• 정보보호학회논문지
• /
• 제19권5호
• /
• pp.151-166
• /
• 2009

포렌식 수사 절차상의 무결성을 입증하기 위한 방안으로 해쉬 함수 알고리즘을 적용한 디지털 증거의 경우, 무결성이 손상되면 그 자료는 폐기되어야만 했다. 즉, 주요 사건의 핵심 부분에 대한 증거 확보를 위해서는 삭제 영역에 대한 증거 복원이 필수적임에도 불구하고, 전체적인 해쉬값이 처음 해쉬값과 달라 증거 데이터가 훼손됨으로 인하여 결정적인 증거 능력 확보에 어려움이 있었다. 본 논문에서는 이와 같은 문제점을 해결하기 위한 방안으로서 새로운 모바일 포렌식 절차 모델인"Evidence-Finder (이하 E-Finder) 모바일 포렌식 절차 모델"을 제안한다. E-Finder 절차는 5개 영역의 총 15개 절차 모델로 구성되며 E-Finder 절차를 기존 NIST(National Institute of Standards and Technology)모델, Tata Elxsi Security Group 모델과 비교 및 고찰하였다. 이로 인하여, 현재까지 모바일 포렌식 분야에서 표준화 되지 않고, 검증되지 않은 방법론을 개선하는 기대효과를 달성하였다.

• 한국산학기술학회논문지
• /
• 제15권1호
• /
• pp.460-465
• /
• 2014

전자금융 시대를 살고 있는 지금 안전한 전자금융거래를 위해 금융감독기관의 규제가 지속적으로 강화되고 있다. 하지만 규제를 준수해야 하는 약 4,500여개 금융기관의 수에 비해 정보보호컨설팅 및 정보보호서비스 사업자의 수가 턱없이 부족하고 감독기관의 물리적 감독업무에도 상당한 업무부담이 과중되고 있다. 날로 실시간 리스크관리의 요구가 강해지고 있는바 본 논문을 통하여 규제준수에 관해 요건, 이행, 모니터링, 감독 등의 업무를 효율적으로 하기 위해 필요한 기술적 접근을 시도하고 시스템 기반의 컴플라이언스 매니지먼트를 위한 요소항목을 도출하고자 한다. 본 연구는 금융IT 컴플라이언스 매니지먼트 프레임워크와 GRC 프로세스 모델을 기반으로 연구하였고 연구결과 컴플라이언스 매니지먼트 라이프사이클과 각 라이프사이클에 따른 34개의 컴플라이언스 매니지먼트 인덱스를 설계하였다.

• 한국정보통신학회논문지
• /
• 제26권4호
• /
• pp.582-590
• /
• 2022

사이버공격으로 인한 보안위협이 지속되고 있어 보안관제는 신속한 탐지와 대응을 위해 전문성을 가진 용역사업 형태로 주로 운용된다. 이에 따라 보안관제 용역 운영에 대한 다수의 연구가 진행되었다. 그러나 결과적인 관리, 지표, 측정 등의 연구로 업무과정에 대해 세부적으로 연구되지 않아 현장에서 업무 혼선이 빚어져 보안사고 대응이 원활하지 않다. 본 논문에서는 이런 문제점을 ISMS-P 기반의 용역관리 방법을 제시하고 그 방법을 업무 연관성 분석을 통해 시나리오기법과 ISMS-P 보호대책 요구사항 64개 항목의 맵핑(Mapping)으로 도출된 각 항목을 체크리스트화 하여 사용업체의 용이한 외주용역 관리 방법을 제안한다. 또한 주기적 보안준수 이행과 중장기적으로는 ISMS-P의 취득 및 갱신에 도움이 되고 관련 인원들의 보안의식 제고에도 기여할 것으로 기대한다.

