• 한국인터넷방송통신학회논문지
• /
• 제15권6호
• /
• pp.283-290
• /
• 2015

산업혁명 이후 지식 정보화 사회로 발전되면서 기업 내부 정보의 가치는 갈수록 증가하고 있다. 특히 금융회사는 대부분의 내부정보가 개인정보나 금융거래 정보를 포함하고 있어 내부정보의 유출은 단순히 해당 기업의 업무 정보 유출 차원을 넘어, 궁극적으로 고객의 신뢰를 존립 기반으로 하는 금융회사의 특성상 기업의 영업기반이 한순간에 무너질 수도 있는 리스크가 걸린 문제이기도 하다. 최근 내부 정보의 대량 유출 사고가 다수 기업에서 발생하면서 금융회사를 포함한 많은 기업에서 기업의 주요 전략적인 정보와 함께 고객정보의 유출 사고를 예방하기 위해 많은 노력을 기울이고 있다. 본 논문에서는 금융회사에서 발생한 내부 정보 유출 사례와 금융회사에 내부 정보 유출 통제를 위해 구축한 주요 보안 체계 및 내부정보 유출 통제에도 불구하고 잔존할 수 있는 PC보안 취약점에 대해 설명하고, 사이버 침해 위협이 증가로 인한 사용자 PC 보안위협 대응방안에 대해 제시한다.

• 정보보호학회지
• /
• 제21권4호
• /
• pp.62-68
• /
• 2011

인터넷의 활용이 커짐에 따라 사용자의 식별자와 개인정보를 안전하고 편리하게 관리하는 ID 관리 기술이 필수 기술이 되고 있다. 최근 개인정보의 유출 및 해킹 사고가 국내외적으로 빈번하게 발생함에 이를 방지하기 위한 ID 관리 기술에 대한 필요성이 더욱 커지고 있다. 본 고에서는 ID 관리 기술에 대한 연구 동향을 살펴보고 ID 관리 시장에 대한 국내외 동향에 대하여 기술한다. 또한 최근 스마트폰의 확산에 따라 이슈화되고 있는 모바일 ID 관리 기술에 대하여 기술한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 추계학술발표대회
• /
• pp.702-705
• /
• 2017

최근 들어 개인정보 보호의 중요성에 대한 인식이 높아지고 있다. 개인정보 위협 요소 증가 및 유출 사고 증가 등으로 개인정보 보호 필요성이 높아지고 있으며, 개인정보보호법 발효 및 시행에 따른 기술적 보호 마련을 위하여 외국계 카드 발행사에서 지속적으로 PCI DSS(Payment Card Industry Data Security Standard)의 준수를 요청하고 있다. 카드 소유자의 데이터를 전송, 처리, 저장하는 환경에 대한 인증으로 적격업체 선정의 자격을 주기도 한다. 이러한 보안성 심의 기준이 강화되고 있으나 DB 암호화 제품인 TDE(Transparent Data Encryption) 방식의 암호화 방법은 암호화 기능 이외에 접근제어, 키 기밀성 보장을 위한 옵션의 추가 도입 검토가 필요하며, 서비스를 위해서 DB 전용 메모리 영역(SGA)의 Buffer Cache에 평문(Plain Text)으로 복호화한 후 로드하여 사용하므로 예상치 못한 또 다른 심각한 데이터 유출의 위험이 있다. 본 논문에서는 개인정보 암호화 방법을 연구하고 구현과정에서 발생한 문제에 대한 해결 과정을 설명하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 추계학술발표대회
• /
• pp.942-945
• /
• 2012

최근 개인정보 노출에 의한 다양한 사건, 사고 발생에 의해 개인정보보호에 관련된 많은 이슈들이 문제시 되고 있다. 특히 과금, 결제에 활용되는 금융정보 노출 문제는 사용자들의 금전적인 피해를 발생시킬 수 있다. 이와 같은 문제점을 해결하기 위해 높은 암호학적 강도를 가진 암호알고리즘을 적용한다 하더라도 다양하고 끊임없는 공격에 의해 결국 사용자의 신원 또는 금융 결제 정보가 노출될 가능성을 가진다. 최근 한국인터넷진흥원에서 발표한 "NFC 개인정보보호 대책 최종보고서"에 따르면 개인 정보 암호화를 부분적으로 미지원하거나 불필요한 개인정보의 과도한 수집 및 저장 등이 문제점으로 제기되었으며 Google사의 Google Wallet 서비스의 개인정보 유출 사고 또한 이러한 문제점을 뒷받침하는 근거가 되고 있다. 본 논문에서는 기존에 서비스되고 있는 NFC 모바일 결제 서비스 상에서 결제정보의 이동 경로 별 결제 기술을 분석한다. 또한 가장 높은 등급의 모호성을 제공하는 환 서명을 이용하여 결제정보를 직접적으로 사용하지 않고 결제자를 증명할 수 있는 NTRU기반 환 서명 인증 기법에 대해 제안한다.

