• 한국재난정보학회 논문집
• /
• 제17권2호
• /
• pp.375-390
• /
• 2021

연구목적: 사이버보안 침해사고의 대부분은 중소기업에서 발생하고 있는데, 기존 사이버보안 프레임워크(Framework)와 인증체계 등은 주로 금융권이나 대기업에 초점이 맞추어져 있어 정보보안 예산과 인력이 부족한 중소기업이 활용하기에는 어려움이 많아 중소기업이 자율적으로 사이버위험관리를 할 수 있는 방안을 마련할 필요가 있다. 연구방법: 사이버보안 시장, 금융기관 사이버보안 항목, 사이버보안 프레임워크 비교, 언론에 보도된 사이버보안사고 등을 통해 사이버보안에 중요한 항목을 도출하고 이를 AHP 분석을 통하여 그 중요도를 분석하고, 손해보험사의 사이버보안 항목을 조사·비교 하였다. 연구결과: 주요한 사이버사고 원인 20가지에 대한 중소기업의 사이버위험관리 방안을 제시하였다. 결론: 본 연구에서 도출된 국내 중소기업의 사이버보안 위험평가방안이 향후 중소기업이 사이버보험 가입 시 그 기업의 위험평가에 도움이 되길 바라고 사이버 위험평가도 ERM 규격화의 한 부분에 포함되기를 희망해 본다.

• 한국항해항만학회:학술대회논문집
• /
• 한국항해항만학회 2019년도 추계학술대회
• /
• pp.134-136
• /
• 2019

국제해사기구(IMO)는 2017년 해상 사이버 위험관리 지침(Guidelines on maritime cyber risk management)을 발표했다. IMO의 해상 사이버 위험관리 지침에 따라 각 기국은 2021년 1월 1일 이후 도래하는 첫 번째 연차심사 전까지 안전관리규약(ISM, International Safety Management Code)의 선박안전관리시스템(SMS, Safety Management System)에서 사이버 리스크에 관한 사항을 통합·관리 하여야 한다. 본 논문에서는 해상분야의 사이버 보안 관리대상 및 위험요소를 식별하고 취약성 분석을 수행하기 위하여 IMO가 제시한 산업계 지침 및 국제표준을 근거로 해상분야의 사이버 보안 취약분야를 관리적·기술적·물리적 보안의 세 가지 영역으로 구분하였다. 또한, 리스크 매트릭스(Risk Matrix)를 사용하여 보안영역별 위험요소에 따른 정성적 리스크 평가(RA, Risk Assessment)를 수행하였다.

• 한국컴퓨터정보학회논문지
• /
• 제24권11호
• /
• pp.99-107
• /
• 2019

사이버 보안을 위한 활동인 '위험관리(Risk management)'와 '보안관제(security monitoring)' 업무는 미래에 발생할 보안 위협에 대비하고 보안 사고를 최소화 하는 활동이라는 점에서 깊은 상관관계를 가지고 있다. 또한 위험관리와 보안관제 분야 모두 관리자에게 시각적으로 그 정보자산에 대한 위협을 보여주는 패턴 모델을 적용하는 것이 효과적이다. 검증받은 패턴모델로는 전통적인 품질관리 분야에서 오랫동안 사용되어온 '관리도'(control chart)모델이 존재하지만 정보시스템의 사이버 위험관리와 보안관제에서의 활용은 부족하다. 이에 본 논문에서는 위험관리와 보안관제 시스템을 통합한 사이버 SRM(Security Risk Monitoring)시스템을 설계하였다. SRM은 '관리도'의 패턴을 이용한 '보안대책' (security control)의 적용 전략을 제시한다. 보안대책은 기존의 표준화된 보안대책 집합인 ISMS, NIST SP 800-53, CC를 통합적으로 적용하였다. 이를 활용하여 2014~2018년 까지 4년간 우리나라사이버위기 경보동향을 분석하였고 이는 향후 보다 유연한 보안대책 수립을 가능하게 한다.

