• 융합보안논문지
• /
• 제8권2호
• /
• pp.15-25
• /
• 2008

오늘날의 방송 및 통신시스템에서 사용되는 응용 프로그램들은 위성시스템 등 다양한 네트워크상에서 상호 연동을 하면서 복잡하게 정보를 융합해나가고 있다. 특히, 방송 및 통신시스템은 기술적으로나 규모면에서 계속 진화함에 따라, 이전에 파악하지 못한 새로운 위협 및 취약점들이 증가하고 있다. 본 논문에서는 방송통신 융합시스템에서 사용 가능한 위험분석 및 경제성 분석 방법론을 제안한다. 먼저, 위험분석에서는 기밀성(저작권), 무결성, 가용성을 기반으로 자산을 우선순위화 하는 방법과 위협 및 취약성 변화에 따른 위험도를 계산할 수 있는 모델링을 제안한다. 두 번째로는 시간에 따라 보안대책 비용에 따른 경제성을 분석할 수 있는 방법을 제시한다.

• 정보과학회 논문지
• /
• 제43권10호
• /
• pp.1154-1164
• /
• 2016

타인의 접근제어를 위해 사용하는 스마트폰 인증은 스마트폰 사용 시 마다 다양한 방법으로 스마트폰 소유자의 여부를 확인한다. 그러나 이러한 빈번한 인증은 사용자들의 불편함을 야기하며, 때로는 인증방법을 사용하지 않게 하는, 궁극적으로 스마트폰 보안의 치명적인 문제로 작용한다. 본 논문에서는 이러한 문제들을 해결하고 사용자들의 보안인증 사용을 촉진하여 보안성을 증대시키기 위한 안드로이드 플랫폼 기반의 지속인증 모델을 제안한다. 제안 모델은 스마트폰의 현 상황위험도를 측정, 그에 맞추어 적절한 인증 수단을 결정, 적용하며, 낮은 위험도 수준일 경우 인증을 수행하지 않아 사용자의 가용성을 높여준다. 상황위험도를 정의하기 위해 설문조사를 이용하였으며, 설문결과를 연령, 위치, 장소, 행동 등으로 세분화하여 분석하였다. 본 연구 결과의 시연을 위해 정의된 상황위험도와 보안인증수단과의 관계를 시각화하여 보여줄 수 있도록 시연프로그램을 구현하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권10호
• /
• pp.5260-5275
• /
• 2019

In the process of constructing the traditional offensive and defensive game theory model, these are some shortages for considering the dynamic change of security risk problem. By analysing the critical indicators of the incomplete information game theory model, incomplete information attack and defense game theory model and the mathematical engineering method for solving Bayes-Nash equilibrium, the risk-averse income function for information assets is summarized as the problem of maximising the return of the equilibrium point. To obtain the functional relationship between the optimal strategy combination of the offense and defense and the information asset security probability and risk probability. At the same time, the offensive and defensive examples are used to visually analyse and demonstrate the incomplete information game and the Harsanyi conversion method. First, the incomplete information game and the Harsanyi conversion problem is discussed through the attack and defense examples and using the game tree. Then the strategy expression of incomplete information static game and the engineering mathematics method of Bayes-Nash equilibrium are given. After that, it focuses on the offensive and defensive game problem of unsafe information network based on risk aversion. The problem of attack and defense is obtained by the issue of maximizing utility, and then the Bayes-Nash equilibrium of offense and defense game is carried out around the security risk of assets. Finally, the application model in network security penetration and defense is analyzed by designing a simulation example of attack and defense penetration. The analysis results show that the constructed income function model is feasible and practical.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제3권8호
• /
• pp.271-276
• /
• 2014

본 연구는 취약점 분석 평가 수행 시 N/A 점검항목이 보안 수준 결과에 미치는 영향 정도를 분석하였다. 이를 위하여, 본 논문에서는 취약점 분석 평가 범위 및 점검항목과 정량적 산출 방식을 이용하였으며, 항목의 중요성에 따른 등급과 가중치를 부여하였다. 또한, 주위 환경과 IT 기술 발달로 기관은 항상 위험에 노출되어 있으므로 위험 허용 수준을 적용하여 실증적 분석을 수행하였다. 분석한 결과, N/A 점검항목이 보안 수준에 영향을 미치는 요인으로 증명되었다. 즉, 취약점 분석 평가 수행 시 기관 특성상 연계성이 없는 점검항목은 제외시켜야 하는 것을 알 수 있었다. 본 연구에서는 실증검증을 토대로 기관 특성과 연계성을 갖지 않는 항목을 제외한 후 보안 수준 평가를 수행해야 함을 시사 하였으며, 기관 특성을 고려한 취약점 분석 평가 점검항목 정립 모델 연구가 필요함을 제시하였다.

