• 한국인터넷방송통신학회논문지
• /
• 제17권4호
• /
• pp.27-34
• /
• 2017

최근 금융기관, 기업, 공공기관의 정보화사업 및 연구개발 등 IT 관련 용역사업을 수행하는 업체와 연구소의 관리 부주의로 인해 연구자료, 기밀문서 등 주요 보안자료들이 외부로 유출되는 사례가 빈번하게 발생하고 있다. 유출사례들은 외주용역 과정에 있어서 관련 자료를 무단으로 유출하거나 보관하는 등 정보시스템 유지보수업체의 보안관리 부실로 개인정보가 유출되어 피해를 발생시키고 있다. 이에 본 논문에서는 기업 정보화 사업 환경 조사를 통해 용역사업에 대한 유형 및 관리현황을 파악하고 외부 용역 업체를 활용한 개발 및 유지보수 수행 시 문제점을 분석 조사 하였다. 더 나아가 본 논문에서는 고려한 항목들을 설계의 바탕으로 하여 기업 활동에 집중할 수 있는 정보시스템 서비스를 제공하는 동시에 불법소프트웨어 설치 금지, 외부로부터의 바이러스, 해킹 등에 대한 침투를 원천적으로 방지할 수 있는 기업의 정보화시스템 구축을 위한 단계별 보안강화 방법론을 제시하였다.

• 융합보안논문지
• /
• 제14권1호
• /
• pp.71-76
• /
• 2014

현대사회는 IT기술의 급속한 발전으로 시 공간적 한계를 벗어나면서 사회적 경제적으로 변화를 가져오게 되었고, 단순히 정보 전달의 기능뿐만 아니라 정보를 가공하여 새로운 지식으로 창조할 수 있게 되었다. 이러한 새로운 지식의 창출은 기업 및 국가 경쟁력의 근간이 되었고, 국가 및 기업 간 경쟁이 심해지면서 신기술 개발에 대한 투자에 비해 기술을 보호하려는 인식부족으로 기술유출 사고가 끊임없이 일어나고 있다. 이러한 기술유출 사고는 국가 및 기업의 경쟁력을 저해시키는 가장 큰 원인으로 이에 대한 보안대책이 시급한 실정이다. 따라서 본 논문은 이러한 통합보안 환경에서 물리보안 영역의 제도 및 시스템 취약성을 분석한 다음 이에 대한 문제점을 도출하고, 그에 대한 개선방안을 제안하고자 한다.

• 융합보안논문지
• /
• 제22권2호
• /
• pp.67-75
• /
• 2022

COVID-19 대유행으로 인해 많은 기업에서 재택근무를 도입했다. 하지만 재택근무 도입으로 기업의 민감한 정보에 접근하려는 공격 시도가 증가했고, 보안위협에 대응하기 위해 많은 기업에서 클라우드 서비스를 이용하기 시작했다. 본 연구는 COVID-19 대유행 전후의 국내 클라우드 보안 동향의 변화를 분석하기 위해 '클라우드 보안' 키워드로 뉴스 데이터를 수집하여 LDA 토픽 모델링 기법을 사용했다. COVID-19 대유행 전에는 국내 클라우드 보안에 대한 관심이 낮아 추출한 토픽에서 대표성이나 연관성을 찾을 수 없었다. 다만, 현재 많은 연구가 이뤄지는 IT기술인 AI, IoT, 블록체인을 위해서는 높은 컴퓨팅 성능을 위해 클라우드의 도입이 필요하다는 것을 분석할 수 있었다. 반면, COVID-19 대유행 이후 추출된 토픽을 보면 국내에서 클라우드에 대한 관심이 증가했고, 이에 따라 클라우드 보안에 대한 관심이 향상된 것을 확인했다. 따라서 앞으로 계속 증가할 클라우스 서비스 사용량에 대비한 보안 대책을 수립해야 할 것이다.

• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.1191-1204
• /
• 2019

정부는 2019년 1월 금융 분야의 클라우드 이용 활성화를 위해 전자금융감독규정을 개정하였다. 하지만 클라우드 정책 및 규제들이 금융회사들의 자율적인 보안활동을 저해하거나 국민의 기본권을 일부 제한할 수 있어 금융권에서는 중요정보를 클라우드로 이용하려는 움직임이 거의 나타나지 않고 있다. 또한, 중요정보는 국내에만 두도록 하는 데이터 국지화 정책은 클라우드 이용 활성화를 가로막는 대표적인 규제이며, 이는 해외 사업자에 대한 차별문제도 야기시킨다. 따라서 데이터를 통해 디지털 금융혁신 기반을 제공할 클라우드를 활성화하기 위한 정책 및 규제 개선이 필요하다. 본 연구는 국내외 금융회사에 대한 클라우드 정책현황을 알아보고 국내 금융회사에 대한 정책 및 규제들을 분석하였다. 이를 통해 국내 금융회사에 대한 클라우드 정책의 한계와 문제점을 도출하고 금융회사의 클라우드 이용 활성화를 위한 데이터 국지화 규제 개선방안 등 정책적 대안을 제시하고자 한다.

