안전한 ICO 운영 환경 마련을 위한 보안감사 항목 개발에 관한 연구

이정엽 건국대학교 2018 국내석사

ICO는 블록체인 기술을 기반으로 하는 자금 조달 방식으로, 조달받는 자금의 규모 및 지리적 여건에 제한이 없으며 투자 절차가 간단하여 개인 투자자의 접근이 용이하다. 따라서 단시간에 대규모 자금을 조달받을 수 있는 이점이 있다. 반면에 분산화 저장 기술인 블록체인을 기존의 중앙처리 환경에서 제정된 법규로 규제하기에 적합하지 않기 때문에 ICO 운영 기업이 투자금을 횡령하더라도 투자자를 보호할 수 있는 제도적 장치가 미흡한 실정이다. 본 논문에서는 ICO 운영 환경에서 발생할 수 있는 위협을 다양한 관점에서 식별하고, 이를 분석함으로써 개선 방안을 마련하였다. 이후 도출된 개선 방안을 토대로 투자자 입장에서 ICO 운영 환경의 안전성을 검증할 수 있는 보안감사 항목을 개발하였으며 실제 진행 중인 ICO 프로젝트를 점검하여 구체적인 미흡사항들을 도출함에 따라 제안하는 항목의 실효성을 검증하였다. 최근 스캠 등 ICO 관련 사기 사례가 횡행하면서 ICO 프로젝트의 안전성을 검증하는 방법들이 활발히 공유되고 있다. 그 내용은 대부분 ICO 운영 기업이 공개한 백서(White paper)를 검증하는 것으로, 사업 모델의 성공 가능성을 판단하는데 초점이 맞추어져 있다. 반면에 본 논문은 ICO를 구성하는 관리적·기술적 보안 요소들을 식별하고 통제항목을 적용함으로써 정보보호의 관점에서 ICO 운영 기업을 통제하고 투자자를 보호할 수 있는 방안을 제시하였다. ICO is a funding method based on the block chain technology. So there is no limit to the size and geographical conditions of the fund raised, and it is easy for individual investors to get access to it through simple procedures of investment. As a result, there is an advantage of being able to raise large amount of money in a short time. However, the block chain, which is a decentralized storage technology, can not be controlled by the laws enacted in the existing central processing environment. Therefore, even if the ICO operating company embezzles the investment, we don’t have a proper institutional mechanism to protect the investors. This study aims to create improved solutions to the risks that may arise in the ICO operating environment by identifying and analysing them from various perspectives. Based on the improvement plan derived, security audit items, which can verify the safety of the ICO operating environment for the investors, were developed. This study reviewed the effectiveness of the items and identified the deficiencies of ICO projects by checking the actual ICO projects in progress. As the number of ICO-related fraud cases such as scam has increased recently, ways to verify the safety of ICO projects are actively being shared. Most of them, which are verifying the white papers including business models, are focused on determining the success of the business models. On the other hand, this paper suggests better ways to control ICO operating companies and protect investors in terms of information protection through identifying the administrative and technical security elements that make up ICO and applying the control items.

공개 소프트웨어 점검도구를 활용한 소프트웨어 보안약점 진단규칙 개선

배종민 건국대학교 정보통신대학원 2017 국내석사

소프트웨어의 보안약점은 소프트웨어 내부 구조를 통해 보안을 취약하게 만들어 이를 통한 계정 탈취, 정보 유출, 시스템 오류 등 보안사고가 발생하게 된다. 보안약점의 경우 개발자가 미처 파악하지 못한 부분에서 발생하는 경우가 많고 소프트웨어 이에 제품 출시 후에도 보안약점 혹은 보안취약점에 대한 개선을 위해 정기적으로 패치를 배포하여 보안약점을 개선한다. 그러나 제품 출시 후 소프트웨어의 결함 수정비용은 설계 단계의 약 30배의 비용이 발생하며 이는 소프트웨어의 비용 증가 및 즉각적인 대처에 악영향을 미치고 있다. 이미 해외의 경우 이를 인지하여 소프트웨어 개발 방법론에 보안활동을 추가하여 보안 수준을 높이고 있으며, 해외 각 연구기관에서 보안약점 및 취약점에 대한 수준 높은 정보를 제공하고 있다. 우리나라에서는 2012년부터 전자정부소프트웨어 개발 시 시큐어코딩을 의무화하였으며 범위 또한 점차 확대되고 있는 추세이다. 한국인터넷진흥원(KISA)에서는 소프트웨어 개발보안 가이드를 작성․배포하며, 코드보안 단계의 시큐어코딩(Secure Coding)에 대한 교육을 진행한다. 본 논문에서는 구현단계 과정에서의 개발보안을 위해 소프트웨어 개발 언어 및 공개 소프트웨어 점검도구를 선정하고 이에 대한 소스코드 보안약점 진단 규칙을 제시하고 점검도구에 대한 진단 내역을 개선하고자 하였다. 이를 통해 진단도구 사용을 장려하고자 한다. Security weaknesses of software make security internal vulnerable to weakening security, which causes security accidents such as account deodorization, information leakage, system failure, etc. In the case of security weaknesses, developers often occur in areas not yet grasped, and patches are periodically distributed to supplement security weaknesses and security vulnerabilities after software development. However, the cost of repairing software defects after the release of the software is about 30 times as much as the coding step, which has a negative impact on software cost increase and immediate response. In the case of overseas, recognize and add security activities of software development methodology to improve the security propensity and provide high-level information of weaknesses and vulnerabilities at research institutes. Korea has obliged secure coding when developing e-Government Software since 2012, and the range tends to be gradually expanding. Korea Internet & Security Agency (KISA) creates and publishes security development guides for software development and educates for secure coding of security level of programming. In this paper, select the software development language and security code analyzer for security at the coding step, present the weakness diagnosis rule on the source code security against this, and improve the diagnosis method of the check tool. through the this paper. add diagnostic tool detection and try to encourage the use of check tools.

