• Proceedings of the Korean Society of Computer Information Conference
• /
• 2018.01a
• /
• pp.179-182
• /
• 2018

최근 여기어때, 인터파크 등 전자상거래 기업을 대상으로 발생한 개인정보 해킹사고 사례를 보면, 사람의 취약점을 노리는 지능화지속위협(APT) 공격과 알려진 해킹 기술이 복합적으로 이루어지고 있다. 해킹사고가 발생한 기관은 한국인터넷진흥원(KISA) 정보보호관리체계(ISMS) 의무대상 기관으로써 정보보호관리체계를 유지 관리하고 있었다. 그럼에도 불구하고 대형의 개인정보 유출사고가 발생한 주요 원인은 정보보호관리체계가 적용되지 않았던 정보시스템과 인력을 대상으로 해킹이 이루어졌기 때문이다. 해킹 위협의 변화에 따라 전자상거래 보안 수준도 변화해야 하는데, 개인정보보호 관련 규제 준수도 전자상거래 기업에서는 힘든 상황이다. 고객의 개인정보 유출 사고는 일반인을 매출 기반으로 서비스하고 있는 전자상거래 기업에서는 치명적이다. 안전한 전자상거래 플랫폼 기반에서 고객에게 서비스를 제공하기 위해서는 무엇보다도 중요 자산인 고객의 개인정보보호를 위해 역량을 집중해야 한다. 한정된 예산과 자원으로 안전한 서비스를 제공하기 위해서는 기존에 구축된 정보보호관리체계를 기반으로 IT보안감사체계를 전사적으로 확대하여 지속적으로 모니터링 할 필요가 있다. 이에 본 연구에서는 최신 사이버 보안 위협 동향과 전자상거래 기업 대상으로 발생한 최근 개인정보유출사고 사례를 분석을 통해 시사점을 도출하여 전자상거래 개인정보 보호를 위한 IT보안감사체계를 제시하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.24 no.2
• /
• pp.385-396
• /
• 2014

With development of Information Security industry and recognizing value of information as an asset, demand for information protection is foreseen to be expanding gradually. The Information Security industry in this paper defines as an industry where relative products as well as consulting services are developed, produced, and distributed. This study reclassifies sub-sectors of the Information Security industry based on the definition of product and services defined above, and it uses the RAS technique to broaden a scope of an input-output table to include the Information Security industry with purpose of analyzing economic spill-over effects industry will encounter during 2013~2017. Results show that investment in the Information Security industry during 2013-2017 induces total economic outputs to KRW 3,206.9 billion and is expected to employ additional 27,406 workforce.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2015.05a
• /
• pp.264-266
• /
• 2015

Currently as cyber threats grow up targeting nuclear power plants(NPP), licensees must guarantee that computer and information systems of nuclear facilities can be adequately protected against cyber attack. Especially critical system that cause illegal transfer of nuclear material and adverse impact to public safety need protecting. In this paper, we surveying the cyber threat examples targeted at NPP, and taxonomy the method of cyber security for NPPs in korea through analyzing the methodology to identify critical system and address cyber security controls for nuclear facilities.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.35 no.4B
• /
• pp.592-598
• /
• 2010

A home network system is made up of subject of cyber attack from a variety factors of threatening, but also have security weakness in cases of hacking, vicious code, worm virus, DoS attack, tapping of communication network, and more. So, the necessity for a security protocol to protect user asset and personal information within a home network is gradually increasing. Thus, this paper designs and suggests a home network security protocol using user authentication and approach-control technology to prevent the threat by unauthorized users towards personal information and user asset in advance by providing the gradual authority to corresponding devices based on authorized information, after authorizing the users with a Public Key Certificate.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.29 no.5
• /
• pp.1167-1177
• /
• 2019

In this paper, the improved security operation model based on the vulnerability database is studied. The proposed model consists of information protection equipment, vulnerability database, and a dashboard that visualizes and provides the results of interworking with detected logs. The evaluation of the model is analyzed by setting up a simulated attack scenario in a virtual infrastructure. In contrast to the traditional method, it is possible to respond quickly to threats of attacks specific to the security vulnerabilities that the asset has, and to find redundancy between detection rules with a secure agent, thereby creating an optimal detection rule.

