• 정보보호학회논문지
• /
• 제19권5호
• /
• pp.119-130
• /
• 2009

우리나라 전자정부는 UN 전자정부 참여지수 2위, 미국 브루킹스연구소(전 브라운대학) 평가에서 3년 연속 1위를 차지할 정도로 잘 구축되어 있으나, 반면에 세계경제포럼(WEF)에서 2007년 조사한 정보보호 순위는 51위로서 인터넷 이용자수와 서비스 환경에 비해서 상대적으로 열악한 수준이다. 2008년 한 해 동안에만 옥션 정보유출, GS 칼텍스 정보 유출 등 크고 작은 보안 사고들이 끊임없이 발생하여 국민들이 사이버위협에 노출되고 주요 정보들이 유출되자 점차 정보보안, 개인정보보호의 필요성과 중요성에 눈을 뜨게 되어 정보보호에 대한 요구가 점차 늘어나고 있는 추세이다. 본고에서는 주요 국가들의 전자정부 서비스 수준과 정보보호를 위한 투자 제도 정책 등을 벤치마킹하여, 우리나라에서 이를 효율적으로 활용할 수 있는 방안을 찾아보고, 중앙행정기관 및 지방자치단체에서 제공하고 있는 전자정부 서비스의 안전성과 보안성을 향상시킬 수 있도록 국제적으로 표준화된 정보보호 관리체계인 ISO 27001 ISMS를 적용할 수 있는 정책을 발굴하여 국가 정보보호 수준을 더욱 높이고자 한다.

• 한국산학기술학회논문지
• /
• 제22권4호
• /
• pp.140-149
• /
• 2021

기업 기밀과 고객 정보를 적절하게 보호하고 유지하기 위해, 조직은 정보보호 관리체계(ISMS), 개인정보보호 관리체계(PIMS), 비즈니스연속성 관리체계(BCMS)와 같은 경영시스템을 도입하여 운영하기 시작하였다. 본 연구는 정보보안을 고려하는 모든 조직이 정보보호 관리체계를 유지하는 것이 바람직하며 ISMS는 정보보안 문화, 실무 및 가이드라인을 고려하는 다양한 조직 안에 각기 다른 형태를 가질 수 있다는데서 출발하였다. 산업분야에 상관없이 적용 가능하고 보편적으로 널리 알려진 국제 정보보호 관리체계 ISO27001을 도입한 조직을 대상으로, 인증 심사에 따른 부적합 사례를 통해 산업별, 조직규모별, 심사유형별 정보보호 관리체계의 주요 통제 영역을 도출하려 하였다. 국내의 경우 산업분야별 인증을 유지하고 있는 곳이 많지 않아 실증 연구를 위한 자료 확보에 어려움이 있지만, 탐색적 연구 대상으로서의 의미가 있는 것으로 보인다. 분석을 통해, 대상 업체들에서 ISO27001:2013이 발표된 2013년부터 2020년까지 각 형태별로 부적합 빈도수가 가장 높았던 요구사항을 주요 통제영역으로 도출하였다. 이를 바탕으로 3개 산업분야, 조직규모, 심사유형에 따라 ISMS의 주요 통제항목에 차이가 있다는 것을 발견하였다.

• 정보보호학회지
• /
• 제31권4호
• /
• pp.35-43
• /
• 2021

ISO/IEC 27002 정보보호 통제 표준은 ISO/IEC 27001 정보보호관리체계 요구사항과 함께 정보보호관리체계 인증에 필수적인 국제 표준이다. 최근 WG 1에서는 정보보호관리체계 관련 표준들의 다양한 변화가 일어나고 있으며 이들은 ISO/IEC 27002에 기반한 관련 표준들에 연쇄적으로 영향을 미치게 되며 실질적으로 이러한 표준을 사용하는 전세계의 인증 생태계에 영향을 미칠 것으로 예상된다. 본 논문에서는 정보보호관리체계 관련 표준들을 개발 및 유지 관리하고 있는 ISO/IEC JTC 1/SC 27 WG 1의 활동을 소개하고 그 중 가장 중요한 ISO/IEC 27002 정보보호통제의 개정 현황을 살펴본다. 또한 이에 관련된 전반적인 표준 개정 동향과 이러한 개정이 미치는 영향과 대응 방안에 대하여 논한다.

