ServletFilter를 도입한 입력데이터 개선 방안 연구

곽우신 건국대학교 정보통신대학원 2016 국내석사

최근 IT분야는 웹 어플리케이션, 하이브리드 앱 등 다양한 디바이스에서 웹과 연동하여 사용자에게 서비스되는 웹 어플리케이션 개발이 폭발적으로 증가 하고 있다. 일반적인 웹 어플리케이션 환경은 사용자의 데이터를 웹서버에서 연동하고 있는 데이터베이스에 저장하여 사용하고 있는데, 서버에 저장된 데이터들은 HTML Form Control,이나 프록시 툴 등을 사용하여 입력 데이터 조작 공격을 통하여 쉽게 탈취 가능하다. 이러한 웹 환경에서의 침해사고를 방지하기 위해 OWASP에서는 취약점 Top10을 발표하고 있으며, 국내에서는 소프트웨어 개발보안가이드를 행정자치부에서 제작하여 배포하고 코딩에 도입하도록 유도 하고 있다. 하지만 현실은 촉박한 개발기간, 개발자들의 개발보안의 이해부족 등으로 시큐어 코딩이 적용되지 않은 웹 어플리케이션들이 많이 개발되어 서비스 되고 있고, 그러한 웹 어플리케이션은 침해사고 중 입력 데이터 조작 공격에 무방비로 노출 되어있는 실정이다. 본 연구에서는 입력 데이터 조작에 대한 취약점을 자바 시큐어코딩 가이드에서 제시하는 코딩방식으로 코딩을 했을 때 발생하는 문제에 대한 연구를 진행하였다. 입력 데이터 조작에 대하여 자바 시큐어코딩 가이드에서 제시하는 코드로 입력 데이터 검증 코드를 작성하게 되면 입력 데이터 검증이 필요한 Servlet이나 JSP파일마다 동일한 코드로 반복 코딩해야하는 코드 중복성에 대한 문제가 발생하게 된다. 또한 현재보다 개선된 보안 코드가 제시되어 코드 변경이 필요하다면 작성된 여러 파일에 대하여 반복적으로 수정 작업을 진행해야 한다. 이에 본 연구는 시큐어코딩에서 제시하는 입력 데이터 검증에 대해 발생할 수 있는 다양한 문제점을 도출하고, 개선방안으로 필터링 기법을 도입하는 방안을 제시하였다. 필터링 기법을 도입하여 입력 데이터 검증 및 표현에 대한 보안 코드를 코딩하게 되면 웹의 파라메터 요청 방식인 enctype="application/x-www-form-urlencoded“에 대한 모든 요청 URL에 대하여 입력 데이터 검증에 대한 시큐어코딩을 하나의 소스코드에서 집중 처리할 수 있으므로, 시큐어코딩에서 제시한 것과 같은 동일한 보안 성능을 가지면서, 시큐어코딩의 중복성 문제에 대해 대폭 개선하게 된다. 또한 필터링 기법을 도입하게 되면 JSP 또는 JSP와 Java Beans를 사용한 개발 패턴인 Model1방식, Servlet과 JSP를 혼합 사용하여 개발한 Model2방식, Framework를 도입한 개발방식에도 모두 손쉽게 적용할 수 있다. 즉, 프로그램의 개발 언어가 자바언어이면서 웹으로 서비스 하는 웹 어플리케이션이라면 기존의 업무 로직에 대한 코드를 전혀 수정하지 않고 입력 데이터 검증 코드에 대한 보안 코드를 한 곳에서 집중하여 통합 관리 할 수 있게 된다. IT industry, in recent days, sees development of web linked applications serviced to users, like web applications and hybrid apps, explosively increasing on variety of devices. In traditional web application environment, apps usually put users’ data into the database that it uses. However, data that is stored in the database is prone to attack through manipulation of input value using Form Control or Proxy tools. In order to prevent this kind of illegal infiltration in our web environment, OWASP announced “Weakness Top 10” and the Ministry of Interior made and distributed “Security Guideline for Software Development” in order to encourage developers to adopt it to their programming. However, the reality is that lack of development time and lack of understanding in secure programming lead to development of web applications that lack secure coding procedures and therefore they are wide open to input data manipulation attack from hackers. This research focuses on the problems that can arise when handling the input data manipulation problems with the method that is proposed by “Security Guideline for Software Development”: That is, if we follow its guideline in securing coding, we have to repeat the same codes on every single Servlet and JSP that needs input data verification which results in code redundancy. So, if there is a better securing coding method that needs to be applied, the same codes need to be applied on all of the related source codes. This research reveals how programming using coding method proposed by “Security Guideline for Software Development” leads to variety of complications and as an alternative, proposes the filtering method as a possible solution. If we use the filtering method to verify input data and for secure coding, we can make a single source code handles all of the input data verification process for every URL request for enctype=”application/x-www-form-urlencoded” which is one of the request parameter types on web. This will put it on the same security level as it is proposed by “Security Guideline for Software Development” as well as solving most of the secure coding redundancy problems. Also, if we introduce the filtering method to securing coding, it can be easily applied in Model1 architecture using JSP, JSP & Java Beans, Model2 architecture with Servlet and JSP, or developing method using Framework. That is, if it is a web application based on Java, we can make a single source that handles all of the secure coding for input data verification.

