Human-Centric Security Capability Enhancement in ICT Convergence Environment

Onechul Na(나원철),Hangbae Chang(장항배) 한국디지털콘텐츠학회 2019 한국디지털콘텐츠학회논문지 Vol.20 No.2

With the emergence of the Fourth Industrial Revolution, security threat is being diversified as society is entering to hyper-intelligence and hyper-connected society. Accordingly in organization, it is necessary for service-terminal-based security environment to be converted into service-user-based security environment. In this study, core components for developing organization members’ security consciousness is extracted and suggested a new security capability. As a result, it was analyzed for organization members’ security consciousness components to have positive correlation with organizations’ security system. Also, items that are to be improved is also drawn through analyzing security consciousness by each maturity level in order to improve organizations’ security maturity. This study is expected to suggest investment feasibility of security industry at the government level and be a help to effective management of security policy as well as support project.

국가연구개발사업 연구개발과제의 보안등급 평가모델 개발

나원철(Onechul Na),장항배(Hangbae Chang) 한국기술혁신학회 2020 기술혁신학회지 Vol.23 No.4

최근 국가연구개발 수행과정에서 발생하는 정보 및 기술에 대한 유출 사고가 증가하고 있다. 본 연구에서는 이를 선제적으로 방지하기 위하여 국가연구개발과제의 보안등급을 평가할 수 있는 기준과 체계를 마련하였다. 연구결과, 국가연구개발과제의 보안등급 평가기준으로 14개의 평가항목(연구 기간, 연구 규모, 연구 수행 주체, 연구 개발 단계, 공동연구 여부, 혁신성, 필요성, 구체성, 차별성, 지식재산권 창출 가능성, 기대효과, 파급효과, 경제성, 시장성)과 4개의 평가요인(과제 기초 정보, 과제 수행 유형, 과제 기술성, 과제 사업성)을 도출하였다. 다음으로, 평가기준에 대한 AHP 분석 결과를 근거로 국가연구개발과제의 보안등급 산정체계를 마련하였다. 마지막으로, 국가연구개발과제의 보안등급을 구분하는 분류체계를 설계하였다. 본 연구는 기존에 연구되지 않았던 새로운 관점의 국가연구개발과제 보안등급 평가기준을 마련하였고, 국가연구개발 환경에서의 보안관리 활동 과정을 통합적으로 제시함으로써, 향후 중요성이 더욱 커질 것으로 예상되는 연구개발 보안에 도움이 될 것이라 기대된다. Recently, information and technology leakage incidents in the process of national R&D are increasing. In this study, standards and systems were prepared to evaluate the security level of the national R&D project in order to prevent this. As a result of the research, 14 evaluation items (research period, research scale, subject of research, research and development stage, joint research, innovation, necessity, specificity, discrimination, possibility of intellectual property creation) Expected effect, ripple effect, economic feasibility, marketability) and 4 evaluation factors (task basic information, task execution type, task description, task feasibility) were derived. Next, based on the results of the AHP analysis of the evaluation criteria, a security rating calculation system was prepared for the national R&D project. Finally, a classification system was designed to classify the security level of the national R&D project. This study is expected to help R&D security, which is expected to become more important in the future by presenting the process of security management activities in a national R&D environment in an integrated manner.

