• 경영정보학연구
• /
• 제25권3호
• /
• pp.179-197
• /
• 2023

산업진흥 정책의 하나로 정보보호 인력양성 및 교육이 꾸준히 이루어지고 있지만, 시장에는 여전히 중고급 이상의 숙련인력은 부족하다. 정보보안 공시제도의 시행 및 확대에 따라, 정보보호를 전담할 전문인력의 확보 및 유지의 필요성은 더욱 커지고 있다. 하지만, 지능정보사회로의 진입에 따라 정보기술 업무와 정보보호 업무 간의 구분은 더욱 애매해지고 있어, 정보보호만의 전문성을 키우고 인정받기 위한 수단이 필요하다. 본 논문에서는 업무수행에 필요한 지식 및 기술을 규명하여 정보보호 전문성 확보를 위한 수단으로 활용하는 방안을 제안하고자 하였다. 2014년, 2019년, 2022년 게시된 정보보호 인력 구인광고 데이터를 수집하여, 직무 키워드를 비교한 결과, 구축, 운영, 기술지원, 네트워크, 보안솔루션 등이 주요 키워드임을 확인하였으며, 이는 년도별로 차이가 없었다. 또한, 기업의 실제 수요를 파악하기 위해, 텍스트마이닝 기법을 이용하여 구인광고 내용과 국가직무능력표준 정보보호 분야 지식기술 내용을 비교 분석하였다. 그 결과, 실제 현업에서는 기술개발, 네트워크, 운영체제 등 기술적인 능력을 선호하는 것으로 나타났지만, 직업훈련에서는 법제도, 인증제도 등 관리 능력이 우선시되고 있음을 확인하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제11권6호
• /
• pp.193-204
• /
• 2022

SME(small and medium-sized enterprise) 환경의 스마트제조 환경에서는 실제 제조라인에서 동작하는 센서(Sensor) 및 액추에이터(Actuator)와 이를 관리하는 PLC(Programmable Logic Controller), 더불어 그러한 PLC를 제어 및 관리하는 HMI(Human-Machine Interface), 그리고 다시 PLC와 HMI를 관리하는 OT(Operational Technology)서버로 구성되어 있으며, 제어자동화를 담당하는 PLC 및 HMI는 공장운영을 위한 응용시스템인 OT서버 및 현장 자동화를 위한 로봇, 생산설비와의 직접적인 연결을 수행하고 있어서 스마트제조 환경에서 보안 기술의 개발이 중점적으로 필요한 영역이다. 하지만, SME 환경의 스마트제조에서는 과거의 폐쇄 환경에서 동작하던 시스템으로 구성되어 있는 경우가 상당하여 인터넷을 통해 외부와 연동되어 동작하게 되는 현재의 환경에서는 보안에 취약한 부분이 존재한다. 이러한 SME 환경의 스마트제조 보안 내재화를 이루기 위해서는, 스마트제조 SW 및 HW 개발 단계에서 IEC 62443-4-1 Secure Product Development Lifecycle에 따른 프로세스 정립 및 IEC 62443-4-2 Component 보안 요구사항과 IEC 62443-3-3 System 보안 요구사항에 적합한 개발 방법론의 도입이 필요하다. 따라서, 본 논문에서는 SME 환경에서의 스마트제조에 보안 내재화를 제공하기 위한 IEC 62443 기반의 개발 보안 생애주기 프로세스에 대한 적용 방안을 제안한다.

• 정보보호학회논문지
• /
• 제25권5호
• /
• pp.1027-1041
• /
• 2015

최근, Verizon(2010), 농협(2011), SK컴즈(2011), 그리고 3.20 사이버 테러(2013)와 같이 소중한 정보가 누출되고 자산에 피해가 발생한 후에야 보안 공격을 인지하는 APT (Advanced Persistent Threat) 공격 사례가 증가하고 있다. 이러한 APT 공격을 해결하고자 이상 행위 탐지 기술 관련 연구가 일부 진행되고 있으나, 대부분 알려진 악성 코드의 시그너쳐 기반으로 명백한 이상 행위를 탐지하는데 초점을 맞추고 있어서, 장기간 잠복하며 제로데이 취약점을 이용하고, 새로운 또는 변형된 악성 코드를 일관되게 사용하는 APT 공격에는 취약하여, 미탐율이 굉장히 높은 문제들을 겪고 있다. APT 공격을 탐지하기 위해서는 다양한 소스로부터 장기간에 걸쳐 대규모 데이터를 수집, 처리 및 분석하는 기술과, 데이터를 수집 즉시 실시간 분석하는 기술, 그리고 개별 공격들 간의 상관(correlation) 분석 기술이 동시에 요구되나, 기존 보안 시스템들은 이러한 복잡한 분석 능력이나 컴퓨팅 파워, 신속성 등이 부족하다. 본 논문에서는 기존 시스템들의 실시간 처리 및 분석 한계를 극복하기 위해, 패스트 데이터 기반 실시간 비정상 행위 탐지 시스템을 제안한다.

