• 융합보안논문지
• /
• 제12권1호
• /
• pp.43-48
• /
• 2012

본 논문에서는 u-Eco(ubiquitous ecological) City에서의 정보보호 정책을 제시한다. 이를 위하여 먼저, 다양한 유비쿼터스 도시의 정의를 살펴보고 u-Eco City의 개념, 주요 서비스 및 추진 과제를 정리한다. 그리고 유비쿼터스 서비스를 제공하기 위해 중추적인 역할을 수행하는 통합운영센터의 프레임워크를 제시하고, 센터에서의 개인정보 및 사생활 보호, 데이터 보호, 망설비 보호와 관련된 요구사항을 분석한다. 기존 정보보호 알고리즘과 달리 u-Eco City에서 운영되는 USN(ubiquitous sensor network)에서 정보의 수집, 가공 및 제공시 경량화된 암호화 알고리즘을 이용한 정보보호 기술(블록/스트림 암호화, 의사난수 생성기, 해쉬함수 및 공개키 암호화 등)이 요구되며 개인정보의 기밀성과 인증성을 보장해주기 위한 정책이 사전에 마련되어야 함을 알 수 있다.

• 정보보호학회논문지
• /
• 제27권3호
• /
• pp.705-715
• /
• 2017

오늘 날 세계는 과학기술과 정보통신의 비약적인 발전으로 정보화 기반 아래 실시간 정보 공유와 의사소통이 가능한 거대한 하나의 공동체로 발전하고 있다. 이러한 정보화의 이면에는 해킹, 바이러스 등에 의한 정보자산의 침해, 사이버 테러, 개인정보 및 중요정보 자산의 무단 유출과 같은 역기능은 지속적으로 증가하여 심각한 사회문제로 대두되고 있다. 침해사고 및 개인정보 유출 시 마다 정부 주도의 개인정보 보호를 위한 관련 법규 강화와 종합대책 수립 등 많은 규제정책이 발표되었고, 기업들 역시 정보보안의 중요성에 관한 인식이 점차 증가하면서 다양한 노력들을 기울이고 있다. 그럼에도 불구하고 개인정보 유출 및 산업기밀 유출과 같은 정보보안 사고는 계속적으로 발생하고 있으며 그 빈도 또한 줄어들고 있지 않는 것이 현실이다. 이에 본 논문에서는 획일적이고 기술 중심의 보안정책이 아닌 사용자 중심의 보안정책 수립을 통하여 다양한 업무환경 및 서비스 지원과 동시에 보안위협 대응 시 보다 신뢰성 있고 효과적으로 대처할 수 있는 사용자 맞춤형 보안정책 방법론을 제시하였다.

• 한국IT서비스학회지
• /
• 제14권4호
• /
• pp.81-104
• /
• 2015

Intentional information systems (IS) misuse is a serious problem in many organizations. This study aims at developing the theoretical framework of deterring IS misuse on the basis of Nagin's General Deterrence Theory (GDT) which is very famous in the area of socio-criminology. Applying GDT to the IS misuse situation could be reasoned that the perceived certainty and the perceived severity of sanctions associated with committing IS misuse have positive impact on deterring the deviant behaviors. Also, these two constructs (certainty of sanctions and severity of sanctions) could be inferred to be influenced by the four types of IS security countermeasures (security policies, security awareness program, monitoring practices and preventive security software) derived through critically reviewing IS security-relevant literature. The proposed research model and ten hypotheses were empirically analysed using structural equation modelling with the data collected by conducting a questionnaire survey of staff members in business organizations in Korea. As a result, it was found that five ones of ten hypotheses were supported. It is thought that this study makes theoretical contribution to expanding research area of IS security and also has strong implications for IS security management practices within organizations.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1225-1241
• /
• 2014

