• 제목/요약/키워드: Information Security Checklist

검색결과 30건 처리시간 0.027초

핀테크 서비스의 개인정보보호 자가평가항목 개발에 관한 연구: 간편결제 서비스 중심 (A Study of Self-Checklist for Personal Information Protection of FinTech Service: For the Simple Payment Service)

  • 강민수;백승조;임종인
    • 한국전자거래학회지
    • /
    • 제20권4호
    • /
    • pp.77-102
    • /
    • 2015
  • 핀테크 서비스 산업은 현재 전 세계적으로 ICT 기술을 기반으로 모바일 등 다양한 채널을 통해 금융 및 결제서비스의 혁신을 이끌며 빠르게 성장하고 있다. 국내에서도 간편결제 서비스를 중심으로 다양한 핀테크 서비스 산업이 형성되고 있다. 이러한 핀테크 서비스는 여러가지 보안 위협들이 존재하며, 그 중 개인정보 및 금융정보를 수집 이용함에 따라 이에 대한 정보 유출이나 프라이버시 침해 사고 가능성도 증가할 것이다. 이에 본 논문에서는 핀테크 서비스 중 간편결제 서비스를 대상으로 자신의 개인정보보호에 대한 합리적인 선택을 하는 이용자들(Privacy Pragmatists)에 대해 해당 서비스를 이용 및 선택 시 개인정보보호에 대한 자가평가를 할 수 있도록 평가항목을 도출하며, 이를 통해 향후 핀테크 서비스의 개인정보 보호를 위한 보안 정책을 제언하고자 한다.

Enhancing the Cybersecurity Checklist for Mobile Applications in DTx based on MITRE ATT&CK for Ensuring Privacy

  • 윤지희;김경진
    • 인터넷정보학회논문지
    • /
    • 제24권4호
    • /
    • pp.15-24
    • /
    • 2023
  • Digital therapeutics (DTx) are utilized to replace or supplement drug therapy to treat patients. DTx are developed as a mobile application for portability and convenience. The government requires security verification to be performed on digital medical devices that manage sensitive information during the transmission and storage of patient data. Although safety verification is included in the approval process for DTx, the cybersecurity checklist used as a reference does not reflect the characteristics of mobile applications. This poses the risk of potentially overlooking vulnerabilities during security verification. This study aims to address this issue by comparing and analyzing existing items based on the mobile tactics, techniques, and procedures of MITRE ATT&CK, which manages globally known and occurring vulnerabilities through regular updates. We identify 16 items that require improvement and expand the checklist to 29 items to propose improvement measures. The findings of this study may contribute to the safe development and advancement of DTx for managing sensitive patient information.

Cybersecurity Framework for IIoT-Based Power System Connected to Microgrid

  • Jang, Ji Woong;Kwon, Sungmoon;Kim, SungJin;Seo, Jungtaek;Oh, Junhyoung;Lee, Kyung-ho
    • KSII Transactions on Internet and Information Systems (TIIS)
    • /
    • 제14권5호
    • /
    • pp.2221-2235
    • /
    • 2020
  • Compared to the past infrastructure networks, the current smart grid network can improve productivity and management efficiency. However, as the Industrial Internet of Things (IIoT) and Internet-based standard communication protocol is used, external network contacts are created, which is accompanied by security vulnerabilities from various perspectives. Accordingly, it is necessary to develop an appropriate cybersecurity guideline that enables effective reactions to cybersecurity threats caused by the abuse of such defects. Unfortunately, it is not easy for each organization to develop an adequate cybersecurity guideline. Thus, the cybersecurity checklist proposed by a government organization is used. The checklist does not fully reflect the characteristics of each infrastructure network. In this study, we proposed a cybersecurity framework that reflects the characteristics of a microgrid network in the IIoT environment, and performed an analysis to validate the proposed framework.

지식 네트워크에 근거한 정보보호 점검기준 관계분석 (Correlation Analysis in Information Security Checklist Based on Knowledge Network)

  • 진창영;김애찬;임종인
    • 한국전자거래학회지
    • /
    • 제19권2호
    • /
    • pp.109-124
    • /
    • 2014
  • 정보보안 인식과 중요성이 시대적으로 고조됨에 따라 각 산업부문별로 조직의 정보자산을 보호하기 위해 정보보호 점검기준을 기반으로 한 정보보호 평가 인증 등의 제도가 마련되어 시행되고 있다. 본 논문은 정보보호 점검기준 간의 문맥적인 유사성과 차이점에 대해 규명하기 위하여 지식네트워크를 이용하여 분석한 결과로 ISMS와 PIMS, 금융 IT부문 경영실태평가, 금융 IT부문 보호업무 모범규준, 정보보안 관리실태 평가 상에 나타난 점검기준간의 관계는 다음과 같이 설명할 수 있다. 첫째, 본 논문에서 연구된 정보보호 점검기준은 공통적으로 정보시스템 및 정보통신망에서의 정보자산의 보호와 침해대응, 운영통제에 관한 부분을 다루고 있다. 둘째, 금융권에서는 앞선 공통부분 외에도 IT 경영 및 감사활동에 관한 적정성을 상대적으로 중요하게 다루고 있다. 셋째, ISMS의 점검기준은 PIMS, 금융 IT부문 경영실태평가, 금융 IT부문 보호업무 모범규준, 정보보안 관리실태 평가의 대부분의 내용을 포함하고 있는 것으로 확인된다.