• 융합보안논문지
• /
• 제19권5호
• /
• pp.107-118
• /
• 2019

4차 산업혁명의 핵심기술 중 하나인 사물인터넷 기술을 기반으로 국방부도 경영 효율화, 병영문화 혁신 및 전력 강화 등을 위해 국방 사물인터넷(M-IoT)의 구축을 추진하고 있다. 그러나 국방 사물인터넷에 연결되는 기기들은 대부분 데이터를 수집하고 전송하는 센싱 및 통신능력 향상에 중점을 두고 개발 및 도입되기 때문에 다양한 사이버위협에 손쉽게 노출될 수 있다. 또한, 국방 사물인터넷 환경에서 운용될 수많은 종류의 기기들을 고유하게 식별하고 기기 간 혹은 기기들과 관리서버 간의 안전한 통신채널을 구성하기도 쉽지 않다. 이에 본 논문에서는 PUF 기술을 기반으로 국방 사물인터넷 환경에서 운용될 다양한 기기들을 고유하게 식별해 내고, PUF가 생성하는 복제 불가능한 정보를 이용하여 안전한 통신채널 구성에 필요한 비밀키를 설립하고 관리해 나갈 수 있는 키 관리 기법을 제안하며 기존 키 관리 기법들과의 비교를 통해 제안된 키 관리 기법의 안전성을 분석하고, BAN Logic을 통해 논리성과 안전성을 검증한다.

• 한국멀티미디어학회논문지
• /
• 제14권5호
• /
• pp.703-709
• /
• 2011

국가기반 인프라가 IT기반의 네트워크와 맞물려 이에 따른 해킹, 인터넷 침해, 테러 등의 대상이 되고 있으며, IT융합기술 시장의 확장에 따라 위험 대상의 범위 또한 광범위해져 가고 있다 최근 보안관제의 개념이 IT분야와 결합되어 사이버 보안관제에 관한 연구가 진행되고 있으며, 이와 함께 기존 관제 시스템이 타 분야와 융합되어 그 활용 및 중요성이 증가하고 있다. 본 연구는 국가기반인프라가 되는 관제 시스템의 취약점을 분석하고, 융합기술과 접목하여 도출된 문제점을 개선 및 기능을 향상하기 위한 관제 시스템 융합에 관한 연구이다. 연구 대상은 광범위하게 활용되고 있는 'CCTV 관제 분야', ITS를 도입해 운용하고 있는 '교통관제 분야', 다양한 기술들의 활용 연구가 이루어지고 있는 '재난관제 분야'로 정하였다. 최종적으로는 이러한 문제점들을 개선하기 위해 GIS 등의 관련 시스템을 적용하고 향상된 융합 기술을 제안하였다.

• 한국융합학회논문지
• /
• 제11권10호
• /
• pp.107-113
• /
• 2020

IT기술의 발전에 따라, 여성인력의 사회 참여 확대와 함께 정보보호 여성의 인력 양성은 매우 중요한 이슈가 되고 있다. 그러므로 여성 정보보호 인력 양성의 방향을 파악하기 위해 관련 교육과정을 분석하는 것이 중요하다. 따라서 본 논문에서는 국내 수도권의 서울 지역에 소재하고 있는 여성 정보보호 인력 양성 학과의 교육훈련 프로그램을 분석하였다. 본 논문의 주된 연구 목표는 여성 정보보안 인력양성 학과가 구성하고 있는 교육훈련 체계가 NIST 인력양성 방향과 부합하고 있는지 검토하는 것이다. 연구 초점은 여성 정보보안 학과가 보안 전공별로 어떤 특성을 가진 교육과정을 편성하는지, 그리고 어떤 직무 교육에 관심을 가지는지에 초점을 맞추어 연구하였다. 또한 본 논문에서는 해당 전공의 교육과정이 NIST 인력양성 프레임워크를 기준하여, 관련 대학의 전공들이 해당 직무에 부합하는 교육훈련 체계를 가지고 있음을 확인할 수 있었다. 결론적으로 말해, 관련 전공들은 융합산업 보안의 인증 평가 인력이나 정보보안 개발인력, 그리고 일반적인 사이버 보안 인력 양성에 초점을 맞추고 있는 것으로 판단된다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2015년도 추계학술대회
• /
• pp.266-267
• /
• 2015

정보보호(지식정보 보안) 산업은 기술집약적, 고부가 가치 산업이다. 한국은 우수한 ICT 기술과 다양한 사이버공격에 대응 경험과 기술을 보유하고 있어, 전 세계의 벤치마킹 대상이 되고 있다. 하지만 국내 정보보호기업의 영세성과 함께 지원인프라는 부족하다. 국내 정보보호 산업을 활성화하는데 일차적인 조건은, 해외진출이다. 해외진출을 위해서는 국내 정보보호 산업의 제품과 서비스 및 기술에 대한 Korean Cybersecurity Goods Menu에 대한 개발이 필요하다. Menu는 해외 Buyer와 국내 Seller 뿐만 아니라, 기업과 정부가 정보보호 산업의 자산과 상품의 내용을 알게 하고 판매할 수 있는 선결조건이다. 본 논문에서는 Korean Cybersecurity Goods Menu 개발을 연구한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2021년도 추계학술발표대회
• /
• pp.189-192
• /
• 2021