고객정보 유출 방지를 위해 금융기관은 DLP(Data Leaks Prevention) 관련 정보보호 제품을 도입하고 내부통제 정책을 강화하고 있다. 그러나 정보의 수집, 제공, 이용, 저장 과정의 핵심적 역할을 담당하는 응용프로그램에 대한 관리 및 기술적 통제는 매우 미흡한 실정이며, 응용프로그램을 통한 정보유출 사고를 예방하거나 대책 마련을 위한 내부통제 정책의 이행에 어려움을 겪고 있다. 본 논문에서는 금융기관의 개인정보 취급 및 주요 유통 경로 현황 분석을 통해 문제점을 제기하고 정보유출 방지를 위한 효율적인 내부통제 보안기술의 필요성을 제시하였다. 이에 따라 가상화 및 모바일 분야에서 부분적으로 사용되고 있는 컨테이너 기술을 응용하여 클라이언트 PC 응용프로그램의 보안 취약점을 보완하고 정보유출 방지 기능을 제공하는 새로운 보안 컨테이너를 설계 구현하였으며, 실제 금융기관 업무시스템에 적용하여 정보유출 방지 및 IT 컴플라이언스 내부통제와 관련된 정책 수행능력의 효과성을 검증하였다. 또한 정책 설정을 통해 보안 컨테이너에 추가 보안 기능을 제공하고 보안 컨테이너를 재사용함으로써 보안 취약점 대응 비용 및 시간을 줄여 IT 컴플라이언스 규제 준수를 위한 보안 컨테이너의 효용 가치를 높였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제18권6호
• /
• pp.1599-1618
• /
• 2024

Access control has always been one of the effective methods to protect data security. However, in new computing environments such as big data, data resources have the characteristics of distributed cross-domain sharing, massive and dynamic. Traditional access control mechanisms are difficult to meet the security needs. This paper proposes CACM-MMSR to solve distributed cross-domain access control problem for massive resources. The method uses blockchain and smart contracts as a link between different security domains. A permission decision model migration method based on access control logs is designed. It can realize the migration of historical policy to solve the problems of access control heterogeneity among different security domains and the updating of the old and new policies in the same security domain. Meanwhile, a semantic reasoning-based permission decision method for unstructured text data is designed. It can achieve a flexible permission decision by similarity thresholding. Experimental results show that the proposed method can reduce the decision time cost of distributed access control to less than 28.7% of a single node. The permission decision model migration method has a high decision accuracy of 97.4%. The semantic reasoning-based permission decision method is optimal to other reference methods in vectorization and index time cost.

• 융합보안논문지
• /
• 제16권7호
• /
• pp.51-59
• /
• 2016

기업의 정보시스템에 대한 내 외부의 위협이 증가되고 있으며 이를 감소시키기 위해 많은 돈과 인력을 투자하고 있다. 하지만 이러한 투자에도 불구하고 보안위협과 사고는 지속적으로 발생하고 있다. 본 연구는 기업의 사고 방지를 위한 다양한 정보보호 활동을 예방 지향적과 억제 지향적으로 구분하고 건강신념모델을 이용하여 기업의 정보보안 활동이 구성원들에게 어떤 영향을 미치고 정보보안 정책을 준수하도록 하는지 연구하였다. 연구결과 예방 지향적 활동은 심각성에, 억제 지향적 활동은 유익성에 유의미한 영향을 주고, 심각성과 유익성은 각각 준수의도에 영향을 주었다. 이러한 결과로 미루어보아, 기업에서 교육, 홍보, 모니터링 등 사전적인 활동을 시행할 경우 미 준수로 발생할 수 있는 부정적인 결과에 대해 강조하여야 하며, 감사, 처벌 등 사후적인 활동을 통해 보안을 유지하고자 할 경우 기업의 의지를 보임으로써 보안 정책을 준수하는 것이 유익할 것이라는 판단을 구성원 스스로 하도록 하는 것이 더욱 효과적인 정보보안 활동이 될 것이다.

