Earticle

아이디기반 암호는 사용자의 아이디, 이메일주소 등 공개될 수 있는 임의의 정보를 공개키로 사용하고 이와 쌍이 되는 개인키는 개인키생성기관(PKG)이 생성하여 사용자에게 전달하는 공개키암호 기법이다[1][2]. 이것은 키분배를 효율적으로 수행할 수 있는 장점이 있으나 사용자의 개인키가 개인키생성기관(PKG)에게 노출된다는 키에스크로 단점이 있다. 아이디기반 암호는 그 특성상 독립적인 인증도메인을 갖는 복수개의 PKG가 사용되는 경우에는 아이디기반 암호만으로 인증을 확장하는 것이 어렵다고 생각되어 왔으나 Gentry, Silverberg[3]는 다수의 PKG가 계층적 구조로 연결된 일반적인 경우에도 아이디기반 암호만으로 인증을 확장할 수 있는 계층적 아이디기반 암호기법을 제시하였으며 이 논문은 많은 관련 연구들의 시발점이 되었다. 그런데 이 기법은 키에스크로 특성에 있어서 사용자의 모든 조상 PKG들이 사용자의 개인키를 가지고 있지 않음에도 불구하고 사용자에게 전송되는 암호문을 복호화할 수 있다는 단점이 있는데 이것은 매우 바람직하지 않은 특성이다. 본 연구에서는 이 기법을 수정하여 개인키를 가지고 있는 사용자와 사용자에게 개인키를 발급한 단말 PKG만이 복호화 능력을 가질 수 있도록 키에스크로 특성을 최소화할 수 있는 계층적 아이디기반 암호 기법을 제시한다.

Identity-based cryptography is a public key cryptosystem in which any arbitrary string such as identity, email address of user can be used as a public key and the corresponding private key is generated by a private key generator (PKG) and given to the user through a secure channel[1][2]. It has advantage in key distribution, but also has drawback of key escrow that PKG knows user’s private key. If multiple PKGs with independent certification domain are used and users belong to different PKGs, it was considered that expanding certification using only ID-based cryptography is difficult between two users who belong to different PKG domains. Gentry and Silverberg[3] presented a hierarchical identity based cryptography which successfully expands certification among multiple PKGs structured in hierarchical manner, thus lots of extended researches followed from it [4-10]. But this scheme has a drawback that all ancestor PKGs of a user can decrypt any message sent to the user even though they do not have the private key of the user, which is very undesirable feature. In this paper we modify Gentry and Silverberg’s hierarchical identity based encryption (HIBE) scheme and present a new HIBE scheme which minimize the key escrow property that only user and the end PKG who issued private key to the user can decrypt message.

정보통신기술의 발달로 기업과 고객 간의 정보전달 및 의사소통 채널이 우편에서 이동통신 기반의 모바일 장치 및 스마트폰으로 급격하게 변화되었다. 스마트폰의 이용이 늘어나면서 기업을 사칭한 스미싱, 파밍, 피싱, 앱(App)/웹(Web) 위변조 등 신종금융사기 범죄에 악용되는 위험과 피해가 늘어나고 있는 상황이다. 본 논문에서는 스마트폰의 스마트 월렛(App)을 기반으로 하는 기업과 고객 간의 커뮤니케이션 채널을 제공하는 신뢰 있는 브로커 서비스 프로세스를 제안하였다. 프로세스 구현 방식은 기업과 브로커 간의 모바일 사기범죄 정보를 사전 검출 제거하고, 고객에게는 모바일월렛(App) 기반의 안전한 정보 수신 및 서비스를 이용할 수 있는 프로세스를 설계하였다.

The rapid advances made in the information and communication technologies have kindled and fueled a fast-paced and widespread shift of information exchange and communication channels between businesses and customers from conventional post and telephone services to mobile-based online services and smartphones. Along with the growing number of smartphone users, an increasing number of people fall victim to new types of financial crimes committed with fraudulent electronic means, such as smishing, pharming, phishing, app/web forgery and fraud, pretending to be a corporate. In this paper, we propose a reliable broker service process providing a communication channel between companies and customers based on the Mobile Wallet (app) on smartphones. The salient features of its process design and implementation are prescreening out fraudulent information and providing customers Smart Wallet-based safe information and services.

본 연구에서는 양성된 정보보호 전문가들의 역량을 유지하고 향상시키기 위한 맞춤형 사이버훈련체계 개선 방안을 제시하였다. 정보보호 전문가들이 사이버 위협에 대해 실질적이면서 신속하게 대처할 수 있는 능력을 향상시키기 위해서는 실전적 심화훈련의 훈련방식이 필요하다. 우선, 교육학 측면에서 우수한 교육방식의 장점을 도출하여 사이버훈련 교수법에 적용하였다. 현재 진행되고 있는 사이버보안 교육과정 분석을 통하여 문제점을 도출하였다. 본 논문에서는 교육생 및 교수 역량, 교수법, 사후 검증 측면에서 개선방안을 제시하였다. 교육생은 교육과정 목표에 부합되는 교육 역량을 갖춰야 하며, 교수는 우수한 교수를 선발하기 위하여 철저한 선발절차를 거쳐야 한다. 마지막으로 훈련과정의 성과를 달성했는지에 대한 사후검증이 이루어져야 한다.

