통합보안관리시스템을 위한 보안정책 일반화에 관한 연구

최현희,정태명,Choi, Hyun-H.,Chung, Tai-M. 한국정보처리학회 2002 정보처리학회논문지 C : 정보통신,정보보안 Vol.9 No.6

이기종 보안 제품들을 통합관리하기 위한 통합보안관리시스템은 보안관리를 위한 불필요한 보안정책의 중복을 피하고 보안 제품들을 효율적으로 상호운용하기 위해 제안된 보안관리 구조이다. 본 논문에서는 보안 제품들에 대한 다양한 보안정책 관리 구조들을 통합된 형태로 보안적으로 무결한 보안정책을 설정할 수 있는 보안정책 일반화 관리 구조를 제안한다. 보안정책 일반화의 목적은 네트워크 상에서 존재하는 모든 보안 시스템들에 대한 보안관리의 효율성, 편의성 보장과 보안성 향상에 있으며, 이질적인 보안 정책제어 구조를 수용할 수 있도록 하는 것이다. 보안정책 일반화 과정은 관리자의 보안목표와 보안요구사항 설정, 각 보안제품과 보안 에이전트들에 의해 수집된 정보들에 대한 분석을 통하여 보안상태를 확인하며, 위험요소에 대한 보안정책 적용 방법들을 보안목표와 보안요구사항, 보안정책목록 정보를 기준으로 적절성을 판별하는 일련의 과정으로 정의할 수 있다. 보안정책 설정과정의 일반화는 이기종 보안정책에 대한 통합관리가 가능하게 하며, 보안 정책간의 충돌 및 중복 설정과 같은 일관성 문제를 해결함으로써 보안정책의 무결성을 보장하고, 네트워크 상에서 존재하는 보안제품의 제어에 편의성을 제공한다. Enterprise security management system proposed to properly manage heterogeneous security products is the security management infrastructure designed to avoid needless duplications of management tasks and inter-operate those security products effectively. In this paper, we propose the model of generalized security policies. It is designed to help security management build invulnerable security policies that can unify various existing management infrastructures of security policies. Its goal is not only to improve security strength and increase the management efficiency and convenience but also to make it possible to include different security management infrastructures while building security policies. In the generalization process of security policies. we first diagnose the security status of monitored networks by analyzing security goals, requirements, and security-related information that security agents collect. Next, we decide the security mechanisms and objects for security policies, and then evaluate the properness of them on the basis of security goals, requirements and a policy list. With the generalization process, it is possible to integrate heterogeneous security policies and guarantee the integrity of them by avoiding conflicts or duplications among security policies. And further, it provides convenience to manage many security products existing in large networks.

기업보안교육의 국내외 연구 동향과 개선방안 : 주제 범위 문헌 고찰을 중심으로

김재연,박재현,오주연,명승환,서우종 한국경호경비학회 2021 시큐리티연구 Vol.- No.67

기업의 보안사고가 발생할 때마다 그 주요 원인으로 종종 직원들의 보안 인식 수준이 지적됐으며, 이러한 보안 인식의 향상을 위해서는 보안교육의 중요성이 꾸준히 강조되었 다. 이러한 상황에서, 본 연구는 향후 보안교육 연구의 방향성과 기업 내 보안교육의 방향 성을 제시하기 위해, 주제 범위 문헌 고찰 연구방법론의 연구 절차에 따라 보안교육 관련 논문들을 분석하였다. 이를 위해, 우선 RISS, DBpia, Web of Science, Scopus을 대상으로 2001년부터 2020년까지 20년간의 국내외 보안교육 관련 논문을 검색하였고, 제시된 4,636 편을 대상으로 연구간 중복성 그리고 본 연구의 목적과 범위에 대한 적합성을 기준 으로 검토하였다. 그 결과 최종적으로 KCI와 SSCI에 등재된 17편의 논문을 선정하였 다. 선정된 논문을 연구방법, 통계 방법, 보안교육대상, 연구대상 조직, 보안교육 내 용, 보안교육 측정 도구, 보안교육 성과로 분류 기준을 나누어 연구를 분석하였다. 본 연구에서는 분석결과를 바탕으로 하여 보안 관련 논문의 연구동향 분석을 토대 로 보안교육의 향후 연구 방향을 제시하고, 보안교육 성과를 높이기 위한 실무적인 관점에서의 교육 훈련방안을 제시하였다. The level of security awareness among employees has often been pointed out as the main cause of each corporate security incidents, and the importance of security education has been steadily emphasized to improve security awareness. For this study, we searched the domestic and international security education researches from 2001 to 2020 based on RISS, DBpia, Web of Science, and Scopus. And we reviewed 4,636 interdisciplinary studies based on their appropriateness to the purpose and scope of this study. As a result, we finally selected 17 papers listed in the KCI and SSCI. We analyzed the study by dividing the classification criteria into research methods, statistical methods, security education targets, research organization, security education contents, security education measurement tools, and security education performance. Based on the analysis of the research trends of security education, this study presented future research directions for security education and proposed practical education and training plans to enhance security education performance.

