• Nuclear Engineering and Technology
• /
• 제53권10호
• /
• pp.3319-3326
• /
• 2021

As a form of industrial control systems (ICS), nuclear instrumentation and control (I&C) systems have been digitalized increasingly. This has raised in turn cyber security concerns. Cyber security for ICS is important because cyber-attacks against ICS can cause not only equipment damage and loss of production but also personal and public safety hazards unlike in general IT environments. Numerous risk analyses have been carried out to enhance the safety of ICS and recently, many studies related to the cyber security of ICS are being conducted. Many existing risk analyses and cyber security studies have considered safety and cyber security separately. However, both safety and cyber security perspectives should be considered when analyzing risks for complex and critical ICS facilities such as nuclear power plants (NPPs). In this paper, the STPA-SafeSec methodology is selected to consider both safety and security perspectives when performing a risk analysis for NPPs in order to assess impacts on the safety by cyber-attacks against the digital I&C systems. The STPA-SafeSec methodology was applied to a test-bed system that simulates a condensate water (CD) system in an NPP. The process of the application up to the development of mitigation strategies is described in detail.

• 정보보호학회논문지
• /
• 제14권5호
• /
• pp.141-151
• /
• 2004

전자상거래의 활성화에 따라 이동매체의 안전에 대한 요구사항이 늘어나고 있다. 이동매체간의 호환성을 제공하기 위해서는 보안 API(Application Programming Interface)가 쉽고 안전하게 설계되어져야한다. 현재 많은 제품과 개발에 호환성과 확장성 표준을 제시하고 있는 RSA사의 PKCS(Public Key Cryptographic Standard) #11 인터페이스를 선택하여, 국내 전자서명 표준인 KCDSA(Korean Certificate-based Digital Signature Algorithm) 메커니즘을 제공하고자 한다. 그리고, PKCS #11 보안 API에 새로운 키 관리 함수를 정의하므로써 보다 더 안전한 키 관리 기능도 지원한다. KCDSA 개인키와 공개키의 객체 속성과 템플릿을 정의하고, KCDSA 메커니즘으로 전자서명을 생성하고 검증할 수 있도록 한다. KCDSA 메커니즘을 제공하는 PKCS #11을 설계 및 구현하여 성능평가하고, 보안성 및 호환성에 대하여 비교분석한다.

• International Journal of Computer Science & Network Security
• /
• 제21권8호
• /
• pp.182-186
• /
• 2021

The market for smart phones has been booming in the past few years. There are now over 400,000 applications on the Android market. Over 10 billion Android applications have been downloaded from the Android market. Due to the Android popularity, there are now a large number of malicious vendors targeting the platform. Many honest end users are being successfully hacked on a regular basis. In this work, a cloud based reputation security model has been proposed as a solution which greatly mitigates the malicious attacks targeting the Android market. Our security solution takes advantage of the fact that each application in the android platform is assigned a unique user id (UID). Our solution stores the reputation of Android applications in an anti-malware providers' cloud (AM Cloud). The experimental results witness that the proposed model could well identify the reputation index of a given application and hence its potential of being risky or not.

• 융합보안논문지
• /
• 제7권2호
• /
• pp.65-71
• /
• 2007

전자금융거래를 위해 이용자 PC에서 작동되고 있는 보안프로그램은 금융정보를 탈취하려는 악의적인 자로부터 이용자들을 보호하기 위해 보안기능을 가지고 있는 프로그램이다. 하지만 금융범죄를 자행하기 위한 악의적인 자는 해킹을 이용하여 사이버 상에서 타인의 자산을 훔치는 것과 같은 범죄를 저지르고 있다. 따라서 본 논문에서는 백신 프로그램이나 개인 방화벽과 같은 보안프로그램의 보안기능을 우회하는 해킹 툴에 의해 데이터 절취가 가능한 취약점에 대해 분석하고 이에 대한 대응방안으로 현재 작동되고 있는 보안프로그램 중 PKI 응용프로그램과 키보드 보안프로그램의 연동으로 제공될 수 있는 종단간 암호화(End-to-End Encryption) 방안에 대해서 살펴본다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2016년도 제53차 동계학술대회논문집 24권1호
• /
• pp.101-102
• /
• 2016

