• 한국인터넷방송통신학회논문지
• /
• 제16권6호
• /
• pp.255-264
• /
• 2016

정보통신기술의 급속한 발전으로 경제활동 분야에서 큰 변화를 가져오고 있으며 혁신적으로 변화하고 있는 것은 전자상거래라고 할 수 있다. 더불어 전자금융사기의 방법도 나날이 진화하면서 피해사례도 함께 늘어나고 있다. 이에 따라 전자금융 이상거래에 대한 분석 및 탐지가 되고 있으나 여전히 피해가 발생되고 있는 상황이다. 본 연구에서는 금융환경, 금융 IT 환경, 금융 IT보안 환경과 법제도적인 변화의 특성을 분석하고 현재 금융기관에서 운영되는 이상금융거래 탐지시스템의 한계점을 보완하기 위하여 효과적인 전자금융 이상거래 분석 및 탐지 관리 체계와 외부기관과의 정보공유 및 개인정보 수집 및 활용에 대한 고려사항을 제안하고자 한다.

• Asia pacific journal of information systems
• /
• 제22권1호
• /
• pp.53-77
• /
• 2012

Financial firms, especially large scaled firms such as KB bank, NH bank, Samsung Card, Hana SK Card, Hyundai Capital, Shinhan Card, etc. should be securely dealing with the personal financial information. Indeed, people have tended to believe that those big financial companies are relatively safer in terms of information security than typical small and medium sized firms in other industries. However, the recent incidents of personal information privacy invasion showed that this may not be true. Financial firms have increased the investment of information protection and security, and they are trying to prevent the information privacy invasion accidents by doing all the necessary efforts. This paper studies how effectively a financial firm will be able to avoid personal financial information privacy invasion that may be deliberately caused by internal staffs. Although there are several literatures relating to information security, to our knowledge, this is the first study to focus on the behavior of internal staffs. The big financial firms are doing variety of information security activities to protect personal information. This study is to confirm what types of such activities actually work well. The primary research model of this paper is based on Theory of Planned Behavior (TPB) that describes the rational choice of human behavior. Also, a variety of activities to protect the personal information of financial firms, especially credit card companies with the most customer information, were modeled by the four-step process Security Action Cycle (SAC) that Straub and Welke (1998) claimed. Through this proposed conceptual research model, we study whether information security activities of each step could suppress personal information abuse. Also, by measuring the morality of internal staffs, we checked whether the act of information privacy invasion caused by internal staff is in fact a serious criminal behavior or just a kind of unethical behavior. In addition, we also checked whether there was the cognition difference of the moral level between internal staffs and the customers. Research subjects were customer call center operators in one of the big credit card company. We have used multiple regression analysis. Our results showed that the punishment of the remedy activities, among the firm's information security activities, had the most obvious effects of preventing the information abuse (or privacy invasion) by internal staff. Somewhat effective tools were the prevention activities that limited the physical accessibility of non-authorities to the system of customers' personal information database. Some examples of the prevention activities are to make the procedure of access rights complex and to enhance security instrument. We also found that 'the unnecessary information searches out of work' as the behavior of information abuse occurred frequently by internal staffs. They perceived these behaviors somewhat minor criminal or just unethical action rather than a serious criminal behavior. Also, there existed the big cognition difference of the moral level between internal staffs and the public (customers). Based on the findings of our research, we should expect that this paper help practically to prevent privacy invasion and to protect personal information properly by raising the effectiveness of information security activities of finance firms. Also, we expect that our suggestions can be utilized to effectively improve personnel management and to cope with internal security threats in the overall information security management system.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.149-164
• /
• 2019

Digital Transformation과 4차 산업혁명 등 변화의 시대에 급변하는 기술 변화에 맞게 전자금융서비스는 안전하게 제공하여야 한다. 그러나 전기통신금융사기(보이스피싱) 사고는 현재진행형 이어서 사고의 지속적 증가, 지능화 및 고도화 현상을 대응하려 법률 제 개정 및 정책 제도 개선등 사고 근절을 위해 다양한 노력을 기울이고 있다. 더불어 금융회사는 이상금융거래탐지 시스템 개선 및 고도화를 통한 전기통신금융사기 사고 방지에 노력하고 있으나, 그 대응 결과는 그리 밝지 않다. 이러한 노력에도 불구하고 전기통신금융사기 사고는 관련 대책에 맞서 변화하며 진화를 거듭하고 있다. 본 연구에서는 보이스피싱에 의한 금융거래 사고발생 방지를 위해 시나리오 기반의 Rule 모델과 인공지능 알고리즘을 통해 모델링 된 지능형 이상금융거래 시스템을 설계하고 금융기관의 전자금융거래 시스템 에 실제 설치 운용해 본 결과를 바탕으로 인공지능형 이상금융거래 탐지시스템의 구현 모델과 분석 탐지 결과를 차단 대응 할 수 있는 고도화 된 대응 모델을 제안하고자 한다.

