• 융합보안논문지
• /
• 제19권1호
• /
• pp.103-110
• /
• 2019

최근의 보안 관련 공격들은 시스템의 취약점을 악용하는 공격보다는 시스템을 운영하는 사람을 목표로 하는 공격들이 다양하게 발생하고 있다. 그러나 현재 사람을 주요 공격 목표로 하는 사회공학 공격들의 위험도를 분석하여 전략적으로 대응하고자 하는 연구는 매우 부족한 현실이다. 본 논문에서는 사회공학 공격의 위험도를 평가하기 위해 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표 측면에서 사회공학 공격들을 분석한다. 아울러 동일한 공격에 대해 조직의 특성과 환경에 따라 위험도는 다름을 반영하여 사회공학 공격 위험도와 함께 조직의 특성과 환경을 고려한 조직의 위험도를 평가한다. 뿐만 아니라, 일반적인 공격 위험도 평가 방법인 CVSS, CWSS, OWASP Risk Rating Methodology를 분석하여 사회공학 공격에 대한 조직의 위험도 평가 방안을 제안한다. 제안한 방법론은 조직의 환경 변화에 따라 조직에 적절한 사회공학 공격에 대한 조치를 취할 수 있도록 평가 유연성이 있다.

• 한국산업정보학회논문지
• /
• 제29권4호
• /
• pp.43-54
• /
• 2024

본 연구는 스마트팩토리 환경에서의 사이버 보안 리스크 관리 체계를 제시하였다. 스마트팩토리는 제조업에서 인공지능, 빅데이터, 사물인터넷(IoT), 자동화 등 첨단 기술을 활용하여 생산 시스템을 최적화하고 효율성을 높이는 공장을 의미한다. 이러한 기술들은 생산 프로세스를 자동화하고 데이터를 실시간으로 수집하여 분석하므로, 생산 과정에서의 결함을 빠르게 감지하고 조치할 수 있다. 그러나 이러한 디지털화된 환경은 사이버 공격에 취약하며, 생산 시스템의 중단이나 정보 유출로 인한 심각한 피해를 입을 수 있어 사이버 보안 리스크를 효과적으로 관리하는 체계적인 접근 방식이 필수적으로 요구된다. 본 연구에서는 비즈니스 프로세스 기반 보안 위험 평가와 더불어 스마트팩토리 환경에서의 사이버 보안 리스크 관리체계를 제안하였다. 이러한 연구들은 스마트팩토리의 사이버 보안 리스크 관리를 더욱 향상시키는 데 도움이 될 것이다. 또한 스마트팩토리가 안전하고 효율적으로 운영될 수 있도록 하는 데 중요한 역할을 할 것이다.

• 한국콘텐츠학회논문지
• /
• 제19권5호
• /
• pp.194-204
• /
• 2019

최근 모바일 결제 앱 시장이 점차 확대되고 있으나 보안과 프라이버시에 대한 염려로 인하여 모바일 결제 앱 사용률이 서비스 제공자들의 기대에 미치지 못하고 있다. 본 연구는 모바일 결제 앱을 사용하는 개인의 성향과 결제 앱 자체의 보안 신호가 사용자들의 인지된 개인정보 유출 위험과 보안 위험에 어떠한 영향을 주며, 이러한 요인들이 최종적으로 어떻게 모바일 결제 앱의 신뢰에 영향을 주는지 설문을 통하여 살펴보았다. 그 결과, 프라이버시 염려도는 인지된 개인정보 유출 위험을 증가시키고 모바일 시스템 보안 정도를 감소시키는 반면, 친숙도, 인지된 명성, 보안 마크는 인지된 개인정보 유출 위험을 감소시키고 모바일 시스템 보안 정도를 증가시키는 것으로 나타났다. 마지막으로 인지된 개인정보 유출 위험의 감소와 모바일 시스템 보안의 증가가 모바일 결제 앱의 신뢰도에 긍정적 영향을 미친다는 점을 밝혔다.

• Journal of Information Technology Applications and Management
• /
• 제24권4호
• /
• pp.117-131
• /
• 2017

We question whether Korean IT managers consider real options to reduce risks of cloud service implementation. This work investigates the impact of technology risk, relationship risk, economy risk, security risk upon the intention of IT managers to utilize abandon & expansion options. We also analyze moderation effect of centralization level of decision making between these risks and the utilization of real options. Using the survey questionnaire, we empirically find that technology risk, relationship risk and security risk have significant effect upon abandon option and technology risk, relationship risk, and economy upon expansion option. We also find the evidence that centralization level moderates some risks and the direction of moderation effect is to offset the effect of risks on intention to utilize real options.

• Journal of Multimedia Information System
• /
• 제8권4호
• /
• pp.259-266
• /
• 2021

Security vulnerabilities have been reported in major design software systems such as Adobe Photoshop and Illustrator, which are recognized as de facto standard design tools in most of the design industries. Companies need to evaluate and manage their risk levels posed by those vulnerabilities, so that they could mitigate the potential security bridges in advance. In general, security vulnerabilities are discovered throughout their life cycles repeatedly if software systems are continually used. Hence, in this study, we empirically analyze risk levels for the three major graphical design software systems, namely Photoshop, Illustrator and GIMP with respect to a software vulnerability discovery model. The analysis reveals that the Alhazmi-Malaiya Logistic model tends to describe the vulnerability discovery patterns significantly. This indicates that the vulnerability discovery model makes it possible to predict vulnerability discovery in advance for the software systems. Also, we found that none of the examined vulnerabilities requires even a single authentication step for successful attacks, which suggests that adding an authentication process in software systems dramatically reduce the probability of exploitations. The analysis also discloses that, for all the three software systems, the predictions with evenly distributed and daily based datasets perform better than the estimations with the datasets of vulnerability reporting dates only. The observed outcome from the analysis allows software development managers to prepare proactively for a hostile environment by deploying necessary resources before the expected time of vulnerability discovery. In addition, it can periodically remind designers who use the software systems to be aware of security risk, related to their digital work environments.