• 한국콘텐츠학회논문지
• /
• 제22권7호
• /
• pp.81-88
• /
• 2022

이번 연구는 인공지능(AI) 활용 가능성에 대한 국내 감정평가사들의 인식과 감정평가산업에서 AI 활용에 따른 관련 리스크를 조사하기 위한 것이다. 2022년 2월 10일부터 18일까지 평가사를 대상으로 모바일 설문조사를 실시했다. 193명의 응답자들로 부터 조사 데이터를 수집했다. 기본 분석을 위해 빈도 분석 및 다중 반응 분석을 수행했다. 감정평가산업에 AI를 활용할 때 다양한 유형의 리스크를 분석하기 위해 요인분석을 활용했다. 감정평가사들은 감정평가산업에 AI 도입에 대해 긍정적인 인식을 갖고 있지만, 일자리 감소 및 일자리 교체와 관련된 부정적인 영향 주로 AI 활용 가능성이 높은 분야와 대체 가능성이 높은 분야로 담보·컨설팅·과세 감정 등을 고려했다. 인적 노동 분야에서 AI에 의한 대체 위험에 대해 더 잘 알고 있었다. 책임, 개인 정보보호 및 보안, 기술적 오류 위험에 대해 매우 잘 알고 있었다. 그러나 공정성, 투명성, 그리고 신뢰성 위험은 일반적으로 낮은 위험 문제로 인식되었다. 기존 연구에서는 주로 AI를 대량 평가 모델에 적용하는 분석 방법을 연구해 왔지만, 이번 연구는 AI의 활용과 위험성에 초점을 맞췄다. AI 활용에 대한 업계 전문가들의 인식을 이해하는 것은 AI가 대규모로 도입될 때 발생할 수 있는 잠재적 위험을 최소화하는 데 도움이 될 것이다.

• 융합정보논문지
• /
• 제9권9호
• /
• pp.33-37
• /
• 2019

본 '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률'이 시행됨에 따라 이에 맞추어 국내 공공 및 민간기업에서 클라우드 컴퓨팅이라는 새로운 패러다임에 대한 관심이 고조되고 있다. 국내 클라우드 시장 선점을 위해서는 국내 통신사, SI 및 SW업체 등이 시장에 진출하고 있으나 글로벌 기업에 비해 경쟁력이 낮다. 따라서 국내기업은 국내시장에 특화된 SaaS 제품 개발을 하고 글로벌 기업에 앞선 IaaS 시장 선점을 위해 노력해야 할 것이다. 본 논문에서는 클라우드 컴퓨팅 개념과 G-클라우드의 클라우드관리시스템(G-CMS) 구축사례를 통해 향후 관련 산업의 발전방향 전망에 대해 알아본다. G-CMS는 이기종 Unix 가상화 시스템을 종합적으로 관리하는 최초의 시스템으로 볼 수 있습니다. 또한 G-CMS는 데이터 센터에서 이기종 가상화 시스템을 관리함으로써 비용을 절감할 수 있습니다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제4권2호
• /
• pp.65-72
• /
• 2015

최근 산업기밀보호센터의 기밀 유출 통계에 따르면 기술유출 주체는 전 현직원이 80.4%이고, 협력업체 직원에 의한 유출은 9.6%로 내부자에의한 고의 또는 실수로 발생하는 경우가 90%이다. 최근 발생한 카드사 개인정보유출 또한 내부시스템 컨설팅 프로젝트에 참여한 협력업체 직원이 정보유출을 감행한 것으로 밝혀져 사회적으로 큰 충격을 주었다. 이러한 내부정보유출 사고는 기관 및 기업의 이미지 손실뿐만 아니라 금전적인 손실을 발생시킬 수 있어, 다양한 보안솔루션을 도입하여 운영하고 있다. 하지만 보안솔루션들이 독립적으로 운영 및 관리되고, 보안솔루션에서 발생되는 대용량 로그와 다양한 형식의 이벤트를 보안 담당자가 식별하고 판단하기에는 어려움이 있다. 따라서 본 논문에서는 내부정보유출 방지를 위한 모니터링을 하기 위해 보안솔루션별로 정보유출 단일 시나리오를 도출하고, 솔루션별로 발생하는 로그 분석에 따라 이를 적용하기 위한 방안을 연구하고자 한다.

