• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.11a
• /
• pp.165-167
• /
• 2023

정부에서는 내·외부 사이버 보안 위협 고도화에 대한 실질적이고 효과적인 대응을 위해 정보보호관리체계(Information Security Management; 이하 ISMS) 인증에 대한 법령을 시행하고 있다. ISMS 인증은 컨설팅과 인증심사를 분리하여 독립성을 확보하였으며, 현장심사 비중을 높여 기존 문서심사에 치중되었던 인증·평가제도와의 차별화를 통해 실효성을 증진시켰다. 그러나 최근 ISMS 인증을 받은 대상자임에도 불구하고 개인정보 정보유출 사고, 대규모 서비스 장애가 유발됨으로써, 다시금 ISMS 인증의 실효성 문제가 제기되고 있다. 현재 제기되고 있는 문제의 요인은 인증기준에 적합한 최소한의 요구사항만 심사·심의하는 ISMS 인증의 한계점에 기인한다. 본 논문에서는 이와 같은 ISMS 인증의 실효적 한계점을 개선하고 인증취득 대상자의 실질적 보안역량 강화시키기 위하여 성숙도 평가모델에 기반한 ISMS 인증제도 운영 방안을 제언한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.27 no.4
• /
• pp.843-853
• /
• 2017

In the case of electronic payment, the obligation to use the certificate-based authentication was abolished. As Fin-tech service providers gain autonomy, various authentication methods are provided. SMS, ARS, PIN, Text-passwords, Fingerprints are popular authentication methods in the mobile Fin-tech services. In this study evaluate the usability and security of authentication methods in a unified mobile environment. We evaluate the usability through SUS and interview. Also we evaluate the security level of authentication methods through NIST guideline. At the result of the usability evaluation, Fingerprint authentication method had been determined as the highest usability, also Fingerprint authentication method had been determined as the safest authentication method by obtaining Security Level 4.

• Informatization Policy
• /
• v.29 no.3
• /
• pp.26-47
• /
• 2022

"The certification of compliance of new products of industrial convergence" (hereinafter referred to as "certification of compliance") is a legal certification system in accordance with the Industrial Convergence Promotion Act through which a convergence new product can be officially certified without legislation when the certification standards applicable to the product are not yet provided. Unlike other certification systems, the certification of compliance is characterized by the role of resolving the certification difficulties driven by the regulatory lag of convergence new products. Nevertheless, studies that analyzed the certification of compliance in detail from the viewpoint of regulatory improvement were surprisingly rare. Through the sequential matching of the steps of certification of compliance with the process from the occurrence of a regulatory problem to resolution, our study provided clear understanding as to how the regulatory lag could be reduced by the procedure for certification of compliance. Furthermore, we divided the perspective on regulatory lag management into quantitative and qualitative, and the structures and practices of certification of compliance were then analyzed from the two perspectives. By doing this, the present study emphasized that the fundamental reason the certification of compliance could effectively solve the regulatory lag problem of convergence new products was not only the quantitative elements such as legal deadlines for each step but also several qualitative approaches to securing the quality of every stage.

• The Journal of the Korea Contents Association
• /
• v.19 no.6
• /
• pp.524-540
• /
• 2019

We researched about the relationship among the Purpose of Assessment Certificate System, the preparation result, certificate, and, the performance of the assessment certificate on the purpose of the empirical analysis. For the testing of a research model, we tested 170 samples that our colleges tested by The Assessment Certificate System. As a result of the analysis; there are positive and causal effect relationships among the three variables. This study result will expansion and help to maintain performance growth in the college. In the future, the research about the improvement of management performance are needed.

