• 정보보호학회논문지
• /
• 제34권2호
• /
• pp.347-363
• /
• 2024

국가정보통신기반시설을 대상으로 하는 사이버공격이 꾸준히 증가함에 따라, 많은 국가들이 관련정책 및 법제도의 제정과 개정을 통해 국가정보통신기반시설의 보호를 강화하고 있다. 이에 본고는 국가정보통신기반시설 보호체계를 구축하고 있는 미국, 영국, 일본, 독일, 호주 등의 국가를 선정하여, 국가별 국가정보통신기반시설 보호정책의 추진체계를 비교·분석하고자 한다. 국가정보통신기반시설 보호체계를 사이버보안 체계와 비교하고 추진 구조를 분석하고 앨리슨 이론(Allison's theory)과 나카무라&스몰우드 이론(Nakamura & Smallwood's theory)을 수정한 정책모형이론에 근거하여 정책결정과 정책집행의 관점에서 국가별 추진체계모형을 분석하였다. 미국, 일본, 독일, 호주의 정책추진 모형은 정책결정과 정책집행이 모두 국가정보통신기반시설 보호 중심으로 체계화된 체계강화모형이며, 영국, 한국의 정책추진 모형은 보다 정책집행에 초점이 맞춰진 집행중심모형으로 나타났다.

• Journal of information and communication convergence engineering
• /
• 제22권2호
• /
• pp.121-126
• /
• 2024

In enterprise environments, file owners are often required to share critical files with other users, with encryption-based file delivery systems used to maintain confidentiality. However, important information might be leaked if the cryptokey used for encryption is exposed. To recover confidentiality, the file owner must then re-encrypt and redistribute the file along with its new encryption key, which requires considerable resources. To address this, we propose a key management server that minimizes the distribution of encryption keys when critical files are compromised, with unique encryption keys assigned for each registered user to access critical files. While providing the targeted functions, the server employs a level of system resources comparable to that of legacy digital rights management. Thus, when implemented in an enterprise environment, the proposed server minimizes cryptokey redistribution while maintaining accessibility to critical files in the event of an information breach.

• 정보보호학회논문지
• /
• 제21권5호
• /
• pp.197-203
• /
• 2011

개인정보보호 이슈는 더 이상 정보처리 부서의 문제가 아닌 전사적이며 비즈니스 문제로 인식하여야 제대로 해결할 수 있다. 이러한 문제 성격 때문에 개인정보보호를 위한 최고경영층의 역할 및 책임을 강조하는 거버넌스 이슈가 최근 강조되고 있다. 따라서 본 논문에서는 개인정보보호 거버넌스의 개념을 정의하고 이를 효과적으로 구현하기 위한 7가지 성공요인을 도출하였다. 도출된 핵심성공요인은 실현가능성과 중대성 측면에서 포커스 그룹 인터뷰를 통해 검증하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2000년도 가을 학술발표논문집 Vol.27 No.2 (1)
• /
• pp.486-488
• /
• 2000

본 연구는 정형기법을 사용하여 Safety-Critical System의 개발 방법론을 제시한다. Safety-Critical System의 전체적인 개발 과정을 제시하고 Safety-Critical System 중의 하나인 원자력 발전소 시스템 중 Reactor Protection System(RPS)을 정형 명세(Formal Specification)하고 정형 검증(Formal Verification)하는 과정과 그에 따른 각 과정의 Compliance를 확인하는 예를 든다. 여기서 정형 명세에는 Software Cost Reduction(SCR)이하는 도구가 사용되었고, 정형 검증에는 SPIN이, Compliance를 확인하는 데에는 Prototype Verification System(PVS)를 사용하였다.

• 한국인터넷방송통신학회논문지
• /
• 제23권3호
• /
• pp.19-26
• /
• 2023

전 세계적으로 에너지, 금융 서비스, 보건, 통신, 교통 분야의 클라우드 전환에 따라 지속적으로 클라우드제공업체에 대한 주요기반시설 지정 움직임이 확산되고 있다. 또한, 우크라이나 사태에서는 국가 주요시설의 클라우드 사용 규제 철폐와 신속한 주요 데이터에 대한 클라우드 전환으로 인해 러시아의 기반시설을 겨냥한 사이버 공격에 효율적으로 대처할 수 있었다. 한국에서는 체계적, 종합적인 정보보호 관리체계를 구현하고, 조직의 정보보호 및 개인정보보호 관리 수준 향상을 위해 ISMS-P가 기업의 정보보호 및 개인정보보호 수준 제고를 위해 운영되고 있다. 클라우드 환경을 고려한 통제항목이 수정, 추가 되어 기업의 심사에 운영되고 있다. 그러나, 클라우드의 국내외 기술적 수준이 상이하고 하이퍼스케일 규모에 대한 국내 인증심사원들의 교육을 위해서는 Microsoft같은 클라우드 공급업체의 결함사항에 대한 정보를 구하기 쉽지 않았다. 이에, 본 논문에서는 하이퍼스케일 클라우드상 에서의 결함사항을 분석하고, 하이퍼스케일환경과 ISO/IEC 27001 및 SOC 보안 국제 표준과의 정합성을 고려하여 보다 클라우드에 특화된 통제항목 개선방안을 제시하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제10권2호
• /
• pp.857-880
• /
• 2016

