• 정보보호학회논문지
• /
• 제33권1호
• /
• pp.13-31
• /
• 2023

행정전자서명(GPKI)은 대한민국 중앙정부, 지방정부, 공공기관 등이 자체행정과 대민서비스를 제공할 때 사용하는 공개키 기반구조로 정보시스템의 인증 및 보안 기능을 수행한다. 현재 행정전자서명에서 사용하는 암호체계는 2000년대 초반에 구축하였으며, 2010년에 한 차례 고도화를 진행한 후 10여 년이 지났다. 지난 10여 년간 암호를 포함하여 정보보안은 많은 변화를 겪어왔으며, 앞으로도 수많은 변화를 맞이하게 될 것이다. 따라서 행정전자서명의 지속 가능한 안전성을 위해서는 현시점에서 암호체계의 안전성을 재검토할 필요가 있다. 이 논문은 행정전자서명 암호체계에 사용된 기술 및 표준의 현황과 안전성을 분석하여, 안전성이 저하된 암호알고리즘을 사용하거나, 폐지 또는 대체된 표준을 참고하는 사례와 안전성 상향을 위해 조정해야 할 파라미터 등을 식별하였다. 그리고 이를 바탕으로 행정전자서명 암호체계 고도화를 위한 암호알고리즘 및 관련 기술의 개편 방향을 제시한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제5권6호
• /
• pp.1192-1213
• /
• 2011

Information security management systems (ISMSs) are used to manage information about their customers and themselves by governments or business organizations following advances in e-commerce, open networks, mobile networks, and Internet banking. This paper explains the existing ISMSs and presents a comparative analysis. The discussion deals with different types of ISMSs. We addressed issues within the existing ISMSs via analysis. Based on these analyses, then we proposes the development of an information security management evaluation system (ISMES). The method can be applied by a self-evaluation of the organization and an evaluation of the organization by the evaluation committee. The contribution of this study enables an organization to refer to and improve its information security levels. The case study can also provide a business organization with an easy method to build ISMS and the reduce cost of information security evaluation.

• 정보보호학회논문지
• /
• 제24권1호
• /
• pp.171-182
• /
• 2014

CC는 평가보증등급에 따라 정보보호제품의 보안취약점을 최소화할 수 있도록 지원하는 제도이다. 소프트웨어 개발보안은 소프트웨어의 개발 생명주기에서 보안취약점을 발생시킬 수 있는 보안약점을 제거하는 방법이다. 하지만 CC는 정보보호제품이 인증된 시점 이전의 보안취약점에 대해선 고려하지만 인증된 시점 이후에 발생할 수 있는 새로운 보안취약점에 대해서 고려하지 않기 때문에 정보보호제품의 안전성과 신뢰성에 대한 문제가 발생할 수 있다. 또한, 국가 및 공공기관의 정보화사업에 도입되는 정보보호제품은 CC와 소프트웨어 개발보안을 모두 만족시켜야 되기 때문에 개발자, 평가자에게 부담이 된다. 따라서 본 논문은 CC에서 소프트웨어 개발보안을 활용해야하는 당위성을 검증하기 위해 CC와 소프트웨어 개발보안이 제거할 수 있는 보안약점 및 보안취약점의 상관관계를 비교하였다. 또한, CC에서 소프트웨어 개발보안을 활용하기 위한 평가방법을 제안하여 정보보호제품의 안전성과 신뢰성을 극대화하고 개발자와 평가자의 부담을 최소화하였다.

• 정보보호학회논문지
• /
• 제26권4호
• /
• pp.885-894
• /
• 2016

스마트폰이 널리 보급됨에 따라 누구나 쉽게 사진과 동영상을 촬영하고 배포할 수 있는 시대가 되었다. 개인이 스마트폰으로 촬영한 동영상은 중요한 수사 단서나 증거로 활용되고 이때 동영상이 특정 스마트폰으로 촬영되었음을 입증해야 하는 상황이 발생한다. 이를 위해 기존 연구들에서 제시한 다양한 방식의 fingerprint 기법을 활용할 수 있다. 하지만 fingerprint 기법을 사용한 결과의 신빙성을 보강해야 하거나 그 기법을 활용할 수 없는 상황들이 존재한다. 따라서 fingerprint 기법의 사용 이전에 스마트폰 포렌식 조사가 선행되어야 하고, 동영상 파일의 메타데이터 정보를 정리한 데이터베이스를 구축할 필요가 있다. 본 논문에서는 동영상 촬영이 스마트폰에 남기는 아티팩트와 상기한 데이터베이스에 대해 설명하고자 한다.

