행정기관의 안전한 스마트폰 기반 업무 환경을 위한 서버 보안 기술 연구

김지연,김형종 보안공학연구지원센터(JSE) 2010 보안공학연구논문지 Vol.7 No.6

최근 스마트폰의 사용이 활성화 되면서 이를 효율적 업무 환경 구축을 위해 활용하고자 하는 사회적 요구가 높아지고 있으며, 이러한 요구는 행정기관의 스마트폰 기반 업무 환경 구축으로도 이어지고 있다. 행정기관에서는 현재 모바일 단말을 이용한 전자 결재 시스템의 접근을 허용하고 있기 때문에 추후 행정기관의 스마트폰 도입이 활성화되면 전자 결재 뿐 아니라, 회계 예산과 같은 업무 지원을 위한 다양한 애플리케이션이 개발될 것으로 예상된다. 따라서 행정기관에서 지원하는 다양한 업무지원 서버를 안전하게 운영하기 위한 보안 연구가 필요하며 본 논문에서는 이러한 목적으로 행정기관에서 도입할 수 있는 세 가지 유형의 서버 구축 모델을 제시하고, 각 모델의 보안성을 논의하고자 한다. As smartphone use is on the rise, social needs for the use of smartphone in business are increasing. Since smartphone can do much to improve work efficiency, government bodies are also interested in smartphone use. The Korean government already has an electronic approval system which allows access from mobile devices. Therefore, if the government bodies develop smartphone-based work environment, various applications that support not only electronic approval but also other works such as budget and accounting will be developed. To protect application servers against the smartphone's security threats, the government bodies should apply security techniques to the servers. In this paper, we suggest three types of server models which can be deployed in the government bodies and discuss their security issues.

군용항공기 감항인증을 고려한 항공무기체계 보안강화 코딩룰 선정평가

최준성,국광호 보안공학연구지원센터(JSE) 2014 보안공학연구논문지 Vol.11 No.6

항공무기체계 소프트웨어는 군용항공기의 전투임무 수행을 위해 기체, 발사체, 센서와 무장을 제어 통합하고 운영한다. 항공기의 데이터 연동의 증가와 소프트웨어에 대한 기능 의존도가 높아짐에 따라 항공무기체계 소프트웨어에 대한 사이버 공격 위협에 대한 위험도 증가하고 있다. 항공무기체계 소프 트웨어에 대한 보안위협 대응에 있어서도 군용항공기 소프트웨어는 안정성 측면의 감항인증이 먼저 고려되어야 한다. 본 논문은 항공무기체계 소프트웨어의 사이버 위협을 방지하기 위한 수단으로 항공 무기체계에 적합한 보안강화 코딩룰을 개발함에 있어 군용항공기 감항인증 요소를 사전에 고려하여 안정성과 보안성을 동시에 충족시키는 항공무기체계 보안강화 코딩룰 선정 평가한 결과를 제시한다. Air warfare system softwares operate, control and integrate airframe, projectiles, sensors and arms. In air craft, data connectivity and data link are increasing, and softwares function dependency of air craft are also increasing. Therefore. the risks of cyber threats on the air warfare system softwares are also increasing. Protecting air warfare system softwares against cyber threats, we must consider military air craft air worthiness. In this study we develope and propose secure coding rule selection evaluation result for protecting cyber threats on the air warfare system softwares comply with both safety and security considering defense air craft air worthiness in advance.