개인정보영향평가의 문제점과 개선방안 : 평가체계와 제도운영에 대해 ITSM 3P관점으로

최영희 건국대학교 정보통신대학원 2016 국내석사

정보시스템에 수집·이용되는 개인정보에 대한 개인정보영향평가가 법적 근거에 의해 시행된 지 2016년으로 6년차가 된다. 이에 개인정보영향평가 제도의 도입부터 진행경과를 추적하고, 현재의 수준에서 도약하기 위한 개선안에 대해 제안하고자 한다. 개인정보보호 업무는 IT서비스의 일환이며 이에 개인정보 영향평가 제도를 ITSM(Information Technology Service Management)의 3대 구성요소를 기준으로 운영상의 문제점을 분석하였다. 다양한 개인정보 처리시스템에 대한 평가자로써의 역할을 수행하면서 product에 해당하는 평가 보고서의 품질 향상 방안에 대해 주된 고민을 하였고, 평가 수행 시 적용한 보고서의 형식적 타당성을 갖추기 위한 개선안을 평가 단계별 산출물 4종을 기준으로 제시하였다. 다음으로 people에 해당하는 평가 수행자에게 요구되는 능력에 대해서는 융합학문적 관점에서 GRC(Governance, Risk, Compliance)로 인식하여 개선안을 제시하였고, process인 제도 운영에 관한 개선안도 부가하였다. 2011년 개인정보보호법 제정 시 명시한, 개인정보영향평가 완료 기한인 2016년 이후에도 실효성 있는 평가제도로 정착하기 위해서는 평가자·평가기관과 주관기관이 협력하여 평가제도를 완성해가야 할 것이다. It’s been almost 6 years since PIA has implemented based on legislation. So I analyzed problems of PIA from the perspective of ITSM 3 elements. I mainly took account of quality improvement of the report when I assessed systems processing personal informations. So, I propose in terms of formal validity improvements of assessment report. The report consists of 4 different outputs for each phase that I attempted on many cases of system processing personal informations as an assessor. And I propose improvements on qualified assessors having capability of GRC and on process for managing the assessment system. To settle down PIA system as the reasonable and effective assessment system even after 2016, that is the statutory deadline for completion of PIA, assessors and appointed firm and authorities should cooperate to complete the assessment system.

