• 디지털융복합연구
• /
• 제15권8호
• /
• pp.137-144
• /
• 2017

사이버 위협이 고도화 및 지능화됨에 따라 사이버 보안 사고를 사전에 완벽하게 예방하는 것은 한계가 있다. 따라서 보안사고 발생을 가정하고 이를 신속하게 탐지하고, 복구할 수 있는 역량이 필요해지고 있다. 이러한 필요성으로 인해 최근 사이버 레질리언스는 중요한 개념으로 부각되고 있으며, 이에 대한 수준을 평가하는 것은 중요하다. 그럼에도 불구하고, 현재 사이버 레질리언스와 관련 평가에 관한 연구는 미흡한 실정이다. 따라서 본 연구에서는 사이버 레질리언스에 대한 이론적 고찰과 전문가 회의를 통해 사이버 레질리언스를 평가할 수 있는 총 22개의 지표를 개발하였다. 개발된 지표는 포커스 그룹 인터뷰를 통해 제안된 지표의 중요도와 실현가능성을 평가하였다. 본 연구는 사이버 레질리언스를 평가함에 있어 의미 있고 유용한 지표를 도출하였다. 이는 향후 사이버 레질리언스 연구의 기반 자료로 활용될 것으로 기대되며, 향후 연구로는 실무적 활용 및 객관화를 위한 정량적 연구를 제안한다.

• 정보보호학회논문지
• /
• 제26권3호
• /
• pp.769-776
• /
• 2016

최근 사이버공격은 국경을 초월하여 국가의 사이버 공간을 지속적으로 위협하고 있다. 이런 사이버공격은 국가 주요기반시설을 마비시킬 수 있는 수준으로 지능화 고도화되는 양상을 보여주고 있다. 이런 사실은 원전 해킹 위협, 3.20 사이버테러 등의 사건에서 잘 볼 수 있다. 특히 국가 중요 정보가 존재하는 국가 공공기관에서는 이와 같은 사이버공격으로 대규모 피해가 예상되기 때문에 사전예방이 중요하다. 기술적인 대응도 중요하지만 국가 공공기관 근무자에게 사이버보안 교육을 통해 사이버 보안의식 고취 및 보안 전문지식 향상을 통해 보안 수준을 높이는 것이 중요하다. 이에 본 논문에서는 공공분야 근무자들에 대한 단기 교육과정을 통해 최고의 보안 효과 상승을 위한 교육과정을 제안한다.

• 한국컴퓨터정보학회논문지
• /
• 제14권7호
• /
• pp.73-80
• /
• 2009

현재 인터넷에 대한 사고는 급증하는 추세이고, 대부분의 웹서버들이 해킹 및 스파이웨어 등의 방법을 통해 위협을 받고 있다. 많은 보안사고중 커다란 비중을 차지하고 있는 사고는 인증정보의 분실 및 인가되지 않는 내부의 사용자에 의해 이루어지고 있다. 또한 중요 정보시스템에 접근하여 작업을 하고자 할 때는 보안의 중요성이 더욱 강조되고 있다. 이에 많은 곳에서는 생체인증을 통하여 접근하는 방식을 사용하고 있다. OTP로 여러 시스템에 접근하고자 할 경우 여러 개의 디바이스를 지녀야 하며 생체인증의 경우 오인식율과 오거부율의 위협을 안고 있다. 또한 OTP를 분실 하였을 경우 중요 정보시스템에 접근이 가능하여 보안 문제를 유발할 수 있다. 이에 본 연구에서는 모바일 RFID리더와 Tag, 접근자의 휴대폰을 분리하여 분실에 대한 위험을 감소시키고, 모바일 RFID리더와 Tag의 접촉으로 난수 인증키를 관리 시스템에서 발생하도록 하였다. 발생된 난수 인증키의 경우 미리 등록이 되어 있는 사용자의 휴대폰으로 전송하므로 기존의 ID Password의 접속 방식보다 한 차원 높은 보안방식이다. 즉 아직까지 보편화되지 않는 모바일 RFID를 중요 정보시스템에 접근하는 인증방식의 도구로 사용하는 방법에 대해 연구하였다.