기업환경에 적합한 DNS 서비스 기반의 실시간 NAT 탐지방법

유지연 건국대학교 정보통신대학원 2017 국내석사

NAT는 IPv4의 주소 부족 문제를 해결하기 위해 등장한 주소변환 기술이다. 인터넷 공유기, 가상환경이 설치된 사용자 PC 등을 통해 하나의 공인 IP를 다수의 사설 IP로 변환하여 인터넷을 이용할 수 있다. NAT를 사용하는 내부 호스트는 외부에서 접근할 수 없어 중앙의 관리정책을 우회할 수 있는 허점이 발생한다. 비인가 NAT로 인해 네트워크 트러블이 발생할 경우, 관리자는 이슈의 원인을 찾지 못해 해결 지연으로 이어진다. 또한, 기업의 거버넌스 관점에서 관리자가 인지하지 못하는 NAT의 존재는 리스크로 발전할 수 있어 그 식별이 중요하다. 본 연구에서는 기존 NAT 탐지기법들을 계층별, 행위별, 기법별로 재분류하고 기존 탐지 기법들이 기업 환경에 적용될 수 없는 현실적인 이유와 기업망에 특화된 탐지기법의 요구사항을 도출하였다. 본 연구에서 제안한 RND(Realtime NAT Detection) 방법은 수동적인 탐지를 기반으로 하여 네트워크의 Flow에 부담을 주지 않는다. 누구나 사용하는 DNS Query Message를 이용해 빠르고 간단하게 식별하고 NAT 유무의 식별에만 주의를 기울여 비용 효율적인 관리에 적합하다. 실험환경에서는 오픈소스 DNS 서버인 Unbound를 탐지를 위해 필요한 정보인 TTL 값을 포함할 수 있도록 수정하였다. DNS 서버의 로깅 기능을 이용해 정보를 전달받아 NAT 탐지프로그램인 RNATD(Realtime NAT Detector)에서 NAT 유무를 식별하고 실험 결과에 대한 시간별, IP별 결과 쿼리와 그래프를 통해 RND 방법의 효과 및 성능을 확인한다. RND 방법은 네트워크 트래픽에 부하를 주지 않고 NAT 유무를 실시간으로 식별할 수 있어, 업무시간에 부담 없이 적용할 수 있다. 따라서, 기존 네트워크 인프라의 부하 및 변경을 최소화하고, 빠른 탐지 즉시 이용을 차단하고자 하는 기업망 관리자의 요구사항을 충족시킬 수 있을 거라 기대한다. NAT is address translation techniques to solve the IPv4 address shortage problem. Hosts connected to Internet routers, virtual environments, etc. can convert one public IP into multiple private IPs and use the Internet. Internal network of NAT can not be accessed from outside. Therefore, the network administrator can not be aware of network trouble shooting, security, and central policy violation. If network trouble occurs due to unauthorized NAT, the administrator can not find the cause of the issue and leads to a delay in resolution. In the security and management of enterprises, the presence of unauthorized NATs can be a risk, so fast identification is important. In this study, we classify existing NAT detection method by network layer, passive behavior, and techniques. Also, it derives the practical reasons why the existing detection method can not be applied to the enterprise environment and the technical requirements of the NAT detection method desired by the network administrator. The proposed RND (Realtime NAT Detection) method is proposed as a passive detection. Passive-based detection does not generate additional traffic. RND can quickly and easily identify the NAT by using the DNS query message that every device uses. RND is only suitable for cost-effective management by checking the existence of NAT. We modified Unbound (DNS server) to detect NAT using TTL values for experiments. RNATD (Real Time NAT Detector) used in the experiment is a detection program applying the RND method. RNATD uses the logging function of the DNS server to identify the NAT by receiving the TTL information contained in the IP header of DNS message. The effects and performance of the RND method are shown through graphs and sample data. RND method can detect NAT without additional traffic, so it is not burdened during business hours. It will be able to identify the NAT in real time and meet the expectations of the corporate network administrator who wants to prevent detection immediately.

