• Review of KIISC
• /
• v.28 no.2
• /
• pp.51-60
• /
• 2018

"원자력시설 등의 방호 및 방사능 방재 대책법"(이하 '방사능방재법')에 의거하여 한국원자력통제기술원은 원자력안전위원회로부터 원자력시설의 사이버보안 규제 업무를 위임받아 수행하고 있으며, 그 중 위협평가 업무를 통해 최신 사이버 위협 사례를 분석하여 사이버보안체제의 기준이 되는 설계기준위협을 설정하고 원자력사업자의 이행 여부를 평가하고 있다. 위협평가의 첫 단계로 방사능방재법에 따라 3년 마다 최신 사이버 위협 사례를 조사 및 분석하여야 하며, 사이버 위협분석 자료는 원자력사업자가 방호해야하는 최대 위협 수준인 설계기준위협 설정에 사용된다. 본 논문에서는 최근 3년간 원자력시설과 같은 중요시설 대상으로 발생한 사이버 위협 사례를 분석하였으며, 향후 분석 자료를 바탕으로 위협평가에 활용하고자 한다.

• Information and Communications Magazine
• /
• v.34 no.3
• /
• pp.23-28
• /
• 2017

현재 금융권에서는 핀테크 활성화를 위한 다양한 정책 추진과 다양한 비즈니스 모델이 창출되고 있는 실정이다. 그러나 핀테크의 본질에 대한 오해가 있는 듯하다. 핀테크의 본질은 중앙집중형 금융서비스를 P2P 분산형 서비스로 혁신하는 것을 의미한다. 이 특성이 기존의 전자금융 또는 e 금융과 핀테크의 차별성을 나타내는 중요한 개념인 것이다. 이런 측면에서 블록체인 기술이 핀테크 활성화의 기본 인프라역할을 담당하게 될 것이다. 블록체인이란 P2P 네트워크에서 상호 신뢰 할 수 없는 사람들 간의 신뢰를 확보해주는 P2P 신뢰네트워크이기 때문이다. 특히, 블록체인 기술과 암호기술을 융합한 암호블록체인을 설명하고 암호블록체인이 제2의 인터넷으로 핀테크 산업 및 보안을 근본적으로 바꾸는 블록체인패러다임을 역설한다. 한편으로는 블록체인의 탄생 배경으로 인해 블록체인에 대한 다양한 오해가 있는 듯하다. 본고에서는 블록체인 기술에 대한 정확한 이해를 바탕으로 향후 핀테크 보안에 있어서 중요한 역할을 담당할 수밖에 없는 이유와 발전 방향에 대해 논하고자 한다.

• Review of KIISC
• /
• v.8 no.3
• /
• pp.5-18
• /
• 1998

인터넷을 통한 상거래가 21세기에 중요한 상거래 수단이 될 전망이다. 인터넷 상거래 시스템은 공개키 암호시스템에 바탕을 두고 실현되고 있다. 공개키 암호 시스템의 폭넓은 사용은 사용자 공개키가 신뢰성이 있어야 안전성을 보장받을 수 있다. 공개키 기반 구조는 이를 위하여 구축되어야 한다. 따라서 안전하고 신뢰성 있게 공개키를 관리하고 공표하기 위한 공개키 기반 구조는 인터넷전자상거래 시스템뿐만 아니라 정부 기간 통신망에서도 매우 중요한 역할을 수행할 것이다. 공개키 기반 구조는 기본적으로 공개키를 CA의 서명용 비밀키로 서명한 공개키 인즌서를 활용한다. 본 고에서는 공개키 기반 구조를 정의하고, 공개키 기반 구조에서 사용될 보안 알고리듬을 살펴보며, X.509 인증서 구조와 종류, 보안 알고리듬 및 보안 정책을 식별하기위한 OID(Object ID) 와 통신 개체를 확인하기 위한 X.500 DN(Distinguished Name)를 정의하고, 믿음의 연결 고리인 인증경로, 인증 경로의 검증 방안, 새로운 요구사항인 인증 경로의 제한, 인증서 발행 및 발급을 위한 인증서 정책, 그리고 인증서 관리 방법 등을 인터넷 공개키 구조인 PKIX문서를 중심으로 기술한다. 또한 공개키 기반 구조를 위한 규격을 제시한다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2007.10a
• /
• pp.305-308
• /
• 2007

