• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.2165-2168
• /
• 2003

인터넷을 기반으로 기업 활동이 점차로 넘어지면서, 동적이면서 실시간의 데이터를 제공하기 위하여 거미줄처럼 여러 개의 시스템이 연계되기도 하고, ERP, CRM, EAI등으로 기업 내 Application을 통합하기도 한다. Backend System의 통합으로 얻을 수 있는 기대효과에 맞서서 이의 인터넷 서비스 위험은 더 커져 정보 보안 문제가 중요한 이슈가 되었다. 이에 본 논문에서는 웹 기반 사용자의 정보를 안전하게 보호하고, 여러 가지 보안 문제를 해결할 수 있는 안전한 애플리케이션 보안 구조에 대한 설계 및 구현에 대해 기술하였다. 기업의 웹 서비스는 B2B 와 B2E 로 구분되는 데, 특히 B2B 거래 시의 법적 증명력을 가지기 위한 전자 거래 법 규정에 따른 정보 시스템의 보안 구성 요건을 철저히 분석하여, 시스템 구현에 적용하였다. 아울러 향후 기업의 웹 기반 애플리케이션 시스템 보안 구조의 발전방향을 살펴보면서 웹 기반 정보 시스템의 보안 환경을 검토하거나, 추진할 때 도움이 될 수 있고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2009년도 춘계학술발표대회
• /
• pp.1463-1465
• /
• 2009

인터넷망을 이용하여 음성 및 영상통화를 제공하는 VoIP(인터넷전화)서비스가 확대되고, VoIP 서비스가 인터넷망을 이용함에 따라 기존의 인터넷망에서 제기된 보안위협이 증가하고 사이버 공격에 노출되고 있다. 이에 따라 본 고에서는 국제 표준인 공통평가기준(ISO 15408)에서 규정된 방법에 따라 VoIP 서비스를 제공하는 IP Phone 및 IP PBX시스템이 노출되는 사이버 상의 보안위협사항을 도출하고, 보안목적과 VoIP 및 IP PBX 시스템 보안위협에 대응할 수 있는 보안요구사항을 정의하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2021년도 추계학술발표대회
• /
• pp.259-262
• /
• 2021

팬데믹 시대를 맞아 전세계적으로 원격의료에 대한 수요가 높아졌고, 이에 따라 원격의료의 보안 위험도 급증하고 있다. 원격의료는 각각의 원격의료 참여자가 서로 보안수준이 상이한 물리적 공간에 있으면서 의료행위에 참여하고, IT와 의료기기 비전문가인 개인이 자신의 공간에서 다수의 의료기기를 운용해야 하는 경우가 많으며, 서비스형태에 따라 실시간 데이터 교환이 이루어져야 한다는 점에서 일반적인 의료와 다른 보안 이슈가 발생한다. 이와 같은 특성의 원격의료 보안 위험 대응방안 연구를 위하여 관련 표준을 검토해 보았으나, ISO/IEC 및 미국 NIST의 일반보안 표준으로부터 분기한 의료 일반에 대한 보안표준이나 의료기기 보안 가이드는 존재하지만 원격의료보안을 포괄적으로 정립한 표준을 찾을 수 없었다. 이에 따라 국제적으로 통용될 수 있는 원격의료보안 표준의 개발이 시급하며, 이를 위하여 원격의료에 대한 용어 정의, 원격의료 참조모델 규정, 원격의료 보안모델 개발이 필요하다. 향후 이와 같은 원격 의료 구성 요소들을 정의하고 구성 요소들 간의 상호작용과 환경적 보안 취약성 및 위협, 보안 요구사항을 정립한 원격의료 보안프레임워크 수립이 수행되어야 할 것이다.

