저작자표시-비영리-동일조건변경허락 2.0 대한민국 이용자는 아래의 조건을 따르는 경우에 한하여 자유롭게
l 이 저작물을 복제, 배포, 전송, 전시, 공연 및 방송할 수 있습니다. l 이차적 저작물을 작성할 수 있습니다.
다음과 같은 조건을 따라야 합니다:
l 귀하는, 이 저작물의 재이용이나 배포의 경우, 이 저작물에 적용된 이용허락조건 을 명확하게 나타내어야 합니다.
l 저작권자로부터 별도의 허가를 받으면 이러한 조건들은 적용되지 않습니다.
저작권법에 따른 이용자의 권리는 위의 내용에 의하여 영향을 받지 않습니다. 이것은 이용허락규약(Legal Code)을 이해하기 쉽게 요약한 것입니다.
Disclaimer
저작자표시. 귀하는 원저작자를 표시하여야 합니다.
비영리. 귀하는 이 저작물을 영리 목적으로 이용할 수 없습니다.
동일조건변경허락. 귀하가 이 저작물을 개작, 변형 또는 가공했을 경우 에는, 이 저작물과 동일한 이용허락조건하에서만 배포할 수 있습니다.
經營學碩士
정보보호관리체계를 활용한 스마트항만 정보보안모델 연구
A study on a Security Model of Smart Port based on Information Security Management System
指導敎授 張 明 熙
2013 年 6 月
韓國海洋大學校 大學院 海 運 經 營 學 科
尹賢旭
委員長 劉 成 眞 ㊞
委 員 金 賢 碩 ㊞
委 員 張 明 熙 ㊞
2013 年 6 月
韓 國 海 洋 大 學 校 大 學 院
海 運 經 營 學 科
- ii -
- iv -
Yoon, hyun-uk
Department of Shipping Management
Graduate School of Korea Maritime University
(Directed by Professor Chang, Myung-Hee)
- 1 -
- 3 -
- 5 -
1) 최상희(2012), “미래를 선도하는 스마트 항만물류기술”, 「전자공학회지」, 제39 ,권 제 호5 , pp.391~398.
2) 박병주(2010), “첨단기술을 통해 진화해가는 항만(u-port에서 Smart-port까지)”, 「한국통신학 회지」,제27 ,권 제11 , pp.12-19,호 경남발전연구원.
- 7 -
3) 임대원(2012), “양방향 통신 기반의 항만물류 정보망 서비스에 대한 기대효과 연구- 공공 민· 간 이용자의 인식도를 바탕으로”, 중앙대학교 석사학위논문.
- 9 -
4) 진향찬(2004), “RFID 물류 정보시스템 구축방안”,명지대학교대학원 석사학위논문.
- 11 -
- 13 -
- 15 -
5) 수직배치란 선박의 접안방향에 대하여 야드에 적재되는 컨테이너가 수직방향으로 놓이며 야드 의 블록배치 또한 안벽에 대하여 수직으로 길게 배치되는 형태를 말함
- 17 -
6) 40개 컨테이너 개를 회에 이동 적재 인출할 수 있는 시스템 및 장비2 1 , ,
- 19 -
- 21 -
7) 이홍걸(2007), “컨테이너 터미널의 정보보호 수준 제고를 위한 통합 평가지수 개발에 관한 연 구”,「해운물류연구」, Vol.54, pp.99-118.
8) Marco Thorbruegge, Slawomir Gorniak(2008), “EISAS-European Information Sharing and Alert System A Feasibility Study 2006/2007,” European Network and Information Security Agency(ENISA).
9) 유진호 지상호 송혜인 정경호 임종인· · · · (2008), “인터넷 침해사고에 의한 피해손실 측정”, 「정보 화정책」, 제15 ,권 제 호1 , pp.3-18.
10) 한국정보보호진흥원(2007), “2007 정보보호 실태조사 기업편- ”, 정보통신부.
11) 문현정(2009), “우리나라 중소기업의 정보 보호 역량 강화를 위한 교육 훈련 현황과 문제점”, 한국정보보호학회 , 제19 ,권 제 호1 , pp.29-39.
「 」
12) 정익재(2007), “정보보안 취약성 분석과 정책적 대응논리”, 「한국정책학회보」, 제16 ,권 제2 호, pp.211-239.
