Earticle

정보보호용 디바이스에 암호 알고리듬을 탑재하여 사용할 경우 구현상의 문제점으로 인해 전력 분 석이나 오류 주입 등과 같은 부채널 공격에 의해 내장된 비밀 키가 노출될 수 있음이 밝혀졌다. 특히, RSA와 같은 공개 키 암호 시스템에서 사용하는 멱승(exponentiation) 알고리듬은 이러한 부채널 공격 들의 목표가 되어 왔다. 본 논문에서는 최근 제안된 암호용 디바이스에 대한 수평 충돌 전력 분석 (Horizontal Collision Power Analysis) 공격의 위협 요소를 분석하고 이를 방어할 수 있는 효율적인 대응 알고리듬을 제시한다. 제안하는 멱승 알고리듬은 기존에 제시된 부채널 공격 및 오류 주입 공격 을 방어할 수 있으면서 CRT-RSA(Chinese Remainder Theorem based RSA)를 구현하는 데에도 효과 적으로 적용할 수 있다.

Recently, the power analysis and fault injection attacks have been developed to extract the secret key based on implementation flaw of a security device in which some cryptographic algorithms are implemented. Especially, these side channel attacks are focused on several exponentiation algorithms which are adopted in public key cryptosystem such as RSA. In this paper, we analyze the main threat of the horizontal collision analysis attack on security devices and propose an efficient countermeasure algorithm. The proposed exponentiation algorithm defeats most existing side channel analysis and fault attacks and can be adopted in CRT-RSA implementation.

RFID 기술은 산업계에 광범위하게 채택되어 사용되고 있다. 제품이 생산될 때 각 제품에 RFID 태 그가 부착되며, 제조, 공급자, 소매상 및 소비자 사이에서의 공급망 관리를 위해 제품의 소유권 이전 이 주의 있게 처리되어야 한다. 이와 같이 RFID 기술을 사용하여 각 제품을 식별하고 제품의 공급과 정을 효율적으로 처리하기 위해 안전하고 효율적인 RFID 소유권 이전 프로토콜이 중요한 문제이다. 이미 많은 소유권 이전 프로토콜이 제안되었다. 이들 프로토콜들은 보안상의 문제를 가지고 있으며, 대부분의 프로토콜은 암호화 연산 및 해시함수 같은 복잡한 연산을 사용한다. 간단한 연산들(시프트, 덧셈, XOR 연산 및 난수 생성)을 사용한 프로토콜도 제안하였다[1]. 하지만, 이 프로토콜은 태그와 새 소유주가 공유하는 비밀키를 공격자가 획득할 수 있는 문제점과 사기행위 공격에 취약하다. 본 논문 에서는 간단한 연산들을 사용하여 보안 공격에 안전한 새로운 프로토콜을 제안한다.

RFID technology has been widely adopted by industry. When a product item is manufactured RFID tag is attached to the product item and supply chain management among Manufacturing, Providers, retailers and customers needs to handle ownership transfer for the product item carefully. With RFID technology, the secure and efficient ownership transfer protocol is an important issue for the identification of product items and the overall system efficiency on supply chain. Many ownership transfer protocols have been proposed now. They have security problems and use complex operations such as encryption operation and hash function. Many paper, we proposed a protocol using lightweight operations such as shift, addition, XOR, and random number generation. However, this protocol has a security problem in which the secret key between the tag and the new owner is disclosed to the attackers, and it is also weak against the Fraud attack. In this paper, we propose a new ownership transfer protocol using lightweight operations such as shift, addition, and random number generation. This protocol is secure against the security attacks.

사이버 위협에서 비국가행위자에 대한 무력을 행사 사례들이 증가하고 있다. 국가행위자간의 사이 버 무력분쟁이나 사이버 위협에 대한 무력 행사에 대해서는 논의되고 있으나, 국가행위자와 비국가행 위자 사이에 발생하는 사이버무력분쟁에 적용되는 법적 규범과 그 한계에 대한 논의는 이루어지고 있지 못하다. 이에 본 연구에서는 비국가행위자에 의한 사이버 무력분쟁에서 국가의 무력대응이 어떤 근거로 행사될 수 있는지에 대해 국제법적으로 검토한다.

There have been increased cases of states using armed forces against non state entities in cyber threatens. There are concerns on using armed forces against cyber armed conflict or cyber threatens between state entities. But until now, the legal is uncertain and not mentioned about regulations and their limitation of cyber armed conflict between non state entities and state entities. Because of that, this study review the legal basis using armed forces on cyber armed conflict by non state entities.

