• 한국컴퓨터정보학회논문지
• /
• 제14권12호
• /
• pp.147-156
• /
• 2009

본 논문은 신뢰할 수 있는 제 3의 기관이 없는 SIP 기반의 VoIP 환경에서 RSA 공개키 분할 전송을 이용한 SRTP키 교환 기법을 제안한다. 제 3의 기관이 요구되는 기존 SRTP 키 교환 기술들은 PKI 환경 구축에 대한 부담으로 실제 적용되기 어렵다. ZRTP의 경우 PKI 환경 구축없이 SIP 단말 간에 안전하게 SRTP 키를 교환할 수 있지만, SRTP 키 교환시 사용자가 직접 개입해야 하는 불편함이 있다. 제안 기법은 RSA 공개키를 분할하여 시그널링 세션과 미디어 세션으로 나누어 전송함으로써 제 3의 기관이 없을 때 발생할 수 있는 중간자 공격을 어렵게 하여 안전하고 사용자의 개입을 요구하지 않는다. 또한 제안 기법은 SRTP키 교환을 위한 보안 요구사항들을 만족하고, PKI 환경 구축이 어려운 실제 VoIP 환경에 적용이 용이하다.

• 한국IT서비스학회지
• /
• 제20권5호
• /
• pp.119-136
• /
• 2021

Since the global spread of COVID-19, social distancing and untact service implementation have spread rapidly. With the transition to a non-face-to-face environment such as telework and remote classes, cyber security threats have increased, and a lot of cyber compromises have also occurred. In this study, cyber-attacks and response cases related to COVID-19 are summarized in four aspects: cyber fraud, cyber-attacks on companies related to COVID-19 and healthcare sector, cyber-attacks on untact services such as telework, and preparation of untact services security for post-covid 19. After the outbreak of the COVID-19 pandemic, related events such as vaccination information and payment of national disaster aid continued to be used as bait for smishing and phishing. In the aspect of cyber-attacks on companies related to COVID-19 and healthcare sector, we can see that the damage was rapidly increasing as state-supported hackers attack those companies to obtain research results related to the COVID-19, and hackers chose medical institutions as targets with an efficient ransomware attack approach by changing 'spray and pray' strategy to 'big-game hunting'. Companies using untact services such as telework are experiencing cyber breaches due to insufficient security settings, non-installation of security patches, and vulnerabilities in systems constituting untact services such as VPN. In response to these cyber incidents, as a case of cyber fraud countermeasures, security notices to preventing cyber fraud damage to the public was announced, and security guidelines and ransomware countermeasures were provided to organizations related to COVID-19 and medical institutions. In addition, for companies that use and provide untact services, security vulnerability finding and system development environment security inspection service were provided by Government funding programs. We also looked at the differences in the role of the government and the target of security notices between domestic and overseas response cases. Lastly, considering the development of untact services by industry in preparation for post-COVID-19, supply chain security, cloud security, development security, and IoT security were suggested as common security reinforcement measures.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2006년도 하계학술대회
• /
• pp.737-740
• /
• 2006

유비쿼터스 환경을 현실 세계에 구현함에 있어 가장 중요한 핵심 기술 중 하나는 컨텍스트 정보 관리이다. 하지만 기존의 많은 연구들에서 컨텍스트를 요구함에 있어 무엇을 어떻게 요구할 것인지에 대한 방법이 명확하지 않았다. 따라서 본 논문에서는 응용이 필요로 하는 컨텍스트 정보만을 컨텍스트 매니저에게 주고받는 컨텍스트 전송 프로토콜을 소개한다. 그리고 컨텍스트 요청 메시지와 응답 메시지가 어떻게 XML로 구성되고 동작하는지 보인다. 또한, 개인 정보에 관한 컨텍스트를 안전하게 처리하기 위해 정당한 사용자만이 컨텍스트 정보를 요청하고 받을 수 있도록 SPKI/SDSI(Simple Public Key Infrastructure/Simple Distributed Security Infrastructure)를 이용한 인증절차를 소개한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2006년도 하계학술대회
• /
• pp.765-773
• /
• 2006

In ubiquitous environment, private enterprise or public institution's privacy data are sometimes exposed to hackers because of the lack of the sense of information security. We apply secret sharing scheme to solve the privacy problems. But, the existing secret sharing scheme are not suitable for the management of large a quantity of data because that required operation of large capacity. In this paper, We propose new secret sharing scheme for privacy data management. Our scheme makes high-speed operation possible, and it also allows for set weight for each secret pieces depending on weight of participants. The scheme proposed in this paper makes it efficient to collect and manage secure privacy data in ubiquitous environment.