보안관리체계 분석을 통한 산업중심 보안수준평가 모형 설계 방향 연구

배제민,김상근,장항배 한국전자거래학회 2015 한국전자거래학회지 Vol.20 No.4

Recently, the necessity of systematic security management system that consider company’ character and environment has appeared because of increasing security accident continuously in domestic companies. However, most of companies has applied to only K-ISMS which is existing information security management system, although They are different from object, purpose and way of security level evaluation by companies. According to this situation, Many experts have questioned that there are many problems with effectiveness of introducing security management system. In this study, We established definition of information security management system, industrial security management system and research security management system through analysis of previous study and developed evaluation item which can implement security in whole industry comparing and analyzing the control items of them. Also, we analyzed existing security level evaluation and suggest design direction of industry-centric security level evaluation model considering character of industry 최근 국내 기업에서 보안사고가 지속적으로 증가함에 따라 기업의 특성과 환경을 고려한체계적인 보안관리체계의 필요성이 대두되고 있다. 그러나 기업별 보안수준 측정의 대상, 목적, 방법 등이 다름에도 불구하고 현재 다수의 기업이 기존의 정보보호 관리체계인 K-ISMS를단편 일률적으로 적용하고 있는 것이 실정이며, 이에 따른 보안관리체계 도입에 대한 실효성에대해서도 많은 문제가 제기되어지고 있다. 본 논문에서 선행연구 분석을 통해 정보보호, 산업보안, 연구보안에 대한 개념을 정립하고, 정보보호 관리체계, 산업보안관리체계, 연구보안관리체계의 통제항목을 비교․분석하여 산업 전반의 보안을 수행할 수 있는 보안수준 평가항목개발하였다. 또한 세부적으로 기 존재하는 보안수준평가 모형을 분석하여, 산업의 특성을 고려한산업 중심의 보안수준평가 모형 설계 방향성을 제시하였다.

독일의 최근 동향을 통해 바라본 우리 보안처분제도의 재조명

김혜정 ( Hye Jeong Kim ) 법조협회 2008 法曹 Vol.57 No.10

최근 우리사회에서 급증하는 심각한 성폭력범죄, 특히 아동을 대상으로 발생하는 흉포한 성폭력범죄상황은 특별법의 제·개정을 통해 형벌을 모두 집행 받고 출소한 범죄자의 경우에도 재범위험성이 높다고 판단되면 위치추적 전자장치를 부착한다거나 신상정보를 공개하는 추가제재를 요구하고 있다. 이러한 제재는 책임에 근거한 형벌이 아니라 재범위험성에 근거한 보안처분의 일종으로 보아야 할 것인데, 그렇다면 정책적으로 새로운 보안처분적 추가제재가 필요할 때마다 특별법을 통해 도입하는 것이 적절한 것인지 의문이다. 오히려 우리 형사법체계에 들어 있는 보안처분을 재정비하여 보안처분의 기본법을 마련하는 것이 정책적으로 더 바람직한 것이 아닌가 생각된다. 사실 우리 보안처분제도의 모델이 되고 있는 독일의 보안처분도 최근 정책적인 관점에서 많은 변화의 움직임을 보여주고 있다. 즉 이번 보안처분의 개정은 과거와 달리 금단시설수용에 앞서 일부 형집행이 가능하도록 보안처분집행의 유연성을 확보했다거나, 자유제한적 보안처분인 행장감독을 강화하여 출소한 후 1년 정도까지의 대상자에 대한 효과적인 통제를 통해 재범을 예방하고자 하고 있다. 이러한 변화는 강경처벌의 모습을 가지고 있으면서도, 궁극적으로 보안처분대상자의 성공적인 치료효과를 통해 재범을 방지함으로써 사회보호를 꾀하고자 하는데 그 목적이 있다고 평가된다. 우리도 보안처분의 목적이 사회보호에 있다고 하더라도 그를 위한 수단은 치료를 통한 재범방지에 있다는 정책적인 관점에서 보안처분의 개별유형에 따라 어떤 유형은 안전에 보다 초점을 맞추고, 또 어떤 유형은 치료적 목적에 초점을 맞추는 다양화된 제도 마련을 위하여 보안처분제도를 원론적인 관점에서 보다 체계적으로 검토하고 정비하는 작업이 필요하지 않은가 생각해본다.

