• 정보보호학회지
• /
• 제33권6호
• /
• pp.37-43
• /
• 2023

현재 사용되고 있는 RSA, ECC 등 비대칭키 암호알고리즘은 앞으로 나올 양자컴퓨터와 양자알고리즘의 빠른 계산 속도로 알고리즘의 비가역성이 깨질 수 있음이 알려졌다. 이는 공개키로부터 비밀키를 계산할 수 있음을 의미한다. 이를 극복하기 위해 미국 국립표준기술연구소 (NIST)는 최근에 양자 내성 암호 (PQC) 알고리즘 선정과 표준화 작업을 진행해 왔으며, 4차 라운드에 진입해 있다. PQC 알고리즘에 필요한 PQC 비밀키는 PQC 알고리즘이 구현된 칩 외부에서 주입하거나 칩 내부에서 자체 생성을 하여 사용하는데, 이 비밀키를 비휘발성 메모리 (NVM) 등에 저장한다. 만약 시스템의 보안 취약성으로 인해 비밀키가 노출된다면 아무리 PQC 알고리즘이 강력해도 전체 시스템이 무너진다. 즉, 알고리즘의 수학적 능력과 무관하게 해당 보안 시스템은 무력화되는 것이다. 본 논문에서는 물리적 복제 방지 기능 (PUF)을 사용하여PQC 비밀키를 안전하게 보호하고, 이를 기반으로 전체 시스템을 보호할 것을 제안한다. PQC 비밀키가 외부에서 주입되면 해당키는 NVM에 저장되기 전에 PUF 키로 암호화 될 수 있다. PUF 값에서 파생되는 PUF 키는 필요할 때 마다 다시 만들어서 사용이 가능하므로 메모리에 저장할 필요가 없으며, 따라서 외부 공격에 PUF 키가 노출 되지 않는다. 반도체 수동소자로 이루어지는 Via PUF 기술은 최악의 환경 변화에도 그 특성이 유지되는 가장 최적의 PUF 기능을 제공한다.

• 융합보안논문지
• /
• 제10권4호
• /
• pp.61-67
• /
• 2010

정보통신의 눈부신 발전은 생활의 편리함과 더불어 산업기술 발전을 도모하였다. 국가 간의 기술 경쟁 시대에 돌입한 현 시점에 국가뿐만 아니라 기업 간의 기술 확보와 기술 경쟁이 치열하게 이루어지고 있다. 이렇게 산업기밀의 유출로 인한 피해는 그 회사나 국가의 존폐를 위협할 정도로 위협적이기 때문에 이를 효과적으로 예방하고 관리하는 기술이 국내 외적으로 이루어지고 있다. 현재 산업기밀 유출을 방지하기 위한 연구는 크게 물리적 보안 기술과 정보보호보안 기술로 구분되어 연구되고 있다. 산업기밀 보호에서의 물리적 보안 기술은 출입통제시스템, 접근권한시스템, 도난방지 시스템과 같은 물리적 공간이나 물리적 장치의 접근과 사용을 보안 관리하는 것이며, 정보보호 보안 기술은 네트워크 트래픽 모니터링, 이메일 모니터링, USB 사용 모니터링, 기밀 파일 접근 통제 모니터링 등의 통신이나 소프트웨어 및 전자문서의 접근과 사용을 보안 관리하는 기술이다. 본 논문은 산업기밀 보호 체계에 있어서 물리적 보안과 정보보호의 이런 이분화 된 보안 체계의 문제점을 도출하고 이를 효과적으로 해결하고 융합할 수 있는 방안을 제시한다.

• 한국전자거래학회:학술대회논문집
• /
• 한국전자거래학회 1997년도 한국전자거래학회 종합학술대회지
• /
• pp.161-166
• /
• 1997

현재 많은 기업들은 인터넷을 기반으로 Intranet, Extranet등을 구축하며 기업간 전자 상거래에 활발한 움직임이 있다. Extranet은 WWW으로 대표되는 인터넷 기술을 사용한 기업간 정보 시스템이라 할 수 있고, 종래의 기업간 정보시스템 보다 훨씬 구축하기 쉽기 때문에 Extranet의 수요는 점점더 확산되고 있는 추세이다. 즉 Intranet에서 Extranet으로 기업의 정보 시스템이 확대되기 시작했다. 그러나 Extranet은 Intranet과는 달리 영업데이타가 공용 통신 회선을 타고 전송된다든지 다른 회사의 사용자가 사내 서버에 액세스해 들어오기 때문에 반드시 고려돼야 할 과제가 보안(Security) 문제이다. 즉 어떤 거래에 대한 데이터의 전달과정에서의 변조 및 누락이 없었는지 거래자가 거래사실을 부인하지 못하게 하는 조치, 혹은 제3자가 거래내용을 도청하지 못하게 하는 조치와 내부에 보관된 정보를 허가받지 않은 사용자가 알지 못하게 한다든지 하는 조치가 반드시 필요하다. 따라서 본 연구에서는 Web기반 CALS시스템 구현에 있어 보안성을 확보하기 위하여 내부 정보보호를 위한 미들웨어 구현, 인증 및 접근제어를 위한 Proxy구현 기술, 인증 및 데이터 보호를 위한 암호화 기술등을 확보하여 이에 대한 시제품의 개발과 구현에 관해 알아보고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2000년도 추계학술발표논문집 (상)
• /
• pp.555-558
• /
• 2000