• Review of KIISC
• /
• v.17 no.3
• /
• pp.26-31
• /
• 2007

공개된 네트워크 시스템 상에서의 개인 정보를 보호하기 위해 사용자 인증은 시스템 보안에 있어서 중요한 요소이다. 패스워드 기반의 인증 메커니즘은 비용과 효율성의 측면에서 널리 사용되고 있으며 최근 이중요소인증(Two-Factor Authentication)의 한 수단으로 일회용 패스워드(One-Time Password, OTP)를 도입하고 있다. 본고에서는 일회용 패스워드에 대한 인증 기술과 OTP 통합 인증 센터로 구성되는 OTP 통합 인증 시스템에 대해 검토하며 취약성에 대해 살펴보고 이에 대한 대응 방안으로 서비스 제공자의 식별자를 포함한 일회용 패스워드 생성 매체를 이용하는 사용자 인증 시스템을 구성한다. 또한 USB 토큰 형태의 일회용 패스워드 매체를 이용하여 다수의 서비스 제공자의 일회용 패스워드를 지원하는 인증 시스템을 제안한다.

• Electronics and Telecommunications Trends
• /
• v.29 no.4
• /
• pp.101-109
• /
• 2014

패스워드 기반의 사용자 인증은 비용이 적게 들고 편리성 때문에 보안상 취약점이 있어도 현재까지 광범위하게 사용되고 있다. 이러한 패스워드 기반 인증의 보안 취약성을 개선하기 위해 생체 인증을 사용하거나 다중 요소 인증기술을 적용하려는 시도는 그동안 계속되어 왔다. 하지만 기술에 따라 사용자의 편리성이 떨어지거나 광범위하게 설치하기에 비용부담이 증가하여 응용서비스에 적용하기에는 무리가 있었다. FIDO(Fast IDentity Online)는 인증 프로토콜과 인증수단을 분리하여 패스워드 없이 인증강도를 높이면서 사용자의 편리성도 높이려는 시도를 하는 기술로 패스워드의 문제를 극복하여 스마트 모바일 환경에 적합한 인증기술로 활용될 수 있다.

• Proceedings of the Korea Technology Innovation Society Conference
• /
• 2017.05a
• /
• pp.753-783
• /
• 2017

본 연구는 고등교육기관의 평가인증제가 대학의 경영성과에 어떠한 영향을 미치는지를 알아보기 위하여 1주기 기관평가인증제가 대학 균형성과표(BSC) 4가지 관점의 성과에 미치는 영향을 검증할 목적으로 진행되었다. 이를 위하여 고등교육기관의 1주기 평가인증제에 대한 내용을 살펴보고, 대학 조직의 균형성과표(BSC) 및 1주기 기관평가인증제의 성과분석에 대한 선행연구에 대해 살펴보았다. 그리고 독립변수인 기관평가인증제 즉, 기관평가인증제도에 대한 관심의 정도, 기관평가인증의 평가준비에 대한 적절성, 기관평가인증의 자체평가에 대한 만족도가 대학 균형성과표(BSC)의 고객관점, 내부프로세스 관점, 학습과 성장 관점, 재무 관점의 4가지 성과에 미치는 영향을 분석 검증하였다. 기존의 1주기 기관평가인증제의 성과분석에 관한 선행 연구들은 주로 평가인증제 체제 자체의 성과와 각 평가요소에 있어서 대학의 변화에 초점을 두고 성과를 분석함으로써 정작 기관평가인증제가 평가인증의 평가대상인 대학의 경영성과에 미친 영향에 대한 분석은 제대로 이루어지지 못하였다. 이러한 점에서 기관평가인증제가 대학의 경영성과에 미친 영향을 분석한 결과 첫째, 기관평가인증제중 기관평가인증의 평가준비에 대한 적절성과 기관평가인증의 자체평가에 대한 만족도는 대학 BSC의 고객 성과에 정(+)의 영향을 미치지만, 기관평가인증제도에 대한 관심 정도는 고객 성과에 영향을 미치지 않는 것으로 나타났다. 둘째, 기관평가인증제 중 기관평가인증의 평가준비에 대한 적절성과 기관평가인증의 자체평가에 대한 만족도는 대학 BSC의 내부프로세스 성과에 정(+)의 영향을 미치지만, 기관평가인증제도에 대한 관심 정도는 내부프로세스 성과에 영향을 미치지 않는 것으로 나타났다. 셋째, 기관평가인증제 중 기관평가인증제도에 대한 관심 정도와 기관평가인증의 자체평가에 대한 만족도는 대학 BSC의 학습과 성장 성과에 정(+)의 영향을 미치지만, 기관평가인증의 평가준비에 대한 적절성은 학습과 성장 성과에 영향을 미치지 않는 것으로 나타났다. 넷째, 기관평가인증제 중 기관평가인증의 평가준비에 대한 적절성과 기관평가인증의 자체평가에 대한 만족도는 대학 BSC의 재무 성과에 정(+)의 영향을 미치지만, 기관평가인증제도에 대한 관심 정도는 재무 성과에 영향을 미치지 않는 것으로 나타났다. 이는 기관평가인증의 평가준비와 자체평가 과정을 통해 실질적인 교육체계 혁신이나 내부프로세스 효율성 향상으로 인해 교육의 질이 개선되어 학생의 만족도와 선호도가 높아지며, 아울러 안정적 재원확보와 재원의 효율적 관리를 가져오는 것으로 해석된다. 그리고 기관평가인증제도에 대한 인식과 관심은 인증 획득이라는 목표를 설정하게 하고, 기관평가인증의 자체평가를 통해 인증평가에서 요구하는 기준 이상을 충족하도록 학습과 혁신이 이루어지는 것으로 해석할 수 있다. 본 연구의 결과는 학령인구의 급감 등 급변하는 대학의 대내외 환경에서 생존을 넘어 지속가능한 발전을 도모하기 위해 평가인증제를 다양한 대학의 경영성과로 연계할 경영전략 수립에 유용한 정보를 제공할 것이다.

