• Journal of Information Technology Applications and Management
• /
• 제22권2호
• /
• pp.171-199
• /
• 2015

This study proposes the practical information security measures that help IT personnel of banks comply the information security policy. The research model of the study is composed of independent variables (clarity and comprehensiveness of policy, penalty, dedicated security organization, audit, training and education program, and top management support), a dependent variable (information security policy compliance intention), and moderating variables (age and gender). Analyses results show that the information security measures except 'clarity of policy' and 'training and education program' are proven to affect the 'information security policy compliance intention.' In case of moderating variables, age moderated the relationship between top management support and compliance intention, but gender does not show any moderating effect at all. This study analyzes information security measures based solely on the perception of the respondents. Future study may introduce more objective measurement methods such as systematically analyzing the contents of the information security measures instead of asking the respondents' perception. In addition, this study analyzes intention of employees rather than the actual behavior. Future research may analyze the relationship between intention and actual behavior and the factors affecting the relationship.

• 지능정보연구
• /
• 제26권3호
• /
• pp.37-50
• /
• 2020

사물 인터넷, 빅데이터, 클라우드, 인공지능 등 다양한 정보통신기술이 발전하면서, 정보보호의 대상이 증가하고있다. 정보통신기술의 발전에 비례해서 정보보호의 필요성이 확대되고 있지만, 정보보호 투자에 대한 관심은 저조한 상황이다. 일반적으로 정보보호와 관련된 투자는 효과를 측정하기 어렵기 때문에 적절한 투자가 이루어지지 않고 있으며, 대부분의 조직은 투자 규모를 줄이고 있다. 또한 정보보호 대책의 종류와 특성이 다양하기 때문에 객관적인 비교와 평가가 힘들고, 객관적인 의사결정 방법이 부족한 실정이다. 하지만 조직의 발전을 위해서는 정보보호와 관련된 정책과 의사결정이 필수적이며 적정 수준의 투자와 이에 대한 투자 효과를 측정 할 필요가 있다. 이에 본 연구에서는 게임 이론을 이용하여 정보보호 대책 투자 포트폴리오를 구성하는 방법을 제안하고 선형계획법을 이용하여 최적 방어 확률을 도출한다. 2인 게임 모형을 이용하여 정보보호 담당자와 공격자를 게임의 경기자로 구성한 뒤, 정보보호 대책을 정보보호 담당자의 전략으로, 정보보호 위협을 공격자의 전략으로 각각 설정한다. 게임 모형은 경기자의 보수의 합이 0인 제로섬 게임을 가정하고, 여러개의 전략 사이에서 일정한 확률 분포에 따라 전략을 선택하는 혼합 전략 게임의 해를 도출한다. 여러 종류의 위협이 존재하는 현실에서는 한 개의 정보보호 대책만으로 일정 수준 이상의 방어가 힘들기 때문에, 다수의 정보보호 대책을 고려해야한다. 따라서 다수의 정보보호 위협에 따른 정보보호 대책이 배치된 환경에서 정보보호 대책의 방어 비율을 이용하여 정보보호 대책 투자 포트폴리오를 산출한다. 또한 최적화된 포트폴리오를 이용하여 방어 확률을 최대화하는 게임 값을 도출한다. 마지막으로 정보보호 대책의 실제 성능 데이터를 이용하여 수치 예제를 구성하고, 제안한 게임 모델을 적용하고 평가한다. 본 연구에서 제시한 최적화 모델을 이용하면 조직의 정보보호 담당자는 정보보호 대책의 방어 비율을 고려하여 정보보호 대책의 투자 가중치를 구할 수 있고, 효과적인 투자 포트폴리오를 구성하여 최적의 방어 확률을 도출 할 수 있을 것이다.

