• Nuclear Engineering and Technology
• /
• 제53권3호
• /
• pp.879-887
• /
• 2021

The nuclear supply chain attack surface is a large, complex network of interconnected stakeholders and activities. The global economy has widened and deepened the supply chain, resulting in larger numbers of geographically dispersed locations and increased difficulty ensuring the authenticity and security of critical digital assets. Although the nuclear industry has made significant strides in securing facilities from cyber-attacks, the supply chain remains vulnerable. This paper discusses supply chain threats and vulnerabilities that are often overlooked in nuclear cyber supply chain risk analysis. A novel supply chain cyber-attack surface diagram is provided to assist with enumeration of risks and to examine the complex issues surrounding the requirements for securing hardware, firmware, software, and system information throughout the entire supply chain lifecycle. This supply chain cyber-attack surface diagram provides a dashboard that security practitioners and researchers can use to identify gaps in current cyber supply chain practices and develop new risk-informed, cyber supply chain tools and processes.

• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.309-327
• /
• 2022

전(全) 산업 분야에서 ICT 융합화가 진행되고 공급망의 글로벌 생태조성이 가속화됨에 따라, 공급망 위험 또한 지속적으로 증가하고 있다. 특히, ICT 제품의 공급망은 관리해야 할 기술적·환경적 요인들이 매우 복잡하여, 전체 생명주기에 걸친 투명한 관리가 어렵다. 이에 미국·영국·EU 등 세계 주요국과 국제연합은 ICT 제품 공급망 대상의 사이버 공급망 보안 관련 연구와 정책을 수행·수립 중이다. 우리나라도 2019년 발표한 국가사이버안보전략의 기본계획 내에 주요 ICT 장비의 공급망 보안을 위한 관리체계를 구축하는 등 현안으로써 추진하고 있으나, 국가·공공기관을 위한 조직·기관 수준의 정책은 아직 부재한 상황이다. 본 논문에서는 미국의 사이버 공급망 보안 관리체계를 검토하여, 사이버 공급망 보안 관점의 우리나라 국가 정보보안 기본지침 보완방안을 제시한다. 이는 국내 정보보안 분야에서 도입 가능한 사이버 공급망 조치사항의 참고 자료가 될 것으로 기대한다.

• 융합보안논문지
• /
• 제19권3호
• /
• pp.101-107
• /
• 2019

우리 군(軍)의 사이버 공간은 적들로부터 지속적인 위협을 받고 있다. 이러한 사이버 위협은 군(軍)이 보유하고 있는 정보화 자산을 대상으로 한 것으로 조직의 정보화 자산에 대한 안전성 확보는 매우 중요하다. 그러나 정보화 자산은 군(軍) 뿐만 아니라 어떠한 조직도 100% 자급자족할 수는 없기 때문에 공급망에 의한 정보화 자산 획득은 어쩔 수 없는 선택이다. 따라서 군 공급망에 대한 안전을 확보하기 위해 공급망 보호대책 검토 후, 이를 근거로 공급망 업체를 검증된 신뢰모델 기반의 파트너십 인증(引證)을 통해 군 공급망 안전을 확보하기 위한 방안을 제시하였다.

• 정보보호학회논문지
• /
• 제30권6호
• /
• pp.1189-1206
• /
• 2020

최근 ICT 기업은 제품과 서비스들을 직접 설계, 개발, 생산, 운용, 유지 보수, 폐기 등을 직접 수행하지 않고 이를 외부에 위탁하거나, 외주업체가 담당하는 경우가 많아지고 있다. 위탁과 재위탁되는 과정에서 제품 및 서비스에 대한 취약점 관리 어려움 등으로 이로 인해 발생하는 공격 또한 증가하는 추세이다. 이에 대응하기 위해 해외에서는 ICT 공급망 보안 위험관리를 위한 기준과 제도를 만들어 운영 중이며, 다양한 사례 연구를 진행하고 있다. 또한, SBOM(Software Bill of Materials)등 기술적으로 공급망 보안 문제를 해결하려는 연구도 진행하고 있다. ISO 등 국제표준화기구에서도 ICT 공급망 보안을 위한 기준과 프레임워크도 만들어졌다. 본 논문에서는 미국, EU 등 주요 국가와 국제표준으로 개발된 ICT 공급망 보안기준과 제도를 비교 분석하여 국내 실정에 적합한 ICT 공급망 보안 관리 항목을 제시하고 ICT 공급망 보안제도 수립을 위한 사이버 보안 프레임워크의 필요성을 설명한다.