13) 임상규 이창길 김종업· · (2011), “스마트시대의 보안위협 - EU5의 대응과 시사점”, 「한국위기 관리논집」, 제 권 제 호7 , 4 , pp.135-150.
- 23 -
14) 아이뉴스24, “옥션 해킹 사건 천1 81만 명 개인정보 유출”, 2008.4.17 15) 아이뉴스24, “옥션 수사 결과 전체회원 모두 정보유출, ”, 2010.03.25
- 25 -
16) 이영재 이성중· (2010), “기업 사이버재난 관리를 위한 재해경감활동계획 수립”, 「정보보호학 회 논문지」, 제20 ,권 제 호4 , pp.42-51.
17) 이장균(2009), “사이버테러의 상시 감시체계를 구축하자”, 현대경제연구원.
18) 양종모(2011), “농협전산망 장애 사건의 형사법적 고찰”, 「법학연구」, 제19 ,권 제 호2 , pp.129-157.
- 27 -
19) 이정미(2011), “스마트폰 확산으로 인한 영향과 보안 및 향후 전망”, 건국대학교 석사학위논문.
- 29 -
- 31 -
20) 해양수산부 공고 제2007-263 .호
21) Siani Pearson(2005), “How Trusted Computers Can Enhance Privacy Preserving Mobile Appliction,” Sixth IEEE Int'l Symp on a World of Wireless Mobile and Multimedia Networks.
22) Ken Dunham(2009), “Mobile Malware Attacks and Defense,” SYNGRESS 2009.
- 33 -
23) DAI-Labor(2008), “Malicious Software for Smartphones,”Technical Report.
- 35 -
24) Schneier Bruce(2004), “Hacking the Business Climate for Network Security,”
Computer, IEEE.
25) 이기정(2012), “정보보호관리체계 기반의 강화된 스마트폰 보안모델 연구”, 서울과학기술대학 교 석사학위논문.
- 37 -
26) Collin Mulliner, Giovanni Vigna, David Dagon, and Wenke Lee(2006), “Using Labeling to Prevent Cross-Service Attacks Against Smart Phones,”DIMVA 2006, LNCS 4064.
27) 박청수 곽진, (2011), “기업 정보보안 기능 강화를 위한 정보보호관리체계에 관한 연구 .”, 한국정보처리학회 춘계학술대회발표집 , pp.800-803.
「 」
- 39 -
- 41 -
28) ISO, ISO/IEC 27001:2005(FDS) Information Security Management System requirements.
- 43 -
29) ISO(1996), ISO/IEC TR 13335-1, Information technology - Guidelines for the management of IT Security - Part1 : Concepts and models for IT Security.
30) ISO(1997), ISO/IEC TR 13335-1, Information technology - Guidelines for the management of IT Security - Part2 : Managing and planning IT SECURITY.
31) ISO(1998), ISO/IEC TR 13335-1, Information technology - Guidelines for the management of IT Security - Part3 : Techniques for the management of IT Security.
32) ISO(2000), ISO/IEC TR 13335-1, Information technology - Guidelines for the management of IT Security - Part4 : Selection of safeguards.
33) ISO(2001), ISO/IEC TR 13335-1, Information technology - Guidelines for the management of IT Security - Part5 : Management guidance on network security.
- 45 - 34) ISACA Korea chapter(2006), 「Cobit 4.0 한글판」.
35) FIPS PUB 199(2006), Standards for Security Categorization of Federal Information and Information System, NIST.
36) FIPS PUB 200(2006), Minimum Security Requirements for Federal Information Systems and Organizations, NIST.
37) SP 800-53(2009), Recommended Security Controls for Federal Information Systems and Organizations, NIST.
38) 장호익 한호현 이남용 조창희· · · (2010), “정보보호관리체계 통제사항 선정 모델 연구”, 「한국통 신학회 , Vol. 35, NO. 8, pp.195-204.」
39) 장호익 한호현 이남용 조창희· · · (2010),전게서.
- 47 -
- 49 -
- 51 -
- 53 -
ISMS 제안모델 효과
정보보호 정책 1.
정책의 승인 및 공표, 정책의 체계,
정책의 유지관리
정보보호정책 1.