• 정보보호학회논문지
• /
• 제25권5호
• /
• pp.1011-1019
• /
• 2015

컴퓨터 사용자가 사람인지 아닌지를 판별하는 CAPTCHA는 많은 포털 사이트에서 자동 프로그램에 의한 비정상적인 회원가입 또는 다중 로그인 방지 등을 위해 사용되고 있다. 많은 웹 사이트들은 숫자 혹은 영어로 구성된 문자열 기반 캡챠를 대부분 사용하는데, 최근에는 OCR 기술의 발달로 단순한 텍스트 기반 캡챠는 쉽게 무력화 된다. 이에 대한 대안으로 많은 웹 사이트들은 글자 판독을 어렵게 하기 위해 잡음을 첨가하거나 글자를 왜곡시키는 등 다양한 시도를 하고 있다. 본 논문에서 대상으로 하는 국내 한 포털 사이트 역시 공격자들에 의해 많은 공격을 당하였고, 끊임없이 캡챠를 발전시키고 있다. 본 논문에서는 해당 사이트에서 현재 사용되고 있는 다양한 자연 배경을 지닌 캡챠에 대해 분석하고, SVM을 이용한 특징 분리 후 CNN을 이용한 글자 인식을 통해 해당 캡챠의 취약성을 검증하였다. 실험 결과, 총 1000개의 캡챠 이미지 중 368개에 대해 정확히 맞추었고, 이를 통해 해당 포털 사이트에서 현재 사용하고 있는 새로운 버전의 캡챠 역시 안전하지 않음을 입증하였다.

• 정보보호학회논문지
• /
• 제25권5호
• /
• pp.1167-1174
• /
• 2015

모바일 시장에서 스마트폰의 점유율이 기하급수적으로 높아짐에 따라 많은 제조사들은 자체적으로 모바일용 운영체제를 개발해왔다. Firefox OS는 Mozilla 재단이 개발한 스마트폰 및 태블릿용 오픈소스 운영체제이며 자바 스크립트를 사용하고 HTML5를 기반으로 동작한다. Firefox OS를 탑재한 스마트폰을 출시하는 제조사는 지속적으로 늘고 있는 추세이다. 하지만 기존의 Firefox OS 포렌식에 관한 연구는 단순히 추상적인 포렌식 프로세스 및 블록 크기에 따른 이미징 속도에 관한 연구만 진행되었기 때문에 조사관점에서 스마트폰에 존재하는 아티팩트들을 분석하기 힘들었다. 본 논문에서는 Firefox OS에서 사용자 데이터 훼손을 최소화하여 데이터를 수집하는 방법과 스마트폰에 남는 시스템 및 사용자 데이터를 분석한 결과를 바탕으로 포렌식 분석 프레임워크를 제안한다.

• 정보보호학회논문지
• /
• 제25권4호
• /
• pp.727-738
• /
• 2015

현재 전력 분석은 여러 가지 부채널 분석 중 가장 활발하게 연구되고 있다. 1999년 Kocher 등에 의해 차분 전력 분석이 제안된 이후로 소프트웨어/하드웨어 기반 암호 디바이스를 대상으로 하는 다양하고 현실적인 전력 분석 공격이 제안되었다. 본 논문은 공개키 암호 알고리즘에 대하여 단 하나의 파형을 이용하는 전력분석에 안전한 대응기법의 취약성을 분석한다. 2010년 ICICS에서 Clavier 등은 단 하나의 지수승 파형으로 비밀 정보를 찾아낼 수 있는 수평적 상관관계 분석과 그에 대한 대응기법을 제안하였다. 그 중 하나인 "Blind operands in LIM" 대응기법은 큰 정수 곱셈의 두 입력에 대한 덧셈 블라인딩을 이용하여 비밀정보와 관련된 중간 값 노출을 막는다. 그럼에도 불구하고 이 대응기법은 공격자가 알고 있는 평문에 대한 전력 누설을 일으킬 수 있는 취약점을 가지고 있다. 본 논문에서는 세 가지 공격시나리오를 통해 취약점을 분석했고 실제적인 실험을 통해 이를 증명하였다.