• 정보보호학회논문지
• /
• 제32권1호
• /
• pp.123-140
• /
• 2022

최근 다양한 도시문제로 세계적으로 국가와 기업에서 스마트시티 개념을 도입한 문제 해결 연구가 진행 중이다. 스마트시티는 도시의 ICT를 융합하고 도시의 모든 구성요소를 네트워크로 연결하여 데이터를 수집·전달하며, 다양한 IoT 제품이나 서비스로 구성된 공급망으로 이뤄져 있다. 스마트시티의 여러 사이버 보안 위협 및 공급망(Supply-Chain) 위협 증가는 불가피하며, 이에 대응하기 위해 공급망 보안 정책 등 프레임워크 수립과 더불어, 제로 트러스트(Zero-Trust) 관점에서 데이터 연계에 따른 각 데이터 제공자·서비스 등의 인증과 적절한 접속통제가 필요하다. 이를 위해 국내에서도 스마트시티 보안 위협을 위한 스마트시티 보안모델이 개발되었으나, 공급망 보안과 제로 트러스트와 관련된 보안 요구사항은 부족한 실정이다. 본 논문에서는 해외 스마트시티 보안 동향을 살펴보고, 정보보호 및 개인정보보호 관리체계(ISMS-P)와 국제표준으로 등록된 ICT 공급망 보안에 대한 보안 요구사항을 비롯해, Zero-Trust 관련 기술을 국내 스마트시티 보안모델에 적용하기 위한 보안 요구사항을 제시하고자 한다.

• 한국IT서비스학회지
• /
• 제20권5호
• /
• pp.119-136
• /
• 2021

Since the global spread of COVID-19, social distancing and untact service implementation have spread rapidly. With the transition to a non-face-to-face environment such as telework and remote classes, cyber security threats have increased, and a lot of cyber compromises have also occurred. In this study, cyber-attacks and response cases related to COVID-19 are summarized in four aspects: cyber fraud, cyber-attacks on companies related to COVID-19 and healthcare sector, cyber-attacks on untact services such as telework, and preparation of untact services security for post-covid 19. After the outbreak of the COVID-19 pandemic, related events such as vaccination information and payment of national disaster aid continued to be used as bait for smishing and phishing. In the aspect of cyber-attacks on companies related to COVID-19 and healthcare sector, we can see that the damage was rapidly increasing as state-supported hackers attack those companies to obtain research results related to the COVID-19, and hackers chose medical institutions as targets with an efficient ransomware attack approach by changing 'spray and pray' strategy to 'big-game hunting'. Companies using untact services such as telework are experiencing cyber breaches due to insufficient security settings, non-installation of security patches, and vulnerabilities in systems constituting untact services such as VPN. In response to these cyber incidents, as a case of cyber fraud countermeasures, security notices to preventing cyber fraud damage to the public was announced, and security guidelines and ransomware countermeasures were provided to organizations related to COVID-19 and medical institutions. In addition, for companies that use and provide untact services, security vulnerability finding and system development environment security inspection service were provided by Government funding programs. We also looked at the differences in the role of the government and the target of security notices between domestic and overseas response cases. Lastly, considering the development of untact services by industry in preparation for post-COVID-19, supply chain security, cloud security, development security, and IoT security were suggested as common security reinforcement measures.

• 한국IT서비스학회지
• /
• 제20권6호
• /
• pp.63-81
• /
• 2021

Joint financial network of Korea Financial Telecommunications and Clearings Institute, which is an essential facility with a natural monopoly, maintained its closedness as monopoly/public utility model, but it has evolved in the form of open banking in order to obtain domestic fintech competitiveness in the rapidly changing digital financial ecosystem such as the acceleration of Big Blur. In accordance with digital transformation strategy of financial institutions, various ICT companies are actively participating in the financial industries, which has been exclusive to banks, through the link technology called Open API. For this reason, there has been a significant change in the financial service supply chain in which ICT companies participate as users. The level of security in the financial service supply chain is determined based on the weakest part of the individual components according to the law of minimum. In addition, there is a perceived risk of personal information and financial information leakage among the main factors that affect users' intention to accept services, and appropriate protective measures against perceived security risks can be a catalyst, which increases the acceptance of open banking. Therefore, this is a study on factors affecting the introduction of open banking to achieve financial innovation by developing an open banking security control model for financial institutions, as a protective measures to user organizations, from the perspectives of cyber financial security and customer information protection, respectively, and surveying financial security experts. It is expected, from this study, that effective information protection measures will be derived to protect the rights and interests of financial customers and will help promote open banking.

