효율적이고 안전한 데이터센터의 물리적 보안 방안

강현선 보안공학연구지원센터(JSE) 2015 보안공학연구논문지 Vol.12 No.6

최근 연이어 발생하는 금융권 해킹사고와 데이터센터 화재 사건 등으로 데이터센터의 보안에 많은 관심이 집중되고 있다. 하지만 실제 국내 대부분의 데이터센터는 해킹에 대비한 네트워크 보안 수준은 높지만, 물리적 보안에 대해서는 국내 및 국제적 표준을 준수하지 않고 운영함에 따라 보안 수준이 낮다는 평가를 받고 있다. 데이터센터에서의 물리적 보안은 화재, 지진, 태풍 등 정보자산이 위치한 물리적인 시설에 영향을 초래할 수 있는 취약점과 위협을 사전에 통제하고 대응하기 위한 활동을 의미한다. 본 논문에서는 국내 데이터센터의 운영현황과 국내외 데이터센터의 정보보호를 위한 기준을 분석하고, 국내 상황에 적합한 데이터센터 구축에 필요한 효율적인 물리적 보안 방안을 제시한다. A lot of attention to the security of the data centers are concentrated because of financial data center hacking incidents and data center fire incident that occurred one after another recently. However, most of the domestic data center network security against hacking is high, but the physical security of data center as operating without complying with national and international standards security are under evaluation. Data center physical security means the activity to control and respond to fires, earthquakes, typhoons, vulnerabilities and threats that can cause an impact on the information assets in physical facilities of data center in advance. In this paper, we propose an efficient physical security measures needed for data center deployments for domestic situations through analyzing the basis for the operating status and security of domestic and international data centers of the national data center.

행정기관의 안전한 스마트폰 기반 업무 환경을 위한 서버 보안 기술 연구

김지연,김형종 보안공학연구지원센터(JSE) 2010 보안공학연구논문지 Vol.7 No.6

최근 스마트폰의 사용이 활성화 되면서 이를 효율적 업무 환경 구축을 위해 활용하고자 하는 사회적 요구가 높아지고 있으며, 이러한 요구는 행정기관의 스마트폰 기반 업무 환경 구축으로도 이어지고 있다. 행정기관에서는 현재 모바일 단말을 이용한 전자 결재 시스템의 접근을 허용하고 있기 때문에 추후 행정기관의 스마트폰 도입이 활성화되면 전자 결재 뿐 아니라, 회계 예산과 같은 업무 지원을 위한 다양한 애플리케이션이 개발될 것으로 예상된다. 따라서 행정기관에서 지원하는 다양한 업무지원 서버를 안전하게 운영하기 위한 보안 연구가 필요하며 본 논문에서는 이러한 목적으로 행정기관에서 도입할 수 있는 세 가지 유형의 서버 구축 모델을 제시하고, 각 모델의 보안성을 논의하고자 한다. As smartphone use is on the rise, social needs for the use of smartphone in business are increasing. Since smartphone can do much to improve work efficiency, government bodies are also interested in smartphone use. The Korean government already has an electronic approval system which allows access from mobile devices. Therefore, if the government bodies develop smartphone-based work environment, various applications that support not only electronic approval but also other works such as budget and accounting will be developed. To protect application servers against the smartphone's security threats, the government bodies should apply security techniques to the servers. In this paper, we suggest three types of server models which can be deployed in the government bodies and discuss their security issues.

