• 정보보호학회지
• /
• 제13권2호
• /
• pp.59-69
• /
• 2003

오늘날의 정보시스템 환경에서는 물리적인 접근 통제나 정보보호기술 측면에서의 통제만으로 정보자원을 효과적으로 보호하기 어렵다. 흔히 정보보호는 기술보다는 관리의 문제라고 한다. 따라서 효과적인 정보보호는 조직 구성원의 정보보호 중요성에 대한 인식을 전제로 하며, 인식을 높이기 위해서는 적절한 교육과 훈련이 수반되어야 한다. 본 연구에서는 사회심리학 관점으로부터 의사결정과정 측면과 교육 및 훈련의 효과성 측면에서 정보보호에 대한 사용자의 실제 행동과 내면화 과정을 규명하였다. 이를 토대로 조직 구성원이 지속적인 정보보호 실제 행동을 할 수 있는 정보 보호 교육 및 훈련 프레임워크를 제안하고, 구성요소별 전략과 프로그램의 실행 단계를 소개하였다.

• 한국콘텐츠학회논문지
• /
• 제14권1호
• /
• pp.386-399
• /
• 2014

교육 분야에서의 정보시스템 활용도가 높아짐에 따라 교육기관 및 관련기관에서의 개인정보유출 등의 보안사고가 빈번하게 발생하고 있지만, 교육기관의 정보보호 업무자의 현황을 파악하고 이를 체계적으로 관리할 수 있는 교육훈련은 미흡한 실정이다. 본 논문에서는 정보보호 교육의 필요성이 대두되고 있는 국내 교육관련기관 종사자의 기관유형, 근무지역, 담당직무별로 요구되는 정보보호 분야 지식 및 기술에 차이가 있는지를 정보보호 업무자 대상의 설문결과에 대한 다차원척도법(MDS) 분석을 통해 검증하고, 이를 토대로 교육관련기관의 정보보호 교육 프레임워크를 설계하여 제시하였다.

• 정보보호학회논문지
• /
• 제31권5호
• /
• pp.1083-1095
• /
• 2021

최근 사용자의 인터넷 의존성 증가와 각종 IT 디바이스의 보급과 확산에 따라, 과거에 비하여 개인 생활 전반에 정보보호가 미치는 영향력이 확대되었다. 이와 더불어 보안을 위협하는 침해 요인들이 지속적으로 복잡, 다양해지고 가짜뉴스 확산, 온라인 신분 도용, 사이버 불링 등을 비롯한 개인의 안전한 온라인 환경을 위협하는 요소들이 사회적으로 증가함에 따라, 정보보호 전문 인력 양성의 필요성이 증가하고 있다. 나아가 기업의 정보보호 업무 종사자 이외에 사회의 모든 구성원이 정보보안의 위협에서 자유로울 수 없게 됨에 따라, 개인의 정보보호에 대한 인식 제고와 자발적인 정보보호 행동을 유도하기 위한 다양한 정보보호 교육 과정의 마련이 필요하다. 따라서, 본 연구에서는 현재 이루어지고 있는 국내·외 정보보호 교육 과정의 현황과 특징에 대하여 분석한다. 이를 통하여 정보보호 교육 필요성과 교육 체계 수립의 전략을 모색하여 본 연구에서는 국내 환경에 적용 가능한 정보보호 교육 표준 프레임워크를 제시하고자 한다. 이는 개인의 정보보호 인식과 지식 수준을 제고하여 국내 정보보호 전문 인력 양성과 더불어 개인과 조직, 사회 전반의 정보보안 수준을 향상시켜 국가 경쟁력 향상에 기여할 것으로 판단된다.

• 정보보호학회지
• /
• 제21권5호
• /
• pp.12-20
• /
• 2011

개인정보보호법이 전면적인 법 시행을 앞두고 있고 지금까지 규제대상이 아니던 기업 종업원의 개인정보는 물론, 종이 문서형태의 개인정보까지를 규제대상으로 삼고 있어 개인정보보호 시장이 크게 확대될 것으로 전망된다. 규제범위도 정보통신, 교육, 의료, 금융 분야까지 다루고 있어서, 정부/공공기관 및 민간기업의 철저한 사전준비가 필요한 시점이다. 개인의 프라이버시 보호에 대한 이러한 발전추세에는 국내외 표준화가구를 통한 활발한 표준화작업이 밑바탕이 되고 있으며, 특히 미국, 영국, 독일, 일본, 한국 등의 나라를 중심으로 국제표준화를 활발히 추진하고 있다[1]. 표준화의 분야에는 개체의 신분확인을 위한 표준, 개인식별정보와 바이오인식 정보가 같이 사용되는 상황에서 이들의 바이오인식 프라이버시 및 보안요구조건을 위한 표준, 프라이버시 프레임워크, 프레임워크 기반 구현을 위한 프라이버시 레퍼런스 아키텍쳐 등 다양한 표준화 분야가 있다. 본 논문에서는 프라이버시 표준화를 위한 국외 표준화 동향을 소개하고, 향후 추진해야할 중점 표준화 항목을 도출한다.

