• 한국산학기술학회논문지
• /
• 제18권9호
• /
• pp.464-472
• /
• 2017

ICT(정보통신기술) 융합보안 환경에서 수많은 기업들이 회사 내에서 생산되는 중요 자료인 제품정보, 제조기술, 서비스 매뉴얼, 마케팅 자료, 홍보자료, 기술적 자료들을 외부공개 및 공유를 위해 웹 시스템을 운영하고 있다. 이렇게 인터넷에 공개된 웹 시스템은 사이버 보안 관리에 매우 큰 영향을 주고 있고, 상시 취약점을 가지고 있어서 정보보호 솔루션과 IT 취약점 점검을 수행하고 있지만, 외부 환경에서의 취약점 탐지 관리에는 한계가 있다. 본 연구에서는 이러한 문제점을 개선하고자, 디지털 포렌식 기반의 시스템을 자체 구축하고 포렌식 기법을 활용하여 기업의 중요정보 유출 탐지에 대한 실증 연구를 수행하였다. 그 결과, 국내와 해외에서 운영하는 웹 시스템의 취약점으로 인하여 기업의 비밀자료 등 중요 정보가 노출된 것을 확인할 수 있었고 보안관리 개선 사항도 확인할 수 있었다. 결론적으로 최근 증가하는 해킹사고 대응으로 디지털 포렌식 기법을 적용한 시스템을 구축한다면 정보보안 취약 영역의 보안관리 강화와 사이버보안 관리체계 개선을 가져올 수 있을 것이다.

• 정보보호학회논문지
• /
• 제24권4호
• /
• pp.681-694
• /
• 2014

2011년 대형 금융 사고가 연달아 발생하자 정부는 인력, 조직, 예산을 포함한 전자금융감독 규정 전면 개정을 발표했다. 규정에 주요 내용은 전자금융거래법 대상 기업들은 전체 직원의 5%를 IT인력으로 채용하고, IT인력의 5%는 보안인력으로, 또 IT예산의 7%는 정보보호 예산으로 편성하게 하는 내용이었다. 본 연구는 전자금융감독 규정 전면 개정에 따른 금융보안 리스크 기반의 IT도급 정책 결정 방안에 대해 연구하였다. 외주인력 문제를 해결하기 위한 정책 결정 Flow를 제공하고 IT 업무 분류 시 프로그램 품질 향상을 위한 개선 방안과 사례 연구를 통해 외주 인력의 효율적 운영정책을 제시하고자 한다.

• 한국정보통신학회논문지
• /
• 제25권10호
• /
• pp.1381-1390
• /
• 2021

지능형 전력망은 제어시스템, 전력망, 수용가로 구성되는 세 가지의 광범위한 보안 영역을 다루는 대표적인 4차 산업혁명 시대의 융합 신기술이다. 융합 신기술인 만큼 향후 국가의 기술발전과 성장동력, 경제성 등에 많은 긍정적인 영향을 미칠 수 있지만, 만약의 보안사고 발생 시에는 막대한 피해가 예상되기 때문에 에너지 관련 기관은 최신의 각종 보안 사고들을 예측하고 대응할 수 있는 다양한 보안대책들이 마련되어야 한다. 본 논문에서는 국내외 스마트그리드 현황과 보안표준 동향, 그리고 취약점 및 위협을 살펴보고, 앞으로의 스마트그리드 보안기술 전망에 대해 고찰해 보고자 한다.

