• 한국컴퓨터정보학회논문지
• /
• 제17권12호
• /
• pp.159-167
• /
• 2012

공개키 기반(public key infrastructure)의 인증체계는 서비스 제공자와 사용자 모두에게 인증성과 보안성, 접근성, 경제성, 편의성을 제공으로 국내의 공공 및 민간 기업들은 웹 서비스의 인증방안으로 널리 사용되고 있다. 그러나 공개키 기반의 인증체계의 사용에 따른 여러 보안 취약 요인들이 나타나면서, 클라이언트 시스템의 안전성은 위협을 받고 있다. 따라서 본 논문은 공개키를 기반으로 하는 인증체계에 따른 취약 요인들을 사례연구 및 실험을 통해 분석함으로써, 향후 새로운 인증체계의 구축 및 성능향상을 위한 자료로 활용될 것으로 기대한다.

• 한국융합학회논문지
• /
• 제9권4호
• /
• pp.57-63
• /
• 2018

IoT 장치는 클라우드 환경에서 다양한 역할과 기능을 수행할 수 있도록 여러 분야에서 사용되고 있다. 그러나, IoT 장치를 안정적으로 제어할 수 있는 접근제어에 대한 방안은 아직 구체적으로 제시되고 있지 않은 상황이다. 본 논문에서는 클라우드 환경에서 사용되고 있는 IoT 장치의 안정적인 접근을 수행할 수 있는 계층적 기반의 다단계 속성 접근제어 기법을 제안한다. 제안 방법은 IoT 장치의 원활한 접근을 돕기 위해서 IoT Hub을 두어 IoT 장치에 고유한 ID 키(보안 토큰)를 제공할 뿐만 아니라 수 있도록 하는 X.509 인증서 및 개인 키를 IoT Hub에서 인증하도록 하여 IoT 장치의 개인키를 IoT 장치 외부에서 알 수 없도록 하였다. 성능평가 결과, 제안방법은 기존 기법보다 인증 정확도가 평균 10.5% 향상되었으며 처리 시간도 14.3% 낮은 결과를 얻었다. IoT 속성 수에 따른 IoT Hub의 오버헤드는 기존 기법보다 9.1% 낮은 결과를 얻었다.

• 정보보호학회논문지
• /
• 제23권3호
• /
• pp.479-490
• /
• 2013

최근 삼성 갤럭시 노트 및 갤럭시 탭 10.1 등 안드로이드 기반 상용 모바일 단말을 대상으로 정상 어플리케이션인 것처럼 오픈 마켓에 배포된 악성 어플리케이션에 의한 공격들이 급증하고 있다. 공격자는 정상적인 어플리케이션에 악성코드를 삽입하여 상용 모바일 단말에 대한 루팅(Rooting) 공격을 수행한 후, 단말 내 저장된 사용자의 SMS, 전화번호부 등 개인정보와 공인인증서 등과 같은 금융정보를 외부 서버로 유출시키는 공격을 수행하게 된다. 따라서 상용 모바일 단말에 대한 악성코드 감염 여부를 판별하고 루팅 공격을 탐지 및 대응하기 위한 기법이 필요하다. 이에 본 논문에서는 안드로이드 기반 상용 모바일 단말에 대한 루팅 공격 기법에 대해 분석하고 이를 토대로 모니터링 데몬(Daemon)을 이용하여 상용 단말 내 공격 이벤트를 추출 및 수집하여 악성 어플리케이션으로 인한 공격에 능동적으로 대응하는 기법을 제시하였다.

• 인터넷정보학회논문지
• /
• 제14권3호
• /
• pp.35-46
• /
• 2013

모바일 단말 환경이 활성화되면서 안드로이드 플랫폼을 탑재한 상용 모바일 단말이 널리 보급되고 있다. 최근 안드로이드 기반 모바일 단말에서 보안 취약성이 발견되면서 악성 어플리케이션을 통한 공격이 급증하고 있다. 대부분의 악성 어플리케이션은 오픈 마켓 또는 인터넷을 통해 배포되며 어플리케이션 내에 악성코드가 삽입되어 있어 단말 사용자의 SMS, 전화번호부, 공인인증서 등 개인정보와 금융정보 등을 외부 서버로 유출시키는 공격을 시도한다. 이에 따라 상용 모바일 단말에 대한 보안 취약점 분석과 그에 따른 능동적인 대응 방안이 필요하다. 이에 본 연구에서는 최근 급증하는 악성 앱에 의한 피해를 최소화하기 위해 다수의 모바일 단말서 발생하는 이벤트 수집을 통해 모바일 단말 내에서 실행되는 악성 어플리케이션에 의한 공격을 탐지하는 시스템을 설계 및 구현하였다.