주요정보통신기반시설 관리적/물리적 분야 취약점 점검 항목 개선 연구

이영규 건국대학교 정보통신대학원 2018 국내석사

정보기술의 발전과 함께 악성코드 등의 사이버 공격은 지능화·대형화되어 가고 있으며, 민간을 넘어서 산업 및 공공시설에까지 그 범위를 넓혀가고 있다. 이러한 사이버 위협으로부터 주요정보통신기반시설을 보호하기 위하여 정부는 정보통신기반보호법을 통해 보호대책 수립, 취약점 분석/평가 기준과 같은 체계적인 예방 및 대응체계를 마련하고 있다. 본 연구는 주요정보통신기반시설 관리적/물리적 분야의 취약점 점검 항목을 점검하고, 주요 정보보호 관리체계(KISA ISMS, ISO/IEC 27001:2013, NIST 800-53 Rev.4)의 통제항목을 비교·분석하였다. 그리고 11개 영역(41개 통제 항목)을 제안하였다. 개선 항목에 대한 실증 검증을 위하여 공공 및 정보보호 업무관련자 63명을 대상자를 선정하였다. 그리고 주요업무, IT경력, 주요정보통신기반시설 운영경험, 주요정보통신기반시설 개선 필요성, 관리적 분야(9개 37개제항목) 및 물리적 분야(2개 영역, 4개 항목)에 대한 적합성 검증을 설문조사를 통해 수행하였다. 설문결과, 주요정보통신기반시설 취약점 분석·평가 기준은 개선이 필요하다는 결론과 제안한 41개 점검 항목들은 모두 적합하다는 결론을 얻을 수 있었다. 주요정보통신기반시설 관리적/물리적 분야의 취약점 점검 항목의 개선을 통하여 기관의 정보보안 수준 향상에 기여할 수 있을 것이다. 또한 정보보안 담당자에게는 합리적인 의사결정을 지원하여 사이버공격에 대한 사전 예방 및 대응을 강화할 수 있다는 점에서 실무적 의의가 있다고 할 수 있다. With the advancement of information technology, cyber attacks such as malicious codes are becoming more intelligent and larger, and they are expanding beyond the private sector to industrial and public facilities. In order to protect the Critical Information and Communication Infrastructures from cyber threats, the government has established systematic prevention and response system such as establishment of protection measures, analysis/evaluation of vulnerability through information and communication infrastructure protection law. This study examines vulnerability checklist of Critical Information and Communication Infrastructure management and physical field, compares/analyzes the control items of major information protection management system(KISA ISMS, ISO/IEC 27001:2013, NIST 800-53 Rev.4). and 11 zones (41 control items) were proposed. To verify the verification of the improvement items, 63 persons related to the public and the information protection work were selected. and The survey was conducted to verify the suitability of major tasks, IT career, Critical Information and Communication Infrastructure operation experience, need for improvement of Critical Information and Communication infrastructure, management field (9 zones, 37 items) and physical field (2 zones, 4 items). As a result of the survey, it was concluded that the analysis and evaluation standard for Critical Information and Communication Infrastructure need to be improved and that the 41 control items proposed are appropriate. It will contribute to the enhancement of the information security level of the organization through improvement of vulnerability checklist in the Critical Information and Communication Infrastructure management/physical field. In addition, it can be said that there is a practical meaning in that information security officers can support rational decision-making to strengthen the prevention and response to cyber attacks.