소프트웨어 프로세스 능력 수준에 영향을 미치는 요인을 찾아내어, 강점은 격려하고 약점을 개선하는 프로세스 개선활동은 기업의 경쟁력 향상을 위하여 매우 중요한 일이다. 본 연구에서는 이러한 요인을 찾아내기 위하여 SPICE(ISO/IEC 15504) 프로젝트에서 국제적으로 실시된 소프트웨어 심사 결과를 이용하였다. 분석 요인으로 IT부서 사원수, ISO 9001 인증여부, 안정성, 경제적 손실도, 보안성, 환경 영향도를 사용하였으며, 본 자료가 범주형이므로 분석 방법으로 통계적인 방법론인 "수량화방법 II"를 이용하였다. 수량화방법 II에서는 요인의 중요도를 나타내는 지표로 범위와 편상관을 사용한다. "범위"를 지표로 할 경우, 보안성이 능력수준과 가장 높은 관련이 있는 것으로 나타났으며, "편상관"을 지표로 할 경우, ISO 9001 인증이 가장 관련이 높은 것으로 나타났다. 이는 보안성이 높게 요구되는 회사의 경우, 품질시스템이 잘 갖춰져 있고, ISO 9001 인증을 받는 둥의 품질관리를 하여 프로세스 능력수준 또한 높게 나왔다고 추론할 수 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.292-294
• /
• 2004

이동통신사가 선택한 컨텐츠만이 사용자들에게 서비스 될 수 있는 환경에서 다양한 컨텐츠 서비스의 제공을 기대하기는 어려운 실정이다. 이 같은 문제를 해결하기 위해 서비스 제공자들은 이동통신회사의 전송망을 대여하여 자신들의 모바일 포털 서비스를 통해 사용자들에게 다양한 컨텐츠를 제공할 수 있다. 그러나 개별적으로 관리되는 사용자 인증 서버를 통한 인증과정은 사용자들에게 반복적인 인증정보제공절차를 강요한다. 이러한 보안정보의 빈번한 노출로 인하여 잠재적인 보안 취약성이 야기된다. 단일인증이 보안정보 노출의 최소화를 위한 대안이 될 수 있지만 모바일 기기들의 성능적인 제약은 모바일 및 유비쿼터스 환경에 단일인증을 적용하는데 걸림돌이 되고 있다. 본 논문에서는 유무선 통합 환경에서 단일인증을 제공하기 위해 모바일 단말기와 유선도메인 간에 인증정보를 교환하는 profile을 정의하여 모바일 단말기의 성능적인 제약을 극복하기 위한 방안을 제시한다.

• 정보보호학회지
• /
• 제31권4호
• /
• pp.45-53
• /
• 2021

공통평가기준(CC, Common Criteria)의 국제 표준인 ISO/IEC 15408, ISO/IEC 18045는 정보보호제품에 구현되어 있는 보안 기능의 보증과 안전성을 시험하기 위한 평가 기준을 제시하는 국제 표준으로 정보보호제품에 대한 국제적인 신뢰성을 보장할 수 있도록 기준을 제시하고 있다. 특히 ISO/IEC 15408, ISO/IEC 18045는 ISO/IEC 27000, ISO/IEC 19790과 함께 ISO/IEC JTC 1/SC 27을 대표하는 국제 표준이다. 본 논문에서는 ISO/IEC JTC 1/SC 27/WG 3 작업반에서 개정을 진행하고 올해 말에 출판 예정인 ISO/IEC 15408 및 ISO/IEC 18405의 주요 변경 내용 및 신규 개념에 대해 설명하고, 최근 WG 3 작업반에서 추진하고 있는 국제 표준화 활동 현황 및 주요 현황을 소개하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2011년도 추계학술발표대회
• /
• pp.759-761
• /
• 2011

