Earticle

합법적 감청이란 각국의 관련법령에 따라 사법수행기관(LEA: Law Enforcement Agencies)에 의하 여 수행되는 감청행위와 이러한 합법적 감청 절차를 수행하기 전에 감청에 관한 권한(영장)을 부여 받는 행위를 말한다. 기존의 공중망인 PSTN(Public Switched Telephone Network), 2, 3세대 무선 통 신망과 전통적인 케이블 통신망에서의 감청은 일반적으로 통화가 수행되는 스위치 장치들에 직접 접 속함으로써 이루어 졌다. 하지만 휴대전화(mobile phone)나 Voice over IP(VoIP) 기술 같이 사용자의 이동성을 보장하는 IP의 이동성 제공 환경에서는 새로운 접근 방법이 필요하게 되었다. 즉, 다양한 종 류의 네트워크 환경을 통신의 연속성을 보장하면서 이동하는 노드에 대하여 연속적인 감청을 수행할 필요가 있다. 따라서 본 논문에서는 전통적인 Lawful Interception의 개념과 미국, 유럽 중심의 국제 Lawful Interception 표준화 동향과 기타 국가의 감청 관련 법규들과 동향에 대해 분석하였다. 또한, LI 대상이 서로 다른 망을 이동하면서 통신할 때의 통신 내용을 효율적으로 감청하기 위하여 다양한 Access망에서의 연속적인 감청이 가능한 Dynamic Triggering 아키텍처를 제안하고 그 효율성을 검증 하였다.

Lawful interception(LI) is carried out in accordance with the relevant laws and regulations of each country‘s law enforcement authorities(LEA: Law Enforcement Agencies) and is refers to the act of receiving authorization (warrant) on the interception before performing the tapping of these legal acts. Lawful interception of the traditional public network PSTN (Public Switched Telephone Network), 2nd and 3rd generation of wireless networks was carred out by connecting directly to the switch like a conventional cable network. However, the mobile phone (mobile phone) or Voice over IP (VoIP) technology those provide mobility need a new approach to ensure LI. It is necessary to perform a continuous LI in the wide range of network environments while guarantee the continuity of mobile node’s communication. In this paper, we analyzed the traditional lawful interception laws and concepts of the United States, Europe and international standardization trend of LI. In addition, we proposed continuous LI architecture to perform dynamic triggering in heterogeneous networks and verified its effectiveness by experiment.

본 논문에서는 AHP 기법을 활용하여 국방 CERT 조직에서 요구하는 역량의 우선순위를 중심으로 신규 전입자 직무 교육 과정을 설계하여 제안한다. CERT는 침해사고 대응을 위해 침해사고의 예방, 사고 분석, 피해 복구 등을 하는 조직이다. 국방 CERT 조직은 정보통신, 전산 병과 인원의 순환보직 으로 인해 침해사고와 관련된 전문성이 부족하게 되므로 조직에서 요구 역량 중심의 체계적인 전입 직무교육이 필요하다. 본 논문에서 제안하는 국방 CERT 조직 요구 역량 중심의 직무교육 프로그램을 활용하면, 국방 CERT 조직 전입 인원의 조기전력화를 기대할 수 있다.

In this paper, we proposed that Defense CERT OJT program focused on Defense CERT organization required competency using AHP. CERT organization is working for prevention hacking incident, analysis hacking incident, recover the disaster. PCS-inners of Defense CERT organization are lack of professionalism of information security because of job rotation in arm of service such as signal and data processing. And they need structured job transferring OJT program focused on Defense CERT organization required competency. PCS-inners of Defense CERT organization are available to be make secure in early stage using Defense CERT OJT program proposed in this paper.

무선 이동통신의 발전에 따라, 우리 군도 LTE 기술 적용을 시도하고 있다. 군 네트워크에서 보안 은 필수적인 요소이기 때문에 IMSI 및 사용자 위치 노출문제는 반드시 해결을 해야 한다. 이러한 문 제를 해결하기 위해, 본 논문에서는 기존의 EPS-AKA에 IMEI와 해쉬함수를 이용하여 강화된 EPS-AKA 인증 프로토콜을 제시한다. 강화된 EPS-AKA는 IMEI를 추가하여 LTE-K를 생성함으로써, USIM 복제에 의한 불법적인 접속 및 도청을 차단한다. 또한 IMEI와 해쉬함수를 이용하여 인증 메시 지를 전달함으로써 사용자 위치정보 및 IMSI의 노출을 방지한다. 본 논문에서 제시하는 접근방법은 추가적인 암호 알고리즘의 적용 없이 보안성을 향상시켰기 때문에, 기존 연구들에 비해 연산 비용이 낮다

With the development of wireless mobile communication, our MOD(Ministry of Defense) try to apply LTE technology. However, since security is essential in Military Network, the disclosure of IMSI and user’s location information should be solved. To address those problems, in this paper, we propose an enhanced EPS-AKA that can strengthen the authentication process in original EPS-AKA using IMEI and hash function. The enhanced EPS-AKA generates LTE-K adding IMEI to prevent illegal connection and tapping caused by duplicated USIM. It also generates the authentication message using IMEI and hash function to prevent the disclosure of location information and IMSI. Because the proposed EPS-AKA does not use an additional encryption algorithms to enhanced the secrity, it has lower computational overhead compared to other approaches.

