• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.279-287
• /
• 2022

최근 사이버 위협이 고도화되고 해킹기술이 발달함에 따라 자동차, 선박 등 다양한 분야에서 사이버보안이 강조되고 있다. 이러한 추세에 따라 여러 산업 분야에서 기자재 및 시스템에 대한 사이버보안을 요구하고 있으며, 이에 관련된 인증 및 제도가 구체화 되고 있다. 본 논문에서는 산업 분야의 사이버보안 형식승인이 RMF와 같이 명시적으로 개발 단계별로 구분하지는 않으나, 시스템 개발 전주기에 사이버보안 요소가 반영되어야 한다는 공통요소가 있다는 전제하에 RMF와 비교하였다. 비교 대상으로 해상 사이버보안 형식승인을 선정하였으며, 이는 공식적인 사이버보안 형식승인의 예로 국내 유일의 국제 선박검사 기관인 한국선급의 형식승인을 예로 비교한 것이지 산업 분야의 사이버보안 형식승인을 대표한다는 의미는 아니다. 비교 결과 해상 사이버보안 형식승인 획득 절차는 RMF와 같이 개발 단계별로 구분하지 않지만, RMF와 같이 개발 전단계에 대해 사이버보안 요소 적용해야 하는 절차상의 공통점과 단계별 결과물에 대한 유사성을 확인하였다. 이에 따라 해상 사이버보안 형식승인 획득과정을 통해 개발된 시스템은 개발 전주기에 사이버보안 요소가 적용되었다고 판단할 수 있는 가능성을 확인하였다.

• 문화기술의 융합
• /
• 제7권1호
• /
• pp.397-405
• /
• 2021

최근 지능정보사회로의 진입으로 인해, 사이버보안 패러다임이 변화하기 시작하였다. 특히 지능정보사회의 상호연결성 등의 증가는 사이버위협으로 인한 피해 범위를 실제 세계까지 확대하였으며, 개개인에 대한 위험이 곧 공공 안전·국가 안보 등의 위기로 연결되고 있다. 특히 디지털 네이티브(Digital Native)세대인 청소년의 경우는 사이버 활동이 많고 보안 및 안전의식이 충분치 않아 사이버위협에 그대로 노출 될 가능성이 더욱 크다. 이에 사이버위협으로부터 개인 스스로를 지키고 사이버활동을 관리할 수 있는 사이버보안 역량 강화가 필요하다. 따라서 본 논문에서는 사이버보안 역량을 강화할 수 있는 사이버보안 정규교육화에 대해 검토하고 대응방안을 제시하고자 한다. 초연결사회 특성에 따른 보안 패러다임 변화와 사이버보안 교육의 필요성에 대해 검토하고 국내외 사이버보안 교육 추진 현황에 대한 분석을 통해 사이버보안 교육 방향 및 기본 체계를 제시하고자 한다. 이에 본 연구는 지능정보사회에서 요구되는 사이버보안역량을 정의하고 사이버보안역량 함양에 관한 주요국 교육체계를 비교·분석하여 사이버보안역량 강화를 위한 정규교육과정을 제안하고자 하였다. 이에 디지털시민으로서의 사이버역량 체계 모델인 C3-Matrix를 반영하여 사이버보안역량 체계를 사이버인식(cyber ethics awareness), 사이버행동(cyber ethics behavior), 사이버보안(cyber security), 사이버안전(cyber safety)로 구성하였다. 그리고 사이버보안역량 체계 기본구성틀에 기반하여 미국, 호주, 일본, 한국에서 수행되는 관련 교육을 비교분석하고 한국 교육과정에 도입되어야 하는 사이버보안역량 교과체계를 제시하였다.

• 반도체디스플레이기술학회지
• /
• 제20권3호
• /
• pp.65-70
• /
• 2021

According to the trend of increasingly sophisticated cyber threats, the need for technology research that can be applied to cyber security personnel management and training systems is constantly being raised not only overseas but also in Korea. Previously, the US and UK have already recognized the need and have been steadily conducting related research from the past. In the United States, by encouraging applications based on related research (NICE Cybersecurity Workforce Framework) and disclosing successful use cases to the outside, it is laying the groundwork for profiling cyber security experts. However in Korea, research on cyber security expert training and profiling is insufficient compared to other countries. Therefore, in this study, in order to create a system suitable for the domestic situation, research and analysis of cases in the United States and the United Kingdom were conducted over the past few years, and based on this, a prototype was produced for the study of profiling technology for domestic cyber security experts.

