안의 목적으로는 적용을 하고 있음. -캐나다: 캐나다에서 소유하고 있는 RADARSAT을 이용하여 가장 많은 실험을 실시함. 영상을 처리하고 결과에 대한 평가를 수행하기 위한 시스템(Ocean Monitoring Workstation, OSM)을 개발하여 보급에 주력. -호주: 주로 캐나다의 위성 및 시스템의 적용을 하고 있음 영해 및 환경 감시의 역할을 수행. Coastwatch조직을 만들어 해상 감시활동을 하고 있음. -영국: 데이터 취득 후, 2.5시간 이내에 선박의 위치를 전송하는 인터페이스를 개발함. 일본의 경우, 다른 선진국에 비해서는 다소 늦게 시작되었다. 2003년 발간된 '재해 등에 대응한 인공위성이용기술에 관한 종합보고서'를 시작으로 정보수집위성 4기 및 지구관측위성을 이용한 해양 감시 활동이 시작되었다. 또한, 제 3기 과학기술기본계획(2006-2012)내에 해양 불법침입 탐지 기술 개발 항목이 반영되어 있다. 유럽의 해상보안서비스(MARISS)의 사용자 워크숍이 ESA ESRIN(이탈리아 프라스카티)에서 2008년 1월 22일 열렸다. 실질적인 내용은, '해상보안을 위한 우주 시스템'에 관한 것으로 인공위성 이용하는데 있어 설계안 및 데이터 이용 컨셉을 제시하는 것이었다. 여기서 중요한 것은 국가간의 협력이 절대적으로 필요하며, 기존의 시스템과의 통합에 있어 신뢰성을 어떻게 확보하는가에 있다고 할 수 있다. 또한, 보안과 환경모니터링의 기능이 분리되어 진행되고 있는 부분에 대한 정보 통합 방향도 제기되었다. 국내에서도 AIS와 SAR정보의 결합에 관한 검토는 이루어졌으며, 이를 바탕으로 EU와 같은 시스템의 구축(조직과 연구개발)을 위한 실질적인 검토가 필요하다.

• 중소기업연구
• /
• 제42권1호
• /
• pp.57-77
• /
• 2020

국내에서는 기술유출을 방지하기 위한 다양한 제도가 시행되고 있으나, 실질적인 효과를 가져오지 못하고 있다. 관련 법·제도는 사후조치에 치중되어 있으며, 사전 예방 측면에서는 기업에 대하여 보안 조치 의무를 부과하거나 실태조사를 하도록 하는 등의 내용을 담고 있음에도 불구하고 실질적인 예방효과를 나타내고 있지 않다. 본 연구는 노동관계법상 근로자에 의한 기술유출 방지 대책에 관하여 검토한다. 이를 위해 노동관계법상 기업의 기술보호와 경업금지에 대하여 검토하고 기술보호를 강화하기 위한 대안을 제시한다. 특히 본 연구에서는 취업규칙상 보안규정의 마련 방안을 제안한다. 노동조합이 조직되어 있지 않은 대부분의 중소기업에서는 취업규칙이 사규의 최고 상위 기준임에도 취업규칙에는 기술유출방지 및 보호에 대한 사항이 없다보니 보안서약서의 법적 근거가 없이 운영되고 있다. 취업규칙은 근로기준법에 따라 기업에 근무하는 모든 근로자들의 합의가 요구되고 이를 공지하도록 하고 있기에, 기술유출방지 및 보호에 대한 내용을 취업규칙에 명시하는 것이 기업의 모든 근로자가 보안에 대한 공통된 인식을 할 수 있고, 보안과 관련한 보안서약서 및 보안 관련 지침 및 절차 등 보안 관련 문서들의 법적 준거성을 제시 할 수 있다고 보이므로 표준취업규칙에 표준으로 반영할 필요성이 있다.