무선AP MAC 주소 및 사용자 인증 수행 정책 관리자 승인 및 주 기적인 정보보호정책의 타당성 검토
시스템 인증을 통한 보 안강도 향상
주기적인 검토를 통해 정보보호 정책 발전
정보보호 교육 및 5.
훈련 교육 및 훈련프로 그램 수립 교육훈련의, 시행 및 평가
5. 정보보호교육 및 훈련 주기적인 내부 관리자 및 사용자 대상 정보보 호교육 및 훈련 시행 교육 및 훈련 종료 후 리뷰
주기적인 교육 및 훈련 기반 대응력 강화 리뷰를 통한 차기 교육 대응력 강화 보안 인식 제고
인적 보안 6.
책임할당 및 규정화, 직원의 적격심사, 주요직무 담당자 관리, 비밀유지
인적 보안 6.
책임할당 및 규정화 책임 불이행 시 처벌 규 정 정의
접근 권한 인증 절차 구축 비밀 유지 서약서 제도 시행
책임 불이행 시 처벌 규정을 정의하여 책임 의식 고취
접근 권한 인증 절차를 통해 보안강도 향상
암호 통제 9.
암호정책 암호사용, , 키관리
암호 통제 9.
패스워드 조합 규칙 정의 검증된 보안 알고리즘 사용
암호 키 길이 증대 키 관리 방안 정의
패스워드 조합 규칙으로 보안 강도 향상
알고리즘, 키길이, 키 관리 등을 통한 보안 복 잡도 향상
접근통제 10.
접근통제 정책, 사용자 접근 관리, 접근통제 영역
접근통제 10.
망을 분리하거나 인증된 관리자만이 패스워드를 알고 있도록 접근 통제 시행 및 정책 정의
접근통제 기반 인증 된 관리자 확인으로 보안강 도 향상
- 55 -
ISMS 제안모델 효과
보안사고 관리 13.
대응계획 미 체계, 대응 및 복구 사후관리,
보안사고 관리 13.
악성코드 대응절차 정의 보안사고 후 재발 방지 교육 및 훈련실시
악성코드 유포 방지 보안사고 발생 후 신속 대응으로 복구를 통해 피해 감소
검토 모니터링 및 14. ,
감사
법적 요구사항 준수 검토 정보보호 정책 및, 대책 준수 검토,
모니터링 보안감사,
검토 모니터링 및 14. ,
감사
관련 법 규제 계약 정, , , 책, 기술상의 요구사항 정의 및 검토
감사 데이터에 대해 대 상, 범위, 주기, 방법, 절차, 감사자, 감사도구 등 명확히 정의
정책 부분 및 감사 데이 터 검토 및 모니터링으 로 신속한 대응 가능 감사 데이터 기반 사후 관리 수행으로 효율성 향상
중분류 통
제 소분류 세부통제 통제번호 통제내용
13.1 스 마 트 폰 단 말 보 안
13.1.1 사용자 인증
13.1.1.1 스마트폰 구동시 사용자 인증을 수행해야 한다 13.1.1.2 스마트폰을 일정시간 사용하지 않은 경우 자동으
로 잠겨야 한다
13.1.1.3 잠긴 스마트폰을 재작동할 때 사용자 인증을 수행 해야 한다
13.1.1.4 스마트폰 사용자 인증을 위한 비밀번호를 안전하 게 관리 운영해야 한다· .
13.1.1.5 일정횟수 이상 사용자 인증에 실패한 경우 보안담 당자를 통해서만 해제하도록 제한한다.
13.1.2 악성코드 대응
13.1.2.1 스마트폰용 안티바이러스 소프트웨어 설치 및 운 영을 통제 관리해야 한다· .
13.1.2.2 스마트폰을 통해 인터넷을 안전하게 이용하도록 통제 관리해야 한다· .
13.1.3 데이터 보호
13.1.3.1 이동저장매체로 사용되는 것을 방지하기 위해 업무 와 스마트폰간 데이터 전송을 통제해야 한다 PC
13.1.3.2 스마트폰에서 사용하도록 인가된 저장매체를 문서 화하여 관리해야 한다.
13.1.3.3 업무용 소프트웨어는 자료를 스마트폰에 저장하는 것으로 통제해야 한다.
13.1.3 데이터 보호
13.1.3.4 스마트폰 DMZ 영역에 접속하는 동안 자료유출 방지 위해 화면 캡처기능 사용을 통제해야 한다.