조직의 연구보안 수준평가 모형 연구

나원철(Onechul Na),장항배(Hangbae Chang) 한국전자거래학회 2020 한국전자거래학회지 Vol.25 No.3

최근 기술의 혁신을 위한 연구개발의 중요성이 커지고 있다. 연구개발의 급속한 발전은 다양한 긍정적 효과가 있지만, 동시에 정보 및 기술에 대한 유출 범죄를 가속화시키는 부정적 영향 또한 존재한다. 본 연구에서는 점차 심각해지는 연구개발 결과물 유출 사고를 대비하기 위해 조직 차원에서 이루어지는 연구개발 환경을 안전하게 보호할 수 있는 연구보안 수준측정 모형을 개발하였다. 먼저 국내외 연구개발 관련 보안정책들을 분석하고 종합하여, 연구보안 수준평가 항목 10개(연구보안 추진체계, 연구시설과 장비 보안, 전자정보 보안, 주요 연구정보 관리, 연구노트 관리, 지식재산권/특허 관리, 기술사업화 관리, 내부연구원 관리, 인가된 제3자 관리, 외부자 관리)를 전문가 인터뷰를 통해 도출하였다. 다음으로, 도출한 연구보안 수준평가 항목을 조직의 연구개발 환경에 다차원적 관점에서 적용 가능하도록 연구보안 수준평가 모형을 설계하였다. 마지막으로 모형에 대한 타당성을 검증하고, 실제 연구개발을 수행하는 조직을 대상으로 시범 적용하여 연구보안 수준을 평가해보았다. 본 연구에서 개발한 연구보안 수준평가 모형은 실제 연구개발을 수행하고 있는 조직 및 프로젝트의 보안 수준을 적절하게 측정하는 데 유용하게 활용될 수 있을 것으로 기대되고, 연구개발을 직접 수행하는 연구원들이 자체적으로 연구보안 체계를 수립하고 보안관리 대책을 마련하는 데 도움이 될 것이라 판단된다. 또한 연구개발을 수행하는 조직 차원의 보안성 향상뿐만 아니라 프로젝트 단위의 연구개발을 안전하게 수행함으로써, 연구개발 투자에 대한 안정적이고 효과적인 성과를 낼 수 있을 것이라 기대한다. Recently, the importance of research and development for technological innovation is increasing. The rapid development of research and development has a number of positive effects, but at the same time there are also negative effects that accelerate crimes of information and technology leakage. In this study, a research security level measurement model was developed that can safely protect the R&D environment conducted at the organizational level in order to prepare for the increasingly serious R&D result leakage accident. First, by analyzing and synthesizing security policies related to domestic and overseas R&D, 10 research security level evaluation items (Research Security Promotion System, Research Facility and Equipment Security, Electronic Information Security, Major Research Information Security Management, Research Note Security Management, Patent/Intellectual Property Security Management, Technology Commercialization Security Management, Internal Researcher Security Management, Authorized Third Party Researcher Security Management, External Researcher Security Management) were derived through expert interviews. Next, the research security level evaluation model was designed so that the derived research security level evaluation items can be applied to the organization’s research and development environment from a multidimensional perspective. Finally, the validity of the model was verified, and the level of research security was evaluated by applying a pilot target to the organizations that actually conduct R&D. The research security level evaluation model developed in this study is expected to be useful for appropriately measuring the security level of organizations and projects that are actually conducting R&D. It is believed that it will be helpful in establishing a research security system and preparing security management measures. In addition, it is expected that stable and effective results of R&D investments can be achieved by safely carrying out R&D at the project level as well as improving the security of the organization performing R&D.

해외 주요국의 클라우드 보안인증제도 동향 연구

나원철(Onechul Na),박상호(Sangho Park),김자원(Jawon Kim),장항배(Hangbae Chang) 한국정보기술학회 2017 Proceedings of KIIT Conference Vol.2017 No.6

Security Knowledge Classification Framework for Future Intelligent Environment

Onechul Na(나원철),Hyojik Lee(이효직),Soyung Sung(성소영),Hangbae Chang(장항배) 한국전자거래학회 2015 한국전자거래학회지 Vol.20 No.3

