• 정보보호학회논문지
• /
• 제26권3호
• /
• pp.563-572
• /
• 2016

현재 국내에서는 다양한 신용카드 간편결제 프로토콜이 제시되고 있다. 제시되는 프로토콜의 특징은 사용자 인증을 위해 공인인증서 대신 패스워드를 사용하고, ActiveX를 통해 별도의 보안모듈을 설치할 필요가 없다는 것이다. 본 논문에서는 표준화된 보안 프로토콜인 SSL(Secure Socket Layer)과 패스워드 인증을 이용하여 두 개의 새로운 간편결제 프로토콜을 제안한다. 첫 번째는 온라인 쇼핑몰과 PG(Payment Gateway)가 다른 경우로써 국외의 페이팔(PayPal)을 이용한 간편결제와 유사하고, 두 번째는 온라인 쇼핑몰과 PG가 같은 경우로써 국외의 아마존(Amazon)에서 제공하는 결제방식과 유사하다. 제안되는 두 개의 프로토콜 모두 온라인 쇼핑 시, 쇼핑과정과는 독립된 별도의 사전등록절차를 요구하지 않고 쇼핑과정에서 자연스럽게 등록 및 결제를 처리할 수 있다. 또한 로그인 패스워드와는 다른 결제 패스워드를 입력하도록 하여 안전성을 향상시켰다. 본 논문에서 제시한 프로토콜은 현재 다양한 업체에서 제시하는 간편결제 프로토콜을 보다 더 정확하게 이해하고, 그 안전성을 분석하는데 도움이 될 것이다.

• 융합보안논문지
• /
• 제21권3호
• /
• pp.75-80
• /
• 2021

본 연구는 장애인 활동보조인 구인·구직에 관련된 인력 및 채용정보를 각각 제공하고 이를 바탕으로 최적의 구인자와 구직자가 결정되어 주기적 서비스뿐만 아니라 일회성 서비스의 매칭이 원활하게 이루어질 수 있는 비대면 플랫폼을 제안하였다. 기존의 장애인 활동보조서비스 구인·구직 방식은 수요자가 활동서비스를 요청하면 제공기관 담당자가 기관소속 활동보조인을 배정하는 일방적 방향의 매칭방식으로 이루어지고 있어 구인·구직자의 선택권은 매우 취약하다고 할 수 있다. 장애인 활동보조인의 구인·구직 플랫폼은 사용자를 구분하여 장애인 또는 장애인가족(구인자)과 장애인 활동보조인(구직자) 인터페이스로 분리되어 로그인이 가능하다. 각자의 조건에 맞는 구인과 구직을 검색하여 채팅기능을 통해 실시간 양방향 의사정합 방식의 매칭이 이루어지고, 활동보조서비스가 완료되면 구인·구직자는 각자의 입장에서 서비스 후기 및 평가를 작성할 수 있는데 이는 다음 구인·구직자의 매칭 결정에 중요한 요소로 작용할 수 있다. 실시간 양방향 의사정합 방식의 매칭 플랫폼은 단기 또는 일회성 활동보조가 필요할 때 서비스를 제공받기 어려운 사각지대를 최소화하는데도 도움이 될 것이다.

• Journal of Platform Technology
• /
• 제11권3호
• /
• pp.32-44
• /
• 2023

블록체인 브릿지(이하 '브릿지'이라 한다.)는 블록체인간 자산 이동을 가능하게 해주는 서비스를 말한다. 브릿지는 사용자에게 가상 자산을 입금 받고 다른 블록체인의 사용자에게 동일한 가상 자산을 전달하는 역할을 한다. 블록체인 환경은 각각 독립적이기 때문에 일반적인 방식으로 다른 블록체인으로 자산을 옮길 수 없기 때문에 사용자는 브릿지를 이용한다. 따라서 브릿지를 이용한 자산 이동은 일반적인 방식으로 추적할 수 없다. 만약 악성 행위자가 브릿지를 통해 자금 이동을 하였다면 기존의 자산 추적 도구로는 추적에 한계가 있다. 따라서 본 논문에서는 브릿지의 구조를 파악하고 브릿지 요청에 대한 이벤트 로그를 분석하여 브릿지 이용 정보를 획득하는 방법에 대하여 제안한다. 우선 브릿지의 구조를 파악하기 위해 Ethereum Virtual Machine(EVM) 기반 블록체인에서 작동하는 브릿지를 대상으로 분석을 진행하였다. 분석한 내용을 바탕으로 임의의 브릿지 이벤트에 대하여 적용해보았다. 나아가 실제 추적에 사용될 수 있도록 브릿지 이용정보를 지속적으로 수집하여 저장하는 자동화 도구를 제작하였다. 실제 브릿지 이용 후 도구를 통해 이용 정보를 추출하여 송신 블록체인, 수신 블록체인, 전달받는 지갑 주소, 전송한 토큰의 종류, 수량과 같은 추적에 중요한 정보들을 확인할 수 있었다. 이를 통해 블록체인 브릿지를 이용한 자산 이동 추적의 한계를 극복할 수 있음을 보여주었다.

