• 스마트미디어저널
• /
• 제11권11호
• /
• pp.75-83
• /
• 2022

미국의 NIST에서는 CVE나 CPE와 같은 기존의 취약점 관련 표준을 이용하여 보안 취약성 점검 및 관리를 자동화할 수 있도록 하는 프로토콜인 SCAP을 개발했다. SCAP은 XCCDF 및 OVAL 언어를 이용하여 점검파일을 작성하고 작성한 점검 파일을 OpenSCAP에서 만든 SCAP Workbench와 같은 SCAP 도구로 실행하면 점검 결과를 반환하는 식으로 동작한다. 다양한 운영체제에 대한 SCAP 점검 파일이 NCP 커뮤니티를 통해 공유되고 있으며 점검 파일에는 점검 항목별로 아이디, 제목, 설명, 점검 방법 등이 작성되어 있다. 하지만 점검항목은 단순히 작성한 순서대로 나열되어 있어 보안 관리자가 SCAP 점검 파일을 이용하여 체계적으로 관리할 수 있도록 점검 항목을 유형별로 분류하여 관리할 필요가 있다. 본 연구에서는 OVAL 언어로 작성된 SCAP 점검 파일에서 각 점검 항목에 대한 설명이 작성된 부분을 추출하여 머신러닝 모델을 통해 카테고리를 분류하고, SCAP 점검 결과를 분류한 점검 항목별로 출력하는 방법을 제안한다.

• 인터넷정보학회논문지
• /
• 제24권4호
• /
• pp.15-24
• /
• 2023

Digital therapeutics (DTx) are utilized to replace or supplement drug therapy to treat patients. DTx are developed as a mobile application for portability and convenience. The government requires security verification to be performed on digital medical devices that manage sensitive information during the transmission and storage of patient data. Although safety verification is included in the approval process for DTx, the cybersecurity checklist used as a reference does not reflect the characteristics of mobile applications. This poses the risk of potentially overlooking vulnerabilities during security verification. This study aims to address this issue by comparing and analyzing existing items based on the mobile tactics, techniques, and procedures of MITRE ATT&CK, which manages globally known and occurring vulnerabilities through regular updates. We identify 16 items that require improvement and expand the checklist to 29 items to propose improvement measures. The findings of this study may contribute to the safe development and advancement of DTx for managing sensitive patient information.

• 한국전자거래학회지
• /
• 제20권4호
• /
• pp.77-102
• /
• 2015

핀테크 서비스 산업은 현재 전 세계적으로 ICT 기술을 기반으로 모바일 등 다양한 채널을 통해 금융 및 결제서비스의 혁신을 이끌며 빠르게 성장하고 있다. 국내에서도 간편결제 서비스를 중심으로 다양한 핀테크 서비스 산업이 형성되고 있다. 이러한 핀테크 서비스는 여러가지 보안 위협들이 존재하며, 그 중 개인정보 및 금융정보를 수집 이용함에 따라 이에 대한 정보 유출이나 프라이버시 침해 사고 가능성도 증가할 것이다. 이에 본 논문에서는 핀테크 서비스 중 간편결제 서비스를 대상으로 자신의 개인정보보호에 대한 합리적인 선택을 하는 이용자들(Privacy Pragmatists)에 대해 해당 서비스를 이용 및 선택 시 개인정보보호에 대한 자가평가를 할 수 있도록 평가항목을 도출하며, 이를 통해 향후 핀테크 서비스의 개인정보 보호를 위한 보안 정책을 제언하고자 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권5호
• /
• pp.2221-2235
• /
• 2020

Compared to the past infrastructure networks, the current smart grid network can improve productivity and management efficiency. However, as the Industrial Internet of Things (IIoT) and Internet-based standard communication protocol is used, external network contacts are created, which is accompanied by security vulnerabilities from various perspectives. Accordingly, it is necessary to develop an appropriate cybersecurity guideline that enables effective reactions to cybersecurity threats caused by the abuse of such defects. Unfortunately, it is not easy for each organization to develop an adequate cybersecurity guideline. Thus, the cybersecurity checklist proposed by a government organization is used. The checklist does not fully reflect the characteristics of each infrastructure network. In this study, we proposed a cybersecurity framework that reflects the characteristics of a microgrid network in the IIoT environment, and performed an analysis to validate the proposed framework.

