• 한국ITS학회 논문지
• /
• 제22권6호
• /
• pp.299-312
• /
• 2023

최근 ECU(Electronic Control Unit)는 단순한 편의 기능을 넘어 여러 기능이 하나로 통합되고 있다. 이에 따라 ECU는 이전보다 더 많은 기능과 외부 인터페이스를 갖게 되었고, 다양한 사이버 보안 문제가 발생하고 있다. UNECE(United Nations Economic Commission for Europe) WP. 29는 증가하는 차량 사이버보안에 대한 위협을 고려해 UN Regulation No.155를 발표하여 차량 사이버 보안 관리 체계에 대한 국제 기준을 마련했다. 국제 기준에 따르면 차량 제조업체는 2022년 7월부터 CSMS(Cybersecurity Management System)를 구축하고, VTA(Vehicle Type Approval)를 받아야 한다. 그러나 국내에서는 이에 대한 준비가 미흡해 시행 시기를 조정해야 한다는 의견이 제기되었다. 따라서 본 논문에서는 요구사항의 CSMS 현황을 확인하기 위한 체크리스트와 식별된 갭(Gap)을 완화하기 위한 다양한 차량 보안 솔루션을 매핑 시켜주는 웹 기반의 솔루션을 제안한다.

• 디지털산업정보학회논문지
• /
• 제16권1호
• /
• pp.99-109
• /
• 2020

In the past, conservative concepts have been applied in terms of the characteristic of nuclear power plants(NPPs), resulting in analog-based equipment and closed networks. However, as digital technology has recently been applied to the design, digital-based facilities and communication networks have been used in nuclear power plants, increasing the risk of cybersecurity than using analog-based facilities. Nuclear power plant facilities are divided into a safety system and a non-safety system. It is essential to identify the difference and cope with cybersecurity threats to the safety system according to its characteristics. In this paper, we examine the cybersecurity regulatory guidelines for safety systems in nuclear power plant facilities. Also, we analyze cybersecurity threats to a programmable logic controller of the safety system and suggest cybersecurity requirements be applied to it to respond to the threats. By implementing security functions suitable for the programmable logic controller according to the suggested cybersecurity requirements, regulatory guidelines can be satisfied, and security functions can be extended according to other system requirements. Also, it can effectively cope with cybersecurity attacks that may occur during the operation of nuclear power plants.

• 정보보호학회논문지
• /
• 제32권6호
• /
• pp.1151-1163
• /
• 2022

차량에 무선 통신 기능이 탑재되기 시작하면서 무선 통신 기능의 취약점을 악용한 차량의 사이버 공격이 증가하고 있다. 이에 대응하기 위해 UNECE는 차량 제조사가 무선 통신 기능을 활용하여 차량에 탑재되는 소프트웨어를 안전하게 배포할 수 있도록 UN R156 규정을 제정하였다. 해당 규정은 차량의 소프트웨어를 안전하게 배포하는데 필요한 보안 요구사항을 명시하고 있으나 해당 요구사항을 개발 및 구현하는데 필요한 구성요소와 세부 기능에 대한 정보가 생략된 채 추상적인 요구사항만이 제시되어 있다. 따라서 본 논문에서는 체계적으로 보안 위협을 분석하는 방법인 위협모델링을 활용하여 안전한 SUMS를 구축하는데 필요한 상세 보안 요구사항을 도출한다. 이후 해당 요구사항을 바탕으로 SUMS에 대한 보안성 평가기준을 제안한다.