근래에 들어 정보보안 환경이 ICT와 융합됨에 따라 새로운 취약성 지속적으로 증가하고 있다. 이에 따라 새로운 유형의 사이버범죄가 대두되고 있으며 사이버 공격, 내부자 유출 등 보안문제로 인하여 보안사고 사례가 급증하고 있다. 또한 기존의 기술적인 보안위협처럼 취약점을 악용한 외부의 해킹이 아닌 내부직원에 의한 정보유출 등의 신종 보안위협이 등장하고 있으며 산업과 기술이 융합되는 새로운 환경으로 발전함에 따라 그 위협은 더욱 증가하고 있는 실정이다. 따라서, 본 논문에서는 고도화된 정보위협에 능동적으로 대처하기 위한 전문보안관리 인재를 양성하기 위해 균형있는 정보보호 교과목을 설계하여 정보보호 교과목 분류체계를 도출하고자 하였다. 이를 위해 선행연구조사 분석과 전문가 자문위원회의 회의를 통해 기술적인 교육과 경영·관리적인 교육이 적절히 배분된 정보보호 교과목을 도출하고 국내 실정에 적합한 형태로 분류된 정보보호 직업분류체계와의 연결을 통해 균형감있는 정보보호교과목 분류체계를 도출하였다. 본 연구결과는 미래 산업융합 환경의 신종 보안위협을 막아낼 수 있는 지능형 보안인재를 양성하는데 긍정적인 효과를 미칠 것으로 기대된다. Recently, new information security vulnerabilities have proliferated with the convergence of information security environments and information and communication technology. Accordingly, new types of cybercrime are on the rise, and security breaches and other security-related incidents are increasing rapidly because of security problems like external cyberattacks, leakage by insiders, etc. These threats will continue to multiply as industry and technology converge. Thus, the main purpose of this paper is to design and present security subjects in order to train professional security management talent who can deal with the enhanced threat to information. To achieve this, the study first set key information security topics for business settings on the basis of an analysis of preceding studies and the results of a meeting of an expert committee. The information security curriculum taxonomy is developed with reference to an information security job taxonomy for domestic conditions in South Korea. The results of this study are expected to help train skilled security talent who can address new security threats in the future environment of industrial convergence.

연구자 중심의 연구보안 체계 개선방안 연구

이재균(Jeakyun Lee),나원철(Onechul Na),장항배(Hangbae Chang) 한국전자거래학회 2018 한국전자거래학회지 Vol.23 No.3

정부는 4차 산업혁명 시대의 도래에 대한 적극적인 대응과 국민경제 발전을 위해 국가 R&D 투자를 지속적으로 확대하고 있다. 추격형 R&D에서 선도형 R&D로 패러다임을 전환하고, 연구자 중심의 창의성을 중시하는 R&D 역량 강화를 추진함에 따라 R&D 구조도 개방화가 점차 확산될 것으로 보인다. 이와 같이 다양한 R&D 환경의 변화로 인해 연구정보 유출 등 보안사고의 위험도 높아질 것이다. 이에 대비하여 연구성과물 보호를 위한 보안정책도 연구자 중심으로 전환해야 한다. 본 논문에서는 연구자가 연구수행 과정에서 필요한 보호조치를 자율적으로 수행 할 수 있도록 연구보안 체계를 연구자 중심으로 개선하는 방안에 대해 연구하였다. The government is continuously expanding its national R&D investment to actively respond to the advent of the 4<SUP>th</SUP> industrial revolution era and to develop the national economy. The R&D structure is likely to be liberalized as the paradigm shifts from the pursuit type R&D to the leading type R&D, and R&D capacity enhancement that focuses on researchers’ creativity is emphasized. Such changes in R&D environment will increase the risk of security accidents such as leakage of research information. In addition, security policy for protection of research result should be the Researcher-Centric Security and security policy should be changed. This study explored transforming the research security system into the Researcher-Centric Security system so that researchers can voluntarily implement necessary security measures in the course of conducting research.

