• 한국전자통신학회논문지
• /
• 제17권2호
• /
• pp.219-228
• /
• 2022

인간 활동 영역의 광범위한 변환 및 디지털화 조건에서 오늘날 가장 시급하고 까다로운 문제 중 하나는 정보 보안과 데이터 무결성 보장입니다. 정보 보안 분야의 주요 연구 개발은 효율성과 합리화를 향상시키는 데 있습니다. 정보 단지의 데이터 전송 및 운영의 주요 수단 중 하나는 광섬유 시스템입니다. 현재까지 이러한 통신 방식을 통해 불법적인 침입 및 정보 도용 사건이 발생하고 있습니다. 따라서, 오늘날 광섬유 데이터 전송 시스템에서 불충분한 정보 보안과 관련된 문제가 있습니다. 시스템의 불법 간섭 행위에 대응하는 가장 효과적인 도구 중 하나는 인공 지능과 정보 보호의 암호 알고리즘입니다. 이 두 도구의 공생은 광섬유 데이터 전송 시스템의 정보 보안 수준을 질적으로 향상시킬 수 있습니다. 따라서 이 기사의 저자는 지능형 암호화 알고리즘의 통합을 기반으로 하는 광섬유 데이터 전송 시스템의 위반으로부터 정보를 보호하기 위한 혁신적인 시스템의 설명과 관련된 목표를 추구합니다.

• 정보보호학회논문지
• /
• 제33권3호
• /
• pp.527-535
• /
• 2023

사이버 침해사고 대응 능력을 갖춘 전문가의 양성을 위해 여러 기관에서 사이버 훈련장을 구축하여 사이버 방호 전략을 갖춘 보안 전문가를 양성하고 있지만, 기존 시스템에서는 가상훈련 시스템 내 자원의 한계, 시나리오기반의 실습 콘텐츠 개발 및 운영, 비용적인 문제 등에 있어서 어려움을 겪는다. 이를 보완하기 위해 본 논문에서는 각 조직에 맞는 IT 인프라 환경에 대한 유사한 변이 환경을 제공하여 사이버 공방 훈련자가 다양한 경험을 축적할 수 있도록 하는 가상 인프라 변이 생성 프레임워크를 제안한다. 실험 및 평가를 위해 기존의 컨테이너를 IaC(Infrastructure-as-Code) 환경의 컨테이너로 전환하고 코드 내 변이할 수 있는 요소들을 데이터로 추출하여 자연어 처리 모델인 Word2Vec에 학습시켜 구성 데이터를 변이하여 새로운 코드를 생성하고 새로운 컨테이너환경을 제시한다.

• 정보보호학회논문지
• /
• 제34권1호
• /
• pp.41-52
• /
• 2024

IPsec VPN에 대한 보안 감사는 구현 결함이나 설정 오류로 인한 취약점을 점검하고 사고 발생에 대한 조사 등을 위해 매우 중요하다. 하지만 IPsec VPN은 기밀성, 무결성, 인증 등을 보장하기 위해 네트워크 콘텐츠가 암호화 되어 있어 보안 감사에 큰 어려움이 있다. 이를 해결하기 위해 중간자 공격 방식을 이용한 분석 기법들이 이전 연구들에서 제안되었다. 중간자 공격 기법을 적용하기 위해서는 상호 인증을 위한 사전 공유키를 알고 있어야 하며, 네트워크에 직접 참여해야 한다. 이는 보안 감사를 위해 일시적으로 네트워크 단절을 유발하며, 감사 이전에 수집된 데이터에 대한 분석이 불가능하다. 본 논문에서는 네트워크 연속성을 보장하며, 특정 IPsec VPN 연결 방식과 인증 방식에 한정되지 않는 새로운 분석 기법을 제안한다. 따라서, 제안하는 분석 기법은 IPsec VPN 보안 감사를 위해 실제적으로 활용될 것으로 기대된다.