13.1.3.5 기관담당자는 분실 및 도난 스마트폰의 자료와 프 로그램을 원격에서 삭제할 수 있어야 한다.
13.1.4
모바일 OS 보호
13.1.4.1 모바일 OS 보안패치를 최신상태로 유지하고 있어 야 한다.
13.1.4.2 모바일 OS의 변조를 방지하기 위해 무결성을 정 기적으로 검사해야 한다.
13.1.5 자원관리 13.1.5.1
도청 위치추적의 위협이 존재하는 하드웨어 마이, ( 크, GPS, 카메라 등 에 대해 인가된 프로그램만) 접근하도록 통제해야 한다.
13.1.6 소프트
웨어관리 13.1.6.1 기관에서 서명 또는 허가한 소프트웨어만 설치하 도록 기술적으로 통제해야 한다.
- 57 -
중분류 통
제 소분류 세부통제 통제번호 통제내용
13.2 네 트 워 크 보 안
13.2.1 물리적 계층
13.2.1.1 무선AP 접속 시 스마트폰 사용자 인증을 수행해 야 한다.
13.2.1.2 무선랜 보안을 위해 안전한 암호화통신을 수행해 야 한다.
13.2.1.3 무선AP는 스마트폰의 MAC 주소기반으로 단말기 인증을 수행해야 한다.
13.2.1.4 무선AP의 SSID Broadcast 기능을 비활성화 시켜 야 한다.
13.2.1.5 블루투스 연결시 숫자와 문자를 포함하는 최소 자8 리이상의 PIN코드를 사용해야 한다.
13.2.1.6 기관에서 인가한 장치에만 블루투스로 연결하도록 관리해야 한다.
13.2.1.7
블루투스 v2.0+EDR 버전 이하는 보안모드3 이 상 블루투스, v2.0 EDR 버전 이상은 보안모드 를4 적용해야 한다.
13.2.1.8 블루투스 통신반경은 10m 이내로 제한해야 한다. 13.2.1.9 테더링 기능 등 허가받지 않은 장치를 통한 인터
넷 연결을 제한해야 한다.
13.2.2 네트워크 계층
13.2.2.1 각 기관 보안수준에 맞는 안전한 네트워크를 구성 해야 한다.
13.2.2.2
스마트폰을 이용하여 업무망 서버에 직접 접속을 제한하고 스마트폰 DMZ 영역을 통해서만 접근할 수 있도록 통제해야 한다.
13.2.2.3 스마트폰 DMZ 영역 앞단에 침입차단시스템을 설 치하고 운영해야 한다.
13.2.2.4
기관내 무선랜 운용시 비인가 무선단말AP 탐지 등을 위해 무선 침입방지시스템을 설치 및 운용해 야 한다.
13.2.2.5
스마트폰에서 스마트폰 DMZ 영역까지 VPN을 적 용하여 통신을 암호화하고 스마트폰 단말 인증을 수행해야 한다.
13.2.2.6 스마트폰에 사용되는 VPN 클라이언트는 보안담 당자의 통제를 받아 배포되어야 한다.
13.2.2.7
스마트폰 단말에서 VPN 클라이언트가 동작하는 동안 다른 프로세스의 통신을 모두 차단해야 한 다.
13.2.2.8 해킹 웜 바이러스 감염 등 외부의 공격을 탐지하, · 고 대응하기 위한 보안 관제를 실시해야 한다.
13.3 서 버 보 안
13.3.1 사용자 인증
13.3.1.1 서버게정에 대한 비밀번호를 안전하게 통제 관리· 해야 한다.
13.3.1.2
내부직원만을 위한 업무서비스 접근시 비밀번호 혹은 전자서명인증서를 이용하여 사용자 인증을 수행해야 한다.
13.3.1.3 일정시간 동안 사용자 입력이 없을 경우 자동으로 서버와의 접속이 해제되어야 한다.
13.3.1.4
업무서버 접속시 OTP, 보안카드, 바이오인식 등 의 방법으로 추가적인 사용자 인증을 수행해야 한 다.
중분류 통
제 소분류 세부통제 통제번호 통제내용
13.3 서 버 보 안
13.3.2 로그관리
13.3.2.1 스마트폰 사용자가 업무서비스에서 수행한 작업내 역을 기록해야 한다.