• 융합보안논문지
• /
• 제23권5호
• /
• pp.173-179
• /
• 2023

제4차 산업혁명 기술은 현재 우리 군이 처한 병력 감축과 국방예산 감소라는 장애물을 넘어 초연결 초지능화된 네트워크 중심 작전 환경을 구축하는 해결책으로 대두되고 있다. 그러나 최신 정보기술에 대한 복잡성 증대와 기 운용중인 정보시스템과의 영향성 검증을 포함한 전체적인 위험관리가 미흡하여 시스템 무결성과 가용성에 심각한 위협을 초래하거나 시스템 간 상호운용성에 부정적 영향을 끼침으로서 임무 수행을 저해할 수 있다. 본 논문에서 우리는 정보기술의 발전에 따라 발생할 수 있는 사이버 위협으로부터 군 정보화 자산을 보호하기 위해 미국의 정보보안 위험관리에 대한 내용의 고찰을 통해 우리 군이 사이버 위협에 대비하기 위한 사이버 위협 대응 전략을 제시하고자 한다.

• 정보보호학회논문지
• /
• 제27권6호
• /
• pp.1483-1490
• /
• 2017

스마트워치는 사용자가 착용하는 소형 스마트 기기로 연결성, 기능성 및 유용성을 위해 호스트 기기인 스마트폰과 페어링 과정을 필요로 한다. 페어링 과정 이후에는 사용자의 의식 없이도 스마트워치와 스마트폰 기기 간의 데이터 업데이트 및 백업 과정이 가능하며 스마트폰의 다양한 데이터가 복제되어 스마트워치로 넘어온다. 본 연구는 플랫폼별 스마트워치에 대해 스마트폰으로부터 복제되어 넘어오는 데이터를 사용 시점별로 추출 및 관찰하여 분석한다. 또한 스마트워치 사용자를 대상으로 실시한 보안관련 인식에 대한 설문조사를 바탕으로 데이터 추출 실험 결과에 따른 보안 및 개인 정보보호관점에서의 데이터별 위험도 평가를 수행하고 대응방안을 고찰한다.

• 한국항해항만학회지
• /
• 제47권2호
• /
• pp.57-65
• /
• 2023

In 2017, the International Maritime Organization (IMO) adopted MSC.428 (98), which recommends establishing a cyber-risk management system in Ship Safety Management Systems (SMSs) from January 2021. The 27th International Association of Marine Aids to Navigation and Lighthouse Authorities (IALA) also discussed prioritizing cyber-security (cyber-risk management) in developing systems to support Maritime Autonomous Surface Ship (MASS) operations (IALA guideline on developments in maritime autonomous surface ships). In response to these international discussions, Korea initiated the Korea Autonomous Surface Ship technology development project (KASS project) in 2020. Korea has been carrying out detailed tasks for cybersecurity technology development since 2021. This paper outlines the basic concept of ship network security equipment for supporting MASS ship operation in detailed task of cybersecurity technology development and defines ship network security equipment interface for MASS ship applications.

• 한국컴퓨터정보학회논문지
• /
• 제22권2호
• /
• pp.51-57
• /
• 2017

The first thing to be prioritized is to set the scope of the management system when establishing an information security management system for systematic and effective information security management. It is important to set the scope for an organization's information security goals due to the scope affects the organization's overall information security activities. If the scope is set incorrectly, it might become impossible to protect important services and therefore, the scope of the management system should be determined in consideration of the core business services of the organization. We propose a core service selection model based on the organization's mission-critical service and high risk service in order to determine the effective information security management system scope in this paper. Core service selection criteria include the type of service, contribution to sales, socio-economic impact, and linkage with other services.

• International Journal of Contents
• /
• 제7권3호
• /
• pp.71-81
• /
• 2011

This paper is mainly associated with setting out an agenda for the transformation of security by creating a new framework for a security system, which can maximise its effectiveness. Noticeably, this research shows empirically that crimes are getting a major cost to organisations, which if reduced by security and investigations could reap substantial rewards to the finances of an organisation. However, the problem is that the delivery of security is frequently delegated to personnel (e.g. security guards) with limited training, inadequate education, and no real commitment to professionalism - 'sub-prime' security, finally causing security failures. Therefore, if security can be enhanced to reduce the crime cost, this will produce financial benefits to business, and consequently could produce a competitive advantage. For this, the paper basically draws upon Luke's theoretical framework for deconstructing 'power' into three dimensions. Using this three-dimensional approach, the paper further sets out a model of how security can be enhanced, utilising a new Security Risk Management (SRM) model, and how can this SRM model create competitive advantage in business. Finally, this paper ends with the six strategies needed to enhance the quality of security: refiguring as SRM, Professional Staff, Accurate Measurement, Prevention, Cultural Change, and Metrics.