• 시큐리티연구
• /
• 제48호
• /
• pp.79-111
• /
• 2016

이 연구는 산업보안 관련 분야가 시스템 측면에서 국제표준기구인 ISO를 통해서 표준화되어 가는 추세를 분석한 것이다. 산업기밀 유출 방지와 같은 악의적 범죄공격에 의한 위험을 관리하고 손실을 방지하기 위한 산업재산권 보호 관련한 체계라는 범위를 벗어나서 공급사슬, 제품 및 문서 위조의 방지, 재난관리, 커뮤니티 회복력과 같이 폭넓은 분야를 다루었다. 이를 위해 산업보안 분야 표준화의 역사를 연혁적으로 분석하면서 ISO TC 292가 탄생된 역사적 배경과 표준화의 틀이 어떻게 변화되어 왔는지를 체계적으로 안내하였다. 또한 TC 292 안에서 워킹그룹 별로 개발되고 제정되어 온 보안 관련 표준들의 대략적인 내용들을 용어 정의(terminology) 및 일반적 보안 원칙(general standards)부터 공급사슬보안경영시스템(supply chain security management)까지 상세하게 살펴보았다. 분석을 통해 도출된 주요 발견점은 보안의 대상(target)과 위협(threat)이 다양화되면서 기업 등의 조직이 보다 유연성 있게 보호하고 피해를 입고도 조속히 회복되는 적응력을 갖추기 위한 체계가 표준화되고 있으며, 산업보안 관련 국제표준화의 범위가 확장되고 있다는 점, 그 국제표준화는 공공 및 민간 보안의 홀리스틱(holistic) 접근의 중요성을 강조하고 있다는 점, 마지막으로 산업이 적절한 보안과 회복력을 갖추기 위해서 이러한 국제표준화를 통한 ISO인증 요구사항에 시급히 대비 및 대응하여야 한다는 점이다.

• 정보화정책
• /
• 제25권1호
• /
• pp.99-114
• /
• 2018

조직의 정보보안은 물리적, 기술적, 관리적 영역에서 균형적으로 이뤄져야 한다. 그러나 과거 기업의 정보보안 대책은 주로 물리적, 기술적 영역에 집중되는 경향이 있었다. 최근 조직구성원에 의한 보안사고가 늘어남에 따라 기업에서도 인적 보안 관리나 정보보안 교육에 관심이 점차 높아지는 추세이다. 본 연구는 현장실험을 통해 보안교육이나 보안서비스 제공이 조직구성원의 보안정책 준수 행동에 어떤 영향을 미치는지 알아보았다. 연구 1에서 국내 대기업 임직원을 대상으로 스팸 이메일 대응교육을 실시한 후 교육 효과를 알아보기 위해 스팸 이메일 열람 여부를 측정했고, 3개월이 지난 후에도 효과가 지속되는지 알아보았다. 연구 2에서는 보안서비스의 효과를 알아보기 위해 보안경고 알림 메시지를 제공한 후 그 효과를 측정하였다. 실험 결과, 보안교육은 보안정책 준수 행동에 긍정적인 영향을 미치는 것으로 나타났다. 보안교육 직후 교육 이수집단이 미이수집단에 비해 스팸 이메일 열람률이 낮았다. 그러나 3개월 후 이러한 집단 간 차이는 사라졌다. 또한 보안위험 경고 알림 메시지는 스팸 이메일을 열람률을 낮추는 데 효과가 큰 것으로 나타나 보안정책 준수 행동에 긍정적인 영향을 미쳤다. 이 결과는 조직의 인적보안관리를 위해서는 지속적인 보안교육이 필요하고, 보완적으로 보안서비스를 활용할 필요가 있음을 시사한다.

• Asia pacific journal of information systems
• /
• 제22권1호
• /
• pp.53-77
• /
• 2012

