• Journal of Internet of Things and Convergence
• /
• v.9 no.2
• /
• pp.55-60
• /
• 2023

Recently, demand for cloud computing has increased and remote access due to home work and external work has increased. In addition, a new security paradigm is required in the current situation where the need to be vigilant against not only external attacker access but also internal access such as internal employee access to work increases and various attack techniques are sophisticated. As a result, the network security model applying Zero-Trust, which has the core principle of doubting everything and not trusting it, began to attract attention in the security industry. Zero Trust Security monitors all networks, requires authentication in order to be granted access, and increases security by granting minimum access rights to access requesters. In this paper, we explain zero trust and zero trust architecture, and propose a new cloud security system for strengthening access control that overcomes the limitations of existing security systems using zero trust and blockchain and can be used by various companies.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.26 no.2
• /
• pp.265-270
• /
• 2022

With the advent of the Fourth Industrial Revolution, the paradigm of finance is also changing. As remote work becomes more active due to cloud computing and coronavirus, the work environment changes and attack techniques are becoming intelligent and advanced, companies should accept new security models to further strengthen their current security systems. Zero trust security increases security by monitoring all networks and allowing strict authentication and minimal access rights for access requesters with the core concept of doubting and not trusting everything. In addition, the use of NAC and EDR for identification subjects and data to strengthen access control of the zero trust-based security system, and strict identity authentication through MFA will be explained. Therefore, this paper introduces a zero-trust security solution that strengthens existing security systems and presents the direction and validity to be introduced in the financial sector.

• The Journal of the Korea institute of electronic communication sciences
• /
• v.14 no.2
• /
• pp.369-376
• /
• 2019

This paper studies desirable form of future e-government in terms of intelligent government research in response to new intelligent cyber security services in the fourth industrial revolution. Also, the strategic planning of the future e-government has been contemplated in terms of the centralization and intellectualization which are significant characteristics of the fourth industrial revolution. The new system construction which is applied with security analysis technology using big data through advanced relationship analysis is suggested in the paper. The establishment of the system, such as SIEM(Security Information & Event Management), which anticipatively detects security threat by using log information through big data analysis is suggested in the paper. Once the suggested system is materialized, it will be possible to expand big data object, allow centralization in terms of e-government security in the fourth industrial revolution, boost data process, speed and follow-up response, which allows the system to function anticipatively.

• Proceedings of the KAIS Fall Conference
• /
• 2010.05b
• /
• pp.720-723
• /
• 2010

정보기술에 대한 투자규모는 날로 증가하고 있다. 국내 공공 부문의 경우에도 전자정부 구현 등을 위한 다양한 사업으로 인해 투자가 지속적으로 증가하고 있다. 이런 정보화 투자의 증대에도 불구하고 정보화의 효과에 대해서는 아직도 많은 의문이 제기되고 있다. 특히 S/W 취약성으로 인해 보안 침해사고가 발생하고, 정보화 관련 법제도 미흡으로 보안강화 노력이 강구되지 못하였으며 국가정보화의 새로운 틀이 마련되는 시점에서 법제도의 정비가 필요해졌다. 이러한 부분을 보완하고자 정보보호관리(Information Security Management : ISM)라는 제도를 분석한 프레임워크가 개발되었고, 본 논문은 이를 활용하여 국외 정보보호관리 제도 및 정책을 분석하고자 한다. ISM은 주체별로 역할과 책임을 명확하게 하고, 정보화의 목표를 조직목표에의 기여로 정하여 체계적으로 추진하되, 정보보호 보안 프로그램의 적합성과 구현 및 평가/개선을 하려는 핵심추진 노력이 필요하고, 아울러 이런 노력은 현재의 모습에 만족하지 말고 보다 나은 대안과 효과적 수단을 지속적으로 강구하려는 자세 등이 주요한 특징에 속한다. 본 논문을 통하여 분석된 국외 정보보호관리 제도 및 정책은 향후 우리나라의 정보보호관리 제도 및 정책에 상당한 영향을 미칠 것으로 기대된다.

• Journal of Internet Computing and Services
• /
• v.17 no.4
• /
• pp.79-86
• /
• 2016

Under the influence of software security-enhanced development guidelines announced in 2012, secure coding practices become widely applicable in developing information systems aiming to enhance security capabilities. Although continuous enhancement activities for code security is important, management issues for code security have been less addressed in the guidelines. This paper analyses limitation of secure coding practices from the viewpoint of quality management. In particular this paper suggests structures and the use of software metrics from coding to maintenance phases so that it can be of help in the future by extending the use of security metrics.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2021.11a
• /
• pp.251-254
• /
• 2021

국가 4차 산업혁명의 성장 동력으로 데이터 경제가 주목받고 있으며, 현(現)산업계는 초연결, 초지능, 초융합 사회로 진보하고 있다. 이와 같은 환경에서는 산업군 간의 경계가 사라지고 전방위적인 상호 유기적인 복합 생태계를 구성하게 된다. 따라서 사이버 보안사고 발생 시 단순 데이터 탈취 정도에 국한되지 않고 안보, 생명, 국가 경제 등에 돌이킬 수 없는 손실을 끼칠 것으로 예상된다. 그러나 현재 사이버 보안의 각종 제도 및 법령 등은 중복·혼재되어 있거나 특정 산업군에 적용하기에는 일부 미흡한 요소도 존재한다. 본 논문에서는 이와 같은 문제점을 개선하고 전방위적인 보안거버넌스를 달성하기 위한 통합 사이버 보안 프레임워크 구축 방안을 제언한다.

