• 정보처리학회논문지C
• /
• 제10C권4호
• /
• pp.405-412
• /
• 2003

As the XML is approved standard language by the UN, the progress which complemented the XML security has being processed rapidly. In this paper, we design and implement the "XML-Signcryption" as a security mechanism to protect the XML document that can operate between other platforms. The signature and encryption which is the standard specification in W3C needs to be able to proceed them separately. Generally the signature and encryption require four times modular exponential operation, however the signcryption only needed three times modular exponential operation. This will benefit overall system effectiveness in terms of cost. And this scheme offers to convenient the user, because the signature and encryption implement as a single XML format. This tool can save the parsing time as a number of tags is few within a document. And also, in this paper, based on a research of Web Services security, we can apply XML-Signcryption to the SOAP message to provide the security services. Based on the XML-Signcryption scheme which provides confidentiality, integrity, authentication and non-repudiation to the XML document and Web Service security simultaneously.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2010년도 추계학술발표대회
• /
• pp.1186-1189
• /
• 2010

스마트폰의 사용자 증가로 인한 스마트폰의 성장과 더불어 제 3 자 개발자들이 개발한 애플리케이션이 오픈 마켓에 등록되면서, 오픈 마켓의 시장 규모가 급속히 증가하고 있다. 하지만 제 3 자 개발자는 보안 관점에서 신뢰 할 수 없는 개체이며, 이들이 개발한 애플리케이션은 악의적 또는 개발자 실수에 의해 보안 문제를 일으킬 수 있다. 따라서 스마트폰과 같은 디바이스와, 앱스토어, 제 3 자 개발자 간에 인증이 요구되고 있다. 이를 위해 본 논문에서는 기존의 사설 인증 시스템에 인증서 소유 검증 모듈과 인증서 유효성 검증 모듈을 추가하고, 시스템의 확장성과 관리를 용이하게 만들기 위해 Web 기반의 사설 인증 시스템을 설계하고 구현한다.

• 한국인터넷방송통신학회논문지
• /
• 제14권5호
• /
• pp.1-10
• /
• 2014

전자정부 대민서비스는 과거부터 현재까지 공공기관 홈페이지가 다양해지고 서비스 수가 증가함에 따라, 전자민원 문서의 위 변조에 대한 가능성이 제기되는 등 전자민원 서비스 전반에 대한 보안에 대한 요구사항이 증가하고 있다. 기존 연구는 전자정부 중 민원서비스(G4C)와 같은 하나의 서비스와 서비스 제공자 관점에서 보안위협과 대응방안을 제시하였다. 본 연구는 분석 범위를 확대하여 최근 대민서비스 제공 중인 289개 홈페이지를 대상으로 서비스 유형 별 적용되어 있는 보안기술을 분석하고 보안위협에 따른 대응방안을 제시하였다. 본 논문을 통해 대민서비스에 대한 실질적인 대응방안과 동시에 현재 해결해야 할 전자정부 대민서비스의 핵심적인 문제에 대하여 논의하고자 한다.

• 융합보안논문지
• /
• 제19권2호
• /
• pp.83-89
• /
• 2019

정보보안 컴플라이언스 및 보안규정에 의거 분기 및 정기적 형태의 네트웍 시스템 대상 취약점 점검은 사이버침해공격대응을 위해 상시 실시간 개념으로 발전시킬 필요성이 대두 된다. 이를 위해 상시 운용 관리 체계인 ESM/SIEM을 기반으로 공개된 취약점분석 점검TOOL과의 연동구현 으로 개념 검증 시 새로운 해킹공격대응 방안이 될 것으로 판단된다. 취약점점검모듈은 표준화된 이벤트 속성 관리와 운용의 편이성 취약점데이터의 글로벌 공유측면에서 공개SW Module인 owasp zap/Angry ip등을 SIEM 체계에 해당취약점모듈과의 연동 설계 구현방식으로 연구 검토 결과 web 및 network 대상 해당 취약점 모듈에 의해 점검이벤트가 SIEM 콘솔로 전송 모니터 되는 것으로 입증 되었다. 현재 사이버 관제실에서 운용중인 ESM 및 SIEM 시스템을 기반으로 해당 개념을 최적화 적용 운용할시 상용 취약점 툴 구매 비용문제와 패턴 및 버전관리에 대한 한계성 등을 고려할시 본연구가 효율적 측면으로 검토됨과 동시에 현 정보보안 컨설턴트에 의한 취약점분석결과 와 본 연구 사안으로 결과 등에 대해 상호 비교 분석 운용할시 사이버 침해공격에 대한 발전적인 개념으로 판단되므로 이에 대한 관련 사안에 대해 논고하고자 한다.