기업보안수준 평가지표 개발: 물리적 보안을 중심으로

강만성 ( Kang Man-sung ),김진환 ( Kim Jin-hwan ) 한국융합과학회(구 한국시큐리티융합경영학회) 2020 한국융합과학회지 Vol.9 No.1

연구목적: 기업의 환경과 경영 목적에 적절한 보안수준의 설정과 운영방향의 합리적 수립에 도움을 줄 수 있도록 물리적 보안활동의 수행여부를 객관적으로 점검하여 객관적으로 물리적 보안수준을 평가할 수 있는 평가지표를 개발 하는것에 연구의 목적이 있다. 연구방법: 기업보안수준 평가지표 개발을 위하여 선행연구 및 문헌자료 분석을 통해 물리적 보안의 예비 평가항목의 상위개념 평가구조와 개별 평가항목을 선별하였고 전문가 40명을 대상으로 한 3차례의 델파이 조사를 통해 구조화된 설문 구성 및 범주화된 평가항목을 구축하였다. 델파이 조사를 통해 도출된 평가항목을 32명의 전문가에게 AHP조사를 실시하였고 이를 통해 평가항목의 중요도 및 우선순위 검증과 평가항목 별 가중치를 부여하여 수치화 할 수 있는 평가지표를 개발하였다. 결론: 본 연구를 실시한 결과, 델파이 조사를 통하여 4개의 물리적 보안의 중분류인 보안구역 보호(5개 소분류), 물리적 보안장비 운영·관리(4개 소분류), 자산보호 관리(3개 소분류), 보안운영 관리(4개 소분류)로 총 49개 평가항목이 도출되었다. 도출된 49개 평가항목에 대해 AHP기법을 통해 각 항목별 중요도를 도출하고 복합 가중치를 적용하여 총 합이 100점이 되도록 항목별 점수를 부여하여 기업보안수준 평가지표를 개발하였다. Pupose: To develop an objective index for enterprises in the establishment, management, and evaluation of the enterprise-wise security based on the business environment and purposes, by objectively inspecting security activities. Methods: The overall evaluation structure and category have been selected following the pre-analysis and studies of the reference materials. Detailed evaluation category and survey questions were established after conducting three Delphi experiments with 40 in-field professionals, which were then inspected by additional 32 in-field professionals following AHP guideline. This resulted in the evaluation index that can quantify the results by weighting the categories based on the importance and priority. Conclusion: From this study, through Delphi research, 4 main categories and 49 sub categories of physical security have been established; protection of the security zone (5 sub categories), Management of physical security equipment (4 sub categories), asset protection management (3 subcategories), Security operation management (4 sub categories). These 49 sub categories have been weighted based on the importance following the AHP guideline, to sum up to 100 points in total for enterprise level security evaluation.