주요 정보통신 기반시설 기술적 분야 취약점 점검 개선방안 연구

김상현 건국대학교 정보통신대학원 2016 국내석사

IT가 발전하면서 다양한 산업과 업무에 시스템 자동화, 언제 어디서든 연결이 가능한 인터넷과 같은 편리함으로 우리 생활 및 산업에 적용되어 있다. 하지만 IT가 발전할수록 사이버 침해 사고 또한 지속적으로 발생하여 기관(회사)의 주요정보 유출, 시스템 파괴, 서비스 장애 등과 같은 피해가 속출하고 있다. 이에 정보통신 기반시설을 대상으로 행정자치부와 KISA에서 정한 주요 정보통신 기반시설 기술적 취약점 분석·평가 방법 상세 가이드를 따라서 취약점 점검을 매년 실시하고 있다. 매년 취약점 점검을 실시하고 취약점에 대한 조치를 취해도 지속적으로 사이버 침해 사고가 발생하고 있다. 현 주요 정보통신 기반시설 기술적 분야 취약점 점검 항목은 기관(회사)의 보안을 위해 기본적으로 모두 조치되어야 하는 부분이다. 그러나 현 취약점 점검 항목은 시스템 또는 장비의 설정 값 또는 서비스, 포트의 관리 실태와 같은 점검 항목이 주를 이루어 해킹 메일이나 특정 OS 취약점, 프로그램의 취약점, 피싱·파밍과 같은 사회공학 기법 등에 대해 기관(회사)의 대응이나 대응 상태를 파악하기에는 현 주요 정보통신 기반시설 기술적 분야 취약점 점검 항목으로는 부족하다. 본 연구에서는 주요 사이버 침해사고 사례 및 공격 유형의 동향을 조사하고 설문을 통하여 현 주요 정보통신 기반시설 기술적 분야 취약점 점검의 만족도 및 사이버 공격 유형 별 점검 항목을 추가한 취약점 점검 개선방안의 만족도를 조사하였으며 매년 실시하는 주요 정보통신 기반시설 기술적 취약점 점검 항목에 다양해지고 있는 사이버 공격 유형별로 점검 항목을 추가하여 사이버 침해 대응에 대한 기관(회사)내의 전반적인 보안 수준 파악 및 향상에 도움이 될 수 있도록 취약점 점검 개선방안을 제시하였다. As IT evolves, convenience such as system automation in various industries and business tasks and Internet that can be provided anywhere in the world is applied to our lives and industries. However, such a development of IT causes continuous cyber breach which is responsible for organization(corporation)’s critical information leakage, system destruction and service malfunction. In order to prevent this incident, government conducts vulnerability assessment for Info-Communications infrastructure every year using “The major Info-Communications Infrastructure Technical Field Vulnerability Assessment” guideline made by MSPA(Ministry of Security and Public Administration) and KISA(Korea Internet & Security Agency). Even though vulnerability assessment is performed every year and follow-up measures are taken place, cyber breach occurs continuously. The current vulnerability assessment items must be examined throughly and follow-up measures are imperative as a matter of security issue for any organization(corporation). However, the current vulnerability assessment items are mainly composed of checking system(device)’s predetermined values or managing actual condition of services or ports, which is insufficient for organization(corporation) to correspond against hacking through mail, certain OS vulnerability, program vulnerability and phishing or pharming. This research looks into major cyber breach examples and corresponding attack types. Using survey, satisfactions of current major info-communication technical field vulnerability assessment and vulnerability assessment improvements by adding evaluation items related to cyber attack types were investigated. This research also provides vulnerability assessment improvements, which organization(corporation) can use it to defend against various cyber threats and eventually lead to advancement of overall security level.