• 정보보호학회논문지
• /
• 제13권5호
• /
• pp.81-90
• /
• 2003

기존 웹 기반인 시스템 관리 소프트웨어 솔루션들은 시간적, 공간적 제약을 갖는다. 그리고 오류 메시지에 대한 불확실한 통보와 실시간 지원요구 및 긴급조치가 어렵다는 문제점들을 갖는다. 이러한 문제들을 해결하기 위해서 모바일 통신기기를 이용하여 원격시스템을 관리 및 모니터링하고 즉각적으로 원격지의 시스템을 제어할 수 있는 무선 원격제어 시스템을 설계 및 구현하였다. 구현된 무선 원격제어 시스템은 이러한 문제의 해결뿐만 아니라 보안의 문제도 갖고 있다. 그러므로 본 논문에서는, 무선 원격제어 시스템을 위한 보안 문제에 초점을 맞추어 진행하였으며, 설계한 보안기능은 사용자에 대한 모바일장비 사용자 인증과 대상 시스템 접근제어 기능을 갖도록 하였다. 이러한 보안 기능에 대한 안전성 검증을 위하여 각 단계에 대한 모든 가능한 상태를 표현할 수 있는 CPN(Coloured Petri Nets)을 도입하였다. 그리고 본 논문에서는 CPN 기반의 상태 불변식으로 안전성을 검증하였다. 제안한 보안 기능의 CPN 표현과 분석방법은 차후에 다른 서비스 모델의 설계와 검증에 유용한 방법이 될 수 있다.

• 한국데이타베이스학회:학술대회논문집
• /
• 한국데이타베이스학회 2001년도 추계 컨퍼런스: 인터넷 비즈니스 환경에서의 디지털 컨텐츠 기술 발전 및 활용을 위한 컨퍼런스
• /
• pp.428-434
• /
• 2001

전통적인 수작업을 통한 서비스 Update 수행 개선 필요. WMT 하의 Multimedia Streaming File 보안 필요. 기본 Web Page 및 HTML 하의 Player Skin의 통합 필요. 인터넷 재방(VOD/AOD)서비스에 대한 신속한 Update 구현 (중략)

• 디지털콘텐츠학회 논문지
• /
• 제16권2호
• /
• pp.345-353
• /
• 2015

보안관제시스템은 보안관제를 위해 보안관제센터에서 운영하고 있는 시스템이다. 최근 인터넷 가입자의 급격한 증가와 더불어 생활 전반의 모든 일들이 웹 서비스를 통하여 이루어짐에 따라 네트워크 보안에 대한 필요성이 급격히 증가하였고, 이에 따라 사이버 보안관제가 큰 이슈가 되어 각 기관에서는 보안관제시스템을 구축하여 보안관제 업무를 수행하고 있다. 하지만 보안관제시스템에 대한 보안 기능 요구사항이 정확히 명시되지 않아, 보안관제시스템을 구축 및 설계 개발 하는데 있어 많은 어려움이 있어 보호프로파일이 필요성이 요구된 실정이다. 본 논문에서는 보안관제시스템의 보안 기능 요구사항 명세를 위한 보안관제시스템 보호프로파일을 개발 하였다.

