• 대한안전경영과학회지
• /
• 제14권3호
• /
• pp.119-126
• /
• 2012

Recently, the breakdown of online banking servers and the leakage of customer information give rise to much concern about the security of information systems in financial and banking companies in Korea. The enforcement of security for information system becomes much more important issue than earlier. However, the security reinforcement of information system is restricted by a budget. In addition, the activities' cost to secure information system from threatening are under uncertain circumstances and should be established by a human decision maker who is basically uncertain and vague. Thus, making the budget for information system is exposed to any extent of the risk for these reasons. First, we introduce brief fuzzy set theory and fuzzy AHP (Analytic Hierarchy Process) methodology. Then, the cost elements that comprise yearly budget are presented and the priorities among the cost elements are calculated by fuzzy AHP. The cost elements that are exposed to risk are evaluated from the both perspectives of the risk impact and risk occurrence possibility which are expressed as linguistic terms. To get information on the risk profiles-pessimistic, most likely, and optimistic-for each cost element, the evaluation is accomplished and the result is presented. At last, the budget ranges-minimum, mode, maximum-for each cost element are estimated with the consideration of the risk profiles.

• 시큐리티연구
• /
• 제30호
• /
• pp.117-138
• /
• 2012

현대 범죄의 증가로 주거공간의 범죄를 최소화 및 예방하고자 스마트 홈이 보편화되었으며, 스마트 홈 관련 시큐리티에 대한 관심이 높아지고 있다. 본 연구에서는 스마트화된 서비스를 제공하게 될 것이라는 미래의 집안환경에 대한 이해와 스마트 홈 시큐리티의 시사점 및 대응에 관련하여 제안하자면 다음과 같다. 첫째, 스마트 홈 시큐리티의 표준 수립이다. 주거공간에 있어서 자체적으로 건설사의 정책만으로 반영되거나 주민들이 필요에 의해서 개선된 내용을 적용하는 수준에 그치는 상황이며, 또한 건설사마다의 특성을 부각시켜 스마트 홈 시큐리티를 나타낼 뿐 표준화되어 있지는 못한 실정이라 정리할 수 있다. 둘째, 스마트 홈 시큐리티 인증제도 도입이다. 사람만이 가지던 자격증이 이젠 주거공간에도 자격증 시대이다. 주거공간의 성능을 나타내어 주는 인증제도는 아파트의 품질을 평가하는 절대적인 기준이 될 수 없으나, 현재 정부에서 추진하고 있는 다양한 정책과 편리한 주택환경을 위한 기본적인 요건이라 할 수 있다. 스마트 홈 시큐리티 인증제도 역시 도입하여 다른 주거공간에 상호 경쟁적으로 보안장비를 더 보강하거나 또는 경비인력을 전문화하여 인증받으려 할 것이기에 부수적인 안전확보가 가능하다고 여겨진다. 변화하는 스마트 홈 시큐리티를 연구하여 어떤 중심의 요소로 변화하고 발전하고 있는지 앞으로 어떤 변화로 대응해야할지를 연구할 필요성이 있다.

• 한국융합학회논문지
• /
• 제8권10호
• /
• pp.61-66
• /
• 2017

최근 IoT기술은 '언제, 어디서나, 편리하게' 라는 키워드와 함께 급속도로 발전하고 있다. 이와 더불어 IoT 시스템에 대한 보안이슈가 폭발적으로 증가하고 있으며 그에 대한 피해도 커지는 상황이다. 이에 본 논문에서는 IoT 시스템 보안 요구사항을 정의하는 표준화와 보안기술개발 현황을 파악하고 ICT에서 국제적으로 통용되는 CC평가를 이용하여 안전하게 IoT 시스템을 개발하는 방안을 제시한다. 이를 위하여 우선 IoT 시스템과 서비스 측면의 보안목적을 분석 하였다. 향후 이를 토대로 보안기능요구사항을 설계하고 대응관계 통하여 보안목적의 이론적 근거가 증명할 수 있으며 IoT 시스템에 대한 보호프로파일설계가 가능하다. 이는 관리자, 개발자, 사용자 측면의 보안요구집합을 참조할 수단으로 사용되므로 본 논문에서 제시하고자하는 개발 방법론에 대한 충분한 근거가 된다.