In this study, we proposed the improvement plan of the optimized cyber-training structure for maintaining and improving the capability of information security expert. It needs an educational way of in-depth training for enhancing capability that information security professional can substantially and quickly defend against cyber threats. Firstly, we applied in the teaching method of cyber-training after deriving strong points by studying good teaching method in the aspect of pedagogy. And we derived the problem through analysis of cyber security training courses that are currently in progress. In this paper, we proposed the improvement plan such as capability of student and faculty, teaching methods, and AAR(After Action Review). Trainees should have the capability that meet the goals of a training curriculum. Professional should be selected through a strict procedure of professor selection. Finally, we proposed AAR for verifying the achievement of training goals.

빅데이터 등 정보 유통의 홍수 속에서 개인정보의 유출·노출 사고가 증가함에 따라, 유통되는 정보의 가용성, 기밀성, 무결성을 동시에 만족시키기 위한 정보 가공 수준의 향상이 요구되고 있다. 이에 대해서 공공부처 및 기관에서는 개인정보를 등급화하여 선별적으로 제공하는 방안을 마련하였으나, 신분 정보가 공개되지 않더라도 신분과 속성이 추정되는 경우에 대한 대책은 고려하지 않았다. 따라서 본 논문은 직접적인 신분 정보가 없어도 추정 방법을 통해 신분 뿐 만 아니라 민감한 속성까지 노출 되는 경우에 대하여 공개위험측도를 적용한 보호 등급 개선 방안을 제시한다.

Given the increasing risk of information leakage in the environment of the deluge of information, we have to consider the enhancement of information processing systems to ensure availability, confidentiality and integrity of distributed personal informations. For that reason, governmental agencies have developed a information protection plan to stratify personal informations and to provide the informations selectively. However, they have not considered the possible risk that personal identities and attributes are predicted by estimation methods in spite of the concealed identification data. In this study, therefore, we propose improvements of personal information protection plan using the measurement of disclosure risk to prevent the risk of personal identities and sensitive private attributes to be predicted.

기술유출은 전·현직 직원에 의한 유출이 대부분을 차지하고 있기 때문에 교육을 통한 내부자의 인식개선이 중요하게 되었으며 보안교육 방안을 도출하기 위해 각 대학의 보안 교육현황을 산업보안관리사의 직무와 연계한 후 산업보안의 패러다임에 따라 비교한 결과, 기술유출이 첨단 산업기술을 유출하던 시대를 지나 방위산업, 전략물자의 불법수출 등 경제안보를 위협하는 수준으로 변화되어 보안교육도 국제보안 거버넌스, 융합보안, 포렌식, 보안인증까지 확대되고 있다.

Technical spills have accounted for most leaks by employees. This important recognition was improved through education Comparison of Each university's security curriculum and industry security manager`s job were compared according to the security paradigm. It was changed to the current level of threat defense industry, the illegal export of strategic goods such as economic security. Threatening economic security such as defense industry, the illegal export of strategic goods.

최근 연이어 발생하는 금융권 해킹사고와 데이터센터 화재 사건 등으로 데이터센터의 보안에 많은 관심이 집중되고 있다. 하지만 실제 국내 대부분의 데이터센터는 해킹에 대비한 네트워크 보안 수준은 높지만, 물리적 보안에 대해서는 국내 및 국제적 표준을 준수하지 않고 운영함에 따라 보안 수준이 낮다는 평가를 받고 있다. 데이터센터에서의 물리적 보안은 화재, 지진, 태풍 등 정보자산이 위치한 물리적인 시설에 영향을 초래할 수 있는 취약점과 위협을 사전에 통제하고 대응하기 위한 활동을 의미한다. 본 논문에서는 국내 데이터센터의 운영현황과 국내외 데이터센터의 정보보호를 위한 기준을 분석하고, 국내 상황에 적합한 데이터센터 구축에 필요한 효율적인 물리적 보안 방안을 제시한다.

A lot of attention to the security of the data centers are concentrated because of financial data center hacking incidents and data center fire incident that occurred one after another recently. However, most of the domestic data center network security against hacking is high, but the physical security of data center as operating without complying with national and international standards security are under evaluation. Data center physical security means the activity to control and respond to fires, earthquakes, typhoons, vulnerabilities and threats that can cause an impact on the information assets in physical facilities of data center in advance. In this paper, we propose an efficient physical security measures needed for data center deployments for domestic situations through analyzing the basis for the operating status and security of domestic and international data centers of the national data center.