정보시스템 감리 보안점검 성숙도 모델

이수현,박대하 보안공학연구지원센터(JSE) 2015 보안공학연구논문지 Vol.12 No.2

본 논문에서는 정보시스템 감리 시 체계적인 보안 점검을 수행하고, 정보화 사업 수행 시 보안 측 면의 안정성 향상에 도움을 줄 수 있는 정보시스템 감리 보안점검 성숙도 모델과 그 활용 방안을 제 시하고자 한다. 보안 점검항목의 충분성과 일관성 결여 대한 문제를 해결하고자 성숙도 기반의 IT 국 제 기준인 ISM3와 SSE-CMM의 연구를 통해 충분성을 점검하고, 보안 점검항목의 일관성 확보를 위 해 정보시스템 감리 보안점검 성숙도 모델인 ISA-SCMM을 제안하였다. 본 모델은 정보시스템 계획, 설계, 구축, 운영 등의 과정에서 이뤄져야 할 보안 활동으로 10개 영역, 54개의 보안 점검항목으로 구 성하고, 정보화 사업의 특성과 비용 및 효율을 고려하여 3단계의 등급과 활용방안을 제시하고 있다. This paper proposes a security check maturity model and how to apply the model to support performing the effective security check for information system audit and improve the security stability of ICT business. ISA-SCMM is developed to solve the problem of lacking security check items in current Korean information system audit criteria and to guarantee the sufficient security check items consistent with maturity based global IT criteria such as ISM3 and SSE-CMM. ISA-SCMM is a security measure that be performed on several processes such as information system planning, designing, constructing, and operating. It is made up with 10 areas, 54 security check items and 3 steps of level, which can be applied for considering the characteristics and cost efficiency of ICT businesses and organizational requirements.

산업보안 패러다임 변화에 따른 보안 교육방안 고찰

임헌욱 보안공학연구지원센터(JSE) 2015 보안공학연구논문지 Vol.12 No.6

기술유출은 전·현직 직원에 의한 유출이 대부분을 차지하고 있기 때문에 교육을 통한 내부자의 인식개선이 중요하게 되었으며 보안교육 방안을 도출하기 위해 각 대학의 보안 교육현황을 산업보안관리사의 직무와 연계한 후 산업보안의 패러다임에 따라 비교한 결과, 기술유출이 첨단 산업기술을 유출하던 시대를 지나 방위산업, 전략물자의 불법수출 등 경제안보를 위협하는 수준으로 변화되어 보안교육도 국제보안 거버넌스, 융합보안, 포렌식, 보안인증까지 확대되고 있다. Technical spills have accounted for most leaks by employees. This important recognition was improved through education Comparison of Each university's security curriculum and industry security manager`s job were compared according to the security paradigm. It was changed to the current level of threat defense industry, the illegal export of strategic goods such as economic security. Threatening economic security such as defense industry, the illegal export of strategic goods.

사회공학 공격의 위험도 평가를 위한 지표 개발

신동천,박영후 보안공학연구지원센터(JSE) 2017 보안공학연구논문지 Vol.14 No.2

시스템 성능의 발달과 보안기술의 발전으로 인해 최근의 보안 관련 공격들은 시스템의 취약점을 이용한 공격보다는 시스템을 운영하는 사람을 목표로 하는 공격들이 다양하게 발생하고 있다. 따라서 가장 큰 취약점이 사람이며 사람 중심의 보안전략이 필요하다는 것이 이슈가 되고 있다. 하지만 사람 을 일차 목표로 하는 사회공학 공격들의 위험도를 분석하여 전략적으로 대처하고자 하는 연구는 진 행되지 않고 있다. 따라서 본 논문에서는 사회공학 공격 사이클 및 공격 기법과 일반 공격 위험도 수 치화 방법인 CVSS, CWSS, OWASP 위험등급 방법론 등을 분석하여 사회공학 공격의 위험도를 평가 할 수 있는 평가 지표를 제시한다. Due to the development of system performance and security technology, the first target of recent security attacks tends to be the people who operate the system, rather than the system itself. Therefore, one of the most crucial vulnerabilities is the people, which reflects the need for the human-centric security. To the best our knowledge, however, there is no previous works for such social engineering attacks through the analysis of risk assessment. In this paper, first we analyze the technologies of social engineering attacks and methodologies for common vulnerability assessment such as CVSS, CWSS, OWSAP Risk Rating Methodology. Then, based on the analysis, we develop risk assesment indexes for social engineering attacks.