기업의 개인정보보호 수준 자가평가 방안 연구

양준모 건국대학교 정보통신대학원 2012 국내석사

기업에서 수집, 이용되고 있는 개인정보는 마케팅, 서비스 등에 활용되는 등 영리 추구와 직결되며, 공공기관은 대국민 서비스를 위해 필수적인 정보로 활용하고 있다. 행정이나 공익을 위해 사용되는 공공분야와 달리, 민간에서는 개인정보가 무분별하게 유통되어 제3자에게 불법 유통 되는 침해사고가 발생되고 있다. 최근 옥션 사태나 SK컴즈 등의 개인정보 유출 사례 등을 통해서도 알 수 있듯이 기업이 개인정보를 안전하게 관리하지 못할 경우 고객의 신뢰 저하로 인한 기업이미지 훼손 및 막대한 금전적 손실이 발생한다. 이에 따라 개인정보보호에 대한 인식이 범 국가 사회적으로 자명한 가운데 정부에서는 금년 9월 기존의 법을 통합하여 개인정보보호법을 제정하는데 이르렀다. 금년을 기점으로 기업들은 개인정보보호를 위해 향후 많은 관리를 해야만 한다. 개인정보보호법의 적용 대상은 기존 관련법의 51만개에서 350만개사업장으로 확대되었다. 즉, 개인정보보호법이 시행되면 사실상 대부분의 기업들이 개인정보보호법에서 자유로울 수 없다는 뜻이다. 이에 본 논문에서는 새롭게 제정된 개인정보보호법에 의거하여 기업에 검증된 개인정보보호 관리모형과 진단도구, 자가평가 방안 도출을 통해 안전한 개인정보 관리방안을 제시하여 개인정보보호법 미 준수를 통해 일어날 수 있는 피해를 미연에 방지하고자 한다. 법에서 새롭게 적용되는 민간분야의 법 적용 확대는 기업의 개인정보보호 자가평가방안 제시를 통해 개인정보보호 관리에 보다 큰 효용성이 있을 것이며 향후에는 여러 업종의 다양한 분야에 대한 개별적이고 상세한 관리모형 및 진단도구 개발이 필요할 것이다. 더 나아가서는 다양한 개인정보를 계층별로 보호하고 목적 별로 차별화된 진단도구에 대한 연구가 필요할 것이다. Privacy collected and used in enterprise is directly connected with marketing and service area, Public organizations also use it as essential information for their citizens. While it is used for the public good or administration in public area, it is used or even traded to other people illegally and thoughtlessly. This invades people’s privacy as the Auction or SK coms case showed recently, it is possible if a enterprise can’t manage its customers privacy properly, the enterprise would be damaged not only their image but also face the huge amount of financial losses because customers don’t trust the company anymore. As people recognize the importance of their privacy, the Korean administration has established the law which respects privacy safeguards by combining the former law to protect the privacy more efficiently. Since this year, enterprise should try hard to control and protect their customers' privacy. This law has extended the objects applied to this law from 51,000 to 3,500,000 objects. That is, once this law has given effects, every enterprise is not free from this law. In this thesis, with the proved privacy, managing simulation, diagnosis tools, and self-assessment method, Enterprise try protect the losses caused by careless law observance in advance. Expansion of the application of this law would have more efficiency for handling privacy by presenting its self-assessment. In the future, developing for use of individual and detailed field of commerce would be needed. Furthermore the study about the diagnostic tools which is distinctive for various objects and to protect the privacy with all sections and classes is needed

개인정보 안전성 확보를 위한 보안관리 강화 방안에 대한 연구

김용호 건국대학교 정보통신대학원 2018 국내석사

부가통신업자(VAN) 대신 가맹점 계약의 체결을 중개ㆍ대리하고 단말기를 설치하는 가맹점모집인인 밴(VAN)대리점은 개인사업자로 사업자 등록을 하지 않고 수행하는 업체 수가 상당히 많으며, 점검ㆍ관리ㆍ감독의 부재로 인해 정보관리의 사각지대로 지적되어 왔다. 2014년 금융감독원 개인정보 유출 재발방지 종합대책에 의하면 부가통신업자(VAN)의 의무 중 하나로 밴(VAN)대리점 관리가 명시되어 있다. 하지만 실제로 관리ㆍ감독이 되고 있지 않으며, 부가통신업자(VAN)가 밴(VAN)대리점과 전속 계약이 아니기 때문에 관리ㆍ감독할 조사권이나 감독권 등 법적 권한이 없으므로 통제에 대한 한계가 있다. 그리고 인력, 예산 등이 제한되어 현실적으로 수행하기 어려운 점도 존재한다. 여러 가지 이유로 방치되어 있는 밴(VAN)대리점에서 개인정보가 유출 되어 보안사고로 이어진다면 금융사고, 스팸메일, 스팸전화, 스팸문자, 웹사이트 계정 탈취, 주민등록번호 유출로 인한 명의 도용, 사생활 침해 등 다양한 피해를 입을 수 있게 된다. 이러한 피해를 방지하고자 밴(VAN)대리점의 개인정보 보안관리 강화 방안을 연구하였다. 본 논문에서 제시한 밴(VAN)대리점 개인정보 보안관리 강화 방안을 통하여 밴(VAN)대리점의 보안성이 향상되기를 기대해 본다. The VAN agent, an agent of a franchisee who brokers or represents a contract for the signing of a merchant contract instead of an VAN, has a considerable number of companies performing business without registering as a business operator, has been pointed out as a blind spot in information management. According to the Comprehensive Measures to Prevent Recurrence of Personal Information Leak in Fiscal Year 2014, the management of VAN agents is specified as one of the responsibilities of the VAN. However, since it is not actually managed and supervised, and because the VAN is not a contract with a VAN agent, it has limitations in control because it does not have legal authority such as inspection right or supervision right to manage and supervise. In addition, there are limitations on manpower and budget, which make it difficult to carry out in real life. If personal information is leaked from a VAN agent that has been neglected for a variety of reasons, it can cause various damages such as Financial accidents, spam mail, spam phone, spam letter, website account hijacking, identity theft due to leakage of resident registration number, . To prevent such damage, we have studied how to strengthen personal information security management of VAN agents. We expect that the security of VAN agent will be improved through strengthening personal information security management of the VAN agency presented in this paper.

