최소 단어 이상 선택하여야 합니다.
최대 10 단어까지만 선택 가능합니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.1, 2017년, pp.115 - 128
정대용 (고려대학교 정보보호대학원) , 김기범 (고려대학교 정보보호대학원) , 이상진 (고려대학교 정보보호대학원)
The methods of electronic financial fraud continue to evolve. Various research and countermeasures have been proposed to counter this problem, but it is difficult to eradicate it. The purpose of this study is to analyze the risk of electronic financial fraud through MS Threat Risk Modeling and to pr...
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
핵심어 | 질문 | 논문에서 추출한 답변 |
---|---|---|
피싱이란 무엇인가? | 피싱이란 피해자를 기망 또는 협박하여, 개인정보 및 금융거래 정보를 요구하거나, 피해자의 금전을 이체하도록 하는 수법을 말한다. 이는 전화, 메신저 등을 통해 피해자를 착오 빠트려 스스로 정상적인 이체 거래를 하게 하는 방식과 피해자로부터 개인정보와 금융거래 정보를 취득하여 공격자가 직접 인증과정을 통과하여 금전을 이체하는 수법을 포함한다. | |
기존에 발표된 위험분석 방법론으로는 어떠한 것이 있는가? | 기존에 발표된 위험분석 방법론으로는 ISO/IEC TR 13335(GMITS), 영국 표준협회의 BSM7799, NSA의 IAM, NIST의 SP 800-30, 카네기멜론 대학의 OCTAVE, CRAMM, PRAM 등 다양하다[7]. 시스템 평가 모델은 전문성을 가진 보안기술자가 시스템에 사용된 응용프로그램의 유형과 위험관리도구의 적합성 등을 고려하여 적합한 평가 모델을 신중히 선택하여야 한다[8]. | |
Threat Risk Modeling의 세부적인 절차는 어떻게 구성되어 있는가? | 각 단계별로 ① Identify Security Objectives 단계에서는 보안의 객체(Objective) 즉, 시스템의 구성요소와 자산을 식별한다. ② Application Overview 단계에서는 식별된 보안 객체에 대하여 구성요소(Components), 데이터 흐름(Data flows), 신뢰 경계(Trust boundaries)를 식별하기 위해 DFD(Data Flow Diagram)를 작성한다. ③ Decompose Application 단계에서는 분석된 어플리케이션 구조를 통해 평가할 필요가 있는 보안에 영향을 미치는 요소들을 확인하고 분석한다. 구체적인 방법으로 STRIDE 기법을 통해 공격자의 입장에서 어떠한 방법으로 공격할 수 있는지 식별하는 단계이다. ④ Identify Threats 단계에서는 현재까지 알려진 다양한 위협을 기술하고, 이때, 구조화된 Attack Tree를 사용한다. ⑤ Identify Vulnerabilities 단계에서는 분석된 위협을 평가하고 관련된 취약점을 검토한다. 확인된 위협과 취약점을 통해 위험을 측정하는 단계로서 DREAD 모델을 사용한다. 이를 통해 각각의 위협에 등급을 부여하고 이를 종합하여 위험을 측정한다[9]. |
FSC(Financial Services Commission) and FSS(Financial Supervisory Servi ce), "Electronic Financial Fraud Prevention Service Test Operation- EnforcementofIdentificationProcedure on Replacement of Certificate and Electronic Transaction," Press Release, Sep. 14, 2012.
Ji Hwon Song, So Jun Ryu, "Malware evolution... Phising and Qshing Attack PC . Smartphone at same time," KISA Internet & Security Focus, pp. 36-54, Jul. 2014.
Yonhap News, "ARS certification require ments in the chat window... appeared ne w financial fraud," http://www.yonhapn ews.co.kr/economy/2014/03/20/0301000 000AKR20140320180900002.HTML, Mar. 2014.
ISO/IEC, "Standard 13335-1: Information technology - Security techniques - Management of information and communications technology security," Nov. 2004.
Korea Information Security Agency, "Guide to Information Security Management System Risk Management," Nov. 2004.
Cha Won Joo, "A Study on risk analysis and countermeasures of the type of cyber breaches to Public institutions," Master's Thesis, Korea University, Jun. 2013.
OWASP(The Open Web Application Security Project), "Threat Risk Modeling", Available : https://www.owasp.org/index.php/Threat_Risk_Modeling
Joon ho Sa and Sangjin Lee, "Real-time Phishing Site Detection Method," Journal of The Korea Institute of Information Security and Cryptology, 22(4), pp. 819-825, Aug. 2012.
Ki-Hong Park, Jun-Hwan Lee and Han-Jin Cho, "Countermeasure against Social Technologic Attack using Privacy Input-Detection,"?The Journal of the Korea Contents Association,?12(5), pp. 32-39, May 2012.
Kim Kyoung Gon. et al., "Using Threat Modeling for Risk Analysis of SmartHome," Proceedings of Symposium of the Korean Institute of communications and Information Sciences, pp 378-379, Nov. 2015.
Microsoft, "Threat Modeling Web Applications," Available : https://msdn.microsof t.com/library/ms978516.aspx
Microsoft, "The STRIDE Threat Model," available : https://msdn.microsoft.com/en-us/library/ee823878(vcs.20).aspx
Woori bank, "ARS certified fraud through real-time chat window," Available : http s://spot.wooribank.com/pot/Dream?wit hyouCQSCT0116&ARTICLE_ID1509 5&BOARD_IDB00301&bbsModeview
Schneier, Bruce, "Attack Trees," Dr. Dobb's Journal of Software Tools, 24(12), pp. 21-29, Dec. 1999.
Microsoft, "Threat Modeling," available : https://msdn.microsoft.com/en-us/library/ff648644.aspx.
Financial Security Agency, "Research Report on the New Authentication Technologies for Electronic Financial Transaction," Financial Security Agency's Research Report. 2011-01, pp. 38-48, Mar. 2011.
The Bank of Korea "2016 1stQ, the domestic Internet banking service usage," Press Release, May 2016.
*원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다.
Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문
※ AI-Helper는 부적절한 답변을 할 수 있습니다.