• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2007년도 추계학술발표대회
• /
• pp.1258-1261
• /
• 2007

온라인 피싱과 같은 경제적 목적의 정보 수집 행위들이 급격히 증가하고 있는 가운데, 위험 사이트 정보를 관리하는 블랙리스트 기반의 대응과 신뢰할 수 있는 사이트를 기반으로 하는 화이트 리스트 접근 방법이 활용되고 있다. 그러나 블랙리스트 기반 방법은 피싱 사이트의 유효시간을 볼 때 비현실적이며, 화이트 리스트 접근 방법은 인증된 사이트 내에 존재하는 악성 웹 페이지나 악성 사이트로 유도되는 피싱 메일에는 대응하기 어렵다. 이 논문에서는 화이트 리스트 접근 방법을 보완하기 위해 사용자 웹 페이지의 위험도를 정량화 할 수 있는 웹 페이지 위험도 산정 기법을 제안한다.

• 산업공학
• /
• 제16권4호
• /
• pp.421-431
• /
• 2003

Due to the increasing complexity of the information systems environment, modern information systems are facing more difficult and various security risks than ever, there by calling for a higher level of security safeguard. In this paper, an information technology security risk management model, which modified by adopting the concept of business processes, is applied to client/server distributed systems. The results demonstrate a high level of risk-detecting performance of the model, by detecting various kinds of security risks. In addition, a practical and efficient security control safeguard to cope with the identified security risks are suggested. Namely, using the proposed model, the risks on the assets in both of the I/O stage(on client side) and the request/processing stage(on server side), which can cause serious problems on business processes, are identified and the levels of the risks are analyzed. The analysis results show that maintenance of management and access control to application systems are critical in the I/O stage, while managerial security activities including training are critical in the request/processing stage.

• 한국항행학회논문지
• /
• 제13권4호
• /
• pp.586-599
• /
• 2009

현재 국내 외에서 유비쿼터스 기술 기반의 혁신도시 개념인 u-City의 추진이 활발히 진행되고 있으며, 이를 위한 통합운영센터에 대한 연구 및 구축도 진행 중에 있다. 하지만 이러한 u-City 통합운영센터에 대한 기술적인 접근은 증가하는 반면, 이를 관리하는 관리자 권한에 대한 연구는 미비한 실정이다. 실제 모든 정보를 관리하게 될 관리자의 권한관리가 이루어지지 않을 경우, 이로 인한 보안 관련 문제점이 발생 할 수 있다. 따라서 본 논문에서는 u-City 통합운영센터의 관리자로 인해 발생할 수 있는 보안 문제점을 분석하고, 이를 효과적이고 체계적으로 해결하기 위한 관리자 권한관리 체계에 대해 제안 한다.

• 한국통신학회논문지
• /
• 제28권10C호
• /
• pp.1033-1044
• /
• 2003

본 논문에서는 이기종의 보안 장비를 보다 효율적으로 관리할 수 있는 보안 관리 구조와 관리 트래픽의 부하를 줄일 수 있는 프로그래머블 미들웨어를 제안하였다. 제안된 보안 관리 구조는 정책 기반 네트워크 관리 (Policy Based Network Management: PBNM) 구조에 프로그래머블 네트워크 기법을 접목한 것으로, 다양한 이기종의 보안 장비를 보안 정책을 통해 관리할 수 있으며, 보안 장비 간 연동을 제공한다. 또한, 미들웨어에서 보안 정책을 실행 가능한 형태로 변환해 줌으로써 관리상의 편이성을 제공하고 정책 서버의 부하를 줄일 수 있다. 본 논문에서는 제안된 구조와 PBNM 구조에서의 정책적용 및 변환시간과 메시지 전달시간을 비교함으로써 프로그래머블 미들웨어가 관리 트래픽의 부하를 줄일 수 있다는 것을 검증하였다.

• Journal of Information Technology Applications and Management
• /
• 제22권4호
• /
• pp.225-251
• /
• 2015

This paper analyzed factors for employees to violate information security policy in financial companies based on the theory of reasoned action (TRA), general deterrence theory (GDT), and information security awareness and moderating effects of perceived sensitivity of customer information. Using the 376 samples that were collected through both online and offline surveys, statistical tests were performed. We found that the perceived severity of sanction and information security policy support to information policy violation attitude and subjective norm but the perceived certainty of sanction and general information security awareness support to only subjective norm. Also, the moderating effects of perceived sensitivity of customer information against information policy violation attitude and subjective norm were supported. Academic implications of this study are expected to be the basis for future research on information security policy violations of financial companies; Employees' perceived sanctions and information security policy awareness have an impact on the subjective norm significantly. Practical implications are that it can provide a guide to establish information security management strategies for information security compliance; when implementing information security awareness training for employees to deter violations by emphasizing the sensitivity of customer information, a company should make their employees recognize that the customer information is very sensitive data.