스마트폰이 발전함에 따라 모바일 단말기를 이용해 외부에서 회사 업무를 처리할 수 있는 모바일 오피스 업무 시스템이 증가 하고 있는 실정이다. 개인 휴대 기기의 특성상 이용자의 부주의로 인해 기기 및 메모리카드 등을 도난, 분실 할 수 있으며 이에 따라 개인 및 기업의 정보 유출이 가능하다. 그러므로 본 방식 연구에서는 모바일 오피스 환경에 보다 효율적이고 정보보호를 위한 인증 방법으로 키스트로크(KeyStroke) 방식과 모바일의 IMSI / IMCI 방식을 연구 분석하여 강력하고 적합한 인증 방식을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2023년도 추계학술발표대회
• /
• pp.796-798
• /
• 2023

IoT 기기 사용량의 증가로 인해 해킹 사례도 함께 증가하며 보안의 중요성이 커지고 있다. 본 논문은 IoT 보안 취약점을 해결하기 위해 정상/악성코드의 데이터셋을 Grayscale로 변환하여 악성코드/정상코드로 분류하는 알고리즘을 개발해 IoT 기기에서 성능을 검증한다. 분류에 이용되는 딥러닝 알고리즘은 CNN(Convolutional Neural Network)으로 99.60%의 평균 정확도를 나타내며 IoT 기기(라즈베리파이)에서도 잘 작동됨을 확인할 수 있다.

• 정보보호학회지
• /
• 제33권5호
• /
• pp.57-68
• /
• 2023

최근 클라우드 규제의 변화에 따라 국내 금융권의 클라우드 전환이 확산되면서 주요 인프라로서 클라우드 활용에 관한 연구·개발이 관심을 받고 있다. 2016년도 10월 이전에는 금융회사의 모든 전산시스템에 대하여 물리적 망분리를 적용하여야 하는 등의 과도한 규제로 퍼블릭 클라우드 활용에 어려움이 있었다. 이후 전자금융감독규정이 점차 완화되면서 클라우드 이용이 활성화되고 현재에 이르게 되었다. 안전한 클라우드 이용을 위해서는 금융분야 클라우드 컴퓨팅 서비스 이용 가이드에서 제시하는 업무 연속성 계획 및 출구 전략을 수립하고, 안전성 확보 조치 방안을 마련하며, 클라우드 서비스 제공자의 안전성 평가, 자체 정보보호위원회 심의·의결 및 감독 당국의 보고 등의 내부통제를 준수하여야 한다. 본 고에서는 금융분야의 클라우드 전환 사례 조사를 토대로 전환 동향과 전환 요인, 업권별 특징 및 규제 변화에 대해 살펴보고, 향후 클라우드 이용 환경 변화를 전망해본다.

• 경영정보학연구
• /
• 제18권2호
• /
• pp.127-149
• /
• 2016

본 연구에서는 정보보안 관련 법률과 기업의 정보보안 정책에 대한 조직 구성원들의 준법행동(compliance behavior)에 대하여 계획된 행동이론과 사회적 인지이론을 바탕으로 개인의 준법에 대한 신념과 준법행동 간의 관계를 설명하고 준법의식의 형성 과정에서의 준법 관련 지식의 중요성을 제기하는 연구모형의 분석을 통해 기업의 정보보안 컴플라이언스에 대한 새로운 분석 방법을 제시하였다. 또한 기업 내에서 업무의 준법 연관성이 준법행동에 어떠한 영향을 미치는지 함께 살펴봄으로써 부문과 직무에 따라 다르게 적용될 수 있는 실질적인 접근방법을 다루었다. 가설을 검증하기 위하여 회사 내 준법활동을 지원하기 위한 준법지원시스템을 도입하여 운영하고 있는 국내 정유회사 S사 임직원을 대상으로 설문을 실시하여 분석하였다. 모델 검증 결과, 준법에 대한 신념과 준법 관련 지식은 각각 준법행동에 긍정적인 영향을 미치고, 준법에 대한 신념은 준법 관련 지식을 통해 준법행동에 더 긍정적인 영향을 미치며, 이러한 준법 관련 지식에는 업무의 준법 연관성이 조절효과로서 유의한 영향을 미치는 것으로 나타났다. 본 연구는 기존에 주를 이루었던 통제, 처벌과 같은 억제 요인의 효과성 측면에서 벗어나, 자발적인 준법행동에 영향을 미치는 요인으로서의 준법 관련 지식과 준법 연관성의 역할을 실증적으로 연구한 것에 의의가 있다. 특히 기업이 직면한 정보보안 관련 법률과 기업의 정보보안 정책에 대한 조직 구성원들의 자발적이고 적극적인 준법행동을 유도할 수 있는 특성들을 제시함으로써, 기업의 종합적인 컴플라이언스 체계 수립에 기초가 되고 지속가능경영을 제고할 수 있기를 기대한다.