• 정보보호학회지
• /
• 제23권2호
• /
• pp.7-13
• /
• 2013

전 세계적으로 스마트폰의 시장 점유율은 지속적으로 증가하고 있다. 국내도 해당 기기의 사용 편의성과 이를 이용할 수 있는 다양한 앱과 서비스의 출시로 개인 사용자와 기업, 그리고 정부를 포함한 공공기관에서 스마트폰 사용이 크게 늘어나고 있다. 스마트폰의 이용실태를 살펴보면 개인의 경우 인터넷 게임, SNS, 금융 서비스를 중심으로 이용하고 있으며, 기업, 정부와 공공기관도 업무 효율화에 적극적으로 활용하고 있다. 이와 같은 개인화된 기기인 스마트폰을 이용한 사용자의 이용확대와 다양한 서비스의 증가로 인해 사용자의 공인인증서와 같은 민감한 개인 정보를 포함해서 기업, 공공기관의 정보 자산이 해당 기기에 저장 되고 있는데, 개인 정보와 가치 있는 정보를 악의적인 방법을 이용해서 유출 및 수집 하여 불법적인 이득을 얻으려는 보안 위협 및 침해가 꾸준히 증가하고 있다. 이와 같은 보안 위협의 지속적인 증가로부터 스마트폰 환경에서 사용자를 안전하게 보호하기 위한 보안 프로그램이 꾸준히 출시되고 있다. 스마트폰의 경우는 기존의 PC 보다 컴퓨팅 파위가 낮고, 실행 환경이 제약적이기 때문에 성능을 고려한 보안 프로그램의 개발이 필요하다. 이에 본 고에서는 안드로이드 기반의 보안 프로그램을 개발할 때 고려 할 수 있는 성능 향상 방법을 살펴보도록 한다.

• 정보보호학회지
• /
• 제13권5호
• /
• pp.16-23
• /
• 2003

최근 정보통신망을 이용한 해킹사고가 급격하게 증가하고 있으며, 그 피해의 파급효과가 매우 커지고 있다. 따라서, 해킹사고로부터 네트워크와 시스템 등의 자산을 보호하는 것이 더욱 중요해지고 있다. 크래커들은 네트워크와 시스템에 존재하는 취약점을 찾아내고, 그 취약점을 이용하여 네트워크 및 시스템에 침투하여 악의적인 행동을 한다. 정보통신망에 대한 취약점 분석$.$평가에서는 네트워크 및 시스템에 존재하는 기술적, 관리적, 물리적 취약점을 분석하고, 각각의 취약점을 이용한 침투의 가능여부와 피해 파급효과에 대한 위험도 평가를 수행한다. 취약점 분석$.$평가를 수행함으로써 대상 기관에 적합한 보안대책을 수립 및 적용하여 해킹사고를 사전에 예방하고, 사고 발생시 적절히 대응할 수 있도록 한다. 본 논문에서는 정보통신망 취약점 분석$.$평가 방법론을 제시하고자 한다.

• 디지털융복합연구
• /
• 제10권3호
• /
• pp.23-37
• /
• 2012

불법적인 게임 플레이어들의 해킹 및 악성코드의 유포로 온라인게임은 고객의 개인정보 유출을 빈번하게 일어나게 하는 요인이 되고 있다. 그러므로, 온라인게임사도 게임 개발과 함께 서비스를 운영함에 있어 개인정보보호에 대한 표준화된 체계와 운영의 필요성이 크게 고려되어야 한다. 온라인 게임사별로 정보보호인증을 도입하고 인증 심사를 받고 있으나, 전반적으로 자산이나 물리적, 시스템적 보안에 중점을 두기 때문에 개인정보보호와 관련되어 좀 더 전문적인 체계가 필요하다. 본 연구는 ISO27001, KISA의 ISMS, GMITS 등 기존의 정보보호인증들과 산발적으로 운영되고 있는 개인정보보호인증마크(ePrivacy), 온라인게임 개인정보보호 가이드, BS10012 등 개인정보보호 관련 체계들을 수집하여 분석하였다. 이를 이용하여 온라인게임업체에서 운영 시 필요한 개인정보보호체계 프로세스와 각 단계별로 필요한 점검 항목을 도출하여 개인정보보호 수준을 측정하는 체계적인 도구를 제안하였다.