• 정보보호학회논문지
• /
• 제32권1호
• /
• pp.141-154
• /
• 2022

데이터 경제시대 속에서 활발한 데이터 유통환경을 조성하고자 다양한 정책들이 시행되고 있다. 국내에서는 공공주도 데이터 거버넌스 아래 금융데이터거래소의 출범을 시작으로 빅데이터 유통 플랫폼 형성과 데이터 거래가 시작되었다. 주요 데이터 선진국들의 경우, 오래전부터 데이터브로커 산업을 바탕으로 데이터 유통환경을 구축해왔고, 그로부터 산출되는 부가가치들을 통해 국가 데이터 경쟁력을 강화해왔다. 그런데 데이터브로커를 통해 이루어지는 활발한 데이터 유통의 이면에는 수많은 정보보호 이슈들이 존재하고, 이로 인해 다양한 프라이버시 문제와 국가 안보적 위협들이 발생하였다. 이러한 문제들은 국내 금융데이터 거래 과정에서도 충분히 발생할 수 있다. 본 연구에서는 데이터브로커로 인해 발생한 데이터 거래의 정보보호 이슈를 살펴보고, 정보보호의 관점에서 데이터 거래 시 고려해야 할 사항들을 도출하였다. 이후, 정보보호 고려사항들이 국내 금융데이터거래소 거래단계별 정보보호 정책에 잘 반영되어 있는지 검증해보았다. 이를 바탕으로 금융데이터거래의 정보보호 강화방안을 제시하였다.

• 융합보안논문지
• /
• 제21권1호
• /
• pp.169-175
• /
• 2021

포괄안보의 개념이 적용되는 제4차 산업혁명시대의 전개로 인해서 가장 괄목할만한 정보통신기술(ICT)은 인공지능(AI)으로 추정된다. 따라서 인공지능(AI)을 기반으로 하는 국가위기관리정책발전을 위한 요인이 무엇인지를 탐색하고 발전 전략을 수립하는 것이 본 연구의 목적이다. 이를 위해서 한국 정부의 내부역량을 SPRO 분석하여 강점과 약점을 도출하고, 외부환경을 PEST 분석하여 기회와 위협 요인을 도출하였다. 도출된 다양한 요인들은 SWOT 분석을 하여 정보통신기술(ICT)과 안보 및 재난 분야에서 오랜 기간 재직 중인 전문가들의 자문을 받아 SWOT 요인을 도출하였다. 이 요인들을 중점으로 제4차 산업혁명시대에서 한국 정부의 국가위기관리정책 발전을 위한 전략을 수립하였다.

• 한국컴퓨터정보학회논문지
• /
• 제14권7호
• /
• pp.105-112
• /
• 2009

중소기업은 대기업에 비해, 정보기술에 대한 의존도가 높지만, 재정적인 어려움과 한정된 자원 및 노하우의 부족 등의 이유로 인해서 정보기술 및 정보 보안에 투자하는 비용은 크지 않다. 이로 인해서 정보 보안에 취약점이 많으며, 그로 인한 침해 사고도 많아지게 된다. 중소기업의 정보 보안 실무자들은 바이러스 방역 솔루션을 업데이트하고, 방화벽을 운영하며, 정기적인 시스템 패치를 적용하는 것이 정보 보안의 전부라고 생각한다. 하지만 보안 사로를 줄이기 위해서 보안 정책, 정보 유출 방지, 사업 연속성, 접근 제어 및 기타 많은 정보 보안 이슈들이 고려되어야지만 한다. 본 논문에서는 이러한 관점에서 대기업 위주의 보안 대책과 전략들을 중소기업 정보시스템의 안정적 운영에 적합하도록 새롭게 정리하여, 4가지의 관점엥서 정보 보안 고려 사항들을 도출하고, 정보 보안 전략을 제안한다.

• 정보처리학회논문지D
• /
• 제10D권5호
• /
• pp.773-780
• /
• 2003

SecuROS(Secure & Reliable Operating System) 시스템은 FreeBSD 4.3 운영체제 커널에 접근 제어, 사용자 인증, 감사 추적, 암호화 파일 시스템, 신뢰 채널 등의 보안 기능을 추가 구현하여 시스템에 발생 가능한 해킹을 방지하고 차단하는 시스템을 말한다. 본 논문에서는 SecuROS의 핵심 기술 중에 하나인 접근제어 기법을 기술하고, 해당 접근제어 정책인 DAC, MAC, RBAC의 구현 내용을 소개하며, 접근제어 정책의 적용에 따른 보안성과 성능 시험을 위한 도구 및 방법을 나타낸다. 기존의 운영체제 환경과 새로운 접근제어 정책을 적용한 환경 사이의 보안성 및 성능의 상관 관계를 기술한다.