• 융합보안논문지
• /
• 제13권4호
• /
• pp.11-17
• /
• 2013

모든 u-헬스케어 시스템은 보안 취약점을 가지고 있다. 이 취약점은 로컬(local) 또는 네트워크(network) 상에서 잠재적인 위험이 된다. 의료정보 기술의 Smart 환경, Ad-hoc networking, 무선통신 환경은, u-헬스케어 보안 취약성을 증가시키는 주요 요인이다. u-헬스케어 의료정보시스템 도메인은 사용자단말 구간, 공중통신망 인프라구간, 네트워킹구간, 인트라넷구간으로 구분된다. 의료정보시스템 도메인별을 구분하여 취약점을 평가하는 이유는 도메인별로 취약점에 대한 대처방법이 다르기 때문이다. u-헬스케어시스템 5단계의 보안위험도 평가체계는 도메인별 보안취약성 진단체계를 설계하여 보안대책을 강구하기 위해 필요하다. 제안하는 모델을 사용할 경우 현재까지 막연하게 진행 되어온 USN 기반 의료정보네트워크 보안취약성 진단대책을 좀 더 체계적으로 수행할 수 있는 모형을 제공한다.

• 융합보안논문지
• /
• 제21권1호
• /
• pp.45-53
• /
• 2021

망분리 네트워크에서 보안관제를 할 경우 내부망 또는 위험도가 높은 구간에서는 평시 이상징후 탐지가 거의 이루어지지 않는다. 그렇기 때문에 보안 네트워크 구축 후 최적화 된 보안구조를 완성하기 위해서 망분리된 내부방에서의 최신 사이버 위협 이상징후를 평가할 수 있는 모델이 필요하다. 본 연구에서 일반 네트워크와 망분리 네트워크에서 발생하는 사이버 취약점과 악성코드를 데이터셋으로 발생시켜 평가하여, 망분리 내부망 사이버 공격에 위협 분석 및 최신 사이버 취약점을 대비 할 수 있게 하고, 특성에 맞는 사이버 보안 테스트 평가 체계를 구축하였다. 이를 실제 망분리 기관에 적용 가능한 평가모델을 설계 하고, 테스트 망을 각 상황별로 구축하여 실시간 보안관제 평가 모델을 적용하였다.

• 정보보호학회논문지
• /
• 제26권1호
• /
• pp.227-235
• /
• 2016

공공기관의 개인정보영향평가(Privacy Impact Assessment, PIA) 의무화, 정보보호관리체계(Information Security Management System, ISMS) 인증 의무화 등 각종 법률 준수의 의무화 조치가 가동되면서 정보보호컨설팅 수요가 증가하고, 이에 따라 정보보호컨설턴트 인력의 확보가 주요현안으로 떠오르고 있다. 본 연구는 정보보호컨설턴트가 갖추어야 할 핵심 역량이 무엇이며, 실제 정보보호컨설턴트가 핵심 역량을 얼마나 보유하고 있는지를 실증적으로 살펴보고자 한다. 핵심 역량에 대한 관리자와 실무자의 인식차이를 분석함으로써 두 그룹의 시각 차이를 이해하고 향후 정보보호컨설턴트 양성을 위한 방안을 제시한다.

• 정보보호학회논문지
• /
• 제34권3호
• /
• pp.537-552
• /
• 2024

국내 원전은 방사능방재법에 의거하여 '정보시스템 보안규정'이 수립됨과 함께 조직구성부터 자산의 기술적/운영적/관리적 보안조치에 이르는 사이버보안 체계를 도입하여 운영하고 있다. 단계별 접근법, 물리적방호체계의 대안조치 등이 시도되고 있지만, 관리대상의 감소는 이루어지지 않기 때문에 현장의 한정된 인력으로 운영하기엔 보안 역량의 부담이 가중되고 있다. 본문에서는 원전 안전기능을 수행하는 A1 유형 자산에 대해 정비규정(MR, Maintenance Rule), EPRI 기술적 평가 방법론(TAM, Technical Assessment Methodology)를 활용하여 정비적인 측면과 기기 특성에 대한 측면으로 분석하였다. 이를 통해 사이버침해로 인한 자산기능의 영향을 재분석하는 방안을 제시한다.

• Nuclear Engineering and Technology
• /
• 제44권8호
• /
• pp.919-928
• /
• 2012

The applications of computers and communication system and network technologies in nuclear power plants have expanded recently. This application of digital technologies to the instrumentation and control systems of nuclear power plants brings with it the cyber security concerns similar to other critical infrastructures. Cyber security risk assessments for digital instrumentation and control systems have become more crucial in the development of new systems and in the operation of existing systems. Although the instrumentation and control systems of nuclear power plants are similar to industrial control systems, the former have specifications that differ from the latter in terms of architecture and function, in order to satisfy nuclear safety requirements, which need different methods for the application of cyber security risk assessment. In this paper, the characteristics of nuclear power plant instrumentation and control systems are described, and the considerations needed when conducting cyber security risk assessments in accordance with the lifecycle process of instrumentation and control systems are discussed. For cyber security risk assessments of instrumentation and control systems, the activities and considerations necessary for assessments during the system design phase or component design and equipment supply phase are presented in the following 6 steps: 1) System Identification and Cyber Security Modeling, 2) Asset and Impact Analysis, 3) Threat Analysis, 4) Vulnerability Analysis, 5) Security Control Design, and 6) Penetration test. The results from an application of the method to a digital reactor protection system are described.