• 시큐리티연구
• /
• 제55호
• /
• pp.117-141
• /
• 2018

경찰청이 발간하는 범죄통계에 따르면 주거시설은 노상에 이어 범죄발생이 두 번째로 많은 장소이다. 또한 1인 가구 증가 등 사회적, 환경적 취약점으로 인해 생활의 기본요소이면서 동시에 안전함과 편안함이 핵심이어야 할 주거공간이 침입절도 등 범죄에 빈번하게 노출되고 위협에 시달리고 있다. 그리하여 본 연구에서는 주거시설 중 상대적으로 취약한 원룸, 다세대, 연립, 도시형생활주택에 대하여 환경설계를 통한 범죄예방(CPTED) 관점에서 안전을 평가하고 인증하는데 적합한 요소 및 항목을 추출하여 인증평가 지표와 점검항목을 도출하였다. 도출된 평가지표와 점검항목을 기반으로 서울 서초구, 경기 용인시, 충남 아산시에 소재한 원룸, 다세대, 연립, 도시형생활주택을 대상으로 현장조사를 실시하고 조사결과를 반영한 체크리스트 최종안을 도출하였다. 체크리스트 최종안에 포함된 평가분야는 총 7개 분야 43개 항목이며, 다양한 가점항목을 추가하여 관리자가 취한 특별한 안전조치에 대하여 점수를 획득할 수 있도록 설정하였다. 개발된 체크리스트는 다양한 규모와 유형의 주거시설을 평가할 때 시설별 특성을 고려하여 적절하게 변형하여 활용될 수 있다. 인증평가의 기본원칙과 관련하여, 범죄예방을 위해 중요한 항목들의 배점은 높게 부여하였고, 정성평가를 통해 차등 배점을 부여하는 방식을 선택하였다. 본 연구에서 개발한 체크리스트는 범죄예방전담경찰관(CPO)들이 관할지역 내 주거시설을 평가하고 범죄안전 수준이 높은 우수시설을 인증하는데 활용되고 있다.

• 융합보안논문지
• /
• 제18권2호
• /
• pp.49-58
• /
• 2018

사물인터넷의 수요가 증가하면서 사용자의 중요 정보들을 수집하는 사물인터넷 기기의 보안에 대한 필요성 또한 꾸준히 증가하고 있다. 하드웨어, 프로세서, 에너지 등의 제약이 있는 사물인터넷 특성상 기존의 보안시스템을 그대로 적용하기 어렵기 때문에, 사물인터넷에 특화된 보안가이드라인 및 관련문서가 만들어지고 있다. 그러나 이들은 사물인터넷 기기 각각에 특화된 보안을 구체적으로 다루기보다는 포괄적이며 일반화된 수준의 보안을 다루고 있다. 더구나 이들은 개발자 및 서비스 제안자의 입장에서 작성되었기 때문에 특정 사물 인터넷 기기를 사용하고자 하는 일반 사용자의 입장에서 특정 사물인터넷 기기가 어느 정도 보안성을 갖추고 있는지 파악하기가 어렵다. 본 논문에서는 사물인터넷과 관련된 기존 가이드라인과 문서들을 토대로 사물인터넷 기기 각각에 대하여 보다 구체화된 보안평가용 평가모델을 설계하여 제시하였다. 아울러 이 평가모델을 토대로 대표적 사물인터넷 기기인 스마트워치를 대상으로 체크리스트를 적용하여 작성해 봄으로써 특정 사물인터넷 기기를 사용하기 전에 보안성 평가를 일반 사용자도 용이하게 할 수 있음을 보여준다.

• 융합보안논문지
• /
• 제20권2호
• /
• pp.29-35
• /
• 2020

사이버안보의 일선에 있는 국가·공공기관 시스템을 대상으로 하는 사이버 공격이 고도화 되면서 꾸준히 증가하고 있다. 이에 국가·공공기관 시스템의 사이버 공격 사고 예방에 대한 보안 평가 기술 개발이 필요하다. 현재 국가·공공기관 정보 시스템의 취약점 분석에 대한 연구는 거의 자동화 분석에 초점을 맞추어 연구되고 있고, 실제로 보안 점검을 수행하다보면 자동화하기 어려운 부분들도 존재한다. 위협에 대한 보안대책만 생각해보더라도 관리적, 물리적, 기술적 분야에서 각기 다른 방안들을 생각하고 실행할 수가 있는데, 이에 대해서는 주관적이든, 상황적이든 간에 특정한 답변들이 제시된다. 이러한 경향들은 OCIL(Open Checklist Interactive Language)로 규격화되어 부분적인 자동화를 이룰 수 있다. 따라서, 본 논문에서는 기존 평가문항을 OCIL기반으로 보안수준평가를 할 수 있게끔 XML Converter를 구현하고자 한다.

