• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.04a
• /
• pp.259-262
• /
• 2016

최근 중요 인프라 업계에서 주로 다뤄지는 제어시스템을 표적으로 한 사이버 공격으로 Stuxnet에 이어 Havex RAT, BlackEnergy2 라고 하는 멀웨어(Malware)를 이용한 사건이 많이 증가하고 있다. 제어시스템의 새로운 공격 방법에 대한 대책으로 시스템 입구와 내부조직에 대한 대책을 강화하기 위한 필요성이 요구되어 왔지만 그러한 대책은 한정되어 있다. 본 논문에서는 보안대책에 필요한 인증 취득에 있어서 기준이 되는 국제 표준인 ISASecure(R)EDSA 인증제도에 착목했다. 인증평가는 요구요건이 중복되는 불필요한 인증평가 작업을 최소화 하는 것으로 인증 취득 시 발생되는 코스트를 절감할 수 있으며 기존의 정보 보안 관리체계(lSMS)의 인증을 취득하고 있는 기업이나 조직이면 제어시스템의 인증 기준으로 추가된 차분 요건만으로 취득이 가능 할 수 있을 것으로 상정된다. 이러한 제어시스템의 보안을 구현하기 위해 IACS(Industrial Automation and Control System)에서 표준화로 제정한 IEC62443 시리즈를 참조하여 세계각국에서 사용되는 제어시스템을 대상으로 인증(EDSA) 요구사항의 차분을 도출하는 수법을 제안하고자 한다.

• The KIPS Transactions:PartC
• /
• v.16C no.3
• /
• pp.325-334
• /
• 2009

This paper demonstrates that an attacker can impersonate a random RFID tag and then perform the spoofing attack in the previous RFID authentication protocol. To resolve such a security problem, we also propose a new secure and efficient RFID mutual authentication protocol. The proposed RFID mutual authentication protocol is not only to resolve many security problems with the existing RFID authentication mechanism and the vulnerability against spoofing attack, but also to guarantee reliable authentication time as reducing computational overhead performing by tag. As a result, the proposed RFID mutual authentication protocol provides stronger security including the forward secrecy and more efficiency.

• Review of KIISC
• /
• v.24 no.6
• /
• pp.21-24
• /
• 2014

클라우드 컴퓨팅은 인터넷 기술을 활용하여 IT 자원을 서비스로 제공하는 것으로 IT 자원(SW, 스토리지, 서버, 네트워크)을 필요한 만큼 빌려서 사용하고, 서비스 부하에 따라서 실시간 확장성을 지원받으며, 사용한 만큼의 비용을 지불하는 컴퓨팅 특성을 가지고 있다. 이러한 클라우드 컴퓨팅 서비스의 영역이 점차 확대되고 있으며 이를 제공하는 회사 및 사용자들도 증가하는 추세에 있어, 클라우드 서비스와 관련된 보안 및 표준화 활동의 중요성이 더욱 커지고 있다. 본 논문에서는 클라우드 보안 표준과 관련하여 ITU-T SG 17 및 ISO/IEC JTC1/SC27에서 추진 중인 국제 표준화 동향과 클라우드 보안 관련 기구들의 활동 그리고 국내 클라우드 보안 표준화에 대해서 살펴보았다. 또한 속성정보 기반의 인증 프로토콜(X.eaaa: Enhanced entity authentication based on aggregated attributes)에 대해서 정리하였다. X.eaaa는 인터넷 서비스에 강화된 인증을 제공할 수 있을 뿐만 아니라 다양한 클라우드 서비스에도 적용이 가능한 기술로 추후 클라우드 보안 기술에 속성정보 기반의 인증 프로토콜을 적용하는 방안에 대한 연구가 필요하다.

• Journal of KIISE:Computing Practices and Letters
• /
• v.10 no.3
• /
• pp.259-272
• /
• 2004

This paper suggests a new security architecture for facilitating secure OSGi service platform environment. The security architecture includes 1) user authentication mechanism, 2) bundle authentication mechanism, 3) key sharing mechanism, and 4) authorization mechanism. The user authentication mechanism supplies SSO(single sign-on) functions which are useful for safe and easy user authentications. The bundle authentication mechanism utilizes both PKI-based and MAC-based digital signatures for efficiently authenticating service bundles. The key sharing mechanism, which is performed during bootstrapping phase of a service gateway, supplies a safe way for sharing secret keys that are required for authentication mechanisms. Finally, the authorization mechanism suggests distributed authorization among service providers and an operator by establishing their own security policies. The main contributions of the parer are twofold. First, we examine several security requirements of current OSGi specification when its security functions can be applied in real OSGi environments. Second, we describe the ways to resolve the problems by means of designing and implementing concrete security mechanisms.

• Journal of the Korea Society of Computer and Information
• /
• v.14 no.7
• /
• pp.73-80
• /
• 2009

Internet accidents have skyrocketed every year. It always has been threatened by the methods such as hacking and Spyware. The majority of security accident is formed of the loss of authentication information, and the internal user who is not authorized. The importance of security is also emphasized when someone tries to do something accessing to the main information system. Accordingly, Biometrics has been used in many ways. OTP, however, must have a few devices accessing to several systems, and Biometrics involve some risk of mis-recognition rate and mis-denial rate. It also has the risk possible to access to the main information system when losing OTP. This research reduced risks about the loss as separating RFID leader for mobile, Tag and the accessor's cellular phone, and is about pseudo random validation key generated from the administration system through contact with RFID leader for mobile and Tag. As sending the key to user's cell phone which is already registered, security is strengthened more than existing connection methods through the ID and password. RFID for mobile not generalized to the present has been studied as a tool accessing to the main information system.