• 한국콘텐츠학회논문지
• /
• 제9권8호
• /
• pp.64-72
• /
• 2009

원격지에 있는 전기, 가스, 수도 등의 검침기에서 유선 또는 무선으로 검침을 자동화하는 원격검침(AMR)에는 전력선통신 방식, 근거리무선통신 방식 등이 주로 연구되어 왔다. 본 논문에서는 유비쿼터스시대의 필수 품목이 펠 자바카드를 활용하여 원격검침을 수행할 수 있는 원격검침자바카드(JCA: Java Card for AMR)를 설계 구현하였다. 본 논문의 원격검침자바카드(JCA)는 전력공급사에서 제공하는 표준 거래 절차를 준수하고 전력사용로그 및 정산 자료를 관리하며 다기능 신용카드(EMV) 기능이 충족되도록 설계되었다. 원격검침자바카드(JCA)는 오픈 플랫폼(open platform)의 다기능 스마트카드로 응용 애플릿의 후발급이 가능하므로 신용카드나 교통카드 기능과 함께 다른 제휴사의 응용을 탑재할 수 있다. 원격검침자바카드(JCA)는 다른 원격검침방식과 비교하여 원격검침 시스템 구축비용이 적을 뿐만 아니라 자바차드의 인증과 보안을 활용하여 선불 및 후불 정산 방식이 가능하고 제휴 사와의 연계 서비스로 다양한 부가서비스를 제공할 수 있다.

• 한국지능시스템학회논문지
• /
• 제24권5호
• /
• pp.495-503
• /
• 2014

최근 보안 분야에서는 네트워크 패킷이나 로그와 같은 네트워크 정보를 수집하고 분석함으로써 네트워크 위협에 대응할 수 있는 침입탐지 시스템에 대한 연구를 활발히 진행되고 있다. 특히, 베이지안 네트워크는 주어진 몇 몇 자료만으로도 정확도 높은 침입에 대한 추론이 가능한 이점으로 이를 이용한 침입탐지 시스템의 모델링 기법들이 이전에도 진행되어 왔다. 그러나 이전 연구들에서는 네트워크 패킷간의 복잡성 문제와 이용되는 패킷 데이터의 연속성 문제를 반영하지 못하고 있기 때문에 높은 탐지정확도 산출에 한계가 있다. 따라서 본 논문에서는 이전 모델들이 갖는 문제들의 개선을 통하여 탐지율을 향상시키기 위해 K-means 클러스터링 기반의 두 가지 방법론을 제안한다. 첫 번째로는 K-means 클러스터링 기반의 정교한 노드구간 범위를 설정방법을 제안하여 연속성 데이터 처리 문제를 개선할 수 있다. 또한, 두 번째로는 K-means 클러스터링 기반으로 산출된 가중치를 학습에 적용하여 보다 견고한 CPT를 산출하여 탐지성능을 향상 시킬 수 있다. 제안하는 방법론들의 성능을 입증하기 위하여 방법론 모두를 적용한 K_WTAN_EM에 대한 탐지율을 이전 모델들과 비교 실험을 수행하였다. 실험 결과 제안하는 모델의 탐지율이 이전의 순수베이지안 네트워크기반(NBN) 모델 보다는 약 7.78%의 향상도를 보였고 트리확장 순수베이지안 네트워크(TAN) 모델 보다는 약 5.24%의 향상도를 산출하여 제안하는 방법의 우수성을 입증하였다.