• 융합보안논문지
• /
• 제23권4호
• /
• pp.33-41
• /
• 2023

최근 지능형 지속위협(APT) 공격조직은 국가핵심기술을 보유한 기업이나 기관을 대상으로 다양한 취약점 및 공격기법을 악용해서 랜섬웨어를 유포한 후 금전을 요구하거나 국가적으로 중요한 산업기밀 자료를 절취해서 암시장(다크웹)에 유통시키거나 제3국에 판매 또는 기술격차를 줄이는데 활용하는 등 국가차원의 보안대비가 필요하다. 이 논문에서는 Kimsuky, Lazarus 등 한국을 대상으로 APT 공격으로 산업기밀유출 피해를 입혔던 공격조직의 공격수법을 MITRE ATT&CK 프레임워크로 분석하고, 기업의 보안시스템이 추가적으로 갖추어야 할 사이버 보안관련 관리적, 물리적 및 기술적 보안요구사항 26개를 도출하였다. 또한, 보안 요구사항을 실제 보안업무에 활용할 수 있도록 보안 프레임워크 및 시스템 구성방안도 제안하였다. 이 논문에서 제시한 보안요구 사항은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 활용할 수 있도록 실질적인 방법 및 프레임워크를 제시했으며 향후 이 논문을 기반으로 다양한 APT 공격그룹의 고도화·지능화된 공격을 분석하고 관련 보안대책 연구가 추가적으로 필요하다.

• 한국콘텐츠학회논문지
• /
• 제20권3호
• /
• pp.31-40
• /
• 2020

정부의 축산업 및 축산차량 등록제 실시로 인하여, 양돈농가에서는 의무적으로 출입구에 차단장치를 설치하여야 하며 출입기록을 관리하여야 한다. 또한, 양돈장의 생물보안을 위해서도 출입인원과 차량, 동물 등의 양돈장 출입과 소독기록 등을 관리하여야한다. 본 연구에서는, RFID와 웹서버 시스템을 이용한 양돈장 출입차단 및 기록장치를 개발하였다. 사람의 출입관리를 위하여 13.56MHz의 접촉식 RFID 시스템을 개발하였으며, 차량 출입관리를 위해서는 900MHz RFID 시스템을 이용한 차량인식 시스템을 개발하였다. 시험결과 시스템 작동, 인식, 웹서버 데이터 저장 등의 성능이 양호한 것으로 판단되었다. 이후, 차량 출입시스템과 사람 출입 및 소독기록장치를 연동하여 시험을 실시하였으며, 기록된 데이터는 전용 프로그램을 이용하여 웹서버의 DB에 저장하였다. 성능시험결과, 출입관리와 데이터관리에 문제가 없는 것으로 판단되었다.

• 정보보호학회논문지
• /
• 제28권6호
• /
• pp.1393-1399
• /
• 2018

다양한 소프트웨어를 사용하는 기업은 보안 업체에서 제공하는 패치관리시스템을 사용하여 소프트웨어의 취약점을 일괄적으로 관리해서 보안 수준을 높인다. 시스템 관리자는 최신 소프트웨어 버전을 유지하기 위해 신규 패치 정보를 제공하는 벤더 사이트를 모니터링 하지만 패치를 제공하는 주기가 불규칙적이고 웹 페이지 구조가 다르기 때문에 패치 정보를 검색하고 수집하는데 많은 비용과 모니터링 시간이 소요된다. 이를 줄이기 위해 키워드나 웹 서비스를 기반으로 패치 정보 수집을 자동화하는 연구가 진행되었으나 벤더 사이트에서 패치 정보를 제공하는 구조가 규격화되어 있지 않기 때문에 특정 벤더 사이트에서만 적용 가능했다. 본 논문에서는 패치 정보를 제공하는 벤더 사이트 구조와 특징을 분석하고 패치 정보 수집에 소모되는 비용과 모니터링 시간을 줄이기 위해서 웹 크롤러를 이용해 패치 정보 수집을 자동화하는 시스템을 제안한다.