정보보호 역량 성숙도 모델 활용에 대한 연구 : 공공기관의 보안 관리수준 통합 평가

오유리 건국대학교 2019 국내석사

본 연구는 공공기관의 정보보호 및 개인정보보호를 위한 단일화 된 보안관리 모델을 제시하고, 정보보안 역량 성숙도 모델에 적용하여 공공기관의 정보보호 및 개인정보보호 통합 보안 관리 모델을 제시함을 목적으로 한다. 공공기관이 대응해야하는 각종 평가항목을 비교분석하고 공공기관의 정보보안 관련 규정을 비교분석하여 유사점을 도출, 해당 내용을 진단 항목으로 도출하였다. 또한 공공기관 정보보호 및 개인정보보호 업무 담당자와 업무 경험자를 대상으로 현재 공공기관의 정보보호 및 개인정보보호 관련 단일화 된 모델의 필요성과 도출된 해당 평가항목의 적절성을 판단하고, 적절성이 검토된 항목에 대하여 선행연구의 정보보호 역량 성숙도 모델을 바탕으로 단계적 보안 수준을 진단하는 방법론을 상속받아, 해당 항목에 적용하였다. 따라서 공공기관 정보보호 및 개인정보보호 업무 담당자가 해당 기관의 수준을 제시한 모델을 통해 진단하고, 수준이 낮은 분야부터 선택적으로 조치해 나갈 수 있는 기준을 제시하였다. 본 연구에서 기존의 정보보안관리실태 평가 분야에 맞추어 평가 항목을 구성함에 따라, 공공기관의 보안에 관한 모든 분야를 아우르는 것에는 부족함이 있었다. 공공기관이 추가적으로 준수해야 하는 사항에 대한 항목을 도출하여, 해당 항목 추가하여 공공기관이 준수해야 하는 사항을 모두 아우르는 단계적 보안관리 모델에 대한 연구도 필요할 것으로 보인다. The purpose of this study is to present a single security management model for information protection and personal information protection of public institutions, and to present an integrated security management model for information protection and privacy protection by applying it to the information security capability maturity model. Comparing and analyzing various evaluation items that public institutions should respond to, and comparing the regulations related to information security of public institutions, drew similarities and derived them as diagnostic items. In addition, the methodologies for assessing the need for a single model related to information protection and privacy of public institutions and the appropriateness of such assessment items derived from a single model related to information protection and privacy of public institutions were inherited and applied to such items, and the methodologies for diagnosing a step-by-step security level based on the information protection capability maturity model of prior research were reviewed. Therefore, the criteria were put forward for the public organization's information protection and privacy affairs staff to diagnose the institution's level through the model presented, and to take selective action in areas where the level was low level. As the assessment items were structured in line with the existing information security management practice assessment areas in this study, it was insufficient to cover all areas of security in public institutions. A step-by-step security management model will also be needed to derive items on what public agencies should further comply with, and to add those items to include all that public institutions must comply with

이동통신에서 온도보상 알고리즘을 적용한 송신 선형 기술 개선

김수경 건국대학교 정보통신대학원 2009 국내석사

본 논문에서는 CDMA 이동통신을 기반으로 하여 CDMA 주파수 할당 과 CDMA Power Control의 개념을 설명 하였다. 추가로 퀄컴 Recommend 알고리즘 개념을 설명 하였다. 또한 퀄컴 솔루션을 사용하는 각각의 회사들은 그 회사에 적합하도록 최적화 시켜야 한다. 논문에서는 단말기 개발을 하면서 고온 구간에서 Channel 핸드오프 하는 동안 송신 Power가 linear 하게 바로 보상이 되지 않는 문제점을 알게 되었다. 그러한 문제를 해결 하기 위해서 현재 퀄컴 알고리즘의 HDET(High Power Detector) 알고리즘을 분석 하였고 새로운 온도보상 알고리즘을 적용 하여 기존 CDMA 단말기에 있던 문제를 해결 하였다. In this thesis, we talked about characteristics of CDMA Power Control and the assigned CDMA Frequency based on CDMA mobile communication system. In addition, we’ve already checked the exciting Qualcomm recommend algorithm. Qualcomm algorithm is kinds of universal concept. That is, it is not detail algorithm but just concept. Therefore, each vendor using Qualcomm solution has to design in detail the phone so as to suitable its company system. When I was working about designing the phone, I realized the Tx Power compensation is not fast enough during the channel handoff in the high temperature period to satisfy with IS-98D in existing Mobile handset. To solve the problem, I deeply analyzed the process Output Power is controlled by HDET(High Power Detector) in the exciting Algorithm. In addition, I modified the exciting Algorithm and made a design New Algorithm.