• Proceedings of the KAIS Fall Conference
• /
• 2008.11a
• /
• pp.29-31
• /
• 2008

본 논문은 미국의 정보시스템 보안성 평가, 국제표준화 현황, 안전한 정보시스템 개발을 위한 노력 등을 살펴보고, 우리 나라에서 도입하여 시행중인 보안성 평가 제도를 분석하여 우리 나라에 적합한 국가정보시스템의 보안성 검증 체계 도입 방안을 제안한다.

• Management & Information Systems Review
• /
• v.31 no.1
• /
• pp.149-165
• /
• 2012

Nowadays due to the development of IT, hacking has become a major issue and importance of information system security is rapidly increasing. This research focuses on problems of training system security experts within Korea by analysing university's management information system curriculum and proposes an alternative way to solve this problem. The result of this research is the following. First, reformation of university's curriculum for successfully training system security experts is crucial. Second, theories that was learned in university courses need to be coherent to the actual work that the system security experts do in the field. Lastly, advanced IT countries like the US and Japan have already made standards on training system auditors and reinforced it with laws. Therefore Korea should establish a formal standard system like the other IT industry advanced countries.

• 정보화사회
• /
• s.104
• /
• pp.35-39
• /
• 1996

정보화사회가 정착되면서 현재 정부나 민간의 거의 모든 분야에서 다양한 용도로 전산화가 추진되고, 국내외의 각종 통신망을 통하여 수많은 양의 정보를 유통시키고 있다. 이러한 정보통신망 이용의 급격한 증가로 최근에는 정보의 역작용에 대한 정보보안 문제가 새로운 이슈로 떠오르고 있으나, 정보보안을 위한 적절한 대책은 아직 충분하지 못한 실정이다. 보안이 필요한 주요 정보를 각종 정보관련 사고로부터 보호한다는 것은 전산기에 보관되어 있는 상태거나, 보관된 정보의 이동시에 사용자의 과실이나 제3자의 불법행위 혹은 물리적인 자연재해등으로 부터 정보의 안정성을 보장해주는 행위 일체를 말한다. 일반적으로 정보보안이란 물리적인 장애에 의한 정보파괴와 불법적 정보조작등의 모든 장해로부터 정보를 보호하는 것이다. 국방이나 외교적인 측면에서는 물론이고, 최근에는 기업에서도 동종 기업과의 경쟁에서 우위를 확보하고 국제경쟁력을 향상시키기 위하여 정보보안 유지가 반드시 필요한 주요요소중의 하나이다. 그러므로 컴퓨터와 정보통신망의 확산으로 발생되고 있는 불법적인 정보의 이용, 유출, 파괴, 등의 정보의 역작용을 억제하기 위한 노력이 시급히 필요하다. 이러한 정보의 역작용에 대한 보안기술로는 물리적 보안기술과 기술적(논리적) 보안기술로 구분할 수 있으며, 주요한 논리적 보안기술의 유형은 다음과 같은 암호시스템(Cryptosystems), 디지탈서명(Digital Signature), 키관리(Key Management), 인증(Authentication), 접근제어(Access Control) 및 부인봉쇄(Non-Repudiation)등이 있다.

• Review of KIISC
• /
• v.34 no.3
• /
• pp.35-44
• /
• 2024

제로 트러스트 패러다임은 비교적 널리 알려졌지만, 기관과 기업이 제로 트러스트 전환을 위한 정책 수립과 구축 계획을 마련하는 데는 많은 어려움이 있는 상태이다. 본 연구는 이러한 문제를 해결하기 위해, 기관과 기업의 대상 서비스 또는 시스템의 제로 트러스트 전환 계획 수립에 기반이 될 수 있는 제로 트러스트 성숙도 평가 방법론을 제시한다. 또한, 업무중요도를 고려한 제로 트러스트 보안 요구사항 수립과 관련된 핵심 요소별 성숙도 기능에 대해서도 논하고자 한다. 본 연구를 통해 기관과 기업이 효과적인 제로 트러스트 보안 체계와 보안 인프라 구축 및 운영 계획을 수립하는데 도움이 되는 정보를 제공하고자 한다.