• 정보보호학회논문지
• /
• 제20권6호
• /
• pp.261-270
• /
• 2010

최근 SNS 이용이 활성화됨에 따라 SNS 제공환경에서의 정보보호에 대한 관심이 증가하고 있다. 하지만 SNS 산업 환경의 급격한 성장으로 인한 가입자 유치 위주의 투자 선행과 서비스 제공자 측면에서의 SNS 정보보호 투자 효과에 대한 확신 부족, 그리고 SNS에서의 정보보호 중요위협요인에 대한 분석체계 부재로 인해 아직까지 SNS 제공환경에서의 정보보호에 대한 투자가 미흡한 실정이다. 본 논문에서는 AHP를 이용한 SNS 제공환경에서 정보보호 중요위협요인 분석을 통해 정보보호 투자 결정 기준 도출에 대한 연구를 수행하였다. 본 연구를 통해, '서비스 이미지'가 정보보호 평가기준에서 가장 중요한 항목으로 도출되었으며, '개인 프로파일 위조 및 명예훼손'과 '산업 스파이'가 중요한 SNS 정보보호 위협요인인 것으로 나타났다.

• 인터넷정보학회논문지
• /
• 제15권3호
• /
• pp.91-100
• /
• 2014

IT 보안의 중요성으로 인해 IT 보안 솔루션의 성능 및 기업의 보안에 대한 투자는 꾸준히 증가하고 있지만, 보안 사고 발생으로 인한 기업의 금전적 손실 감소는 여전히 기대에 미치지 못하고 있는 상황이다. 보안 솔루션을 운영하고 있는 기업을 상대로 한 조사 결과에 따르면, 기업의 보안 솔루션에 대한 이해 부족과 잘못된 투자 전략이 기업의 투자 대비 보안 효율성 향상을 기대에 미치지 못하게 하는 주요한 원인으로 분석되었다. 본 논문에서는 기업의 보안 솔루션에 대한 잘못된 투자로 인한 투자 대비 보안 효율성 저하 문제를 해결하기 위한 보안 투자 결정 모델을 제안한다. 구체적으로는, IT 자산의 취약성 이용 공격으로 인한 조직의 피해 발생 이전에 보안 사고 예방이 가능한 사전 보안 솔루션(Proactive Security Solutions, PSSs)과 조직의 피해 발생 이후에 보안 사고를 조사 및 분석할 수 있는 사후 보안 솔루션 (Reactive Security Solutions, PSSs)에 대한 기업의 투자 방법론을 결정하기 위한 포괄적인 수학적 모델을 제안한다. 또한, 제안된 분석 모델을 사용하여 보안 솔루션의 다양한 매개 변수 영향력 아래에서 조직의 IT 보안 투자 예상 순 이익(expected net benefit)을 극대화하기 위한 최적의 방안을 모색한다.

• 디지털산업정보학회논문지
• /
• 제14권2호
• /
• pp.19-25
• /
• 2018

With the development of IT technology, various services such as artificial intelligence and autonomous vehicles are being introduced, and many changes are taking place in our lives. However, if secure security is not provided, it will cause many risks, so the information security becomes more important. In this paper, we analyzed the research trends of main themes of information security over time. In order to conduct the research, 'Information Security' was searched in the Web of Science database. Using the abstracts of theses published from 1991 to 2016, we derived main research topics through topic modeling and time series regression analysis. The topic modeling results showed that the research topics were Information technology, system access, attack, threat, risk management, network type, security management, security awareness, certification level, information protection organization, security policy, access control, personal information, security investment, computing environment, investment cost, system structure, authentication method, user behavior, encryption. The time series regression results indicated that all the topics were hot topics.