• 한국통신학회논문지
• /
• 제28권10C호
• /
• pp.1033-1044
• /
• 2003

본 논문에서는 이기종의 보안 장비를 보다 효율적으로 관리할 수 있는 보안 관리 구조와 관리 트래픽의 부하를 줄일 수 있는 프로그래머블 미들웨어를 제안하였다. 제안된 보안 관리 구조는 정책 기반 네트워크 관리 (Policy Based Network Management: PBNM) 구조에 프로그래머블 네트워크 기법을 접목한 것으로, 다양한 이기종의 보안 장비를 보안 정책을 통해 관리할 수 있으며, 보안 장비 간 연동을 제공한다. 또한, 미들웨어에서 보안 정책을 실행 가능한 형태로 변환해 줌으로써 관리상의 편이성을 제공하고 정책 서버의 부하를 줄일 수 있다. 본 논문에서는 제안된 구조와 PBNM 구조에서의 정책적용 및 변환시간과 메시지 전달시간을 비교함으로써 프로그래머블 미들웨어가 관리 트래픽의 부하를 줄일 수 있다는 것을 검증하였다.

• 정보보호학회논문지
• /
• 제28권4호
• /
• pp.941-950
• /
• 2018

금융회사의 정보보호조직 형태는 정보기술최고책임자(CIO)와 정보보호최고책임자(CISO), 개인정보보호책임자(CPO)의 책임과 역할 부여에 따라 다양한 조직 구성의 형태를 갖는다. 하지만 이러한 다양한 형태의 정보보호조직이 최적의 조직 형태인지는 살펴볼 필요가 있다. 본 연구에서는 CISO, CIO, CPO관계 측면에서 다양한 정보보호조직 형태 가운데 일반적으로 금융회사가 갖는 정보보호조직 형태 중 대표적인 6개 조직형태를 후보군으로 선정하고 금융회사만이 갖는 몇 가지 고유한 특성과 공인된 외부의 정보보호 거버넌스 요소를 평가척도로 활용하여 최적의 금융회사 정보보호조직 구성 형태가 어떤 모습인지 연구 및 도출해보고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2019년도 추계학술발표대회
• /
• pp.491-494
• /
• 2019

The results from the analysis of recent security breach cases of industrial control systems revealed that most of them were caused by the employees of a partner company who had been managing the control system. For this reason, the majority of the current company security management systems have been developed focusing on their performances. Despite such effort, many hacking attempts against a major company, public institution or financial institution are still attempted by the partner company or outsourced employees. Thus, the institutions or organizations that manage Industrial Control Systems (ICSs) associated with major national infrastructures involving traffic, water resources, energy, etc. are putting emphasis on their security management as the role of those partners is increasingly becoming important as outsourcing security task has become a common practice. However, in reality, it is also a fact that this is the point where security is most vulnerable and various security management plans have been continuously studied and proposed. A system that enhances the security level of a partner company with a Virtual Desktop Infrastructure (VDI) has been developed in this study through research on the past performances of partner companies stationed at various types of industrial control infrastructures and its performance outcomes were statistically compiled to propose an appropriate model for the current ICSs by comparing vulnerabilities, measures taken and their results before and after adopting the VDI.

• 한국전자거래학회지
• /
• 제25권1호
• /
• pp.45-64
• /
• 2020

급변하고 있는 비즈니스 환경에서 인터넷기업들은 비즈니스 특성상 유연하고 개방적이며 자율성을 강조하는 조직문화의 특징을 가지며, 시간과 장소에 구애받지 않는 유연한 스마트 업무환경으로 변화하고 있다. 이러한 인터넷 비즈니스 환경에도 불구하고 보안관리체계는 여전히 인터넷기업의 비즈니스 환경과 조직문화를 반영하지 못하고 있으며, 이로 인해 인터넷기업에서의 통제중심의 보안관리 방식은 한계에 부딪히고 있다. 따라서 본 연구에서는 인터넷기업의 비즈니스 환경과 조직문화의 특성을 고려한 보안관리의 연구를 위해 기업구성원 자율중심의 보안역할 항목을 설계하고 개발하였다. 본 연구결과는 민첩한 비즈니스 환경과 자율적인 조직문화의 인터넷기업에서 기업구성원 자율중심의 보안관리체계를 구현하고 운영하는데 활용될 것으로 기대된다.