• 한국산업정보학회:학술대회논문집
• /
• 한국산업정보학회 2002년도 춘계학술대회 논문집
• /
• pp.408-416
• /
• 2002

네트워크의 발달과 인터넷의 생활화로 컴퓨터 보안이 시대적인 중요문제로 부각하고 있다. 요즘 해킹으로 발생하는 재정적 손실은 특별하게 큰 사건이 아닌 경우에 언론에 보도되지 않을 정도로 만성적인 현상으로 인식되고 있으며 컴퓨터 범죄는 어느정도 사회현상의 하나로 여겨질 정도다. 그러나 컴퓨터 범죄를 퇴치하고 컴퓨터보안의 완벽성을 유지하고자 하는 기술적인 노력은 지속적으로 전개되고 있으나 컴퓨터 범죄는 오히려 늘어가고 있는 추세다. 이에따라 컴퓨터 범죄등 컴퓨터보안관리가 기술적인 수준에 머물지 않는 성격을 갖추고 있다는 인식이 최근들어 확산하고 있다고 할 수 있다. 이 논문은 이런 인식에서부터 출발해 새로운 개념으로 등장한 전사적 보안관리 (Enterprise Security Planning)와 컴퓨터 보안 위험 관리(Computer Security Risk Management)의 개념에 대한 이해를 중점적으로 제기했다. 또 컴퓨터 보안위험관리의 과정을 단계별로 검토해 컴퓨터 보안위험관리를 체계적으로 이해할수 있도록 제시했다. 마지막으로 본 논문은 전사적 보안관리와 컴퓨터 보안위험 관리차원에서 기업이 보안관리를 위해 갖춰야 할 새로운 흐름들, 예를 들어 보안관리자(Chief Security Officer) 제도와 보안보험 가입등 보안정책을 제시함으로써 컴퓨터범죄로부터 기업이 최대한의 안전성을 확보할 수 있는 경영전략의 틀을 제시했다.

• 정보보호학회지
• /
• 제30권6호
• /
• pp.31-38
• /
• 2020

2019년 NAS기반 5G 서비스가 국내에서 상용화 된지 1년 반이 지났다. 그동안 5G로의 전환에 따라 발생 될 수 있는 새로운 보안 위협에 대한 우려가 지속적으로 제기되었고, 현재 보안기술의 한계를 극복하기 위한 다양한 5G 보안 연구들이 다 각도로 시도되고 있다. 5G 보안은 이전 세대 보안과는 강한 보안 기능의 설계가 요구된다. 특히 5G 보안 위협 요소들을 식별하고 분석을 통한 5G 네트워크 및 서비스의 보안 아키텍처 설계가 중요한데, 이는 인증, 암호화, 침입탐지 등 기존 보안 메커니즘들이 새로운 5G 기술을 통합되고 수용될 수 있도록 유연하게 설계가 되어야 하기 때문이다. 본 논문에서는 해외 3GPP, NGMN, 5G Americas 분석한 5G 보안 요구사항을 살펴보고, 5G 네트워크의 구성요소별 보안 요구사항을 고찰하고자 한다.

• 융합보안논문지
• /
• 제24권2호
• /
• pp.31-38
• /
• 2024

최근 클라우드 서비스 사용이 확산하면서 클라우드 보안의 중요성이 증가하였다. 본 연구의 목적은 클라우드 보안 분야의 최근 연구 동향을 분석하고 시사점을 도출하는 것이다. 이를 위해 2010년부터 2023년까지 국가과학기술지식정보서비스(NTIS)에서 제공하는 R&D 과제 데이터를 활용하여 클라우드 보안 연구 동향을 분석하였다. LDA 토픽모델링과 ARIMA 시계열 분석을 통해 클라우드 보안 연구의 핵심 토픽 15개를 도출하였으며, AI를 활용한 보안 기술, 개인정보 및 데이터보안, IoT 환경에서의 보안 문제 해결이 연구에서 중요한 영역임을 확인했다. 이는 클라우드 기술의 확산과 기반 시설의 디지털 전환으로 인해 발생할 수 있는 보안 위협에 대응하기 위해 관련 연구가 필요함을 시사한다. 도출된 토픽들을 기반으로 클라우드 보안 분야를 네 가지 범주로 나누어 기술참조모델을 정의하였으며, 전문가 인터뷰를 통해 해당 기술참조모델을 개선하였다. 본 연구는 클라우드 보안 발전의 방향을 제시하며 학계 및 산업계에 미래 연구와 투자에 대한 중요한 지침을 제공할 것으로 기대된다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 춘계학술발표대회
• /
• pp.276-279
• /
• 2017

오늘날 사회 전반적인 부분에서 소프트웨어의 비중은 지속적으로 증가하고 있다. 또한 소프트웨어는 점차 대규모화되고 있고 동시에 개인의 중요한 정보 등을 다루는 경우도 매우 늘어나고 있기에 소프트웨어의 보안성 검증은 매주 중요한 문제이다. 그러나 소스코드가 존재하지 않는 라이브러리의 경우 보안성 검증은 매우 어려운 문제로, 이를 해결하기 위해 바이너리 내에 존재하는 보안약점을 검사하기 위한 기술의 개발이 매우 요구되는 상황이며, 이를 위해 중간언어를 활용하여 보안약점을 분석하는 기술이 활발히 논의되고 있다. 본 논문에서는 바이너리 코드내에 존재하는 보안약점을 효과적으로 분석하기 위해서 바이너리 코드로부터 보안약점 분석에 효과적인 중간언어로 변환하는 시스템을 제안한다.

