• 융합보안논문지
• /
• 제19권1호
• /
• pp.31-40
• /
• 2019

정보보호(Information Security)는 최근 사이버공간의 출현과 확장으로 인해 그 중요성이 점차 증가하고 있다. 1998년 미국 국방부 정보작전 교리에서 유래된 '정보보증(Information Assurance)'은 기존의 정보보호 개념에 대응과 복구를 포함한 광의의 적극적 보호, 정보체계 전 수명주기에서 보안관리, 위험분석 과정에서의 신뢰성 등을 추가한 개념으로서 현재 널리 사용중이다. 그러나 국내에서는 정보보증 개념을 잘못 이해하거나 정보보호와 혼용하여 사용하는 경우가 종종 발생하고 있다. 본 논문에서는 정보보증 개념의 명확한 이해를 위해 정보보증 관련 기존 문헌들을 고찰하여 정보보증 개념을 정의하고자 하였다. 본 논문에서 제안한 정보보증 용어 정의의 주요 표현들에 대한 구문 분석을 수행함으로써, 용어 정의의 타당성을 제시하였다.

• 한국항해항만학회:학술대회논문집
• /
• 한국항해항만학회 2019년도 추계학술대회
• /
• pp.134-136
• /
• 2019

국제해사기구(IMO)는 2017년 해상 사이버 위험관리 지침(Guidelines on maritime cyber risk management)을 발표했다. IMO의 해상 사이버 위험관리 지침에 따라 각 기국은 2021년 1월 1일 이후 도래하는 첫 번째 연차심사 전까지 안전관리규약(ISM, International Safety Management Code)의 선박안전관리시스템(SMS, Safety Management System)에서 사이버 리스크에 관한 사항을 통합·관리 하여야 한다. 본 논문에서는 해상분야의 사이버 보안 관리대상 및 위험요소를 식별하고 취약성 분석을 수행하기 위하여 IMO가 제시한 산업계 지침 및 국제표준을 근거로 해상분야의 사이버 보안 취약분야를 관리적·기술적·물리적 보안의 세 가지 영역으로 구분하였다. 또한, 리스크 매트릭스(Risk Matrix)를 사용하여 보안영역별 위험요소에 따른 정성적 리스크 평가(RA, Risk Assessment)를 수행하였다.

• Nuclear Engineering and Technology
• /
• 제49권3호
• /
• pp.517-524
• /
• 2017

Cyber security is an important issue in the field of nuclear engineering because nuclear facilities use digital equipment and digital systems that can lead to serious hazards in the event of an accident. Regulatory agencies worldwide have announced guidelines for cyber security related to nuclear issues, including U.S. NRC Regulatory Guide 5.71. It is important to evaluate cyber security risk in accordance with these regulatory guides. In this study, we propose a cyber security risk evaluation model for nuclear instrumentation and control systems using a Bayesian network and event trees. As it is difficult to perform penetration tests on the systems, the evaluation model can inform research on cyber threats to cyber security systems for nuclear facilities through the use of prior and posterior information and backpropagation calculations. Furthermore, we suggest a methodology for the application of analytical results from the Bayesian network model to an event tree model, which is a probabilistic safety assessment method. The proposed method will provide insight into safety and cyber security risks.

• 인터넷정보학회논문지
• /
• 제9권4호
• /
• pp.79-84
• /
• 2008

정보통신환경의 빠른 변화에 따라서 정보자산의 효과적인 관리의 중요성이 강조되어지고 있다. 국내에서도 정보인프라에 대한 정보보호를 위해서 중요자산에 대한 위험분석 및 취약성 분석 강조되어지고 있다. 따라서 효과적인 자산분석을 위해 자산분류 체계화가 선행되어야 한다. 이에 따라, 본 논문에서는 기존의 연구내용들을 조사하여 자산분류를 체계화하고, 이를 토대로 객체지향 자산분류 모델을 제안한다.

• 정보보호학회논문지
• /
• 제8권3호
• /
• pp.3-15
• /
• 1998

본 논문에서는 다중보호대책으로 구성된 정보보호시스템의 보호효과를 평가하기 위한 새로운 모델을 제안한다. 제안한 모델은 정보보호시스템이 요구되는 보호수준에 부합하는지 결정할 수 있게 하며, 또한 구축된 정보보호시스템의 위혐분석을 위하여 활용될 수 있다.