• 정보보호학회논문지
• /
• 제27권6호
• /
• pp.1281-1293
• /
• 2017

2001년 Boneh와 Franklin이 제안한 ID 기반 암호는 기존 공개키 기반 구조(PKI)와 달리 사용자의 ID를 공개키로 사용하기 때문에 공개키 검증을 위한 인증서가 필요하지 않다. 하지만 ID 기반 암호는 키 생성 기관(PKG)이 사용자의 비밀키를 직접 발급하기 때문에 키 위탁 문제가 발생한다. 또한, 한 번 발급받은 비밀키는 유효성이 지속되기 때문에 키 유출 등으로 인한 비밀키 폐기를 효율적으로 진행하기 어려운 문제가 있다. 본 논문에서는 키 위탁 문제를 완화하는 책임 기관 ID 기반 암호(A-IBE)와 사용자 폐기를 지원하는 ID 기반 암호(RIBE)를 기반으로 두 가지 문제를 모두 해결하는 사용자 폐기를 지원하는 책임 기관 ID 기반 암호(A-RIBE)를 제안한다. 또한 A-RIBE에 적합한 안전성 모델을 새롭게 정의하고, 기반하는 A-IBE와 RIBE에 따른 A-RIBE의 설계원리와 그 장 단점을 분석한다.

• 융합보안논문지
• /
• 제15권5호
• /
• pp.3-8
• /
• 2015

모바일 클라우드 컴퓨팅 시스템은 일반적으로 데이터 보호와 상호 인증을 위하여 공개키 암호화 기법을 사용하고 있는데 최근 전통적인 공개키 암호화 기술의 변형인 ID-기반 암호화(IBC)가 주목받고 있다. IBC의 증명서-무통제 접근은 클라우드 환경의 동적인 성격에 더 적합하지만, 모바일 장치에 대하여 처리 오버헤드를 최소화하는 보안 프레임워크가 필요하다. 본 논문에서는 모바일 클라우드 컴퓨팅에서의 계층적 ID-기반 암호화(HIBE)의 사용을 제안한다. HIBE는 사용자 인증과 개인키 생성 등의 권한을 위임하여 최상위 공개키 생성기의 업무량을 감소시킬 수 있으므로 모바일 네트워크에 적합하다. 모바일 클라우드 시스템에서 ID-기반 인증과 ID-기반 신분확인 기법을 제안하고, 또한 안전한 데이터처리를 위한 ID-기반 인증 스킴에 대하여 기술하였다. 제안된 스킴은 단방향 해쉬 함수와 XOR 연산으로 설계하여 모바일 사용자를 위한 저 계산 비용을 갖는다.

• 융합보안논문지
• /
• 제19권1호
• /
• pp.79-86
• /
• 2019

창직(창직업)이란 작은 의미에서는 자격증을 만들어 직업을 개발하는 것이며, 큰 의미에서는 정부 차원에서 신산업을 조성하고 이에 필요한 직업을 개발하는 활동을 의미한다. 이에 창직 사례로 공인민간자격인 산업보안관리사(ISE, Industrial security expert)의 개발 과정을 예로 들고 프로젝트 관리의 지침서인 PMBOK(Project Management Body of Knowledge)의 PMP(Project Management Process)와 매핑하여 단계별로 창직에 필요한 세부 요구지식을 도출하고 이 과정을 정형화하고자 하였다. 결과적으로 (1) 창직 계획 (2) 민간자격 등록신청 (3) 직무분석 (4) 세부출제기준 확정 (5) 접수시스템 구축 (6) 교재개발 (7) 설명회 개최 (8) 자격검정 공고 (9) 양성과정 교육 (10) 자격시험 시행 (11) 직무교육 및 지속 수요확대 등 11단계를 도출하였으며, 향후 자격증을 만드는 창직사 개발에 기초자료가 될 것이다.

