• 한국방재안전학회논문집
• /
• 제5권2호
• /
• pp.43-48
• /
• 2012

주요 정보통신 기반시설의 중요성이 대두되면서 국내에서는 2001년부터 정보통신 기반보호법을 제정하여 주요 통신장비가 집중된 시설 및 정보통신 서비스 전국감시 시설, 국가 행정 운영 및 관리 시설 등을 지정하여 관리하고 있다. 이러한 주요 정보통신 기반시설에 대하여 해당 관리기관은 주요 정보통신 기반시설에 대한 취약점 분석 평가를 실시하고 있으며, 자체 수행이 불가능한 경우 외부 전문기관에 의뢰하여 진행하고 있다. 본 연구에서는 적절한 주요 정보통신 기반시설 취약점 분석 평가가 이루어 질 수 있도록 개선된 취약점 분석 평가 모델을 제시하였고, 주요 정보통신 기반시설에 이를 적용함으로써 검증 하였다. 관계기관은 본 연구를 활용하여 기관에 적합한 취약점 분석 평가를 수행 할 수 있을 것이다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2016년도 춘계학술대회
• /
• pp.301-304
• /
• 2016

사이버세계는 국가와 국민의 인프라를 구성하고 통제한다. 사이버 공격과 개인정보유출로 국민경제 피해 및 국가 안보가 위협당하고있다. 2014년 12월 사이버 해킹공격으로 한국수력원자력의 원자력 냉각시스템 설계도면이 유출된적이 있으며, 청와대 홈페이지 해킹, KBS 방송국 해킹 등 사이버사고의 발생하였다. 이에 따라 정보통신기반보호법, 정보통신망이용촉진 및 정보보호등에 관한법률, 개인정보보호법이 시행되고있으며, 앞서가는 첨단 기술로 무장한 해커의 공격을 막기는 어려우나 인터넷 정보화 사회에서 형식적인 요건으로 개인정보보호법을 지켜야 하는 개인정보책임자 양성방안을 제안하고자 한다.

• 융합보안논문지
• /
• 제13권6호
• /
• pp.91-98
• /
• 2013

오늘날 사이버공격은 국가안보를 위협하는 요소가 되고 있다. 최근의 사이버안보 정책으로서 국가 사이버안보 종합대책이 발표되었으나 현행 법제도에 의하면 온전한 법적 근거를 갖추고 그러한 대책들을 구현하기에는 어려운 부분이 있다. 현재 사이버안보 관련 법제도는 부문별로 별도의 법령이 적용되고 있으며, 이에 따라 사이버안보 추진체계도 분산되어 부문별 장벽에 의한 문제점들이 발생한다. 이러한 여러 가지 문제점들을 근본적으로 해결하기 위해서는 기존 법률의 개정보다는 새로운 사이버안보법의 제정이 더욱 적절한 방식이다. 한편 2013년에는 국회에서 사이버안보 강화를 위한 몇 가지 법률안이 발의되었다. 이 법률안들에 대한 분석을 통하여 바람직한 내용적 요소들을 도출하고, 이를 반영한 새로운 사이버안보법을 제정하는 것이 사이버안보 관련 법제도 정비의 실현 가능성을 높일 것이다. 향후 사이버안보법 제정 논의의 시발점이자 새로운 사이버안보법의 기초로 활용될 수 있다는 점에서 이 법률안들은 큰 의미가 있다.

• 한국통신학회논문지
• /
• 제27권11C호
• /
• pp.1081-1089
• /
• 2002

현재 많은 조직은 정보시스템 환경의 급속한 변화로 인해 정보자산에 대한 위험을 인식하고, 이에 대한 적절한 관리를 필요로 한다. 또한 정보통신기반보호법의 시행으로 주요한 정보통신 인프라를 운영하는 조직은 주요 정보 자산의 위협, 취약성 및 위험 분석·평가에 많은 관심이 고조되고 있다. 그러나 조직의 정보자산에 대한 위험을 분석하는 방법론과 도구들은 아직까지 외국에서 개발된 것이 대부분으로, 이 분야의 국내 연구가 미흡한 단계이다. 국내 주요 정보통신 인프라의 위험분석·평가론 수행함에 있어서 대부분 외국의 방법론이나 도구에 의존하는 것은 국내 현실을 반영하지 못하기 때문에 위험 분석 수행과정에서 문제를 야기 시킬 수 있으므로 국내에서도 이 분야의 연구의 활성화가 필요한 시점이다. 본 논문은 국내 위험분석·평가 도구 개발의 한 단계 발전을 위하여 실제로 사용자 편의성을 고려하고 국내 현실을 반영한 위험분석 방법론을 설계 및 프로토타입/모듈을 구현하였다.