• 한국산업정보학회논문지
• /
• 제19권6호
• /
• pp.107-117
• /
• 2014

외부로부터의 웜 바이러스 및 악성코드와 해킹 등에 대한 위협이 증가하고 있어 기업의 정보자산 침해방지를 위한 네트워크 보안의 중요성이 커지고 있다. 따라서 본 논문에서는 기업 내부의 네트워크 보호 및 정보 자산 침해 방지를 위한 네트워크 접근 제어(NAC) 시스템의 구축사례를 통해 NAC 구현을 위한 절차 및 방법과 실제 적용에 따른 기업 보안의 개선 효과를 알아보고자 하였다. 이를 위해, A 기업의 NAC의 실제 구축 사례를 바탕으로 기업의 NAC의 구축 과정에서의 주안점과 구축 후의 성과 등을 심층 분석함으로써 기업의 네트워크 보안 효과를 높일 수 있는 방안을 제시하였다. 본 연구는 학문적으로 이 분야의 초기연구로 후속연구를 유발하였다는 점과 실무적으로는 NAC 도입을 위한 가이드라인을 제공하였다는 점에서 그 의의가 있다.

• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.1077-1088
• /
• 2019

원자력 발전소의 사이버위협이 현실화되면서 국제사회 및 국내에서는 사이버보안 규제지침 마련을 통해 필수디지털자산에 대한 적절한 보안조치를 적용하도록 요구하고 있다. 그러나 각 필수디지털자산에 대해 일괄적으로 동일한 사이버 보안조치 적용에 대해 규제 대상 내에서도 원전의 비상정지를 일으키고, 노심 손상을 유발할 수 있는 사고와 직접적으로 관련된 디지털자산에 단계적 접근방식을 적용한 규제 효과성 제고가 필요하다. 이에 본 연구에서는 원전 사고와 직접 관련된 디지털자산에 대하여 단계적 접근방식의 규제요건 개발을 위한 보안조치 적용 방안을 제시하였다. 단계적 접근방식의 기본적 고려사항인 규제 대상 설비의 침해영향도(Consequence)를 기반으로 한 규제 요건 적용을 위해 기존의 필수디지털자산에 요구되고 있는 보안조치를 보다 강화하거나 추가적인 보안조치를 개발하여 원전 사고와 직접 관련된 디지털자산에 요구하는 방식과 기존의 보안조치를 재분석하여 원전 사고와 직접 관련되지 않는 필수디지털자산에 대해서는 최소한의 보안조치를 요구하는 방식으로 크게 나누고 각 방안 별 세부적 사항을 기술하였다.

• 한국컴퓨터정보학회논문지
• /
• 제24권11호
• /
• pp.201-208
• /
• 2019

지능정보사회의 포노 사피엔스 시대에 대부분 기업 활동은 네트워크 및 정보시스템에 대한 의존도가 더욱 높아지고 있다. 우리나라 기업의 대부분을 차지하고 있는 중소기업은 보유하고 있는 정보 자산의 가치와 기술력이 점차 증가하고 있고 기업 성장의 원동력이 되는 핵심기술에 대한 보호역량은 기업의 가장 중요한 경쟁력이 될 것이다. 이에 따라 과학기술정보통신부와 한국인터넷진흥원은 높은 수준의 기업 맞춤형 정보보호 컨설팅 지원을 통해 중소기업의 현재 정보보호 수준을 평가하고 정보보호 역량을 제고함으로써 해킹, 정보유출 등 각종 사이버 위협으로부터 받는 피해를 최소화할 수 있는 기반을 제공하고 있다. 본 연구에서는 한국인터넷진흥원에서 수행한 중소기업 정보보호 컨설팅 결과를 기반으로 정보보호 효과를 분석하고 중소기업 정보보호 컨설팅 결과에서 도출된 문제점과 한계점을 파악하여 중소기업이 정보보호 관리체계를 보다 효율적이고 효과적으로 관리할 수 있는 중소기업 정보보호의 개선방안을 제안하도록 한다.