전자금융 서비스를 제공하는 금융 데이터센터의 정보보호 관리 요건 표준화에 대한 연구

오우택 건국대학교 정보통신대학원 2018 국내석사

정보기술의 발전은 부가가치 창출의 시작인 4차 산업혁명의 조류에 따라 빅데이터, 클라우드 컴퓨팅, 블록체인 등 금융 IT기술이 등장하였고, 전자금융 거래라는 비대면 거래를 통해 우리에게 편리한 금융 서비스를 제공할 수 있도록 우리의 삶에 많은 혜택을 제공하고 있다. 이와 같은 다양한 금융 서비스를 제공하기 위해 국내 제 1금융회사에서는 데이터센터(IDC)를 앞 다투어 구축하고 있다. 하지만 금융권의 보안사고는 단 한번의 보안 사고로 인해 이미지 추락과 동시에 엄청난 금전적 손실이 발생할 수 있으며, 사회혼란을 유발한 경우가 발생할 수 있다 보니, 금융정보를 제공하는 금융권 회사는 해커들의 타겟이 되었다. 이로 인해 금융권의 보안은 매우 중요해지고 있다. 따라서, 보안위협과 정보 유출 예방 및 대응하기 위해 금융권에서는 정보보호 최고 책임자(CISO) 지정과 정보보호 전담 조직 구성을 의무화하고, 정보보호 관리체계를 관리하는 것을 매우 중요로 하지만, 금융회사가 데이터센터를 구축함으로서 안전하고 보안성 갖고 전자금융 서비스를 제공하기 위해 이에 따르는 물리적, 관리적, 기술적 보안에 대한 부분을 세부적으로 고려하기 위해서는 파트별로 담당 조직을 구성하고 관련 컴플라이언스에 접근하지 않고는 보안 대책과 인식이 부족하고 미흡한 실정이다. 최근까지 진행된 연구들은 금융권 대상 정보보호 관리체계 고도화에 대한 연구들이 주를 이루어왔다. 그리고 정보보호 관리체계 인증제도에 대해 도출했지만 전자금융 서비스를 제공하는 금융회사의 특성을 고려하고 데이터센터 운영까지 겸비한 정보보호 관리에 대한 연구는 거의 없는 실정이다. 또한 데이터센터의 시설 보안에만 연구가 진행되었었다. 본 연구의 차별점은 첫째, 금융회사의 전자금융 서비스를 제공하면서 발생할 수 있는 관리적, 물리적, 기술적 침해 위협을 예방하기 위해 금융보안원에서 개발한 금융권에 적합한 금융 정보보호관리체계(F-ISMS) 점검항목을 이용하여 보안 개선 방안을 대해 제안하고자 한다. 둘째, 금융 정보보호관리체계를 기반으로 본 연구에 적용할 정보보호 요건을 관리적, 물리적, 기술적, 사업 연속성 계획 4단계 부문으로 도출하고 효율성을 보장하기 위한 보안 점검항목을 도출하였다. 연구 목적은 전자금융 서비스를 제공하는 금융회사의 데이터센터 운영에 따른 정보보호 관리 효율성을 개선하여 표준화 방안에 대한 연구를 진행하고자 한다. 따라서 금융 정보보호관리체계(F-ISMS)의 통제항목과 데이터센터의 시설 보안 개선 항목, 전자금융 서비스를 제공하기 위한 관리적 물리적 기술적 보안 개선 항목을 검증하면서 금융 데이터센터 정보보호 관리 요건에 대한 표준을 제안하고자 한다. 이를 통해 금융회사의 데이터센터 운영에 대해 체계화 하여, 금융회사 정보보안 담당자들의 표준화에 대한 전략적인 대안을 제시하고자 한다. Advances in information technology include the introduction of financial IT technologies such as Big Data, Cloud Computing, and Block chains, depending on the fourth industrial revolution of creating value-added wealth. We are receiving a lot of benefits in our lives to provide convenient financing for us through Not face to face transactions. To provide various financial services, the nation`s financial company is building a data center (IDC). However, Financial security accidents lead to a one-time financial loss, causing a disastrous financial loss and causing social chaos to occur, causing financial companies to target hackers. Because of this, the security of the financial sector is becoming very important. Accordingly, in order to prevent and prevent the threat of security threats and information leaks, the organization mandates designation of Chief information security officer(CISO) designation and organization of information protection agencies, While managing the information protection system is crucial, it lacks security measures and lacks security measures and lacks access to security-related and technical security in order to provide detailed consideration of aspects of physical, secure, and electronic financial services as a result of establishing a data center in a secure, secure, and electronic banking institution. Recent studies have shown that studies have been conducted on the upgrading of information protection systems for financial institutions. And although it has been derived from information protection system certification system, there is little research on information protection management that combines the characteristics of financial institutions that provide electronic financial services, and combined data center operations. Furthermore, studies have been conducted only on facilities in the data center. The difference between this study is First, we intend to propose measures to improve the security of the financial institution using the financial information security system (F-ISMS) to prevent the recurrence of the financial services that could arise from the financial security services provided by the Financial Services Commission. Second, based on the financial information security management system requirements to be information security requirements for this study were derived to derive the security checklist to ensure that the information protection requirements are derived into four phases : managed, physical, technical, and business continuity planning. The purpose of the study is Based on the data center operation of the financial institution that provides electronic financial services, the company aims to improve standardization measures by improving the efficiency of the data center. Therefore, the control item of the financial information security management system (F-ISMS) and improving the administrative and technical security improvements to provide electronic financial services to the data center. Through this, we intend to structure the data center operations of financial institutions and propose strategic alternatives to Requirements of financial security personnel.