• International Journal of Computer Science & Network Security
• /
• 제22권5호
• /
• pp.204-214
• /
• 2022

Speedy development has been witnessed in communication technologies and the adoption of the Internet across the world. Information dissemination is the primary goal of these technologies. One of the rapidly developing nations in the Middle East is Saudi Arabia, where the use of communication technologies, including mobile and Internet, has drastically risen in recent times. These advancements are relatively new to the region when contrasted to developed nations. Thus, offenses arising from the adoption of these technologies may be new to Saudi Arabians. This study examines cyber security awareness among Saudi Arabian citizens in distinct settings. A comparison is made between the cybersecurity policy guidelines adopted in Saudi Arabia and three other nations. This review will explore distinct essential elements and approaches to mitigating cybercrimes in the United States, Singapore, and India. Following an analysis of the current cybersecurity framework in Saudi Arabia, suggestions for improvement are determined from the overall findings. A key objective is enhancing the nationwide focus on efficient safety and security systems. While the participants display a clear knowledge of IT, the surveyed literature shows limited awareness of the risks related to cyber security practices and the role of government in promoting data safety across the Internet. As the findings indicate, proper frameworks regarding cyber security need to be considered to ensure that associated threats are mitigated as Saudi Arabia aspires to become an efficient smart nation.

• Journal of Information Processing Systems
• /
• 제20권1호
• /
• pp.24-37
• /
• 2024

To address the requirement for high-speed encryption of large amounts of data, this study improves the widely adopted cipher block chaining (CBC) mode and proposes a controllable parallel cipher block chaining (CPCBC) block cipher mode of operation. The mode consists of two phases: extension and parallel encryption. In the extension phase, the degree of parallelism n is determined as needed. In the parallel encryption phase, n cipher blocks generated in the expansion phase are used as the initialization vectors to open n parallel encryption chains for parallel encryption. The security analysis demonstrates that CPCBC mode can enhance the resistance to byte-flipping attacks and padding oracle attacks if parallelism n is kept secret. Security has been improved when compared to the traditional CBC mode. Performance analysis reveals that this scheme has an almost linear acceleration ratio in the case of encrypting a large amount of data. Compared with the conventional CBC mode, the encryption speed is significantly faster.

• 정보보호학회논문지
• /
• 제31권4호
• /
• pp.731-751
• /
• 2021

사물인터넷은 웨어러블 디바이스, 스마트폰 등의 많은 기기들이 통신하는 거대한 집단으로 네트워크 내 사물의 상호 연결은 기본적인 요구사항이다. 악성 기기와의 통신은 네트워크와 서비스를 악의적으로 손상시켜 품질에 영향을 줄 수 있기 때문에 신뢰할 수 있는 기기를 선택하는 것은 매우 중요하다. 그러나 IoT 기기의 이동성과 자원의 제약으로 신뢰 관리 모델을 만드는 것은 쉽지 않다. 중앙 집중 방식의 경우 독점 운영 및 단일 장애 지점, 기기 중가에 따른 자원 확장의 이슈가 있다. 분산 처리 방식은 기기가 서로 연결된 구조로 별도의 장비 추가 없이도 시스템을 확장 할 수 있으나, IoT 기기의 제한된 자원으로 데이터 교환 및 저장에 한계가 있으며 정보의 일관성을 보장하기 어렵다. 최근에는 포그 노드와 블록체인을 사용하는 신뢰 관리 모델이 제안되고 있다. 그러나 블록체인은 낮은 처리량과 속도 지연의 문제를 가지고 있어 동적으로 변화하는 IoT 환경에 적용하기 위해서는 개선이 필요하다. 따라서 본 논문에서는 사물인터넷을 위한 블록체인 기술인 IOTA를 적용하여 포그 기반 IoT 환경에서 신뢰할 수 있는 기기를 선택하기 위한 신뢰 관리 모델을 제안한다. 제안된 모델에서는 DAG(Directed Acyclic Graph) 기반 원장 구조를 통하여 신뢰 데이터를 위/변조 없이 관리하고 블록체인의 낮은 처리량과 확장성 문제를 개선한다.