• 융합보안논문지
• /
• 제20권2호
• /
• pp.53-58
• /
• 2020

지식정보사회에서 기업의 비즈니스 연속성을 담보하기 위한 가용성의 중요성이 대두되면서, 가용성 보장전략으로 지속적인 서비스 인프라를 구축하는 고가용성(HA, High Availability) 구현 방안을 제시하고 있다. 하지만, 정보자산에 대한 중요도 평가의 신뢰도가 확보되지 않는다면 실제 자산의 가치와 연계되어 보안성을 유지하기 어렵기 때문에 자산가치 매트릭스를 통해 평가된 자산 중요도를 바탕으로 가용성 기준인 서비스 유지 평가항목과 매핑하여 관리할 수 있는 가용성 평가 방안이 필요하다. 이에 본 연구에서는 정보 자산에 대한 가용성 평가 방안을 제시한다.

• 한국수자원학회논문집
• /
• 제53권spc1호
• /
• pp.719-730
• /
• 2020

전 세계가 물 부족, 수질오염, 수재해, 물환경 생태계 파괴 등과 같은 물 문제에 직면한 상황에서 본 연구는 기존 물 문제에 대한 현실 인식을 기반으로 현재까지의 물 안보 논의를 정리하고 비판적으로 검토함으로써 물 안보에 대한 체계적인 정의를 내리고자 하였다. 또한, 각국의 물 안보 현황을 분석하기 위하여 물 안보 평가 프레임워크를 제시하여 사회적 형평성, 경제적 효율성, 환경적 지속가능성, 수재해 회복 탄력성 등 4개 핵심 분야(core area)에서 물 안보 상황을 평가하였다. 대상으로는 한국을 포함한 아시아 28개국을 선정하여 4개 핵심 분야에서 각국의 물 안보를 평가하였고 한국은 일본, 말레이시아와 함께 물 안보 상황이 좋은 상위군에 속하였고 인도, 파키스탄, 필리핀 등은 물 안보 하위권에 속하는 것으로 나타났다. 본 연구가 제시한 물 안보 정의와 평가 프레임워크는 각국의 물 안보 현황 인식에 도움을 줄 뿐만 아니라 향후 물 안보 향상을 위해 중점적으로 노력해야 하는 부분을 제시한다는 점에서 의의가 있다.

• 대한산업공학회지
• /
• 제28권1호
• /
• pp.44-56
• /
• 2002

For the risk analysis and risk assessment techniques to be effectively applied to the field of information technology (IT) security, it is necessary that the required activities and specific techniques to be applied and their order of applications are to be determined through a proper risk management model. If the adopted risk management model does not match with the characteristics of host organization, an inefficient management of security would be resulted. In this paper, a risk management model which can be well adapted to Korean domestic IT environments is proposed for an efficient security management of IT. The structure and flow of the existing IT-related risk management models are compared and analysed, and their common and/or strong characteristics are extracted and incorporated in the proposed model in the light of typical threat types observed in Korean IT environments.

• 대한전기학회논문지:전력기술부문A
• /
• 제54권9호
• /
• pp.441-448
• /
• 2005

On-line dynamic security assessment is becoming more and more important for the stable operation of power systems as load level increases. The necessity is getting apparent under Electricity Market environments, as operation of power system is exposed to more various operating conditions. For on-line dynamic security assessment, fast transient stability analysis tool is required for contingency selection. The TEF(Transient Energy Function) method is a good candidate for this purpose. The clustering of critical generators is crucial for the precise and fast calculation of energy margin. In this paper, we propose a new method for fast decision of mode of instability by using stability indices. Case study shows very promising results.

• 정보보호학회논문지
• /
• 제30권5호
• /
• pp.929-943
• /
• 2020

COVID-19 감염자의 동선을 파악함과 동시에 개인의 프라이버시를 보호하기 위한 방법들이 다양하게 제시되고 있다. 그 중에서 애플과 구글에서 발표한 'Exposure Notification'은 블루투스를 사용한 탈중앙화 방식을 따르고 있다. 하지만 이 기술을 사용하려면 항상 블루투스 기능을 켜 놓아야 하며 이를 통해 다양한 보안 위협이 발생할 수 있다. 본 논문에서는 보안 위협 모델링 기법 중 'STRIDE'와 'LINDDUN'을 적용하여 Exposure Notification 기술의 보안성을 평가하여 발생 가능한 모든 위협을 도출하였다. 또한 보안성 평가 결과를 가지고 대응 방안을 도출하고 이를 바탕으로 보안성을 향상시킨 새로운 모델을 제시한다.