기업보안활동이 보안준수의도에 미치는 영향: 조직몰입과 자기효능감 매개효과

이민형,황지원,나태현,오주연 한국산업보안연구학회 2021 한국산업보안연구 Vol.11 No.1

본 연구의 목적은 중소기업의 보안활동(물리적·기술적·관리적 보안)이 보안준수의도에 미치는 영향과 두 변수 간의 관계에서 조직몰입 및 자기효능감의 매개효과를 검증하는 것이다. 연구목적을 달성하기 위하여 중소기업에 근무하는 근로자를 대상으로 설문을 하였으며, 총 270명의 응답자 중 불성실한 응답 내용을 제외하고 263명의 데이터를 분석에 사용하였다. 본 연구의 결론은 다음과 같다. 첫째, 기업보안활동(기술적 보안)은 보안준수의도에 영향을 미치는 것으로 나타났다. 둘째, 조직몰입 및 자기효능감은 기술적 보안과 보안준수의도와의 관계에서 부분 매개효과를 보여주었다. 본 연구결과는 기업 내 조직구성원들의 보안준수의도를 높이기 위한 정책 수립의 기초자료가 될 것으로 기대한다. This study aims to identify the effect of the small and medium-sized corporate security activities (physical, technical, and administrative security activities) on the security compliance and the mediating effects of organizational commitment and self-efficacy between corporate security activities and security compliance intention. For the purpose of the study, a questionnaire was conducted for workers working at small and medium-sized companies, and 263 out of 270 respondents were used for analysis, excluding data from unfaithful respondents. The results of this study are as follows. First, it was found thatcorporate security activities (technical security) is related to the security compliance intention. Second, organizational commitment and self-efficacy were found to play a mediating role in the relationship between technical security and security compliance intention(partial mediating effect). This findings are expected to serve as basic data for policy establishment to increase the security compliance intentions of employees in the small and medium-sized companies.

금융권의 제로 트러스트 보안모델 적용방안에 관한 연구

배재권 글로벌경영학회 2023 글로벌경영학회지 Vol.20 No.5

코로나바이러스 감염증(COVID-19)로 인한 클라우드 컴퓨팅(cloud computing) 기술의 적용확대와 재택근무 및 원격근무의 증가, 이로 인해 변화된 하이브리드 업무환경이 새로운 보안문제를 가져오게 되었다. 전통적인 경계보안모델(Perimeter Security Model)은 네트워크 경계를 명확히 구분하기 어려워 다양한 장치와 환경을 관리하고 보호하는데 한계점을 지닌다. 이를 극복하기 위한 대체 보안전략으로 제안된 제로 트러스트(Zero Trust) 모델은 기업 인프라와 워크플로우를 구성하는 연결 구성요소인 활용자산과 행위주체에 대한 신뢰를 갖지 않는다는 것을 전제로 한다. 금융권은 보안 강화의 수단으로 제로 트러스트 보안모델을 적극적으로 도입하려는 움직임을 보이고 있다. 고도화된 사이버보안위협의 대응 및 보안정책의 강화, 금융권 제로 트러스트 보안모델의 적용가능성 및 필요성에 대한 요구가 확대된 것이다. 본 연구는 금융 거버넌스 및 제로 트러스트 원칙, 성숙도 모델의 요소, 그리고 전문가 인터뷰의 내용 결과를 바탕으로 금융계에 접목할 제로 트러스트 보안모델의 구성요소를 제안하였다. 금융권 제로 트러스트 보안모델은 경계보안계층, 권한정의계층, 행위탐지계층, 내부통제계층의 4계층과 8개의 세부단계로 구성된다. 본 금융권 제로 트러스트 보안모델은 금융권에서 제로 트러스트 도입 시 고려해야 할 핵심요소와 구축단계에 대한 가이드라인을 제시할 것으로 기대한다. The changed hybrid work environment such as the expansion of cloud computing technology and the increase in telecommuting due to the coronavirus infection (COVID-19), has brought about new security problems. The traditional perimeter security model has limitations in protecting various devices and environments because it is difficult to clearly distinguish network boundaries. The Zero Trust model, which has been proposed as an alternative security strategy to overcome this, is based on the premise that there is no trust in the assets and actors that are connected components when configuring corporate infrastructure and workflow. The financial sector is actively seeking to introduce the zero trust security model as a means of strengthening security. Demand for responding to advanced cyber-security threats, strengthening security policies, and applicability and necessity of a zero trust security model in the financial sector has expanded. This study proposed the components of a zero trust security model to be applied to the financial world based on financial governance and zero trust principles, components of the maturity model, and the results of expert interviews. The zero trust security model in the financial sector consists of four layers and eight detailed steps: perimeter security layer, authority definition layer, behavior detection layer, and internal control layer. This zero trust security model for the financial sector is expected to provide guidelines for key elements and construction steps to be considered when introducing zero trust in the financial sector.