• 인터넷정보학회논문지
• /
• 제23권1호
• /
• pp.49-68
• /
• 2022

해운 선사의 운영시스템은 주전산기를 이용한 단말기 접속 환경 또는 클라이언트/서버 구조의 환경을 유지하고 있는 경우가 아직 많으며, 웹서버 및 웹 애플리케이션 서버를 이용한 웹 기반 환경으로의 전환을 고려하는 해운 선사가 증가하고 있다. 그런데 전환 과정에서, 기존 구성 방식과 지식을 바탕으로 웹 기반 환경의 특성 및 해운 업무의 특성을 고려하지 않고 설계를 진행하는 경우, 다양한 보안상 취약점이 실제 시스템 운영 단계에서 드러나게 되고, 이는 시스템 유지보수 비용의 증가를 초래하게 된다. 그러므로 웹 기반 환경으로의 전환 시에는, 시스템 안전성 확보 및 보안 관련 유지보수 비용 절감을 위해 설계 단계에서부터 반드시 보안을 고려한 설계가 진행되어야 한다. 본 논문에서는 다양한 위협 모델링 기법의 특성을 살펴보고, 해운 선사 운영시스템에 적합한 모델링 기법을 선정한 후, 데이터 흐름도와 STRIDE 위협 모델링 기법을 해운 선사 업무에 적용하여, 데이터 흐름도의 각 구성 요소에서 발생 가능한 보안 위협을 공격자 관점에서 도출하고, 공격 라이브러리 항목과의 매핑을 통해 도출된 위협의 타당성을 입증한다. 그리고, 이를 이용하여 공격자가 최종목표 달성을 위해 시도할 수 있는 다양한 공격 시나리오를 공격 트리로 나타내고, 보안 점검 사항과 관련 위협 및 보안 요구사항을 체크리스트로 구성한 후, 최종적으로 도출된 위협에 대응할 수 있는 23개의 보안 요구사항을 제시한다. 기존의 일반적인 보안 요구사항과는 달리, 본 논문에서 제시하는 보안 요구사항은 해운 선사의 실제 업무를 분석한 후, 여기에 위협 모델링 기법을 적용하여 도출된 해운 업무 특성을 반영한 보안 요구사항이므로, 추후 웹 기반 환경으로의 전환을 추진하는 해운 선사들의 보안 설계에 많은 도움이 될 것으로 생각한다.

• 정보보호학회논문지
• /
• 제33권5호
• /
• pp.827-846
• /
• 2023

외부와 연결되지 않고 독립적으로 운용되던 무기체계에 최근 네트워크 통신, 센서와 같은 다양한 정보기술이 접목되기 시작하였다. 이는 무기체계 운용자 및 지휘관의 신속하고 정확한 결심과 효과적인 무기체계 운용을 가능하게 한다. 하지만, 무기체계의 사이버 영역 활용이 증가함에 따라 사이버 공격에 의한 피해도 증가할것으로 예상된다. 안전한 무기체계를 개발하기 위해서는 소프트웨어 개발 단계 중 요구사항 도출 단계에서부터 보안적 요소를 고려하는 보안 내재화를 구현하는 것이 필요하다. 미 DoD는 '사이버보안(cybersecurity)' 개념의 도입과 함께 무기체계평가 및 획득 프로세스인 RMF A&A를 시행하고 있으며, 우리나라도 K-RMF 제도 시행을 위한 노력을 지속하고 있다. 하지만, 아직까지 개발 단계에서부터 K-RMF를 적용한 사례는 존재하지 않을뿐더러 미국의 국방 RMF 관련한 자료는 기밀 사항이기에 대부분 공개되지 않는다. 본 연구에서는 RMF와 관련하여 공개된 자료와 체계적인 위협분석 방법을 바탕으로 우리나라의 국방용 RMF인 K-RMF를 예측하여 무기체계의 보안 통제항목을 구축하는 방안에 대해 제안하고, 함정 전투체계에 적용함으로써 그 효용성을 입증한다.