산업보안 관리요소의 우선순위 결정에 대한 연구

채정우,정진홍 보안공학연구지원센터 2013 보안공학연구논문지 Vol.10 No.2

본 연구는 타당성이 검증된 ‘산업보안관리 통제 프레임워크’의 구성요소들 간 비교평가를 통하여 산업보안 관리활동의 객관적, 합리적인 수행에 활용 가능한 자료를 제시하는 것을 목적으로 하였다. 이를 위해 산업보안전문가 집단을 대상으로 AHP설문조사를 실시하여 산업보안 관리요소들의 상대적 중요도와 우선순위를 결정하였다. 분석결과, 1계층 기준 간 비교평가에서는 ‘사전 관리적 보호’ 65.9%, ‘가상/물리 업무공간 보호’ 18.5%, ‘사후 대응적 보호’ 15.6%의 순서로 나타났다. 전체 순위는 ‘산업보 안정책 수립>산업보안조직 구성 > 산업기밀자산 관리 > 업무연속성 관리 > ICT서비스 사용관리 = ICT시스템/통신망 접근통제 > 인적자원 관리 > 산업보안사고 관리 > 준거성/계약관리 > 물리/환경 적 보안 > 보안감사’순으로 나타났다. 민감도 분석결과, ‘사후 대응적 보호’의 가중치를 초기값 보다 2 배 높이면 하위요소인 ‘업무연속성 관리’는 전체 순위가 4위에서 2위로, ‘산업보안사고 관리’는 8위에 서 4위로 상승하였다. ‘가상/물리 업무공간 보호’의 가중치를 초기값 보다 2배 높이면 하위요소인 ‘ICT서비스 사용관리’와 ‘ICT시스템/통신망 접근통제’는 전체 순위가 공동 5위에서 3위로 상승함을 볼 수 있었다. 본 연구결과는 산업보안관리체제의 운영성과에 대한 계량적인 평가틀을 마련하여 체계 적인 산업기밀보호를 지원할 수 있게 하였다는 것에 의미가 있다.

클라우드 컴퓨팅 가상화 보안을 위한 아키텍처 구성 및 기능 분석 연구

정순기,정만현,조재익,손태식,문종섭 보안공학연구지원센터 2011 보안공학연구논문지 Vol.8 No.5

클라우드 컴퓨팅 시스템은 기존의 시스템과 달리 서버, 네트워크, 스토리지와 같은 부분들이 가상화되어 자원 및 서비스를 공동화하여 활용한다. 클라우드 서비스 기업들은 이러한 서비스를 위해 서비스 기업별로 각기 다른 구성의 컴퓨팅 아키텍처를 사용하고 있다. 다양한 구성의 컴퓨팅 구조에서는, 보안 침해 문제가 발생하면 신속한 대처가 어렵고, 각각의 아키텍처별에 대해, 각기 다른 대응 방법을 사용해야 한다. 또한, 서로 다른 아키텍처에 맞춰 각기 다른 보안요소를 적용하는 방법은 클라우드 컴퓨팅 아키텍처에서 중요 기술인 가상화 기술에 대한 구체적인 보안 요구사항 적용이 어렵고, 상호 호환성에 대한 문제점이 발생 할 수도 있다. 따라서 본 논문에서는 이러한 문제점 해결을 위해 클라우드 컴퓨팅 가상화 보안요소 및 정보보호 요구사항을 분석하고 새로운 구조를 제안한다. 이때 가상화와 관련되어 역할 및 기능별 발생 가능한 위협, 그리고 이에 대응하기 위한 보안요소와 정보보호 요구사항을 도출하여 정의한다. 이러한 방법을 통해 클라우드 컴퓨팅에 대한 위협 요인을 미리 예방하고, 동시에 효율적이고 체계적인 운영 및 관리에 적용 할 수 있다.