• International Journal of Computer Science & Network Security
• /
• 제23권2호
• /
• pp.199-202
• /
• 2023

Carriage return (CR) and line feed (LF), also known as CRLF injection is a type of vulnerability that allows a hacker to enter special characters into a web application, altering its operation or confusing the administrator. Log poisoning and HTTP response splitting are two prominent harmful uses of this technique. Additionally, CRLF injection can be used by an attacker to exploit other vulnerabilities, such as cross-site scripting (XSS). Email injection, also known as email header injection, is another way that can be used to modify the behavior of emails. The Open Web Application Security Project (OWASP) is an organization that studies vulnerabilities and ranks them based on their level of risk. According to OWASP, CRLF vulnerabilities are among the top 10 vulnerabilities and are a type of injection attack. Automated testing can help to quickly identify CRLF vulnerabilities, and is particularly useful for companies to test their applications before releasing them. However, CRLF vulnerabilities can also lead to the discovery of other high-risk vulnerabilities, and it fosters a better approach to mitigate CRLF vulnerabilities in the early stage and help secure applications against known vulnerabilities. Although there has been a significant amount of research on other types of injection attacks, such as Structure Query Language Injection (SQL Injection). There has been less research on CRLF vulnerabilities and how to detect them with automated testing. There is room for further research to be done on this subject matter in order to develop creative solutions to problems. It will also help to reduce false positive alerts by checking the header response of each request. Security automation is an important issue for companies trying to protect themselves against security threats. Automated alerts from security systems can provide a quicker and more accurate understanding of potential vulnerabilities and can help to reduce false positive alerts. Despite the extensive research on various types of vulnerabilities in web applications, CRLF vulnerabilities have only recently been included in the research. Utilizing automated testing as a recurring task can assist companies in receiving consistent updates about their systems and enhance their security.

• 시큐리티연구
• /
• 제21호
• /
• pp.75-94
• /
• 2009

기계경비시스템은 대부분 전자 정보 통신기기로 구성되기 때문에 사회전반적인 환경, 범죄동향적인 환경적인 면에서 기계경비시스템 등에 영향을 미치게 되며 RFID의 무선인식과 추적기능은 사람 또는 차량의 출입통제나 반입, 감시, 통제 등을 위해 유용하게 쓰여질 부분으로 사회전반적인 환경 즉 고령화사회에 맞는 실버를 위한 케어 및 여성의 사회진출이 늘어가고 동시에 흉악범죄의 증가로 인한 첨단 도난방지기계시스템의 본격화 할 것으로 그 중요성은 더해가고 있다. 유비쿼터스 센서 네트워크의 이론적인 고찰을 알아보고, 기술 및 응용분야를 중점을 두고 향후 시큐리티업체의 발전적인 방향을 제시하는 것을 연구 목적으로 두고 있다. 시큐리티업체의 새로운 환경에 대응전략 제시를 한다면, 첫째, 시큐리티업체의 다각화 전략이 요구된다. 자율시장 경쟁의 원칙에 의하여 높은 수준의 시큐리티업체만 시장에 생존함으로써 시큐리티 시장의 질적 성장과 경쟁력을 가져올 것이다. 둘째, 시큐리티업체의 적극적 홍보가 요구된다. 현대사회를 살아가는 우리의 광고와 선전의 홍수에 묻혀 살고 있다해도 과언이 아니다. 시큐리티업체에 대한 국민들의 의식전환을 위해 대중매체를 이용하여 시큐리티의 활동영역이나 중요성을 강조하는 홍보활동을 활발하게 전개해야하며 최근에는 영화나 드라마에서도 시큐리티요원의 활동을 소재로 삼을 만큼 국민들에게 가깝게 부각되고 있는 점을 잘 활용하여 시큐리티의 공공적 측면을 함께 강조하는 홍보활동을 병행하는 방안을 강구해야한다. 셋째, 유비쿼터스 센서네트워크와 전자태그의 기술적 보안적 구축이 요구된다. U-Home, U-Health Care 등 모바일 전자태그서비스를 이용하기 때문에 모바일 전자태그 단말기의 상용화 지원, 통신요금 및 정보이용료 인하, 지속적인 기술개발 및 프라이버시 보호 강화하기 위해 기존 프라이버시 가이드라인을 기반으로 안전한 유비쿼터스 센서네트워크 안에 전자태그 환경을 조성하여 우리 생활 전반에 이용되며, 이러한 부분은 학계, 민간 연구소 등 산 학 연 협력체계를 구축해야 할 것이다.