13.3.2.2
업무서버에서 생성된 로그는 사후 감사에 이용할 수 있도록 별도의 로그 서버로 전송하여 관리하여 야 한다.
13.3.3 악성코드 대응
13.3.3.1 Telnet, FTP 등 불필요한 서비스와 포트를 차단 해야 한다.
13.3.3.2 스마트폰 응용프로그램 서비스를 제공하는 서버에 호스트 기반 방화벽 시스템을 설치 운용해야 한다· .
13.4 관 리 적 보 안
13.4.1 보안정책 및 조직
13.4.1.1
스마트폰 보안정책 수립시 “국가정보보안 기본지 침”, “정보통신망 보안관리 실무요령 등 관련규정” 을 준수하여야 한다.
13.4.1.2
국가 공공기관 최고경영자로부터 승인받은 문서화 된 스마트폰 보안정책을 수립하고 주기적인 검토 를 수행해야 한다.
13.4.1.3 스마트폰 보안담당자를 지정하여 역할과 책임을 명확히 정의해야 한다.
13.4.2 사고대응
13.4.2.1 스마트폰 사용자가 준수해야 할 해킹사고 대응을 위한 매뉴얼을 개발해야 한다.
13.4.2.2
이동통신사업자와 스마트폰 보안사고 발생 시 로 그정보 등을 제공받기 위한 사전 협조체계를 구축 해야 한다.
13.4.3 보안교육
13.4.3.1
스마트폰 사용자들을 대상으로 안전한 업무활용 및 보안지침에 대한 정기적인 교육 계획을 수립하 여 실시하여야 한다.
13.4.3.2
시스템 운영자들을 대상으로 서버 네트워크 보안· 관리 요령에 대한 정기적인 교육 계획을 수립하여 실시하여야 한다.
13.4 관 리 적 보 안
13.4.4 시설보안
13.4.4.1 무선랜 시스템은 물리적으로 안전한 장소에 설치 되어 비인가자의 물리적 접근이 통제되어야 한다.
13.4.4.2 무선랜 시스템 설치 구역은 보안정책에 의해 출입 이 통제되어야 한다.
13.4.4.3 스마트폰 업무시스템 관리실을 제한구역으로 설 정 비인가자의 출입을 통제하여야 한다, .
13.4.4.4 장비별 관리책임자를 지정하여 운영하여야 한다.
13.4.5 소프트
웨어관리 13.4.5.1 업무용 소프트웨어에 대하여 도입전 취약점 분석 을 수행하여 보안조치를 하여야 한다.
- 59 -
중분류 통
제 소분류 세부통제 통제번호 통제내용
13.4 관 리 적 보 안
13.4.6 장비관리
13.4.6.1
스마트폰의 대여와 회수 분실 및 도난사고 발생, 시 신고절차 등을 기술한 업무용 스마트폰 단말관 리 지침서를 마련해야 한다.
13.4.6.2
스마트폰 서버의 유지보수 로그 이력관리 주기적, , 취약성 검사 장비 폐기시 절차 등을 기술한 스마, 트폰 서버관리 지침서를 마련해야 한다.
13.4.6.3 블루투스 장비들의 보안설정 준수여부를 정기적으 로 검사하여야 한다.
13.4.6.4 스마트폰과 연동되는 블루투스 장비들의 목록을 관리하여야 한다.
13.4.6.5 무선 AP의 보안설정 준수여부를 정기적으로 검사 하여야 한다.
13.4.6.6 스마트폰이 접속하는 무선 AP 장비 목록을 관리 하여야 한다.
13.4.7 규정준수
13.4.7.1
스마트폰을 이용한 인터넷 전화 도입 시 “국가 공· 공기관용 인터넷 전화 보안가이드라인 을 준수하” 여야 한다.
13.4.7.2
정보보호제품 도입 시 국정원정이 안전성을 확인 하거나 동등한 효력이 있다고 인정한 정보보호 제 품을 사용하여야 한다.
13.4.7.3 신규 스마트폰 업무시스템 도입 시 국정원의 보안 성 검토를 사업계획 단계에서 수행하여야 한다.
- 61 -
- 63 -
40) 강다연 장명희· (2012), “해운항만조직 구성원들의 정보보안정책 준수에 영향을 미치는 요인”, 한국항만경제학회지 , 제28 ,집 제 호1 , pp. 1-23.