효과적인 사이버보안 교육훈련을 위한 교육과정 문제점 및 개선 방안

엄정호 보안공학연구지원센터(JSE) 2015 보안공학연구논문지 Vol.12 No.4

본 연구에서는 사이버보안 교육에 참여하는 교육생들이 교육에 적극적으로 참여하고 교육의 성과 를 높이기 위해서 현재 교육방식에 대한 문제점을 도출하고 해결방안을 제시한다. 우선, 현재 진행되 고 있는 사이버보안 교육과정을 살펴보고, 그에 따른 교육과정 내용과 교육방법을 분석한다. 대부분 의 교육방식은 일방향적인 강의식 형태로 이루어지고 있다. 사이버보안 교육은 교육이후에 교육생들 이 교육내용을 실제적으로 정보체계에 적용해야 하기 때문에 현 교육방식으로는 충분한 교육 효과를 발휘할 수 없다. 본 연구에서는 현재의 교육체계의 문제점을 도출하고 실전적인 교육체계를 구축할 수 있도록 해결방안을 제안한다. In this study, we draw the problem of the current education system and proposed solution of the problem in order to enhance the performance of education and actively participate trainees in cyber security education. First, we examined the cyber security training courses that are currently in progress, and analyzed the curriculum content and teaching methods accordingly. Most of the education scheme has made an one-way and instructor-led. Because trainees should applied education contents in information system operated by them in practice after the educational curriculum, the current educational scheme is not effective sufficiently. We proposed a solution th the problem of derived the current education system and to build a practical education system.

효율적 보안수준관리를 위한 과정 모형에 관한 연구

박길철,김석수,조은숙,김정아 보안공학연구지원센터(JSE) 2008 보안공학연구논문지 Vol.5 No.3

새로운 위협이 인지되었을 때 이에 대해 체계적으로 대응할 수 있는 전략과 절차가 필요하며, 현재의 보안대책을 최적화된 형태로 유지하는 것이 더 바람직할 수 있음이 알려졌다. 이후에 보안대책의 구현과 관리체계는 곧 정보시스템 보안을 위해 동시에 고려되어야 하는 항목으로 통합되어 사용되기 시작하였다[1-5]. 보안대책 구현과 관리체계의 통합은 좋은 선택이지만, 완전한 것이라고 하기는 어렵다. 정보시스템에는 여전히 많은 취약점이 내포되어 있으며, 이러한 취약점의 대부분은 정보시스템을 구성하는 단위 제품에 포함되어 있는 경우도 있고, 단위 제품을 연결하여 전체 시스템으로 통합하는 과정에 포함되어 있는 경우도 있다. 아무리 보안대책이 잘 구현되어서 문제없이 관리되고 있다고 하여도, 기본적으로 포함된 취약점들은 여전히 잠재적인 문제의 원인이 될 수 있다. 이러한 문제를 극복하기 위해 정보시스템의 개념을 정립하고 설계를 하는 순간부터 보안을 고려하는 방법이 제안되었으며, 소프트웨어나 정보시스템을 구축할 때 보안요구사항을 도출하여 추가하고, 이를 구현함으로써 수명주기 전 단계에서 보안을 고려하는 방안이 연구되었다[6-9]. 본 논문에서는 수명주기 전 단계에서 효율적으로 사용할 수 있는 보안수준관리 과정 모형을 제시하였다. It is more important to build strategies and procedures can be used when new threat is detected. By following these strategies and procedures, operators can manage IS optimally and encounter to the threat systematically. Since than implementation of security countermeasures and management systems were merged to be used together [1-5]. Combination of the security countermeasures and management systems is a good solution but can not be a perfect one. Many vulnerabilities are included in IS as ever. These vulnerabilities can be found from either the sub-systems constitute IS or the process for combination of sub-systems into whole systems. Even though security countermeasures are designed and managed well, vulnerabilities included in somewhere can be the cause of compromise of IS, basically. A new method that considering security from the initial concept design step was proposed to reduce potential vulnerabilities. By applying this method, we can derive and append security requirements when developing IS. And by implementing these security requirements into development processes, we can complement security-related materials in whole life-cycle of IS [6-9]. In this paper, we proposed security level management model can be applied to any step in life-cycle of information systems.