• 정보보호학회논문지
• /
• 제24권4호
• /
• pp.681-694
• /
• 2014

2011년 대형 금융 사고가 연달아 발생하자 정부는 인력, 조직, 예산을 포함한 전자금융감독 규정 전면 개정을 발표했다. 규정에 주요 내용은 전자금융거래법 대상 기업들은 전체 직원의 5%를 IT인력으로 채용하고, IT인력의 5%는 보안인력으로, 또 IT예산의 7%는 정보보호 예산으로 편성하게 하는 내용이었다. 본 연구는 전자금융감독 규정 전면 개정에 따른 금융보안 리스크 기반의 IT도급 정책 결정 방안에 대해 연구하였다. 외주인력 문제를 해결하기 위한 정책 결정 Flow를 제공하고 IT 업무 분류 시 프로그램 품질 향상을 위한 개선 방안과 사례 연구를 통해 외주 인력의 효율적 운영정책을 제시하고자 한다.

• 융합보안논문지
• /
• 제15권5호
• /
• pp.71-76
• /
• 2015

현재 우리가 시행하고 있는 "특정금융정보법"은 국가정보기관의 핵심 업무인 국가안위 존립과 같은 중대사건 수사에 관한 내용을 포함하지 않고 있다. 이로 인하여 북한의 국제성 범죄와 안보관련 사건 수사에 난항을 겪고 있으며, 국내에서 활동하는 국제범죄조직의 검거에도 어려움이 많다. 또한 전략물자 불법유출 사건 조사 차질, 불법 테러리즘 자금 조달혐의자 내사 난항 등의 문제도 발생하고 있다. 이를 해소하기 위해서는 현행 "특정금융정보법"의 개정이 시급하다. 해외정보기관은 이미 금융정보를 다양하게 활용하고 있다. 중국의 국가안전부와 호주의 보안정보부 등은 법 제도에 근거해 금융정보기구의 금융정보를 자유롭게 활용하고 있다. 미국의 중앙정보국 연방수사국과 영국의 비밀정보부 보안부 등도 금융정보기구로부터 금융정보를 요청해 제공 및 통보받고 있다. 그러나 한국의 국가정보기관은 특정금융정보에 대한 접근 이용이 불가능하므로, 해외정보기관과 금융정보를 공유하지 못하고 있다. 이러한 문제점을 해결하기 위해서는 한국의 금융정보분석원(KoFIU)의 정보제공 대상기관과 특정금융정보 요구기관에 국가정보기관을 포함시키는 방향으로 현행 "특정금융정보법"이 개정되어야 한다.

• 중소기업융합학회논문지
• /
• 제5권3호
• /
• pp.1-7
• /
• 2015

최근 국내외 금융사고가 증가하면서 핀테크와 관련된 금융 기술이 대두되고 있다. 현재 금융기관에서 운용하고 있는 보안 기술들은 새롭게 나타나고 있는 보안 공격에는 취약한 것으로 보고되고 있다. 본 논문에서는 인증방식의 다양화와 생체인식 정보의 활용 등에서 핀테크 금융 기술을 이용하는 보안 사고 대응 방법에 대해서 제안한다. 제안 방법은 개인 자산관리, 크라우드 펀딩(crowd funding) 등의 IT 기술을 금융기술에 접목하여 사용자들에게 편리한 금융 서비스를 제공한다. 또한, 제안 방법은 PCI-DSS, 토큰화 기술, FDS, 블록체인 등의 보안 기술들을 적용하여 편의성과 함께 보안성을 제공하고 있다. 제안 방법은 펜테크 금융 기술과 관련하여 다양한 보안 사례를 분석하고 대응방안에 대해서 기술하고 있다.