• 한국전자거래학회지
• /
• 제19권4호
• /
• pp.135-150
• /
• 2014

정보화 환경에서 개인정보의 수집 활용이 증가됨에 따라 개인의 프라이버시를 침해하는 개인정보 유출 및 오 남용되는 사고가 계속적으로 증가하고 있다. 이에 국가차원에서 개인정보 대량 유출사고 재발 방지 및 2차 피해 예방을 위해 관련 법률 규정 강화와 관련 법제를 바탕으로 개인정보취급기관에서 지켜야할 개인정보에 관한 안전성 확보에 필요한 보호조치 기준을 마련하였다. 이와 함께 관련 기준 항목별 중요도에 따른 우선순위 및 정량화에 대한 개선 연구도 함께 진행되었다. 그러나 법률에서 밝힌 안전성 확보조치 기준 및 개선연구의 경우 기준 항목에 대한 전문가 집단의 업무영역, 전문도등의 특성에 따른 분류와 차이점을 반영하지 않아 개인정보 처리기관에서 기준적용에 대한 합리적인 의사결정에 어려움이 존재한다. 따라서 이번 연구에서는 법률에서 요구한 개인정보의 안전성 확보조치 기준 평가를 위해 다양한 전문가의 참여와 각 전문가별 업무특성, 경험에 따른 가중치를 부여하고, 비모수적 검정을 통해 각 전문가 집단별 의견이 통계적으로 차이가 있는지 검정하여 좀 더 신뢰성 있는 기준별 가중치를 선별하여 개인정보 취급기관에서 우선 적용 가능한 합리적인 기준 제안을 목적으로 한다.

• 정보보호학회논문지
• /
• 제22권5호
• /
• pp.987-997
• /
• 2012

POS단말기란 카드결제 가맹점의 판매정보를 실시간으로 관리하는 시스템으로, 카드결제 기능이 함께 탑재되어 있어 판매 및 고객관리에 편의성을 제공해준다. 이러한 장점으로 인해 많은 가맹점들이 POS단말기를 설치하여 사용하고 있지만 내부에 저장된 매출정보, 카드유효기간, 비밀번호, 카드 검증 값 등과 같은 결제정보가 외부의 해킹이나 내부자의 부정으로 인해 카드회원 신용정보 유출 및 위조카드 등과 같은 사고의 원인이 되고 있어 해결책이 시급한 시점이다. 본 논문에서는 POS단말기의 해킹 및 위 변조로 인해 발생하는 개인정보 유출과 관련된 사고를 사전에 방지하기 위하여 화이트 리스트 기반의 POS 시스템 내 소프트웨어 무결성 검증 기법을 제안한다. 제안된 방식은 소프트웨어의 무결성을 제공하여 현재 암호화와 보안 솔루션에 의해 검증되어 설치된 프로그램의 변조를 방지하여 외부로부터의 위협 뿐 아니라 내부자에 의한 개인정보 유출 및 부정사용을 사전에 방지할 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 추계학술발표대회
• /
• pp.540-543
• /
• 2014

수많은 데이터를 사용하는 기업 및 기관들은 전용 데이터베이스를 구축하여 모든 정보들을 저장, 관리하고 있다. 개인정보를 포함하여 비인가된 중요 정보들이 저장되어있음에도 불구하고 대부분의 경우 데이터베이스에 대한 보안적용이 되어있지 않거나 아주 미비한 상태이다. 보안사고의 대부분이 데이터베이스에 저장된 중요 정보가 유출되는 점을 보았을 때 데이터베이스 자체에 대한 보안시스템을 구축하여 예방하는 것이 보안사고의 피해를 막을 수 있는 가장 핵심적인 방법이라 할 수 있다. 이에 본 연구에서는 네트워크 패킷을 모니터링하여 데이터베이스의 성능에 영향을 미치지 않고 보안기능을 수행할 수 있는 Sniffing 을 이용한 방안을 제안한다. 제안 보안시스템은 별도의 하드웨어에서 기능을 수행하며 운영 중인 데이터베이스에 서비스의 중단 없이 보안시스템을 구축할 수 있도록 하였다. Sniffing 방식에서 접근제어 기능을 수행 할 수 있도록 알고리즘 설계를 하였으며 감사 로그를 기록할 때 가장 많은 부분을 차지하는 SQL 에 대해 MD5 해시함수를 적용하여 해당 로그에 대한 데이터크기를 크게 줄일 수 있었다. 운영중인 데이터베이스 환경에 영향을 주지 않으면서 높은 수준의 감사성능을 제공하고 다양한 보안 정책을 간단하게 적용할 수 있도록 구현하였으므로 데이터베이스에 저장된 중요정보의 유출을 예방하고, 보안사고가 일어났을 때 추적 및 증거자료로 활용할 수 있을 것이다.