클라우드 시스템 보안요구사항명세서 개발지원도구

고갑승,방영환,이강수 보안공학연구지원센터(JSE) 2010 보안공학연구논문지 Vol.7 No.5

정보보호기술의 발달과 정보화가 확대됨에 따라 정보시스템의 안전한 관리에 대한 중요도가 높아짐에 따라, 정보보증(Information Assurance, IA)에 대한 관심이 증가하고 있다. 이에 따라, 여러 정보보증제도(CC, ISMS, CMVP등)를 시행하고 있으며, 이러한 정보보증제도 중 보안평가를 하기위한 보안요구사항명세서가 필수이다. 최근 클라우드 시스템은 인터넷 기술을 활용하여 IT자원을 서비스로 제공하는 시스템으로 많은 관심을 받고 있다. 클라우드 시스템이 널리 사용되기 위해서 해결해야 할 첫 번째 문제는 보안인 것으로 조사되고 있으며, 향후 클라우드 시스템의 정보보증을 위한 보안평가가 요구될 것으로 예상된다. 따라서 본 논문에서는 향후 클라우드 시스템에 대한 보안평가를 위한 보안요구사항명세서 개발지원도구인 CLS-SFRS v1.0을 개발하였다. IA(Information Assurance) development of an information protection technology based on the importance of safe management of information systems has increased with increasing interest. Accordingly, many information assurance schemes(i.e., CC, ISMS and CMVP) has been performed. The information assurance is required for the security requirement specification. Recently, the cloud systems using Internet technology to provide IT resources as a service system is getting more attention. Cloud systems to be used to solve the first problem that is being investigated be Security and information assurance for the future of the cloud system security assessment is expected to be required. In this paper, a security evaluation in the future for cloud-system security tool, requirements specification development support CLS-SFRS v1.0 has been developed.

보안담당관의 혁신적인 HRD(인적자원개발) 방안 고찰

김화영,임헌욱 보안공학연구지원센터(JSE) 2016 보안공학연구논문지 Vol.13 No.4

본 연구는 대통령령 보안업무규정 제43조의 보안담당관을 대상으로 HRD(인적자원개발) 방안을 마 련하고자 하였다. HRD란 크게 직무훈련, 개인교육, 조직개발 등으로 구성되며 보안담당자의 직무향 상을 위한 교육방안을 제시하고자 하였으며, 그 방법으로 보안담당관 직무, 산업보안 교육과정, 보안 관리 표준매뉴얼을 비교 분석하여 보안담당관의 단계별 HRD 훈련내용을 도출하였다. The aim of this study is to establish the HRD scheme for the security officers ruled by Article 43 of the Presidential Security Codes of Practice. The HRD is mainly consisted of job training, personal training, organization development, etc. It presents training plans for the job improvement of security staffs. Comparing with industrial security training courses, standard manual of security management and duties of security officers, this study draws step-by-step procedures and contents for security officers.

보안 관련 요구사항 추출을 위한 유스케이스 지향 매트릭스 클러스터링에 관한 연구

박보경,김기두,김영철 보안공학연구지원센터 2012 보안공학연구논문지 Vol.9 No.6

대부분의 시스템 개발 방법은 요구사항을 기반으로 개발을 수행하지만 보안 관점에서의 요구사항 에 대해 대처하기 어렵다. 이를 위해 기존 연구[1]에서는 정보공학(Information Engineering)에 Goal 적용 방법[11]을 확장하여 보안 관련 요구사항을 추출 및 우선순위를 위해 매트릭스 클러스터링을 제 안한다. 보안 관련 관점에서의 Goal 지향 유스케이스 방법을 이용하여 보안 관련 요구사항을 추출한 다. 각각의 보안 관련 Goal에 맞는 요구사항을 분석함으로써, 시스템에 필요한 보안 관련 기능과 엔 티티 추출이 가능하다. 이를 매트릭스 클러스터링 함으로써, 보안 관련 기능이 있는 시스템 개발을 위한 절차와 각 단계의 의존성 표현이 가능하다. 즉, 소프트웨어 개발 생명 주기 상에서 순차적 단계 별로 필요한 보안 관련 기능들을 순서화 또는 그룹화 함으로써 개발 초기부터 구현 단계까지 보안 관점의 시스템을 개발하고자 한다. 본 논문에서는 사례연구로 A 연구소의 통합정보관리시스템 개발 에 적용하였다.

