• Journal of Information Processing Systems
• /
• 제15권3호
• /
• pp.538-549
• /
• 2019

Cloud computing is the concept of providing information technology services on the Internet, such as software, hardware, networking, and storage. These services can be accessed anywhere at any time on a pay-per-use basis. However, storing data on servers is a challenging aspect of cloud computing. This paper utilizes cryptography and access control to ensure the confidentiality, integrity, and proper control of access to sensitive data. We propose a model that can protect data in cloud computing. Our model is designed by using an enhanced RSA encryption algorithm and a combination of role-based access control model with extensible access control markup language (XACML) to facilitate security and allow data access. This paper proposes a model that uses cryptography concepts to store data in cloud computing and allows data access through the access control model with minimum time and cost for encryption and decryption.

• 한국통신학회논문지
• /
• 제30권3C호
• /
• pp.167-175
• /
• 2005

최근 프라이버시 적용이 IT분야의 가장 중요한 문제의 하나로 대두되고 있다. 프라이버시 보호는 조직의 데이터 처리 시스템에 프라이버시 정책을 적용함으로써 달성될 수 있다. 전통적인 보안 모델은 목적 결합(purpose binding)과 같은 프라이버시의 기본적인 요구사항을 적용하기에 부적절하다. 본 논문은 기존의 보안모델에 통합하여 쉽게 적용할 수 있는 프라이버시 제어 모델을 제안한다. 이를 위하여 기존의 보안모델로 RBAC과 도메인-타입을 적용하여 문맥기반 접근제어를 제공하는 하나의 확장된 역할기반 접근제어 모델이 사용되었고, 프라이버시 제어 모델에서는 프라이버시 선호로 표현되는 목적 결합을 적용하기위해 GRBAC이 사용되었다. 또 이 모델의 응용을 위하여 작은 병원 모델이 고려되었다.

• 한국콘텐츠학회논문지
• /
• 제19권1호
• /
• pp.108-116
• /
• 2019

본 논문에서는 인공지능기술을 통합보안관제 기술에 효율적으로 적용하는 방안을 제안하였다. 즉, 통합보안관제시스템에 수집된 빅 데이터를 기반으로 머신러닝 학습을 인공지능에 적용하여 사이버공격을 탐지하도록 하고 적절한 대응을 한다. 기술의 발달에 따라서 늘어나는 보안장비와 보안 프로그램들로부터 쌓이는 수많은 대용량의 로그들을 사람이 일일이 분석하기에는 한계에 부딪히고 있다. 분석방법 또한 한 가지 로그가 아닌 여러 가지 이기종간의 보안장비의 로그까지 서로 상관분석을 해야 하기 때문에 더욱 더 통합보안관제에 적용되어서 신속한 분석이 이루어져야 하겠다. 이런 행위를 분석하고 대응하는 과정들이 효과적인 학습방법을 통해서 점진적으로 진화를 거쳐 성숙해가는 인공지능기반 통합보안관제 서비스모델을 새롭게 제안하였다. 제안된 모델에서 예상되는 핵심적인 문제점들에 대한 해결방안을 모색하였다. 그리고 정상 행위 기반의 학습모델을 개발하여 식별되지 않는 비 정상행위 위협에 대응력을 강화하는 학습방법을 도출하였다. 또한, 제안된 보안 서비스모델을 통하여 보안담당자들의 분석과 대응을 효율적으로 지원할 수 있는 보안관제에 대한 향후 연구방향을 제시하였다.

• 한국정보시스템학회지:정보시스템연구
• /
• 제19권3호
• /
• pp.1-12
• /
• 2010

Personality is comprehensive nature of the mood and attitude of people, most clearly revealed in the interaction with other people. This study is a analysis on personality type to information system security and control from financial institute employee. Based on 'The Big Five' personality model, this study develops hypothetical causal relationships of potential organization member's personality and their information system security and control. Research hypotheses are empirically tested with data collected from 901 employees. Results show that employees of high level security mind are the owner of conscientious and emotional stable personality and the employees of high level control mind are the owner of agreeable and emotional stable personality. Therefore the owner of agreeable and stable personality is higher security and control than others.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 추계학술대회
• /
• pp.452-454
• /
• 2021

현재 보안관제 시장은 AI기술을 기반으로 하여 운영 중이다. AI를 사용하는 이유는 보안장비간 대량으로 발생하는 로그와 빅데이터에 대해 이를 탐지하기 위해 사용하고, 시간적인 문제와 인적인 문제를 완화하기 위해서 이다. 하지만 AI를 적용함에도 문제는 여전히 발생하고 있는 중이다. 보안관제 시장은 이 논문에서 소개하는 문제점 말고도 많은 문제점과 대응하고 있으며, 본 논문은 다섯 가지의 문제점을 다루고자 한다. 'AI 모델 선정', 'AI 표준화 문제', '빅데이터의 정확성 및 신뢰성', '책임소재의 문제', 'AI의 타당성 부족' 등 보안관제 환경에 AI기술을 적용함에도 발생하는 문제점을 고찰하고자 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권2호
• /
• pp.580-599
• /
• 2021