• 정보보호학회지
• /
• 제26권1호
• /
• pp.54-60
• /
• 2016

기업들의 생산 공정이 세분화되면서 하나의 디지털 기기는 여러 단계의 공급망을 통해 원자력 발전소 외부에서 제작된 후 공급된 기기들과 소프트웨어의 조합으로 최종 완성품이 제작된다. 이러한 공정 과정을 거치는 다양한 나라, 회사에서 제작된 수많은 부품들과 소프트웨어의 조합은 어느 하나의 단계에서 발생한 의도되거나 의도되지 않은 결함 또는 사이버 위험을 포함한 최종제품이 될 가능성을 가지고 있으며 실제로 공급망을 위협하는 사례가 발생하기도 하였다. 이러한 결과로 공급망을 통한 사이버공격의 보안 위험 사례를 관리하는 것이 디지털화가 급격하게 진행되고 있는 원자력발전소와 같은 주요기반시설의 안전과 보안을 유지하는데 고려해야하는 중요한 요소가 되고 있다. 본 논문에서는 공급망을 통한 사이버보안 위험 사례와, 원자력발전소 디지털 자산 공급망 위험관리를 위한 해외 사례를 살펴보고자 한다.

• 융합보안논문지
• /
• 제23권5호
• /
• pp.173-179
• /
• 2023

제4차 산업혁명 기술은 현재 우리 군이 처한 병력 감축과 국방예산 감소라는 장애물을 넘어 초연결 초지능화된 네트워크 중심 작전 환경을 구축하는 해결책으로 대두되고 있다. 그러나 최신 정보기술에 대한 복잡성 증대와 기 운용중인 정보시스템과의 영향성 검증을 포함한 전체적인 위험관리가 미흡하여 시스템 무결성과 가용성에 심각한 위협을 초래하거나 시스템 간 상호운용성에 부정적 영향을 끼침으로서 임무 수행을 저해할 수 있다. 본 논문에서 우리는 정보기술의 발전에 따라 발생할 수 있는 사이버 위협으로부터 군 정보화 자산을 보호하기 위해 미국의 정보보안 위험관리에 대한 내용의 고찰을 통해 우리 군이 사이버 위협에 대비하기 위한 사이버 위협 대응 전략을 제시하고자 한다.

• 정보보호학회논문지
• /
• 제27권5호
• /
• pp.1233-1245
• /
• 2017

지능정보사회를 선도하는 핵심 기술이자 서비스인 사물인터넷의 초연결성으로 인해 사이버리스크가 급증하면서 사이버리스크의 전가(Risk transfer)를 통해 경영환경의 안정성을 높이는 새로운 위험관리 방안으로 사이버보험(Cyber insurance)이 주목받고 있다. 그러나, 사이버보험은 아직 국내에서는 비교적 생소한 개념이다. 이에 본 연구에서는 국내 상황에서 우선적으로 요구되는 보장사항을 도출하여 국내 수요에 적합한 사이버보험의 개념을 제안하고자 하였다. 연구 결과 사이버보험의 수요자들은 사업손실과 배상책임에 가장 많은 필요성을 보이고 있는 것으로 나타났다.

• 한국항해항만학회:학술대회논문집
• /
• 한국항해항만학회 2023년도 추계학술대회
• /
• pp.205-207
• /
• 2023

국제선급연합회(International Association of Classification Societies: IACS)에서는 2022년 선박 및 기자재시스템 사이버 복원력 달성을 위한 공통규칙 UR E26, E27을 발행하였으며, 이 규정은 2024년 1월 이후 건조 계약되는 선박에 의무적으로 적용될 예정이다. 현존선의 경우, OT 시스템 네트워크 변경 및 사이버보안 기능을 신규 구현하기가 어렵기 때문에 사이버 위험관리에 한계가 있으나, 본 규정을 통해 신조선 건조 단계에서 설계 보안 (secure by design)을 고려한 선박 사이버 복원력 네트워크 및 기능 구현이 가능하다. 사이버복원력 생태계가 잘 형성되기 위해서는 선주, 조선소, 제조사, 선급 등 주요 이해관계자의 역할이 중요하며 향후 다양한 프로젝트를 통한 사이버복원력 체계 내재화, 재직자 사이버보안 역량 강화, 선박 사이버안전 기술 지속적 연구가 필요하다.