• 컴퓨터교육학회논문지
• /
• 제17권3호
• /
• pp.75-84
• /
• 2014

사이버 공간의 지능적 범죄 증가와 예상치 않은 인터넷 대형 보안사고로 많은 물적 피해가 해마다 늘고 있는 상황이다. 이에 대형보안 사고 후 컴퓨터 범죄 수사를 위해 디지털 포렌식 기술은 필수적인 보안 분야로 자리하고 있다. 그러나 실질적으로 국내 디지털 포렌식 기술을 완비한 보안 전문 수사 인력은 미비한 편이다. 본 논문에서는 인터넷 보안사고의 과학 수사를 위한 보안 인력 양성 방안 중 하나로 대학 내 디지털 포렌식 교과 과정의 단계별 교육 과정 내용 제시하였다. 효과적인 단계별 교육 과정 제안을 위해, 현직 전문가의 인터뷰와 포커스그룹 회의 및 관련 연구를 통해 디지털 포렌식 교과 과정을 선별한 후, 이와 관련 각 과목 별 실무 적합도 및 난이도에 관한 설문조사와 인터뷰를 현직 수사관과 보안전문가를 대상으로 실시하였다. 이를 분석하여 향후 실무적응력이 높은 인력 양성을 위한 단계별 디지털 포렌식 교과 과정 설계하고 발전적인 제언과 방안을 도출하였다.

• 한국컴퓨터정보학회논문지
• /
• 제14권7호
• /
• pp.105-112
• /
• 2009

중소기업은 대기업에 비해, 정보기술에 대한 의존도가 높지만, 재정적인 어려움과 한정된 자원 및 노하우의 부족 등의 이유로 인해서 정보기술 및 정보 보안에 투자하는 비용은 크지 않다. 이로 인해서 정보 보안에 취약점이 많으며, 그로 인한 침해 사고도 많아지게 된다. 중소기업의 정보 보안 실무자들은 바이러스 방역 솔루션을 업데이트하고, 방화벽을 운영하며, 정기적인 시스템 패치를 적용하는 것이 정보 보안의 전부라고 생각한다. 하지만 보안 사로를 줄이기 위해서 보안 정책, 정보 유출 방지, 사업 연속성, 접근 제어 및 기타 많은 정보 보안 이슈들이 고려되어야지만 한다. 본 논문에서는 이러한 관점에서 대기업 위주의 보안 대책과 전략들을 중소기업 정보시스템의 안정적 운영에 적합하도록 새롭게 정리하여, 4가지의 관점엥서 정보 보안 고려 사항들을 도출하고, 정보 보안 전략을 제안한다.

• 디지털산업정보학회논문지
• /
• 제19권2호
• /
• pp.89-102
• /
• 2023

The purpose of this study is to examine what are the important variables for information security compliance and whether the information security investment by the industry is different. To comply with the information security policies, the organization must establish measures to prevent or resolve information security incidents. This research process consists of four stages, and the analysis method was conducted with the categorical regression analysis and the correspondence analysis. The first analysis analyzed the independent variables that affect security regulations compliance. The rest of the analysis was conducted by industry in the order of security compliance regulations, manpower investment, and budget investment. As a result of the first analysis, this had positive effects on an organization and personal information protection awareness, joint operation organization of information protection, manpower and budget investment, corporate size, and industry. The correspondence analysis was conducted from the second analysis to the fourth analysis and it analyzed the differences in information security investment by industry. The second analysis showed that the construction industry, science and technology industry, and finance industry have higher compliance with security regulations than other industries. The third analysis showed that the financial industry and the science and technology industry were higher than other industries. The last analysis showed that the financial industry was higher than other industries. The theoretical contribution of this study provided the basis for updating the information security theory. The practical contribution of this study requires government support to reduce information security deviations by industry.

• 정보보호학회논문지
• /
• 제26권1호
• /
• pp.259-273
• /
• 2016

2014년 카드 3사 개인정보유출 사고를 계기로 외부 불법 침입으로 인한 보안사고 보다 내부직원의 고의나 실수 등 관리 소홀에 의한 개인정보 불법유출 사고가 더 심각하다는 것을 깨닫고 금융회사는 개인정보유출 재발방지 대책을 마련하여 추진하고 있다. 그러나 국내 금융환경을 반영한 정보기술(IT)시스템 구조가 매우 복잡하고 어려운 구조로 되어 있어 관리적, 물리적, 기술적 통제절차의 범위를 벗어난 내부자 위협에 노출과 유출사고 발생 개연성은 높다. 본 연구에서는 메타데이터에 기초하여 개인식별속성데이터를 정의 및 관리하고, 테이블간 결합을 통해 포괄적인 개인정보 식별 및 접근을 통제하는 프로세스를 제시한다. 이 프로세스는 금융감독기관의 컴플라이언스 위반 가능성 감소 및 내부통제 강화라는 목표를 충족시킨다. 마지막으로 본 연구에서는 제안한 프로세스를 반영한 의사결정 모델을 도출하고 실증하였다.