• 경영정보학연구
• /
• 제9권1호
• /
• pp.105-120
• /
• 2007

최근 인터넷의 급속한 발전과 기업의 정보 인프라 의존도가 높아지면서 정보 유출과 탈취, 변조 등 침해사고의 위험성이 급속히 확산되고 있다. 우리나라의 인터넷 사용빈도는 세계 최상위 수준이지만 정보보안은 그에 미치지 못하는 실정이다. 우리나라의 많은 기업들이 정보보안 사고로 인해 금전적 손실, 기업 이미지 훼손, 매출액, 순이익 감소 등 직간접적 피해를 경험하고 있다. 그러나 정보보안 사고에 대한 피해 규모를 계량화한 자료가 없어 올바른 정보보안사고 방지를 위한 투자의사 결정을 하기 어렵고 투자의 효과를 평가하기도 어려운 실정이다. 본 연구의 목적은 정보보안 사고에 따른 기업의 손실과 보안 투자로 인한 수익을 기업 시장가치의 변화를 이용하여 정량적으로 측정하는 데 있다. 사건연구방법론을 통해 분석한 결과에 따르면, 기업의 정보보안 사고는 평균 0.86%의 기업 가치 감소(시가총액 기준으로 약 540억)를 가져온 것으로 나타났다. 반면 기업의 보안 관련투자는 기업가치에 아무런 영향을 주지 않는 것으로 나타났다. 추가적으로 본 연구와 해외 연구결과와 비교해 보면, 국내 기업의 정보보안 사고가 기업 가치에 미치는 영향력이 상대적으로 매우 작은 것을 알 수 있었다. 이는 사회 전반에 걸친 보안 의식 제고가 무엇보다 시급함을 시사하고 있다.

• Asia pacific journal of information systems
• /
• 제30권2호
• /
• pp.328-352
• /
• 2020

If a firm announces an investment in IT security, how the market value of its competitors reacts to the announcement? We try to shed light on this question through an event study design. To test the relationship, we collected 143 announcements on cybersecurity investment and measured the subsequent impact on 533 competitors' abnormal returns, spanning from 2000 to 2019. Our estimation results present that, on average, the announcements have no observable impact on the market value of announcing firms and competitors as well, which is consistent with findings of a prior study. Interestingly, however, the impact becomes evident when we classify our samples by industries (Finance vs. non-Finance or ICT vs. non-ICT) and firm size (Big vs. Small). We interpret our empirical findings through the lenses of contagion effect and competition effect between announcing firms and their competitors. Key finding of our study is that, for financial service firms, the effect resulting from the announcement on cybersecurity investment transfers to competitors in the same direction (i.e., contagion effect).

• 경영정보학연구
• /
• 제25권4호
• /
• pp.27-45
• /
• 2023

정보통신기술의 발달로 정보보호의 중요성이 커졌지만, 기업은 제한된 예산 내에서 적절한 대책을 선택하는 데 어려움을 겪고 있다. Sönmez and Kılıç(2021)는 정보 보안 침해를 완화하기 위한 최적의 투자 조합을 결정하기 위해 AHP 및 혼합 정수 계획을 사용하는 모델을 제안했다. 그러나 1) 보안 위협에 대한 보안 대책의 효과를 객관적으로 측정하지 못하고, 2) 투자로 인한 위험 감소가 투자 이전에 측정한 위험 수준을 초과하는 비현실적인 현상이 발생하고, 3) 여러 위협에 대해 단일 대응책을 사용할 때 중복된 투자가 이루어진다는 한계가 있었다. 본 연구에서는 베타 확률 분포를 사용하여 대책의 효과를 객관적으로 정량화하고, 위험 감소 수준이 투자 이전에 측정된 위험 수준을 초과하지 않고 보안 대책이 중복 투자되지 않도록 최적화 모델을 개선했다. 개선된 모델을 국내 중소기업을 대상으로 실증분석한 결과, Sönmez and Kılıç(2021)의 최적화 모델보다 더 나은 결과를 도출했다. 개선된 최적화 모델을 사용하면 정보보호 비용, 수량, 대책 효율성을 고려하여 고정된 예산 내에서 최적의 대책별 투자 포트폴리오를 도출할 수 있고, 정보 보안 예산을 확보하고 정보 보안 위협을 효과적으로 해결하는데 도움이 될 것이다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2017년도 추계학술대회
• /
• pp.349-352
• /
• 2017