• 한국정보통신학회논문지
• /
• 제26권7호
• /
• pp.1047-1059
• /
• 2022

클라우드 컴퓨팅 기술의 발전으로 가상 환경을 기반으로 서비스를 제공하는 컨테이너 기술 또한 발전하고 있다. 컨테이너 오케스트레이션 기술은 클라우드 서비스를 위한 핵심적인 요소이며, 대규모로 구성된 컨테이너를 빌드, 배포, 테스트하는데 자동화로 관리하기 위한 중요한 핵심 기술이 되었다. 최초 구글에 의해 설계되었고, 현재 리눅스 재단에 의해 관리되고 있는 쿠버네티스는 컨테이너 오케스트레이션 중에 하나이며 사실상 표준으로 자리 매김을 하고 있다. 하지만 컨테이너 오케스트레이션 중 쿠버네티스의 사용이 증가하고 있음에도 불구하고, 보안 취약점에 의한 사고사례도 또한 증가하고 있다. 이에 본 논문에서는 쿠버네티스의 취약점을 연구하고, 위협 분석을 통해 개발 초기 또는 설계 단계에서부터 보안을 고려할 수 있는 보안 정책을 제안한다. 특히, STRIDE 위협 모델링을 적용하여 보안 위협을 분류함으로써 구체적인 보안 가이드를 제시하고자 한다.

• 융합보안논문지
• /
• 제23권4호
• /
• pp.131-139
• /
• 2023

최근 내부자에 의한 국방망 침해사고가 빈번하게 발생하고 있다. 이러한 추세는 현재 우리 국방부가 고수하고 있는 물리적 망 분리정책이 더 이상 안전을 보장할 수 없다는 반증이라 할 수 있다. 따라서 보다 강력한 사이버보안 대책이 필요하다. 이와 관련해 '절대 신뢰하지 말고, 항상 검증하라'는 제로 트러스트가 새로운 보안의 패러다임으로 등장하고 있다. 본 논문은 미 국방부에서 현재 추진중에 있는 제로 트러스트 구축 동향을 분석하고, 이를 통해 도출된 시사점을 바탕으로 한국군 맞춤형 제로트러스트 구축방안을 제안한다. 본 논문이 제안하는 한국군 맞춤형 제로 트러스트 구축방안은 한국군 맞춤형 제로 트러스트 구축전략, 전담조직 편성 및 예산 확보방안, 제로 트러스트 구축기술 확보방안 등을 포함하고 있다. 본 논문에서 제안하는 한국군 맞춤형 제로 트러스트는 기존의 물리적 망 분리 정책에 기반한 사이버보안과 비교해 보안적인 측면에서 다양한 장점을 갖는다.

• Strategy21
• /
• 통권32호
• /
• pp.192-221
• /
• 2013

In order to deal with the current economic crisis, the U.S. government, as a part of its austerity fiscal policy, implemented a budget sequester. The sequester will hit the U.S. defense budget the hardest, and as a result will most likely put the security of the international community in jeopardy. The U.S. will have to cut 46 billion dollars from its original 525 billon defense spending in 2013. And by the year 2022, will have to cut 486.9 billion dollars. Such an astronomical decrease in the U.S. defense spending will inevitably burden the friendly nations. According to recent studies, pirate related incidents in Somalia, where piracy is most active, has declined from its 226 incidents to 76 incidents per year in 2012, a 66% drop from previous years'. However, piracy threats as well as those related to firearms still remain and thus participants of anti-piracy operations, namely the U.S., U.K., France, Canada, NCC, EUNAVFOR, and NATO, are facing a problem of declining forces. Considering the current situation as well as rising expectations from the international community, Republic of Korea, a supporter of NCC's maritime security operation, not to mention its foremost duty of securing its sea, is at a stage to re-examine its operational picture. Such action will be a good opportunity for Republic of Korea to build the trust and live up to the international community's expectation. To quote from the network theory, although in relation to other friendly nations participating in the anti-piracy operation, Republic of Korea currently remains at a single cell level, this opportunity will certainly develop Korea to a 'node' nation in which power and information would flow into. Through this expansion of operational capability, Republic of Korea will be able to exert more influence as a more developed nation. Currently however, not only is the single 4,500 ton class destroyer deployed in Somalia a limited unit to further expand the scale and amount of force projection in the area, but also the total of six 4,500 ton class destroyers ROK feet possess is at a high fatigue degree due to standard patrolling operations, midshipman cruise and the RIMPAC exercise. ROK fleet therefore must consider expanding the number of ships deployed along with either deploying combat support ships or constructing logistics support site in the African region. Thus, by expanding its operational capabilities and furthermore by abiding to the rightful responsibilities of a middle power nation, Republic of Korea will surely earn its respect among the members of the international community.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권8호
• /
• pp.189-196
• /
• 2016