• 한국정보과학회논문지:정보통신
• /
• 제30권1호
• /
• pp.75-81
• /
• 2003

인터넷과 같이 신뢰할 수 없는 네트워크를 통한 통신에서 비밀성과 무결성 뿐만 아니라 원거리 사용자 인증은 시스템의 보안에서 중요한 부분이다. 그러나 사용자 인증정보로서 인간이 기억할 수 있는 패스워드의 사용은 패스워드의 선택범위가 사용자의 기억에 제한 받는 낮은 비도(Entropy) 때문에 공격자의 오프라인 사전공격에 취약하다. 본 논문은 원거리 사용자 인증과 키 교환에 적합한 새로운 패스리드 인증 및 키 협상 프로토콜을 제안한다. 이 프로토콜은 오프라인 사전공격을 예방할 수 있으며 공격자에게 패스워드가 노출되더라도 이전 세션의 복호화나 이후 세션키의 손상에 영향을 미치지 않는 PFS(Perfect Forward Secrecy)를 제공한다. 또한 사용자의 패스워드가 서버의 패스리드 데이타베이스 파일에 순수하게 패스워드 자체로 저장되지 않기 때문에 공격자가 패스워드 데이타베이스를 획득하더라도 직접적으로 프로토콜의 안전성을 손상하지 않으며 직접 서버에 접근을 요청할 수 없다. 또한 PKI 및 키서버와 같은 제3의 신뢰기관을 이용하지 않기 때문에 단순인증에 적합하다. 따라서 이 프로토콜은 웹을 통한 홈뱅킹이나 사용자의 모바일 환경이 요구되는 셀룰러 폰, telnet이나 ftp와 같은 로긴 시스템, 기존 패스워드를 이용한 인증시스템 개선 등의 어플리케이션에 유용한 인증형태를 제공하며 인증정보가 장기간 저장될 필요성이 있어 위험하거나 실용적이지 못한 경우와 SSL(Secure-Sockets Layer), SET(Secure Electronic Transactions), IPSEC(Internet Protocol Security Protocol) 서비스에 추가될 수 있다.

• 정보보호학회논문지
• /
• 제24권2호
• /
• pp.295-310
• /
• 2014

발전소 주제어시스템(DCS, Distributed Control System)은 원격지의 설비를 계통현황에 따라 실시간 조작, 감시 및 운전 효율성을 향상시키기 위해 튜닝을 하도록 구현된 자동화 시스템이다. DCS는 IT 기술의 발전과 함께 점차 지능화, 개방화되고 있다. 많은 전력회사들이 DCS에 설비 관리용 패키지 시스템을 접목하여 예측진단을 통한 유지 보수 및 Risk Management를 실현시키기 위한 투자를 확대하고 있다. 하지만, 최근 해외사례에서 보듯이 원전 전력망 등 국가 주요기반 시설인 산업 제어시스템(ICS)을 마비시키고 파괴할 목적으로 개발된 최초의 사이버 전쟁무기인 스턱스넷이 출현하는 등, 폐쇄형 시스템으로 구성된 발전소 주제어시스템도 점차 외부 공격으로부터 위협의 대상이 되고 있음을 알 수 있다. 높은 수준의 가용성(낮은 고장빈도와 신속한 복구)과 운영 신뢰성의 이유로 10년 이상 장기 사용이 요구되는 발전소 주제어시스템의 경우 전적으로 해외 기술에 의존하고 있고 패치 업데이트 등 주기적 보안관리가 이뤄지지 못해 잠재된 취약점이 노출될 경우 심각한 우려가 예상된다. 본 논문에서는 국내 발전회사에서 사용 중인 Ovation 1.5 버전의 간이 시뮬레이터 환경에서 범용 취약점 분석툴인 NESSUS를 활용하여 인가된 내 외부 사용자의 악의적 행위(모의해킹)를 수행하였다. 이를 통해 취약점 탐지 및 발전소 제어시스템 내 사이버 침해사고 발생 시 효과적으로 대응 할 수 있는 취약점 분석 및 로그분석 방안을 제시하고자 한다.

• 한국정보통신학회논문지
• /
• 제19권1호
• /
• pp.185-191
• /
• 2015

본 논문에서는 원자력 안전등급 제어기기의 안전 통신망 구현을 위한 원자력 안전등급 통신 보드를 제안한다. 원자로 보호계통이 아날로그에서 디지털화되면서 디지털 통신망을 사용하게 되었다. 디지털 통신망은 원자력 안전등급에 사용되는 통신망으로 안전등급에서 요구하는 성능 및 시험을 통과한 통신보드가 제공되어야 한다. 통신 프로토콜 계층은 OSI 7 계층 중 물리계층, 데이터링크 계층, 어플리케이션계층만을 사용한다. 데이터 링크 계층에서는 사이버 보안을 위해 데이터 패키지를 변경하였다. 데이터 건전성을 위해 CRC32를 사용 하였으며 데이터 수신에 대해서는 재요청 및 응답을 하지 않는 단방향 통신만을 함으로써 원자력 안전계통에 영향을 주지 않게 설계 되었다. 또한 원자력안전등급을 획득하기 위해서 요건, 설계, 검증의 절차에 따라 설계하였다. 하드웨어검증을 위해 전자파 시험, 노화분석 시험, 육안검사, 번인시험, 내환경 시험 및 내진 시험과 같은 기기 검증을 수행 하였다. 또한 FPGA 펌웨어 검증을 위해 IEEE 1074의 생명주기를 준수하여 단위시험과 통합 시험을 실행 하였다[1-3].