• 정보보호학회지
• /
• 제20권2호
• /
• pp.32-43
• /
• 2010

클라우드 컴퓨팅 서비스의 많은 장점에도 불구하고 아직 기업들이 서비스의 가용성 및 데이터 보안, 자사 데이터에 대한 통제권 확보, 종속성 등의 문제로 클라우드 컴퓨팅 서비스의 이용을 꺼리고 있다. 이 같은 문제들은 기술개발, 표준화, 표준약관, 서비스수준협약(SLA) 등으로 어느 정도 해결이 가능하다 그러나 데이터가 여러 국가에 복제되어 분산 저장될 경우 데이터의 국외이전 금지 문제, 데이터의 보관 및 파기 의무, IT 컴플라이언스 수탁자의 불법행위에 대한 위탁자의 책임, 자신의 데이터센터에 저장된 불법정보에 대한 클라우드 서비스제공자의 책임범위, 클라우드 서비스제공자의 책임제한 등 현행법상의 법적 규제와 충돌되는 부분에 대해서는 법. 제도적 접근과 검토가 필요하다. 클라우드 컴퓨팅 산업의 촉진 및 이용 활성화를 위해서는 구체적으로 다음과 같은 사항이 법 제도적으로 검토되어야 한다. (1) 클라우드 서비스나 솔루션을 시험할 수 있는 테스트베드 구축 등 시범사업 근거 마련, (2) 분야별 특화된 클라우드 서비스 모델 개발 및 사업화를 위한정부시책 추진 및 지원 근거 마련, (3) 민 관의 포괄적 협력 기반조성 및 정부의 기술 개발연구 지원체계 마련, (4) 사전 인증 및 사후 보증체계 구축을 통한 클라우드 서비스의 신뢰성 및 안정성 제고, (5) 클라우드 서비스의 상호운용성 확보를 위한 표준화, (6) 클라우드 컴퓨팅의 정보보안, 개인정보보호 등 각종 법률 이슈와 예상되는 다양한 이해관계 충돌 문제에 대응할 수 있도록 서비스제공자와 이용자 대상의 지침 근거 마련, (7) 클라우드 속에 있는 기업의 정보지산에 대한 접근권 보장, (8) 정보자산의 실제 위치와 선택권 보장, (9) 정보자산의 부적절한 접근 방지와 오남용 방지, (10) 클라우드 서비스 제공기업 또는 서비스 자체의 영속성 보장, (11) 서비스 장애 책임범위와 분담, (12) 소프트웨어 라이선스 등에 대한 규정이 고려되어야 한다.

• 정보보호학회지
• /
• 제3권4호
• /
• pp.38-49
• /
• 1993

미국은 안전한 시스템에 대한 평가를 위하여 TCSEC(Trusted Computer System Evaluation Criteria)을 1985년에 발표하였고, 이는 안전한 시스템의 구매자, 개발자, 평가자 들에 의해 사용되었다. 그러나 TCSEC의 적용 경험에서 발견된 문제점의 보완, 상용의 보안 정책의 수용, 각국평가 기준서들과의 상호 연동성 등의 고려 등 새로운 요구조건들이 제기됨에 따라 NIST 와 NSA 가 TCSEC 을 대치할 새로운 보안 평가기준서를 제작하기 위한 공동의 프로젝트를 수행하게 되었고 1993년FC(Federal C riteria)의 첫번째 작업 초안을 발표하였다. 본 고에서는 FC의 추진동기, 목적, 구성의 특징 등을 분석하고 현재 시도되고 있는 국제 보안평가 기준서의 작성동향등을 파악함으로써 국내 보안평가 기준서 작성 필요성과 작성시 피요한 사항들을 검토하였다.

• 문화기술의 융합
• /
• 제10권3호
• /
• pp.61-67
• /
• 2024

군 부대 및 기관에서 근무하는 장병은 국가안보와 관련된 민감정보 및 기밀을 다루는 업무의 특성상 엄격한 보안정책 및 기술을 적용받고 있어 보안 스트레스를 겪게 될 가능성이 크다. 본 연구의 목적은 이러한 군 장병의 보안 스트레스를 관리할 필요성을 인식하고, 관리방안을 제시하는 것이다. 이를 위해 우선 보안 스트레스를 다룬 한국학술지인용색인(KCI) 등재 및 등재후보지 12편을 대상으로 문헌 연구를 실시하였다. 보안 스트레스를 다룬 연구는 2016년 이후부터 주로 설문조사를 활용한 통계적 분석기법을 적용하여 이루어졌으며, 크게 보안 스트레스에 영향을 미치는 요인, 보안 스트레스와 보안준수 의도의 관계, 보안 스트레스를 완화하는 요인을 다룬 연구로 구분되었다. 특히 조직공정성, 조직 차원의 기술 지원, 보안 피드백 등의 요인이 보안 스트레스를 완화할 수 있다는 점이 확인되었다. 다음으로 이와 같은 문헌 연구 결과를 국방보안환경에 적용함으로써 군 장병의 보안 스트레스 관리방안으로 보안 관련 공정성 인식 향상, 기술 지원 및 보안 피드백의 측면에서 제시하였다. 본 연구를 통해 우리는 군 장병 보안 스트레스의 관리 필요성을 인식하고, 이와 관련된 실무적인 방안을 검토하였다는 점에서 의의를 찾을 수 있다.

