The Journal of the Institute of Internet, Broadcasting and Communication (한국인터넷방송통신학회논문지)

The Institute of Internet, Broadcasting and Communication (한국인터넷방송통신학회)
권호 표지
DOI QR코드

DOI QR Code

A Case Study on the Application of Security Policy for Outsourcing Personnel in case of Large-Scale Financial IT Projects

금융회사 대형 IT프로젝트 추진 시 외주직원에 대한 보안정책 적용 사례 연구

  • 손병준 (고려대학교 정보보호대학원) ;
  • 김인석 (고려대학교 정보보호대학원)
  • Received : 2017.07.20
  • Accepted : 2017.08.11
  • Published : 2017.08.31
Download PDF
⟨ Previous Next ⟩

Abstract

Financial firms strengthen to protect personal information from the leakage, introducing various security solutions such as print output security, internet network Isolation system, isolationg strorage of customer information, encrypting personal information, personal information detecting system, data loss prevention, personal information monitoring system, and so on. Financial companies are also entering the era of cutthroat competition due to accept of the new channels and the paradigm shift of financial instruments. Accordingly, The needs for security for customer information held by financial firms are keep growing. The large security accidents from the three card companies on January 2014 were happened, the case in which one of the outsourcing personnel seized customer personal information from the system of the thress card companies and sold them illegally to a loan publisher and lender. Three years after the large security accidents had been passed, nevertheless the security threat of the IT outsourcing workforce still exists. The governments including the regulatory agency realted to the financail firms are conducting a review efforts to prevent the leakage of personal information as well as strengthening the extent of the sanction. Through the analysis on the application of security policy for outsourcing personnel in case of large-scale Financial IT projects and the case study of appropriate security policies for security compliance, the theis is proposing a solution for both successfully completing large-scale financial IT Project and so far as possible minizing the risk from the security accidents by the outsouring personnel.

금융회사에서는 내부자에 의한 개인정보유출 방지 및 내부통제 강화를 위하여 출력물 보안, 인터넷 망 분리시스템, 고객정보분리보관, 개인정보 암호화, 개인정보검색, DLP(Data Loss Prevention), 출력물보안, 개인정보모니터링 시스템 등의 보안 솔루션을 도입 운영하고 있다. 아울러 금융회사는 금융 소비채널의 변화 및 금융상품의 패러다임 변화를 겪으며 무한경쟁시대로 진입하고 있다. 금융회사가 보유한 고객정보의 보안에 대한 필요성이 높아지고 있다. '2014년 1월 발생한 카드 3사 대량고객정보 유출 사고는 외주 직원 한 명이 주요 카드사의 고객 개인정보를 탈취하여 대출광고업자와 대출모집인에게 팔아 넘겨졌던 사례이다. 대형 보안사고가 발생한지 3년여의 시간이 흐른 지금도 IT 외주인력의 보안 위협은 여전하다. 정부 및 감독기관은 '금융분야 개인정보 유출 재발방지 종합대책' 이행 점검 및 개인정보유출에 대한 금융회사 제재수준 강화를 진행하고 있다. 본 논문은 금융회사 대형 IT프로젝트 추진 시에 외주직원에 대한 보안정책 적용 사례 분석을 통해 IT프로젝트 성공 및 효율적인 보안 준수를 위한 정책 설정을 연구함으로서 대형 IT프로젝트의 성공과 외주인력의 보안사고 위험도를 최소화할 수 있는 방안을 사례를 통해 제시해 보고자 한다.

Keywords

References

  1. Yonhapnews, http://www.yonhapnews.co.kr/economy/2014/02/13/0301000000AKR20140213044400002.HTML
  2. Wow Korea Economic News, http://www.sostv.co.kr/newcenter/news/view.asp?bcode=T30001000&artid=A201
  3. National Intelligence Service, "2016 National Information Protection White Paper"
  4. Financial Supervisory Service, Financial Supervisory Service Infomation Disclosure System
  5. Electronic Financial Supervisory Reguration.
  6. Act on the Use and Protection of Credit Information Private Act.
  7. Jae-yoon Sim, "A Study on Information Access Control Policy Based on Risk Level of Security Incidents about IT Human Resources in Financial Institutions" Graduate School of Koear University, 2015. DOI : http://dx.doi.org/10.13089/JKIISC.2015.25.2.343
  8. Yeong=jin Choi, "A Study on Data Security Control Model of the Test System in Financial Institutions" Graduate School of Koear University, 2014. DOI : hhttp://dx.doi.org/10.13089/JKIISC.2014.24.6.1293