사물인터넷(Internet of Things)의 도래와 함께, 무선공유기(wireless access point)들의 보안이 심각한 문제로 대두되고 있다. 연구진은 대부분의 무선공유기들이 제공하는 웹 기반 관리 인터페이스들에 웹 어플리케이션 취약점(web application vulnerability)들이 존재할 수 있다는 점을 착안, 국내 주요 무선공유기들에 대한 웹 어플리케이션 취약점 점검을 수행하였으며, 악용이 가능한 여러 취약점들이 존재함을 확인하였다. 본 논문에서는 연구진이 무선공유기 대상 웹 어플리케이션 취약점 점검에 보조적으로 사용하기 위하여 개발한 3종의 모바일 앱(mobile app)들을 설명한다.

• International journal of advanced smart convergence
• /
• 제10권4호
• /
• pp.22-29
• /
• 2021

For web application vulnerability diagnosis, from the development stage to the operation stage, it is possible to stably operate the web only when there is a policy that is commonly applied to each task through diagnosis of vulnerabilities, removal of vulnerabilities, and rapid recovery from web page damage. KISA presents 28 evaluation items for technical vulnerability analysis of major information and communication infrastructure. In this paper, we diagnose the vulnerabilities in the automobile goods shopping mall website and suggest security measures according to the vulnerabilities. As a result of diagnosing 28 items, major vulnerabilities were found in three items: cross-site scripting, cross-site request tampering, and insufficient session expiration. Cookie values were exposed on the bulletin board, and personal information was exposed in the parameter values related to passwords when personal information was edited. Also, since the session end time is not set, it was confirmed that session reuse is always possible. By suggesting security measures according to these vulnerabilities, the discovered security threats were eliminated, and it was possible to prevent breaches in web applications and secure the stability of web services.

• 정보보호학회논문지
• /
• 제8권4호
• /
• pp.53-70
• /
• 1998

OMG(Object Management Group) 에서는 CORBA(Common Object Broker Architure) 환경에서의 보안 문제를 해결하기 위해서 CORBA 보안 서비스$^{[8]}$ 를 정의하였다. CORBA보안 서비스는 다양한 보안 기술을 허용하는 보안 구조를 제안하고 있으며, 사용자 인증, 접근제어, 보안 통신 등에 필요한 보안 객체를 정의하고 있다. 또한 CORBA환경에서 수행되는 응용들에게 투명한 보안 통신을 제공하는 것을 기본으로 한다. 본 논문에서는 ECMA(European Computers Association) SESAME(a Secure European System for Application in Multi-vendor Environment) Ver. 4$^{7}$ 를 사용하여 CORBA 환경에서 수행되는 응용들에게 보안 통신을 제공하는 것에 중점을 둔 CORBA보안 서비스의 설계및 구현관리 기능 등을 제공하는 보안 소프트웨어인 SESAME Ver. 4에서 제공하는 GSS-API(Generic Security Application Programming Interface)$^{[9,10,11]}$ 를 사용하여 CORBA 환경에서 보안 통신에 필요한 보안 객체들을 설계 구현하였고, CORBA 환경을 위한 전체 보안 구조를 제시하였다. 본 논문에서 제시한 보안 구조는 보안 통신을 제공하기 위해 구현된 보안 객체와 SESAME Ver. 4에서 제공하는 인증, 접근제어, 보안 정책관리 기능을 통합한 형태이다.