• 한국산학기술학회논문지
• /
• 제11권2호
• /
• pp.703-708
• /
• 2010

정보원천의 다양화와 정보시스템 취약성의 증가는 비즈니스 위험을 증가시킨다. 성공적인 비즈니스는 적정한 비즈니스 위험관리를 통해서 가능하다. 그러나 비즈니스 위험관리는 재무적 관점에서 시행되고 있고, 정보보호관리제도는 정보보호의 관점에서만 이루어져 통합적인 비즈니스 위험관리를 수행하기에 부적절하다. 본 연구는 통합적인 비즈니스 위험관리기법을 개발하기 위하여 정보보호관리제도인 ISMS, EA, ISO27001, COBIT, SPICE, 정보시스템감리, SSE-CMM 등을 비즈니스 위험관리관점에서 분석하였다. 본 연구에서 분석된 정보보호관리제도는 비즈니스 위험관리를 위한 원천으로 활용가능하다.

• 융합보안논문지
• /
• 제19권4호
• /
• pp.107-113
• /
• 2019

데이터보안(Data Security)이란 데이터 및 정보자산의 접근, 활용에 대한 적절한 인증과 권한의 감사를 위하여 보안정책 및 절차를 기획, 구축, 실행하는 것이다. 또한 내·외부 네트워크, 서버, 어플리케이션 등을 통해 서비스되는 데이터는 정보보호의 핵심 대상으로서 데이터베이스와 데이터의정보보안의 범주에서 DB와 DB내에 저장된 데이터의 보호에 특화하여 집중하는 것이라 할 수 있다. 이 연구에서는 데이터보안 인증체계와 미국의 연방보안관리법(FISMA)을 기반으로 한 적절한 데이터보안관리체계(DSMS, Data Security Management System) 모델 설계를 위한 기초연구를 진행한다. ISO27001, NIST의 Cybersecurity Framework 등 주요보안인증 제도를 살펴보고 또한 현재 개인 데이터 유출방지와 기업보안강화를 위한 보안플렛폼으로 구현된 데이터보안매니저 솔루션에 구현된 상태를 연구한다.

• 융합보안논문지
• /
• 제12권3호
• /
• pp.85-92
• /
• 2012

기존의 보안 관리 수준을 측정하기 위한 방법들이 다양하지만 IT 자산을 중심으로 한 평가만이 이루어지고 있는 관계로 조직 전반에 걸친 분석이 이루어지지 못했다. 따라서 본 논문에서는 보안 관리 수준 점검을 손쉽게 할 수 있도록 웹 기반 보안 관리 수준 분석 도구에 대해 제시한다. 본 도구의 경우는 전사적 정보 보호 관리 방법론인 ISO 27001의 보안통제 항목들을 기반으로 설문 내용을 구성하였다.

• 정보보호학회지
• /
• 제24권6호
• /
• pp.31-36
• /
• 2014

클라우드 컴퓨팅 서비스는 자원 공유와 가상화 기술 및 자원의 서비스화 등 기존 컴퓨팅 환경과 다른 특성으로 인해 클라우드 컴퓨팅 환경에 적합한 식별/접근제어 기술 및 보안 통제 사항이 요구된다. 그러므로 기존 컴퓨팅 자원을 클라우드 컴퓨팅 환경으로 변경하는 서비스 제공자나 클라우드 서비스로 이동하는 서비스 사용자는 특정한 보안 요건을 검토해야 한다. Cloud Security Alliance에서 배포한 Cloud Control Matrix와 ISO/IEC 27001을 비교 분석하여, 클라우드 컴퓨팅 환경에서 특별히 요구되는 식별 및 접근제어의 보안 통제 요건을 확인하였다. 또한, 주요 클라우드 컴퓨팅 서비스인 아마존의 AWS, 구글의 Google Cloud Platform과 VMware의 vCloud 서비스의 식별 및 접근제어 기술을 조사하였다. 이를 기반으로 클라우드 컴퓨팅 환경의 식별 및 접근제어 기술에서 필요한 보안 요건을 확인하였다.