• 정보보호학회지
• /
• 제23권1호
• /
• pp.68-77
• /
• 2013

최근 들어 개인정보 유출 사고가 빈번히 발생하고 있어, 개인정보 보호를 위한 법제도적 대책뿐만 아니라 기술적 보호대책의 강화가 요구되고 있다. 그러나 국가마다 지역마다 서로 다른 개인정보보호관련 법 제도적 요구사항의 상이는 서로 다른 보호조치 수준을 초래하며, 이는 궁극적으로 국가 간 또는 지역 간 개인정보의 자유로운 이전의 커다란 장애물이 되고 있다. 따라서 글로벌하게 합의된 프라이버시 원칙이 요구되었으며, 이에 기반을 둔 보호대책(control)의 개발이 필요하게 되었으며, 이 보호대책은 기업에 의해 수립되는 개인정보보호관리체계 (PIMS, personal information management system)의 인증 기준이 되며, 개인정보관리체계의 인증은 국가간 개인정보보호의 원만한 이동을 가능케 할 것이다. 본 논문에서는 각각 경제협력개발기구(OECD), 아시아태평양경제협력기구(APEC), 그리고 국제표준화 기구인 ISO/IEC, 그리고 한국 정보통신기술협회(TTA) 정보통신단체표준에서 정의된 프라이버시 원칙을 살펴보고, 각 프라이버시 원칙을 비교한다. 또한, 최근 구글의 개인정보통합관리에 대응할 수 있는 비연결성(unlikability) 원칙을 포함한 추가적인 프라이버시 원칙도 제시한다. 참고로 본 논문의 내용은 TTA 표준[4] 개발 시에도 반영 되었다.

• 융합보안논문지
• /
• 제24권2호
• /
• pp.141-150
• /
• 2024

최근 개인정보 유출에 대한 사고가 빈번하게 발생함에 따라 개인정보보호에 대한 관심이 높아지고 있다. 또한, 블록체인 기술의 등장과 함께 블록체인을 적용한 자기주권 신원 모델에 대한 관심이 높아지고 있으며, 이를 실현하기 위해 DID에 대한 연구도 꾸준히 이루어지고 있다. 하지만 대학 내 전산시스템은 수많은 개인정보 등의 주요 정보를 저장하고 활용하지만, 중앙화된 정보시스템을 기반으로 운영 및 관리되고 있으며, 이에 따른 개인정보 유출 사고사례도 매년 발생하고 있다. 따라서 본 논문에서는 대학 내 적용 가능한 DID 기반의 전산시스템을 제안하고 이를 구현한다. 또한, 대학 내에서의 대표적인 서비스를 설정하고 구현 시스템에서 수행한다. 제안하는 시스템은 영지식증명을 기반으로 사용자의 자기주권 신원을 보장할 수 있으며, 기존의 중앙화된 시스템에서 벗어나 안전한 대학 내 통합정보시스템을 구성할 수 있다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1319-1328
• /
• 2014

최근 네트워크의 발달로 개인정보의 수집, 처리 등이 용이해진 반면 개인정보 유출로 인한 고객과 금융기관, 나아가 국가적 손실이 증대되고 있다. 따라서 금융기관의 개인정보 유출로 인한 정신적 피해나, 불법 유통된 개인정보를 활용한 금융거래로 인해 발생하는 추가적 피해와 관련된 방지 대책이 요구되고 있는 실정이다. 현재 금융기관에서는 중요문서(개인정보 포함)뿐만 아니라 공개문서의 열람방식에 있어서 직급이나 직위에 따른 접근통제방식을 수행하고 있다. 그리하여 기밀성을 요구하는 문서일지라도 동일 직급, 동일 직위이면 정당한 방법으로의 열람, 접근이 가능하다. 이를 개선하기 위한 방안으로 문서의 보안등급을 적용하고 보다 효과적인 접근통제를 통해 개인정보 유출 사고를 사전에 방지하고자 한다.