무선 홈 네트워크 기기인증강화 연구

윤지원 건국대학교 정보통신대학원 2012 국내석사

스마트오피스 환경에서 보안대책 연구

정범구 건국대학교 정보통신대학원 2011 국내석사

본 논문에서는 스마트폰의 확산으로 인해 이슈가 되고 있는 스마트오피스 환경에서 발생 가능한 보안 위협 및 취약점에 대하여 분석하고, 대응방안을 연구하였다. 보안 위협 및 취약점은 구성 요소 및 서비스 사이클 관점에서 단말기 영역, 응용프로그램 및 플랫폼 영역, 서버 영역으로 구분하여 분석하였다. 스마트오피스 보안 위협 및 취약점에 대응한 보안대책 도출 및 그에 대한 기술적 보안대책으로 단말기 영역에서는 TDM(Trust Device Module)인 하드웨어 보안 칩의 사용을 통하여 단말기내의 안전한 데이터 저장과 단말기의 신뢰성을 검증하며 원격 관리가 가능하였다. 응용프로그램 및 플랫폼 영역에서는 통합적인 앱 검증시스템인 AVS(App Verification System)시스템을 통해 앱의 정보를 공유하여 안전한 앱의 사용을 제안하였으며 서버 영역에서는 미러서버를 사용한 서버 이중화를 제안함으로써 기업에게 보다 안전한 스마트오피스 서비스를 제공하여 기업 업무의 향상을 증진시켜 보고자 한다. 스마트오피스를 도입하는 기업이 꾸준히 증가하고 있듯이 스마트오피스를 대상으로 한 보안 위협이 증가될 것으로 예상되므로 앞으로도 스마트오피스에 대한 보안 위협 분석과 대응방안에 관한 연구를 지속적으로 수행하고자 한다.

정보보호관리체계(ISMS)를 이용한 네트워크 인프라 보안 개선 방안 연구

주승현 건국대학교 정보통신대학원 2018 국내석사

최근 4차 산업혁명으로 인해 의료, 교통, 생산, 금융 등 다양한 산업 분야에 ICT가 빠르게 확산되고 있다. 하지만 해킹 피해가 발생할 수 있는 범위도 더욱 넓어지고 있다. 이는 대규모 봇넷을 이용한 DDoS공격, APT공격의 다각화, 랜섬웨어와 같이 네트워크 공격 유형의 고도화로 나타나고 있다. 그에 따라 국내외 기업들이 침해사고로 부터 소중한 정보자산을 보호하기 위해 많은 비용과 시간을 투자하고 있다. 본 연구는 네트워크 인프라 보안을 위한 정보보호관리체계(ISMS)를 이용하여 네트워크 인프라 보안 개선에 대한 연구를 수행하였다. 따라서 정보보호관리체계(ISMS)의 절차와 통제 그리고 네트워크 인프라 보안 개선 항목을 검증하면서, 네트워크 인프라 보안 개선 방안을 제안하였다. 본 논문을 검증하기 위한 설문조사는 기업의 네트워크 인프라 보안을 담당하는 부서에서 근무하고 있는 임직원들을 대상으로 설문조사를 실시하였다. 설문조사를 기반으로 네트워크 인프라 보안 개선 영역에 도출된 8개 통제항목의 세부 점검 항목 적합성을 도출하였다. 네트워크 인프라 보안 시 세부 점검 항목에 대한 적합성 검증은 정보보호 조직, 외부자 보안, 정보자산분류, 물리적 보안, 암호통제, 접근통제, 운영 보안, 침해사고 관리에 중심을 두고 연구를 진행하였다.