• Journal of Information Processing Systems
• /
• 제20권2호
• /
• pp.173-184
• /
• 2024

The connected car services are one of the most widely used services in the Internet of Things environment, and they provide numerous services to existing vehicles by connecting them through networks inside and outside the vehicle. However, although vehicle manufacturers are developing services considering the means to secure the connected car services, concerns about the security of the connected car services are growing due to the increasing number of attack cases. In this study, we reviewed the research related to the connected car services that have been announced so far, and we identified the threats that may exist in the connected car services through security threat modeling to improve the fundamental security level of the connected car services. As a result of performing the test to the applications for connected car services developed by four manufacturers, we found that all four companies' applications excessively requested unnecessary permissions for application operation, and the apps did not obfuscate the source code. Additionally, we found that there were still vulnerabilities in application items such as exposing error messages and debugging information.

• 시큐리티연구
• /
• 제32호
• /
• pp.205-225
• /
• 2012

본 연구는 시설보안 운영수준을 평가하여 시설보안 향상방안을 제시하는 것을 목적으로 한다. 연구목적을 위하여 보안업무가 이루어지는 특정시설을 대상으로 설문조사를 실시하였으며, 그 결과는 다음과 같다. 첫째, 보안인력은 시설보안업무의 기본이 되는 중요한 요소인데, 조사대상 시설에 보안인력이 배치되어 있지만 시설의 특성에 맞게 보안인력을 적절히 운영하지 못하는 것으로 나타났다. 둘째, 보안인력의 직무교육 훈련 수준은 비교적 적절한 것으로 나타났는데, 이는 근무교대방식과 시설에 상주하는 임직원에 대한 서비스마인드 수준, 보안인력의 근무의지 수준이 적절하게 나타난 것과 관련이 있는 것으로 볼 수 있다. 셋째, 보안상황실 운영이 잘 이루어지고 있지만 통제구역 설정과 출입자 통제 수준, 물품에 대한 통제 및 검색 수준, 차량통제 수준이 낮게 나타났다. 넷째, 보안업무를 위해 참고할 수 있는 보안업무매뉴얼의 활용수준은 보안계획서의 활용수준과 사고예방 및 대응매뉴얼의 활용 수준보다 높은 것으로 나타났다. 시설보안을 향상시키기 위해 조사결과에서 수준이 낮게 평가된 보안인력 운영과 출입통제, 물품검색, 차량통제 및 주차관리, 화재 및 각종 안전사고에 대비한 조치 등에 관한 내용을 활용도가 높게 나타난 보안업무매뉴얼에 세부적으로 명시하여 수준이 높게 나타난 교육 훈련 수준을 활용할 수 있다.

• 에너지공학
• /
• 제13권1호
• /
• pp.60-67
• /
• 2004

규제완화된 경쟁적 전력시장으로의 이행은 전력계통의 운영 및 계획에 있어서 기존의 중앙급전방식과는 다른 새로운 개념을 필요로 하고 있다. 경쟁적 전력시장에서의 전력계통 운영은 경제적 측면을 충분히 고려하여 보다 적은 여유로 운영될 것으로 예상된다. 따라서 SCOPF(Security Constrained Optimal Power Flow서 역할이 커지면서 실시간 안전도 처리에 대한 중요성이 보다 부각되고 있다. 본 논문은 On-Line 상의 적용을 가능하게 하는 SCOP떠 응용을 다룬다. 전력계통의 안전도 여유는 계통의 조건과 부하상황에 따라 시시각각 변화한다. 따라서 안전도 처리를 위한 민감도 계수 역시 전력계통 상태에 따라 재계산되고 적용 시에 갱신 처리되어야 한다. 본 논문의 목적은 안전도 처리를 위한 민감도 계수의 효율적인 사용을 통해 적정 안전도를 확보하여 이 알고리즘을 계통운영상에 실시간으로 적용 가능토록 하기 위함이다. 사례연구에서는 제안된 메커니즘을 간단한 예제계통에 적용하여, 상정사고에 대한 보다 안정적인 결과가 나타남을 보였다.