• 한국전자거래학회지
• /
• 제20권4호
• /
• pp.151-175
• /
• 2015

조직의 정보보안을 위해서는 세 가지 유형의 정보보안(기술적, 물리적 및 관리적 보안) 모두가 중요하며 병행 추진되어야 할 것이지만, 본 연구는 관리적 보안대책의 수립 및 추진의 효과성을 보다 높이기 위한 이론적 근거를 확보하는데 연구목표를 설정하였다. 즉, 기술적 및 물리적 보안대책이 철저하게 정비되고 추진된다고 하더라도 이를 준수하고 실행하는 주체는 결국 조직구성원들이므로 기술적 및 물리적 보안대책이 소기의 성과를 이루기 위해서는 이에 부응한 관리적 보안대책이 균형 있게 추진되는 것이 필수적이기 때문에 관리적 보안을 보다 효과적으로 수행할 수 있기 위한 이론적 근거를 확보하는 것은 매우 중요한 의미를 지닌다고 본다. 특히, 본 연구에서는 효과적인 관리적 보안대책의 수립 추진의 핵심과제라고 할 수 있는 조직구성원들의 정보보안기술 사용의도를 향상시키기 위한 방안 마련 시에 적용될 수 있는 이론적 모형을 개발 제시하고자 하였다. 이를 위해 정보보안기술 사용의도에 영향을 미치는 요인들을 주요 관련 이론 및 선행연구들에 대한 체계적 고찰을 통해 도출하고 이들 간의 인과적 관계를 논리적으로 추론함으로써 연구모형 및 가설을 도출하였다. 실증분석을 위해서는 국내 대기업들의 직원들을 대상으로 현장서베이를 통한 자료수집을 하였고 부분최소자승법(PLS: Partial Least Squares)기법에 의한 구조방정식 모형분석을 실시하였다. 본 연구의 유의한 결과는 이론적인 측면에서 관리적 정보보안 분야 연구의 외연을 확대하는데 기여할 수 있다고 보며, 실무적인 측면에서는 제반 조직들이 관리적 정보보안 방안 및 대책 수립을 함에 있어서 업무지침의 일부로 적용될 수 있을 것으로 예상된다.

• International journal of advanced smart convergence
• /
• 제10권4호
• /
• pp.22-29
• /
• 2021

For web application vulnerability diagnosis, from the development stage to the operation stage, it is possible to stably operate the web only when there is a policy that is commonly applied to each task through diagnosis of vulnerabilities, removal of vulnerabilities, and rapid recovery from web page damage. KISA presents 28 evaluation items for technical vulnerability analysis of major information and communication infrastructure. In this paper, we diagnose the vulnerabilities in the automobile goods shopping mall website and suggest security measures according to the vulnerabilities. As a result of diagnosing 28 items, major vulnerabilities were found in three items: cross-site scripting, cross-site request tampering, and insufficient session expiration. Cookie values were exposed on the bulletin board, and personal information was exposed in the parameter values related to passwords when personal information was edited. Also, since the session end time is not set, it was confirmed that session reuse is always possible. By suggesting security measures according to these vulnerabilities, the discovered security threats were eliminated, and it was possible to prevent breaches in web applications and secure the stability of web services.

• 한국융합학회논문지
• /
• 제5권4호
• /
• pp.27-32
• /
• 2014

정보보안 정책은 산업융합의 흐름에 맞추어 융합보안시대가 가속화되어가고 있는 요즈음 조직의 보안을 실현하고 지속하는데 필요한 가장 중요한 도구 중 하나이다. 하지만, 지금까지도 정보보안 정책의 효과성을 측정하는 연구는 많이 부재한 실정이다. 본 연구의 목적은 정보보안 정책의 효과성을 측정할 수 있는 측정지표를 개발하는 것이다. 이를 위해 데이터 품질, 정보 품질에 관한 문헌을 기반으로 품질의 기반 요인들을 살펴보았다. 문헌 검토결과 내용 관점에서 정확성, 완전성, 해석의 용이성, 관련성 등을 그리고 형식 관점에서 이해의 용이성, 표현의 간결성, 그리고 적정성 등이 정보보안 정책의 품질을 측정하기 위해 중요한 구성요소라 판단된다.

• 한국컴퓨터정보학회논문지
• /
• 제20권5호
• /
• pp.113-121
• /
• 2015

이 연구는 국내 시스템경비업체의 보안관리 개선을 위한 경영대책의 일환으로 관제시설에 대한 구축 프로세스와 보안관리 방안을 제안한다. 관제시설은 시스템경비의 중추신경으로 현장의 대응체제가 아무리 잘 구축되어 있더라도 관제시설이 장애나 재해로 작동이 중단되거나 관제기계경비원이 위해를 입게 되면 본래의 기능을 수행할 수 없기 때문이다. 관제시설의 구축 프로세스는 공간구조, 기반시설, 관제장치, 관제 솔루션, 운영조직으로 구분하고, 보안관리 방안으로는 물리보안, 정보보안, 인적보안에 대한 대책을 제시한다.

