• 정보보호학회지
• /
• 제30권5호
• /
• pp.35-44
• /
• 2020

정보화 시대의 도래와 함께 원자력발전소 등 사회 간접자본의 중요 시설에서 운영되는 각종 장치들 역시 디지털화되면서 기존에 존재하지 않았던 사이버 공격에 대한 위협이 현실화되고 있다. 이러한 중요 사회 간접자본 등의 운영에 위협을 가하는 행위는 사회적으로 경제적으로 매우 큰 재난을 발생시킬 수 있기 때문에 공격 발생 이전에 사전 방어 체계를 구축해야 하는데, 이때, 실질적으로 위협이 되는 취약점의 존재 여부를 사전 인지하는 것이 매우 중요하다. 이를 위하여 본 논문에서는 원자력발전소의 계측제어계통에서 운영되는 국산화된 디지털 장치에 대하여 관련 취약점을 확인하고 확인된 취약점의 실질적인 위험도를 장치의 운영환경 특징을 반영하여 도출하며, 주요 기기의 운영 규제지침의 준수 여부를 점검하는 도구의 개발 결과를 소개한다. 본 논문은 원자력발전소 상에서 운영되는 시스템을 주요 대상으로 작성되었다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2023년도 제68차 하계학술대회논문집 31권2호
• /
• pp.197-198
• /
• 2023

드론 기술이 발전함에 따라, 최근에는 재난 구조 및 교통 관측, 과학 연구와 같은 분야에서 드론이 활용됨으로써, 사회적 및 산업적 발전에 일조하는 실정이다. 그러나 드론의 사용률이 증가하는 상황에서, 다양한 취약점을 내포한 드론으로 인하여, 심각한 보안위협이 발생하는 문제점이 존재한다. 이에 따라, 드론에서 발생하는 보안위협에 대응하기 위한 연구가 요구되며, 본 논문은 대응방안을 도출하기 위한 목적으로, 드론에서 발생 가능한 신규 취약점을 분석하고 실증한다. 본 논문에서 발굴한 신규 취약점은 A 드론을 대상으로, 기존의 다중 접속 취약점을 악용한 FTP 및 TELNET 접속 취약점이며, FTP 접속으로 암호화된 파일에 접근이 가능하고 TELNET 접속으로 루트 권한의 셸을 실행하는 신규 취약점을 발굴하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2002년도 봄 학술발표논문집 Vol.29 No.1 (A)
• /
• pp.883-885
• /
• 2002

오늘날 인터넷 기술이 급격한 성장과, 인터넷을 통한 조직과 개인의 사회적 활동의 증가에 따라 인터넷에 대한 우리의 생활 의존도가 점차로 커지고 있으며 이에 따른 역작용으로 침해사고 및 정보의 유출, 파괴, 서비스방해, 위조, 변조 등의 컴퓨터범죄가 날로 증가하여 심가한 사회문제로 대두되고 있다. 사이버 공간에서 전산망을 보호하기 위해서 사용자 인증, 무결성 점검, 침입탐지, 파이어 월 등 다양한 기술이 사용되고 있다, 하지만 가장 우선시 되어야 하는 것은 공격의 목표가 되는 시스템의 보안 취약점을 찾아내고 이를 제거하는 작업이라고 할 수 있다, 이 논문에서는 대학 전산망의 확대와 해킹기술은 급속히 발달하고 있지만 이에 비해 대학 전산망 보호를 위한 보안장비 및 관리자/사용자들의 보안 지식 및 기술은 절대적으로 부족한 실정을 감안해서, 내부 사용자들이 자신의 취약점을 쉽게 점검 및 해결할 수 있고, 관리자들이 전산망의 취약점을 파악하는데 효과적인 시스템을 제안한다.

• 정보보호학회논문지
• /
• 제27권2호
• /
• pp.259-266
• /
• 2017

현대사회는 가정, 산업, 금융 등 다양한 분야에 IT 기술 기반 시스템이 도입되어 운영되고 있다. 사회의 안전을 보장하기 위해서는 사회 전반에 도입된 IT 시스템을 사이버 공격으로부터 보호해야하며, 이를 위해 시스템의 현재 보안상태를 이해하고, 점검하는 것은 사이버 공격에 효과적으로 대응하기 위해 선결되어야 하는 과제이다. 본 논문에서는 보안 취약점을 점검하기 위해 사용되는 Game Theory 및 Attack Tree 방법론의 한계점을 분석하고, 두 방법론의 한계를 상호 보완한 보안 취약점 정량화 기법을 제안하여, 보다 객관적이고 체계적으로 보안 취약점을 점검할 수 있는 방법을 제공한다.

