• 한국항해항만학회:학술대회논문집
• /
• 한국항해항만학회 2019년도 춘계학술대회
• /
• pp.29-32
• /
• 2019

정보통신기술의 발전으로 인하여 선박 내 시스템 간 또는 선박과 육상 시설 간의 정보 교환 및 통신이 용이하게 되어 업무 효율이 향상되고 있다. 그러나 이러한 회사와 선박의 업무 환경의 변화는 회사 및 선박의 시스템으로의 비인가된 접근 또는 악성코드 감염과 같은 사이버보안 사고 발생 가능성을 높이는 요인이 되어 안전, 환경 및 상업적으로 중대한 피해를 야기할 수 있다. 따라서 증가하는 사이버위헙을 식별하고 대응하기 위하여 사이버 리스크 기반 접근법이 필요하게 되었다. 본 논문에서는 해사 사이버보안 동향을 분석하고 해상 사이버보안 시스템 구축을 위한 가이드라인을 제공하고자 한다.

• Nuclear Engineering and Technology
• /
• 제55권6호
• /
• pp.2034-2046
• /
• 2023

Industrial control systems in nuclear facilities are facing increasing cyber threats due to the widespread use of information and communication equipment. To implement cyber security programs effectively through the RG 5.71, it is necessary to quantitatively assess cyber risks. However, this can be challenging due to limited historical data on threats and customized Critical Digital Assets (CDAs) in nuclear facilities. Previous works have focused on identifying data flows, the assets where the data is stored and processed, which means that the methods are heavily biased towards information security concerns. Additionally, in nuclear facilities, cyber threats need to be analyzed from a safety perspective. In this study, we use the system theoretic process analysis to identify system-level threat scenarios that could violate safety constraints. Instead of quantifying the likelihood of exploiting vulnerabilities, we quantify Security Control Measures (SCMs) against the identified threat scenarios. We classify the system and CDAs into four consequence-based classes, as presented in NEI 13-10, to analyze the adversary impact on CDAs. This allows for the ranking of identified threat scenarios according to the quantified SCMs. The proposed framework enables stakeholders to more effectively and accurately rank cyber risks, as well as establish security and response strategies.

• 한국ITS학회 논문지
• /
• 제18권2호
• /
• pp.144-155
• /
• 2019

오늘날 자동차 산업의 화두 중 하나는 자율주행차량이다. 국제자동차기술자협회(SAE International)가 정의한 레벨 3이상을 달성하기 위해서는 자율주행 기술과 커넥티드 기술의 조화가 필수적이다. 현재의 차량은 자율주행과 같은 새로운 기능을 가지게 됨에 따라 전장 부품의 수뿐 만 아니라 소프트웨어의 양과 복잡성도 늘어났다. 이로 인해 공격 표면(Attack surface)이 확대되고, 소프트웨어에 내재된 보안 취약점도 늘어나고 있다. 실제로 커넥티드 기능을 가진 차량의 보안 취약점을 악용하여 차량을 강제 제어할 수 있음이 연구자들에 의해 증명되기도 했다. 하지만 차량에 적용 되어야 하는 필수적인 보안 요구 사항은 정의되어 있지 않는 것이 현실이다. 본 논문에서는 실제 공격 및 취약점 사례를 바탕으로 차량내부네트워크(In-Vehicle Network)에 존재하는 자산을 식별하고, 위협을 도출하였다. 또한 보안요구사항을 정의 하였고, 위험 분석을 통해 사이버 보안으로 인한 안전 문제를 최소화하기 위한 필수 보안 요구 사항을 도출하였다.

• 시큐리티연구
• /
• 제48호
• /
• pp.177-206
• /
• 2016

이 연구의 목적은 위험해석모형을 적용하여 범죄두려움의 영향요인을 검증하는 데 있다. 특히, 기존의 연구들이 위험해석모형에서 제시된 미시적 개인요소를 포함하지 않고 있어 이 연구에서는 미시적 개인요소, 지역사회요소, 범죄 위험의 인지, 범죄두려움 등을 주요 변인으로 포함하였다. 이 연구에 사용된 자료는 형사정책연구원(2012)에서 실시한 '전국범죄피해조사'의 2차 자료를 활용하였으며, 해당 변인들이 범죄두려움에 미치는 개별적인 영향력을 검증하고, 위험해석모형에서 제시된 인과적 경로관계를 규명하기 위해 2단계의 다중회귀분석과 Sobel Test를 실시하였다. 분석결과, 범죄 위험의 인지가 높을수록, 여성일수록, 지역사회가 무질서하다고 인식할수록, 연령이 낮을수록, 범죄피해를 경험할수록, 학력이 높을수록, 소득수준이 높을수록 범죄두려움을 보다 많이 인식하고 있었으며, 그리고 위험해석모형에서 제시된 인과적 경로관계는 학력을 제외하고 모두 유의미하게 제시되었다.

