• Proceedings of the Korean Institute of Navigation and Port Research Conference
• /
• 2022.06a
• /
• pp.350-352
• /
• 2022

자율운항선박을 IMO 자율화등급 3단계 이상으로 운용하기 위해서는 내·외부 통신시스템의 사이버보안뿐만 아니라 실시간으로 데이터를 교환하는 데이터 및 시스템 사이버안전에 대한 고려가 필수적으로 요구된다. 본 연구에서는 자율운항선박 사이버안전체계 구축방안에 대해서 살펴본다. 자율운항선박 사이버안전체계 구축을 위해서는 선박 내 사이버위협을 실시간으로 탐지하고 영향을 모니터링하는 통합 보안 시스템 구축이 필요하며, 선박 사이버안전 설계 타당성을 검증하는 사이버리스크평가 기술, 사이버안전체계를 검증하기 위한 CVE(Common Vulnerabilities Enumeration)기반 취약성 진단 및 침투테스트 기술, V-Model을 활용한 통합 소프트웨어 품질인증 기술, ISO 25024 기반 데이터 무결성 검증 기술 적용이 필요하다.

• Annual Conference of KIPS
• /
• 2016.04a
• /
• pp.259-262
• /
• 2016

최근 중요 인프라 업계에서 주로 다뤄지는 제어시스템을 표적으로 한 사이버 공격으로 Stuxnet에 이어 Havex RAT, BlackEnergy2 라고 하는 멀웨어(Malware)를 이용한 사건이 많이 증가하고 있다. 제어시스템의 새로운 공격 방법에 대한 대책으로 시스템 입구와 내부조직에 대한 대책을 강화하기 위한 필요성이 요구되어 왔지만 그러한 대책은 한정되어 있다. 본 논문에서는 보안대책에 필요한 인증 취득에 있어서 기준이 되는 국제 표준인 ISASecure(R)EDSA 인증제도에 착목했다. 인증평가는 요구요건이 중복되는 불필요한 인증평가 작업을 최소화 하는 것으로 인증 취득 시 발생되는 코스트를 절감할 수 있으며 기존의 정보 보안 관리체계(lSMS)의 인증을 취득하고 있는 기업이나 조직이면 제어시스템의 인증 기준으로 추가된 차분 요건만으로 취득이 가능 할 수 있을 것으로 상정된다. 이러한 제어시스템의 보안을 구현하기 위해 IACS(Industrial Automation and Control System)에서 표준화로 제정한 IEC62443 시리즈를 참조하여 세계각국에서 사용되는 제어시스템을 대상으로 인증(EDSA) 요구사항의 차분을 도출하는 수법을 제안하고자 한다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2008.08a
• /
• pp.183-186
• /
• 2008

본 연구에서는 전자펜으로 입력된 개인의 서명에 대하여 서명의 모양, 쓰는 속도, 필체 각도, 획 순서, 획 수 등의 다양한 동적인 정보를 비교/분석하여 진서명인지 모조서명인지를 검증하는 사용자인증 보안 기술인 동적 서명인증시스템의 성능을 평가하기 위하여 보다 객관적인 평가 기준을 제안하고, 성능 및 실험 결과를 분석하였다.

• Proceedings of the Korean Institute of Intelligent Systems Conference
• /
• 2006.05a
• /
• pp.331-335
• /
• 2006

인터넷의 발달과 사용자 증가로 인해 IETF는 다양한 네트워크와 프로토콜 상에서 안전하고 신뢰성 있는 사용자 인증을 위해 AAA를 제안하였다. 그러나 AAA의 최신 버전인 Diameter 표준의 인증 방식은 상호인증과 부인방지를 제공하지 않는다. 이러한 Diameter의 인증을 보완하기 위해 공개키를 이용한 AAA 인증 방식이 제안되었으나, 통신과 연산의 오버헤드로 인해 이동 노드에 적용이 어렵다. 이러한 단점을 극복한 ID 기반 AAA 인증 방식이 제안 되었으나 공모공격과 위장공격으로부터의 취약점을 가진다. 이 논문에서는 공모공격과 위장공격에 안전하고, 계산적 전력적 능력이 부족한 이동 노드의 연산량을 감소시키는 새로운 ID기반 AAA인증 방식을 제안한다. 제안한 방식의 검증을 위해 기존 방식을 비교 평가하여 암호학적인 안전성과 연산량의 효율성을 검증한다. 제안 방식은 이동 노드의 인증시 2개의 난수를 생성하여 안전성을 제공하며, Mobile 노드의 지수연산을 줄임으로 계산 전력적 측면에서 효율적이고 서버의 성능에 따라 인증 수행 시간을 감소 시켜 끊김 없는 서비스를 제공할 수 있는 장점을 갖는다.