• Journal of Korea Society of Industrial Information Systems
• /
• v.21 no.6
• /
• pp.109-123
• /
• 2016

This study investigates the importance of government's support for logistics security assurance through certification programs. First, the study analyzed priorities among the requirements of logistics firms through Analytic Hierarchy Process(AHP) and Quality Function Deployment(QFD) approaches. For this process we invited 21 logistics experts to assess the relationships between logistic firms' requirements and government policies regarding logistics security using the house of quality, a set of matrices of QFD. The results of this phase of the study revealed the priorities of logistics firms' goals regarding the diffusion of the government security certification program as follows: integrated logistics security systems(40.3%), strengthening government support systems(32.4%), and operational effectiveness of logistics security certification(27.2%). Second, a relative weights applied QFD method based on AHP was applied to determined the expected outcome of the logistics security certification program. The results indicated as follows: productivity improvement(28.4%), improved level of service(26.7%), logistics cost reduction(21.6%), advanced information systems(19.7%), and improved environmental protection(3.6%). The results of this study provide new insights concerning logistics firms' requirements for supply chain security and the importance of government's support policies through logistics security certification programs.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2022.07a
• /
• pp.257-258
• /
• 2022

COVID-19 팬데믹으로 인하여, 재택근무와 같은 비대면 업무환경이 확대됨에 따라, 기업에서는 내부 보안을 위한 VPN 구축 및 사용률이 급격하게 증가하였다. 하지만, 기존의 대면 환경과는 다르게, 비대면 업무환경에서는 자신을 식별할 수 있는 수단을 제한적으로 활용하기 때문에, 사용자의 비밀번호가 노출되면, VPN에 접근하기 위한 사용자 인증이 무력화되는 심각한 문제점이 존재하며, 이러한 보안 취약점을 해결하기 위한 기술이 요구되는 실정이다. 따라서 본 논문에서는 기존 VPN 인증 기술에 내재된 보안 취약점을 해결하기 위하여, 사물 환경 인증, HIP 기술, 위치 인증, 상호 인증 기술을 활용한 다중 인증 기반의 제로 트러스트를 제공하는 VPN 인증 기술을 제안한다. 최종적으로는 본 논문에서 제안하는 기술을 통하여, 보다 안전성이 향상된 VPN을 제공할 것으로 사료된다.

• The Journal of the Korea Contents Association
• /
• v.19 no.7
• /
• pp.13-21
• /
• 2019

Because security of Internet of Things(IoT) products and others is poor, there are many hacking incidents To prevent security threats, it is important for companies to first make products with high security levels and choose products that are safe for users. In response, the Korea Internet & Security Agency is testing the security of IoT products and linked mobile apps to impose ratings. Security certification service is a service that tests IoT products and linked mobile apps to ensure certain levels of security and issues certificates when they meet the criteria. It can induce autonomous security enhancement of IoT products, contribute to strengthening security capabilities of IoT companies in Korea and vitalizing their overseas advancement, and have the expected effect of resolving public anxiety over IoT products. In this study, the criteria for IoT security certification are presented, but the importance priority is sought to be derived for assessment items that need to be strengthened. This will help to provide guidelines that can contribute to strengthening the security capabilities of domestic Internet companies and boosting their overseas advancement.

• Review of KIISC
• /
• v.24 no.5
• /
• pp.15-25
• /
• 2014

본 논문에서는 전력, 가스, 수도, 교통 시스템 등의 국가주요기반시설 및 산업분야에 널리 사용되는 산업제어시스템(ICS;Industrial Control System)에 대한 보안표준 및 보안요구사항을 살펴보고, 이를 충분히 만족하고 정확하게 구현되었음을 시험 평가를 통해 인증하는 평가 인증 체계에 대해 살펴본다. 특히 미국을 중심으로 활발히 진행 중인 ISASecure(R)EDSA 인증 프로그램에 대해 상세히 분석하고, 국내에 이를 적용하기 위한 방안에 대해 제안하고자 한다.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2002.11b
• /
• pp.163-166
• /
• 2002

무선 인터넷 사용의 증가와 함께 PDA 또는 무선단말기와 같은 제한된 시스템 환경에 적합한 보안 서비스의 필요성이 증가되고 있다. 무선환경을 위해 제공되어야 할 다양한 보안 서비스 중 인증 및 키 합의를 위한 과정은 보안상 매우 민감한 부분이다. 안전한 프로토콜 설계에서 통신에 참여하는 개체들에 대한 인증 및 이후 진행되는 해당 세션의 안전성 확보를 위한 세션키 설정, 서비스 사용자에 대한 익명성 보장 등이 고려되어야 한다. 본 논문에서는 무선 인터넷의 한정된 시스템 환경을 고려한 타원 곡선 암호시스템(ECC) 기반의 인증 및 키 합의 프로토콜을 제안한다.