• 정보보호학회지
• /
• 제13권5호
• /
• pp.1-15
• /
• 2003

IT(Information Technology) 제품의 보안 기능을 평가하기 위한 서로 다른 체계를 이용함으로써 평가를 위한 이중의 비용 소요와 추가의 시간 소모 등의 문제점을 해결하기 위하여, 미국, 영국 등의 선진국들은 국제간에 상호 인정이 가능한 공통평가기준(CC : Common Criteria)에 대한 연구를 활발히 수행하고 있고, CCRA(Common Criteria Recognition Agreement)에 가입한 나라에서 평가된 제품은 다른 나라에서 재평가 과정을 거치지 않고 상호 인정하는 CCRA 라는 평가를 위한 국제 조약을 체결하여 시행 중에 있다. 그러나 CC는 다양한 보안 제품에 대하여 시행되고 있고, 표준안의 분량이 매우 많을 뿐만 아니라 복잡하며, 개발자와 평가자, 그리고 이용자 모두가 평가를 위한 기술적, 관리적, 절차적 과정의 이해가 무엇보다도 중요하다. 따라서 CC 주요 주체에 대한 평가 교육의 필요성이 매우 중요하게 대두되고 있다. 또한 우리 나라도 국제공통평가기준 인정 협정인 CCRA로의 가입을 준비중에 있고, 다양한 제품으로 평가제도의 확대를 준비하고 있다. 본 논문에서는 각 나라의 CC 교육 과정을 분석하고, 현재 CC 체제하에서 평가된 정보보호 제품들의 특성을 분석하며, 이를 바탕으로 우리의 평가 교육 현실을 살펴본 후, 국내 CC 교육 프레임워크와 실천 방안을 제시한다.

• 정보보호학회논문지
• /
• 제33권5호
• /
• pp.721-736
• /
• 2023

명령 제어 프레임워크 (Command and Control Framework)는 모의 침투 및 교육용으로 개발되었으나 사이버 범죄 그룹과 같은 위협 행위자들이 악용하고 있다. 잠재적인 위협을 식별하고 선제 대응을 하는 사이버 위협 헌팅 관점에 따라 명령 제어 프레임워크가 작동하고 있는 서버를 식별하고 사전 차단하면 위험 요소 관리에 기여를 할 수 있다. 따라서, 이 논문에서는 명령 제어 프레임워크를 사전 추적할 수 있는 방법론을 제안한다. 방법론은 명령제어 프레임워크 관련 서버 목록 수집, 단계적 전달 모사, 봇넷 설정 추출, 인증서 수집 및 특징 추 출4단계로 구성된다. 또한, 상용 명령 제어 프레임워크인 코발트 스트라이크에 제안한 방법론을 적용하여 실험을 수행한다. 실험에서 수집된 비콘, 인증서에 대한 분석 내용을 공유함으로써 명령 제어 프레임워크로부터 발생할 수 있는 사이버 위협 대응 기반을 마련하고자 한다.

• 정보보호학회지
• /
• 제33권4호
• /
• pp.23-29
• /
• 2023

대부분의 임베디드 시스템은 기계장치와 전자기기 장치가 함께 작동되는 물리 장치로써, 이기종 네트워크, 복잡한 보안체계 등을 고려하여 가상화 기반 사이버훈련 환경이 구성되어야 한다. 또한, 차량을 대상으로 물리적인 실험환경에서 모의침투 등 사이버훈련을 수행한다는 것은 교통사고를 비롯한 안전사고 발생에 있어 위험이 존재한다. 본 논문에서는 가상 개발환경에서의 공격 기반 차량용 사이버훈련 프레임워크를 제안하고자 한다. 먼저, 공격 기반 차량용 사이버훈련 프레임워크의 작동은 자동 활성화되는 가상의 CAN 네트워크 인터페이스로 시작된다. 가상의 CAN 네트워크 인터페이스는 가상 머신에서 간단한 부트스트랩 명령어 실행을 통해 파이썬 패키지와 Ubuntu 서비스 목록 설치 명령이 자동으로 실행되면서 설치된다. 이후 내부 네트워크 시뮬레이터와 공격모듈과 관련된 UI가 자동으로 Ubuntu Systemd에 의해 백그라운드에서 실행되어 시작과 동시에 준비 상태를 유지하게 된다. 사이버훈련 UI 내 공격 모듈은 사용자에 의한 공격 선택 및 파라미터 셋팅 이후 차량의 이상 상태를 사이버훈련 UI에 다시 출력되게 된다. 본 논문에서 제안하는 가상 개발환경 기반의 차량용 사이버훈련 프레임워크는 자율주행 차량 사고의 위험이나 다른 특수한 제약 없이 사용자의 학습 경험을 확장시킬 수 있다. 또한, 기존의 가상화 기반 사이버훈련 교육 콘텐츠와는 달리 일반 사용자들이 접근하기 쉬운 형태로 확장 개발이 가능하다.

