• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.1077-1088
• /
• 2019

원자력 발전소의 사이버위협이 현실화되면서 국제사회 및 국내에서는 사이버보안 규제지침 마련을 통해 필수디지털자산에 대한 적절한 보안조치를 적용하도록 요구하고 있다. 그러나 각 필수디지털자산에 대해 일괄적으로 동일한 사이버 보안조치 적용에 대해 규제 대상 내에서도 원전의 비상정지를 일으키고, 노심 손상을 유발할 수 있는 사고와 직접적으로 관련된 디지털자산에 단계적 접근방식을 적용한 규제 효과성 제고가 필요하다. 이에 본 연구에서는 원전 사고와 직접 관련된 디지털자산에 대하여 단계적 접근방식의 규제요건 개발을 위한 보안조치 적용 방안을 제시하였다. 단계적 접근방식의 기본적 고려사항인 규제 대상 설비의 침해영향도(Consequence)를 기반으로 한 규제 요건 적용을 위해 기존의 필수디지털자산에 요구되고 있는 보안조치를 보다 강화하거나 추가적인 보안조치를 개발하여 원전 사고와 직접 관련된 디지털자산에 요구하는 방식과 기존의 보안조치를 재분석하여 원전 사고와 직접 관련되지 않는 필수디지털자산에 대해서는 최소한의 보안조치를 요구하는 방식으로 크게 나누고 각 방안 별 세부적 사항을 기술하였다.

• 정보처리학회논문지C
• /
• 제15C권6호
• /
• pp.493-506
• /
• 2008

본 논문은 역할 기반 접근 제어 모델 연구를 통해 u-헬스케어 환경의 요구사항을 충족하는 상황 기반의 동적 접근제어 모델을 제안한다. 동적 보안 도메인 관리를 위해 분산객체그룹 프레임워크를 사용하였고, 동적 접근제어를 위한 상황 정보는 기 구축된 데이터베이스를 사용하였다. 본 논문에서는 러프집합 이론을 근거로 의사결정 테이블에서 지식감축을 통해 의사결정 규칙을 정의하고, 생성된 규칙을 동적 접근제어 모델에 적용하였다. 그리고 분산객체그룹 프레임워크를 기반으로 u-헬스케어 응용을 통해 상황기반 동적 보안 서비스의 수행 결과를 보였다. 이 결과, 동적 접근 제어 모델은 u-헬스케어 환경에서 보안 도메인에 따라 적합한 보안 서비스와 보다 유연한 접근제어를 제공한다.

• Journal of Electrical Engineering and Technology
• /
• 제12권5호
• /
• pp.2051-2066
• /
• 2017

This paper deals with reconfigurable secured mobile systems where the reconfigurability has the potential of providing a required adaptability to change the system requirements. The reconfiguration scenario is presented as a run-time automatic operation which allows security mechanisms and the addition-removal-update of software tasks. In particular, there is a definite requirement for filtering and intrusion detection mechanisms that will use fewer resources and also that will improve the security on the secured mobile devices. Filtering methods are used to control incoming traffic and messages, whereas, detection methods are used to detect malware events. Nevertheless, when different reconfiguration scenarios are applied at run-time, new security threats will be emerged against those systems which need to support multiple security objectives: Confidentiality, integrity and availability. We propose in this paper a new approach that efficiently detects threats after reconfigurable scenarios and which is based on filtering and intrusion detection methods. The paper's contribution is applied to Android where the evaluation results demonstrate the effectiveness of the proposed middleware in order to detect the malicious events on reconfigurable secured mobile systems and the feasibility of running and executing such a system with the proposed solutions.