보안전문인력 양성을 위한 직업분류체계별 정보보호 핵심지식 설계

이효직(Hyojik Lee),나원철(Onechul Na),성소영(Soyoung Sung),장항배(Hangbae Chang) 한국전자거래학회 2015 한국전자거래학회지 Vol.20 No.3

최근 발생하는 정보보안 사고는 정보통신기술의 발전과 더불어 전파속도나 그 피해규모 역시 빠른 속도로 증가하고 있다. 또한 미래 환경이 산업융합의 시대로 발전함에 따라 가상의 사이버 환경이 물리적인 환경까지 확장되면서 다양한 형태의 새로운 보안 위협이 발생하고 있다. 새롭게 대두되는 보안 위협을 해결하기 위해서는 전통적인 기술 위주의 단편화된 보안인재를 넘어서, 기술적 보호와 물리적 보호를 관리적 관점에서 아우를 수 있는 다차원적 보안역량을 가진 보안전문인력이 필요한 시점이다. 따라서 본 논문에서는 기존의 기술위주의 단편화된 정보보호 교육을 넘어서 산업융합 환경에 맞는 보안전문인력을 양성하기 위하여 직업분류체계별로 특색 있는 정보보호 교과목을 도출하고 이를 이용하여 각 직업군간의 이동시 추가로 교육이 필요한 교과목에 대한 분석을 실시하고자 한다. 본 연구결과는 기술적 관점의 정보보호 교과목과 경영·관리적 관점의 정보보호 교과목의 조화로운 융합을 통해 산업융합환경에 어울리는 다차원적 보안인력을 육성하고, 정보보호 직업군간의 이동 시 각 직업군별 핵심 지식을 효과적으로 습득할 수 있는 교육훈련과정을 개발하는 데에도 긍정적인 영향을 미칠 것으로 기대된다. Information Security Incidents that have recently happen rapidly spread and the scale of that incidents’ damage is large. In addition, as it proceeds to the era of converged industry in the future environment and the virtual cyber world expands to the physical world, new types of security threats have occurred. Now, it is time to supply security professionals who have a multi-dimensional security capabilities that can manage the strategies of technological security and physical security from the management point of view, rather than the ones who primarily focus on the traditional technologic-centered strategies to solve new types of security threats. In conclusion, in this paper we try to produce the curriculum of information security featured in the occupational classification system and analyze the subjects that are additionally required for those who move to other occupations to cultivate security professionals who suited to the converged-industrial environment. It is expected that multi-dimensional security professionals who suited to the converged-industrial environment will be cultivated by harmoniously integrating information security subjects from technological and business/managerial perspectives, and education training courses will be developed that effectively provide core knowledges per occupational classification when people moves to other occupations in the areas of information security.

IoT 환경에서 선제적 보안관리를 위한 포렌식 도구 설계

박광민 ( Gwangmin Park ),나원철 ( Onechul Na ),김은지 ( Eunji Kim ),장항배 ( Hangbae Chang ) 한국정보처리학회 2015 한국정보처리학회 학술대회논문집 Vol.22 No.1

디지털 포렌식은 그동안 보안의 차선이 되어왔다. 디지털 포렌식은 늘 보안 사건이 일어난 후에만 사용되는 것으로 인식되었다. 산업의 규모가 커지고 보안의 범위가 넓어지면서 보안은 자본주의 사회에서 필수가 되었다. 이에 따라 디지털 포렌식의 역할은 중요해졌고 관심도 늘어나게 되었다. 하지만 보안 사건이 일어난 후, 그 뒤를 따라가는 것은 힘들고 한계가 있다. 특히 정보는 한번 새어나가면 걷잡을 수 없고, 경제적 손실도 막대하다. 또한 디지털 포렌식을 통해 증거를 수집한다고 해도 디지털 정보는 특성상 조작하기가 쉽기 때문에 법원에서 증거로 인정받기 위해서는 매우 까다로운 절차를 거쳐야 한다. 아직까지 한국에서는 디지털 증거를 어디까지 인정해야 하는지에 대한 명확한 기준이 없기 때문에 까다로운 절차를 거쳤다고 해서 증거로 인정받는다는 보장이 없다. 따라서 보안에 대해서는 예 방하는 것이 최선이고 필수이다. 이 논문에서는 그동안 차선으로 인식되었던 디지털 포렌식 도구를 이용하여 보안 사건보다 한 발짝 앞서 보안을 관리하는 방법에 대해 검토하고자 한다.

