• Journal of the Korea Society of Computer and Information
• /
• v.12 no.4
• /
• pp.239-248
• /
• 2007

There's been a difficulty for general corporate to adopt recent incident response study because those studies focus on nation wide CERT Coordination Center or large organization aspect. This study is focus on study and design on security ticket based CERT system through analysis Security management's threat element, attack element, response element and it also help general corporate establish incident response process that is adjusted on IT operation. Confirmed CERT model's effectiveness and effect of quantitative Security incident management way that propose executing Security incident response experiment on the basis of this way. This study which provides general corporate oriented CERT model can be used to improve corporate's capability of responding incident by quantified management technique and select incident response SLA indicator. Already, formation which operate CERT can heighten corporation's information protection level by measure Security incident response result as metrical and analyze and improve problem continuously.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.872-874
• /
• 2015

최근 침해사고는 특정 목적을 지닌 공격자들은 자신의 목적을 달성하기 위해 공격을 지속적으로 감행하는 특징을 보인다. 하지만, 기존에 진행된 악성코드 감염 호스트 분석, 네트워크 행위기반 분석 등의 단일 침해사고에 대한 분석은 다른 침해사고와의 관계를 유기적으로 연결하지 못하기 때문에, 타 침해사고와의 연관성 분석, 동일 공격자의 특성 파악을 통한 표적형 공격 및 향후 공격예측을 지원하지 못한다는 단점이 있다. 본 논문에서는 이러한 문제점을 해결하기 위해서, 상용에서 서비스되고 있는 사이버 위협정보 공유 시스템의 정보를 기반으로 이와 연관된 정보의 이력 및 유사관계를 관리하여 침해사고간의 연관성을 파악하는 방법을 제시한다.

• Review of KIISC
• /
• v.31 no.3
• /
• pp.73-80
• /
• 2021

기업 내부 전산망을 관리하는데 용이한 Active Directory(AD) 환경이 보편적으로 사용되는 가운데, 적절치 않은 정책 설정으로 대형 침해사고로 이어지는 경우가 발생하고 있다. AD는 다수 시스템과 사용자 등 자원을 관리하기 효율적이라는 장점이 있지만, 핵심 권한을 탈취당하면, 모든 자원에 접근할 수 있다는 반작용도 존재한다. 한국인터넷진흥원은 기업의 보안성 제고를 위하여 AD 환경에서 발생하는 침해사고를 상세히 분석하고 최신 동향을 지속적으로 공유하고 있다. 하지만, 침해사고 보고서는 사업 특성 및 구축환경의 다양성으로 인하여 획일화된 대응 전략을 제시할 수 없으며, 기업에 특화된 적용방안은 각자 마련해야 한다. 본고에서는 공개된 보고서를 기업 환경에 적용하기 어렵다는 문제를 해결하기 위하여 최근 발생한 AD 환경에서의 침해사고를 분석하고, 각 기업에서 어떻게 활용할 수 있는지 방안을 제시한다.

• Review of KIISC
• /
• v.18 no.5
• /
• pp.1-20
• /
• 2008

편리한 금융거래 수단으로써 인터넷뱅킹을 포함한 전자금융 서비스가 생활화 되었으며 그 중요성 또한 갈수록 증가하고 있다. 이에 대한 부작용으로서 사용자의 실수나 금융기관, 쇼핑몰, 포털 등의 해킹을 통한 전자금융 접근매체의 유출, 비정상적인 지불결제나 인터넷뱅킹 이체 사고 등 침해사고 또한 함께 증가하고 있다. 금융권은 금융감독원을 중심으로 전자금융 종합보안 대책 수립(2005년) 및 전자금융거래법 시행(2007년) 등을 통해 고객 PC의 해킹방지를 위한 다양한 보안프로그램 제공 의무화, 보안등급에 따른 이체한도 차등화, 금융권 통합 OTP 인증체계 구축 등 전자금융 침해사고 예방을 위한 적극적인 노력을 기울여오고 있으나, 최근 들어 피싱/파밍 등 신종 사이버사기 기법이나 해외의 전문 해커에 의해 개발된 고도의 지능화된 해킹툴이 사용되어 보안프로그램을 무력화시킨 후 고객정보를 유출해가거나 일반 포털사이트, 웹하드, 웹메일 등의 해킹을 통해 인터넷 사이트에 등록된 고객의 인터넷뱅킹 접근 매체를 유출하여 인터넷뱅킹 침해 사고를 일으키는 등의 신종 침해사고를 완벽히 차단하지는 못하고 있어, 더욱 강력한 전자금융 침해사고 예방 통제 방안의 수립과 함께 침해사고 발생 시 원인 파악 및 범인 검거를 위한 역추적 시스템의 구축 등 기존 보안체계를 대폭 강화할 필요성이 발생하고 있다. 본 연구에서는 시중 은행의 인터넷뱅킹 침해사고 발생 현황 조사를 중심으로 최근 발생한 전자금융 침해사고의 추이분석, 침해사고 주요 원인과 기존 대응 체계의 현황, 한계점 등을 파악하였다. 그리고 전자금융 침해사고의 효과적인 예방 및 대응 강화 방안으로서 사용자 관점에서 공인인증서를 중심으로 한 전자금융 접근매체의 관리 강화 방안을 제안하였으며, 전자금융 서비스를 제공하는 금융 기관 관점에서 효과적인 전자금융거래 로깅 및 역추적 시스템의 구축 및 전체 금융기관과 감독기관 간의 유기적인 공조를 기반으로 한 침해사고 공동 대응체계의 구축 및 운영을 위한 시스템의 구성 방법, 운영 프로세스, 관련 법률의 검토 및 대응 방법 등을 제안하였다.