• International Journal of Computer Science & Network Security
• /
• 제22권5호
• /
• pp.204-214
• /
• 2022

Speedy development has been witnessed in communication technologies and the adoption of the Internet across the world. Information dissemination is the primary goal of these technologies. One of the rapidly developing nations in the Middle East is Saudi Arabia, where the use of communication technologies, including mobile and Internet, has drastically risen in recent times. These advancements are relatively new to the region when contrasted to developed nations. Thus, offenses arising from the adoption of these technologies may be new to Saudi Arabians. This study examines cyber security awareness among Saudi Arabian citizens in distinct settings. A comparison is made between the cybersecurity policy guidelines adopted in Saudi Arabia and three other nations. This review will explore distinct essential elements and approaches to mitigating cybercrimes in the United States, Singapore, and India. Following an analysis of the current cybersecurity framework in Saudi Arabia, suggestions for improvement are determined from the overall findings. A key objective is enhancing the nationwide focus on efficient safety and security systems. While the participants display a clear knowledge of IT, the surveyed literature shows limited awareness of the risks related to cyber security practices and the role of government in promoting data safety across the Internet. As the findings indicate, proper frameworks regarding cyber security need to be considered to ensure that associated threats are mitigated as Saudi Arabia aspires to become an efficient smart nation.

• 대한의용생체공학회:의공학회지
• /
• 제44권2호
• /
• pp.99-108
• /
• 2023

According to the COVID-19, development of various medical software based on IoT(Internet of Things) was accelerated. Especially, interest in a central software system that can remotely monitor and control ventilators is increasing to solve problems related to the continuous increase in severe COVID-19 patients. Since medical device software is closely related to human life, this study aims to develop central monitoring system that can remotely monitor and control multiple ventilators in compliance with medical device software development standards and to verify performance of system. In addition, to ensure the safety and reliability of this central monitoring system, this study also specifies risk management requirements that can identify hazardous situations and evaluate potential hazards and confirms the implementation of cybersecurity to protect against potential cyber threats, which can have serious consequences for patient safety. As a result, we obtained medical device software manufacturing certificates from MFDS(Ministry of Food and Drug Safety) through technical documents about performance verification, risk management and cybersecurity application.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2023년도 제68차 하계학술대회논문집 31권2호
• /
• pp.599-600
• /
• 2023

본 논문은 사물인터넷 환경에서 개인 정보 보안을 강화하기 위해 개인 정보 위협과 대응방안을 조사하는 것을 목표로 한다. 개인 정보의 위협으로는 무단 액세스, 데이터 위반, 데이터 집계 및 프로파일링, 추적 및 감시가 있다. 이에 대한 대응방안으로는 암호화, 개인 정보 보호 데이터 처리, 보안 통신 프로토콜 등을 연구되고 있다. 또한, 실증적 연구를 통해 사물인터넷 사용자의 개인 정보 보호 문제와 기존 전략의 효과를 평가하고 권장 사항을 도출한다. 본 논문은 사물인터넷 생태계에서 개인 정보 보안을 강화하기 위한 정보를 제공하며, 개인정보를 활용하는 사용자에게 도움을 줄 것으로 기대한다.

• Korean Chemical Engineering Research
• /
• 제60권4호
• /
• pp.492-498
• /
• 2022

오늘날 대부분의 국내 석유화학 산업에서 사용되고 있는 공정제어시스템은 Windows 플랫폼 기반을 사용하고 있다. 개방형 기술에 따른 위험 노출이 증가하고 있지만, 사이버 공격에 대한 인식 부족과 오해로 인해 각종 사이버 공격에 대비하는 기업이 많지 않다. 본 연구는 석유화학 공정제어시스템이 OT 사이버보안 취약성에 얼마나 노출된 상태에서 운영 중인지를 조사하였으며, 보안 취약점을 감소시킬 수 있는 현실적인 방법을 제시하고자 하였다. 공정제어시스템의 사이버 위협 상태를 확인하기 위하여, 주요 사이버 위협 인자인 Windows 플랫폼에 대한 취약점을 확인하였으며 이를 위하여 국내 주요 3개 DCS 공급자와 635개 시스템의 Windows 플랫폼 단종 여부를 조사하였다. 조사결과 조사 대상의 77.5%가 아직도 이미 단종된 Windows 플랫폼으로 운영 중인 것으로 확인되어 공정제어 시스템이 보안 위협에 취약한 상태로 운영 중인 것으로 확인되었다. 이러한 사이버 위협에 능동적으로 대처하기 위해서는 미국과 같은 선진국에서 시행하고 있는 주요 석유화학 시설에 대한 중요기반시설 지정과 같은 법률적인 규제가 필요할 것으로 판단되며, 기존 DCS 공급자가 제공하는 보안 솔루션을 적극적으로 도입하여 공정제어시스템에 대한 보안 위협을 적극적으로 감소시키려는 노력이 필요한 시점이라고 판단된다.