모바일 앱 소스코드 보안약점 자동탐지

홍성문,최태형,도경구 보안공학연구지원센터(JSE) 2017 보안공학연구논문지 Vol.14 No.2

모바일 앱 소스코드에 내재되어 있는 보안취약점을 악용하는 해킹으로 인한 보안 침해 및 개인정 보 유출 사고가 빈번히 발생하고 있다. 보안취약점을 야기하는 보안약점을 모바일 앱의 개발 과정에 서 제거하지 못하면 소스코드에 남아있게 되고, 보안 침해 사고 및 개인정보 유출 사고의 위험성에 노출될 수밖에 없게 된다. 보안약점을 해소하기 위해서는 소스코드 수준에서 보안약점을 제거하는 방 법이 더 효과적인데, 소스코드 수준에서 보안약점을 탐지하기 위해서는 각 보안약점으로 알려진 구문 적, 의미적 패턴을 찾아내는 정적분석 엔진이 필요하다. 본 연구는 소스코드에 존재하는 보안약점을 패턴으로 표현하는 패턴명세언어를 제안하고, 다양한 보안약점을 이 패턴 언어로 명세한 약점패턴데 이터베이스를 참고하여 소스코드에서 보약약점을 정적으로 탐지하는 도구를 설계 구현하고 성능을 평가한다. 행정자치부와 한국인터넷진흥원에서 제시하는 보안약점 47개에 대한 패턴을 기술하고, Android Java와 Objective C의 오픈소스 프로젝트를 대상으로 실험을 진행하였다. Recently, security-breach accidents have become a hot issue. It causes enormous financial losses and induces damage due to leakage of personal information of individuals. Security vulnerabilities appear in mobile applications as well, and serious problem about the leakage of sensitive information has also emerged. To overcome the security weaknesses, a method which improve the security at the source code level is the most effective way rather than to strengthen the security system from the external environment. In order to detect the security weaknesses at the source code level, it is necessary to have each analysis engine for the each rule of specific security weakness. In this paper, we propose pattern description language which describe the security weaknesses as a pattern to detect the weaknesses in source code level statically. We wrote 47 security weaknesses from Ministry of Public Administration and Security and Korea Internet Security Agency as patterns and experimented on open sources which are written in Android Java and Objective-C.

보안문화 모델 개발을 위한 연구동향 분석 : 조직적 관점을 중심으로

주영지,김정덕,이창무 한국경호경비학회 2023 시큐리티연구 Vol.- No.76

디지털 시대에서 조직의 보안을 유지하려면 기술 중심의 전략뿐만 아니라 인간 중심의 접근 방식이 필요하다. 내부 직원 및 협력사의 부주의나 악의적 행동으로 인한 사이버 보 안 사고가 증가하고 있으며, 디지털 전환과 MZ 세대의 조직 내 구성원 증가로 인해 새로운 보안 패러다임이 필요한 시점이다. 인간 중심 보안 전략은 조직 구성원이 보안을 자발적으 로 책임지고 조직 문화에 적합한 보안행위를 촉진한다. 조직 문화와 전략은 밀접하게 연결 되며, 전략과 문화가 조화롭게 결합되지 않으면 성공이 어려울 수 있다. 보안문화 모델은 조직의 보안문화를 이해하고 분석하며 문제점을 진단하고 개선 방안을 제시하기 위한 이론적 모델을 의미한다. 본 논문에서 보안문화 관련 연구를 조직적, 인적, 기술통제적 관점으로 구분하고, 보안 분야의 연구에서 사용된 주요 이론적 배경과 조직적 관점의 하위문화, 리더십, 커뮤니케이션에 관련된 보안문화 모델들을 조사하였다. 이를 통 해, 1) 조직적 관점의 보안문화 관련 연구 동향을 이해하고, 2) 보안문화 모델 개발을 위한 차별적인 연구방향을 제시하고, 3) 선행 연구들의 한계점을 파악하고 이를 해결하기 위한 향후, 연구 방향을 제시하고자 한다. The security culture model refers to a theoretical model used to understand and analyze an organization's security culture, and can identify the security cultural characteristics of the organization, diagnose problems, and suggest improvement measures. To develop such a security culture model, theoretical background and subculture, leadership, communication, and security culture models, which were proposed to diagnose and improve security culture were investigated. Through this, we intend to 1) comprehend the research trends related to the organizational perspective of security culture, 2) propose distinctive research directions for the development of a security culture model, and 3) seek to identify the limitations of prior research and provide future research directions to address these limitations.