• 시큐리티연구
• /
• 제36호
• /
• pp.525-559
• /
• 2013

오늘날 현대사회는 급변하는 사회 환경 속에서 물질 문명의 발달과 더불어 세계화, 정보화, 분권화 등의 과정에서 다양한 위험과 범죄에 노출되어 있다. 이러한 요인들은 치안환경에도 많은 영향을 미치고 있으며 이로 인한 범죄예방과 범죄발생 등 새로운 치안수요에 점차적으로 관심이 고조되고 있다. 사회의 안전을 담당하고 책임지는 주체에 대한 인식에 있어서 단순히 경찰을 비롯한 국가기관들의 책임에서 수요자 스스로 위험을 방지하고자 하는 방향으로의 전환적 책임 소재 역시 중요한 논제로 대두되어 왔다. 즉 민간이 주축이 되어 자신에게 발생될 수 있는 치안에 대한 책임을 스스로 지겠다는 적극적 의미의 관점으로 방향이 선회하고 있는데 그 이유는 치안과 관련한 모든 것을 경찰력에 의존하여 해결하는 것은 이미 한계에 도달하였다고 판단되는 상황에 이르렀기 때문이다. 따라서 이러한 사회의 변화를 예측하고 발생될수 있는 위험을 사전에 예방하려는 노력은 단순히 형사사법기관으로 대표되는 경찰 그리고 검찰의 노력에만 국한할 것이 아니라 민간 영역이 적극적으로 개입된 포괄적인 노력이 필요한 시점이라고 할 수 있을 것이다. 우리나라에서는 경비업법을 통해 사경비 분야가 공경비와의 협력을 강화해 오고 있다. 한국사회에서 강하게 대두되고 있는 분야는 민간조사 분야(Private Investigation, Private Detective)이다. 공경비 영역에서의 업무 부담을 감소시키고, 민간조사 분야의 정책적 안정을 통하여 일정 부분 민간 조사활동이 현실화되어야 한다는 주장이 입법 활동을 통하여 여러 차례 제시되면서 민간조사제도의 도입 가능성에 대한 사회적 공감대가 서서히 고조되고 있다. 이러한 시점에 발맞추어 본 연구에서는 민간조사제도의 도입 방향에 대한 고찰을 위해 지금까지 국회를 중심으로 제시된 민간조사제도 도입에 대한 발의 안을 연혁별로 분석하고, 2012년과 2013년에 걸쳐 제19대 국회에서 발의된 최근 법안을 중심으로 비교 분석을 시도하였다. 이를 토대로 민간조사제도의 도입에 대한 주요 쟁점사항과 향후 도입 시 고려되어야할 사안들을 살펴보았다. 이러한 제언을 통해 민간조사제도의 보다 발전적인 정착을 위해 단독 법안으로의 도입 필요성을 다루었으며, 본 제도의 공익적 성격을 고려하여 법인으로의 제한적 운영 필요성에 대해서도 언급하였다. 그리고 무자격자의 과도한 양산을 막기 위한 해당 분야 종사자에 대한 심층 깊은 자격시험의 실시와 본 제도의 정확한 책임 소재를 정착하기 위한 명확한 소관 부서의 지정 필요성 등을 제시하였다.

• 시큐리티연구
• /
• 제57호
• /
• pp.9-26
• /
• 2018

현 정부의 공공부문 '비정규직의 정규직화'라는 정책기조 변화를 반영하기 위해 현재 국가중요시설에서 시설방호 직무를 수행하고 있는 경비업체 소속 특수경비원의 정규직 전환이 진행되고 있다. 특히 국가중요시설로 지정되어 있는 주요 정부청사의 방호인력 구성은 방호직렬 공무원으로 구성된 방호관, 경비업체 소속의 특수경비원, 청원경찰, 경찰로 구성된 청사경비대 등 다양한 형태의 방호인력에 의해 방호직무가 수행되고 있다. 정규직 전환을 위해 국가중요시설에서 방호직무를 수행하고 있는 특수경비원의 직접고용을 위한 방식으로 특수경비원을 직접 고용하는 형태, 공단 설립을 통해 직접 고용하는 형태, 방호관(공무원)으로 신규 채용하는 형태, 자체경비원으로 직접 고용하는 형태, 청원경찰로 직접 고용하는 형태 등의 다양한 전환 방식이 논의되고 있다. 비정규직의 정규직화 정책기조 반영을 위해, 국가중요시설에서 방호직무를 수행하고 있는 경비업체 소속 특수경비원을 직접고용으로 전환하는 방식은 개별 국가중요시설의 방호 환경, 방호인력운영 특성 등 여러 사정을 고려하여 신중하게 진행할 필요가 있다. 특히, 특수경비원의 정규직화 진행과정에서는 전환대상자인 특수경비원, 이해관계자들의 다양한 의견수렴이 반드시 선행될 필요가 있다.

• International Journal of Contents
• /
• 제5권1호
• /
• pp.27-32
• /
• 2009

The private security will overcome the limit of public police system and implement a small and efficient government concept. Especially in recent years, this security system has naturally been expanded in its functions from crime prevention to prevention of disasters. To manage the emergency by the private security industry, the private security services to involve some peculiarity and specialty. The policy agenda of private security industry for crisis management are suggested. First of all, to provide quality services for emergency management, the guards from private organizations should receive professional education and training to secure the specialty. Second, we need to improve the quality of security instructors with intensive education system for them. Security instructors should be able to effectively handle lots of different matters in the fields of security, but examination of the current curriculum of education for security instructor indicates that there is not much chance of it. Third, must be natural in light that the private organizations have some limitations in their operational capabilities and scopes. Private security duties are well established in cooperation with related institutions such as the police. Lastly, development of high quality crisis management commodities in the private security becomes even more significant. The government should be determined to make an effort to grow the private industry and foster a political environment for the same purpose.