과거 PC 환경과 같은 제한적인 환경에서만 제공되던 서비스들은 스마트 폰의 발전에 따라 시간과 장소에 제한 없이 제공되고 있다. 하지만 이러한 편리함 속에서 개인정보 유출과 같은 많은 보안 문 제가 동반되고 있으며, 특히 메신저 서비스에서 오고 가는 민감한 정보들의 유출 위험은 사용자 개인 정보와 사생활 침해와도 직결되는 문제로 대두되고 있다. 따라서 본 논문에서는 국내 메신저 어플리 케이션에서 필요한 요구사항을 분석하고 이를 만족하는 메신저 보안 프로토콜을 제안한다. 제안하는 프로토콜은 속성기반암호화 기법을 이용하여 이기종 디바이스 간의 안전한 암호화 키 동기화 기능을 가능하게하고 스마트 폰 기기 분실과 변경에 따른 메시지 동기화를 가능하게 한다. 또한 긴급한 상황 을 대비한 대화내용 공개가 가능한 프로토콜을 제안한다.

According to the development of smart phones, many services can be provided without limitation of time and place. However, many security problems such as leakage of personal information constantly come up although they provide conveniences. In particular, privacy has emerged as a major issue in society because the leakage of information from mobile devices is directly linked with invasion of personal information. In this paper, we investigate the necessary requirements in messenger applications and propose a security protocol that meets them. The proposed protocol is available for a secure key synchronization between heterogeneous devices by using the Attribute-Based Encryption scheme. In addition, the encrypted dialogue can be opened for an emergency situation.

본 논문에서는 RFID Tag의 보안성 향상을 위해 AES 암호 엔진을 사용한 RFID Tag Core의 하드 웨어 설계를 제안한다. 제안한 RFID Tag Core는 Verilog HDL을 사용하여 Xilinx ISE 9.1i툴에서 설계 하였으며, Xilinx XCV400E 디바이스를 타겟으로 합성을 수행하였다. 합성결과를 통하여 RFID Tag Core의 게이트 수는 약 14,504이며, 클럭 주파수는 72MHz로 동작함을 알 수 있다. 또한, AES 엔진의 게이트 수는 4,051이며, 48MHz로 동작함을 확인하였다. FPGA로 구현된 RFID Tag의 검증은 Model Sim 6.2c를 사용하였고, 시뮬레이션 결과를 통하여 설계된 시스템이 정확한 동작을 확인하였다.

This paper presents the design of RFID Reader & Tag Core Based on AES cipher engine. The proposed RFID system based on AES cipher engine is coded in Veilog-HDL, and synthesized through the use of Xilinx ISE 9.1i too with Xilinx-Virtex XCV400E FPGA library. Through the result of the logic synthesis, the number of gates of Tag core is about 14,504, and clock frequency is operated with the maximum of 324MHz. Also, AES engine has about 4051gates, it operates with the maximum of 48MHz. In order to verify the RFID Tag in implementing in FPGA, a timing simulation is also performed by using simulator, ModelSim 6.2c.

2015년 7월 징벌적 손해배상제도와 법정 손해배상제도 도입 등 한층 강화된 개인정보보호법 개정 안이 국회에서 통과되었다. 개인정보유출 및 이에 따른 2차 피해발생시 해당 기업들은 기업의 존속에 영향을 받을 정도로 커다란 손실을 입게 된다. 기업들은 개인정보보호 대상을 고객들의 개인정보에만 치중하지 말고 직원들의 개인정보도 보호 대상으로 확대하여 신중히 관리하여야 한다. 본 연구논문의 사례는 해커의 APT 해킹공격에 의해 기업간 거래 담당자의 이메일 계정 정보를 포 함한 개인정보가 해킹되고 이렇게 유출된 개인정보를 해커가 도용(Identity Theft)하여 기업간 거래 정보를 빼내고, Man in the Middle 온라인 사기 기법을 사용하여 기업간 거래 대금을 위조된 은행계 좌로 입금시키도록 유도한 사기 사건으로서 직원의 개인정보 유출이 기업에 피해를 가져다 주는 좋 은 사례이다. 따라서 본 논문은 상기 사례를 시간의 경과에 따라 탐색하고 관찰하며 사건 관계자들과의 면접 자 료, 사건과 관련된 기타 문서와 보고서 등 다양하고 상세하며 심층적인 자료를 수집, 분석하여 주제 를 파악해 내는 사례연구 방법론을 통하여 기업들에게 적용할 수 있는 다섯 가지 대처 방안을 제시 하고자 한다.