• 융합보안논문지
• /
• 제22권5호
• /
• pp.49-59
• /
• 2022

자동차 분야의 사이버보안은 자동차 생애주기 중 핵심적인 요소로서 전 세계적으로 사이버보안 평가 기준이 강화되고 있다. 또한 자동차의 설계 및 생산을 수행하는 제조사만이 아니라 복잡한 컴포넌트와 다양한 부품으로 이루어진 자동차의 특성상 전체 공급망에 참여하는 기업들의 사이버보안 관리체계 구현 수준이 평가되고 관리되어야만 사이버보안의 안전성을 확보할 수 있다. 이에 본 연구에서는 자동차 사이버보안을 평가하는 대표적인 기준인 ISO/SAE 21434와 TISAX의 요구사항을 분석하여 총 7개 영역, 54개 사이버보안 관리체계를 평가할 수 있는 항목을 도출하였고 이를 국내/외 기업 보안담당자 및 유관 전문가 대상으로 진행한 설문조사를 통해 우선순위 및 업종에 따른 적합성, 타당성 검토를 거쳐서 6개 영역, 45개 평가 기준을 도출하여 최종 평가항목으로 제시하였다. 본 연구는 자동차 공급망에 참여하는 기업이 ISO/SAE 21434와 TISAX 전반의 통제 프로세스를 일률적으로 도입하기 전에 우선 적용하여 해당 기업의 현재 사이버보안 관리 수준을 평가할 수 있는 모델을 제시했다는 점에서 연구로서의 의의가 있다고 할 수 있다.

• 융합정보논문지
• /
• 제9권7호
• /
• pp.14-24
• /
• 2019

블록체인의 활용이 금융서비스 등에서 우선적으로 진행되고 있고, 중소기업 분야의 경우 블록체인의 활용도와 효과성이 높은 분야로 거론된다. 본 연구에서는 중소기업에 블록체인을 적용했을 때 나타날 수 있는 효과성에 대해서 확인하고 적용 시 우선적으로 필요한 법제적 및 정책적 과제를 살펴보기 위한 논문이다. 이는 관련 주제를 함께 다룸으로서 그 도입에 대한 당위성을 알아보기 쉽게 하기 위함이다. 선행연구의 부족으로 다양한 논문과 보고서를 참고하였으며, 공급사슬관리 최적화, 서류작업의 간략화, 제품 생산성 향상, 자금 흐름 원활화 등의 긍정적 효과가 나타날 수 있다는 것을 확인했다. 또한 전자거래기본법, 전자상거래법, 전자금융거래법, 개인정보보호법에 관한 법제적 보완의 필요성을 확인했으며, 플랫폼 개발, 중소기업 대상 교육 제도, 거래 표준화 지침, 세금 감면 정책, 블록체인 연구 개발을 위한 정책적 보완의 필요성을 확인하였다. 향후 보다 광범위한 실무적인 연구와 구체적인 차원의 개별 법률 연구가 필요하다.

• 정보보호학회논문지
• /
• 제31권4호
• /
• pp.817-839
• /
• 2021

소프트웨어를 안전하게 관리하기 위해 군은 RMF A&A(Risk Management Framework Assessment & Authorization) 표준에 따라 제품을 구매하고 관리한다. 해당 표준은 무기체계를 비롯한 군 IT 제품의 획득 체계에 관한 표준으로 제품에 대한 요구사항, 평가를 통한 구매, 유지보수를 다룬다. 해당 표준에 따르면 제품 개발활동에는 군에서 제시한 임무의 위험도가 반영되어야 한다. 즉, 개발사는 보안 내재화 및 공급망 보안을 통해 제시된 위험도를 완화하였고, RMF A&A의 보안 요구사항을 제대로 준수하였음을 입증하는 자료를 제출해야하고, 군에서는 개발사로부터 제출된 증거자료에 대한 평가를 통해 최종 획득 여부를 결정한다. 기존에 RMF A&A 실증 연구가 수행된 사례가 있다. 하지만, 해당 연구는 RMF A&A의 전체 단계가 아닌 일부분에 대해서만 다루고 있고, 해당 연구의 실증 사례가 대외비인 관계로 상세한 정보가 공개되지 않아 실제 산업 환경에 적용하는데 어려움이 있다. 이에 본 논문에서는 군의 위험도 측정 및 RMF A&A 관련 표준들을 분석하고, 이를 바탕으로 군 RMF A&A의 요구사항을 만족시킬 수 있는 증거자료 작성방안에 대해 제시한다. 또한, 제시한 방안을 실제 드론 시스템에 적용하여 작성된 평가 제출물이 RMF A&A의 요구사항에 부합한지 검증을 수행한다.