• 한국전자거래학회지
• /
• 제19권2호
• /
• pp.109-124
• /
• 2014

정보보안 인식과 중요성이 시대적으로 고조됨에 따라 각 산업부문별로 조직의 정보자산을 보호하기 위해 정보보호 점검기준을 기반으로 한 정보보호 평가 인증 등의 제도가 마련되어 시행되고 있다. 본 논문은 정보보호 점검기준 간의 문맥적인 유사성과 차이점에 대해 규명하기 위하여 지식네트워크를 이용하여 분석한 결과로 ISMS와 PIMS, 금융 IT부문 경영실태평가, 금융 IT부문 보호업무 모범규준, 정보보안 관리실태 평가 상에 나타난 점검기준간의 관계는 다음과 같이 설명할 수 있다. 첫째, 본 논문에서 연구된 정보보호 점검기준은 공통적으로 정보시스템 및 정보통신망에서의 정보자산의 보호와 침해대응, 운영통제에 관한 부분을 다루고 있다. 둘째, 금융권에서는 앞선 공통부분 외에도 IT 경영 및 감사활동에 관한 적정성을 상대적으로 중요하게 다루고 있다. 셋째, ISMS의 점검기준은 PIMS, 금융 IT부문 경영실태평가, 금융 IT부문 보호업무 모범규준, 정보보안 관리실태 평가의 대부분의 내용을 포함하고 있는 것으로 확인된다.

• 한국콘텐츠학회논문지
• /
• 제11권2호
• /
• pp.61-68
• /
• 2011

인터넷의 급격한 발달로 인해 수많은 기업에서 다양한 어플리케이션들이 불특정 다수의 사용자에게 개방되어 있는 현재의 비즈니스 환경에서 최근 개인정보의 보안에 대한 이슈가 자주 언급되며, 그 중요도 측면에서 기업의 최우선 과제가 되었다. 얼마 전 정부에서도 정보통신망법 상의 개인정보 보호 강화조치를 법률로 제정하고 이를 다양한 산업군에 적용하고 있다. 기업은 개인정보의 보호를 위해 다양한 방안들을 마련해 이러한 규제를 준수하여, 내부에 관리중인 개인정보에 대해 보안을 강화하기 위해 빠르게 보안 솔루션을 도입하고 있다. 이에 수많은 데이터들이 저장되어 사용되고 있는 DBMS 측면에서 규제를 준수하는 동시에 효과적으로 데이터 보안을 확보하기 위한 방안을 암호화, 접근제어, 감사로 구분하여 각각에 대한 구현방법 및 해당 솔루션들을 비교 및 검토하여 이를 통해 최적의 데이터베이스 보안 방안을 모색할 수 있도록 체크리스트를 구현하였다.

• 정보보호학회논문지
• /
• 제27권6호
• /
• pp.1467-1482
• /
• 2017

최근 4차 산업혁명에 대한 관심이 증가하고 있다. 그 중 제조업 분야에서는 사이버 물리 시스템(CPS) 기술을 기반으로 제조의 모든 단계를 자동화, 지능화 시킨 스마트팩토리 도입이 확산되고 있는 추세이다. 스마트팩토리는 그 복잡도(Complexity)와 불확실성(Uncertainty)이 크기 때문에 예상치 못한 문제가 발생할 가능성이 높고 이는 제조 공정 중단이나 오작동, 기업의 중요 정보 유출로 이어질 수 있다. 스마트팩토리에 대한 위협을 분석하여 체계적인 관리를 수행할 필요성이 강조되고 있지만 아직 국내에서는 연구가 부족한 상황이다. 따라서 본 논문에서는 스마트팩토리의 전반적인 생산 공정 절차를 대상으로 Data Flow Diagram, STRIDE 위협 모델링 기법을 이용하여 체계적으로 위협을 식별한다. 그리고 Attack Tree를 이용해 위험을 분석하고 최종적으로 체크리스트를 도출한다. 도출된 체크리스트는 향후 스마트팩토리의 안전성 검사 및 보안 가이드라인 제작에 활용 가능한 정량적 데이터를 제시한다.