• 융합정보논문지
• /
• 제11권12호
• /
• pp.1-13
• /
• 2021

개인정보보호위원회에서 공공기관을 대상으로 시행하고 있는 개인정보 관리수준 진단제도의 지표체계는 「개인정보 보호법」의 법적 준수사항을 점검하지만, 새로운 IT기술의 도입에 따르는 개인정보보호사항을 기준으로 적용하는 데 한계가 있었다. 따라서, 본 연구에서는 제4차 산업혁명의 핵심기술인 빅데이터, 클라우드, 사물인터넷, 인공지능을 특정IT기술의 도입에 따라, 개인정보보호가 강화될 수 있도록 별도의 지표체계가 운영될 수 있도록 지표체계의 개선방안을 제안하고자 한다. 이를 위해서 선정한 특정IT기술의 개인정보보호사항에 관한 국내외 문헌조사를 통해 지표체계의 구성요소를 도출하고, 공공기관의 개인정보 보호담당자 대상으로 한 설문조사 및 개인정보보호 전문가대상으로 FGI/Delphi분석을 통해 진단지표로 선정하였다. 이렇게 선정한 지표체계는 먼저, 모든 특정IT기술의 기획 및 설계단계에서부터 개인정보보호원칙(PbD)과 가명정보처리 및 비식별 조치에 관한 기준의 적용여부를 점검하는 공통지표를 선정하였다. 이외에 빅데이터에 관한 2개 점검항목, 클라우드에 관한 개인정보 처리방침 게재 사항 등 5개 점검항목, 사물인터넷관련 원칙적용, 로그기록 관리 등 5개 점검항목, 인공지능에 관한 원칙 적용 등 4개 점검항목을 선정하였다. 이처럼 본 연구는 개인정보 관리수준 진단제도의 발전을 위해 새로운 IT기술변화에 대응할 수 있도록 개인정보보호의 신속한 대응을 유도하는 진단제도가 되도록 제언하고자 하였다.

• 한국산학기술학회논문지
• /
• 제20권2호
• /
• pp.43-50
• /
• 2019

2018년 12월 세계 최초로 5G 출시 등 대한민국은 전 세계 IT시장을 주도하고 있다. 그러나 국내의 사용자들은 공인인증서의 불편함, 익스플로우와 다른 여러 브라우저와의 비호환성 문제 등 사용자 환경과 시스템 환경의 기술 요소 문제는 투자비용의 이중화, 정보서비스의 품질저하 등 정보서비스에 대한 비판도 날로 혹독해지고 있다. 그럼에도 불구하고 국내 IT 산업은 꾸준히 발전하고 있으며 전 세계 IT 시장의 화두로 자리 잡은 블록체인이 신뢰받는 차세대 융합 정보 핵심 기술로그 활용에 대한 관심이 주목되고 있다. 블록체인은 '강한 보안성', 동일한 원장의 원본을 공유하는 '분산화', IoT, 로봇, AI 등을 연결하는 '초연결성'이라는 특징으로 인해 '신뢰가 강력히 요구되는' 공공기관에서는 블록체인을 활용한 기술 도입에 매우 긍정적이다. 대학의 정보서비스 설계도 예외는 아니다. 대학에서도 대학 내 다양한 정보서비스를 구현하는 기초 발판을 블록체인을 이용한 정보서비스 개발에 기여하고자 많은 고심과 그 활용에 적극 대처하고 있다. 본 논문에서는 다양한 산업군에서 활용되는 블록체인 적용 사례 경험을 토대로 대학 내 다양한 정보시스템을 통합 구성하는 통합정보서비스 교육 플랫폼 실증 모델을 설계한다. 대학 정보서비스를 기획에서 실제 서비스 설계까지 기초로드맵을 블록체인 기반으로 구성하고 이를 실제 대학 내 통합 정보시스템 실증 모델 설계에 적용하여 블록체인을 활용한 대학 내 통합정보서비스 모델을 제시한다.