• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권10호
• /
• pp.4995-5014
• /
• 2018

As the area covered by the CPS grows wider, agencies such as public institutions and critical infrastructure are collectively measuring and evaluating information security capabilities. Currently, these methods of measuring information security are a concrete method of recommendation in related standards. However, the security controls used in these methods are lacking in connectivity, causing silo effect. In order to solve this problem, there has been an attempt to study the information security management system in terms of maturity. However, to the best of our knowledge, no research has considered the specific definitions of each level that measures organizational security maturity or specific methods and criteria for constructing such levels. This study developed an information security maturity model that can measure and manage the information security capability of critical infrastructure based on information provided by an expert critical infrastructure information protection group. The proposed model is simulated using the thermal power sector in critical infrastructure of the Republic of Korea to confirm the possibility of its application to the field and derive core security processes and goals that constitute infrastructure security maturity. The findings will be useful for future research or practical application of infrastructure ISMSs.

• 융합보안논문지
• /
• 제16권4호
• /
• pp.43-51
• /
• 2016

요즘 웹 애플리케이션의 보안 취약점을 이용한 해킹과 수 많은 사이트에서 개인정보의 노출로 인한 웹 사이트의 보안 문제가 날로 증가하고 있다. 그리고 이로 인한 피해가 날로 높아지고 있어 그에 대한 대책으로 안전한 웹 사이트 제작방법이 절실히 요구되고 있는 상황이다. 이에 본 논문은 웹 사이트의 제작 시에 오픈소스 웹 애플리케이션 보안 프로젝트를 고려한 OWASP TOP 10 취약점 확인방법을 제안하였고, 제안 방법을 적용하여 보안취약점을 검증하는 방법 및 취약점 개선 후 성능에 대해 분석하였다.

• 정보처리학회논문지D
• /
• 제13D권1호
• /
• pp.67-74
• /
• 2006

소프트웨어 개발 과정에서 보안 요구사항 식별은 그 중요성으로 최근에 관심이 주목되고 있다. 그러나 기존 방법들은 보안 요구사항 식별 방법과 절차가 명확하지 않았다. 본 논문에서는 소프트웨어 개발자가 보안 위협 위치의 상태전이도로부터 보안 요구사항을 식별하는 절차를 제안한다. 이과정은 상태전이도를 작성하는 부분과 어플리케이션 의존적인 보안 요구사항을 식별하는 부분으로 구성된다. 상태전이도 작성은 1) 공격자가 소프트웨어 취약성을 이용하여 자산을 공격한다는 것에 기반하여 기존에 발생했던 보안 실패 자료를 이용하여 소프트웨어의 취약성을 위협하는 위치를 식별하고, 2) 식별된 위협 위치에 해당하는 소프트웨어 취약성을 방어, 완화시킬 수 있는 상태전이도를 작성하는 과정으로 이루어진다. 어플리케이션 의존적인 보안 요구사항 식별과정은 1) 기능 요구사항을 분석 한 후, 위협 위치를 파악하고, 각 위협 위치 에 해당하는 상태전이도를 적용하고, 2) 상태전이도를 어플리케이션 의존적인 형태로 수정한 후, 3) 보안 요구사항 추출 규칙을 적용하여 보안요구사항을 작성하는 과정으로 구성된다. 제안한 방법은 소프트웨어 개발자가 소프트웨어 개발 초기에 모델을 적용하여 쉽게 보안 요구사항을 식별하는데 도움을 준다.