2000년대 초반부터 많은 정보보호 관련자들은 정보보호 투자 대비 효과를 측정하고자 노력하였다. 그러한 노력으로 ROSI(Return On Security Investment)를 산출하는 여러 가지 방법 및 ROSI의 Return인 사이버 피해액을 계산하는 Gordon & Loeb 방법 등이 고안되었다. 하지만, 효과를 직접적으로 산출하기 힘든 정보보호의 구조적 특성, 관련 정보의 부족 및 사이버 피해액 산정 시 정성적인 요소가 포함되어 정확한 산출이 어렵다는 문제점이 존재한다. 본 연구는 현재까지의 연구 결과를 살펴보고 기존 방법들 중 가장 효율적이라고 생각되는 Gordon & Loeb 방법과 신진 방법 2가지에 대해 분석하고 개선된 방법을 설계하고자 한다.

• 인터넷정보학회논문지
• /
• 제6권3호
• /
• pp.1-16
• /
• 2005

본 논문은 모바일 전자 상거래 환경에서 투자 신탁을 위한 MDIT(Mobile Digital Investment Trust) 에이전트 설계를 제안하고 또한 이 MDIT에서 모바일 전자 상거래 환경이 가지고 있는 기억 장치 용량, CPU 처리 속도 문제, 그리고 보안 강화 문제점을 해결하기 위해, 비밀키 암호 알고리즘인 3BC(Bit, Byte end Block Cypher)와 공개키 알고리즘인 F2mECC 설계를 제안한다. 특히, MDIT는 모바일 전자상거래에 투자 신탁의 개념을 도입한 은행 업무 보안 프로토콜로서 공개키 알고리즘인 ECC를 이용해 공유 비밀키를 생성한 후, 이 값을 공유 비밀키를 대칭키로 사용하는 블록 암호화 기법인 3BC에 사용하여, 보안 기능을 강화시키고, 처리속도를 감소시킨 MDIT 보안 에이전트를 구축하였다.

• 융합보안논문지
• /
• 제15권3_2호
• /
• pp.83-93
• /
• 2015

본 연구에서는 종합주가지수와 코스닥지수 그리고 융합보안 관련기업인 에스원, 안랩, 슈프리마, 라온시큐어, 이글루시큐리티의 주가를 이용하였다. 지난 2010년 8월에서 2014년 7월까지 총 4년(208주) 동안 지수 및 주가 동향을 파악하였다. 또한 보안 관련주의 기초통계량과, 분산분석, 상관분석, 각 주별 상승률동향 등 다양한 실증 분석을 시도하였다. 본 연구의 목적은 보안관련 기업들과 종합주가지수, 코스닥지수와의 상관관계를 살펴보는데 있다. 또한 각 기업들 주가흐름의 특징들을 파악하면서 투자가치가 있는지 분석하는데 있다. 향후 지식융합보안 산업의 높은 성장 가능성을 보았을 때 보안 관련기업들의 투자 가능성과 투자 메리트에 기대를 걸어보았다. 향후 성장 가능성이 높은 보안 관련기업에 대한 투자는 시장수익률 대비 높은 수익률을 보일 것으로 기대가 된다.

• 지식경영연구
• /
• 제20권3호
• /
• pp.91-106
• /
• 2019

In the era of the 4th Industrial Revolution, the importance of information protection is increasing day by day with the advent of the 'hyper-connection society', and related government financial investment is also increasing. The source of the government's fiscal investment projects is taxpayers' money. Therefore, the government needs to evaluate the effectiveness and feasibility of the project by comparing the public benefits created by the financial investment projects with the costs required for it. At present, preliminary feasibility study system which evaluates the feasibility of government financial investment projects in Korea has been implemented since 1994, but most of them have been actively carried out only in some fields such as large SOC projects. In this study, we discuss the feasibility evaluation of public projects for the purpose of information security. we introduce the case study of the personal information protection program of Korean public institutions and propose a cost-effectiveness analysis method that can be applied to the feasibility study of the information protection field. Finally, we presented the feasibility study and criteria applicable in the field of information security.