• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 추계학술발표논문집 (하)
• /
• pp.1953-1956
• /
• 2003

현재 기관들은 정보통신기반시설에 대한 위험을 여러 가지 다른 방식으로 분석하고 있다. 또한, 각종 위험관리방법론, 지침 및 절차, 수준 측정 등에서 사용되는 기준들 사이에는 일관성이 없거나 서로 비교할 수가 없는 경우가 많다. 해당 기관의 보안 목표와는 상관없이 보안시스템이 설치 운영되고 있으며 그나마 없는 경우도 많다. 또한 당국에 보고하는 위험 분석 결과와 실제 기관 내에 위험 통제를 하기 위해 사용하는 위험 분석 결과도 서로 다른 경우가 흔하다. 기관 전체 차원에서의 일관성 있는 보안위험관리 방법의 부재로 말미암아 경제적으로 효율적인 위험 관리가 불가능하다고 할 수 있다. 본 논문에서는 이러한 문제점을 해결하기 위하여 정보통신기반시설에 대한 보안위험관리시스템을 제안하고 이에 대한 구현 방안을 제시한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 1997년도 종합학술발표회논문집
• /
• pp.68-77
• /
• 1997

국내에서도 정보시스템 보안관리가 체계화되면서 보안컨설팅 분야가 중요한 분야로 대두되고 있다. 보안관리에서 핵심부문인 위험분석에 대한 연구는 진행되어 왔으나 국내환경에 적용하기 어려운 점이 많았다. 특히 정보시스템에 대한 분석기준과 정량화가 전무한 국내에서 외국산 위험분석 도구 등을 이용한 분석결과가 객관성을 갖기가 매우 어렵다. 따라서 위험분석 자동화 분석도구의 개발과 적용을 통하여 이러한 문제점을 고찰하고 국내 환경에서 위험분석을 실시할 수 있는 환경을 위하여 필요한 해결방안을 살펴보았다.

• 한국사이버테러정보전학회:학술대회논문집
• /
• 한국사이버테러정보전학회 2004년도 제1회 춘계학술발표대회
• /
• pp.161-165
• /
• 2004

기업 네트워크 환경 및 인터넷 상에서 발생할 수 있는 보안상의 취약점들은 악의를 가진 내외부의 공격자들에게 악용될 가능성이 있다. 이러한 상황은 기업으로 하여금 정보 자산의 유출 및 파괴 등의 물리적인 피해와 더불어 복구를 위한 인력 및 시간의 소요 등 금전적인 손해를 야기시킨다. 이에 정확한 네트워크 보안 위험을 분석하여 이러한 피해의 가능성을 사전에 파악하고, 예방할 수 있는 방안을 마련하여 최대한의 보안성을 확보하여야 한다. 본 고는 이를 해결하기 위한 네트워크의 보안 수준을 측정하고 분석할 수 있는 방법론을 살펴보고, 적절한 평가 절차 및 평가 수행 방법, 점검 항목을 해외이 대표사례와 국내 업체의 위험 분석 방법론 관하여 살펴본다.

• 한국재난정보학회 논문집
• /
• 제17권2호
• /
• pp.375-390
• /
• 2021

연구목적: 사이버보안 침해사고의 대부분은 중소기업에서 발생하고 있는데, 기존 사이버보안 프레임워크(Framework)와 인증체계 등은 주로 금융권이나 대기업에 초점이 맞추어져 있어 정보보안 예산과 인력이 부족한 중소기업이 활용하기에는 어려움이 많아 중소기업이 자율적으로 사이버위험관리를 할 수 있는 방안을 마련할 필요가 있다. 연구방법: 사이버보안 시장, 금융기관 사이버보안 항목, 사이버보안 프레임워크 비교, 언론에 보도된 사이버보안사고 등을 통해 사이버보안에 중요한 항목을 도출하고 이를 AHP 분석을 통하여 그 중요도를 분석하고, 손해보험사의 사이버보안 항목을 조사·비교 하였다. 연구결과: 주요한 사이버사고 원인 20가지에 대한 중소기업의 사이버위험관리 방안을 제시하였다. 결론: 본 연구에서 도출된 국내 중소기업의 사이버보안 위험평가방안이 향후 중소기업이 사이버보험 가입 시 그 기업의 위험평가에 도움이 되길 바라고 사이버 위험평가도 ERM 규격화의 한 부분에 포함되기를 희망해 본다.

• 전자공학회논문지CI
• /
• 제41권6호
• /
• pp.13-22
• /
• 2004

본 연구는 기존의 위험분석 방법론들이 갖는 절차상의 복잡성을 최소한으로 줄이기 위하여, 정보시스템보안관리를 위한 위험분석방법론을 제안한다. 제안한 위험분석방법론은 사전처리단계, 대응책설정단계, 사후처리단계의 3단계로 구성된다. 사전처리단계에서는 기본위험분석단계와 상세위험분석 단계로 나누어 실행하도록 하였다. 기본위험분석단계에서는 정보보안 체계가 구축되지 않았거나 단기간에 최소한의 보안 제어를 위한 수단이 필요한 경우 설정된 항목들을 점검하도록 하는 기본적인 보안 관리 단계이다. 상세위험분석단계에서는 자산, 취약성, 위협의 요소들을 분석하고 이를 기반으로 작성된 위험정도 산출표를 이용하여 위험의 정도를 13가지의 경우로 분류한다. 대응책설정단계에서는 위험의 정도에 따라 13가지의 위험정도를 수용, 무시, 감소 또는 이양 등으로 대응방법을 설정한 후, 물리적, 관리적, 기술적으로 대응책을 실행하도록 하였다. 마지막으로 사후관리 단계에서는 침투 테스트로 잔류위험을 평가하고, 보안정책수립과 감사 및 사고대응을 위한 대책이 이루어지도록 하였다.

