• 융합보안논문지
• /
• 제18권5_1호
• /
• pp.3-9
• /
• 2018

본 연구의 목적은 금융기관 대상 고유식별정보 암호화 규제 및 감독에 대한 효과적인 대응방법을 제시하고, 현재의 문제점 그리고 앞으로 나아가야 할 방향을 제시하는 것이다. 금융기관에서는 법규준수를 위하여 다수의 개인정보처리시스템 중 DB시스템을 중심으로 대응하고 있어 그 외 다수의 어플리케이션시스템 내 고유식별정보를 포함하고 있는 데이터 파일의 경우 암호화 등 추가적인 조치가 필요한 것으로 조사되었다. 본 연구에서는 제도적, 관리적, 기술적 실효성 확보 방안을 결론에서 제시 하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 춘계학술발표대회
• /
• pp.705-708
• /
• 2013

정보의 보안이 중요해지는 이 시점에 모바일이나 태블릿을 통한 악성 코드 및 기밀 유출이 증가하고 있다. 회사나 정부 기업쪽에서도 자체 기밀을 보호하기 위하여 많은 노력을 하고 있지만 개인 휴대품에 대한 보안은 아직 미흡한 실정이다. 본 연구에서는 모바일과 개인 태블릿에 관한 보안을 앱을 통한 것이 아닌 내장 프로그램으로 적용시켰다. 또한 일정 범위 내에서 조절할 수 있게 하여 보안 유출을 미연에 방지 할 수 있는 MDS 라이브러리 테스트 프로그램을 설계 및 구현을 한다.

• 정보보호학회지
• /
• 제27권4호
• /
• pp.22-26
• /
• 2017

온라인 게임은 가장 성공적인 인터넷 서비스 중 하나로서 빠른 속도로 성장해 왔다. 그러나 게임을 대상으로 하는 다양한 공격들이 있었고 그로 인해 많은 정상 사용자들 및 게임서비스 회사에 피해가 발생함에 따라, 온라인 게임 서비스를 보호하기 위한 다양한 기법들이 연구되어 왔다. 실제로 대규모 이용자들이 접속하는 PC 게임들의 경우, 게임 클라이언트단, 네트워크 단, 서버 단 각 구간별로 다양한 보안 기법들이 개발되어 적용되어 왔다. 이 중, 게임 클라이언트는 사용자 및 해커 쪽에서 손쉽게 접근이 가능하기 때문에 공격에 쉽게 노출되어 있어 신뢰하기 어려운 구간이었다. 더불어, 게임 클라이언트 단에 강력한 보안을 적용할 경우 성능저하가 발생하기 때문에 상용 게임보안 솔루션에 의해 프로세스 및 메모리 보호를 받는 등 역공학 방지 기법 및 난독화 기법 정도만을 최소한으로 적용하고, 그 외에는 대부분의 탐지 및 차단 기법들을 네트워크 단 및 서버 단에 적용하는 것이 일반화 되어 있다. 하지만, 최근 하드웨어의 지원을 받아 클라이언트 단의 성능저하를 최소화 하면서도, 게임 클라이언트를 TEE (Trusted Execution Environment)에서 안전하게 실행할 수 있는 기술들이 등장하면서, 게임 클라이언트 단의 보안기술이 다시 주목받고 있다. 본 논문에서는 메모리 변조 공격 및 게임프로세스에 인젝션 공격을 하는 게임해킹 기법들에 대응하기 위하여 Intel에서 발표한 새로운 하드웨어 보안 기술인 Intel SGX(Software Guard Extensions)를 적용하는 방안에 대해 소개한다. Intel SGX를 적용하여 게임프로그램의 프로세스를 보호할 경우 코드와 데이터의 무결성 및 기밀성을 보장하며 실행시킬 수 있기 때문에, 온라인게임보안 발전에 상당히 기여할 수 있을 것으로 기대된다.