• 한국컴퓨터정보학회논문지
• /
• 제25권9호
• /
• pp.143-150
• /
• 2020

본 연구는 다중위해사례를 중심으로 경호임무수행 간 출입통제 활동을 실시하는 과정에서 유발되는 경호원의 휴먼에러가 무엇인지 규명하고 그에 따른 대책을 제시하는데 목적이 있다. 이를 검증하고자 사건의 순서를 시계열로 배열한 뒤 변동노드를 중심으로 문제점을 파악할 수 있는 'VTA 기법'과 'Why-Why 분석 기법'을 활용하였으며, 추가적으로 'M-SHEL Matrix'를 통하여 휴먼에러를 유발하는 환경요인과 개인요인을 추출하였다. 분석결과, 출입통제 사고를 유발하는 경호환경요인으로는 시간부족(조급함), 방문자에 대한 편견, 편중된 근무방법, 보안 관리미흡, 무사안일주의, 익숙한 분위기(긴장이완), 형식적인 근무활동, 편의제공, 과소평가 등으로 조사되었다. 그리고 경호원 개인적 측면에서 유발되는 휴먼에러는 낮은 경계의식, 형식적인 근무, 검측소홀, 안일한 대처 등으로 조사되었다.

• 한국콘텐츠학회논문지
• /
• 제5권2호
• /
• pp.107-114
• /
• 2005

기업 네트워크 환경 및 인터넷상에서 발생할 수 있는 보안상의 취약점들은 악의를 가진 내외부의 공격자들에게 악용될 가능성이 있다. 이러한 상황은 기업으로 하여금 정보 자산의 유출 및 파괴 등의 물리적인 피해와 더불어 복구를 위한 인력 및 시간의 소요 등 금전적인 손해를 야기시킨다. 이에 정확한 네트워크 보안 위험을 분석하여 이러한 피해의 가능성을 사전에 파악하고, 예방할 수 있는 방안을 마련하여 최대한의 보안성을 확보하여야 한다. 본 고는 이를 해결하기 위한 네트워크의 보안 수준을 측정하고 분석할 수 있는 국내에서의 접근 방법론을 살펴보고, 적절한 평가 절차 및 평가 수행 방법, 점검 항목을 도출한다.

• 경영과학
• /
• 제17권1호
• /
• pp.145-158
• /
• 2000

The medical records of diagnostic and testing information include sensitive personal information that reveals some of the most intimate aspects of an individual's life. The hospital information system (HIS) operates in a state of high risk which may lead to the possible loss to the IS resources caused by various threats. This research addresses twofold : (1) to perform asset identification ad valuation and (2) to recommend countermeasures for secure HIS network using case studies This paper applied a risk management tool CRAMM (Central Computer and Tele-communications Agency's Risk Analysis and Management Method) to assess asset values and suggest countermeasures for the security of computerized medical information of two large hospitals in Korea. CRAMM countermeasures are recommended at the reference sites from the network security requirements of system utilized for the diagnosis and treatment of patients. The results of the study will enhance the awareness of IS risk management by IS managers.

• Asia pacific journal of information systems
• /
• 제10권2호
• /
• pp.149-176
• /
• 2000

As companies become more dependent upon information systems(IS), the potential losses of IS resources become critical. IS management must assume the increasing responsibility for protection of IS resources as the IS and business environments become more vulnerable to various threats. The major issues facing management, when attempting to manage risks, include the assessment of the impact of risks on business objectives and the design of security safeguards to reduce the unacceptable risks to an acceptable level. This paper provides a case study of the risk management for IS. A Korean credit card company which has the high sensitivity for customers security was selected as a case. The risk management procedure using a powerful tool, CRAMM(the Central Computer and Telecommunications Agencys Risk Analysis and Management Method) was applied for this company.

• Nuclear Engineering and Technology
• /
• 제55권6호
• /
• pp.2034-2046
• /
• 2023

Industrial control systems in nuclear facilities are facing increasing cyber threats due to the widespread use of information and communication equipment. To implement cyber security programs effectively through the RG 5.71, it is necessary to quantitatively assess cyber risks. However, this can be challenging due to limited historical data on threats and customized Critical Digital Assets (CDAs) in nuclear facilities. Previous works have focused on identifying data flows, the assets where the data is stored and processed, which means that the methods are heavily biased towards information security concerns. Additionally, in nuclear facilities, cyber threats need to be analyzed from a safety perspective. In this study, we use the system theoretic process analysis to identify system-level threat scenarios that could violate safety constraints. Instead of quantifying the likelihood of exploiting vulnerabilities, we quantify Security Control Measures (SCMs) against the identified threat scenarios. We classify the system and CDAs into four consequence-based classes, as presented in NEI 13-10, to analyze the adversary impact on CDAs. This allows for the ranking of identified threat scenarios according to the quantified SCMs. The proposed framework enables stakeholders to more effectively and accurately rank cyber risks, as well as establish security and response strategies.

• 한국항해항만학회:학술대회논문집
• /
• 한국항해항만학회 2004년도 추계학술대회
• /
• pp.343-348
• /
• 2004

신세계는 테러리스트에 의한 세계무역센터의 공격으로 인해 테러로부터의 안전과 보호를 강화하기 위해 초점이 맞추어져 있다. 본 연구는 해상테러 위험요소의 구조와 우선순위를 분석하고자 한다. 이를 위해 먼저 테러의 유형과 사례를 토대로 브레인스토밍법을 이용하여 해상테러 위험요소를 추출하였고, 퍼지구조모델법을 이용하여 위험요소를 그래프로 구조화 하였으며, 계층분석법을 이용하여 위험요소간의 우선순위를 분석하였다. 그 결과 외부영향이 가장 큰 것으로 나타났다.