• Journal of Platform Technology
• /
• 제11권1호
• /
• pp.23-37
• /
• 2023

기술패권 경쟁의 패러다임 속에서 연구개발의 중요성이 높아짐에 따라 세계 각국은 연구개발에 대한 투자를 증대함과 동시에 연구개발 보호를 위해 노력을 전개하고 있다. 한국, 미국, 일본 등 기술 선도국을 중심으로 국가연구개발을 보호하기 위한 연구보안 규제를 정비하고 있으나 보안주체인 연구자와 연구기관의 컴플라이언스 부담이 여전히 높은 상황이다. 한국은 국가적 차원의 통합적이고 체계적인 연구보안 지원체계를 마련하고자 「국가연구개발혁신법」 및 동법 시행령을 제정하여 국가연구개발사업 및 과제에 관한 보안활동을 규정하고 있으나 여전히 연구기관 및 연구자의 연구보안에 대한 이해와 실천이 미흡하며, 미국, 일본 등 해외 국가 역시 연구보안 관련 규정의 내용과 시행방안의 구체성에서 한계가 있다. 본 연구에서는 연구자의 연구보안 컴플라이언스 강화를 위해 국내외 연구보안 관련 법령 및 선행연구 분석을 통해 보안관리 영역별 정보요구사항을 정리하였으며, 이를 기반으로 연구자 중심의 연구보안 정보요구사항 항목을 설계하였다. 설계된 정보요구사항은 현장에서 연구개발을 수행하는 연구자를 중심으로 관리영역과 연구개발 수행단계를 모두 고려하여 정보요구사항을 설계하였다는 점에서 의의가 있다. 설계한 정보요구사항 항목을 기반으로 연구현장에서 체계적인 보안관리 이행이 가능할 것으로 판단되며, 이를 통해 연구개발 현장에서 연구자의 보안부담을 완화하고 연구보안 컴플라이언스를 제고할 수 있을 것으로 기대한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2022년도 춘계학술대회
• /
• pp.187-188
• /
• 2022

시대의 흐름에 따라 정보처리기술이 발전하면서 원자력시설에 대한 사이버위협 가능성이 갈수록 높아지고 있다. 국외는 2000년대에 들어 원자력시설에 대한 사이버 공격 대비가 필요하다는 인식이 늘어났으며, 실질적으로 사이버공격에 대비하기 위해 원전 사이버보안 규제 체계를 마련하기 시작했다. 국내에서는 사이버위협에 대비하기 위해 2013년과 2014년에 원자력시설 등의 방호 및 방사능 방재 대책법, 시행령 및 시행규칙의 개정 및 방사능방재법 관련 고시를 개정하였다. 그리고 2015년에 국내 원자력사업자는 개정된 법령에 따라 시설별 정보시스템 보안규정을 마련하여 원자력안전위원회로부터 7단계로 나눠진 정보시스템 보안규정 이행계획을 승인받게 되었다. 2019년에는 단계별 이행에 대한 특별검사가 완료되었고, 2019년이 지난 이후부터는 정기검사를 통해 사업자의 사이버보안 체계를 지속적으로 점검해오고 있다. 본 논문에서는 지속적으로 발전하는 원자력시설에 대한 사이버위협에 대응하기 위해 꾸준히 개정되는 원자력 시설 사이버보안 체계 점검에 적합하도록 개선된 훈련을 구축하기 위한 몇 가지 방안에 대해 제시한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2023년도 제68차 하계학술대회논문집 31권2호
• /
• pp.191-193
• /
• 2023

정보통신기술이 발전함에 따라 미래 해양산업에는 첨단 ICT 기술을 중심으로 두고 패러다임이 변화하고 있다. 해양 선박 분야에서는 현 단계인 스마트 쉽(Smart Ship), 자율운항선박(MASS) 등 육상과 선박간의 통신기술이 필요한 시점에서 사이버 공격 위험으로부터 자유로울 수 없다. 선박 간의 사용자 인증은 선박의 보안을 강화하고 인가된 사용자 만이 선박 시스템에 접근하고 조작할 수 있도록 하는 중요한 요소이다. 보안 요구 사항과 해당 규정에 따라 설계되고 구현되어야 하며, 또한 중요한 측면은 인증 시스템의 안전성과 안정성을 유지하기 위해 주기적인 업데이트와 강화된 보안 대책을 시행하는 것이다. 본 논문에서는 선박 간의 사용자 인증기술에 대해서 알아보고 다양한 방법에 대하여 제안하였다.

