• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권10호
• /
• pp.445-460
• /
• 2013

최근 증가하는 모바일 어플리케이션은 다양한 모바일 기기 및 사용자 별 모바일 환경에 따라 다양하게 서비스 되고 있다. 그러나 늘어나는 모바일 어플리케이션의 보안 취약성 문제점도 크게 대두되고 있는 실정이다. 이러한 보안 문제점을 효과적으로 검증하기 위해 본 논문에서는 "모바일 앱 구현 단계별 보안성 검증 방안"을 제안하고자 한다. 이는 기존 검증 방안 보다 더욱 구체적인 항목과 넓은 범위를 확인 할 수 있어 확인 되지 않았던 추가적인 항목에 대한 보안성 체크가 가능하며, 도출된 취약점을 바탕으로 해당 취약사항의 원인 및 발생환경 체크가 가능한 개선된 방법이다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권8호
• /
• pp.197-210
• /
• 2016

최근 스마트폰 사용의 증가 및 사물인터넷 시대에 다양한 기기들이 무선 통신을 지원한다. 이에 따라 기존 기지국의 포화 상태를 막기 위한 기술로 일종의 소형 기지국인 펨토셀(Femtocell)을 보급하고 있다. 그러나 해킹 기술의 발전에 따라 펨토셀의 본래 목적과는 다르게, 관리자 권한 획득과 같은 취약점들이 발견되고 이를 통하여 펨토셀 사용자에 대한 개인정보 노출과 같은 심각한 문제가 발생할 수 있다. 따라서 펨토셀에서 발생할 수 있는 보안위협을 식별하고 체계적인 취약점 분석을 위한 방안이 필요하다. 본 논문에서는 위협 모델링(Threat Modeling) 기법을 이용하여 펨토셀에 발생할 수 있는 보안위협을 분석하고 취약점 점검을 위한 체크리스트를 도출한다. 그리고 도출한 체크리스트를 이용하여 실제 취약점 분석을 한 결과를 다루어 펨토셀의 위협과 취약점에 대한 분석 및 사례 연구를 통해 펨토셀의 보안성을 향상시킬 수 있는 방안을 제안한다.

• 정보처리학회논문지D
• /
• 제11D권4호
• /
• pp.917-928
• /
• 2004

국제 공통평가기준으로서 IS0/IEC 15408인 CC는 국내ㆍ외에서 정보보호제품에 대한 평가 체계로 사용되고 있다. 공통평가기준의 보증요구 사항에서 중요 핵심 보증클래스 중 하나인 형상관리 클래스는 TOE 제품 개발자들이 제품의 품질을 보장하기 위한 잘 정의된 절차 및 규격의 제공이 필요하다. 본 논문은 프로세스 차원에서 CC를 기반으로한 정보보호제품의 형상관리 방법론을 연구하였으며 이에 대한 명확한 품질 활동을 정의하고 형상관리 프로세스 평가를 정량적으로 수행할 수 있는 체크리스트 기반의 지원 도구인 CMPET를 개발한다. 이를 통하여 프로세스 수행활동에 대한 유용한 분석자료가 제품 개발자, 평가자 및 사용자에게 제공되어 품질활동을 개선할 수 있다.

• 디지털융복합연구
• /
• 제12권8호
• /
• pp.113-127
• /
• 2014

모바일 기기의 사용은 개인 및 기업에게 다양한 편의를 제공해 주고 있다. 반면에 모바일 서비스를 위한 환경 구축으로 IT인프라에 존재하는 보안 위협과 새로운 모바일에 대한 보안 위협이 동시에 존재하고 있다. 모바일 환경에 대한 보안 위협을 최소화하기 위해 MDM(Mobile Device Management) 등의 관리 서비스와 모바일 백신 등의 서비스가 큰 관심을 받고 있다. 이러한 솔루션은 모바일 어플리케이션 자체 취약성의 위협으로부터 모바일 서비스를 위해 개발된 어플리케이션을 보호해 주지 못하는 것이 현실이다. 이로 인해 본 논문에서는 모바일 서비스 환경에서 발생할 수 있는 보안 사고를 예방하기 위해 어플리케이션 보안성 검토 항목을 기반으로 모바일 어플리케이션 보안 점검항목을 제시하였다. 이를 통하여 모바일 어플리케이션 개발에 대한 보안성을 향상시키고자 한다. 제시한 점검항목의 실효성 검증을 위하여 실제 안드로이드 기반 어플리케이션을 수집 및 분석하고 어플리케이션에 대한 전수검사를 실시하였고, 점검항목에 대해 전문가의 설문 조사를 통해 적합성을 검증하였다.

• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1267-1276
• /
• 2013

클라우드 컴퓨팅 서비스를 이용하는 클라우드 소비자는 사용자의 개인정보에 대한 처리를 위탁받은 클라우드 제공자의 법적 준거성을 검토 및 감독해야 하는 의무를 갖는다. 본 논문에서는 국내 개인정보보호법의 위탁 시 준수사항을 토대로 클라우드 및 개인정보 관련 국제 표준과 국내 인증 제도를 분석하여 클라우드 개인정보 위탁이 가능한 시나리오를 제시하고 클라우드 환경에서 개인정보 위탁자에 해당하는 클라우드 소비자와 개인정보 수탁자에 해당하는 클라우드 제공자 간의 위탁 관리를 위한 개인정보보호 관리체계 통제를 제안하였다. 본 논문의 클라우드 개인정보 위탁 통제항목은 클라우드 제공자에게 개인정보의 처리를 위탁하고자 하는 조직에서 개인정보보호법을 준수하기 위한 지침을 개발하거나 개인정보보호 관리체계 인증에서 위탁 관리를 점검하기 위한 기준의 개발에 활용이 가능하다.

• 예술인문사회 융합 멀티미디어 논문지
• /
• 제8권2호
• /
• pp.1-11
• /
• 2018

최근 ICT와 함께 IoT, 클라우드, 인공지능 등의 신기술들이 정보화 사회를 폭발적으로 변화 시키고 있다. 그러나 APT(Advanced Persistent Threat), 악성 코드, 랜섬웨어 등 최신 위협과 개인정보 처리 위탁 업무 확대로 수탁사 관련 개인정보 유출 사고도 더욱 더 증가하고 있다. 따라서 수탁사 보안 강화를 위해 본 연구는 위수탁 개요 및 특징, 보안 표준 관리 체계, 선행 연구들을 현황 분석하여 점검 항목을 도출하였다. 그리고 수탁관련 정보통신망법, 개인정보보호법 등의 법률들을 분석 매핑한 후 최종 수탁사 개인정보 보호 관리 수준 점검 항목들을 도출하고 이를 토대로 AHP 모형에 적용하여, 점검 항목간 상대적 중요도를 확인하였다. 실증 분석 결과 내부관리체계 수립, 개인정보 암호화, 생명주기, 접근 권한 관리 등의 순으로 중요도 우선 순위가 나타났다. 본 연구의 의의는 수탁사 개인정보 취급시 요구되는 점검 항목을 도출하고 연구 모형을 실증함으로써 고객 정보 유출 위험 감소 및 수탁사의 개인정보 보호 관리 수준을 향상시킬 수 있으며, 점검 항목의 상대적 중요도를 고려하여 점검 활동을 수행한다면 투입 시간 및 비용에 대한 효과성을 높일 수 있을 것이다.

• 인터넷정보학회논문지
• /
• 제23권1호
• /
• pp.49-68
• /
• 2022

해운 선사의 운영시스템은 주전산기를 이용한 단말기 접속 환경 또는 클라이언트/서버 구조의 환경을 유지하고 있는 경우가 아직 많으며, 웹서버 및 웹 애플리케이션 서버를 이용한 웹 기반 환경으로의 전환을 고려하는 해운 선사가 증가하고 있다. 그런데 전환 과정에서, 기존 구성 방식과 지식을 바탕으로 웹 기반 환경의 특성 및 해운 업무의 특성을 고려하지 않고 설계를 진행하는 경우, 다양한 보안상 취약점이 실제 시스템 운영 단계에서 드러나게 되고, 이는 시스템 유지보수 비용의 증가를 초래하게 된다. 그러므로 웹 기반 환경으로의 전환 시에는, 시스템 안전성 확보 및 보안 관련 유지보수 비용 절감을 위해 설계 단계에서부터 반드시 보안을 고려한 설계가 진행되어야 한다. 본 논문에서는 다양한 위협 모델링 기법의 특성을 살펴보고, 해운 선사 운영시스템에 적합한 모델링 기법을 선정한 후, 데이터 흐름도와 STRIDE 위협 모델링 기법을 해운 선사 업무에 적용하여, 데이터 흐름도의 각 구성 요소에서 발생 가능한 보안 위협을 공격자 관점에서 도출하고, 공격 라이브러리 항목과의 매핑을 통해 도출된 위협의 타당성을 입증한다. 그리고, 이를 이용하여 공격자가 최종목표 달성을 위해 시도할 수 있는 다양한 공격 시나리오를 공격 트리로 나타내고, 보안 점검 사항과 관련 위협 및 보안 요구사항을 체크리스트로 구성한 후, 최종적으로 도출된 위협에 대응할 수 있는 23개의 보안 요구사항을 제시한다. 기존의 일반적인 보안 요구사항과는 달리, 본 논문에서 제시하는 보안 요구사항은 해운 선사의 실제 업무를 분석한 후, 여기에 위협 모델링 기법을 적용하여 도출된 해운 업무 특성을 반영한 보안 요구사항이므로, 추후 웹 기반 환경으로의 전환을 추진하는 해운 선사들의 보안 설계에 많은 도움이 될 것으로 생각한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제17권2호
• /
• pp.626-643
• /
• 2023