• 정보보호학회지
• /
• 제27권2호
• /
• pp.57-68
• /
• 2017

원자력시설에 대한 사이버보안 위협이 증가됨에 따라 "원자력시설 등의 방호 및 방사능 방재 대책법"에 의거 원자력통제기술원은 사이버보안 이행에 관한 세부 기준을 제시하는 KINAC/RS-015 "원자력시설 등의 컴퓨터 및 정보시스템 보안기술기준"을 마련하고 원자력 사업자로 하여금 사이버보안계획(CSP)을 이행토록 하였다. 따라서 원자력사업자는 사이버공격으로부터 필수디지털자산(CDA)을 보호하기 위해 운영적 관리적 기술적 사이버 보안조치를 적용 및 이행하여야 한다. 본 논문에서는 원자력시설의 최상위 설계요건인 안전성 및 신뢰성 확보를 위해 사이버보안 기술을 적용하는데 많은 어려움이 따르는 기술적 보안조치인 접근통제, 감사 및 책임, 시스템 및 통신의 보호, 식별 및 인증, 시스템 보안강화에 대한 이행방안을 살펴보고자 한다.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.187-194
• /
• 2019

2014년 3월, 세계 최대의 비트코인 거래소였던 마운트곡스(Mt. Gox)가 해킹 공격으로 폐쇄된 사건 이래로 최근까지 국내 암호 화폐 거래소인 코인레일(Coinrail)이 해킹되는 등 사건이 잇달아 발생하고 있다. 이러한 거래소 해킹 사건은 단순한 시스템 해킹 수준을 넘어 사용자들의 자산이 탈취되는 자산 손실로까지 피해가 확산되고 있어, 암호 화폐 거래소에 대한 보안 이슈가 발생하였다. 위와 같은 문제를 해결하기 위해 탈중앙화 거래소(DEX, Decentralized Exchange)가 활발히 연구되고 있으나 이 또한 문제를 완화시킬 뿐 해결방안으로서는 부족한 실정이다. 따라서 본 논문에서는 기존의 암호 화폐 거래소들에 대한 보안위협을 분석하고 이에 대한 보안 요구사항을 도출한다. 또한 개인용 보안장치를 통한 안전한 분산형 암호 화폐 거래 모델을 제안하여 본 논문에서 제안하는 거래 모델이 앞선 보안위협에 대한 해결책임을 입증한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2016년도 춘계학술대회
• /
• pp.759-761
• /
• 2016

최근 정보보안 환경 변화에 따른 사이버 침해, 사업 기밀유출, 글로벌 보안위협 등의 정보자산에 대한 지속적인 공격으로 위협이 되고 있다. 이는 기존 정보보호시스템에서 대응이 어려운 APT 공격, 우회접근공격 및 암호화 패킷에 대한 공격 등에 대한 탐지와 조치가 가능한 접근에 대해 지속적인 모니터링의 수행이 요구되고 있다. 본 논문에서는 지능형지속위협 공격경로차단을 위한 예방통제(Prevention Control)로 중요한 자산 식별하고 위험을 미리 제거하기 위하여 취약성 분석, 위험분석을 통한 정보통제 정책을 수립하고 서버접근통제, 암호화통신 감시를 통해 탐지통제(Detection Control)를 수립하고 패킷 태깅, 보안플랫폼, 시스템백업과 복구를 통해 교정통제(Corrective Control)를 하여 지능화된 침해대응(Intelligent Violation of Response) 할 수 있도록 정보보호시스템 운영관리 방법을 제안한다.

• 융합보안논문지
• /
• 제18권5_1호
• /
• pp.25-32
• /
• 2018

해킹 공격이 지능화되고 증가됨에 따라 공공 및 민간기업들은 중요한 자산 및 개인정보를 보호하기 위해 많은 비용을 투자하고 정보보호인력을 충원하여 다양한 정보보호활동을 진행하고 있다. 이와 함께 많은 비용과 인력을 요구하는 정보보호활동이 효율적으로 수행되고 있는지를 평가하는 것은 매우 중요하다. 하지만 정보보호 효율성 평가연구는 주로 정보수집이 보다 수월한 정부기관에 대해서 행해져 왔다. 본 연구는 다양한 민간 기업들의 정보보호인증 및 정보보호활동에 대한 효율성을 평가하는 모델을 제시하는데 목적이 있다. 이를 위해 민간 기업들의 정보보호활동에 대한 공시된 자료인 정보보호공시 정보를 활용하여 계층구조분석(AHP) 과 자료포락분석(DEA) 기법을 적용하여 정보보호 효율성을 평가하였다. 또한 효율성 평가 모델을 통해 효율적으로 운영되고 있는 DMU를 선별하고 비효율적인 DMU들이 효율적으로 운영하기 위해 개선되어야 할 보안활동요소들에 대해 알아본다.