• 융합보안논문지
• /
• 제11권3호
• /
• pp.39-46
• /
• 2011

의료정보 기술의 Smart 환경, Ad-hoc networking, 무선통신 환경은 u-Healthcare 요소기술과 함께 정보보안 취약성을 증가시키는 주요 요인이다. 트래픽 도메인이란 u-Healthcare 의료정보시스템을 통과하는 트래픽 구간의 구분 영역으로서 보안기술의 적용이 가능하도록 네트워크 영역을 구분하는 개념이다. 그 구분의 기준은 보안기술의 적용이 필요한 영역, 트래픽 경로와 트래픽 성격이 타 도메인과 차별화 가능한 영역, 보안기술 적용시 타 영역의 보안기능으로 기능중복이 발생치 않는 영역이다. u-Healthcare 의료정보시스템 도메인은 사용자단말구간, 공중통신망 인프라구간, 네트워킹구간, 인트라넷구간으로 도출된다. 의료정보시스템을 도메인별로 구분하여 취약점을 평가하는 이유는 도메인별로 취약점에 대한 대처방법이 다르게 도출되기 때문이다. 본 연구는 의료정보시스템 도메인을 도출하고 도메인별 보안취약성 진단체계를 설계하여 USN 기반 u-Healthcare 시스템에서의 보안대책을 강구하기 위해서이다. 본 연구에서 제안하는 모델을 사용할 경우 현재까지 막연하게 진행 되어온 USN 기반 의료정보네트워크 보안취약성 진단대책 수립 방법을 좀 더 효과적으로 수행 할 수 있을 것으로 기대한다.

• 융합보안논문지
• /
• 제2권2호
• /
• pp.29-38
• /
• 2002

무선 인터넷에 대한 수요가 날로 증가하고 있는 가운데 무선 인터넷이 보다 활성화되기 위해서는 반드시 해결해야 될 문제가 있는데, 보안 문제가 바로 그것이다. 특히 음성 위주의 이동통신에서는 도청만이 문제가 되었지만 증권이나 뱅킹같이 단순한 정보 서비스를 뛰어넘는 상거래 활동이 이루어지는 데이터 서비스에서는 사용자 인증, 데이터 무결성 보장 등 해결해야 할 문제가 많다. 이에 무선 인터넷 환경에서 안전한 서비스를 제공하기 위해 유선 인터넷 환경에서와 같은 보안 서비스를 제공할 수 있는 무선 PH(WPKI: Wireless Public Key Infrastructure)의 필요성이 대두되었다. 즉, 유선 인터넷 환경에서 제공되는 기밀성, 무결성, 부인봉쇄 등의 보안 서비스를 무선 인터넷 환경에서도 제공하기 위해서는, 먼저 무선 PKI가 구축되고 서비스가 활성화되어야 할 것이다. 본 논문에서는 안전한 무선 인터넷 서비스를 위한 다양한 무선 인터넷 기술들과 그에 사용되는 무선 PKI기술 그리고 이에 적용 가능한 무선 PKI 표준들에 대해 분석하였다. 본 논문의 수행 결과로는 안전한 무선 PKI 서비스의 활성화와 더불어 무선 인터넷 뱅킹 서비스, 주식 거래, 온라인 쇼핑 등 무선 인터넷을 이용한 전자 상거래의 활성화에 기여할 것으로 기대된다.

• 융합보안논문지
• /
• 제17권5호
• /
• pp.3-10
• /
• 2017

자원 제약적 IoT 환경에 최적화 된 표준 프로토콜 CoAP(Constrained Application Protocol)은 IoT 환경 내의 센서노드(CoAP Server) 와 인터넷 상의 클라이언트(CoAP Client) 간의 웹 기반 통신을 지원한다. CoAP은 클라이언트의 CoAP Request 메시지에 대하여 서버의 CoAP Response 메시지로 응답하며 동작하는 Request/Response 모델이다. CoAP에서는 메시지의 보호를 위해 CoAP-DTLS(Datagram TLS)의 사용을 권고하고 있다. CoAP-DTLS에서 권고되는 보안모드(Security Mode)는 PSK(Pre-Shared Key), RPK(Raw Public Key) 및 Certificate가 있다. 하지만 IoT환경에서의 DTLS 사용에 대한 실효성 검증은 진행 중에 있다. 본 논문에서는 보안 모드가 적용될 수 있는 환경인 IETF에서 제시하는 7가지의 활용사례(Use Cases)에 대하여 분석하고 적절한 보안모드 그룹으로 구분한다. 또한 CoAP과 DTLS 보안 모드별 분석을 수행하고, Cooja 시뮬레이터를 통하여 보안채널 생성시간, 보안채널 생성 단계별 시간, 모트의 RAM/ROM 소모량에 대한 성능평가를 수행한 후 실 환경 적용 가능성에 대하여 평가한다.