본 논문은 국내의 외국법인 수가 1,500개를 넘어서는 비즈니스 환경 속에서 개인정보보호를 위한 글로벌 외국법인인 C사의 개인정보보호 TFT 운영 사례 연구를 통하여 모범적인 개인정보보호 전략 을 제시하고자 하였다. 1930년대부터 국내에서 영업활동을 시작한 C사의 경우 2011년 상반기부터 개 인정보보호법과 관련하여 주기적인 모니터링을 실시하여 왔으며 안전행정부와 한국인터넷진흥원에서 실시하는 개인정보보호 전문가 교육에 사내 전산부서 담당자를 파견하여 지속적으로 대응준비를 하 여왔다. 외국법인의 특성으로 인해 한국 본사와 아시아 지역 본부 및 미국 본사 법률 팀과의 연계가 필수적이었으며 임원회의 결과에 따라 2011년 하반기부터 개인정보보호 TFT 활동을 수행하였다. C사 는 국내 법 준수를 위해 다각적인 업무 프로세스 및 IT 시스템 개선작업 등을 통하여 성공적인 개인 정보보호 규정, 조직, 시스템 구축 등을 이루었으며 지속적인 직원 교육 및 감사프로세스를 통하여 실질적으로 운영되는 개인정보보호 시스템을 구축·운영하고 있다. 따라서 본 연구는 C사의 TFT 운영 시의 산출물과 이메일기록 및 TFT 리더와의 면담을 통하여 조직 내의 전반적인 TFT활동 내역을 점 검하여 국내 기업뿐 아니라 글로벌 외국법인들의 국내 개인정보보호법 준수를 위한 10가지 전략과 4 가지 제언을 제시하였다.

In this paper, The best practice for implementing of Personal Information Protection TFT which is operated in global foreign C Corporation is presented in to other companies in more then 1,400 foreign companies. C Corporation has been operated the business in Korea from 1930s. They monitored new Personal Information Protection Law in Korea and trained IT specialist for it in special course which are opened by Ministry of Public Administration and Security, Korea Internet and Security Agency. From 2011 year, They operated Task Force Team for implementing strategy and organization for Personal Information Protection Law. As C Corporation is a global foreign company in Korea, there are lots of gaps between local regulation and internal corporate policy. They have been cooperated with local legal team and corporate legal team to find out proper strategy and organization to comply. They improved business process and IT system and consequentially accomplished to build strategy, policy, organization and audit process. From the result of this case study of C Corporation’s TFT activities and outputs, 10 strategies and 4 recommendations are presented to not other local companies but also global foreign companies in Korea.

국내에서는 클라우드 컴퓨팅 서비스 활성화 방안으로 범정부 차원에서 2008년 “범정부 클라우드 컴퓨팅 활성화 종합계획” 발표를 시작으로 클라우드 컴퓨팅 활성화를 위해 꾸준히 노력하고 있다. 그러나 클라우드 컴퓨팅에 대한 보안 문제로 실제 도입에는 미진한 상황이며, 클라우드 컴퓨팅 활 성화를 위해서는 보안 문제에 대한 대응이 시급한 실정이다. 이에 따라, 본 논문에서는 대중적으로 알려진 오픈소스 클라우드 플랫폼에서 사용되는 가상머신 Xen, KVM의 보안 취약성에 대해 조사 및 분석 하였다.

The Korean government keeps trying to invigorate for cloud computing service, since its inception in 2008 with a pronouncement of the "enable cloud computing, government comprehensive plan". But activation is not entirely satisfactory because of cloud computing security. In this paper, we research and analyze the security vulnerabilities and threats of virtual Xen and KVM which were using for Cloud computing platform as virtual machine.

최근 네트워크 및 스마트 기기의 발전으로 사람, 사물 등 각 객체 간 언제, 어디서나, 어떤 것이든 연결이 가능한 사물인터넷에 대한 관심이 높아지고 있다. 그러나 사물인터넷 서비스는 유·무선 네트 워크로 연결되기 때문에 통신 과정에서 발생하는 여러 가지 보안 위협 요인이 존재한다. 따라서 본 논문에서는 사물인터넷 서비스 환경의 보안 위협 요인과 그에 따른 보안 요구사항 및 보안 기술 등 에 대해 살펴보고, 사물인터넷 서비스 환경의 안전성 확보를 위한 보안 전략을 제시한다.

The on-going developments of networks and smart devices have been increasing people’s attraction to Internet of Things which connects individuals to objects and anything anytime anywhere. However, since the Internet of Things service gets accessed through wire-wireless networks, there have been always these various security threats occurring during the telecommunication process. In the light of that, this thesis looks into the security threat factors in relation to the Internet of Things service environment as well as both the security requirements and the security technologies and consequently proposes security strategies to assure safety of the Internet of Things service environment.