• 디지털융복합연구
• /
• 제10권3호
• /
• pp.23-37
• /
• 2012

불법적인 게임 플레이어들의 해킹 및 악성코드의 유포로 온라인게임은 고객의 개인정보 유출을 빈번하게 일어나게 하는 요인이 되고 있다. 그러므로, 온라인게임사도 게임 개발과 함께 서비스를 운영함에 있어 개인정보보호에 대한 표준화된 체계와 운영의 필요성이 크게 고려되어야 한다. 온라인 게임사별로 정보보호인증을 도입하고 인증 심사를 받고 있으나, 전반적으로 자산이나 물리적, 시스템적 보안에 중점을 두기 때문에 개인정보보호와 관련되어 좀 더 전문적인 체계가 필요하다. 본 연구는 ISO27001, KISA의 ISMS, GMITS 등 기존의 정보보호인증들과 산발적으로 운영되고 있는 개인정보보호인증마크(ePrivacy), 온라인게임 개인정보보호 가이드, BS10012 등 개인정보보호 관련 체계들을 수집하여 분석하였다. 이를 이용하여 온라인게임업체에서 운영 시 필요한 개인정보보호체계 프로세스와 각 단계별로 필요한 점검 항목을 도출하여 개인정보보호 수준을 측정하는 체계적인 도구를 제안하였다.

• 정보보호학회논문지
• /
• 제27권4호
• /
• pp.873-883
• /
• 2017

랜섬웨어가 확산됨에 따라 공격 대상이 개인에서 단체로 변하게 되었고 더 지능적이고 조직적으로 변하게 되었다. 이에 금융 산업을 포함한 국내의 기반시설들은 랜섬웨어의 위협에 대해 더 이상 무시 할 수 없는 단계로 접어들고 있다. 이러한 보안이슈에 대응하기 위해 기관들은 정보보호 관리체계인 ISMS를 사용하고 있지만 피해가 발생 했을 시 발생하는 피해규모를 산정 할 수 없어 경영진이 피해 현황에 대한 의사결정을 하는 것에 어려움이 있다. 본 논문에서는 ISMS의 문제로 여기어 지는 리스크에 대한 피해규모의 파악 및 합리적인 피해규모 산정을 시나리오를 기반으로 진행되는 FAIR 기반의 손실 측정모델을 통해 금융 산업에 랜섬웨어 공격이 미칠 수 있는 손실 및 위험을 확인하며 ISMS를 수정하는 것이 아닌 현재 적용되어 있는 ISMS 및 ISO 27001의 통제항목을 적용하여 손해금액을 낮출 수 있는 방안을 제시한다.

• 융합정보논문지
• /
• 제10권3호
• /
• pp.1-6
• /
• 2020

정보시스템은 새로운 기술의 변혁에 영향을 받는다. 따라서 정보시스템은 외부환경 변화에 신속하게 대응하여야 하며, 특히 정보시스템 장애발생시 그 복원능력이 중요시되어야 한다. 본 연구에서는 Delone과 McLean의 성공요인에 복원탄력성을 추가한 정보시스템 평가모형을 제안하였다. 또한 국내 중견제조업체의 115 사용자 들을 대상으로 한 설문조사를 바탕으로 한 자료포락분석으로 복원탄력성의 영향을 평가하였다. 연구방법으로 채택한 자료포락분석 모형은 금융권에서 주로 적용하는 Charnes 등의 모형을 적용하여 노드생성 중단값 5%에서 민감도분석에 의해 순위화된 인자들을 찾아 다른 인자들에 미치는 영향도를 탐색하였다. 분석결과, 복원탄력성에 대한 영향력은 이전의 연구에서 적용했던 다른 요인들보다 강한 영향을 미치는 것으로 나타났다. 복원탄력성을 ISO27001 정보보호규격의 평가요인으로 포함하여 정보시스템의 흡수역량을 강화하여야 할 것이다.