• 한국컴퓨터정보학회논문지
• /
• 제13권3호
• /
• pp.139-146
• /
• 2008

웹 서비스를 이용한 개인 정보 유출은 보안시스템 구축에도 불구하고 급격하게 줄어들지 않고 있다. 방화벽 시스템 구축 후에도 HTTP 80 port나 HTTPS의 443 port는 외부로부터의 접근을 허용하여 지속적으로 서비스를 하고 있으므로 웹 어플리케이션으로 유입되는 트래픽은 취약하다. 따라서 본 논문에서는 웹 서비스 환경으로 유입되는 다양한 형태의 공격 패턴 및 취약한 트래픽을 분석하여 정상 트래픽과 비정상 트래픽을 분류하였다. 분류된 비정상 트래픽을 대상으로 OWASP(Open Web Application Security Project)에서 권고한 웹 어플리케이션 보안취약점을 바탕으로 공격 패턴을 분석하고, 실시간 공격탐지 및 차단이 가능한 시스템을 설계하여 웹 어플리케이션의 보안 취약성을 이용한 다양한 공격 패턴을 즉각적이며, 효과적으로 방지하여 유해한 공격 트래픽으로부터 공격방지 효율을 높일 수 있는 방법을 제안하였다.

• 전기학회논문지
• /
• 제57권4호
• /
• pp.706-714
• /
• 2008

In this paper, we suggest a practical and flexible system architecture for JTAG(Joint Test Action Group) protection of application processors. From the view point of security, the debugging function through JTAG port can be abused by malicious users, so the internal structures and important information of application processors, and the sensitive information of devices connected to an application processor can be leak. This paper suggests a system architecture that disables computing power of computers used to attack processors to reveal important information. For this, a user authentication method is used to improve security strength by checking the integrity of boot code that is stored at boot memory, on booting time. Moreover for user authorization, we share hard wired secret key cryptography modules designed for functional operation instead of hardwired public key cryptography modules designed for only JTAG protection; this methodology allows developers to design application processors in a cost and power effective way. Our experiment shows that the security strength can be improved up to $2^{160}{\times}0.6$second when using 160-bit secure hash algorithm.

• 융합보안논문지
• /
• 제13권3호
• /
• pp.79-84
• /
• 2013

본 연구에서는 보안서비스 제공과정을 비즈니스 프로세스로 살펴보고, 여기서 나타나는 문제점을 해결하기 위한 융합보안기술의 적용 및 이의 프로세스화를 통한 개선된 서비스 혁신모델을 제시해 보고자 한다. 이를 위해 대표적으로 시설관리, 무인경비 등을 제공하는 물리보안 분야를 살펴보고, 여기서 나타나는 한계점을 해결하기 위해 적용 가능한 융합보안기술로 기상정보를 활용하는 방법을 서비스 사이언스 관점에서 제안한다. 본 연구의 기여도는 첫째, 서비스 혁신 관리를 통해 융합보안기술을 기반으로 위험관리 방법을 개선했다는 것이며, 둘째, 서비스의 효과를 계량화하여 위험관리 활동을 정량적 수치로 평가할 수 있다는 것이며, 마지막으로, 기상정보를 활용한 물리보안 서비스 제공 방법론을 체계적으로 프레임워크화 했다는 것이다.

• 한국컴퓨터정보학회논문지
• /
• 제12권1호
• /
• pp.161-168
• /
• 2007

웹에 대한 공격은 웹 서버 자체의 취약점 보다 웹 어플리케이션의 구조, 논리, 코딩상의 오류를 이용한다. OWASP에서 웹 어플리케이션 취약점을 10가지로 분류하여 발표한 자료에 의하면 웹 해킹의 위험성과 피해가 심각함을 잘 알 수 있다. 이에 따라 웹 해킹에 대한 탐지능력 및 대응이 절실히 요구된다. 이러한 웹 공격을 방어하기 위해 패턴 매칭을 이용한 필터링을 수행하거나 코드를 수정하는 방법이 있을 수 있지만 새로운 공격에 대해서는 탐지 및 방어가 어렵다. 또한 침입탐지시스템이나 웹 방화벽과 같은 단위보안 제품을 도입할 수 있지만 운영과 지속적인 유지를 위해서는 많은 비용과 노력이 요구되며 많은 탐지의 오류를 발생한다. 본 연구에서는 웹 어플리케이션의 구조와 파라미터 입력 값에 대한 타입, 길이와 같은 특성 값들을 추출하는 프로파일링 기법을 이용하여 사전에 웹 어플리케이션 구조 데이터베이스를 구축함으로서 사용자 입력 값 검증의 부재에 대한 해결과 비정상적인 요청에 대해 데이터베이스의 프로파일 식별자를 이용하여 검증하고 공격 탐지가 가능하다. 통합보안관리시스템은 현재 대부분 조직에서 도입하여 운영하고 있으며 일반화 되어있다. 그래서 통합보안관리시스템의 보안 감사 로그 수집 에이전트에 웹 어플리케이션 공격 탐지 기능을 추가한 모델을 제시함으로서 추가 단위보안제품을 도입하지 않고서도 웹 어플리케이션 공격을 탐지할 수 있도록 하였다.

