• Journal of Information Technology Applications and Management
• /
• 제23권1호
• /
• pp.79-96
• /
• 2016

As numerous security breaches on a variety of information assets such as personal information, corporate secrets, computer servers, and networks have occurred, information security has emerged as a critical social issue. However, researches on economically rational information security decision-making have been few. Such researches are especially rare in South Korea where information security is considered to be a discipline of engineers. This study aims to identify the preferred themes and methodologies of information security economics research in the field of information systems by reviewing papers published in Management Information Systems Quarterly (MISQ), Information Systems Research (ISR), European Journal of Information Systems (EJIS), Management Science (MS), and Information and Management (I&M). We hope that the results of the study will be helpful in rational managerial or policy decision-making for practitioners and suggest future research topics for researchers.

• Asia pacific journal of information systems
• /
• 제26권2호
• /
• pp.290-298
• /
• 2016

Human cognition and decision-making related to information systems (IS) is a major area of interest in IS research. Among these areas, cognitive bias rooted in behavioral economics is gaining considerable attention from researchers. In the present study, we identify the role of cognitive biases and discuss how they shape the information security behavior. We also seek research opportunities to provide directions and implications for future research.

• 정보보호학회논문지
• /
• 제25권6호
• /
• pp.1561-1570
• /
• 2015

정보보호 침해사고로 인한 피해를 예방하거나 감소시키기 위해 많은 관심과 투자가 검토되고 있지만, 투자, 관리등의 정보보호 의사결정을 경제적으로 합리적으로 하기 위한 연구에 대해서는 국내에 본격적으로 소개되지 않았다. 정보보호의 경제적 의사결정에 대한 연구자들은 보안경제성워크샵(Workshop on the Economics of Information Security, WEIS)을 중심으로 활동하고 있으며, 본 연구는 WEIS에 2002년부터 2014년까지 발표된 논문들의 연구주제와 연구방법을 분석하였다. 연구결과는 국내의 관련 연구 활성화에 도움이 될 수 있고, 기업과 정부의 경제적 정보보호 의사결정에 참고가 될 수 있을 것이다.

• 융합보안논문지
• /
• 제19권2호
• /
• pp.39-46
• /
• 2019

최근 피싱(Phishing)과 같은 새로운 유형의 악성코드를 이용한 사회공학 공격이 빈번해짐에 따라 정보보안 사고가 점차 고도화되고 있다. 조직에서는 정보보안 사고를 예방하기 위하여 다양한 노력을 하고 있지만 대부분 기술적 보안솔루션에 의존하는 경향이 있다. 그럼에도 불구하고 모든 보안사고를 완벽하게 예방할 수 없다. 최근에는 보안기술 기반 정보보안 접근방법의 한계를 극복하기 위하여 새로운 접근방법인 인간 중심 보안에 대한 관심이 높아지고 있다. 이러한 노력의 일환으로 일부 연구자들은 인간의 실제적 행동을 이해하고 그 행동에 따른 결과를 규명하는 행동경제학을 정보보안 분야에 접목시키고 있다. 본 연구는 행동경제학의 개념과 방법을 정보보안에 적용한 최근의 연구 흐름을 파악하는 동향 분석 연구로서, 141개의 관련 논문을 대상으로 연구 추세, 연구 주제, 연구방법론 등을 분석하였다. 분석 결과, 행동경제학의 개념과 아이디어를 '운영 보안' 분야에 적용한 실증연구가 대다수이며, 향후 폭넓은 연구 주제 선정과 문헌연구를 통해 실제로 사람의 행동을 바꾸는 문제에 행동 경제학을 적용하여 프레임워크 정립, 영향 요인을 식별하는 연구가 수행되어야 한다.

• 경영정보학연구
• /
• 제18권1호
• /
• pp.1-23
• /
• 2016

본 연구는 정보보안 관리 영역 중 불확실성이 상대적으로 높고, 통제가 어려운 내부 조직 구성원에 의한 보안 위협 최소화를 위한 방안을 마련하고자 한다. 즉, 조직원의 정보보안 준수의도를 높이기 위하여, 조직의 보안 노력과 조직원의 보안 이해 간의 관계를 제시한다. 선행 연구를 기반으로 연구 모델 및 연구 가설을 제시하였으며, 정보보안 정책을 보유하고 있는 조직에서 근무하는 직장인 526명을 대상으로 설문을 실시하였다. 또한 구조방정식 모델링을 통하여 가설을 검증하였다. 가설 검증 결과, 조직원의 보안 준수의도를 높이기 위해서는 조직원의 정보보안 지식과 조직의 정보보안 문화가 긍정적인 영향을 미치는 것으로 나타났다. 또한 경영층의 지원, 보안 규정, 보안 가시성, 보안 교육 및 훈련이 보안 문화를 형성하는 선행 요인임을 찾았다. 본 연구는 조직원의 정보보안 준수를 위한 조직 차원의 정보보안 계획 수립 및 이행 측면에서 중요한 시사점을 가진다.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.695-706
• /
• 2018