의료기관의 정보보안 수준 측정을 위한 평가모형 개발 (A Development of the Model for Evaluating the Security of Information Systems in Health Care Organizations)

  • 안선주;권순만
    • 한국병원경영학회지
    • /
    • 제10권4호
    • /
    • pp.98-112
    • /
    • 2005
  • The purpose of this study is to develop a framework for evaluating security levels in hospitals. We classify security indicators into administrative, technical and physical safeguards. The security evaluation model for hospital information systems was applied to three general hospitals. The analysis of the results showed a low security level in information systems. In particular, requirements for administrative and physical safeguards were very low. Hospitals need strict security policies more than other organizations because their information systems contain patients' highly confidential data. The evaluation model developed in this study can be used for guidelines and as a checklist for hospitals. The security evaluation in hospital informational systems needs to be an essential element of hospital evaluation.

  • PDF

데이터베이스 규제 준수, 암호화, 접근제어 유형 분류에 따른 체크리스트 구현 (Materialize the Checklist through Type of Classification analysis for the Regulatory Compliance and Database Encryption, Access Control)

  • 이병엽;박준호;김미경;유재수
    • 한국콘텐츠학회논문지
    • /
    • 제11권2호
    • /
    • pp.61-68
    • /
    • 2011
  • 인터넷의 급격한 발달로 인해 수많은 기업에서 다양한 어플리케이션들이 불특정 다수의 사용자에게 개방되어 있는 현재의 비즈니스 환경에서 최근 개인정보의 보안에 대한 이슈가 자주 언급되며, 그 중요도 측면에서 기업의 최우선 과제가 되었다. 얼마 전 정부에서도 정보통신망법 상의 개인정보 보호 강화조치를 법률로 제정하고 이를 다양한 산업군에 적용하고 있다. 기업은 개인정보의 보호를 위해 다양한 방안들을 마련해 이러한 규제를 준수하여, 내부에 관리중인 개인정보에 대해 보안을 강화하기 위해 빠르게 보안 솔루션을 도입하고 있다. 이에 수많은 데이터들이 저장되어 사용되고 있는 DBMS 측면에서 규제를 준수하는 동시에 효과적으로 데이터 보안을 확보하기 위한 방안을 암호화, 접근제어, 감사로 구분하여 각각에 대한 구현방법 및 해당 솔루션들을 비교 및 검토하여 이를 통해 최적의 데이터베이스 보안 방안을 모색할 수 있도록 체크리스트를 구현하였다.

STRIDE 위협 모델링에 기반한 스마트팩토리 보안 요구사항 도출 (Derivation of Security Requirements of Smart Factory Based on STRIDE Threat Modeling)

  • 박은주;김승주
    • 정보보호학회논문지
    • /
    • 제27권6호
    • /
    • pp.1467-1482
    • /
    • 2017
  • 최근 4차 산업혁명에 대한 관심이 증가하고 있다. 그 중 제조업 분야에서는 사이버 물리 시스템(CPS) 기술을 기반으로 제조의 모든 단계를 자동화, 지능화 시킨 스마트팩토리 도입이 확산되고 있는 추세이다. 스마트팩토리는 그 복잡도(Complexity)와 불확실성(Uncertainty)이 크기 때문에 예상치 못한 문제가 발생할 가능성이 높고 이는 제조 공정 중단이나 오작동, 기업의 중요 정보 유출로 이어질 수 있다. 스마트팩토리에 대한 위협을 분석하여 체계적인 관리를 수행할 필요성이 강조되고 있지만 아직 국내에서는 연구가 부족한 상황이다. 따라서 본 논문에서는 스마트팩토리의 전반적인 생산 공정 절차를 대상으로 Data Flow Diagram, STRIDE 위협 모델링 기법을 이용하여 체계적으로 위협을 식별한다. 그리고 Attack Tree를 이용해 위험을 분석하고 최종적으로 체크리스트를 도출한다. 도출된 체크리스트는 향후 스마트팩토리의 안전성 검사 및 보안 가이드라인 제작에 활용 가능한 정량적 데이터를 제시한다.