• Convergence Security Journal
• /
• v.21 no.1
• /
• pp.33-44
• /
• 2021

Data outsourcing utilizing the Cloud faces a problem of the third-party exposure, modulation, and reliability for the provided computational delegation results. In order to solve those problematic security issues, homomorphic encryption(HE) which executes calculation and analysis on encrypted data becomes popular. By extension, a new type of HE with a authentication functionality, homomorphic authenticated encryption(HAE) is suggested. However, a research on the HAE is on the initial stage. Furthermore, based on a message authenticated scheme with HE, the method and analysis to design is still absent. This paper aims to analyze an HAE, with a generic combination of a message authenticated scheme and a HE, known as "Encrypt with Authentication". Following a series of analysis, we show that by adopting a unforgeable message authenticated scheme, the generically constructed HAE demonstrated an unforgeability as well. Though, a strong unforgeability is not the case. This paper concludes that although indistinguishable HE can be applied to design the HAE, a security issue on the possibility of indistinguishability is still not satisfied.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.21 no.2
• /
• pp.301-308
• /
• 2017

With the popularization of smart phones and the development of the Internet, many people use smart phones to conduct identity verification procedures. smart phones are easier and faster to authenticate than personal desktop computers. However, as Internet hacking technology and malicious code distribution technology rapidly evolve and attack types become more diverse, authentication methods suitable for mobile environment are required. As authentication methods, there are methods such as possessive-based authentication, knowledge-based authentication, biometric-based authentication, pattern-based authentication, and multi-element authentication. In this paper, we propose a user authentication mechanism that uses collected information as authentication factor using smart phone. Using the proposed authentication mechanism, it is possible to use the smart phone information and environment information of the user as a hidden authentication factor, so that the authentication process can be performed without being exposed to others. We implemented the user authentication system using the proposed authentication mechanism and evaluated the effectiveness based on applicability, convenience, and security.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 1998.12a
• /
• pp.289-301
• /
• 1998

이동통신에서의 사용자 인증 서비스는 통화도용 방지와 신뢰성 있는 과금을 위한 중요한 보호 서비스이다. 본 논문에서는 IS-95A 인증 시스템에 적용 가능한 안전한 인증 알고리듬과 인증 키 생성 알고리듬을 제안한다. 특히 인증 알고리듬을 활용하여 인증 키 생성알고리듬을 Oracle 해쉬함수의 형태로 구현함으로써 인증 시스템의 높은 안전성과 간결성을 동시에 성취하였다. 그리고 통계적 분석 기법을 사용하여 개발된 알고리듬의 출력 특성을 분석한다.