최근 제조업을 시작으로 농업, 금융업 등의 전 산업 영역에서 ICBM(IoT, Cloud, Bigdata, Mobile)을 중심으로 한 신산업과의 융합이 급속도로 진행되고 있다. 향후 융합산업의 가장 큰 문제 중 하나인 사이버 위협에 대비하기 위해 정보보호를 고려한 융합산업의 발전이 매우 중요한 상황이다. 이에 본 연구에서는 현재 발표된 산업발전정책과 이와 관련된 정보보호정책들의 세부 내용을 교차영향분석으로 분석하고 전문가 설문을 통해 정책의 우선순위를 제시하였다. 이를 통해 정보보호정책 내의 우선순위 및 상호 연관성을 밝히고, 효과적인 정책 시행방향에 대해서 제시하고자 하였다. 결과적으로 본 연구에서 도출한 6개의 정보보호정책과제들은 모두 핵심 동인에 속하며, 정책의 중요도를 고려한다면 보안 산업의 체질개선 및 지원 강화, 정보보호 인재양성, 정보보호산업 투자확대 등의 정책이 상대적으로 우선 시행될 필요가 있는 것으로 나타났다.

• Journal of Information Technology Applications and Management
• /
• 제26권5호
• /
• pp.13-25
• /
• 2019

Recently, as evaluation of information security (IS) management become more diverse and complicated, the contents and procedure of the evidence to prepare for actual assessment are rapidly increasing. As a result, the actual assessment is a burden for both evaluation agencies and institutions receiving assessments. However, most of them reflect the evaluation system used by foreign government agencies, standard organizations, and commercial companies. It is necessary to consider the evaluation system suitable for the domestic environment instead of reflecting the overseas evaluation system as it is. The purpose of this study is as follows. First, we will present the problems of the existing information security assessment system and the improvement direction of the information security assessment system through analysis of existing information security assessment system. Second, it analyzes the technical guidance for information security testing and assessment and the evaluation of information security management in the Special Publication 800-115 'Technical Guide to Information Security Testing and Assessment' of the National Institute of Standards and Technology (NIST). Third, we will build a framework to implement the evidence collection system and present a system implementation method for the '6. Information System Security' of 'information security management actual condition evaluation index'. The implications of the framework development through this study are as follows. It can be expected that the security status of the enterprises will be improved by constructing the evidence collection system that can collect the collected evidence from the existing situation assessment. In addition, it is possible to systematically assess the actual status of information security through the establishment of the evidence collection system and to improve the efficiency of the evaluation. Therefore, the management system for evaluating the actual situation can reduce the work burden and improve the efficiency of evaluation.

• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.501-511
• /
• 2018

본 연구의 목적은 논리모형을 기반으로 정보보안 인력양성사업의 성과평가 지표를 개발하는 것이다. 정부지원 정보보안 인력양성사업에 대한 문헌연구를 통해 후보 지표를 도출하고 전문가 대상의 포커스그룹 인터뷰를 통해 후보지표를 검토하였다. 최종 선정된 성과지표의 가중치(중요도) 산정을 위해 AHP 설문조사를 실시하여 성과지표를 개발하였다. 인력양성사업 성과지표는 4개 분야의 18개 지표로 구성하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제17권8호
• /
• pp.2083-2100
• /
• 2023

The rise of Industry 5.0 has led to a smarter and more digital way of doing business, but with it comes the issue of user privacy and security. Only when privacy and security issues are addressed, will users be able to transact online with greater peace of mind. Thus, to address the security and privacy problems associated with industry blockchain technology, we propose a privacy protection scheme for online financial transactions based on verifiable ring signatures and blockchain by comparing and combining the unconditional anonymity provided by ring signatures with the high integrity provided by blockchain technology. Firstly, we present an algorithm for verifying ring signature based on distributed key generation, which can ensure the integrity of transaction data. Secondly, by using the block chain technique, we choose the proxy node to send the plaintext message into the block chain, and guarantee the security of the asset transaction. On this basis, the designed scheme is subjected to a security analysis to verify that it is completely anonymous, verifiable and unerasable. The protection of user privacy can be achieved while enabling online transactions. Finally, it is shown that the proposed method is more effective and practical than other similar solutions in performance assessment and simulation. It is proved that the scheme is a safe and efficient online financial transaction ring signature scheme.

• 디지털융복합연구
• /
• 제14권4호
• /
• pp.209-220
• /
• 2016

조직은 정보보안정책을 제공하고 이를 준수하기 위한 교육 및 지원 등 지속적인 노력을 하고 있으나, 조직 구성원의 보안 미준수에 따른 사고는 끊이지 않고 있다. 본 연구는 조직 구성원의 정보보안정책 준수행동에 영향을 주는 요인들을 Triandis 모델을 적용하여 규명하였으며, 요인들간의 영향 관계를 구조방정식모델링 기법인 PLS(Partial Least Squares)를 통해 살펴보았다. 가설검증 결과 조직은 정보보안정책과 이를 지원하는 촉진조건을 통해 구성원의 정보보안정책 준수의도 및 행동을 유도할 수 있으며, 조직의 정보보안정책에 대한 구성원의 기대가치, 습관 및 감정이 중요함을 증명하였다. 본 연구는 Triandis 모델을 정보보안 분야에 적용하여 분석하고, 구성원의 정보보안 행동에 대한 방향성을 제시하였다는 점에 의의가 있다. 그리고 본 연구 결과를 통해 조직의 정보보안정책 수립 및 구성원의 준수행동을 높이기 위한 방안을 제공할 수 있을 것이다.