• 한국멀티미디어학회논문지
• /
• 제18권2호
• /
• pp.218-232
• /
• 2015

According to the development of information processing technology and mobile communication technology, the utilization of mobile banking systems is drastically increasing in banking system. In the foreseeable future, it is expected to increase rapidly the demands of mobile banking in bank systems with the prevalence of smart devices and technologies. However, the keeping 'security' is very important in banking systems that handles personal information and financial assets. But it is very difficult to improve the security of banking systems only with the vulnerabilities and faults analysis methods of information security. Hence, in this paper, we accomplish the analysis of security risk factor and security vulnerability that occur in mobile banking system. With analyzed results, we propose the information security control and management processes for assessing and improving security based on the mechanisms which composes mobile banking system.

• 융합보안논문지
• /
• 제6권4호
• /
• pp.101-112
• /
• 2006

정보통신시스템에 대한 기술적 보안만으로는 안전한 정보통신시스템 운영을 보장할 수 없다. 따라서, 안전한 정보통신시스템 운영을 위한 정보보안관리시스템(ISMS)에 대한 연구와 표준화가 활발히 전개되고 있다 우리나라는 2005년 "국가사이버안전관리규정"을 제정하고, "국가사이버안전매뉴얼"의 "보안관리 기준"에 의하여 국가 공공기관이 자체적으로 "보안관리수준 평가"를 수행토록 함으로써 체계적인 정보보안관리 활동이 이루어지도록 하고 있다. 본 논문은 관련 표준들과 호주, 미국의 보안관리 체계에 대하여 조사하고, "보안관리수준 평가" 체계를 효율적인 보안관리 측면에서 분석하고, 이를 통하여 "보안관리수준 평가"의 개선방향에 대하여 연구하였다. 기존의 체계에 추가항목(A/C ; Additional Control), 선택적 보안관리 기준(Selective Controls)구성을 도입하고 평가 준비 절차의 개선을 통하여 각 기관에 최적화된 보안관리 기준을 작성할 수 있도록 함으로써, 기관에 적합한 효율적 보안관리의 수행이 가능하고, 급변하는 정보통신 환경에 유연하게 대응할 수 있도록 하였다.

• 산업경영시스템학회지
• /
• 제39권4호
• /
• pp.97-105
• /
• 2016

As information system is getting higher and amount of information assets is increasing, skills of threatening subjects are more advanced, so that it threatens precious information assets of ours. The purpose of this study is to present a strategic direction for the types of companies seeking access to information security. The framework classifies companies into eight types so company can receive help in making decisions for the development of information security strategy depending on the type of company it belongs to. Paired comparison method survey conducted by a group of information security experts to determine the priority and the relative importance of information security management elements. The factors used in the security response strategy are the combination of the information security international certification standard ISO 27001, domestic information protection management system certification K-ISMS, and personal information security management system certification PIMS. Paired comparison method was then used to determine strategy alternative priorities for each type. Paired comparisons were conducted to select the most applicable factors among the 12 strategic factors. Paired comparison method questionnaire was conducted through e-mail and direct questionnaire survey of 18 experts who were engaged in security related tasks such as security control, architect, security consulting. This study is based on the idea that it is important not to use a consistent approach for effective implementation of information security but to change security strategy alternatives according to the type of company. The results of this study are expected to help the decision makers to produce results that will serve as the basis for companies seeking access to information security first or companies seeking to establish new information security strategies.

• 정보보호학회논문지
• /
• 제18권1호
• /
• pp.139-148
• /
• 2008

정보기술의 발전은 비즈니스 환경의 변화는 물론 대형 산업 시설의 자동화에 많은 변화를 가져왔다. 전력, 수자원, 에너지, 교통, 통신, 등은 국가의 안보와 국민 생활의 안정 그리고 국가 경제발전의 기반을 형성하는 국가의 주요 기반시설이며 이들 모두 산업제어 시스템에 의해 통제되고 있다. 또 비즈니스 환경의 변화는 조직의 모든 시스템을 통합하고 있어 경영정보시스템과 산업제어 시스템의 통합이 이루어지고 있다. 이에 따라 산업제어 시스템의 표준화와 개방형 시스템으로 전환이 이루어지고 있어 더욱 보안의 중요성이 커지고 있다. 제어시스템 보안에 대한 연구가 기술, 관리, 환경 등 다양한 분야에서 추진되고 있다. 그럼에도 제어시스템 감사에 대한 연구는 아직 미약하다. 정부는 최근 정부 및 주요 공공 시스템에 대한 정보시스템 감리를 의무화하여 안정성, 효율성, 효과성을 평가하고 있다. 또 주요정보통신기반시설에 대해서는 취약점 분석을 하고 그 개선 작업을 하도록 의무화하고 있다. 그럼에도 제어시스템에 대한 감리를 하지 않고 있고 제어시스템에 대한 보안 아키텍처나 감리 프레임워크도 준비되어 있지 않다. 본 연구는 제어시스템 감리를 위한 정보보안 아키텍처와 정보보안 감리 프레임워크를 제시하여 감리의 기반을 마련하였다.