• Review of KIISC
• /
• v.17 no.3
• /
• pp.49-59
• /
• 2007

정보보호 시스템 평가제도는 안정성과 신뢰성이 검증된 시스템사용을 권장하고 이를 통해 정보보호 제품 개발을 유도하며 정보보호 산업 육성을 기여하기 위한 것이다. 최근 정보보호 제품의 해외 경쟁력 증대를 위하여 인증된 평가기관 설립의 필요성이 대두되고 있어 본 논문에서는 국내 환경에 적합한 국내 정보보호 시스템 평가인증 제도의 평가기관 자격 기준을 제안하고자 한다. 이를 위하여 본 논문에서는 해외 각 국의 인증 요구사항 및 절차를 항목별로 상세히 비교 분석하였으며, 이를 토대로 국내 실정에 맞는 국내 정보보호 시스템 평가기관 승인 요구사항을 도출하였다. 적절히 제안된 평가 기관 설립 기준안은 평가가기관의 추가 설립을 위한 기준안으로 활용될 수 있을 것으로 기대한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.200-203
• /
• 2002

전자상거래, 인터넷뱅킹 등 인터넷이 대중화 된 현재 PKI는 필수적인 요소가 되고 있다. 현재 많은 공인 인증기관에서는 각각의 인증서 경로 검증 알고리즘을 사용하여 인증서 검증에 사용하고 있으나 확실한 표준화가 이루어지지 않은 상황은 유연하고 상호 연동적인 PKI 구축에 많은 어려움을 주고 있다. 이에 본 논문에서는 현재 사용되고 있는 PKI 기반 인증 시스템에서의 경로 검증 모듈의 알고리즘을 평가할 수 있는 평가 항목을 도출하고 이를 기반으로 ITU-T 및 IETF 표준 준수 여부를 평가하는 평가 도구를 구현하여 소개한다. 이 평가 도구는 다가올 유, 무선 PKI 환경 구축에 많은 역할을 할 수 있을 것이다.

• Review of KIISC
• /
• v.17 no.6
• /
• pp.41-56
• /
• 2007

정보시스템의 보호를 위한 정보보호 제품의 경우, CC를 바탕으로 하는 '정보보호시스템 평가제도'를 통해 평가 및 인증하며, 정보보호제품을 구현한 암호모듈의 경우, '암호모듈검증제도'(CMVP)를 통해 시험 및 검증한다. 본 글에서는 사실상의 국제기준인 미국 및 카나다의 CMVP의 새로운 검증기준 후보인 FIPS PUB 140-3의 변화내용을 분석한다. 또한, FIPS 140-1, FIPS 140-2, ISO/IEC 19790(즉, FIPS 140-2의 국제표준)의 내용과도 비교한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.868-870
• /
• 2003

정보화 역기능으로부터 주요 데이터를 보호하기 위해서는 안전성과 신뢰성이 검증된 정보보호시스템을 사용하여 정보보호 수준을 향상시킬 수 있도록 정보보호시스템 평가.인증제도에 대한 필요성이 더욱 높아지고 있다. 또한, 정보보호시스템의 수가 많아지고 다양화됨에 따라, 시험/평가업무량도 증대 될 것이며 국내 평가관리의 중요성이 점차 증가하고 있다. 따라서 본 논문에서는 각종 평가기관에서 평가의 효율성(최소의 비용으로 최대의 평가업무를 수행)을 기하기 위해 세부평가기술의 통합하고 평가결과 관리를 위한 그룹웨어인 정보보호시스템 평가관리시스템(EMS)을 제시한다.

• Review of KIISC
• /
• v.19 no.2
• /
• pp.87-98
• /
• 2009

국내 외 IT 제품은 그 제품이 가지고 있는 안전성 및 신뢰성에 대한 검증을 통해 국가 및 공공기관에 제품 공급 및 이용 촉진을 도모하고 있다. 또한 각 국가마다 보안제품 특징과 성격에 맞는 평가라 인증을 수행하기 위한 보안성 평가 서비스를 제공하고 있으며, 시스템 평가 기준과 방법론이 개발 및 운영되고 이에 따라 캐나다에서는 정보기술보안 제품의 안전성을 사전에 검증하기 위한 제도를 시행하고 있다. 본 고에서는 캐나다의 정보기술보안 제품 사전 검증 제도에 대한 분석을 통해 국내 적용가능성에 대하여 분석한다.

• Journal of the Korea Academia-Industrial cooperation Society
• /
• v.22 no.2
• /
• pp.85-91
• /
• 2021

The DAPA (Defense Acquisition Program Administration) has been operating the DQ mark certification since 2012 to certify the superior technology and quality of munitions. On the other hand, the current DQ mark certification can not directly provide DQ mark certification to software because it is impossible to verify the quality of software alone. Therefore, this study analyzed domestic/overseas software quality evaluation/certification standards to find a way to verify the quality of software in the DQ mark certification. Among them, the method of applying the GS certification according to the international standard ISO/IEC 25000 series to the DQ mark certification was suggested as an improvement plan, and DQ mark certification verified the quality of software and provided certification. An attempt was made to expand the certification scope of DQ mark certification. This paper proposes that the DQ mark can be given to the system software by introducing GS certification to the DQ mark certification. To this end, an improved procedure for omitting the factory audit and verification by submitting a GS certificate for product evaluation is proposed. This is expected to increase defense exports using the granted DQ mark and improve the quality of defense software products through GS certification.