5G와 사물인터넷(IoT) 시대에 데이터의 크로스컴퓨팅은 연구, 의료, 금융, 민생 분야 등에 더 많은 지원을 할 수 있고 프라이버시 안전성이 중요해지고 있다. SMPC (Secure Multi-party Computation)은 서로 믿지 않는 참여자 간의 프라이버시 보호 시너지 컴퓨팅 문제를 해결하고, 데이터 수요자에게 원본 데이터를 누설하지 않는 범위 하에서의 다자간 컴퓨팅 능력을 제공한다. IoT 장치는 전력 소모와 지연에 제한을 받기 때문에 대부분의 장치가 여전히 경량화 보안 메커니즘에 속하고 IoT에서 트래픽의 데이터 통합관리가 어렵기 때문에 통신 중 신원인식과 데이터를 주고받는 단계에서 프라이버시 유출의 문제가 발생할 수 있고 심지어 DDOS공격, RelayAttack공격 등 사이버의 목적이 될 수도 있다. 본 논문에서 IoT 네트워크 데이터 통신 특징을 분석하고 동형 암호에 기반의 SMPC 연산 아키텍처를 제안한다. 제안하는 이키텍처에서 동형 암호를 사용함으로써 장치 데이터의 안전을 보장하는 동시에 전체 네트워크 안전성도 확보한다. SMPC 및 동형암호 기술의 지속적 발전에 따라 제안하는 아키텍처가 계속 개선할 잠재력이 있다.

• 정보보호학회논문지
• /
• 제33권2호
• /
• pp.267-280
• /
• 2023

최근 컴퓨팅 및 통신 기술의 발달로 인해 IoT 디바이스가 급격히 확산·보급되고 있다. 특히 IoT 디바이스는 가정에서부터 공장에 이르기까지 그 목적에 따라 연산을 수행하거나 주변 환경을 센싱하는 등의 기능을 보유하고 있어 실생활에서의 활용이 폭넓게 증가하고 있다. 하지만, 제한된 수준의 하드웨어 자원을 보유한 IoT 디바이스는 사이버공격에 노출되는 위험도가 높으며, 이로 인해 IoT 봇넷은 악성행위의 경유지로 악용되거나 연결된 네트워크로 감염을 빠르게 확산함으로써 단순한 정보 유출뿐만 아니라 범국가적 위기를 초래할 가능성이 존재한다. 본 논문에서는 폭넓게 활용되고 있는 IoT 네트워크에서 알려지지 않은 보안위협에 선제적으로 대응하기 위해 IoT 봇넷의 네트워크 행위특징을 활용한 선제탐지 방법을 제안한다. IoT 봇넷이 접근하는 다크넷 트래픽을 분석하여 4가지 행위특징을 정의하고 이를 통해 감염의심 IP를 빠르게 선별한다. 분류된 IP는 사이버 위협 인텔리전스(CTI)를 활용하여 알려지지 않은 의심 호스트 여부를 확인한 후, 디바이스 핑거프린팅을 통해 IoT 봇넷에의 소속 여부를 최종 결정한다. 제안된 선제탐지 방법의 유효성 검증을 위해 실제 운용 중인 보안관제 환경의 다크넷 대역에 방법론 적용 및 확인 결과, 선제탐지 한 약 1,000개의 호스트가 실제 악성 IoT 봇넷임을 10개월간 추적관찰로 검증하여 그 유효성을 확인하였다.

• 정보보호학회지
• /
• 제22권8호
• /
• pp.31-35
• /
• 2012

안전결제 시스템(ISP)의 사고 건수는 2007년 5천만원부터 2010년 1억7천만원, 최근인 2012년 1억 8천만원으로 증가하고 있다. 안전결제 시스템은 국내 최초의 PKI기반 전자서명방식을 적용한 신용카드 인터넷 결제서비스 이다. 안전결제 시스템에 대한 해킹사고가 국민에게 직접적인 금전 피해를 야기 시켜서 사고에 대한 취약점 분석 및 대응 지침에 관한 연구가 필요하다. 본 논문에서는 안전결제 시스템에 대해 정의하고 원리를 파악하여 취약점을 기술하고 분석하여 취약점에 따른 대응 지침을 연구한다. 아울러 국가와 국민의 사이버 안전을 보호하고, 국민들에게 보다 안전하고 편리하게 온라인 결제를 할 수 있도록 하는 연구가 될 것이며 미흡한 온라인 보안 강화를 위한 전자상거래법 개정안이 채택되는데 도움이 될 것이다.