현재 네트워크상에 사용자를 인증하는 부분은 시스템 보안상으로 아주 중요한 역할을 하고 있다. 공개된 네트워크에서는 개인의 중요한 프라이버시 정보를 보호하기 위해 인증 절차를 거치게 된다. 이러한 인증 방법에는 간단한 Identity/Password 인증부터 복잡한 생채 공학 인증까지 다양한 기술들이 존재 한다. 최근 금융보안업계가 주축이 되어 일회용패스워드(OTP : One Time Password) 인증 시스템을 활용하기 위한 기술적 시도 및 개발이 활발히 이루어지고 있다. 일회용 패스워드는 사용자가 인증 받고자 할 때 새로운 패스워드를 생성하고 사용 후 버린다는 구조를 가지고 있다. 이는 매번 같은 패스워드를 사용했을 때 발생하는 보안 문제점을 해결할 수 있다. 그러나 OTP 인증 방법에도 여러 가지 공격 방법에 취약한 문제점들이 노출되어 있다. 본 논문은 기존의 인증 프로토콜 문제점을 개선하고 크기가 작은 스트림 알고리즘을 이용하여 스마트카드에서 사용 가능한 새로운 인증 프로토콜을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 1999.10c
• /
• pp.360-362
• /
• 1999

이동 에이전트 시스템은 인터넷에서 증가하고 있으며 전자 상거래 분야에 있어서 기반이 되는 개념이다. 전자상거래뿐만 아니라 다른 많은 분야에서 보안은 중요한 문제이다. 기존의 보안 기법을 이동 에이전트 시스템에 적용하기에는 많은 어려움이 있으므로 이동 에이전트 시스템에 적합한 새로운 보안 프로토콜을 필요로 하고 이에 대한 많은 연구가 진행중에 있다. 기존 시스템과 프로토콜은 서버나 클라이언트 중 한 쪽만 보호하는 단방향 인증을 제공하고 에이전트의 중요 정보를 공개하고 수명(liveness)을 보장하지 못하는 한계점을 지니고 있다. 본 논문에서 제시하는 시스템과 인증 프로토콜은 기존의 한계점을 해결하기 위한 방안을 제시하고 에이전트 서버간 상호 익명성을 보장하며 서버의 결함을 허용하는 융통성도 제공한다. 상호 인증 프로토콜을 제공함으로서 불법적인 에이전트와 서버의 침입을 막을 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2007.10a
• /
• pp.92-93
• /
• 2007

RFID(Radio Frequency Identification : 무선주파수식별) 기술은 유비쿼터스 구조 기술의 중요한 한 부분을 이루고 있다. 태그를 이용한 모든 제품들이 이러한 서비스의 대상이 되고 있지만 불행이도 다방면에 이용되는 이면에는 사용자의 사생활과 사용자 밀 판매자간의 인증문제를 이용한 서비스 공격 대상이 되고 있다. 현재 이러한 RFID 시스템의 보안 메커니즘들은 매우 중요하며 본 논문에서는 여러가지 메커니즘들 중 보안 프로토콜을 이용한 사생활과 인증문제 해결을 위해 정형검증을 통해 분석하고 새로운 프로토콜을 제안 및 구현가능성을 언급하고자 한다.