• 한국항해항만학회지
• /
• 제36권1호
• /
• pp.9-14
• /
• 2012

해적과 테러공격에 의한 해상보안사고는 해상운송이 발생한 이후에 지속적으로 증가하고 있다. 하지만 기존의 해양사고 조사방법으로 해상보안사고를 조사하고 문제점을 파악하는데 한계가 있으므로 해상보안관리를 위한 분석모델을 개발할 필요가 있다. 이러한 분석모델을 개발하기 위해 해상운송에서 해상보안관리 위협대상을 선박, 화물의 종류, 항만시스템, 인적요소, 정보흐름으로 구분하고, 이에 대한 위험평가기준을 마련하여 해상보안사고 발생가능성 4등급으로 구분하였다. 또한 해상보안관리 관련 이해관계자를 단계별로 구분하여, 국제기구, 각국정부, 해운회사, 선박에서 이루어지고 있는 각종 보안제도들의 동향을 통해 분석모델의 기본틀을 마련하였다. 해상보안관리 관련 단계주체별 이해관계자들이 시행하고 있는 각종 보안제도를 상향식 및 하향식의 의사결정 및 이행방식을 토대로 하여 해상보안관리 분석모델을 개발하였으며, 실제 Petro Ranger호에서 발생한 해상보안사고 사례를 적용하여 유효성을 입증하였다.

• 한국인터넷방송통신학회논문지
• /
• 제14권6호
• /
• pp.273-279
• /
• 2014

최근 신용카드사가 보관중인 고객의 개인 및 신용 정보가 약 1억4천만 건 유출되는 국내 최대 규모의 정보유출 사고가 발생했다. 이렇게 금융회사의 개인정보 유출사고는 증가하고, 소비자의 개인정보에 대한 민원이 급속히 증가하고 있지만 아직도 뚜렷한 예방책이 없는 것이 현실이다. 따라서 금융소비자 입장에서 기업의 보안 우수성 여부를 사전에 확인 및 판단할 수 있고, 기업은 우수한 보안성을 갖추기 위해 실질적인 노력을 할 수 있는 제도적 장치가 필요한 시점이다. 본 연구는 이러한 제도적 장치를 "기업 보안평가 공시제도"라는 모델로 보고 이 제도가 왜 필요한가에 대하여 현실적이고, 객관적 입장에서 연구하고자 한다.

• 정보와 통신
• /
• 제31권5호
• /
• pp.39-45
• /
• 2014

기업활동에서 IT에 대한 의존도가 증가함에 따라 기업들은 다양한 소프트웨어 및 하드웨어 플랫폼에서 제공되는 서비스들을 운영하고 있다. 서비스들이 보급, 확대되는 과정에서 새로운 보안 취약점들이 나타나고, 이들 취약점을 악용한 기업정보의 유출 및 해킹 등 보안사고의 발생도 비례하여 증가하고 있다[1]. 특히 다양한 유형의 사업을 운영하는 지주회사 또는 대기업 그룹사의 경우, 사업영역별로 운영 중인 IT 인프라의 보안 취약점이 네트워크로 연결된 타 사업용 IT 인프라에 대한 사이버 침해의 통로로 악용될 가능성이 있다. 이 같은 문제의 해결을 위해 기업들은 사업영역 별로 보유한 IT 인프라의 보안 취약점 진단과 대응을 위한 솔루션들을 도입, 운영해 오고 있다. 하지만 기업의 보안 거버넌스 관점에서 보안 취약점 관리도 전사적인 보안 정책과의 연계 강화, 투자 중복의 방지, 효과적인 관리와 통제에 대한 필요성이 대두되기 시작했다. 보안 거버넌스 체계 강화에 대한 기업의 요구변화에 맞춰 보안 취약점의 통합관리를 지원하는 상용 솔루션들이 일부 출시되고 있으나 기업들이 기 운영하고 있는 개별 취약점 진단 솔루션과의 연동, 로그관리 및 기업이 요구하는 특화된 기능 구현 등의 어려움이 도입에 장애가 되고 있다. 따라서, 대기업을 중심으로 개별 보안 취약점 진단 솔루션들을 연동하여 기업보안 거버넌스를 효과적으로 지원할 수 있도록 취약점 관리업무 프로세스의 재설계와 함께 취약점 진단 통합관리 체계를 구축하고 있다[2][3][4]. 본고는 보안 취약점 관리업무의 문제점을 소개하고, 최근 대 기업을 중심으로 활발히 구축이 추진되고 있는 웹 기반의 취약 점 진단 통합관리 체계의 개념, 기능 및 운영 프로세스를 소개한다. 아울러, 기업 IT 인프라에 대한 보안 취약점 진단 데이터를 축적하여 기업 내부의 보안위험 요소를 사전예측하고, 정보보호의 투자 대비 효과(ROSI: Security Return on Investment)를 효과적으로 산정하는 인프라로서 활용 가치를 소개한다.