많은 기업들은 웹 취약점 관리에 어려움을 겪고 있으며, 보안 사고도 자주 발생하고 있다. 현재는 OWASP 취약점에 기반을 둔 점검도구로 검수를 진행한다. 하지만 현재의 보안 검수는 웹 애플리케이션의 잦은 변화에 현실적으로 대응하기 어려운 실정이다. 본 연구에서는 먼저 기존 취약점 수치화 연구와 검수 프로세스를 검토하였다. 이에 기반을 두어 현실적이며 필수적인 주요 취약점 제거와 능동적인 검수 프로세스에 바탕을 둔 개선된 검수 프레임워크를 제안한다.

• 한국정보통신학회논문지
• /
• 제19권9호
• /
• pp.2056-2063
• /
• 2015

최근 클라우드 서비스는 서비스 규모가 확대됨에 따라 신규 취약성과 보안 관련 사건·사고에 대한 우려로 인한 불안감도 함께 증가하고 있다. 본 논문은 사용자 인증 이후 생성되는 보안세션의 다중 세션관리를 위한 인증 기법을 제안한다. 제안하는 기법의 세션다중화는 서비스 제공자 내부의 가상화(하이퍼바이저) 수준에서 보안세션의 독립적 관리를 가능하게 한다. 성능분석결과 상호인증과 세션 다중화로 인한 강력한 안전성을 제공하고, 기존 상호인증 암호화 알고리즘을 비교하여 성능의 우수성을 입증하였다.

• 정보보호학회논문지
• /
• 제29권2호
• /
• pp.309-320
• /
• 2019

블록체인 기술은 비트코인과 함께 알려졌으며, 급진적인 암호화폐의 성장과 함께 주요 기술로 인식되었다. 블록체인을 활용하기 위한 노력은 다양한 분야에서 이어지고 있으며 지속해서 발전하고 있다. 하지만 블록체인의 발전과 함께 블록체인을 위협하는 보안사고도 증가하고 있다. 이러한 문제를 해결하기 위해 블록체인의 다양한 보안 위협 중 블록체인 소프트웨어의 구현상 문제점을 분석하겠다. 본 논문에서는 블록체인 소프트웨어 중 오픈소스로 개발되는 암호화폐를 보안 관점에서 바라보며 소스코드에 존재하는 취약점을 분석하고, 취약점을 이용한 OS 커맨드 인젝션 공격에 대해 알아보겠다.

• 융합보안논문지
• /
• 제18권5_1호
• /
• pp.121-126
• /
• 2018

현대의 정보통신 기술과 네트워크 기술이 발달은 기업의 운영환경을 스마트하게 변화시켰으며, 그 가운데서 수많은 데이터들이 생성되고 저장되고 사용되고 있다. 기업경영의 에너지원이 되는 중요한 정보는 경제적인 이윤과 가치를 생성하고 또한 강력한 영향력의 근거로 활용된다. 따라서 주요정보는 그 가용성과 편의성을 확보해야 함과 동시에 기밀성과 무결성을 담보해야 하는 것이며 이것이 바로 정보보호의 기본목표가 된다고 할 수 있다. 그러나 대부분의 기업들은 중요한 내부정보가 유출되어 심각한 피해를 야기하는 사고가 증가하고 있다. 이에 본 연구에서는 내부정보유출을 방지하고 안정적인 데이터보안 및 정보보호관리 구축을 위한 DLP(Data Loss Prevention) 기술과 솔루션에 대해 살펴본다.