Due to an increasing number of cyberattacks globally, cybersecurity has become a crucial part of national security in many countries. In particular, the Digital Pearl Harbor has become a real and aggressive security threat, and is considered to be a global issue that can introduce instability to the dynamics of international security. Against this context, the cyberattacks that targeted nuclear power plants (NPPs) in the Republic of Korea triggered concerns regarding the potential effects of cyber terror on critical infrastructure protection (CIP), making it a new security threat to society. Thus, in an attempt to establish measures that strengthen CIP from a cybersecurity perspective, we perform a case study on the cyber-terror attacks that targeted the Korea Hydro & Nuclear Power Co., Ltd. In order to fully appreciate the actual effects of cyber threats on critical infrastructure (CI), and to determine the challenges faced when responding to these threats, we examine factual relationships between the cyberattacks and their responses, and we perform analyses of the characteristics of the cyberattack under consideration. Moreover, we examine the significance of the event considering international norms, while applying the Tallinn Manual. Based on our analyses, we discuss implications for the cybersecurity of CI in South Korea, after which we propose a framework for strengthening cybersecurity in order to protect CI. Then, we discuss the direction of national policies.

• ETRI Journal
• /
• 제37권2호
• /
• pp.369-379
• /
• 2015

Fault management of virtualized network environments using user-driven network provisioning systems (NPSs) is crucial for guaranteeing seamless virtual network services irrespective of physical infrastructure impairment. The network service interface (NSI) of the Open Grid Forum reflects the need for a common standard management API for the reservation and provisioning of user-driven virtual circuits (VCs) across global networks. NSI-based NPSs (that is, network service agents) can be used to compose user-driven VCs for mission-critical applications in a dynamic multi-domain. In this article, we first attempt to outline the design issues and challenges faced when attempting to provide mission-critical applications using dynamic VCs with a protection that is both user-driven and trustworthy in a dynamic multi-domain environment, to motivate work in this area of research. We also survey representative works that address inter-domain VC protection and qualitatively evaluate them and current NSI against the issues and challenges.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권10호
• /
• pp.4995-5014
• /
• 2018

As the area covered by the CPS grows wider, agencies such as public institutions and critical infrastructure are collectively measuring and evaluating information security capabilities. Currently, these methods of measuring information security are a concrete method of recommendation in related standards. However, the security controls used in these methods are lacking in connectivity, causing silo effect. In order to solve this problem, there has been an attempt to study the information security management system in terms of maturity. However, to the best of our knowledge, no research has considered the specific definitions of each level that measures organizational security maturity or specific methods and criteria for constructing such levels. This study developed an information security maturity model that can measure and manage the information security capability of critical infrastructure based on information provided by an expert critical infrastructure information protection group. The proposed model is simulated using the thermal power sector in critical infrastructure of the Republic of Korea to confirm the possibility of its application to the field and derive core security processes and goals that constitute infrastructure security maturity. The findings will be useful for future research or practical application of infrastructure ISMSs.

• 정보보호학회논문지
• /
• 제27권1호
• /
• pp.163-176
• /
• 2017

최근 주요기반시설은 기존의 폐쇄적인 환경에서 개방적인 환경으로 변화하고, 사이버공간으로 범위가 확장되면서 사이버위협의 새로운 대상이 되고 있다. 또한 정보통신기술의 발전으로 주요기반시설 간의 상호의존성이 증가하고 있다. 그러나 기존 연구는 동향조사 및 보호정책 논의 수준에 머물러, 정책의 효율적 추진을 위한 현황 진단 및 적절성 판단 등의 연구는 별도로 진행되고 있지 않다. 이에 본 연구는 기존에 국가별 사이버보안 수준을 측정하는 국제지표 3가지를 비교 분석하여 주요기반시설의 보호수준을 측정하기 위한 새로운 지표를 개발하고, 해당 지표를 통하여 미국과 일본, 영국, 독일, 노르웨이로 대표되는 주요국과 한국의 현재 주요기반시설의 보호수준을 측정한다. 이를 통하여 미래 사이버공간에서 한국의 영향력을 확대하고 국가 간 신뢰를 구축할 근거자료가 되기를 기대한다.

• 한국정보전자통신기술학회논문지
• /
• 제4권3호
• /
• pp.217-224
• /
• 2011

본 논문에서는 동적 데이터베이스 환경에서 발생할 수 있는 개인 정보 노출 문제를 해결할 수 있는 동적 데이터 보호 기법(Dynamic Data Protection Technique)을 제안하였다. 본 논문에서 제안한 DDPT은 다중 속성 일반화 알고리즘을 이용해 MAG(Multi-Attribute Generalization) 규칙을 생성하고, 그 MAG 규칙에 따라 k-anonymity를 만족하는 EC(Equivalence Class)를 생성한다. 그리고 데이터 변경 시 MAG 규칙에 따라 EC를 재구성 하도록 하여, EC의 변경으로 인한 식별 노출을 방지할 수 있다. 또한, ${\ell}$-diversity를 만족하는 EC의 정보손실 정도를 측정하고, 임계치 이하의 EC를 선정해서 데이터의 정확성을 유지함으로써 개인 정보 보호를 향상시켰다.