As mobile forensics has emerged as an essential technique, the demand for technology development, education and training is increasing, wherein images are used. Academic societies in South Korea and national institutions in the US and the UK are leading the Mobile Forensic Image development. However, compared with disks, images developed in a mobile environment are few cases and have less active research, causing a waste of time, money, and manpower. Mobile Forensic Images are also difficult to trust owing to insufficient verification processes. Additionally, in South Korea, there are legal issues involving the Telecommunications Business Act and the Act on the Protection and Use of Location Information. Therefore, in this study, we requested a review of a standard model for the development of Mobile Forensic Image from experts and designed an 11-step development model. The steps of the model are as follows: a. setting of design directions, b. scenario design, c. selection of analysis techniques, d. review of legal issues, e. creation of virtual information, f. configuring system settings, g. performing imaging as per scenarios, h. Developing a checklist, i. internal verification, j. external verification, and k. confirmation of validity. Finally, we identified the differences between the mobile and disk environments and discussed the institutional efforts of South Korea. This study will also provide a guideline for the development of professional quality verification and proficiency tests as well as technology and talent-nurturing tools. We propose a method that can be used as a guide to secure pan-national trust in forensic examiners and tools. We expect this study to strengthen the mobile forensics capabilities of forensic examiners and researchers. This research will be used for the verification and evaluation of individuals and institutions, contributing to national security, eventually.

• 한국안전학회지
• /
• 제25권6호
• /
• pp.169-179
• /
• 2010

The aim of this study was to investigate occupational and individual risk factors and working conditions in relation to musculoskeletal symptoms in street cleaners. Investigation was conducted through a survey of 395 male street cleaners employed by the government office in Seoul, Gyeonggi and Chung-Nam from July to August of 2009. The control group was comprised of 143 male drivers and security guards. Risk factors for musculoskeletal symptoms in street cleaners were investigated by multiple logistic regression analysis and also evaluated ergonomic risk factors by assessing working conditions of 4 street cleaners. As a result of symptom questionnaires, all of the prevalent rates of musculoskeletal symptoms in street cleaners had significantly higher results than those of the control group(p<0.05). On binary logistic regression analysis of musculoskeletal symptoms, street cleaners showed significant higher odds ratio as 18.84(95%CI: 6.56-54.12) in the arm/elbow, 10.49(95%CI: 4.29-25.65) in the hand/wrist compared to the control group. Both absence of rest breaks and exposure to ergonomic risk factors showed to be important internal risk factors of musculoskeletal symptoms among street cleaners. The exposure levels of QEC(Quick exposures checklist) in street cleaners were revealed to be higher on the shoulder/arm, wrist/hand, and neck than back, or from stress. The findings appear to show that street cleaners were high-risk group of work-related musculoskeletal disorders. Therefore street cleaners require a holistic interventional strategy, including adequate arrangement of rest breaks, improvement of working tools and control of individual risk factors such as obesity and smoking.

• 한국재난정보학회 논문집
• /
• 제14권3호
• /
• pp.334-342
• /
• 2018

연구목적: 이 연구는 현재 국가에서 시행하고 있는 국가안전대진단의 문제점을 살펴보고 개선하여 각종 재난에 대응하는 시스템을 개선하기 위한 목적을 가진 연구이다. 연구방법: 연구의 완성을 위하여 국가안전대진단과 관련된 자료를 이용하여 이론적 배경을 구성하였고, 공개되어 있는 국가안전대진단 관련 통계자료 등을 이용하여 문제점을 파악하고 개선방안을 제시하였다. 연구결과: 국가안전대진단은 일상생활 속에 방치되어 있는 각종 재난발생 위험요소들을 제거하기 위하여 2015년부터 중앙정부와, 지방자치단체, 시민들이 협력하여 생활주변의 위험 요소에 대하여 대규모 전수조사를 실시하여 위험요소를 사전에 제거함으로써 대규모 재난을 예방하는데 긍정적인 영향을 끼쳤다. 그러나 타 기관과의 협력문제, 시민들의 신분적 역할의 한계, 보여주기식의 점검으로 인한 비효율적인 활동 등이 문제로 지적되고 있다. 결론: 이 연구에서는 재난안전 관련 기관과의 소통활동 강화, 민간인의 유형별 참여로 인한 효율성 강화, 국가안전대전단에서 사용되는 체크리스트의 현실화로 인한 효율적 활동 등을 제안하였다.