• 정보보호학회논문지
• /
• 제25권2호
• /
• pp.241-251
• /
• 2015

유한체 연산을 기반으로 하는 공개키 암호 시스템은 고속 연산이 매우 중요한 과제이다. 본 논문에서는 8-bit ATmega128 프로세서 환경에서 이진 기약다항식 $f(x)=x^{271}+x^{207}+x^{175}+x^{111}+1$과 $f(x)=x^{193}+x^{145}+x^{129}+x^{113}+1$을 이용한 감산 연산의 효율성을 높이는 데에 중점을 두었다. 기존의 감산 연산 알고리즘인 Fast reduction의 최종적인 감산 결과 값을 제시함으로써, 중복 발생하는 메모리 접근을 최소화 하여 최적화된 감산 알고리즘을 제시한다. 제안하는 기법을 어셈블리 언어로 구현 시 기존의 감산 연산 알고리즘과 비교하여 각각 53%, 55% 향상된 결과를 얻었다.

• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1087-1101
• /
• 2013

스마트폰, 태블릿 PC 등 스마트 기기가 보급되면서 SNS(Social Network Services)의 사용자가 증가하고 있다. SNS는 연령이나 직업 등 사용자의 배경과 무관하게 많은 사람들과 인맥 형성을 할 수 있고, 정보를 쉽고 빠르게 전달하는 도구로 사용되고 있다. 최근에는 SNS의 장점을 악용하는 역기능이 이슈화되고 있다. 예를 들면, 계정 생성이 간편하고 인증절차 없이 가입할 수 있는 점을 통해 한 사용자가 다수의 계정을 생성하여 광고성 글 게재, 악성 댓글 등 악성 행위를 하거나, 친구관계를 맺어 사용자의 개인정보를 유출하는 것을 꼽을 수 있다. 본 논문에서는 세계적으로 가장 점유율이 높은 SNS인 페이스북을 연구대상으로 정한다. 따라서 페이스북 사용자들로부터 생성되는 정보를 안전하게 공유하고 서로 간의 신뢰관계를 보장하며, 악성 행위를 하는 사용자나 봇을 판단하기 위해 사용자의 행동을 기반으로 신뢰기준을 선정하여 이에 따른 신뢰점수를 사용자 계정에 적용시키는 방법을 제안한다.

• 한국콘텐츠학회논문지
• /
• 제7권12호
• /
• pp.355-364
• /
• 2007

정보통신기술의 발달로 인해 전쟁의 패러다임은 근본적으로 변화되고 있다. 이에 따른 미래전의 패러다임 중의 하나가 네트워킹을 통한 정보우위의 달성을 추구하는 네트워크 중심전(NCW : Network-Centric Warfare)이라고 할 수 있다. 이러한 NCW에서는 정보량이 급격히 증가하고 시스템의 운용 개념이 복잡해짐에 따라, 정보보호 측면에서 위협과 취약성이 급격히 증가하고 있다. 이에 따라 정보보호기술이 NCW전에서의 임무수행에 있어 기본적이고 필수적인 기술이 되고 있으며, 전 세계적으로 연구개발이 지속적으로 추진되고 있다. 그러나 한국관의 경우 NCW의 연구개발 단계에 있어서 특허현황 분석을 통한 선행기술조사가 거의 이루어지지 않고 있는 실정이다. 본 논문에서는 네트워크 중심전을 위한 정보보호기술에 대하여 국내외 특허 현황 및 기술수준을 분석해 봄으로써, NCW 정보보호기술 분야의 효율적인 연구개발 방향을 설정하는 데 중요한 자료를 제공하고자 한다.