• 한국산학기술학회논문지
• /
• 제18권7호
• /
• pp.1-8
• /
• 2017

IT 환경 발전되고 융합서비스가 제공됨에 따라서 다양한 보안위협이 증가하고 있으며, 이로 인해 사용자들로부터 심각한 위험을 초래하고 있다. 대표적으로 DDoS 공격, 멀웨어, 웜, APT 공격 등의 위협들은 기업들에게 매우 심각한 위험요소가 될 수 있으므로 반드시 적절한 시간 내에 적절한 조치 및 관리가 되어야 한다. 이에 정부는 '정보통신기반보호법'에 따라 국가안보 및 경제사회에 미치는 영향 등을 고려하여 중요 시스템에 대해 주요정보통신기반시설로 지정 관리하고 있다. 특히 사이버침해로부터 주요정보통신기반시설을 보호하기 위하여 취약점 분석 평가, 보호대책 수립 및 보호조치 이행 등의 지원과 기술가이드 배포 등의 관리감독을 수행하고 있다. 현재까지도 '주요정보통신기반시설 기술적 취약점 분석 평가방법 가이드'를 베이스로 보안컨설팅이 진행되고 있다. 적용하고 있는 항목에서 불필요한 점검항목이 존재하고 최근 이슈가 되는 APT공격, 악성코드, 위험도가 높은 시스템에 대해 관리부분이 취약하다. 실제 보안 위험을 제거하기 위한 점검은 보안관리자가 따로 기획해서 전문업체에게 발주를 주고 있는 것이 현실이다. 즉, 현재의 시스템 취약점 점검 방법으로는 해킹 및 취약점을 통한 공격에 대비하기 어려움이 존재하여 기존의 점검방법과 항목으로는 대응하기가 힘들다. 이를 보완하기 위해서 본 논문에서는 시스템 취약점 점검의 고도화 필요성을 위해 효율적인 진단 데이터 추출 방법, 최근 트렌드를 반영하지 못한 점검 항목을 최신 침입기법 대응에 관하여 기술적 점검 사례와 보안위협 및 요구사항에 대해서 관련 연구를 수행하였다. 국내 외의 보안 취약점 관리체계 및 취약점 목록을 조사 후 이를 기반으로, 효율적인 보안취약점 점검 방법을 제안하며 향후, 제안방법을 강화하여 국외의 취약점 진단 항목을 국내 취약점 항목에 연관되도록 연구하여 개선하고자 한다.

• 한국재난정보학회 논문집
• /
• 제19권3호
• /
• pp.597-607
• /
• 2023

연구목적:고용노동부는 근로자의 산업재해 및 건강장해 예방을 위한 업무를 수행하는 주무부처로서 그간 자연재난 중 폭우로 인한 근로자의 안전을 위해 노력을 해 왔으나, 폭우로 인한 사업장 재난을 막기에는 역부족이였다. 이에 따라, 고용노동부에서 폭우재난을 대응했던 실제 사례를 분석하고 대응체계 개선을 위한 방안을 제시하고자 한다. 연구방법: 본부·지방관서·한국산업안전보건공단에서 재난업무를 수행하는 담당자로 구성된 내부 전문가집단과 교수, 컨설팅 대표, 타부처 재난담당자로 구성된 외부 전문가집단과 함께 폭우재난을 대응하기 위해 실시한 비상대응체계, 업종별 자율점검, 사업장 점검, 중대사이렌 활용, 안전관리 및 복구작업 지도 등에 관한 내용을 검토하였다. 연구결과:우선, 상시 연락체계는 수시로 점검이 필요하며, 세부적인 업종별 자율점검표 마련·배포도 필요하다. 또한, 사업장 점검 시 자율점검 이행여부 확인을 해야 하며, 중대재해 사이렌으로 통해 알리는 정보의 가독성을 높일 방안도 필요 해 보인다. 아울러, 안전작업은 도급형태로 이뤄지기 때문에 구체적인 안전지침 마련도 필요해 보인다. 결론:계절적 유해·위험요인으로 인한 근로자의 생명을 보호하기 위해서는 과거처럼 수동적인 대처방법과 달리 이상기후는 돌발상황으로 여겨서는 안되고, 관행적인 틀에서 벗어나 적극적이고 선제적으로 대응해야 할 것이다.

