• 정보보호학회논문지
• /
• 제30권5호
• /
• pp.929-943
• /
• 2020

COVID-19 감염자의 동선을 파악함과 동시에 개인의 프라이버시를 보호하기 위한 방법들이 다양하게 제시되고 있다. 그 중에서 애플과 구글에서 발표한 'Exposure Notification'은 블루투스를 사용한 탈중앙화 방식을 따르고 있다. 하지만 이 기술을 사용하려면 항상 블루투스 기능을 켜 놓아야 하며 이를 통해 다양한 보안 위협이 발생할 수 있다. 본 논문에서는 보안 위협 모델링 기법 중 'STRIDE'와 'LINDDUN'을 적용하여 Exposure Notification 기술의 보안성을 평가하여 발생 가능한 모든 위협을 도출하였다. 또한 보안성 평가 결과를 가지고 대응 방안을 도출하고 이를 바탕으로 보안성을 향상시킨 새로운 모델을 제시한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권11호
• /
• pp.4145-4162
• /
• 2021

During the period of epidemic prevention and control, contact tracing systems are developed in many countries, to stop or slow down the progression of COVID-19 contamination. However, the privacy issues involved in the use of contact tracing apps have also attracted people's attention. First, we divide contact tracing techniques into two types: Bluetooth Low Energy (BLE) based and Global Positioning System (GPS) based techniques. In order to clear understand the system structure and its elements, we create data flow diagram (DFD) of each types. Second, we analyze the possible privacy threats contained in various types of contact tracing apps by applying LINDDUN, which is a threat modeling technique for personal information protection. Third, we make a comparison and analysis of various contact tracing techniques from privacy point of view. These studies can facilitate improve tracing and security performance to contact tracing apps through comparisons between different types.

• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.513-528
• /
• 2018

주거 환경에 IoT 기술을 융합한 스마트홈 환경에서 스마트홈 허브는 다양한 IoT 기기들을 네트워크로 연결하여 사용자에게 편의 기능을 제공한다. 스마트홈 허브는 IoT 기기들을 연결하여 활용하는 과정에서 다양한 데이터가 오고가는 통로의 역할을 하는데, 이 데이터에는 사용자의 생활환경과 밀접한 관련이 있어 개인정보로써 악용될 수 있다. 이러한 개인정보의 악용으로 사용자의 신원 노출 등 피해가 발생할 수 있다. 따라서 본 논문은 스마트홈 허브에 대해 기존에 국내에서 사용하지 않았던 개인정보보호 측면의 위협 모델링 기법인 LINDDUN을 사용하여 위협을 분석하였다. 분석한 위협과 대응하는 보안요구사항을 국제표준인 common criteria를 사용하여 스마트홈 허브에 대한 평가 기준을 제시한다.

• 정보보호학회논문지
• /
• 제28권6호
• /
• pp.1523-1537
• /
• 2018

AI 스피커는 간단한 동작으로 음악재생, 온라인 검색 등 사용자에게 유용한 기능을 제공하고 있으며, 이에 따라 AI 스피커 시장은 현재 매우 빠른 속도로 성장하고 있다. 그러나 AI 스피커는 항시 사용자의 음성을 대기하고 있어 보안 위협에 노출될 경우 도청, 개인정보 노출 등 심각한 문제가 발생할 수 있다. 이에 모든 AI 스피커의 전반적으로 향상된 보안을 제공하기 위해 발생 가능한 보안 위협을 식별하고 체계적인 취약점 점검을 위한 방안이 필요하다. 본 논문에서는 점유율이 높은 제품 4개를 선정하여 보안위협모델링을 수행하였다. Data Flow Diagram, STRIDE, LINDDUN 위협모델링을 통해 체계적이고 객관적인 취약점 점검을 위한 체크리스트를 도출하였으며, 이후 체크리스트를 이용하여 실제 기기에 대한 취약점 점검을 진행하였다. 마지막으로 취약점 점검 결과 및 각 제품에 대한 취약점 비교 분석을 통해 AI 스피커의 보안성을 향상시킬 수 있는 방안을 제안하였다.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.235-255
• /
• 2019

최근 기술의 발달과 산업의 변화를 통해 게임업계는 PC와 Mobile 그리고 Console game에서 서로 다른 플랫폼 유저가 함께 즐길 수 있는 크로스플레이를 지원하여 재미를 극대화 하고 있다. 크로스플레이를 통해 플랫폼의 경계가 없어지면 기존의 보안이 일정수준 이상 유지되었더라도 새로운 서비스로 인해 예상치 못한 보안위협이 발생 할 수 있다. 기존에 진행된 온라인 게임보안 연구는 PC와 Mobile환경에서 발생 가능한 부정행위 탐지가 대부분이지만 크로스플레이가 가능해짐에 따라 Console game에 대한 보안연구 역시 필요하다. 따라서 본 논문은 Console game 유저를 대상으로 크로스플레이를 즐길 때 발생 가능한 보안위협을 STRIDE와 LINDDUN 위협모델링을 활용하여 체계적으로 식별하고 국제공통평가기준을 활용해 보안요구사항 도출하여 크로스플레이에 대한 평가 기준을 제시한다.

• 정보보호학회논문지
• /
• 제31권3호
• /
• pp.291-307
• /
• 2021

그동안 COVID-19의 확산을 막고 사회를 정상화하려는 노력이 있었고, 감염 확산 탐지를 위해선 접촉자 추적기술이 필수적이다. 하지만, 정부에 의한 접촉 추적 과정에서 공개된 감염자의 개인 정보 침해에 대한 우려가 제기되고 있고, 이에 Google과 Apple은 개인 정보 보호와 보안을 고려하여 정부와 보건 기관의 COVID-19 확산 방지에 대한 노력을 도울 수 있도록 블루투스 기술을 사용한 접촉 추적 기술을 발표했다. 그러나 더 나은 접촉 추적기술을 제시하기 위해서는 체계적으로 보안 위협 및 취약점 도출하는 과정이 필요하다. 본 논문에서는 STRIDE, LINDDUN 위협 모델링을 통해 COVID-19 접촉 추적 기술에 대한 보안성을 분석하고, 이것을 기반으로 Zero-knowledge Succinctness Non-interactive Arguments of Knowledges(zkSNARKs)와 Public Key Infrastructure(PKI)를 이용해 실질적인 데이터 무결성과 개인 정보 보호 보장 방식을 제안한다.

• 정보보호학회논문지
• /
• 제30권6호
• /
• pp.1151-1166
• /
• 2020

COVID-19 감염 확산을 효과적으로 막기 위해 최근 ICT 기술을 기반으로 하는 접촉자 추적 기술이 사용되고 있으며, 이 기술들에는 추적 방식에 따라 다양한 유형이 존재한다. 하지만 이러한 기술들은 항상 보안 위협에 노출되어 있으며 각각의 유형에 따라 발생 가능한 위협도 다양하다. 본 논문에서는 다양한 유형의 접촉자 추적 기술에서 공통적으로 발생하는 프로세스들을 확인하고 이 과정에서 발생할 수 있는 위협을 식별하였다. 이를 통해 다양한 유형의 접촉자 추적 기술 모두에 적용 가능한 공통된 평가 기준을 도출하였으며, 이를 실제 공개된 접촉자 추적 기술에 적용하여 유형 별 비교 분석을 수행하였다. 이러한 연구는 여러 유형 간의 비교를 통해 안전하고 효과적인 접촉자 추적 기술을 선택하는데 도움이 될 수 있을 것이다.