• 한국전자거래학회지
• /
• 제15권4호
• /
• pp.143-163
• /
• 2010

본 연구의 목적은 보안침해의 위험이 날로 증가하는 상황에서 지식관리시스템에 대한 사용자들의 인지된 보안위험과 시스템 사용과의 관계를 설명할 수 있는 모형을 제안하고, 이를 실증하는 것이다. 지식관리시스템 사용자들을 대상으로 인지된 보안위험 수준을 조사한 결과 일반적 사용자들의 보안위험에 대한 인식 수준은 그리 높지 않았지만, 몇몇 조직의 사용자들의 보안위험 인식 수준은 높은 편이었다. 한편, 동일한 시스템을 사용하는 같은 조직에서도 사용자에 따라서 인지된 보안위험 수준의 차이가 있음을 발견하였다. 이는 사용자들이 인지하는 정보기술 시스템의 보안위험은 실제 시스템의 보안 체계에 대한 이해에 기반한 것이 아닌 사용자들의 개인적인 인지에 의한 것이라는 것을 실증하는 것이다. 또한 '신뢰'라는 매개변인을 통해 지식관리시스템의 사용에 미치는 영향을 분석한 결과, 사용자들이 인지하고 있는 보안위험은 시스템에 대한 신뢰에 부정적인 영향을 미치며, 신뢰는 시스템 사용에 대한 태도와 사용의도에 영향을 미치고 궁극적으로 시스템 사용에 영향을 미치는 것으로 나타났다.

• 정보보호학회지
• /
• 제22권7호
• /
• pp.46-53
• /
• 2012

클라우드 컴퓨팅의 보안 위험에 대한 여러 연구 결과들을 분석해 보고 퍼블릭 클라우드 컴퓨팅의 여러 비즈니스 모델의 특성을 기반으로 재분류를 통해 퍼블릭 클라우드 컴퓨팅 사용 기업이 고려해야 할 보안 위험과 대응에 대해 고찰하고자 한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2008년도 제38차 하계학술발표논문집 16권1호
• /
• pp.69-77
• /
• 2008

정보보호를 효율적이고 효과적으로 실천하는 방법으로 정보자산을 기준으로 위험관리를 수행하는 GMITS(ISO 13335)과 정보보호 관리체계 수립을 위한 ISMS(ISO 27001), 정보보호 능력성숙도 모델을 제시하는 SSE-CMM 등의 국제 표준이 존재한다. 그러나 각 표준은 위험관리를 위한 절차를 제시하거나 관리체계 수립방안, 그리고 능력성숙 수준을 제시하는 등 관리, 기술, 운영의 종합적인 보안방안을 제시하지는 못하고 있다. 또한 현 보안문제를 최고 관리자 수준에서 판단할 수 있는 종합적인 방안을 제시하지 못하고 있다. 본 논문에서는 정보시스템 보안평가를 통해 보안 기술, 관리, 운영측면의 문제점을 종합하여 위험관리가 가능하도록 하는 방안을 제안하고, 또한 제안한 위험관리를 통해 도출된 문제점을 최고관리자 수준에서 직관적으로 판단 할 수 있는 방안을 제시하여 정보보호 예산과 연계할 수 있는 방법을 제안한다.

• 한국컴퓨터정보학회논문지
• /
• 제24권11호
• /
• pp.99-107
• /
• 2019

사이버 보안을 위한 활동인 '위험관리(Risk management)'와 '보안관제(security monitoring)' 업무는 미래에 발생할 보안 위협에 대비하고 보안 사고를 최소화 하는 활동이라는 점에서 깊은 상관관계를 가지고 있다. 또한 위험관리와 보안관제 분야 모두 관리자에게 시각적으로 그 정보자산에 대한 위협을 보여주는 패턴 모델을 적용하는 것이 효과적이다. 검증받은 패턴모델로는 전통적인 품질관리 분야에서 오랫동안 사용되어온 '관리도'(control chart)모델이 존재하지만 정보시스템의 사이버 위험관리와 보안관제에서의 활용은 부족하다. 이에 본 논문에서는 위험관리와 보안관제 시스템을 통합한 사이버 SRM(Security Risk Monitoring)시스템을 설계하였다. SRM은 '관리도'의 패턴을 이용한 '보안대책' (security control)의 적용 전략을 제시한다. 보안대책은 기존의 표준화된 보안대책 집합인 ISMS, NIST SP 800-53, CC를 통합적으로 적용하였다. 이를 활용하여 2014~2018년 까지 4년간 우리나라사이버위기 경보동향을 분석하였고 이는 향후 보다 유연한 보안대책 수립을 가능하게 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2008년도 추계학술발표대회
• /
• pp.574-577
• /
• 2008

실제 소프트웨어 개발에서 지속적으로 보안관련 문제들이 발생하고 있으므로 이를 해결하기 위하여 소프트웨어 개발 주기의 초기 단계인 요구사항 분석단계에서 보안 요구사항을 추출하는 것이 필요하다. 이는 요구사항 분석 단계에 대한 투자가 소프트웨어 개발의 성공률을 높일 수 있기 때문이다. 보안 요구사항을 추출하는 기법에 대해서는 여러 방면으로 연구가 시작되었으나, 보안 요구사항을 토대로 향후 소프트웨어 개발과정에서의 보안관련 위험도를 산정하여 보안 투자의 우선순위를 정하는 기법은 아직 연구되어 있지 않다. 그러므로 본 논문에서는 추출된 보안 요구사항을 가지고 소프트웨어 보안에 대한 위험도를 산정하여 투자 비용의 우선순위를 산정하는 절차에 대해 제안한다.