• 융합보안논문지
• /
• 제24권1호
• /
• pp.21-26
• /
• 2024

이전의 네트워크 환경에서의 보안모델은 신뢰를 기반으로 하는 Perimeter모델을 사용하여 일단 신뢰된 사용자에게 대한 리소스 접근통제가 적절하게 이루어지지 못하는 취약점이 존재해 왔다. Zero Trust는 내부 데이터에 액세스하는 사용자와 장치가 어느 것도 신뢰할 수 있는 것이 없다고 가정하는 것을 절대적 원칙으로 한다. Zero Trust 원칙을 적용하면 조직의 공격 표면을 줄이는 데 매우 성공적이며, 또한 Zero Trust를 이용하면 세분화를 통해 침입을 하나의 작은 영역으로 제한하여 공격이 발생했을 때 피해를 최소화하고 할 수 있다는 평가를 받고 있다. ZTNA는 조직에서 Zero Trust 보안을 구현할 수 있도록 하는 주요 기술로서 소프트웨어정의경계(SDP)와 유사하게, ZTNA는 대부분의 인프라와 서비스를 숨겨서 장치와 필요한 리소스 간에 일대일로 암호화된 연결을 설정한다, 본 연구에서는 ZTNA 아키텍처의 원칙이 되는 기능과 요구사항을 검토하고, ZTNA 솔루션의 구축과 운영에 따른 보안요구사항과 검토사항에 대해 연구한다.

• 한국컴퓨터정보학회논문지
• /
• 제17권9호
• /
• pp.65-73
• /
• 2012

기존의 텍스트 기반 패스워드들은 추측, 사전 공격, 키로거, 사회공학, 훔쳐 보기, 스파이웨어 등의 공격에 취약하고, 이는 모바일 환경에서 더욱 심각한 문제이다. 훔쳐보기 공격은 패스워드에 대한 대표적인 공격방법 중 하나로, 공격자는 로그인 과정을 직접 관찰하거나 사용자의 인증 과정을 녹화하는 방식으로 패스워드에 대한 정보를 얻을 수 있다. 이러한 취약점을 보완하기 위한 연구를 진행하였다. 본 논문에서 제안하는 패턴 기반의 숫자 패스워드 인증 기술에서는 길이가 긴 패턴 시퀀스로 사용자 인증함으로써 기존 패스워드의 보안성을 강화시키려 하였으며, 높은 보안성을 제공하면서 사용자로 하여금 4개의 숫자만을 기억하도록 하여 사용의 편의성은 침해하지 않으려 하였다. 그 결과로, 사용하기 편리하고 훔쳐보기 공격과 전사적 대입 공격을 방지하기 위한 새로운 패스워드 시스템을 제안하고 이에 대한 보안성과 유용성을 검토하고자 한다.

• 정보보호학회지
• /
• 제19권3호
• /
• pp.80-89
• /
• 2009

최근 정보보호 패러다임은 네트워크 보안에서 데이터베이스 보안으로 진화되고 있는 가운데 데이터베이스의 관리 및 운용을 외부사업자에게 위탁하는 데이터베이스 아웃소싱 서비스(DAS, Database As a Service)가 활성화되고 있다. 이러한 가운데 포털사이트나 기업내 데이터베이스에 저장된 데이터 유출이나 도난의 위험성이 증가되고 있다. 본 논문에서는 DAS 모델 환경에서 암호화 데이터의 효율적인 연산이 가능한 준동형 암호 방식을 검토한다. 또한 본 논문에서는 Generalized Paillier 암호방식을 암호화된 개인 의료데이터의 연산에 적용한다.

• 정보보호학회지
• /
• 제29권4호
• /
• pp.55-60
• /
• 2019

블록체인을 포함하는 분산원장기술은 신뢰할 수 없는 네트워크 상에서 공동으로 거래 정보를 검증하고 기록, 보관함으로써 원장의 무결성과 신뢰성을 제공하고 있다. 이러한 분산원장기술을 이용한 제반 응용시스템이 실세계에서 적용되고 확산되기 위해서는 거버넌스 체계가 구축되어야 한다. 일반적으로 거버넌스란 특정 조직내에서의 지시와 통제활동이라고 할 수 있는데, 분산원장시스템의 경우, 다양한 조직 또는 시스템을 포함하고 있으며 거버넌스 체계도 분산 또는 탈중앙화된 형태로 존재하므로 기존의 조직 거버넌스 체계와 다른 특성과 한계를 가지고 있다. 본 연구에서는 ISO TC 307에서 진행하고 있는 분산원장시스템 거버넌스 표준화 활동을 소개하고 향후 전망과 대응방안을 검토한다.