• 정보보호학회논문지
• /
• 제19권5호
• /
• pp.45-57
• /
• 2009

본 논문에서는 최근 활발하게 서비스되고 있는 인터넷 전화의 컨퍼런스 통화를 안전하게 보호하기 위한 DTLS(Datagram TLS) 기반의 컨퍼런스 시스템을 구현하고 그 시스템의 성능을 측정 및 분석하였다. 컨퍼런스 시스템은 인터넷 전화 기술의 발달에 따라 그 수요가 점차 증가하고 있으며 관련된 기술 또한 날로 발전하고 있다. 하지만 컨퍼런스 서비스를 보호하기 위한 보안 프로토콜은 컨퍼런스 기술에 비해 그 발전 속도가 늦어지고 있는 것이 사실이다. 따라서 본 논문에서는 안전한 컨퍼런스 시스템을 위해 시그널링 채널 보호, 미디어 채널 보호, 그룹키 적용이 모두 가능하고 UDP기반의 VoIP 시스템 구조에 큰 변화 없이 적용 가능한 DTLS를 바탕으로 연구를 진행하였다. 현재까지 컨퍼런스 시스템에 적용 가능한 DTLS 기반의 제안된 보안 프로토콜을 살펴보고 이를 구현 및 적용하였다. 또한 암호화에 따른 오버헤드 및 키 관리 메커니즘에 따른 오버헤드를 측정 및 분석하였다.

• Journal of Electrical Engineering and Technology
• /
• 제12권5호
• /
• pp.2051-2066
• /
• 2017

This paper deals with reconfigurable secured mobile systems where the reconfigurability has the potential of providing a required adaptability to change the system requirements. The reconfiguration scenario is presented as a run-time automatic operation which allows security mechanisms and the addition-removal-update of software tasks. In particular, there is a definite requirement for filtering and intrusion detection mechanisms that will use fewer resources and also that will improve the security on the secured mobile devices. Filtering methods are used to control incoming traffic and messages, whereas, detection methods are used to detect malware events. Nevertheless, when different reconfiguration scenarios are applied at run-time, new security threats will be emerged against those systems which need to support multiple security objectives: Confidentiality, integrity and availability. We propose in this paper a new approach that efficiently detects threats after reconfigurable scenarios and which is based on filtering and intrusion detection methods. The paper's contribution is applied to Android where the evaluation results demonstrate the effectiveness of the proposed middleware in order to detect the malicious events on reconfigurable secured mobile systems and the feasibility of running and executing such a system with the proposed solutions.

• Nuclear Engineering and Technology
• /
• 제45권5호
• /
• pp.637-652
• /
• 2013

Instrumentation and control systems in nuclear power plants have been digitalized for the purpose of maintenance and precise operation. This digitalization, however, brings out issues related to cyber security. In the most recent past, international standard organizations, regulatory institutes, and research institutes have performed a number of studies addressing these systems cyber security.. In order to provide information helpful to the system designers in their application of cyber security for the systems, this paper presents methods and considerations to define attack vectors in a target system, to review and select the requirements in the Regulatory Guide 5.71, and to integrate the results to identify applicable technical security control requirements. In this study, attack vectors are analyzed through the vulnerability analyses and penetration tests with a simplified safety system, and the elements of critical digital assets acting as attack vectors are identified. Among the security control requirements listed in Appendices B and C to Regulatory Guide 5.71, those that should be implemented into the systems are selected and classified in groups of technical security control requirements using the results of the attack vector analysis. For the attack vector elements of critical digital assets, all the technical security control requirements are evaluated to determine whether they are applicable and effective, and considerations in this evaluation are also discussed. The technical security control requirements in three important categories of access control, monitoring and logging, and encryption are derived and grouped according to the elements of attack vectors as results for the sample safety system.