스마트 워치 보안 취약점 및 해결 기법에 대한 고찰

이융희,김현성 보안공학연구지원센터(JSE) 2015 보안공학연구논문지 Vol.12 No.3

본 논문에서는 스마트 워치에 대한 기술적 현황과 보안 취약점 및 해결책에 대한 연구 현황을 고 찰한다. 먼저 애플, 삼성, 소니 등의 다양한 회사에서 제작된 스마트 워치의 기술적 현황을 운영체제 와 기능 관점에서 분석한다. 특히, 이들 시스템의 보안 취약점을 다양한 관점에서 분석하고, 각 취약 점에 대한 보안 해결책들에 대한 기존 연구의 현황을 살펴본다. 마지막으로 우리는 향후 스마트 워치 보안에 관한 연구 방향을 제시한다. The purpose of this paper is to provide remarks on the current technical status, security vulnerabilities, and security solutions on smart watch. First of all, we will review the current technical status on smart watch focused on the operating system and functionalities from various companies including Apple, Samsung, Sony, and so on. Especially, this paper will provide the previous research work analyses on security vulnerabilities by following the classification and security solutions on them. Finally, we will provide the future research directions on smart watch security.

모바일 앱 소스코드 보안약점 자동탐지

홍성문,최태형,도경구 보안공학연구지원센터(JSE) 2017 보안공학연구논문지 Vol.14 No.2

모바일 앱 소스코드에 내재되어 있는 보안취약점을 악용하는 해킹으로 인한 보안 침해 및 개인정 보 유출 사고가 빈번히 발생하고 있다. 보안취약점을 야기하는 보안약점을 모바일 앱의 개발 과정에 서 제거하지 못하면 소스코드에 남아있게 되고, 보안 침해 사고 및 개인정보 유출 사고의 위험성에 노출될 수밖에 없게 된다. 보안약점을 해소하기 위해서는 소스코드 수준에서 보안약점을 제거하는 방 법이 더 효과적인데, 소스코드 수준에서 보안약점을 탐지하기 위해서는 각 보안약점으로 알려진 구문 적, 의미적 패턴을 찾아내는 정적분석 엔진이 필요하다. 본 연구는 소스코드에 존재하는 보안약점을 패턴으로 표현하는 패턴명세언어를 제안하고, 다양한 보안약점을 이 패턴 언어로 명세한 약점패턴데 이터베이스를 참고하여 소스코드에서 보약약점을 정적으로 탐지하는 도구를 설계 구현하고 성능을 평가한다. 행정자치부와 한국인터넷진흥원에서 제시하는 보안약점 47개에 대한 패턴을 기술하고, Android Java와 Objective C의 오픈소스 프로젝트를 대상으로 실험을 진행하였다. Recently, security-breach accidents have become a hot issue. It causes enormous financial losses and induces damage due to leakage of personal information of individuals. Security vulnerabilities appear in mobile applications as well, and serious problem about the leakage of sensitive information has also emerged. To overcome the security weaknesses, a method which improve the security at the source code level is the most effective way rather than to strengthen the security system from the external environment. In order to detect the security weaknesses at the source code level, it is necessary to have each analysis engine for the each rule of specific security weakness. In this paper, we propose pattern description language which describe the security weaknesses as a pattern to detect the weaknesses in source code level statically. We wrote 47 security weaknesses from Ministry of Public Administration and Security and Korea Internet Security Agency as patterns and experimented on open sources which are written in Android Java and Objective-C.

과학화 장비를 활용한 무인 보안시스템 운영 방안에 관한 연구

최치원,송태식,엄정호 보안공학연구지원센터 2012 보안공학연구논문지 Vol.9 No.3

본 연구는 군부대의 과학화 보안시스템 구축에 대한 운용시험평가를 토대로 부적합 사항을 보완한 무인 보안시스템의 운영방안을 제안하였다. 우리는 과학화 보안시스템에 대해 운용시험평가를 실시하 여 요구성능의 충족성, 군 운용의 적합성, 전력화지원요소의 실용성을 중점으로 취약점의 원인을 식 별하고 개선방향을 제시하였다. 그 결과 무인 보안시스템 구성모델의 표준화 부재와 구성장비의 기능 부족으로 제 기능을 발휘하지 못한다는 것을 알 수 있었다. 이에 군부대의 운영특성과 구성모델의 구 성요소인 감시/감지/통제 시스템간의 운영 표준화와 각 시스템별 발휘할 수 있는 성능 요구사항을 충족시키며 오경보율을 줄이고 향상된 운영방안을 제시하였다.