• 한국경영정보학회:학술대회논문집
• /
• 2007.06a
• /
• pp.959-965
• /
• 2007

최근 정보시스템의 개방성과 접근성의 확대는 조직 내 외부로부터 보안위협을 증가시키고 있다. 일반적으로 정보시스템은 패스워드를 이용하여 사용자 인증과 자료의 접근을 제한하고 있으므로 패스워드의 선택은 정보보안에 있어서 매우 중요하다. 적절한 패스워드의 선택은 정보시스템의 오 남용 방지 및 불법적인 사용자의 제한 등의 보안효과를 가져올 것이다. 본 연구의 목적은 정보를 보호하기 위한 적절한 패스워드선택을 위한 사용자의 보안행위의도에 미치는 요인을 분석하는 것이다. 이를 위하여 정보시스템 사용자의 적절한 패스워드의 선택에 영향을 미치는 핵심적인 요인으로 위험분석 방법론을 토대로 한 위험을 활용한다. 또한 위험을 사용자의 보안의식과 패스워드 관리지침을 패스워드 선택의 태도에 영향을 미치는 요인으로 보고, 사용자의 적절한 패스워드의 보안행위의도를 TRA (Theory of Reasoned Action)를 기반으로 모형을 설계하였다. 본 연구를 분석한 결과 정보자산이 위험에 관련성이 없는 반면, 정보자산을 제외한 위협, 취약성, 위험, 사용자의 보안의식, 패스워드 보안상태, 보안행위의도는 요인간에 유의한 영향을 미치는 것으로 분석되었다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2006.05a
• /
• pp.967-970
• /
• 2006

정보 보호의 목표는 정보자산의 기밀성, 무결성, 가용성을 보장함으로써 정보시스템의 신뢰성과 안전성을 확보하고 이를 통하여 기관이나 조직에서 추구하는 사업에 대한 영속성 보장의 기반을 제공하는 것이다. 접근 제어는 정보 보호의 목표인 기밀성, 무결성을 하기 위한 수단으로 많이 사용된다. 즉, 인가받지 않은 주체에게는 접근을 허용하지 않고, 인가된 주체에 대해서는 신뢰성 있는 정보를 제공하기 위해 정보에 대한 접근 제어를 한다. 그러나 가용성 측면을 무시하고 기밀성과 무결성만을 지나치게 강조할 경우 사용자에게 제공되는 정보는 이미 과거의 정보가 되어 아무런 가치가 없을 수도 있다. 이에 본 논문에서는 정보 보호의 3대 목표를 모두 만족하는 접근제어 시스템을 구축하는데 있어서 바람직한 방향을 제시하고자 한다.

• Review of KIISC
• /
• v.13 no.3
• /
• pp.38-49
• /
• 2003

보안관리, 위험분석 및 PP의 개발 방법(또는 지침, 표준)을 개발하기 위해서는 공통적으로 자산, 위협 및 취약성의 분류체계, 평가기준 및 평가스케일을 정의해야한다. 본 논문에서는 이 분야의 각종 방법들로부터 분류체계, 평가기준 및 평가스케일을 조사 연구하였다. 본 결과는 새로운 방법을 개발할 때 활용될 수 있을 것이다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.14 no.2
• /
• pp.101-111
• /
• 2004

Risk analysis process, which identifies vulnerabilities and threat causes of network assets and evaluates expected loss when some of network assets are damaged, is essential for diagnosing ISP network security levels and response planning. However, most existing risk analysis systems provide only methodological analysis procedures, and they can not reflect continually changing vulnerabilities and threats information of individual network system on real time. For this reason, this paper suggests new system design methodology which shows a scheme to collects and analyzes data from network intrusion detection system and vulnerability analysis system and estimate quantitative risk levels. Additionally, experimental performance of proposed system is shown.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.11a
• /
• pp.208-209
• /
• 2023

IT(Information Technology) 기술이 고도화됨에 따라 금융 분야에서는 스마트 컨트랙트에 기반하여 자산을 거래할 수 있는 DeFi(Decentralized Finance)가 발전하고 있다. 또한, 다양한 IoT(Internet of Things) 기기들로 구성된 융합환경이 상호 연결되며 IoBE(Internet of Blended Environment)가 조성되고 있다. IoBE의 구성요소 중 의료융합환경인 디지털 헬스케어는 스마트 의료 기기를 통해 진료서비스를 제공한다. 최근에는 디지털 헬스케어 내 자산 거래 수단으로 DeFi를 활용하기 위한 연구가 진행되고 있다. 그러나, 디지털 헬스케어 서비스에 DeFi가 활용될 수 있음에 따라 DeFi 내 보안 위협이 전파될 수 있다. 전파된 보안 위협은 DeFi에서의 디지털 화폐 탈취뿐만 아니라, 디지털 헬스케어 내민감 정보 탈취, 서비스 거부 공격 등 복합 위협으로 이어질 수 있다. 따라서, 본 논문에서는 DeFi의 취약점을 분석하고 이를 기반으로 디지털 헬스케어에서 발생 가능한 공격 시나리오를 도출한다.