Financial firms, especially large scaled firms such as KB bank, NH bank, Samsung Card, Hana SK Card, Hyundai Capital, Shinhan Card, etc. should be securely dealing with the personal financial information. Indeed, people have tended to believe that those big financial companies are relatively safer in terms of information security than typical small and medium sized firms in other industries. However, the recent incidents of personal information privacy invasion showed that this may not be true. Financial firms have increased the investment of information protection and security, and they are trying to prevent the information privacy invasion accidents by doing all the necessary efforts. This paper studies how effectively a financial firm will be able to avoid personal financial information privacy invasion that may be deliberately caused by internal staffs. Although there are several literatures relating to information security, to our knowledge, this is the first study to focus on the behavior of internal staffs. The big financial firms are doing variety of information security activities to protect personal information. This study is to confirm what types of such activities actually work well. The primary research model of this paper is based on Theory of Planned Behavior (TPB) that describes the rational choice of human behavior. Also, a variety of activities to protect the personal information of financial firms, especially credit card companies with the most customer information, were modeled by the four-step process Security Action Cycle (SAC) that Straub and Welke (1998) claimed. Through this proposed conceptual research model, we study whether information security activities of each step could suppress personal information abuse. Also, by measuring the morality of internal staffs, we checked whether the act of information privacy invasion caused by internal staff is in fact a serious criminal behavior or just a kind of unethical behavior. In addition, we also checked whether there was the cognition difference of the moral level between internal staffs and the customers. Research subjects were customer call center operators in one of the big credit card company. We have used multiple regression analysis. Our results showed that the punishment of the remedy activities, among the firm's information security activities, had the most obvious effects of preventing the information abuse (or privacy invasion) by internal staff. Somewhat effective tools were the prevention activities that limited the physical accessibility of non-authorities to the system of customers' personal information database. Some examples of the prevention activities are to make the procedure of access rights complex and to enhance security instrument. We also found that 'the unnecessary information searches out of work' as the behavior of information abuse occurred frequently by internal staffs. They perceived these behaviors somewhat minor criminal or just unethical action rather than a serious criminal behavior. Also, there existed the big cognition difference of the moral level between internal staffs and the public (customers). Based on the findings of our research, we should expect that this paper help practically to prevent privacy invasion and to protect personal information properly by raising the effectiveness of information security activities of finance firms. Also, we expect that our suggestions can be utilized to effectively improve personnel management and to cope with internal security threats in the overall information security management system.

• 한국산학기술학회논문지
• /
• 제17권5호
• /
• pp.538-547
• /
• 2016

정보보안 인식 및 행위에 미치는 요소와 관련하여 심리학에서 사용되는 개념인 낙관적 편견과의 연관성에 대한 연구가 활발하다. 즉, 개인이 가진 낙관적 편견이 정보윤리 활동에 얼마나 어느 분야에 영향을 미치는 가를 알아보는 것이다. 이러한 점에서 본 연구는 개인의 낙관적 편견과 정보보안 인식 및 정보보안 행위와의 관련성을 실증해 보았다. 국내 민간기업 종사하는 111명을 대상으로 설문조사한 결과, 개인의 보안관련 경험적 요인으로 인해 개인별 낙관적 편견이 존재하며, 낙관적 편견은 정보보안 인식에 영향을 미치며, 낙관적 편견이 많을수록 정보보안에 대한 인식은 부(-)의 영향을 미침으로서 정보보안 인식이 낮아진다는 것을 확인하였다. 즉, 낙관적 편견이 정보보안 인식에 영향을 미치며, 낙관적 편견을 줄이는 활동을 함으로써 정보유출 등 정보보안 사고를 줄이는데 기여할 것으로 판단된다. 그러나, 정보보안 인식을 제고시키는데 낙관적 편견이 조절효과를 보여줄 것으로 판단되었어나 그 조절효과를 보여주지 못하였다. 그 이유는 낙관적 편견관련 건강분야 연구와 달리 IT분야는 선행연구가 부족하여 구체적인 조절 요인을 제시하는데 어려움이 있는 등의 한계점이 제시되었다.

• 경영정보학연구
• /
• 제22권4호
• /
• pp.185-203
• /
• 2020

4차 산업혁명과 함께 ICT(정보통신기술)와 제조업이 융합된 스마트 제조업 시대로 변화하고 있다. 과거의 제조업은 생산효율 증진을 위한 단순 목적으로 공업적인 기술 혁신을 추구했다면, 스마트 제조업에서는 ICT와 융합된 스마트팩토리 구축을 통해 제조 공정과 서비스 형태가 융·복합 플랫폼 형태로 변모하고 있다. 스마트팩토리 구현 기업들은 ICT의 장점을 활용한 이점과 함께, 개방화/융합화/정보화에 따라 발생하게 되는 보안 이슈를 동시에 접하게 된다. 스마트팩토리에서는 ICT를 기반으로 모든 기계와 설비 등이 연결되어 기존에 생각하지 못했던 융·복합적 보안 위협요인에 노출되고 상시적으로 다양한 사이버 위협이 발생할 수 있음으로 보안이 더욱 강화되어야 한다. 보안사고의 위험을 줄이고 스마트팩토리를 성공적으로 도입하기 위해서는, ICT 기술들이 적용되고 있는 스마트팩토리 산업 현장의 특성을 감안하여 우선적으로 적용되어야 할 주요 보안요인들을 도출할 필요가 있다. 본 연구에서는 스마트팩토리 구축 시 적용해야 할 보안요인들의 중요도를 파악하기 위해 단말/네트워크/플랫폼·서비스 범주를 포괄한 '스마트팩토리 보안요인의 계층적 분류 모델'을 제시하고, 스마트팩토리 및 보안 관련 전문가 그룹(기술위원, 사업전문가, 보안전문가)을 대상으로 중요도 평가 분석을 수행하였다. 본 연구에서는 AHP 기법을 활용하여 다양한 보안 위협으로부터 안전한 스마트팩토리 구현에 필요한 보안요인들의 상대적 중요도를 도출하고 이를 기반으로 스마트팩토리 보안요인간의 우선순위를 제시하였다. 본 연구 결과를 통해, 앞으로 더욱 확산될 스마트팩토리가 보다 안전하게 구축·운용될 수 있도록 스마트 제조업 시대에 필요한 정보보안 확보에 기여할 수 있을 것이다.