• Journal of Platform Technology
• /
• v.11 no.4
• /
• pp.35-49
• /
• 2023

Recently, real-time cyber threats are constantly occurring for various reasons. Most companies have the characteristic of digitizing important internal information and storing it centrally, so it can be said that the impact is very high when an Computer Security Incident occurs. All electronic device information collected and analyzed in the process of responding to an Computer Security Incident has the characteristic of being subject to change at any time. Submission of related evidence is required in future investigations and courts. At this time, the basic principles of digital forensics, such as the principle of integrity and the principle of chain of custody, must be followed to ensure legitimacy and accuracy of the evidence. In this paper, we propose a digital forensic-based Computer Security Incident Inspection and Response procedure in the Windows 10 environment to secure the legitimacy and accuracy of digital evidence collected and analyzed when an intrusion occurs, prevent intrusion in advance, and quickly recognize it.

• Journal of Digital Convergence
• /
• v.10 no.5
• /
• pp.223-232
• /
• 2012

Recently, the leakage of personal information and privacy piracy increase. The victimized case of the malicious object rapidlies increase. Most of users use the windows operating system. Recently, the Windows 7 operating system was announced. Therefore, we need to study for the intrusion response technique at the next generation operate system circumstances. The accident response technique developed till now was mostly implemented around the Windows XP or the Windows Vista. However, a new vulnerability problem will be happen in the breach process of reaction as the Windows 7 operating system is announced. In the windows operating system, the system incident event needs to be efficiently analyzed. For this, the event information generated in a system needs to be visually analyzed around the time information or the security threat weight information. Therefore, in this research, we analyzed visually about the system event information generated in the Windows 7 operating system. And the system analyzing the system incident through the visual event information analysis process was designed and implemented. In case of using the system developed in this study the more efficient accident analysis is expected to be possible.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.05a
• /
• pp.1077-1079
• /
• 2008

본 논문에서는 침해사고 발생시 신속하고 정확한 대응을 위하여 컴퓨터 포렌식을 이해하고 이 기법을 활용하여 침해사고 발생시 침해정보와 흔적을 수집, 분석할 수 있는 클라이언트/서버 환경에서의 실시간 침해사고 대응 시스템 구조의 설계 제안하였다. 제안된 시스템의 하드웨어 적용 범위는 특별한 제약을 주지 않고, 구내망이 구축된 시설, 즉 기업이나 기관에 모두 적용될 수 있도록 하였다. 또한 소프트웨어 환경은 윈도우를 기반으로 하고, 통신 환경으로는 인터넷 환경을 지원하기 위하여 TCP/IP Winsock 프로토콜을 채택하였다. 이상과 같은 조건을 만족하고, LAN 상의 서버에 이 시스템을 설치 하여 네트워크 내에 있는 모든 컴퓨터를 감시, 제어하고 효율적으로 관리할 수 있도록 하여 기업내 침해사고에 빠르게 대처할 수 있게 하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.23 no.6
• /
• pp.1207-1217
• /
• 2013

This study utilizes raw data from "Research on the actual condition of firms' information security" of KISA (2010) and constructs panel dataset to analyze a causal relationship between information security investment and security breach. Using Difference in Difference estimation method we find the following results. First, while the usual causality that information security investment reduces security breach is not supported, the reverse causality that security breach increases information security investment is well explained. Second, contrary to the conventional wisdom, firms in the finance/insurance business sector show the most significant reverse causality pattern.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.771-772
• /
• 2015

사이버 침해사고 정보를 공유하는 체계가 전 세계적으로 확산되고 있는 추세이다. 상호 네트워크 통신을 위하여 필요한 인터넷기반정보와 사이버 침해사고 관련 정보를 획득하기 위한 채널 다양하게 존재하고 공공의 이익을 목적으로 공유되고 있으며 침해정보에 대한 세부적인 분석정보 또한 오픈소스 프로젝트를 통해 손쉽게 획득할 수 있다. 한국인터넷진흥원에서는 공인된 사용자 혹은 기관을 대상으로 침해사고에 활용된 악성정보를 공유하고 있다. 본 논문은 이러한 인터넷기반정와 침해사고와 관련된 연관정보를 활용한 사이버 침해정보 연관 그래프 구축방안에 대하여 논하며 그 활용방안이 어떠한 것이 있는지 제안한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.33 no.5
• /
• pp.801-811
• /
• 2023

With the cyber incidents increasing every year, opinions are being raised that legal system relating to incident reporting needs to be revised to improve the cyber incident reporting rate, etc. Accordingly, this paper suggests a legal improvement to enhance the effectiveness of cyber incident reporting. First, by analyzing domestic media coverage, this paper defines the problems which need to be improved regarding an incident reporting system as "unreported" and "not timely reporting". Then, this paper finds four requirements for legal improvement like "a reporting entity", "a starting point of reporting", "a reporting deadline" and "a protection of reporting information" by analyzing the relationship between reporting relating problems and issues published by overseas institutions and additionally by analyzing the need to revise the law. Finally, through an analysis of legislative cases, this paper suggests a legal improvement for the requirements.