• 정보보호학회논문지
• /
• 제23권1호
• /
• pp.127-142
• /
• 2013

2011년 9월 개인정보보호법의 발효로 공공기관의 개인정보영향평가가 의무화됨에 따라 영향평가 전문인력의 수요가 증가할 것으로 예상된다. 하지만 국내에는 이에 특화된 전문자격이 존재하지 않아 현 시점에서는 불가피하게 유사자격 등의 기준으로 영향평가 전문인력을 인정하고 있는 상황이나, 향후 중장기적으로 볼 때 이는 영향평가 시장의 걸림돌로 작용할 것으로 예상된다. 이에 본 논문에서는 유사자격과 영향평가 자격체계와의 비교를 통해 개인정보영향평가 자격요건에 대한 유사자격의 충족 여부를 분석하여 유사자격 인정의 타당성 여부를 확인한다. 비교 결과 유사자격의 타당성이 낮다고 판단됨에 따라 새로운 전문자격 수립, 유사자격에 추가 시험 또는 교육 운영, 전문자격의 모듈화 운영 등의 자격기준 개선방안을 제시하였으며, 세 가지 개선방안은 개인정보영향평가 시장의 품질 향상에 기여할 것으로 기대한다.

• 중소기업융합학회논문지
• /
• 제2권2호
• /
• pp.43-49
• /
• 2012

최근 기업이 다양한 IT 기술을 기업 업무에 적용하면서 기업에서 처리되는 정보화 서비스의 안전성도 점점 요구되고 있다. 기업에서 요구하는 다양한 IT 기술이 기업의 정보화 서비스에 적용되면서 기업에서 보호해야 하는 정보가 타 기업에 유출되는 보안 사고가 증가하고 있지만 기업의 정보화 서비스 보호에 대한 대응방법이 미흡한 실정이다. 본 논문에서는 기업에서 중요시 되는 정보를 권한별로 분류하여 사용자의 접근제어를 통해 정보 유출과 같은 보안 사고를 줄이기 위한 기업 정보화 보안 서비스 모델을 제안한다. 제안된 모델은 정보에 접근하는 사용자의 권한과 역할을 관리자가 중앙 관리하여 정보에 접근하는 사용자가 이상징후가 포착되면 정보 접근을 차단한다. 또한, 제안 모델은 재난으로부터 기업 정보를 보호하고, 신속하고 체계적인 복구 및 운영 연속성 전략을 수립함으로써 기업의 정보화 서비스 구축에 활용할 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제17권12호
• /
• pp.169-177
• /
• 2012

응용 시스템 개발 과정에 있어서 중요하고 핵심을 이루는 작업은 분석과 설계 작업이며 아울러 대부분의 응용 시스템은 데이터베이스 기반으로 구축된다. 또한, IT 시스템들 간 상호 연결이 증가되면서 응용 시스템들은 외부공격에 쉽게 노출되어 지고 있기 때문에 보안과 관련된 처리 과정 역시 중요하다. 보안은 시스템에서 많은 부분과 상호작용을 하는 복잡한 비기능적 요구사항이다. 하지만 이러한 보안은 대부분 개발 마지막 과정에서 고려하기 때문에 보안에 취약한 응용 시스템이 개발될 가능성이 매우 높다. 따라서 개발 초기에 보안을 반영한 분석 및 설계 과정이 매우 중요하다. J2EE는 웹 응용 시스템을 위한 보안 방안을 제공하고, 아울러 객체-관계형 데이터베이스도 보안을 위하여 역할기반 접근제어를 지원하고 있지만 객체-관계형 데이터베이스 및 J2EE의 역할기반 접근제어를 활용하는, 요구사항 수집부터 구현까지 개발 단계 전체에 걸친 보안을 고려한 일관된 개발방법론은 전무한 실정이다. 따라서 본 논문에서는 보안 요구사항을 요구사항 수집부터 분석 및 설계 그리고 마지막 구현 단계까지 반영하여 J2EE 기반의 웹 응용 시스템을 개발하기 위한, 보안을 고려한 일관된 통합 분석 설계 방법론을 제안한다.