Software-Defined Networking (SDN) has three key features: separation of control and forwarding, centralized control, and network programmability. While improving network management flexibility, SDN has many security issues. This paper systemizes the security threats of SDN using spoofing, tampering, repudiation, information disclosure, denial of service, and elevation of privilege (STRIDE) model to understand the current security status of SDN. First, we introduce the network architecture and data flow of SDN. Second, we analyze security threats of the six types given in the STRIDE model, aiming to reveal the vulnerability mechanisms and assess the attack surface. Then, we briefly describe the corresponding defense technologies. Finally, we summarize the work of this paper and discuss the trends of SDN security research.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1293-1308
• /
• 2014

2014년 카드사 개인정보유출 사고의 원인은 테스트시스템에서 원본 데이터가 사용되었기 때문이다. 금융감독원 전자금융감독규정과 금융회사 정보기술(IT)부문의 정보보호업무 모범규준에는 테스트시스템에서 고객을 식별하는 정보는 변환하여 사용하도록 규정하고 있다. 금융회사는 이 지침에 따라 고객식별정보를 변환한 데이터를 테스트시스템에 적재하여 사용한다. 하지만, 테스트 과정에서의 사용자 실수 또는 기술적, 관리적 보안의 미비 등으로 의도치 않게 실제 개인식별정보가 유입될 수 있으나, 이를 통제 및 관리하는 프로세스는 현재 연구된 바가 없고, 감독기관의 컴플라이언스 위반 가능성을 높이는 원인이 되고 있다. 본 논문에서는 이러한 테스트시스템의 변환 미확인 고객식별정보를 관리 및 통제함으로써 감독기관의 컴플라이언스 위반 가능성을 없애는 프로세스를 제시 및 실증하고, 그 효과성을 확인해 본다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 추계학술대회
• /
• pp.443-444
• /
• 2021

정보 서비스에 대한 보안 위협은 갈수록 그 방법이 발전하고 있으며, 보안 위협으로 발생된 빈도와 피해도 증가하고 있다. 특히 조직 내부에서 발생하는 보안 위협이 크게 증가하고 있으며, 그 피해 규모도 크다. 이러한 보안 환경을 개선할 수 있는 방법으로 제로 트러스트 모델이 제안되었다. 제로 트러스트 모델은, 정보 자원에 접근하는 주체를 악의적 공격자로 간주한다. 주체는 식별 및 인증 과정을 통해 검증 후에 정보 자원에 접근할 수 있다. 그러나 초기 제안된 제로 트러스트 모델은 기본적으로 네트워크에 집중하고 있어, 시스템이나 데이터에 대한 보안 환경은 고려하지 않고 있다. 본 연구에서는 기존의 제로 트러스트 모델을 파일 시스템으로 확장한 제로 트러스트 기반 접근통제 메커니즘을 제안하였다. 연구 결과, 제안된 파일 접근통제 메커니즘은 제로 트러스트 모델 구현을 위해 적용될 수 있는 것으로 확인되었다.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.175-185
• /
• 2019

보안관제는 여러 정보를 수집하고 그 정보를 분석하는 과정에서 유효한 결과 값을 도출함으로써 사이버 침해로부터 IT시스템을 지켜내는 것이다. 현재 보안관제는 단편적인 정보만을 가지고 사이버 위협 정보를 분석하는 것에서 벗어나, 많은 데이터를 바탕으로 체계적이고 종합적인 관점의 분석을 가능케 하는 SIEM(Security Information Event Management) 장비 사용으로 매우 효과적으로 수행하고 있다. 하지만, 이런 보안관제도 보안 인력의 수작업으로 사이버 공격을 분석하여 대응하고 있다. 따라서 뛰어난 보안장비가 있더라도, 사용자에 따라 결과가 달라질 수 있게 된다. 본 연구는 정보제공을 포함하면서도 특성 있는 웹 서비스를 운영하는 사이트인 경우, 특성 정보 분석을 통해 보안 관제의 기준점을 제시하고, 이를 바탕으로 단계적인 분석과 효과적인 필터링이 가능한 유형 발굴 및 적용을 통해 집중 보안관제할 수 있는 모델을 제안한다. 이 모델을 사용한다면 효과적으로 공격을 탐지하고, 분석 및 차단 방안을 마련할 수 있을 것이다.

• 한국정보시스템학회지:정보시스템연구
• /
• 제24권3호
• /
• pp.1-19
• /
• 2015

Purpose This study discusses the contradictory behavior of smart-phone users who consider security is important, but they do not follow the security recommendations. We found through literature research that this contradictory behavior is resulted from a low level of efficacy. Design/methodology/approach Research hypotheses were set based on Extended Parallel Process Model, Control Theory, and Self Efficacy Mechanism. The data were collected from undergraduate students. Total of 178 data were used for the analysis. Findings Results of the analysis, first, showed that the relationship between threat and security attitude varies with the level of coping efficacy. Second, showed that the relationship between threat and fear does not vary with the level of coping efficacy. Both the groups with high coping efficacy and low coping efficacy had a statistically significant effect on the relationship between threat and fear.