• 정보보호학회논문지
• /
• 제22권2호
• /
• pp.337-346
• /
• 2012

인터넷 기술을 활용한 클라우드 컴퓨팅 서비스의 확산에 따라 개인정보 유출 위험과 정보에 대한 통제가 불가능해질 수 있는 보안 위협이 증가되고 있으나, 현재 클라우드 컴퓨팅 서비스 제공자는 개인정보보호에 대한 충분한 보호조치를 서비스 이용자에게 제공하지 못하고 있는 상황이다. 본 논문에서는 클라우드 컴퓨팅 서비스에 대한 개인정보보호 고려 사항을 살펴보고, 클라우드 컴퓨팅 서비스 환경에서의 개인정보보호 위협에 대응하는 방안을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2007년도 추계학술발표대회
• /
• pp.1154-1157
• /
• 2007

최근 몇 년 동안 피싱, 파밍, 크라임웨어에 의한 피해 사례 발생이 증가되고 있다. 현재까지의 피싱 관련 솔루션이 대부분 블랙리스트 방식이고 아직까지 피싱 사이트 판단 기준이 없으며 사람들이 이에 대한 인식의 부족으로 인해 이러한 위협을 대처하는데 많은 한계를 가지고 있다. 이에 본 연구에서는 화이트 리스트 기반 웹사이트 보안수준 확인 시스템을 설계하고 이의 파일럿 시스템을 개발하였다. 각 사이트에 대해 피싱 관련 보안수준을 확인하여 신뢰할 수 있는 사이트들을 선별하고 보안수준 정보를 제공함으로써 안전한 인터넷 이용 기반을 제공할 수 있는 방안이 마련될 것으로 기대한다.

• 제어로봇시스템학회:학술대회논문집
• /
• 제어로봇시스템학회 2005년도 ICCAS
• /
• pp.1586-1589
• /
• 2005

GUMF (Global User Management Framework) that is proposed in this research can be applied to next generation network such as BcN (Broadband convergence Network), it is QoS guaranteed security framework for user that can solve present Internet's security vulnerability. GUMF offers anonymity for user of service and use the user's real-name or ID for management of service and it is technology that can realize secure QoS. GUMF needs management framework, UMS (User Management System), VNC (Virtual Network Controller) etc. UMS consists of root UMS in country dimension and Local UMS in each site dimension. VNC is network security equipment including VPN, QoS and security functions etc., and it achieves the QoSS (Quality of Security Service) and CLS(Communication Level Switching) functions. GUMF can offer safety in bandwidth consumption attacks such as worm propagation and DoS/DDoS, IP spoofing attack, and current most attack such as abusing of private information because it can offer the different QoS guaranteed network according to user's grades. User's grades are divided by 4 levels from Level 0 to Level 3, and user's security service level is decided according to level of the private information. Level 3 users that offer bio-information can receive secure network service that privacy is guaranteed. Therefore, GUMF that is proposed in this research can offer profit model to ISP and NSP, and can be utilized by strategy for secure u-Korea realization.

• 디지털산업정보학회논문지
• /
• 제8권3호
• /
• pp.33-39
• /
• 2012

Since the passing of the Personal Information Act in March 2011 and its initial introduction in September, over the one year to date diverse security devices and solutions have been flowing into the market to enable observance of the relevant laws. Beginning with security consulting, corporations and institutions have focused on technology-based business in order to enable observance of those laws competitively in accordance with 6-step key procedures including proposal, materialization, introduction, construction, implementation, and execution. However there has not been any investment in human resources in the field of education such as technology education and policy education relative to the most important human resources field nor investment in professionals in the organization for the protection of personal information or in human resources for operating and managing IT infrastructure for actual entire personal information such as special sub-organizations. In this situation, as one process of attracting change from the nature of the technology-based security market toward a professional human resource-based security infrastructure market, it is necessary to conduct research into standardization modeling concerning special organizational composition and a management system for the protection of personal information.

• 한국멀티미디어학회논문지
• /
• 제20권2호
• /
• pp.279-288
• /
• 2017

Nowadays, nations cyber security capabilities play an important role in a nation's defense. Security-critical infrastructures such as national defenses, public services, and financial services are now exposed to Advanced Persistent Threats (APT) and their resistance to such attacks effects the nations stability. Currently Cyber Threat Intelligence (CTI) is widely used by organizations to mitigate and deter APT for its ability to proactively protect their assets by using evidence-based knowledge. The evidence-based knowledge information can be exchanged among organizations and used by the receiving party to strengthen their cyber security management. This paper will discuss on the business process reengineering of the CTI information exchange management for a nationwide scaled control and governance by the government to better protect their national information security assets.