• 정보보호학회논문지
• /
• 제29권3호
• /
• pp.629-643
• /
• 2019

제4차 산업혁명 시대에 들어서며 세계 각국은 제조 산업의 경쟁력 확보를 위해 스마트팩토리를 빠르게 확산시키기 위한 보급 사업을 진행하고 있다. 그러나 스마트팩토리는 네트워크 환경이 폐쇄적이었던 기존 공장과는 달리 내부와 외부의 사물들이 서로 연결되고 다양한 ICT 기술이 활용되기 때문에 보안 취약점이 발생할 수 있다. 그리고 스마트팩토리는 사고 발생 시 경제적인 피해가 매우 크기 때문에 특정 대상에게 금전적 피해를 야기하고자 수행되는 사이버 공격의 대상이 되기 쉽다. 따라서 스마트팩토리에 대한 보안 연구 및 적용이 반드시 필요한 상황이지만 구체적인 스마트팩토리 시스템 아키텍처가 제시되어 있지 않아 스마트팩토리 보안요구사항도 정립되어 있지 않은 상황이다. 이러한 문제점을 해결하기 위해 본 논문에서는 국내외 주요 스마트팩토리 참조모델을 기반으로 스마트팩토리의 주요 특성을 식별하고 이를 반영할 수 있는 스마트팩토리 아키텍처를 도출하였다. 이후 도출된 스마트팩토리 아키텍처를 바탕으로 보안 위협을 식별하였으며 이에 대응할 수 있는 보안요구사항을 제시함으로써 스마트팩토리의 보안성 향상에 기여하고자 한다.

• 정보화정책
• /
• 제29권1호
• /
• pp.24-37
• /
• 2022

4차 산업혁명과 정보통신 기술의 발전 및 코로나 19로 ICT 환경이 급변하는 가운데 설계 초기에 보안성, 이동성, 관리성, QoS 등이 고려되지 않고 개발된 기존 인터넷은 기본 구조 위에 기능을 추가해야하는 한계성 때문에 인터넷 구조가 복잡해졌으며 보안성 취약, 안정성 취약, 신뢰성 취약 등의 문제가 지속적으로 발생하고 있다. 또한 인공지능, IoT 등 첨단 기술로 인한 디지털 트랜스포메이션 시점에 안정성과 신뢰성을 제공할 수 있는 새로운 개념의 인터넷이 요구되고 있는 실정이다. 이에 본 연구에서는 사이버 보안을 강화할 수 있는 한국형 미래 인터넷 구현 방안을 제시하기 위해 미래 인터넷 구현에 있어 중요한 핵심 요소를 분석하고 국내외 미래 인터넷 관련 연구 동향과 기술 적합성을 평가하여 한국의 사이버 환경에 적합한 미래 인터넷의 추진 방향 및 추진 전략을 도출하였다. 미래 인터넷 구현에 있어 핵심 요소의 중요도는 보안성, 무결성, 가용성, 안정성, 기밀성의 순으로 나타났다. 현재 미래 인터넷 프로젝트는 전 세계적으로 다양하게 연구되고 있는데 수많은 프로젝트 중 Bright Internet이 미래 인터넷 구현의 핵심 요소를 가장 적절히 만족하고 있으며 한국의 사이버 환경에 가장 적합한 기술로 평가되었다. Bright Internet을 한국형 미래 인터넷으로 추진하기 위해 기술적 이슈뿐만 아니라 전략적 이슈와 법률적 이슈도 같이 고려하여야 한다. 기술적 이슈로는 한국형 미래 인터넷의 표준으로 Bright Internet을 선정함에 있어 SAVA IPv6-NID 채택이 필요하고 데이터 센터 차원의 통합 데이터 관리와 국가 간 협력 체계수립이 필요할 것이다. 전략적 이슈로는 안전한 관리 체계와 운영기관의 확립이 필요하고, 법률적 이슈로는 한국의 개정된 데이터 3법과 같은 국내법 준수를 포함한 GDPR(General Data Protection Regulation, 개인정보보호규정)의 요구 사항도 만족시켜야 한다.