• 한국전자거래학회지
• /
• 제23권4호
• /
• pp.87-107
• /
• 2018

세계 금융 및 사이버보안 중심지인 미국에서 최초로 제정된 금융부문 사이버보안 규제인 '뉴욕 주 금융 사이버보안 규정(23 NYCRR 500)'이 2017년 3월 뉴욕에서 시행되었다. 기존의 금융 정보보안 법률과 달리 23 NYCRR 500은 위험평가 기반 정책수립, 비공개 데이터의 보안 강화, 정보보안 최고 책임자(CISO) 지명, 내부위험요소 제거, 연간보고 의무 등을 규정함으로써 뉴욕 내 영업활동을 하는 은행, 보험회사 등 모든 금융기관들은 내 외부 위협으로 부터의 안정성을 입증해야 할 책임이 강화되었다. 본 논문은 뉴욕의 새로운 금융 사이버보안 규정과 기존 미국 금융 법률체제를 분석하고 국내 금융부문 사이버보안 규제(전자금융거래법 및 전자금융감독규정)와의 비교분석을 통해 국내 금융서비스 산업의 국제경쟁력 강화를 위한 금융부문 사이버보안 규제 개선 방안을 제시한다.

• 한국산학기술학회논문지
• /
• 제8권5호
• /
• pp.1146-1151
• /
• 2007

본 논문에서는 IEEE 802.11 무선 랜 보안 서비스의 특성과 취약성 도구를 살펴보았으며, 천안 공업단지를 중심으로 사용되고 있는 무선 랜 AP 운용현황을 조사하고 보안 취약성 상태를 분석하였다. 본 연구에 따르면 천안산업단지에서 회사나 공장별로 사용되고 있는 무선 랜 AP 가운데 50%는 WEP 보안설정이 이루어지지 않은 취약한 상태에서 운용되고 있는 실정으로 보안상 취약하다. 따라서 연구 결과로부터 중소기업의 경우 정보시스템 관리자에 대한 보안교육이 필요함을 알 수 있다.

• 융합보안논문지
• /
• 제17권5호
• /
• pp.71-76
• /
• 2017

오늘날은 다수의 정보자산 내 중요 데이터를 다수의 사용자가 필요에 의해, 필요한 만큼 접근하여 열람하고 있는 정보화 사회이다. 이러한 복잡함 속에서 중요 정보 자산에 대해 허가된 사용자의 접근을 확인하고, 사용 이력을 관리하기 위해 계정관리 관련 기술이 적용되고 있다. 그러나 계정을 이용해 중요/민감 정보를 열람할 수 있다는 점은 이것이 탈취 당했을 때 공격자에게 정보 절취의 길을 열어줄 수 있게 된다는 단점이 있다. 따라서 본 논문에서는 계정 소유주의 근태에 기반하여 계정의 사용 유무를 통제할 수 있으면서도, 보안성은 높였고, 편의성 저해도 없는 안전한 계정관리시스템을 제안하였다. 제안된 시스템은 계정 소유주가 업무 목적으로만 계정을 사용할 수 있도록 허가된 기간 내에 2-Factor 인증을 통해 로그인을 허용한다. 이를 통해 계정 유휴 기간 내 발생할 수도 있는 정보 유출을 사전에 차단할 수 있다.

• 융합보안논문지
• /
• 제18권5_1호
• /
• pp.93-98
• /
• 2018

한국수력원자력, 한국전력공사, 한국남동발전 등의 발전 제어시스템은 전력을 공급하는 국가의 주요 인프라 시설로 악의적인 해킹 공격이 진행될 경우 그 피해는 상상을 초월한다. 실제로 한국수력원자력은 해킹 공격을 당하여 내부정보가 유출되는 등 사회적인 큰 문제를 야기하였다. 본 연구에서는 최근 이슈가 되고 있는 융합보안 연구에 대해 전력회사 중심의 발전 제어시스템을 대상으로 그 환경을 분석하고, 현황을 분석하여 다양한 발전 제어시스템의 안정화를 위한 전략체계 수립과 대응책을 제시하고자 한다. 다양한 물리적 보안시스템(시설), IT 보안시스템, 출입통제시스템 등에서 나오는 데이터 형태를 정규화하고 통합하여 융합인증을 통해 전체 시스템을 통제하고, 융합관제를 통해 위험을 탐지하는 방법을 제안한다.