• 한국항해항만학회:학술대회논문집
• /
• 한국항해항만학회 2020년도 추계학술대회
• /
• pp.139-140
• /
• 2020

우리나라는 국제해사기구에서 제시한 자율수준 3단계의 자율운항선박 기술개발 사업을 추진 중에 있으며, 자율운항선박 및 원격운항센터의 사이버보안에 관한 기술개발이 핵심과제로 포함되어 있다. 국제해사기구는 현존선의 대한 사이버 위협에 대한 조치로 제98차 해사안전위원회에서 '해상 사이버 위험관리 지침(Guidelines on maritime cyber risk management)'을 채택 및 승인하였다. 자율운항선박이 디지털 센서의 거대시스템임을 고려할 때 기술개발 완료시 해상에서 기존 선박과 자율운항선박의 공동 운항을 고려하여 해상교통관제체계(VTS)에 대한 사이버보안 측면을 고려 할 필요가 있다. 이 논문에서는 부산항 VTS 관제사(VTSO)를 대상으로 하여 자율운항선박 운영을 고려한 VTS 관제시스템의 사이버보안 만족도를 조사하였다. VTSO를 대상으로 한 사이버보안 만족도 조사 및 분석방법은 IPA(Importance Performance Analysis) 매트릭스를 적용하였다.

• 정보보호학회논문지
• /
• 제32권6호
• /
• pp.1183-1192
• /
• 2022

정보 및 정보를 생산, 처리, 폐기하는 시스템은 정보의 총수명주기에 걸쳐 일정수준의 보안이 유지되어야 한다. 일정수준의 보안을 유지하기 위해 소프트웨어 및 자동차 개발, 미국 연방정부 정보체계 등 시스템 수명주기의 보안관리 프로세스를 적용하고 있으나, 우리나라에는 이와 유사한 보안관리 프로세스가 전무한 실정이다. 본 논문에서는 국방 분야 정보 및 정보 처리시스템의 총수명주기에 걸쳐 일정수준의 보안을 유지하기 위한 한국형 보안위험관리 프레임워크를 제안한다. 국방 분야에 적용할 수 있는 한국형 보안위험관리 프레임워크의 개발 목적과 적용방안을 소개함으로써 향후 국방 보안업무가 나가야 할 방향을 제시하고 보안 패러다임의 전환을 유도하고자 한다

• 한국항해항만학회:학술대회논문집
• /
• 한국항해항만학회 2021년도 추계학술대회
• /
• pp.72-73
• /
• 2021

자율운항선박(MASS, Maritime Autonomous Surface Ship) 도입을 위한 국제해사기구의 논의가 본격화됨에 따라 국제항로표지협회 제27차 이네비게이션(ENAV) 위원회 워킹그룹(WG2)에서 MASS 운영지원을 위한 시스템 개발시 사이버보안(사이버 위험관리) 측면을 우선적으로 고려하도록 하는 논의가 진행되었다. 우리나라는 2020년 자율운항선박 기술개발사업을 착수하였으며, 2021년부터 사이버보안 기술개발을 위한 세부과제를 추진 중에 있다. 디지털 해상통신시스템 환경에서의 MASS 운용은 기존 해상통신환경에서는 고려되지 않았던 다양한 디지털 장비들의 네트워크 보안이 요구된다. 본 연구에서는 사이버보안 기술개발 세부과제에서 수행중인 MASS 운용 지원을 위한 네트워크 보안장비 기본 개념을 소개하고, 기초단계에서의 MASS 선박 적용을 위한 네트워크 보안장비 인터페이스를 정의한다.