• 디지털융복합연구
• /
• 제10권9호
• /
• pp.1-13
• /
• 2012

본 연구는 현재운용중인 국방정보통신망의 운용실태와 시스템의 구조 관리, 통신선로, 선로용 보안장비, 네트워크 및 소프트웨어의 관리, 보관중인 자료와 전송자료, 우리 군(軍)의 C4I체계에 대한 전반적인 취약점에 대해 분석을 실시하였다. 특히, 이중에서도 차후 전장에서 정보전의 핵심이 될 수 있는 육군전술지휘정보체계(C4I)에 대해 중점적으로 분석을 실시하여, 제시된 취약요소를 토대로 정보보호 적용방안을 제시하였다. 첫째, C4I 체계의 취약요소에 실질적으로 적용될 수 있는 보안운용체제, 인증제도, 바이러스 및 악성소프트웨어에 대한 대비, 가상사설망(VPN), 침입차단 탐지시스템, 방화벽 등 다양한 정보보호 요소기술을 제시함으로써 네트워크, 하드웨어(컴퓨터보안), 통신측면(통신보안)에서 강구될 수 있는 방안을 마련하였다. 둘째, 최근 사회적으로 이슈가 되고 있는 해커전에 대비하기 위해 해킹수법의 분석을 통한 위협을 살펴봄으로써 육군전술지휘정보망에 대한 대응책을 수립할 수 있도록 방안을 제시하였음. 셋째, 합리적인 국방정보보호체계를 구축하기 위해서 정보보호 관련된 제도 및 규정, 조직의 정비와 보완 등 여러 가지 선행되어야 할 요인들을 제시함으로써 효율성 높은 국방정보보호 체계를 구축할 수 있는 기반을 마련하였다. 본 연구의 결과를 바탕으로 얻어진 결론을 제시하면 성공적인 정보보호체계의 구축을 위해서는, 여러 기종의 다양한 보안시스템을 통하여 침입행위를 실시간으로 탐지하고 신속한 대응을 수행하며 침입관련 정보를 수집 분석하여 적절한 구성정보를 유지하여 주는 효율적인 '통합보안시스템'의 구성 운영이 필수적임을 강조한다.

• 정보보호학회논문지
• /
• 제22권1호
• /
• pp.155-167
• /
• 2012

클라우드 컴퓨팅 서비스는 이용자 요구에 실시간으로 유연하게 컴퓨팅 자원을 제공하고 사용량만큼 과금하는 고효율의 차세대 IT 서비스이다. 그러나 이용자는 데이터를 '위탁'하고, 인프라, 플랫폼, 어플리케이션 서비스를 '제공'받는 '위탁/제공'의 서비스 구조와 적용기술, 자원공유, 데이터센터 위치 등으로부터 비롯된 많은 위협에 직면해 있다. 클라우드 서비스 도입의 가장 큰 걸림돌로 작용하는 보안과 신뢰성을 담보하기 위해서는 객관적인 평가 기준이 필요하다. 지금까지 정보보호관리체계는 조직의 보안관리 및 IT 운영의 보안 지표로 활용되어 왔다. 그러나 클라우드 컴퓨팅 서비스는 기존의 조직 내 IT 환경과는 다른 관점의 보안관리와 평가기준이 필요하다. 본 논문에서는 클라우드 특성에 맞는 정보보호관리체계를 설계하기 위하여 클라우드 서비스의 핵심요소를 위협관리영역으로부터 도출하고 기본적인 보안관리가 누락되지 않도록 기존 정보보호관리체계의 모든 통제영역을 포함하고 있다. 또 온라인 셀프환경에 따른 서비스 이용을 지원하고 서비스 계약, 제공자 사업현황을 포함하는 서비스 보안관리를 추가하여 설계한다.