「 」
41) Marco Thorbruegge, Slawomir Gorniak(2008), “EISAS-European Information Sharing and Alert System A Feasibility Study 2006/2007,” European Network and Information Security Agency(ENISA).
42) 유진호 지상호 송혜인 정경호 임종인· · · · (2008), “인터넷 침해사고에 의한 피해손실 측정”, 「정보 화정책」, 제15 ,권 제 호1 , pp.3-18.
43) 한국정보보호진흥원(2007), “2007 정보보호 실태조사 기업편- ”, 정보통신부.
44) 장명희(2009), “해운 항만기업 정보시스템 리스크요인에 대한 발생가능성 영향력 분석과 상· , 대적 중요도 평가”,「해운물류연구」, 제25 ,권 제 호1 , pp.57-82.
45) 김보령(2011), “스마트워크 환경에서의 전자정부 정보보호관리체계 유효성에 관한 연구”, 고 려대학교 박사학위논문.
46) 파이낸셜뉴스, “전 세계 79% 기업 모바일 보안 사고 경험, ”, 2013.06.11.
47) Dimensional Research(2013), The Impact of Mobile Devies on information Security: A Survey of IT Professionals, Check Point.
- 65 -
48) 전남재(2010), “정보보호관리체계를 활용한 금융권 정보보호 모델 연구”, 건국대학교 석사학 위논문.
49) 김영화(2011), “전력분야 정보보호관리체계에 관한 연구”, 고려대학교 석사학위논문. 50) 여기호(2012). “의료기관 정보보호관리체계 적용에 관한 연구”, 건국대학교 석사학위논문. 51) 전용식(2009), “항만 보안 정보시스템 구축 주요 성공요인에 관한 연구”, 동아대학교 석사학
위논문.
- 66 -
- 68 -
- 70 -
- 72 -
- 74 -
- 76 -
52) 김보령(2011), “스마트워크 환경에서의 전자정부 정보보호관리체계 유효성에 관한 연구”, 고 려대학교 박사학위논문.
53) 김혜린(2012), “안전한 스마트워크 환경 구축을 위한ISMS 기반의 정보보호 감리모형”, 건국 대학교 석사학위논문.
- 78 -
- 80 -
- 82 -
54) 장호익 한호현 이남용 조창희· · · (2010), “정보보호관리체계 통제사항 선정 모델 연구”, 「한국통 신학회 , Vol, 35, NO, 8, pp.195-204.」
55) 김영화(2011), “전력분야 정보보호관리체계(EP-ISMS)에 관한 연구”, 고려대학교 석사학위논 문.
56) 여기호(2012). “의료기관 정보보호관리체계 적용에 관한 연구”, 건국대학교 석사학위논문. 57) 전남재(2010), “정보보호관리체계를 활용한 금융권 정보보호 모델 연구”, 건국대학교 석사학
위논문.
- 84 -
58) Saaty, T. L.(1977), “A Scaling Method for Priorities in Hierarchecal Structures,”
Joural of Mathematical Psychology, Vol. 15, No. 3, pp.234-281.
59) Saaty, T. L.(1986), “Exploring mization through Hierarchies and Ratio Scales,”
Socio-Economic Planning Science, Vol. 20, No. 6, pp.355-360.
60) Harker, P.(1989), “The Art and Science of Decision Making : The Analytic hierarchy Process,” In B. L. Golden, E. A. Wasil, and P. T. Harker, The Analytic Hierarchy Process, Springer-Verlag, Berlin-Heidelberg.
61) 조근태 조용곤 강현수ㆍ ㆍ (2005), 「앞서가는 리더들의 계층분석적 의사결정」, 동현출판사, pp.5-11.
- 86 -
∙ ∙
⋯
λ λ
- 88 -
λ λ
λ
- 90 -
62) 김대기 권오경․ (2002), “ 3제 자 물류업체 선정을 위한 평가항목 개발 및 우선순위 설정에 관한 연구”,「경영과학」, 제20 ,권 제 호2 , pp.151-163.
- 92 -
- 94 -
- 96 -
- 98 -
- 100 -
- 102 -
- 104 -
- 106 -
- 108 -
- 110 - .
- 112 -