기업정보 보호를 위한 보안 시스템 연구동향 메타분석

홍승완 ( Seungwan Hong ),나원철 ( Onechul Na ),김자원 ( Jawon Kim ),장항배 ( Hangbae Chang ) 한국정보처리학회 2017 한국정보처리학회 학술대회논문집 Vol.24 No.1

최근 다양한 산업들이 IT기술과 융합되어 비즈니스 환경이 변화하고, 핵심자산이 정보화됨에 따라 기업정보 유출의 위험성이 높아지고 있다. 이러한 유출 사건·사고는 끊임없이 증가하고 있기 때문에, 선행적으로 기업정보를 보호할 수 있는 보안환경이 구축되어야 한다. 이에 따라 기업정보 보안기술에 대한 연구와 투자는 꾸준히 증가하고 있으며, 다양한 보안 시스템이 개발되고 있다. 그러나 기업정보 보안기술에 대한 적절한 구분이 되어있지 않아 보안 시스템들이 서로 중복된 기능을 수행하고 있다. 중복된 기능의 보안 시스템 사용은 비용을 낭비할 뿐만 아니라, 효율적인 보안 관리를 하지 못하게 되는 문제가 발생한다. 따라서 본 논문에서는 이러한 문제점을 해결하고 균형 잡힌 기업정보 보안 시스템의 발전을 위해 선행연구를 통해 기업정보 보안 시스템에 관한 분류체계를 설계하였다. 향후 이 분류체계를 기반으로 메타분석을 실시하여, 그동안 진행된 기업정보 보안 시스템 분야에 대한 연구동향을 파악하고 학술적으로 연구자들에게 연구 방향성을 제시하고자 한다.

IoT환경에서 인간중심 보안관리체계 구축을 위한 효율적 인적자원관리 방법론 설계 연구

류보라 ( Bora Ryu ),이효직 ( Hyojik Lee ),나원철 ( Onechul Na ),장항배 ( Hangbae Chang ) 한국정보처리학회 2015 한국정보처리학회 학술대회논문집 Vol.22 No.1

보안은 오직 기술을 관리하는 것이 아닌 사람관리, 조직관리, 경영관리이다. 그 중에서도 인적자원은 모든 산업에서 가장 중요한 자원임과 동시에 보안의 측면에서 볼 때 가장 통제해야 하는 존재이다. 이는 산업보안에서 가장 큰 이슈인 산업기술·기밀 유출이 주로 전·현직 임직원 및 협력업체 직원 등 인적자원을 통했기 때문이다. 미래 산업의 중심이 될 IoT환경에서는 산업기술이 핵심자산이므로 이에 더 주목해야 할 필요가 있다. 이처럼 인적자원에 대한 통제와 관리가 산업보안에서 중요한 의미를 갖는 것에 비해 기존의 보안관리체계의 통제항목은 대부분 IT적인 부분에 치중되어있다. 또한, 체계적인 운 영이 부족하고, 산업스파이, 정보절취 등 다양한 위험요소가 존재한다. 특히, 인적자원은 완벽한 예측이 불가능하므로 위험을 최소화하는 방법을 고안해 내는 것에 유념하여 IoT환경에서의 인간중심적인 보안관리체계 구축해야 한다. 이를 위해 기존의 정보보호 관리체계 분석을 통하여, 기존의 인적 보안지침들의 적합성을 따져 우선순위를 적용하여 효율적인 인적자원관리 방법론을 설계하였다. 본 연구결과는 보유자원을 가장 효율적으로 활용하여, 그 조직에 적합한 보안체계를 구축하는데 도움이 될 것으로 기대된다.