• 인터넷정보학회논문지
• /
• 제25권1호
• /
• pp.167-176
• /
• 2024

챗봇서비스는 AI서비스와 연계하여 다양한 분야에서 활용되고 있다. AI에 대한 보안 연구는 초기 단계이고, 이를 이용한 서비스 구현단계에서의 실질적인 보안 연구는 더욱 부족한 상황이다. 본 논문은 AI서비스와 연계된 챗봇서비스에 대한 보안요구사항을 분석한다. 먼저, 본 논문에서는 최근 발표된 AI보안에 대한 논문과 자료들을 분석한다. 시장에서 서비스가 제공되는 있는 챗봇서비스를 조사하여 일반적인 구현 모델을 정립한다. 구현 모델에는 챗봇관리시스템과 AI엔진이 포함된 5개의 구성요소가 포함되어 있다. 정립된 모델에 기반하여 쳇봇서비스에 특화된 보호자산과 위협을 정리한다. 위협은 실제 운영중인 챗봇서비스 담당자 설문을 통해 챗봇서비스에 특화된 위협을 중심으로 정리한다. 10개의 주요 위협이 도출되었다. 정리된 위협에 대응하기 위해 필요한 보안 영역을 도출하였고, 영역별로 필요한 보안요구사항을 분석하였다. 이는 챗봇서비스 보안 수준을 검토하고 개선하는 과정에서 보안평가 기준으로 활용될 것이다.

• 융합보안논문지
• /
• 제15권1호
• /
• pp.27-36
• /
• 2015

오경보에 관한 논의는 감지기 오작동과 경찰자원의 낭비라는 일련의 문제에 관한 것이다. 오경보는 일차적으로 기계 경비회사의 관리비용을 증가시키지만 종국적으로는 국가 사회적 비용을 증가시키는 것이다. 지난 2013년 7월 1일부터 시행되어 지금까지 나타난 선별신고제도의 운영실태를 분석하여 보면, 112신고 중 오경보는 선별신고제도 시행 전의 오경보율은 82.4%의 수준이었으나 선별신고제도 시행 후의 오경보율은 69.7%를 기록하고 있다. 오경보율이 12.7%이나 감소한 것이다. 하지만 실제 기계경비업체가 실제상황이라고 판단하여 자체적으로 출동한 건수 대비 실경보 총수는 무려 0.3% 수준에 머물고 있어서 문제된다. 비록 현장 출동 후 범죄관련성이 없다고 판단하여 112신고 및 경찰출동을 요청하지 않아서 표면상으로는 경찰의 헛출동을 막는 데에 일조하고 있다고는 자평할 수 있다고 하겠지만, 기계경비회사의 실경보 판단능력은 이와 같이 현격하게 낮다고 분석할 수 있다. 향후 선별신고제도가 보다 진화하려면 긴급신고 중 오경보에 대한 벌금제, 감지기의 경찰등록제, 감지기기의 설치 및 관리회사의 의무강화 등의 보완책이 시급하다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2002년도 종합학술발표회논문집
• /
• pp.629-632
• /
• 2002

공공기관은 자신의 정보시스템에 대한 보안 대책을 수립하기 위하여 자체 보안·분석평가를 수행함으로써 적절한 보안 목표와 방향을 설정해야 한다. 하지만, 현재 연구되어 있는 위험분석 및 보안평가방법론등은 복잡하고 전문적인 사항이 많으므로 자체 보안분석을 수행하기에는 인력 및 비용이 많이 소요된다. 이를 위하여 본 논문에서는 정보시스템의 위험분석방법론에서 제시하는 자산, 취약점, 위협, 대응책에 보안평가방법론을 포함하여 정보시스템에 대한 모델링, 가정, 증상, 원인, 해결책등을 통한 자가진단 보안 분석·평가 방법을 제시한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2003년도 동계학술대회
• /
• pp.533-537
• /
• 2003

보안 시스템의 안전성을 분석하기 위해서는, 정형적 방법론을 사용하여 보안 시스템에 대한 이론적인 수학적 모델을 정형적으로 설계하고, 보안 속성을 정확히 기술해야만 한다. 본 논문에서는 보안 시스템의 안전성을 검증하기 위한 보안모델의 구성요소와 안전성 검증방법을 설명한다. 그리고 보안모델을 설계하고 안전성을 분석하기 위한 SEW(Safety Evaluation Workshop)의 전체 구조와 SPR(Safety Problem Resolver) 정형검증도구의 검증방법 및 기능에 대해 소개하고자 한다.