• 시큐리티연구
• /
• 제18호
• /
• pp.169-190
• /
• 2009

21세기 첨단기술을 활용하고 있는 테러집단들이 앞으로 활용할 가능성이 높은 방법 중의 하나가 바로 사이버테러이다. 현실에서는 상상만으로 가능한 일이 사이버 공간에서는 실제로 가능한 경우가 많다. 손쉬운 예로 병원에 입원 중인 요인들의 전산기록 중 혈액형 한 글자만을 임의로 변경하여도 주요 인물에게 타격을 주어 상대편의 체제전복에 영향을 줄 수 있다. 이와 같이 테러분자들이 사이버테러를 선호하는 이유는 다른 물리적인 테러수단 보다 적은 비용으로 큰 효과를 거둘 수 있기 때문이다. 폭탄설치나 인질납치 보다 사이버 테러리스트들은 인터넷으로 언제 어디서나 공격 대상에 침투할 수 있다. 1999년 4월 26일 발생했던 CIH 대란은 여러모로 시사하는 바가 크다. 대만의 대학생이 뚜렷한 목적 없이 만들었던 몇 줄짜리 바이러스 프로그램이 인터넷을 통해 기하급수적으로 퍼져 국내에서만 30만대의 PC를 손상시켰고, 수리비와 데이터 복구에 소요된 비용만 20억원 이상이 소요된 것으로 확인되었다. 전세계적으로 피해액은 무려 2억 5000만 달러로 추정된다. 이와 같은 사이버테러의 위험성에도 불구하고, 국내 사이트의 상당수가 보안조치에 허술한 것으로 알려져 있다. 심지어는 수백만명 이상의 회원이 가입한 사이트를 운영하고 있는 회사마저도 보안조치에는 소홀한 경우가 많다. 사이버테러에 대한 전국가적인 대비가 필요한 때이다. 이러한 맥락에서 본 연구에서는 우리나라 사이버 안전체계의 실태를 법률과 제도적인 시각에서 분석하고, 아울러 개선전략을 제시하였다. 본 연구에서는 제시한 연구결과를 압축하여 제시하면 다음과 같다. 첫째, 현재 우리나라에서는 사이버위기를 국가차원에서 체계적으로 관리할 수 있는 제도와 구체적 방법 절차가 정립되어 있지 않아 테러 등 각종 위기상황 발생시 국가안보와 국익에 중대할 위험과 막대한 손해를 끼칠 우려가 높다. 따라서 사이버공격을 사전에 탐지하여 위기발생 가능성을 조기에 차단하며 위기발생시 국가의 역량을 결집하여 정부와 민간이 참여한 종합적인 국가대응체계를 구축하기 위해서는 법률 제정이 필요하다. 둘째, 국가차원의 사이버 안전의 효율적인 수행을 위해서는 국가사회 전반의 국가 사이버 안전의 기준과 새로운 모범을 제시하는 한편, 각 부처 및 국가사회의 구성요소들에 대해 국가 사이버 안전관리 정책을 집행할 수 있는 국가 사이버 안전관리 조직체계를 구축하는 것이 요구된다. 법률 및 추진체계 등을 통합 정비하여 정보보호 법률 제도 운영의 일관성을 확보함으로써 각종 정보보호 위협에 보다 효과적으로 대응할 수 있을 것이다. 즉 정부는 국가 사이버 안전관리에 관한 주요 정책의 심의 및 기획 조정, 통합된 국가 사이버 위기관리의 기능을 수행하기 위하여 현행 '국가사이버안전센터'의 기능을 확대 강화하는 것이 필요하다. 특히, 국가 사이버 위기와 관련된 정보의 종합적 수집, 분석, 처리의 종합적 기능을 수행하고 각 정보 및 공공 기관을 통할하며 민간부문과의 협조체계를 구축하는 것이 요구된다. 자율적 정보보호 수준제고를 위해 행정기관 공공기관의 정보보호관리체계(ISMS) 인증 제도를 확대하고 행정기관의 정보보호제품 도입 간소화 및 사용 촉진을 위해 행정정보보호용 시스템 선정 및 이용 규정을 신설 주요정보기반으로 지정된 정보기반 운영자, 정보공유 분석센터 등의 침해정보 공유 활성화 규정을 신설 및 정비함으로써 사이버침해로부터 국가 사회 주요시설을 효과적으로 보호할 수 있을 것이다. 끝으로 정부와 민간부분이 공동으로 참여하는 국가차원의 종합적인 대응체계를 구축하여 사이버공격을 사전에 탐지하여 사이버위기 발생 가능성을 조기에 차단하며 위기 발생 시 국가의 역량을 결집하여 신속히 대응할 수 있도록 해야 한다.