• 정보보호학회지
• /
• 제19권6호
• /
• pp.32-40
• /
• 2009

국내에서는 정보통신기반시설의 중요성을 인식하고 2001년부터 정보통신기반보호법을 제정하여 이중 국가 사회적 중요성이 높은 시설을 주요정보통신기반시설로 지정하여 국가차원의 관리를 하고 있다. 이러한 주요정보통신기반시설에 대하여 해당 관리기관은 시설에 대한 취약점 분석 평가를 실시하고 있다. 본고에서는 관리기관이 자체 수행 또는 외부 컨설팅 기관을 이용하여 해당 시설에 적합한 취약점 분석 평가가 이루어질 수 있도록 취약점 분석 평가 관리 방안을 제시하였다. 또한 방송 통신 분야 주요정보통신기반시설에 적용한 사례를 분석함으로써 분야별 취약점 분석 평가 관리 방안 적용결과를 검증하였다. 주요정보통신기반시설을 보유한 관리기관별 또는 소관 분야 주요정보통신기반시설을 관리하는 관계중앙행정기관은 제안하는 방안을 활용하여 해당 시설에 적합한 취약점 분석 평가를 수행 또는 관리할 수 있을 것이다.

• 인터넷정보학회논문지
• /
• 제14권3호
• /
• pp.23-33
• /
• 2013

최근 IT분야에서 클라우드 컴퓨팅 기술은 유연성, 효율성, 비용절감이라는 특징을 갖고 있어 현 사회에 빠르게 보급되고 있다. 그러나 클라우드 컴퓨팅 시스템은 보안의 취약점을 크게 갖고 있다. 본 연구에서는 클라우드 컴퓨팅 시스템 보안의 취약점 해결을 위해, 가상머신의 취약점에 대한 유형 및 영향분석 타입(impact type)을 정하고, 가상머신의 취약점에 대한 위험도 평가에 따른 우선순위를 정하였다. 취약점 분석을 위해서는 오픈프레임워크인 CVSS2.0을 기반으로 취약점에 대한 위험도 측정 기준을 정의하고 해당 취약점마다 점수를 매겨 위험도 측정을 체계화하였다. 제시된 취약점 위험도 기준은 취약점의 근본적인 특징을 제시하고 취약점에 대한 위험도를 제공하여 취약점 최소화를 위한 기술적 가이드를 작성하는 데에 활용 가능할 것으로 판단된다. 또한 제시된 취약점 위험도 기준은 연구내용 자체로 의미가 있으며 향후 추진될 기술 정책프로젝트에서 활용될 수 있다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2011년도 제44차 하계학술발표논문집 19권2호
• /
• pp.75-77
• /
• 2011

Smart Grid는 전기망과 정보통신망이 융합된 형태로 발전 송전 배전의 전 과정에 대한 통제가 가능하고, 결과적으로 에너지 사용의 효율성을 높이고자 하는 것이 지능형 전기망이다. 정보통신망을 이용하기 때문에 기존의 다양한 사이버 보안위협으로부터 그대로 노출되어 있으며, 전기망에서의 취약점도 함께 가지고 있다. 본 논문에서는 우리나라보다 먼저 Smart Grid를 도입한 나라의 Smart Grid 공격 사례와 예상 공격에 대한 취약점을 분석하고, 분석된 취약점에 대한 Smart Grid 보안 대책을 마련한다. 본 연구를 통해 Smart Grid에 대한 보안성 강화와 사회안정성 향상에 기여하게 될 것이다.

• 정보보호학회지
• /
• 제29권6호
• /
• pp.81-88
• /
• 2019

IoT 기술을 이용한 다양한 제품과 서비스의 출시로 국내·외 IoT 산업의 급성장 및 초연결사회로의 진입이 가속화되고 있는 가운데, 보안에 취약한 IoT 기기를 공격 목표 및 도구로 악용하여 다양한 침해사고가 발생되고 있다. 이와 같은 상황은 IoT 기기 보급 활성화와 더불어 더욱 증가할 것으로 전망되고 있으며, 피해의 범위 및 정도에 있어서 막대한 사회적·경제적 손실을 유발하게 될 것으로 우려되고 있다. IoT 기기를 대상으로 하는 침해사고는 주로 디폴트 계정이나 추측하기 쉬운 패스워드를 사용하는 등 관리적 미흡 혹은 기기 자체의 취약점을 악용하여 발생하는 공격으로 인하여 발생되고 있다. 이에 정부 및 산업체에서는 IoT 기기의 보안 내재화, 기기 소유자의 보안인식 제고 등 IoT 기기의 보안성 강화를 위한 다양한 활동을 진행하고 있다. 하지만 IoT 기기 및 사용 환경의 특징 상 모든 IoT 기기를 안전하게 배포하여 관리하는 데에는 한계가 존재하기 때문에, 침해사고 예방 및 대응의 관점에서 공격에 노출되기 쉬운 취약한 기기를 파악하여 사전에 조치하는 노력이 필요하다. 이와 관련하여 본 논문에서는 IoT 기기 취약점을 악용하여 발생하는 공격 대응을 위해, 다양한 채널을 통해 IoT 기기 취약점 및 익스플로잇 정보를 수집하여 IoT 기기 취약점 악용 공격의 유형을 분석하고 대응의 일례를 제시함으로써 IoT 위협 탐지 및 대응 전략 수립을 위한 기초정보를 제공하고자 한다.