• 정보보호학회논문지
• /
• 제27권6호
• /
• pp.1483-1490
• /
• 2017

스마트워치는 사용자가 착용하는 소형 스마트 기기로 연결성, 기능성 및 유용성을 위해 호스트 기기인 스마트폰과 페어링 과정을 필요로 한다. 페어링 과정 이후에는 사용자의 의식 없이도 스마트워치와 스마트폰 기기 간의 데이터 업데이트 및 백업 과정이 가능하며 스마트폰의 다양한 데이터가 복제되어 스마트워치로 넘어온다. 본 연구는 플랫폼별 스마트워치에 대해 스마트폰으로부터 복제되어 넘어오는 데이터를 사용 시점별로 추출 및 관찰하여 분석한다. 또한 스마트워치 사용자를 대상으로 실시한 보안관련 인식에 대한 설문조사를 바탕으로 데이터 추출 실험 결과에 따른 보안 및 개인 정보보호관점에서의 데이터별 위험도 평가를 수행하고 대응방안을 고찰한다.

• 융합보안논문지
• /
• 제8권1호
• /
• pp.117-127
• /
• 2008

국내 보안관리 시스템의 후진성은 선진기술을 가진 외국 보안업체에 의존하는 현상을 낳았고, 이는 국내 기업은 물론 공공기관의 기밀사항이 외국에 유출될 위험을 내포하고 있다. 따라서 본 논문은 국내 공공망의 안전성 유지를 위한 자동화 보안분석 시스템을 설계 구현함으로서 보안성 분석기술을 확보하고, 이를 이용 공공기관의 보안수준을 높이며 외국업체에 대한 의존도를 줄여 국가 보안 안전성 확보에 기여하고자 한다.

• 한국컴퓨터정보학회논문지
• /
• 제8권2호
• /
• pp.75-81
• /
• 2003

현재 국내표준으로 제시된 모델은 공공시스템에 적용하도록 만들어진 일반 모델로서 비용과 보안관리 능력 등 여러 가지 측면에서 볼 때 일반 기업체에는 적용하기가 어렵다. 본 논문에서는 국내위험분석 모델을 바탕으로 보안관리 위험분석 시뮬레이션모델을 제안하여 일반 기업체에서 실제 적용, 운영이 가능하도록 하였다. 본 모델은 위험분석 특성상 임의적, 주관적으로 도출하게 되는 많은 기준들을 가능한 객관적이고 보편 타당한 기준을 제시하려고 하였고, 대응책 분석 및 제시에서도 현실성 있고 실제 운영 가능한 대응책을 도출하도록 하였다.

• Journal of Information Technology Applications and Management
• /
• 제13권2호
• /
• pp.127-143
• /
• 2006

As the number of Internet users increases, online shopping malls are gradually flourishing and sales are continuously growing. However, since consumers are not able to check what they purchase when buying products on the Internet, they are bound to have higher risk perception than buying directly from off-line stores. Especially, sporting goods require a special attention because a preliminary test is important. Therefore, the risk perception is much higher when people purchase sporting goods online. This study first identifies the multi-dimensionality of risk perception. Then, it investigates whether online purchasing experience of sporting goods makes differences in the level of risk perception. In addition, it examines whether the risk perception by those who had an experience in purchasing sporting goods online affects the customer satisfaction. This study has identified five dimensions in the concept of risk perception, such as financial risk, performance risk, security risk, delivery risk, and psychological/physical risk. A statistical analysis shows that people without an experience in purchasing sporting goods online have perceived significantly higher performance risk, security risk, and psychological/physical risk than those with online purchasing experiences. Finally, this study has found that delivery risk, financial risk, and psychological/physical risk have significant negative influences on the customer satisfaction.

• 한국멀티미디어학회논문지
• /
• 제20권5호
• /
• pp.827-834
• /
• 2017

Android's inter-application access enriches its application ecosystem. However, it exposes security vulnerabilities where end-user data can be exploited by attackers. While existing techniques have focused on minimizing the risks of inter-application access, they either suffer from inaccurate risk detection or are primarily available to expert users. This paper introduces a novel technique that automatically analyzes potential risks between a set of applications, aids end-users to effectively assess the identified risks by crowdsourcing assessments, and generates an access control policy which prevents unsafe inter-application access at runtime. Our evaluation demonstrated that our technique identifies potential risks between real-world applications with perfect accuracy, supports a scalable analysis on a large number of applications, and successfully aids end-users' risk assessments.