• 시큐리티연구
• /
• 제24호
• /
• pp.147-170
• /
• 2010

본 연구는 산업기술 보호를 위한 관리적 발전방안을 마련하기 위하여 공공기관, 대기업, 중소기업 등을 대상으로 관리적 보안실태에 대해 조사 분석을 실시하였으며, 그 결과는 다음과 같다. 첫째, 보안정책을 효과적으로 실행할 수 있는 기반 구축이 필요하다. 조사대상 대부분이 보안규정을 잘 관리하고 있으나 보안규정을 지키거나 지속적으로 개선하려는 노력이 부족한 것으로 나타났다. 이를 개선하기 위하여 보안전담조직과 보안담당자 운영방법을 개선할 필요가 있으며, 보안규정을 모든 구성원에게 알리고 보안업무 수행을 위한 팀 간 업무 공조체계를 이룰 수 있는 조직문화를 활성화 할 필요가 있다. 이와 함께 지속적인 보안점검과 보안감사를 통해 보안의식을 향상시키고, 보안규정 준수 여부를 직원업무평가에 반영함으로써 보안정책을 가시화 할 필요가 있다. 둘째, 보안활성화를 위한 보안투자가 필요하다. 기술 유출경로와 수단이 다양화 첨단화 되어가고 있을 뿐 아니라 복잡하고 빠른 속도로 변화하기 때문에 관련 전문기관인 국가정보원, 한국인터넷진흥원, 정보보호 컨설팅 전문기업, 관련 대학 및 연구소 등과의 협조채널 유지하고, 필요에 따라서는 보안 전문기관으로부터 outsourcing 도입을 검토할 필요가 있다. 특히 공공기관이나 대기업에 비해 보안정책 운영실태가 미흡한 중소기업은 조직 규모나 재정적 여건을 감안하여 보안관리 능력을 보강할 수 있도록 국가적인 차원의 지원시스템을 증가할 필요가 있다. 셋째, 산업기술 유출의 주체는 사람으로 인력관리가 중요하다. 신규 입사자와 임직원을 대상으로 하는 정기적인 교육률은 높은 것으로 평가되나 핵심기술에 접근하는 임직원과 제3자로부터의 보안서약서 작성과 중요자산에 대한 접근권한이 변경될 때 접근권한 변경 적용과 같은 업무의 활성화가 필요하다. 중요기술을 다루는 사람에 한하여 신원조사를 실시할 수 있는 여건조성이 필요하며, 퇴사자에 대한 보안서약서 징구와 정보시스템에 대한 접근권한 제거, 계정삭제와 같은 퇴직자 관리를 강화할 수 있어야 한다. 넷째, 중요한 자산에 대한 관리와 통제를 강화해야 한다. 자산에 대한 목록과 관리기준은 비교적 잘 정리되어 있으나 자산의 중요성에 따른 등급화작업의 활성화와 자산의 유출 및 손상의 경우를 대비한 영향 정도를 평가할 수 있는 작업이 필요하다. 자산에 대한 중요도는 시간흐름 및 업무특성에 따라 변화되기 때문에 주기적인 자산평가 작업과 분류작업을 통해 사용자별로 권한을 설정할 수 있어야 한다.

• 시큐리티연구
• /
• 제15호
• /
• pp.173-198
• /
• 2008

한국의 민간경비산업의 영역을 확대하기 위해서는 다음과 같은 방안을 제시하고자 한다. 첫째, 민간조사업법의 영역을 민간경비와 접목하여 확대해야 할 것이다. 둘째, 요인경호법, 대테러법, 대통령 경호실법에 관련하여 민간경비의 역할을 모색할 필요가 있을 것이다. 셋째, 산업보안 관련법 중 산업기술의 유출 방지 및 보호지원에 관한 법률안이 통과됨으로써 기업보안과 민간경비산업 분야의 접목을 통한 민간경비의 다양성과 세분화, 복합화가 필요할 것이다. 넷째, 시큐리티 컨설팅 즉, 통합시스템 관리 서비스를 위해 민간경비업체의 투자와 전문분야의 양성 및 사업의 확대방안의 연구가 모색되어져야 할 것이다. 다섯째, 청원경찰법과 경비업법의 통합성에 대해서 교육과정과 목적, 의무가 큰 차이가 없으므로 정보기관의 협조를 통한 통합화를 적극적으로 추진할 필요가 있다고 사료된다. 여섯째, 민간경비 서비스에 대한 경찰 및 일반시민, 그리고 민간 경비원들 간의 의식전환이 이루어져야 한다. 일곱째, 경비협회의 역할도 중요하다고 사료된다. 마지막으로 경찰청과 경비협회의 의사소통에 관한 문제에 대해서도 정보수집, 대처능력이 권력의 힘에서만 볼 것이 아니라 이제는 경찰청뿐만 아니라 국가기관, 국정원, 검찰, 경호실, 군 등의 기관들과의 상호협력방안을 모색할 필요가 있다고 생각한다.