An enhanced Amendment of Personal Information Protection Law including punitive damages and compensation damages is passed in the national assembly in 2015. Privacy leaks and secondary damage could cause the huge loss which can impact the issue of business permanence. Corporate should widen the scope of the personal information protection to their employee instead of just focusing on their customers privacy. In this paper, We can see that hacker hacked employee personal information including email address by APT attack, Hacker use hacked email credential information to steal B2B trade transaction secrets, Hacker utilize all the information to manipulate the transaction payment to fake Bank Account by Man in the Middle Fraud methodology. This case shows us that employees privacy leak can bring the damage to business in the B2B transaction. Author is suggesting FIVE counter plans as a result of this single case qualitative research methodology which is exploring of the case followed by time line, having interview with relevant personals, analyzing internal documents and reports.

정보화 시대에서 융합의 시대로 나아감에 따라 정보보호는 더 이상 기술적인 해결책만으로는 이루 어질 수 없으며 융·복합적 해결책이 필요하다. 이를 위한 방법으로 개인의 행태까지 고려하는 정보보 호 문화를 올바르게 조성하는 방법이 존재한다. 정보보호 문화의 중요성이 강조되면서 이에 대한 다 양한 방법과 관점으로 연구들이 진행되고 있다. 본 연구에서는 정보보호 문화에 대한 최근 연구들을 분석하여 정보보호 문화 연구에 대한 흐름을 파악하고 향후 연구방향을 제시하였다. 정보보호 문화 연구는 조직차원에서의 문헌연구가 주를 이루었으며 개인차원의 실증연구가 매우 부족한 실정이었다. 향후 연구 방향으로 정보보호 문화에 있어 중요한 요소인 개인차원의 항목들에 대해 조사하고 이를 실증 분석해야함을 제시하였다.

Along with the advent of convergence era beyond information-oriented age, information security is no longer considered as technical issues. It needs converged and integrated approach including personal behaviors. For this reason, proper information security culture is emphasized. Therefore, information security culture researches have actively been in progress. In this research, recent studies about information security culture were analyzed to figure out a trends of information security culture. In addition, a direction of future study was proposed. Literature studies from the organization perspective were represented as a major field in information security culture researches. On the other hand, studies about empirical research from the personal perspective are deficient. As a direction for future study, empirical research from the personal behavior was proposed because personal behavior is an essential part of information security culture.

The Secure Mobility Platform for Mobile Device Services addresses the diverse needs of users, IT and developers, allowing IT to focus on managing mobile device services, mobile apps and data, without compromising security or user privacy. In this paper, mobile device services secure mobility platform insures to provides real-time mobile device status and compliance metrics. Enforces device-level IT policies, configurations, security settings, and updates. Continually monitors the mobility infrastructure, alerts on potential failures and provides resolution recommendations

최근 빠르게 스마트관련 기술이 발전하면서 스마트 폰, 태블릿 등 스마트 기기의 보급률이 늘어나 고 있다. 이런 스마트관련 기술들은 기존의 다양한 전자기기에 적용되어 스마트TV, 스마트청소기, 스 마트세탁기 등 가정에서 일상적으로 사용하는 가전제품으로 그 영역을 넓혀가고 있는데 특히 스마트 TV의 보급률이 늘어나고 있다. 하지만, 네트워크 인터페이스의 제공과 USB를 통한 펌웨어 업데이트 등 스마트TV의 기능적인 측면 때문에 스마트TV를 통한 DDoS공격부터 펌웨어 취약점 공격 등의 여 러 형태의 새로운 보안문제가 발생하고 있다. 본 논문에서는 스마트TV시장에서의 점유율 1위를 기록 하고 있는 대표적인 스마트TV의 구조 및 보안문제 동향을 분석해 본다.

With rapid technology innovation, smart devices such as smartphones and tablet PCs have been widely deployed. Furthermore, smart device technologies are applied various traditional electronic devices such as TV, vacuums, washing machines and so on. Especially, smart TV is one of the most interesting products among them because of the various abilities of smart TV to be connected to the Internet through WiFi or wired LAN. Unfortunately, these useful abilities introduce new security problems such as smart TV DDoS attack, firmware vulnerabilities and so on. This paper introduces and reviews the trend of attacks for smart TV.