• 융합보안논문지
• /
• 제24권1호
• /
• pp.59-68
• /
• 2024

최근 인공지능 기술의 발전으로 한강 교량이나 건설 현장 등 수많은 환경에 지능형 CCTV가 설치 및 운용되고 있다. 한편 사고 및 범죄 유발의 가능성, 재해 시 대피 공간으로의 활용도로 인해 건축물 옥상 개폐 여부에 대한 대립이 존재한다. 법률에서는 지정된 건축물 옥상 출입문의 상시 개방을 원칙으로 하고 있지만, 사실상 방범의 이유로 암묵적으로 폐쇄를 허용하고 있으며 마땅한 법적 조치가 부재하다. 본 연구는 이러한 맥락에서, 지능형 CCTV를 활용하여 옥상에서 발생할 수 있는 비상 상황에 대응하기 위한 감지 시스템을 제안한다. YOLOv5 객체 탐지 모델을 기반으로 한 폭행 및 투신 상황을 실시간으로 감지하는 시스템을 구축하였으며, 새로운 메트릭 IoP(Intersection Over Person)를 도입하여 투신 상황을 평가하였다. 실험 결과, 제안된 시스템은 폭행 및 투신 상황을 신속하게 탐지하며 높은 정확도를 보여주었다. 또한, 옥상 출입문 관리에 관한 법제 분석을 통해 옥상 출입문 개방과 CCTV 설치에 대한 제도적 미비점을 파악하고 개선방안을 제시하였다. 기술적·법적인 개선으로 옥상 환경에서의 범죄 및 사고 발생이 감소할 것으로 기대된다.

• 컴퓨터교육학회논문지
• /
• 제23권1호
• /
• pp.63-75
• /
• 2020

보안사고 예방을 위한 많은 노력에도 불구하고 조직구성원의 보안행동과 연관된 정보유출, 랜섬웨어 등 치명적 보안사고 피해는 해마다 늘어나고 있다. 이 연구에서는 보안사고의 주요한 원인인 조직원의 보안정책 준수의 관점에서, 보안정책 준수에 영향을 주는 요인으로 편향적 사고를 제시하고 다음을 검증하였다. 첫째, 보안정책에 대한 편향적사고가 보안정책준수 태도에 주는 영향을 검증한다. 둘째, 경영진의 참여, 지각된 위험성, 교육 및 처벌이 편향적 사고를 증가 또는 감소시키는 조절 효과를 검증한다. 마지막으로, 보안정책준수 태도가 준수행동에 유의미한 영향을 주는 지 검증하였다. 이를 위해 157명을 대상으로 설문조사를 실시하고 연구모형 및 구조방정식 통계적 분석, 적합성 분석을 실시하였다. 연구결과 편향적 사고는 정보보안 정책준수 태도에 부정적 영향을 주는 것으로 나타났다. 또한 정보보안 정책준수 태도는 정책준수 행동을 증가시키는 것으로 분석되었다. 한편, 조직원 개인이 정보보안에 대한 위험성을 높게 지각할수록 편향적 사고를 감소시키는 조절효과가 있었으나, 경영진의 참여, 교육 및 처벌은 조절효과가 없는 것으로 나타났다. 향후, 연구결과는 내부조직원에 의한 보안사고 대처방안에 시사점을 줄 것으로 기대된다.