• 시큐리티연구
• /
• 제61호
• /
• pp.39-57
• /
• 2019

행정안전부장관의 '정부청사 보안관리'라는 권한행사는 조직법(정부조직법)만으로는 불충분하며, 이를 규율하기 위해서는 구체적인 내용과 한계를 설정하는 작용법(개별법)을 제정할 필요가 있다. 정부청사의 방호·보안 관련규정을 포함하고 있는 현행 「정부청사관리규정」(대통령령)은 법률상의 근거가 없는 법규명령으로 현 헌법체계와 부합되지 아니하며 그 법규성에 의문이 제기된다. 동 규정은 청사의 수급 및 관리, 청사의 취득 및 처분, 청사의 시설관리 등에 한정하여 규율하는 경우에는 공물관리법의 성격을 가진다고 할 수 있다. 그러나 동 규정은 '청사의 출입제한 및 통제' 등 시설보안 및 질서유지와 같은 행정청의 고권적 행위를 포함하고 있어 공물경찰법의 성격도 아울러 가지고 있다. 이에 대한 입법개선 방안으로 청사의 수급·배정 등을 규율하고 있는 「정부청사관리규정」은 그대로 유지하되, 청사의 출입관리 등 행정주체의 고권적 행위를 규정하고 있는 방호·보안관리와 관련된 조문은 법률로 상향 조정할 필요가 있다. 또한 정부청사 방호직무 수행자인 방호관(일반직공무원)의 법률상 권한 부재로 현장 방호직무 수행 간 대응력 확보에 한계가 있어 근거법 명시를 통한 방호인력의 직무권한 확보가 요청된다. 정부청사 방호·보안 관련 법률의 주요내용은 출입자의 행위제한, 방호인력의 직무권한 및 의무, 무기의 사용, 방호인력에 대한 교육·훈련, 벌칙 등과 같이 국민의 권리제한과 의무부담과 관계되는 법률유보사항은 개별법에 반드시 포함될 필요가 있다.

• 한국전자거래학회지
• /
• 제18권1호
• /
• pp.147-164
• /
• 2013

지속적인 정보보호 거버넌스를 위해서는 단순히 접근통제, 문서보안 등 기술적인 측면이 아닌 개인의 보안 행위, 문화, 규범, 개인적 가치 등 비공식적인 정보보호 행위를 관리하는데 초점을 맞추어야 한다. 그러나 많은 연구들이 정보보호 규정과 같은 공식적인 수준의 거버넌스나 기술과 같은 수단에 집중하고 있는 실정이며, 개인의 정보보호 위반 행위와 개인적 신념, 규범, 문화, 개인적 가치 등 비공식적인 수준에 대한 연구는 거의 이루어지지 않고 있다. 이에 본 연구는 정보보호 문화, 규범적 신념, 행위, 가치가 정보보호 규정 위반 행위에 어떠한 영향을 미치는 지에 대해 실증하였다. 또한 본 연구에서는 사회조직적 관점의 아노미 개념을 이용하여 조직 내에서 정보보호 규정의 중요성에 대한 인식 결핍과 정보보호 규정의 가치 결여를 '정보보호 아노미 현상'으로 정의하고, 이를 바탕으로 정보보호 문화, 규범, 행위, 가치가 정보보호 규정 위반 행위에 미치는 영향에 있어 정보보호 아노미 현상이 어떠한 역할을 하는지에 대해 실증분석을 수행하였다.

• 정보화사회
• /
• 통권82호
• /
• pp.26-29
• /
• 1994

행정전산자료 유출사건(94.6.23)과 관련하여 전산망자료중 개인정보 관련 자료에 대한 법적보안관계규정을 검토하고, 관계기업.기업.개인 등이 지켜야할 사항을 현행법을 중심으로 살펴본다.

• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제21권11호
• /
• pp.721-726
• /
• 2015

이 논문은 PHP 프로그램의 시큐어 코딩 규칙을 보이고 있다. 이 코딩 규칙들은 PHP와 관련된 28개 보안약점의 발생을 억제하기 위하여 프로그램 개발 단계에서 준수하도록 규정한 것이다. 28개 보안약점은 CVE에 보고된 실제 취약점 사례에서 분류된 22개 보안약점과 PHP 언어로 작성된 프로그램의 보안약점(CWE-661)의 하위 보안약점들, OWASP의 PHP Top5 보안약점들에서 선별하였다. 이를 기반으로 하여 14개 시큐어 코딩 규칙 범주에 걸쳐 28개 세부규칙을 개발하였다. 이 논문은 또한 적용 사례를 통해 규칙 적용이 보안약점 억제 효과가 있음을 보이고 있다. 개발된 규칙은 PHP 프로그램의 보안 목적의 분석 도구 개발의 기준으로 활용될 수 있다.