• 융합보안논문지
• /
• 제18권5_2호
• /
• pp.21-27
• /
• 2018

우리나라 인터넷 사용자의 대부분은 공인인증서를 발급받아 이를 이용해 다양한 업무에 사용하고 있다. 이런 이유로 공인인증기관 및 보안관련 업체에서는 공인인증서를 사용자의 데스크톱(PC)에 저장하지 말고 USB메모리 및 휴대용 저장장치에 저장하고 사용하는 것을 권장하고 있다. 이런 노력에도 불구하고 공인인증서의 해킹은 지속적으로 발생하고 금전적 피해도 잇따르고 있다. 또한, 우리 군에서는 보안상의 이유로 일반 사용자에게는 USB를 사용할 수 없게 하고 있다. 그러므로 본 연구는 사용자가 소유한 USB메모리와 PC의 고유정보를 이용한 이중 암호화(Two-factor)방식을 제안하여 일반 사용자에게 안전한 개인키 파일 관리방안을 제시하고자 한다. 나아가 이를 국방에 적용하여 중요자료의 생산 및 보관중인 비밀에 대한 외부유출 및 비인가자의 접근방지에 기여하고자 한다.

• 시큐리티연구
• /
• 제44호
• /
• pp.7-35
• /
• 2015

본 논문은 관광이 기간산업인 호주 퀸즐랜드주를 대상으로 민간시큐리티 산업의 선진화 과정과 제도적 개선점 등에 대해 검토하였다. 90년대 중반을 기점으로 단계적으로 진행된 제1,2차 개혁과정의 검토를 통해 제도운영상의 종합적인 성과 및 개선사항을 점검하였으며, 사례분석을 통해 도출한 시사점은 Button(2012)과 Prenzler와 Sarre (2014)가 제시한 표준모델(Best Practice Model)에 대입하여 개선방안을 논의하였는데, 주요 내용은 다음과 같다. 첫째, 퀸즐랜드주는 연방정부의 시큐리티 사업자 규제 권고안을 충실히 이행하고 있으나 현장에서의 실시간 음주 약물 측정, 정신장애정도에 대한 감정, 경비 사업자 측근(close associates)에 대한 프로파일링 등과 같은 선제적 규제기법은 케이스-바이-케이스로 운용중이어서 보다 적극적인 쇄신이 요구된다. 둘째, 퀸즐랜드주 시큐리티 자문업 기계경비업자들의 경우 교육 훈련 과정 이수의 법적의무가 없어 자율준수로 운영되는 현행 커리큘럼의 의무화 방안 역시 재고되어야 한다. 마지막으로, 퀸즐랜드주 시큐리티사업자에 대한 현장관리감독은 관광특구에 크게 집중되어 있어 관리당국인 공정거래청(Fair Trading)에서 그 범위를 확대하는 등 능동적인 개입이 필요하다고 판단된다. 호주 시큐리티서비스 산업이 한국에 주는 의미 있는 시사점으로는 첫째, 교육훈련의 표준화 공인화와 같은 지속적인 제도정비 개선노력 둘째, 이 같은 시큐리티산업의 전략적 육성과 경쟁력 향상 도모를 통한 민 경 공조체계의 실효성 강화 등을 대표적으로 꼽을 수 있다. 국내에서는 사경비자격제도에 해당하는 산업보안관리사, 공인탐정사 등의 전문자격증이 정부산하 협회 혹은 민간단체 등에서 발급되는 관계로 일관성 신뢰성에 대한 문제가 제기되어 왔고 공신력 부여 방안에 대한 논의 또한 지속되어 온 것이 사실이다. 따라서 호주의 모범선행사례를 참조하여 자격제도 관리 운영의 노하우 활용방안에 대한 체계적 접근을 모색해 볼 필요가 있다고 사료된다.

• 한국통신학회논문지
• /
• 제27권7C호
• /
• pp.653-663
• /
• 2002

RSA 기반 서명 후 암호화 기법은 forward secrecy를 제공하는 반면 총 4번의 모듈러 멱승 연산을 요구하며, Zheng에 의해 제안된 signcryption은 논리적으로 한 번에 서명과 암호화를 수행하여 기존의 서명 후 암호화에서 요구되는 계산 비용보다 더 적은 비용을 가지는 반면 forward secrecy를 제공하지 못한다. 본 논문에서는 RSA 기반 서명 후 암호화 기법보다 적은 계산 비용과 통신 오버헤드를 가지며, 또한 forward secrecy를 제공하는 개선된 signcryption 기법을 제안한다. 제안 방안은 수신자의 비밀키를 사용하지 않고 직접 검증 가능한 방안으로 쉽게 변형될 수 있다. 또한 제안 signcryption 방안을 응용하여 공개키 사용 프로토콜의 선결과제인 CRL 처리 문제를 해결하면서 명시적인 송신 부인 방지 서비스를 제공하는 서버 지원 서명된(server-supported signature) 변형 signcryption 방안을 제시한다. 서버 지원된 변형 signcryption 방안은 기존의 signcryption 기법에도 적용이 가능하다.