• 한국정보과학회논문지:시스템및이론
• /
• 제31권1_2호
• /
• pp.118-124
• /
• 2004

본 논문에서는 스마트 카드에서 응용 프로그램을 다운로드 하거나 갱신할 때 응용 프로그램의 위/변조를 효율적으로 검증할 수 있는 인증 기법을 제시한다. 기존 기법은 응용 프로그램을 인증할 때 검증 지연 시간이 길거나, 스마트 카드의 2차 메모리 오버헤드가 많거나, 혹은 많은 양의 1차 메모리를 요구한다. 제안된 기법은 해쉬 체인 기법을 효율적으로 사용한 파라미터화 기법으로서, 응용 블록 수가 n일 때 메모리 오버헤드와 응용 프로그램을 갱신 시 발생하는 검증 지연 시간이 각각 O(k), O(k＋n/k)이다. 또한 제안 기법은 1차 메모리 요구량이 O(1)으로 가장 적으며, 응용 프로그램을 다운로드 시 생기는 검증 지연시간도 O(1)으로 가장 적다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제7권12호
• /
• pp.3244-3260
• /
• 2013

A three-party password-based authenticated key exchange (PAKE) protocol allows two clients registered with a trusted server to generate a common cryptographic key from their individual passwords shared only with the server. A key requirement for three-party PAKE protocols is to prevent an adversary from mounting a dictionary attack. This requirement must be met even when the adversary is a malicious (registered) client who can set up normal protocol sessions with other clients. This work revisits three existing three-party PAKE protocols, namely, Guo et al.'s (2008) protocol, Huang's (2009) protocol, and Lee and Hwang's (2010) protocol, and demonstrates that these protocols are not secure against offline and/or (undetectable) online dictionary attacks in the presence of a malicious client. The offline dictionary attack we present against Guo et al.'s protocol also applies to other similar protocols including Lee and Hwang's protocol. We conclude with some suggestions on how to design a three-party PAKE protocol that is resistant against dictionary attacks.

• 한국군사과학기술학회지
• /
• 제3권2호
• /
• pp.166-178
• /
• 2000

As the 21st century signifies an information-oriented society, the computer integration takes place in all walks of human presence. Needs for computer and network-integrated automation present new challenges in military as well as commercial facility systems engineering. Since the first intelligent building appeared in USA in 1984, it gradually became an essential capability for the building industry requirement these days. Intelligent Building System(IBS) is evolving to be very complex because there are many subsystems such as telecommunication(TC), office automation(OA), building automation(BA), security, construction environments, etc. During the planing phase of IBS development, therefore, a disciplined systems engineering must be performed to analyze stake- holder's requirements to build an optimized system while minimizing trial-and-error expenses and risks. This paper presents a conceptual design of BAS applying systems engineering methods. The contribution of this study includes the development of IBS subsystem specification for building automation subsystem, which is a part of IBS, using the methodology of requirement analysis, functional analysis, synthesis, and verification. A computer-aided systems engineering s/w, RDD-100, was used to improve the system design efficiency and to promote the product design knowledge management for reuse in later design programs.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.681-694
• /
• 2018

본 연구에서는 SNS 이용자의 개인정보와 자기표현정보의 보호행동을 두 번의 연구를 통해 규명하였다. 제1차 연구에서는 연구에 자원한 88명의 대학생들에게 평소 개인정보 중요도 인지와 이를 보호하기 위한 행동의지에 대해 연구하였다. 제2차 연구에서는 정보검색 전문가가 연구에 자원한 88명의 대학생들이 SNS에 공개한 자기표현정보들을 수집 조직화한 다음, 이를 자원자 각각에게 보여주어 확인하게 한 다음, 자기표현정보의 중요도와 이에 대한 정보보호 행동의지에 대해 연구하였다. 제1차 조사연구에서는 개인정보 중요도 인식이 개인정보 비공개에 가장 큰 영향을 미쳤고, 다음으로 공개범위축소와 법제도화요구에 영향을 미쳤다. 제2차 연구에서는 SNS 이용자들이 평소 자신의 의견이나 생활상을 SNS에 공개적으로 표현하고 있지만, 실험적 조치를 통해 이러한 자기표현정보도 누적되고 조직화되면 민감한 정보가 될 수 있다는 점을 인식하게 해주면, 자기표현정보 비공개, 공개범위축소, 법제도화요구의 정보보호 행동의지를 갖게 됨을 확인하였다. 본 연구의 시사점은 개인정보 및 자기표현정보 보호행동에 관한 기존의 연구를 자구적 보호 노력과 외부적 보호요구 노력으로 확장 세분화함으로써 SNS 상의 정보보호행동을 설명하지 못하는 기존 연구의 한계를 극복하였다는 점이다.