• 한국방재안전학회논문집
• /
• 제9권2호
• /
• pp.15-21
• /
• 2016

국민안전처에서 발행하는 재난연감에 의하면 교통사고 화재 붕괴등 사회재난을 23가지로 분류하고 있다. 과거 재난은 주로 태풍 가뭄등 자연의 영향으로 발생한 반면 사회가 도시 중심으로 집중됨에 따라 사회재난의 종류와 빈도, 규모는 점점 증가하고 있는 추세이다. 그러나 이러한 사회재난이 가지고 있는 위해성이 어느 정도인지 객관적으로 판단할 수 있는 구체적인 기준과 평가방법이 없는 상태이다. 따라서 본 연구는 주요 사회재난 중 교통사고, 화재사고, 붕괴사고를 대상으로 최근 8년간 발생한 빈도, 인명피해규모, 재산피해규모에 관한 데이터를 활용하여 3차원 공간좌표상의 두 점간의 거리(유클리드거리)로써 재난위해지수를 산정하여 사회재난의 유형별 정량적인 평가가 가능하도록 하였다. 이 결과를 활용하여 주요 사회재난 유형별 위해성 순위를 정량적으로 평가할 수 있어 국가 재난관리체계 구축 시 기초자료로 활용될 수 있을 것으로 사료된다.

• 경영과학
• /
• 제17권1호
• /
• pp.145-158
• /
• 2000

The medical records of diagnostic and testing information include sensitive personal information that reveals some of the most intimate aspects of an individual's life. The hospital information system (HIS) operates in a state of high risk which may lead to the possible loss to the IS resources caused by various threats. This research addresses twofold : (1) to perform asset identification ad valuation and (2) to recommend countermeasures for secure HIS network using case studies This paper applied a risk management tool CRAMM (Central Computer and Tele-communications Agency's Risk Analysis and Management Method) to assess asset values and suggest countermeasures for the security of computerized medical information of two large hospitals in Korea. CRAMM countermeasures are recommended at the reference sites from the network security requirements of system utilized for the diagnosis and treatment of patients. The results of the study will enhance the awareness of IS risk management by IS managers.

• Asia pacific journal of information systems
• /
• 제10권2호
• /
• pp.149-176
• /
• 2000

As companies become more dependent upon information systems(IS), the potential losses of IS resources become critical. IS management must assume the increasing responsibility for protection of IS resources as the IS and business environments become more vulnerable to various threats. The major issues facing management, when attempting to manage risks, include the assessment of the impact of risks on business objectives and the design of security safeguards to reduce the unacceptable risks to an acceptable level. This paper provides a case study of the risk management for IS. A Korean credit card company which has the high sensitivity for customers security was selected as a case. The risk management procedure using a powerful tool, CRAMM(the Central Computer and Telecommunications Agencys Risk Analysis and Management Method) was applied for this company.

• 정보보호학회논문지
• /
• 제21권6호
• /
• pp.67-81
• /
• 2011

최근 세계 각지에 국가 주요 산업시설을 목표로 하는 스턱스넷(stuxnet)과 같은 '사이버 무기'가 나타나 보안전문가들이 주목하고 있다. 도시의 교통과 지하철, 상수도 등과 같은 기반시설을 제어하는 네트워크는 전통적으로 폐쇄망으로 운영되고 있어 바이러스, 악성코드 등의 위협에 안전한 것으로 인식되어 왔으나, 이제는 새로운 공격 위협에 능동적으로 대처해야 할 때이다. 본 연구에서는 도시 기반시설 SCADA망의 제어시스템 현황과 위험을 분석하고, 운영환경에 맞는 보안 모델을 수립함으로써 이러한 위협에 대응하기 위한 방향을 제시하고자 한다.

• 한국인터넷방송통신학회논문지
• /
• 제15권6호
• /
• pp.267-273
• /
• 2015

정보통신계의 발달로 인하여 등장하는 새로운 기술들로 인하여 새로운 개인정보의 형태가 나타나고 있다. 이에 따라, 기존 개인정보들과 결합되어 사용되어지는 개인정보들이 점차 늘어나고 있다. 현행 개인정보보호법에서 정의하는 결합된 정보에 대한 개인정보 위험도를 측정하는 방법은 정성적으로 제시되고 있어, 개인정보 위험도가 평준화되기는 어렵다. 본 논문에서는 기존 연구된 개인정보 위험도 평가 방법을 기반으로 개인정보 중요도와 가중치를 측정한 다음 IPA를 통해 개인정보의 위험도를 분석하는 모델을 제시하는데 그 목적을 두고 있다. 본 연구를 통하여 사용자의 주관적인 판단을 배제할 수 있고, 결합된 개인정보 위험도 산정에 사용될 수 있다. 또한, 제시되는 정략적인 위험도는 객관적인 지표로 사용될 수 있는 기준을 제시할 수 있을 것이다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권9호
• /
• pp.4588-4608
• /
• 2017

The measurement of information security levels is a very important but difficult task. So far, various measurement methods have studied the development of new indices. Note, however, that researches have focused on the problem of attaining a certain level but largely neglecting research focused on the issue of how different types of possible flaws in security controls affect each other and which flaws are more critical because of these effects. Furthermore, applying the same weight across the board to these flaws has made it difficult to identify the relative importance. In this paper, the interrelationships among security flaws that occurred in the security controls of K-ISMS were analyzed, and the relative impact of each security control was measured. Additionally, a case-control study was applied using empirical data to eliminate subjective bias as a shortcoming of expert surveys and comparative studies. The security controls were divided into 2 groups depending on whether or not a security flaw occurs. The experimental results show the impact relationship and the severity among security flaws. We expect these results to be applied as good reference indices when making decisions on the removal of security flaws in an enterprise.