• 융합정보논문지
• /
• 제10권5호
• /
• pp.16-22
• /
• 2020

본 논문에서는 NICE(National Initiative for Cybersecurity Education)의 사이버보안 인력양성 프레임워크에서 권고하는 보안 소프트웨어 개발 직무에 필요한 기술과 역량을 중심으로 연구하였다. 본 논문에서는 보안 소프트웨어의 개발 직무에 어떤 보안기술이 필요하고 어떤 보안 역량을 보유해야 하는지에 대해 살펴보았다. 본 논문의 초점은 보안 소프트웨어의 개발 직무에 필요한 보안기술(핵심기술과 특화기술)과 국내 서울에 위치한 정보보호 관련 학과의 교육과정 사이의 일치성을 분석하는데 있다. 이 분석을 하는 이유는 서울에 위치한 5개 대학의 정보보호 관련 학과에서 실시하는 교육과정이 보안 소프트웨어 개발 직무를 수행하는데 얼마나 적합한 교육체계를 갖추고 있는지를 살펴보기 위함이다. 결론적으로, 만일 연구된 5개의 관련 학과가 보안 소프트웨어의 개발 직무 개발자를 집중적으로 양성하고자 한다면, 공통적으로 보안 테스팅과 소프트웨어 디버깅, 시큐어 소프트웨어 개발 방법, 위험관리, 개인정보식별과 프라이버시, 정보보증에 대한 교육이 필요하다.

• 한국전자거래학회지
• /
• 제16권4호
• /
• pp.87-96
• /
• 2011

항공기반시설(공항, 기상 서비스, 항로 항행시설, 항공교육시설)에 대한 관리적, 물리적 그리고 인적측면과 기술지원 환경 및 인프라측면에서 발생하는 보안사고의 대응을 위한 보안관리체계는 수립단계에서부터 착수하여 분석이 진행됨에 따라 세부적인 평가가 수행되어야 하며, 시설변경이 발생하는 경우, 변경된 시설에 대한 재평가가 실시되어야 한다. 또한 항공기 운용과정에서 발생 가능한 각종 사고에 대한 사전 예방 및 정비를 위해서도 체계적인 보안성 평가가 필수적이다. 보안수준 평가에는 계획(Plan), 활동(Do), 그리고 평가(Check), 조치(Action)업무로 이어지는 생명주기(Life Cycle) 구조가 지속적으로 개선되는 순환적 프레임워크 구조를 가져야 하며, 과거의 사용 또는 경험에 따라 세분화된 보안성 평가 요구조건을 구분하여 적용하여야한다. 특히, 항공기반시설에 대한 보안성 입증과 안전한 운항을 보장하기 위해서는 실시간 지원체계와 국가적 차원의 관리가 필요한데, 이는 공공의 안전을 확보하기 위한 것으로서, 민간항공업체는 해당 법규, 표준서 및 지침 등에 따라 최소한의 보안성을 입증하여야 한다. 따라서 본 논문에서는 항공기반시설에 대한 보안사고 대응을 위한 보안관리체계를 위해 설정된 보안의 목표를 충족하고 있는지를 확인 평가하고, 분석 등을 고려하여 종합적인 보안성 평가기법을 적용할 수 있도록 하는 하늘차형 보안관리체계 프레임워크 기반 모델에 대해 제시하고자 한다.

• 정보보호학회논문지
• /
• 제28권1호
• /
• pp.249-267
• /
• 2018

미국의 사이버보안 인력양성 정책은 2010년 시작된 NICE를 중심으로 포괄적이고 체계적으로 추진되고 있다. 기존 과학 기술 공학 수학(STEM) 전문인력 양성 정책의 일환인 국가과학재단(NSF)의 첨단기술교육(ATE) 8개 분야 중 하나인 보안기술(Security Technologies)에서 사이버보안 인력양성 프로그램을 운영 중이다. 이 보안기술 분야는 NICE와 연계하여 추진되고 있으며, 5종의 세부 프로그램으로 구성된다. 본 논문은 ATE에서 지원하는 사이버보안 인력양성 프로그램 5종에 대해 세부적으로 살펴보고, 이 프로그램들과 유사한 우리나라의 정부지원 프로그램을 상호 비교하여 개선점을 도출한 후, 국가차원의 신규 사이버보안 인력양성에 대한 추진 방향을 제안한다. 이때 적용된 방법론을 체계적으로 정리한 사이버보안 인력양성 정책 평가 프레임워크를 새로운 인력양성 정책 수립시 적용할 수 있도록 제안한다.