중국 보안서비스 운영체제의 개선방안

최용,이상철 한국치안행정학회 2011 한국치안행정논집 Vol.8 No.2

중국은 개혁개방정책의 실시와 더불어 경제의 쾌속발전을 이룩하였고 이러한 과정에서 선진기술과 자본금을 도입해온 외자기업들은 중요한 일목을 하였음에도 불구하고 우리보다 잘 산다는 이유로 범죄의 표적이 되었다. 그러나 사회치안업무의 주요 담당자인 공안은 업무량의 폭증과 공권력의 형태로써 외자기업을 포함한 사회의 모든 경제구조에 대한 안전서비스를 무상으로 제공하기에는 부적절함과 한계가 있었다. 이러한 배경 속에 1984년 경제특구인 심천에서 중국 최초의 보안서비스회사가 설립되었다. 이후 중앙정부와 각 지방정부에서는 신생아 단계에 있는 보안서비스를 하루 빨리 부축하여 공안의 보조역량으로 치안방범체계에 융합시키기 위하여 일련의 유리한 정책들을 내놓으며 보안서비스의 양적규모를 확대하였다. 그러나 글로벌 시대로 들어서면서 비전단계에 들어서야 할 중국보안서비스는 얼마간 정체되어 있는 모습을 보이고 있다. 그 원인으로는 보안서비스에 대한 입법의 부진, 교육의 낙후, 인식의 부재 등 여러 가지가 있겠지만 공인기관이 보안서비스회사의 유일한 출자인의 신분으로 정부의 강력한 행정규제에 힘입어 업종에 대한 독점을 행하면서 보안서비스회사의 명맥을 좌우지하는 낙후한 체제라고 생각된다. W.T.O. 가입시 보안서비스 시장 개방에 대한 승낙과 북경올림픽, 상해엑스포, 광주아세안게임등 대형 국제적 행사의 개최는 보안서비스에 대한 법적지위의 향상과 공안과의 명확한 역할분담이 요구 되었기에 「보안서비스관리조례」라는 국가적인 보안서비스 관련 법제가 조급히 정비 되 었다. 또한 민간자본의 참여가 허락된 만큼 보안서비스 시장의 활성화가 요구되기에 다원화적인 투자주체의 충격으로 공안이 스스로 통제운영해온 공기업 형태에 접근하는 보안서비스회사들의 부적절한 체제에 대한 개선은 시급하다. With the implementation of policy of Opening up and Reform, China has taken on a new look. Along the way, foreign- funded enterprises not only attracts huge amounts of foreign capital, but also contributes a lot to enterprise development of China. Protect the safety of the foreign- funded enterprises can not depend on limited police enforcement . In the background, the Shekou Security Service Company was founded in 1984 which is the first Security Service Company in China. In process of implementing all measures to improve all facets of public security and press ahead with efforts to build crime prevention and control system, the Public Security Organ strongly support the Security Service. This system makes Chinese Security Service has been developed rapidly at least in its early days. But with economic globalization era, unreasonable system cause Chinese Security Service stagnation. There are so many obstacles such as imperfection of the law, lack of professional training, demarketing operation, and the failure of collaboration with Public Security Department are blocking the progress of Security Service development. On one analysis, the institutional and systemic deficiencies were the main reasons given. Now, Management Regulation of Security Service has been released, and more and more people pay attention to Chinese Security Service. Certainly, here also contains many foreigners. The success of the Beijing Olympic Games, Shanghai World Expo, Guangzhou Asian Games has provided the new power to Chinese Security Service. The time has come when Chinese Security Service must act for themselves.