• 한국디지털정책학회:학술대회논문집
• /
• 2006.12a
• /
• pp.299-309
• /
• 2006

현대의 정보시스템은 법의 존재와 사적, 지식 재산권을 보호하는 사회적 관습과 심각하게 대립해 왔다. 지식재산권은 개인이나 사회에 의해 만들어진 무형의 자산이다. 정보 기술은 컴퓨터화 된 정보가 매우 쉽게 복사되거나 네트워크에서 배포될 수 있도록 만들어졌기 때문에 지식재산권 보호를 어렵게 만들었다. 그리하여 오늘에는 선진국뿐만 아니라 전 세계 국가들이 특허제도를 갖추고 발명자를 독점적으로 보호하는 한편, 일반인들을 위해서 발명의 공개와 이용을 장려하게 되었다. 오늘날 특허나 컴퓨터 프로그램 등의 지식재산권의 무기화 경향은 세계적으로 확산됨에 따라 수출 주도형 성장 전략을 택해온 한국의 주력 기업들에게는 단순한 문제가 아닌 기업의 사활이 걸린 문제로 번져가고 있다. 우리나라는 선진국에 비하여 아직 특허에 대한 역사가 짧고 그 내용이 뒤떨어진다 할 수 있다. 본 연구에서는 기업과 개인은 특허에 대한 정확한 이해와 대응 방안에 대한 정보를 체계적으로 정리함으로써 발명을 충분히 활용하고, 외국과의 권리 경쟁에서 전략적으로 대처할 수 있어야 할 것이다. 국제 특허 분쟁 사례를 조사함으로써 기업 경영 전략을 수립하는데 도움을 주고자 한다

• Proceedings of the Korea Information Processing Society Conference
• /
• 2005.11a
• /
• pp.945-948
• /
• 2005

현재 침입탐지시스템(IDS:Intrusion Detection System)은 다양한 평가요소들 - 탐지율, 오탐율, 새로운 공격탐지능력, 안정성 등을 기준으로 평가되고 있고, 이러한 결과는 제품의 보호수준을 결정하거나 한 조직의 정보보호장치로 적합한지를 평가하는 벤치마킹테스트의 방법으로 활용된다. 그러나, 이러한 평가의 결과는 조직의 침입탐지시스템을 구축하고자 하는 네트워크 환경하에서 각각의 침입탐지시스템이 갖는 특성에 따라 상대적인 평가는 가능하나 해당 조직의 네트워크 인프라와 위협요소, 취약점을 고려했을 때 보다 최적의 것이 무엇인지를 평가하는 방법으로는 한계가 있다. 그러므로, 본 연구논문에서는 이러한 한계를 극복하기 위한 방법으로서 조직의 정보보호 위험분석에서 도출된 해당 네트워크 환경의 자산, 위협, 취약성의 결과인 위험과 위험수준을 IDS 평가에 반영하여 조직의 환경하에 보다 적합한 침입탐지시스템 선정이 가능한 평가방법을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2005.05a
• /
• pp.1241-1244
• /
• 2005

중요 정보시스템에 대한 위험분석 프로세스는 자산 식별을 통해 위협, 취약성을 분석하고 이에 보호대책을 수립한다. 하지만 모든 보호대책을 적용하기에는 비용 대 효과면에서 불가능한 경우가 발생한다. 따라서, 잔여위험에 대한 분석을 통해 해결할 수 없는 위험에 대해서는 보험을 통하여 보호대책을 세워야 한다. 본 논문에서는 위험분석을 통해 계산된 피해 산정으로 사이버침해에 따른 보험 수준을 산정하는 방안을 제안하고자 한다.

• The Journal of Society for e-Business Studies
• /
• v.8 no.3
• /
• pp.69-86
• /
• 2003

A Protection Profile(PP) is a common security and assurance requirements for a specific class of Information Technology security products such as firewall and smart card. A PP should be included "TOE(Target of Evaluation) Security Environment", which is consisted of subsections: assumptions, treat, organizational security policies. This paper presents a new threats statement generation method for developing TOE security environment section of PP. Our survey guides the statement of threats in CC(Common Criteria) scheme through collected and analysed hundred of threat statements from certified and published real PPs and CC Tool Box/PKB that is included a class of pre-defined threat and attack statements. From the result of the survey, we present a new asset classification method and propose a threats statement generation model. The former is a new asset classification method, and the later is a production rule for a well formed statement of threats.

• Journal of Advanced Navigation Technology
• /
• v.12 no.6
• /
• pp.673-680
• /
• 2008

Multimedia system security can be categorized into groups such as protection of multimedia asset itself and protection of multimedia systems which can process multimedia asset. Divided consideration for these two factors will not hurt the importance of security management. In this paper, managing practices for keeping security level of multimedia systems are induced and categorized.