사물인터넷 기기 보안평가를 위한 기술요소 기반의 모델 설계 및 체크리스트 적용 (A Design of Technology Element-based Evaluation Model and its Application on Checklist for the IoT Device Security Evaluation)

  • 한슬기;김명주
    • 융합보안논문지
    • /
    • 제18권2호
    • /
    • pp.49-58
    • /
    • 2018
  • 사물인터넷의 수요가 증가하면서 사용자의 중요 정보들을 수집하는 사물인터넷 기기의 보안에 대한 필요성 또한 꾸준히 증가하고 있다. 하드웨어, 프로세서, 에너지 등의 제약이 있는 사물인터넷 특성상 기존의 보안시스템을 그대로 적용하기 어렵기 때문에, 사물인터넷에 특화된 보안가이드라인 및 관련문서가 만들어지고 있다. 그러나 이들은 사물인터넷 기기 각각에 특화된 보안을 구체적으로 다루기보다는 포괄적이며 일반화된 수준의 보안을 다루고 있다. 더구나 이들은 개발자 및 서비스 제안자의 입장에서 작성되었기 때문에 특정 사물 인터넷 기기를 사용하고자 하는 일반 사용자의 입장에서 특정 사물인터넷 기기가 어느 정도 보안성을 갖추고 있는지 파악하기가 어렵다. 본 논문에서는 사물인터넷과 관련된 기존 가이드라인과 문서들을 토대로 사물인터넷 기기 각각에 대하여 보다 구체화된 보안평가용 평가모델을 설계하여 제시하였다. 아울러 이 평가모델을 토대로 대표적 사물인터넷 기기인 스마트워치를 대상으로 체크리스트를 적용하여 작성해 봄으로써 특정 사물인터넷 기기를 사용하기 전에 보안성 평가를 일반 사용자도 용이하게 할 수 있음을 보여준다.

  • PDF

Emotional User Experience in Web-Based Geographic Information System: An Indonesian UX Analysis

  • Lokman, Anitawati Mohd;Isa, Indra Griha Tofik;Novianti, Leni;Ariyanti, Indri;Sadariawati, Rika;Aziz, Azhar Abd;Ismail Afiza
    • International Journal of Computer Science & Network Security
    • /
    • 제22권9호
    • /
    • pp.271-279
    • /
    • 2022
  • In the discipline of design science, the integration of cognitive, semantic, and affective elements is crucial in the conception and development of a product. Affective components in IT artefacts have attracted researchers' attention, but little attention has been given to Geographic Information Systems (GIS). This research was conducted to identify emotions in web-based GIS, and determine design influences on the emotions using Kansei engineering (KE). In the evaluation procedure, ten web-based GIS were used as specimens, and 20 Kansei words were used as emotional descriptors in the Kansei checklist. 50 participants were asked to rate their emotional responses towards the specimens on the Kansei checklist. Principal Component Analysis was used to discover the semantic structure of Kansei, in which dynamism and spaciousness were identified. Significant Kansei concepts were identified using Factor Analysis, in which dynamic & well-organized, refreshing, spacious, professional, and nautical-look were identified. Partial Least Square analysis has assisted the research in discovering the significant design influence to the Kansei. These findings provide designers and other stakeholders with valuable knowledge for strategizing future web-based GIS designs that incorporate user emotions.

OCIL기반 보안수준평가를 위한 XML Converter 설계 및 구현 (XML Converter Design and Implementation for OCIL based Security Level Evaluation)

  • 김종민;김상춘
    • 융합보안논문지
    • /
    • 제20권2호
    • /
    • pp.29-35
    • /
    • 2020
  • 사이버안보의 일선에 있는 국가·공공기관 시스템을 대상으로 하는 사이버 공격이 고도화 되면서 꾸준히 증가하고 있다. 이에 국가·공공기관 시스템의 사이버 공격 사고 예방에 대한 보안 평가 기술 개발이 필요하다. 현재 국가·공공기관 정보 시스템의 취약점 분석에 대한 연구는 거의 자동화 분석에 초점을 맞추어 연구되고 있고, 실제로 보안 점검을 수행하다보면 자동화하기 어려운 부분들도 존재한다. 위협에 대한 보안대책만 생각해보더라도 관리적, 물리적, 기술적 분야에서 각기 다른 방안들을 생각하고 실행할 수가 있는데, 이에 대해서는 주관적이든, 상황적이든 간에 특정한 답변들이 제시된다. 이러한 경향들은 OCIL(Open Checklist Interactive Language)로 규격화되어 부분적인 자동화를 이룰 수 있다. 따라서, 본 논문에서는 기존 평가문항을 OCIL기반으로 보안수준평가를 할 수 있게끔 XML Converter를 구현하고자 한다.