• Review of KIISC
• /
• v.24 no.3
• /
• pp.36-43
• /
• 2014

스마트폰의 보급률이 높아지고 많은 업무가 PC에서 스마트폰으로 옮겨 가면서 개인신상정보, 금융 정보와 같은 중요한 정보들도 함께 옮겨가고 있다. 최근에 이러한 중요한 정보들을 보호하기 위한 스마트폰 보안이 다양하게 연구되고 있다. 스마트폰의 휴대성 덕분에 사용자는 언제, 어디서나 다양한 업무를 수행할 수 있지만, 공격자도 마찬가지로 사용자에게 더욱 접근하기가 쉬워졌으며 스마트폰 사용자는 PC 환경보다 더욱 다양한 취약점에 처하게 되었다. 이러한 다양한 취약점 때문에 스마트폰을 겨냥한 다양한 종류의 공격 방법들이 생겨나고 있다. 본 논문에서는 스마트폰 보안 위협으로써 네트워크, 악성코드, 훔쳐보기 공격 등의 위협이 개인정보 유출이나 금전적 손실과 같은 직접적인 피해로 이루어지기 쉬우므로 해당 위협들에 대해 설명하고, 해당 위협을 완화하거나 회피할 수 있는 사용자 중심적인 최신 기술 동향을 소개한다.

• Annual Conference of KIPS
• /
• 2003.05c
• /
• pp.1717-1720
• /
• 2003

소프트웨어 개발 응용 패러다임이 분산 환경 기반을 두면서 보안 문제가 매우 중요시되고 있다. 정보통신 제품이나 시스템을 개발할 경우 보안에 대한 평가를 위해서 표준화된 요구사항들의 목록으로 공통평가기준이 정의되어 있다. 공통기준에서 고려되어야할 결함 교정에서 구체적인 절차와 결함 항목의 식별, 속성, 행위 정의가 필요하다. 본 논문에서는 소프트웨어공학 프로세스에서 보안측면을 고려하여, 생명주기의 자원과 프로세스에서 결함 추적 및 교정을 위한 기능적, 비기능적인 엔티티와 이를 기반으로 한 프로세스를 제안한다. 즉, 생명주기를 통한 개발과 평가를 지원하고, 개발자와 평가자에게 고려해야할 기준 이외에 생명주기 상에서의 자원 처리의 유무나 중요도 제공이 가능하다. 결함 추적과 교정을 위한 엔티티 적용에 대한 부가적인 비용과 노력을 감소시키고 정보보호 제품 개발과 밀접하게 연관된 결함을 검증하고 교정함으로써 제품의 개발과정의 신뢰성을 제공하고 생명주기 관리의 효율성을 증가시키고자 한다.

• Annual Conference of KIPS
• /
• 2012.04a
• /
• pp.627-630
• /
• 2012

MFP는 프린터, 복사기, 스캐너, 팩스 등의 장치가 결합되어 있는 임베디드 장치로써 출력, 복사, 스캔, 팩스 외에도 대용량의 문서 데이터를 저장하고 네트워크 통신을 이용한 원격 유지보수, 다중 전송 등의 기능을 갖고 있다. 이러한 MFP는 최근 기업 및 공공기관에서 업무의 효율성 증대와 경비절감을 위해 중요한 문서를 처리하는 장비로 널리 보급되고 있다. 하지만 내부 직원이나 공격자들에 의해 중요한 문서들이 외부로 유출되면서 기업의 피해가 증가하고 있다. 따라서 본 논문에서는 기업 내부 정보 유출을 방지하기 위해 MFP에서 발생할 수 있는 다양한 보안 취약점과 그에 따른 대책을 분석하였다.

• Annual Conference of KIPS
• /
• 2012.04a
• /
• pp.631-634
• /
• 2012

디지털 복합기는 프린터, 복사기, 스캐너, 팩스 등의 장치가 결합되어 있는 임베디드 장치로써 출력, 복사, 스캔, 팩스 외에 네트워크 통신을 이용한 원격 유지보수, 다중 사용자가 맞물려 있는 장치이다. 이러한 디지털 복합기는 최근 기업 및 공공기관에서 업무의 효율성 증대와 경비절감을 위해 중요한 문서를 처리하는 장비로 널리 보급되고 있다. 하지만 산업 스파이나 공격자들에 의해 중요한 문서들이 외부로 유출되면서 기업의 피해가 증가하고 있다. 따라서 본 논문에서는 디지털 복합기에서 발생할 수 있는 다양한 보안 취약점 및 보안 위협을 기밀성, 무결성, 가용성, 부인방지 측면에서 분석하였다.