• 한국수자원학회:학술대회논문집
• /
• 한국수자원학회 2018년도 학술발표회
• /
• pp.172-172
• /
• 2018

물이용의 기후변화 취약성은 기후변화 뿐 아니라 이의 직, 간접적 영향으로 인한 물수요량 변화 등의 다양한 요소에 의한 영향을 받기 때문에 그 정도를 파악하기가 어렵다. 또한 기존의 대부분의 물이용 취약성 평가 연구는 단순 기후요소의 변화만 고려한 경우가 대부분이고 사회경제적 요소의 변화를 반영하지 않았다는 한계가 있다. 따라서 본 연구에서는 강 유역에서 미래 기후 변화와 사회경제적 변화에 따른 물이용 취약성 평가방법을 개발하고, 한강에 적용함으로서 다양한 사회경제시나리오에 따른 강유역의 물이용 취약성이 어떠한 영향을 받는지에 대한 이해에 주안점을 맞췄다. 개발한 평가방법은 지표기반 접근법으로, 다기준 의사결정기법인 Technique for Order of Preference by Similarity to Ideal Solution(TOPSIS)를 사용하였다. 이 방법은 IPCC의 취약성분석 방법에 사용되고 있으며, 취약성에 대한 정의에 따라 결과 값이 적응능력, 노출, 민감도로 구성되어있다. 사용된 지표 자료는 통계청 등 다양한 국가 통계자료를 기반으로 한 자료뿐 아니라, 일부분은 수문모형인 SWAT(Soil and Water Assessment Tool)모델로부터 모의된 결과를 포함한다. 기후시나리오로 Representative Concentration Pathways(RCPs), 사회경제시나리오로는 Shared Socioeconomic Pathways(SSPs)를 사용하였다. 본 연구의 물이용 취약성 평가결과는 사회경제적 요소의 변화를 기존의 평가방법에 추가 반영하여 미래 전망을 제시하는 향후 수자원 정책 방향에 기초자료로 활용될 수 있을 것이다.

• 정보보호학회지
• /
• 제30권2호
• /
• pp.49-57
• /
• 2020

군사 등의 특수 목적으로만 사용되었던 무인비행체 드론이 최근 상용 수준의 간결한 구조와 저가화가 가능해지면서 여러 제조업체를 통하여 민간분야의 다양한 응용에 활용 가능함을 증명하고 있다. 그러나 제조업체들 간의 시장 우위 선점을 위한 과열 경쟁으로 인하여 보안 안전성 검증 단계를 거치지 않은 드론과 이에 수반되는 애플리케이션이 시장에 바로 출시되면서 이들이 우리 사회를 향한 공격도구로 활용될 수 있다는 새로운 잠재적 위협이 우려되고 있다, 이와 관련하여 현재 드론과 애플리케이션과의 연결 및 데이터 통신 과정에서 완성도가 낮은 접근제어 기술이나 암호화되지 않은 통신방식을 비롯하여 드론 내부 소프트웨어의 코딩 상의 문제점 등에 의하여 다양한 취약점이 노출되고 있는 상태이다. 이러한 취약점들로 인하여 드론의 인증 해제 및 하이재킹을 통한 불법 영상촬영이나 개인정보의 유출 등을 비롯하여 특정 목표물을 향한 드론의 고의적 추락 등이 발생할 경우 재산 피해뿐만 아니라 인명 피해까지 발생할 수 있다. 특히, 현재의 드론 응용은 초기단계여서 향후 다양한 응용과 유관 기술들이 폭넓게 전개되어야 하는 시점에서 이러한 사고 가능성은 매우 심각하게 인식되어야 할 것이다. 더구나 제4차 산업혁명 시대의 드론은 비상시를 위한 다이나믹 모바일 게이트웨이 역할까지도 수행하여야 하는 환경에서 악의적인 행위는 전체 사회로 확산될 우려도 있으므로 미래 사회의 드론을 위한 안전문제는 매우 시급하고 중대하다고 할 수 있다. 이에 본 고에서는 현재까지 발표된 드론에 대한 다양한 보안위협을 조사하고 이러한 보안 위협을 요소별로 분류하여 정리하였다. 본 기고가 간단하게나마 정리한 내용을 통하여 다양한 보안위협에 대한 대응기술을 준비하기 위한 시발점이 되었으면 한다.