IPv6 환경의 비정상 네트워크 트래픽 보안

임우택,박병수 보안공학연구지원센터(JSE) 2015 보안공학연구논문지 Vol.12 No.1

최근 IPv6가 제정되고 보급되면서 기존의 IPv4 와는 달리 IPv6는 IPsec을 기본으로 지원하여 보안 성이 증대될 것으로 전망된다. 하지만 IPv4에서 IPv6 환경으로 전환되면서, IPv6 Protocol의 스펙 변 경으로 인하여 IPv6 프로토콜 보안 문제와 IPv4/IPv6 연동 보안 문제에 대한 연구 필요성이 증대되 고 있다. IPv6는 기존의 프로토콜 방식과는 다른 새로운 체계이기 때문에 네트워크에 도입 및 연동하 여 안전하게 운영하기 위해서는 보안상 해결해야 할 문제점이 있다. 따라서 본 논문에서는 IPv6에서 제공되는 IPsec를 기존 프로젝트에 적용하여 다양한 모드에서의 IPsec 동작을 구현하였다. 보안 위협 및 공격 등을 분석하고 침입을 미연에 방지하여 리눅스 기반의 IPv6를 이용한 비정상 네트워크 트래 픽 보안 체계를 구현하였다. IPv6 IPsec 운용은 Tunnel Mode에서 운용하였으며, Manual Key, Auto Key를 이용한 방식으로 교환 운용하여 트래픽 보안 방안을 구축하였다. Recently, IPv6 has enacted and propagated widely. Different from traditional IPv4, IPv6 supports IPsec security by default, which is expected to be safer from many cyber invasions. However, in the transition from IPv4 to IPv6 environment, IPv6 protocol security issues and IPv4/IPv6 inter-working security issues are rising due to specification changes from IPv6 Protocol. As IPv6 is a new system different from existing protocol systems, there are some security problems to be solved in order to operate safely and linked to the network. In this paper, the IPsec operation in various modes is realized with its applying to an existing project provided by IPv6. Moreover, the traffic security for abnormal network in Linux based IPv6 environment is acquired by analyzing the cyber threats and attacks to prevent intrusions in advance. IPv6 IPsec operation was done in Tunnel Mode, and the traffic security plan is suggested with the switch management that uses Manual Key and Auto Key.

RFID 기반 비전자문서 물리적 보안관리체계 한계 분석

최준성,국광호 보안공학연구지원센터(JSE) 2015 보안공학연구논문지 Vol.12 No.2

본 논문은 RFID의 비전자문서 물리적 보안관리 체계의 한계에 대해 분석하고 이에 대한 대응 방 안을 제시한다. RFID 체계는 개체에 대한 동시 추적, 이력 관리, 이동 추적 용이성 등의 편리함으로 인해 각종 물류관리와 도서 관리 등에서 활용되고 있다. 본 논문에서는 RFID의 비전자 문서 물리적 보안관리 체계 활용에 대한 구현 사례들을 중심으로 RFID를 활용한 비전자문서 물리적 보안관리체계 의 특성상 발생하는 한계 요소들에 대해 분석하고 이에 대한 대안을 제안하였다. In this paper, we analysis the limitation of non-electronic documents physical security management system based on RFID and proposed solutions. RFID system has many benefits like multi object simultaneously tracking, record management, easiness of movement tracking, and these makes that logistics, library and etc choose the technology and apply. In this paper, we analysis limitation factors of focused on the case using the non-electronic documents physical security management system based on RFID and proposed solutions.

보안담당관의 혁신적인 HRD(인적자원개발) 방안 고찰

김화영,임헌욱 보안공학연구지원센터(JSE) 2016 보안공학연구논문지 Vol.13 No.4

본 연구는 대통령령 보안업무규정 제43조의 보안담당관을 대상으로 HRD(인적자원개발) 방안을 마 련하고자 하였다. HRD란 크게 직무훈련, 개인교육, 조직개발 등으로 구성되며 보안담당자의 직무향 상을 위한 교육방안을 제시하고자 하였으며, 그 방법으로 보안담당관 직무, 산업보안 교육과정, 보안 관리 표준매뉴얼을 비교 분석하여 보안담당관의 단계별 HRD 훈련내용을 도출하였다. The aim of this study is to establish the HRD scheme for the security officers ruled by Article 43 of the Presidential Security Codes of Practice. The HRD is mainly consisted of job training, personal training, organization development, etc. It presents training plans for the job improvement of security staffs. Comparing with industrial security training courses, standard manual of security management and duties of security officers, this study draws step-by-step procedures and contents for security officers.