• 정보보호학회논문지
• /
• 제18권5호
• /
• pp.161-170
• /
• 2008

최근 첨단기술과 핵심정보의 불법적인 유출 및 해킹과 바이러스 등으로 인한 피해사례가 계속 증가하고 있으나, 기업에서의 보안사고 방지와 예방체제는 아직도 미흡한 편이다. 대기업을 중심으로 회사의 중요한 정보를 보존하기 위한 장치로써 정보보호관리체계(ISMS)를 도입하여 운영하고 있으나, 기존의 정보보호수준 진단 및 측정 모델은 주로 ISO 27001에 기반을 둔 정보보호정책과 제도의 수립여부, 또는 IT 분야에 초점을 둔 지표 중심으로 평가를 함으로써 기업의 전반적인 보안수준 평가와 보안사고 예방체제 강화에는 부족한 점이 많았다. 본 논문에 소개 된 정보보호수준 측정모델은 기존의 정보보호관리체계는 물론, 정보보호활동의 성과를 정량적으로 평가하여 각종 보안사고의 예방 및 대응방안 수립에 활용 가능하도록 국내외 사례연구와 함께 경영관리기법으로 많이 사용되고 있는 BSC(Balanced Scorecard)를 적용한 실용성에 초점을 맞추어 개발하였다.

• 한국IT서비스학회지
• /
• 제23권2호
• /
• pp.13-29
• /
• 2024

Recently, with the rapid spread of mobile terminals such as smartphones and tablet PCs, social demand for mobile information security is increasing as new security issues that are difficult to predict as well as service evolution and lifestyle changes are raised. Smart terminals include smartphones, smart pads, chromebooks, laptops, etc. that provide various functions such as phone calls, text messages, Internet browsing, social media apps, games, and education. Along with the explosive spread of these smart terminals, they are naturally being used in our daily life and educational environment. In the mobile environment, behind the convenience of portability, there are more various security threats and vulnerabilities than in the general PC environment, and threats such as device loss, information leakage, and malicious codes exist, so it is necessary to take fundamental security measures at a higher level. In this study, we suggest ways to improve security by identifying trends in mobile smart information security and effectively responding to security threats to the mobile environment. In addition, it presents implications for various measures for effective class utilization along with correct security management methods and security measures related to the supply of smart devices that the Office of Education is promoting for schools at each level.

• Journal of Information Technology Applications and Management
• /
• 제16권3호
• /
• pp.73-86
• /
• 2009

To establish an effective security strategy, business enterprises need a security benchmarking tool. The strategy helps to lessen an impact and a damage in any threat. This study analyses many aspects of information security management and suggests a way to deal with security investments by considering important factors that affect security manager's decision. To address the different threats resulting from a major cause of accidents inside an enterprise, we investigate an approach that followed ISO17799. We unfold a criminology theory that has designated many measures against the threat as suggested by General Deterrence Theory. The study proposes a coherent model of the theory to improve the security measures especially in handling and protecting company assets and human lives as well.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2012년도 추계학술대회
• /
• pp.769-772
• /
• 2012

개인정보 보호법 제2조는 개인식별정보, 비밀정보 및 바이오 정보 등을 개인정보로 정의하고 제29조에서 개인정보에 대한 불법열람 및 유출을 방지하기 위해 적정한 수준의 기술적, 관리적, 물리적 안전조치를 취해야 하는 것으로 명시하고 있다. 정보통신망법 제28조 제1항, 시행규칙 제9조, 방송통신위원회 고시에서도 이에 관해 규정하고 있다. 이를 만족하기 위해서 개인정보의 안전성 확보조치를 취해야 하는 공공기관이나 기업들 등의 주체들이 기술적 조치를 적용하고, 이를 지속적으로 운영하고 관리하기 위해 적극적인 방안을 수립하고 실천해 나갈 것이 요구된다. 기술적 안전성 확보는 개인정보에 대한 암호화, 암호화키에 대한 안전한 관리와 운용, 개인정보 열람에 대한 접근제어와 감사를 제공하는 개인정보 보호수준을 도입함으로써 가능하다. 이 논문에서는 개인정보의 기술적 안전성 조치로서 핵심요소인 개인정보의 암호화에 대해서 다양한 기술을 분석하고자 한다. 이는 개인 정보 보호의 기술방안을 선택하는데 있어 도움이 될 수 있을 것이다.