• 한국경영정보학회:학술대회논문집
• /
• 한국경영정보학회 2007년도 International Conference
• /
• pp.959-965
• /
• 2007

최근 정보시스템의 개방성과 접근성의 확대는 조직 내 외부로부터 보안위협을 증가시키고 있다. 일반적으로 정보시스템은 패스워드를 이용하여 사용자 인증과 자료의 접근을 제한하고 있으므로 패스워드의 선택은 정보보안에 있어서 매우 중요하다. 적절한 패스워드의 선택은 정보시스템의 오 남용 방지 및 불법적인 사용자의 제한 등의 보안효과를 가져올 것이다. 본 연구의 목적은 정보를 보호하기 위한 적절한 패스워드선택을 위한 사용자의 보안행위의도에 미치는 요인을 분석하는 것이다. 이를 위하여 정보시스템 사용자의 적절한 패스워드의 선택에 영향을 미치는 핵심적인 요인으로 위험분석 방법론을 토대로 한 위험을 활용한다. 또한 위험을 사용자의 보안의식과 패스워드 관리지침을 패스워드 선택의 태도에 영향을 미치는 요인으로 보고, 사용자의 적절한 패스워드의 보안행위의도를 TRA (Theory of Reasoned Action)를 기반으로 모형을 설계하였다. 본 연구를 분석한 결과 정보자산이 위험에 관련성이 없는 반면, 정보자산을 제외한 위협, 취약성, 위험, 사용자의 보안의식, 패스워드 보안상태, 보안행위의도는 요인간에 유의한 영향을 미치는 것으로 분석되었다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 가을 학술발표논문집 Vol.30 No.2 (2)
• /
• pp.88-90
• /
• 2003

병원, 은행과 같이 중요한 정보를 다루는 조직체들은 그들 데이터를 보호하기 위해 기업 환경과 어플리케이션 특성에 맞는 특별한 데이터베이스 보안 정책을 사용하고 있다. 이러한 대규모의 조직체에서는 업무가 다양하고 복잡하므로 보안정책에 대한 변경이 빈번하게 발생한다. 따라서 보안정책의 무결성을 보존하면서 수시로 변경되는 보안 요구사항을 반영하고 효율적으로 보안관리를 할 수 있는 보안 시스템이 요구된다. 본 연구에서는 조혈계 질환 시료정보관리시스템을 대상으로 IRH(Improved Role Hierarchy)를 이용한 유연성 있는 데이터베이스 보안 시스템을 구현하였다. 데이터 접근은 MAC 방식으로 통제하며, RBAC의 역할계층(Role Hierarchy)을 개선한 IRH를 사용하여 유연성 있는 접근제어를 제공하고 효과적인 보안관리를 할 수 있다. 본 시스템은 보안정책이 바뀔 경우 분산된 보안관리 방식으로 IRH를 수정함으로써 정책 변경이 용이하고 주체의 보안등급이 고정되지 않은 상태에서 IRH을 통해 사용자와 세션이 맺어질 때 결정되므로 정책이 바뀐 후에도 변경된 보안정책이 유연하게 적용된다.

• 한국전자거래학회지
• /
• 제25권4호
• /
• pp.15-32
• /
• 2020

기술혁신 환경의 불확실성 증가와 기술경쟁 확대는 산업기술 보안 측면에서도 새로운 도전 과제를 제시하고 있다. 이에 본 연구에서는 산업기술 혁신 활동을 수행하고 있는 중소기업들을 대상으로 정부의 산업기술 보안 지원정책에 대한 중요도와 실행도에 대한 인식도(IPA)를 살펴봄으로써 향후 관련 정책 개선에 필요한 정책 변화 방향성을 확인을 목적으로 진행되었다. 분석결과, 첫째, 정부의 산업기술 보안 지원정책에 대해 응답한 중소기업들은 해당 프로그램의 중요도에 비해 수행도가 낮다고 인식하고 있었다. 이러한 결과는 해당 프로그램의 질적 수준 개선 노력과 더불어 관련 정책 프로그램들에 대한 선별적인 예산 확대가 필요할 수 있음을 의미한다고 할 수 있다. 둘째, 신기술 인증 기업과 산업기술 확인(인증)기업간의 집단별 인식 차이를 분석한 결과 해당 프로그램에 대한 집단간 유의미한 차이가 존재하는 것으로 나타났다. 이러한 결과는 관련 정책의 보다 효과적인 운영을 위해서는 기업의 양적 특성 못지않게 기업별 산업기술 보안 수준 및 의지 등을 고려한 정책 집행이 필요할 수 있음을 시사하는 결과라 판단된다. 본 연구는 국내 중소기업들이 정부 산업기술 보안정책에 대해 인식하고 있는 실증연구 결과를 제시함으로써, 보다 구체적이고 실효성 있는 산업기술 보안정책의 설계와 집행이 이루어 질 수 있도록 필요한 정책 방향 설정 기초 자료를 제공하는데 그 의의가 있다.