• 융합보안논문지
• /
• 제24권2호
• /
• pp.9-17
• /
• 2024

본 논문은 기업 내 생성형 AI(Generative Artificial Intelligence) 시스템의 보안 위협과 대응 방안을 제시한다. AI 시스템이 방대한 데이터를 다루면서 기업의 핵심 경쟁력을 확보하는 한편, AI 시스템을 표적으로 하는 보안 위협에 대비해야 한다. AI 보안 위협은 기존 사람을 타겟으로 하는 사이버 보안 위협과 차별화된 특징을 가지므로, AI에 특화된 대응 체계 구축이 시급하다. 본 연구는 AI 시스템 보안의 중요성과 주요 위협 요인을 분석하고, 기술적/관리적 대응 방안을 제시한다. 먼저 AI 시스템이 구동되는 IT 인프라 보안을 강화하고, AI 모델 자체의 견고성을 높이기 위해 적대적 학습 (adversarial learning), 모델 경량화(model quantization) 등 방어 기술을 활용할 것을 제안한다. 아울러 내부자 위협을 감지하기 위해, AI 질의응답 과정에서 발생하는 이상 징후를 탐지할 수 있는 AI 보안 체계 설계 방안을 제시한다. 또한 사이버 킬 체인 개념을 도입하여 AI 모델 유출을 방지하기 위한 변경 통제와 감사 체계 확립을 강조한다. AI 기술이 빠르게 발전하는 만큼 AI 모델 및 데이터 보안, 내부 위협 탐지, 전문 인력 육성 등에 역량을 집중함으로써 기업은 안전하고 신뢰할 수 있는 AI 활용을 통해 디지털 경쟁력을 제고할 수 있을 것이다.

• 정보보호학회논문지
• /
• 제34권3호
• /
• pp.527-536
• /
• 2024

디지털 시대가 도래하면서 인공지능(AI)의 발전과 디지털 기술의 급속한 통합이 일어나고 있다. 이런 변화는 우리 사회에 많은 기회를 제공하지만, 그와 동시에 정보보안에 대한 위협도 증가시키고 있다. 특히 청소년들은 디지털 기술을 손쉽게 받아들이는 '디지털 네이티브'로, 이러한 변화를 선도하는 주역이다. 하지만, 청소년들은 정보보안에 대한 충분한 이해와 지식 없이는 기술을 안전하게 사용하는 데 어려움을 겪을 수 있다. 따라서 본 논문은 영국, 호주, 미국의 청소년 정보보안 교육체계를 살펴보고, 이를 바탕으로 한국에서 청소년 정보보안 교육 도입의 중요성과 효과적인 실행 방안을 제시한다. 이들 국가는 이미 청소년을 대상으로 한 정보보안 교육을 실시하고 있으며, 이는 사이버 위협에 대비하고 미래 사회를 위한 인재를 양성하는 중요한 역할을 하고 있다. 이러한 국제적 추세를 반영하여 한국도 정보보안 교육을 필수적으로 도입하고 청소년들이 기술적, 비기술적 영역을 모두 이해할 수 있도록 교육체계를 마련해야 한다. 이를 통해 청소년들이 디지털 시대의 정보보안에 대비할 수 있는 튼튼한 기반을 마련하고, 미래 사회에서 요구되는 정보보안 역량을 갖출 수 있을 것이다.

• Journal of Platform Technology
• /
• 제12권1호
• /
• pp.91-105
• /
• 2024

기존 ICS(Industrial Control System)의 격리망 환경에 IT 시스템을 적용하는 사례가 계속 증가함으로써 ICS 환경에서의 보안 위협이 급격히 증가하였다. 보안 위협 시나리오는 사이버공격에 대한 분석, 예측 및 대응 등 사이버보안 훈련에서의 보안 전략 설계에 사용된다. 성공적인 사이버보안 훈련을 위해 유효하고 신뢰할 수 있는 훈련용 보안 위협 시나리오 개발 연구가 필요하다. 이에 본 논문에서는 ICS 환경에서의 사이버보안 훈련을 위한 사례 기반 보안 위협 시나리오 개발 방법론을 제안한다. 이를 위해 ICS 대상 실제 사이버보안 사고 사례를 분석한 내용을 기반으로 총 5단계로 구성된 방법론을 개발한다. 위협 기법은 MITRE ATT&CK 프레임워크를 기반의 객관적인 데이터를 사용하여 동일한 형태로 정형화한 후 위협 기법과 대응되는 CVE 및 CWE 목록을 식별한다. 그리고 CWE와 ICS 자산에서 사용 중인 프로그래밍내 취약한 함수를 분석 및 식별한다. 이전 단계까지 생성된 데이터를 기반으로 신규 ICS 대상 사이버보안 훈련용 보안 위협 시나리오를 개발한다. 제안한 방법론과 기존 연구간 비교 분석을 통한 검증 결과, 제안한 방식이 기존 방식보다 시나리오에 대한 유효성, 근거의 적절성, 그리고 다양한 시나리오 개발에 있어서 더 효과적임을 확인하였다.