• Journal of the Korea Convergence Society
• /
• v.5 no.4
• /
• pp.81-86
• /
• 2014

The development in IT technology has brought about various services that are on offer based on a new service model. But such new services have increased security risks. The government is operating a program to foster experts in information security to protect assets from the threat of such risks, too. Society's awareness on the importance of information security has also grown, leading to various courses to train such personnel, including membership clubs for the fostering of such specialists. This study seeks to suggest a method that efficiently manages the convergence of running a curriculum on ISMS(information security management systems) and a club that focuses on information protection. Such converged information security courses are expected to contribute to a safer IT-based society.

• Journal of Digital Contents Society
• /
• v.19 no.8
• /
• pp.1515-1525
• /
• 2018

Security threats in the 4th Industrial Revolution have expanded to the issue of safety, but the environment for information security of domestic companies is still at a low level. This study aims to propose policy implications by empirically analyzing factors affecting investment intention. We investigated the state of information security and protection behavior and expanded UTAUT to investigate correlations. The results showed that information assets affect facilitating conditions, and perceived and new concerns have impacts on social influence. Social influence affect experience and habits, but the impact on security investment intentions was rejected. Facilitation conditions, previous experiences and habits have great influences on investment intention, new service security investment intention. The influence of perceived and new concern are low or rejected. There are moderating effects between types of business, size, security organization, experience of infringement, security personnel ratio, and personal information collection. This study will help to establish policies for enhancing the level of information security.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.25 no.6
• /
• pp.1541-1547
• /
• 2015

In the recent IT industry, security has established itself as the factor to be considered the most in the software development. It goes without saying that security is the critical factor for the development of information security products. In the evaluation of the information security products, the security is assured by the security architecture requirement (ADV_ARC). However, the Absence of the systematic software security architecture process makes it difficult to guarantee the security quality consistently even though they are evaluated based on common criteria. In this paper, we propose a way to ensure a consistent security quality applying the software security framework in BSIMM.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.19 no.6
• /
• pp.175-184
• /
• 2009

There have been two methods of estimating computer related security risk such as qualitative and quantitative methods which have distinctive advantages or disadvantages. The former is too narrative and somehow abstract to implement and the latter produces concrete result but needs lots of data, so that it is needed to develop a method overcoming such difficulties. It is advised to mix such two methods in a proper way depending on the conditions of a computer system. In this article, a concept of fuzzy number is employed on the way of mixing the two methods and provide a simple example using fuzzy numbers. Simulation was conducted for an assumed model system and it is demonstrated how to calculated expected and unexpected risk.

• Review of KIISC
• /
• v.23 no.2
• /
• pp.7-13
• /
• 2013

전 세계적으로 스마트폰의 시장 점유율은 지속적으로 증가하고 있다. 국내도 해당 기기의 사용 편의성과 이를 이용할 수 있는 다양한 앱과 서비스의 출시로 개인 사용자와 기업, 그리고 정부를 포함한 공공기관에서 스마트폰 사용이 크게 늘어나고 있다. 스마트폰의 이용실태를 살펴보면 개인의 경우 인터넷 게임, SNS, 금융 서비스를 중심으로 이용하고 있으며, 기업, 정부와 공공기관도 업무 효율화에 적극적으로 활용하고 있다. 이와 같은 개인화된 기기인 스마트폰을 이용한 사용자의 이용확대와 다양한 서비스의 증가로 인해 사용자의 공인인증서와 같은 민감한 개인 정보를 포함해서 기업, 공공기관의 정보 자산이 해당 기기에 저장 되고 있는데, 개인 정보와 가치 있는 정보를 악의적인 방법을 이용해서 유출 및 수집 하여 불법적인 이득을 얻으려는 보안 위협 및 침해가 꾸준히 증가하고 있다. 이와 같은 보안 위협의 지속적인 증가로부터 스마트폰 환경에서 사용자를 안전하게 보호하기 위한 보안 프로그램이 꾸준히 출시되고 있다. 스마트폰의 경우는 기존의 PC 보다 컴퓨팅 파위가 낮고, 실행 환경이 제약적이기 때문에 성능을 고려한 보안 프로그램의 개발이 필요하다. 이에 본 고에서는 안드로이드 기반의 보안 프로그램을 개발할 때 고려 할 수 있는 성능 향상 방법을 살펴보도록 한다.