• 한국멀티미디어학회논문지
• /
• 제19권1호
• /
• pp.51-59
• /
• 2016

Physical security protecting people from physical threats, such as a person or vehicle, has received a great attention. However, it has many risks of hacking and other security threats because it is highly dependent on automated management systems. In addition, a representative system of physical security, a CCTV control system has a high risk of hacking, such as video interceptions or video modulation. So physical security needs urgent security measures in accordance with these threats. In this paper, we examine the case of security threats that have occurred in the past, prevent those from threatening the physical security, and analyze the security problem with the threats. Then we study the countermeasures to prevent these security threats based on the problems found in each case. Finally we study for the method to apply these countermeasures.

• Spatial Information Research
• /
• 제23권6호
• /
• pp.89-98
• /
• 2015

본 연구에서는 공간정보를 활용하여 구현가능한 방범 관련 기능 및 서비스를 평가할 수 있는 기준을 도출하고, 도출된 기준별 상대적 중요도를 계산하여 최종적으로 공간정보 기반 지능형 방범서비스 어플리케이션의 적용 기능/서비스 대안에 대한 우선순위를 제시하였다. 또한 현재 정부 및 지자체 주도하에 운영 중인 10여개의 국민안심서비스의 연계방안과 세부 서비스 구현방안을 함께 제시함으로써 실질적인 사업화 및 실증화가 가능한 공간정보 기반 지능형 방범 앱서비스 모델을 제시하였다. 최종 평가기준은 1계층에 속하는 3가지와 2계층에 속하는 12가지의 평가기준에 따라 AHP 중요도 평가분석을 수행하였으며, 이를 토대로 긴급상황 시 대처방안, 보호자 실시간 위치파악 및 미아/치매환자전용 단말 사용, 사용자 참여 및 정보제공 등의 지능형 방범서비스 어플리케이션 구현방안을 모색하였다.

• 디지털융복합연구
• /
• 제14권11호
• /
• pp.501-505
• /
• 2016

최근 들어, 스마트 단말에서 지불, 인터넷 뱅킹 등 금융업무와 관련된 중요한 정보들을 다루는 경우가 많아졌다. 또한 스마트 단말의 실행환경이 공개 소프트웨어 환경 위주로 발전하면서, 사용자들이 임의의 응용소프트웨어를 다운받아 사용하는 것이 용이하게 됨에 따라, 스마트 단말이 보안적 측면에서 취약하게 되었다. 본 논문에서는 하드웨어 기반의 스마트 단말 보안 기술의 특징을 알아본다. 또한, 본 논문에서는 스마트 단말 에서 실행되는 응용프로그램을 위한 MTM 하드웨어기반의 안전한 스마트 단말 실행환경에 대한 구현방법을 제안한다. 기존의 MTM 이 모바일 장치에 대한 신뢰의 근원 기능만을 제공한 반면, 본 논문에서 제시하는 MTM 기반 모바일 보안 환경은 모바일 장치에서 실행되는 응용프로그램이 필요로 하는 다양한 보안 기능을 제공할 수 있다. 향후, 보안 하드웨어와 연동이 가능한 IoT 기기와 게이트웨이 보안 기술, 그리고 보안 하드웨어를 활용하여 다양한 IoT 기기에 적용하여 신뢰성과 보안성을 확보하는 방안에 대한 연구를 진행할 예정이다.