$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

사례 위주로 본 공급자망을 중심으로 한 IT제품 보안 위험
Case studies : Security issues of IT products in terms of supply chain 원문보기

디지털산업정보학회논문지 = Journal of the Korea Society of Digital Industry and Information Management, v.12 no.4, 2016년, pp.89 - 96  

최웅철 (광운대학교 컴퓨터소프트웨어학과)

Abstract AI-Helper 아이콘AI-Helper

Before an IT product is used, there is a sequence of the process such as the components supply-demand of the product, their assembly and production, their logistics and delivery, and then finally, the product can be used by a user. During this sequence of the process, there can be many security expo...

주제어

#Industrial Security   #Security Control   #Supply Chain  

AI 본문요약
AI-Helper 아이콘 AI-Helper

문제 정의

  • 이미 ISO에서는 이러한 공급자망의 보안 위협에 대한 보안 프레임워크로써 ISO 28000:2007 Specification for security management systems for the supply chain[1] 이라는 표준안을 오랜 검토 끝에 제정하였음에도 불구하고, 부품에서부터 완제품까지, 그리고 소비자에게 제품이 인도되어 사용될 때 까지 여러 단계에서 약한 연결고리(weak link)에 대한 보안 위협 및 위험들이 끊임없이 나타나고 있다. 본 논문은, 다양한 형태의 보안 위험을 가진 제품들이 시중에서 사용되었던 다수의 사례들을 살펴봄으로써, 공급자망을 통한 제품의 보안 위협에 대한 문제를 제기하고, 보안 통제가 어떤 식으로 무력화되는지에 대한 주의를 환기시키고자 한다. 또한 보안 통제의 각 요소의 중요성 및 비대칭 보안 위협과 관련한 심각한 문제들을 살펴봄으로써 보안 통제에 대한 주의를 제고하고자 한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
공급자망을 통한 보안위협은 무엇인가? 공급자망을 통한 보안위협은 광의적 의미의 보안 위협으로써, 네트워크에 접속되는 IT제품을 각종 보안 위협에 감염 시킨 채 공급하는 것을 의미한다. 이 위협이 가능한 이유는, 오늘날 대부분의 IT제품들이 제조될 때, 전 세계의 부품업체들로부터 가격대성능비가 좋은 부품을 구매하거나, 또는 생산을 아웃 소싱할 수 있다.
IT제품의 보안 위협이 보안 위험으로 될 가능성이 높은 과정은 무엇인가? 오늘날 디지털 시대에 사용되는 IT제품들이 최종 완제품이 되기까지, 그리고 최종 사용자에게 인도되어 사용되기까지 과정을 보안 통제 관점에서 살펴보면, 여러 과정을 거치는 동안 보안 위협에 노출될 가능성이 매우 높다는 것을 알 수 있다. 제품 생산자의 입장에서는 좀 더 좋은 제품을 좀 더 낮은 가격으로 생산하기 위하여, 부품 수급에서부터 단위 모듈, 그리고 조립에 이르기까지 많은 과정에서 전 세계의 관련 업체들과 협력하게 되고, 따라서 이 과정에서 보안 위협이 보안 위험으로 될 가능성은 매우 높다고 하겠다. 이미 ISO에서는 이러한 공급자망의 보안 위협에 대한 보안 프레임워크로써 ISO 28000:2007 Specification for security management systems for the supply chain[1] 이라는 표준안을 오랜 검토 끝에 제정하였음에도 불구하고, 부품에서부터 완제품까지, 그리고 소비자에게 제품이 인도되어 사용될 때 까지 여러 단계에서 약한 연결고리(weak link)에 대한 보안 위협 및 위험들이 끊임없이 나타나고 있다.
공급자망을 통한 보안위협이 가능한 이유는 무엇인가? 공급자망을 통한 보안위협은 광의적 의미의 보안 위협으로써, 네트워크에 접속되는 IT제품을 각종 보안 위협에 감염 시킨 채 공급하는 것을 의미한다. 이 위협이 가능한 이유는, 오늘날 대부분의 IT제품들이 제조될 때, 전 세계의 부품업체들로부터 가격대성능비가 좋은 부품을 구매하거나, 또는 생산을 아웃 소싱할 수 있다. 그리고 제품의 조립 또한 인건비가 저렴한 제 3국가에서 조립하여 공급하거나, 또는 물류 또한 아웃소싱함으로써, 생산에서부터 최종소비자가 IT제품을 구매하여 사용할 때까지, 단일 보안 통제하가 아닌, 보안 통제가 결여된 여러 단계를 거침으로써, 보안 위협에 쉽게 노출될 가능성이 있다는 것이다. 이렇게 공급된 IT제품은 최종사용자가 IT제품을 사용하는 경우 보안 위협에 바로 노출될 수 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (17)

  1. ISO 28000:2007, http://www.iso.org/iso/catalogue_detail?csnumber44641, ISO 

  2. Raul Roldan, http://www.zdnet.com/article/fbi-counterfeit-cisco-routers-risk-it-subversion/, ZDNET, 2008. 

  3. Andover Test for Real/Fake Cisco, http://www.andovercg.com/services/cisco-counterfeit-wic-1dsu-t1.shtml, Andover. 

  4. Zeriva Anti-Counterfeit Process, http://www.zeriva.com/cisco-refurb/refurb-process/zerivaanti-counterfeit-process/, Zeriva. 

  5. Dept. of Homeland Security. https://www.dhs.gov/, US Government. 

  6. Robert McMillan, http://www.infoworld.com/article/2650800/security/seagate-ships-virus-laden-hard-drives.html, Infoworld, 2007. 

  7. Michael Lee, http://www.zdnet.com/article/aldi-sells-hard-drives-with-malware-inside/, ZDNET, 2011. 

  8. Darren Pauli, http://www.crn.com.au/news/aldi-recalls-conficker-infected-hard-drives-265264, CRN, 2011. 

  9. Virus Bulletin, https://www.virusbulletin.com/blog/2008/04/hp-ships-infected-usb-keys, Virus Bulletin, 2008. 

  10. HP 고객지원센터, http://h20564.www2.hpe.com/hpsc/doc/public/display?docIdemr_nac01404119, HP, 2008. 

  11. Anonymous, http://blog.irreverence.co.uk/?p509, 2008. 

  12. Associated Press, https://www.theguardian.com/technology/2012/sep/14/malware-installed-computers-factories-microsoft, TheGuardian, 2012. 

  13. Robert Charette, http://spectrum.ieee.org/riskfactor/computing/it/thumb_drive_security _peril_at, IEEE Spectrum, 2008. 

  14. 성상훈, http://www.ittoday.co.kr/news/articleView.html?idxno58403, 아이티투데이, 2015. 

  15. Swati Khandelwal, http://thehackernews.com/2016/09/xiaomi-android-backdoor.html, The Hacker News, 2016. 

  16. 정병호, "기밀정보 유출 경험을 가진 기업들의 정보사고 대응역량 강화에 관한 연구," 디지털산업정보학회 논문지, 제12권, 제2호, pp. 73-86. 

    원문보기 상세보기

  17. 김정은, 김성준, "정보보호관리체계(ISMS)를 이용한 중소기업 기술보호 개선방안 연구," 디지털 산업정보학회 논문지, 제12권, 제3호, pp. 33-54. 

    원문보기 상세보기

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

BRONZE

출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로