• 정보보호학회논문지
• /
• 제26권6호
• /
• pp.1605-1618
• /
• 2016

최근 몇 년 동안 금융회사(은행, 증권사, 신용카드사, 보험사 등)를 대상으로 한 개인정보 유출, 홈페이지 해킹, 분산 서비스거부공격(DDoS) 등 보안사고가 꾸준히 증가하고 있다. 본 논문에서는 현행 전자금융기반시설의 정보보호 관리수준의 문제점을 법적 준거성과 정보보호 인증제도 관점에서 분석하고 금융 분야 특성에 적합한 종합적인 관리체계 하에서 높은 수준의 정보보호 활동이 지속 가능하도록 정보보호관리체계, 정보보호 준비도 평가 및 주요정보통신기반시설 취약점 분석 평가 제도를 활용한 개선방안을 제시하고자 한다.

• 융합보안논문지
• /
• 제11권4호
• /
• pp.77-83
• /
• 2011

의료정보 기술의 빠른 발전과 더불어 새로운 의료정보 서비스 개발에 대한 연구가 많이 진행되고 있다. 의료서비스를 향상시켜 환자들에게 많은 도움을 주는 방법이다. 하지만 정보보안에 대해 대비없이 기술만 발전한다면 의료서비스 체계에 위험과 위협의 요소를 만드는 것이다. 오늘날 현안과제인 공중망을 통한 안정적인 접근문제, Ad hoc을 이용한 센서네트워크 보안, 비통합 의료정보 체계의 보안취약성과 같은 보안의 취약성을 해결하지 않을채 의료정보시스템은 발전과 활용에 큰 제한을 받게 된다.. 서로 다른 보안 정책을 가진 의료정보시스템 환경에서 보안정책이 출동할 경우 해결할수 있는 매커니즘이 필요하다. context-aware와 융통성있는 정책을 통해 의료정보의 통합성과 비밀성이 보장되어야 한다. 다른 도메인간 원거리 통신시 접근제어 정책이 보호 되어야 한다. 본 논문에서는 의료정보시스템의 접속자가 다양화, 다변화 되는 환경에서 Security agent 역할 기반의 보안시스템 아키텍쳐 설계방안을 제안한다. 제안된 시스템아키텍쳐는 현장에서 설계작업에서 하나의 모델로 활용이 가능할 것으로 기대한다.

• 한국통신학회논문지
• /
• 제30권8B호
• /
• pp.525-534
• /
• 2005

본 논문에서는 정책 기반의 네트워크 관리 구조를 확장하여, 보안 네트워크의 구성의 자동화를 지원할 수 있는 보안 네트워크 관리 구조와 방법을 제안한다. 제안하는 구조 및 방법은 보안 관리 서버가 보안 시스템의 역할과 능력 그리고 보안 정책의 역할과 시간 정보를 기반으로 하여 보안 시스템이 필요로 하는 최적의 보안 정책을 자동 결정하고 보안 정책 룰을 가장 효과적이고 효율적으로 실행할 수 있는 보안 시스템을 자동 결정할 수 있게 한다 본 논문에서는 기존의 네트워크 시스템과 보안 시스템을 통합 제어할 수 있는 SNMP 프로토콜기반의 보안 네트워크 토폴러지 맵 자동 생성기도 제안한다. 본 논문에서 제안된 구조와 방법의 우수성을 보여주기 위하여 공격에 대한 자동 대응 기능을 시뮬레이션하고 그 성능을 평가한다.

• 디지털산업정보학회논문지
• /
• 제12권3호
• /
• pp.133-155
• /
• 2016

Recently, in the adoption of cloud computing are emerging as locations are key requirements of security and privacy, at home and abroad, several organizations recognize the importance of privacy in cloud computing environments and research-based transcription and systematic approach in progress have. The purpose of this study was to recognize the importance of privacy in the cloud computing environment based on personal information security methodology to the security of cloud computing, cloud computing, users must be verified, empirical research on the improvement plan. Therefore, for existing users of enhanced security in cloud computing security consisted framework of existing cloud computing environments. Personal information protection management system: This is important to strengthen security for existing users of cloud computing security through a variety of personal information security methodology and lead to positive word-of-mouth to create and foster the cloud industry ubiquitous expression, working environments.