• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2011년도 추계학술대회
• /
• pp.303-306
• /
• 2011

시스템 접근통제를 위한 솔루션은 사용자 개인을 시스템에 인증시키고자 할 때 사용된다. 이러한 유효한 사용자는 과연 바로 권한이 있는 사용자인가 하는 부분으로, 유효한 사용자의 적합성의 여부가 인증되었는지 확실하지 않다는 점이 문제이다. 예를 들어, 한 명의 개발자가 Unix 운영시스템에는 유효할 수 있지만, 권한이 없는 시스템에 대해서는 접근에 제한되어야 한다. 본 논문에서는 1개의 계정으로 여러 사용자가 사용하는 시스템운영의 문제점을 개선하기 위한 세밀한 권한 위임, 세션 감사, 관리자 계정의 정책기반 관리, 모든 권한을 갖는 관리자 계정 배급의 관리와 감사 기능을 통해 시스템 전체적인 접근 제어 방안을 연구한다.

• 인터넷정보학회논문지
• /
• 제19권6호
• /
• pp.9-20
• /
• 2018

금융서비스산업 전반에 고객의 금융정보 및 금융서비스를 적절하게 보호하고 유지하기 위해, 조직은 정보보호 관리체계(ISMS), 개인정보보호 관리체계, 비즈니스연속성 관리체계와 같은 경영시스템을 도입하여 운영하기 시작하였다. 본 연구는 금융권이 ISMS를 고려하는 것이 바람직하며 정보보안 문화, 실무 및 가이드라인을 고려하는 다양한 조직 안에 각기 다른 형태를 가질 수 있다는데서 출발하였다. 금융서비스산업 내에서도 분야에 상관없이 적용 가능하고 보편적으로 널리 알려진 국제 정보보호 관리체계 ISO27001을 도입한 금융 관련 조직을 대상으로 인증 심사에 따른 부적합 추이 및 통제 요인의 분석을 통해 해당 ISMS의 주요 통제 영역을 도출하게 된다. 이에 따라 ISMS를 도입하여 운용하고 있는 금융 관련 5개 조직의 사례분석을 통해 정보보호 수준의 개선 효과를 분석해 보고자 했다. 금융 섹터에서 인증을 유지하고 있는 곳이 적어 실증 연구를 위한 자료 확보가 어려웠지만, 초기 연구 대상으로서의 의미가 있는 것으로 분석되었다. 분석을 통해, 대상 업체들에서 최초심사로부터 3년 주기가 지나는 동안 부적합 건수가 매년 감소하고 있음을 확인할 수 있었다. 부적합 빈도수가 가장 높았던 물리적 환경적 보안, 의사소통 및 운영관리, 접근통제 영역이 각 23%, 19%, 17%를 나타내 전체 부적합의 59% 정도를 차지하는 주요 통제영역으로 도출되었다. 이를 통해 금융권에서 중요하게 다루어지지 않았던 기술적, 관리적, 물리적 보안 이슈를 ISMS가 충족시키고, ISMS가 금융서비스산업에 적용 가능한 효과적인 관리체계가 될 수 있음을 발견하였다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1271-1284
• /
• 2014

본 논문에서는 정보보호 관리체계를 구축하고 운영하고 있는 기업에서 외부감사(ISO27001)와 내부감사(보안전담조직에 의한)에 대한 결함 및 권고사항을 기술적 영역, 관리적 영역, 물리적 영역으로 분류하고 예산과 투자에 대한 상관관계를 확인하여 어떠한 영향이 있는지 분석하였다. 분석 결과는 시간의 흐름에 따라 관리적 보안영역과 기술적 보안영역에서 일관성 있는 연관관계를 확인하였으며 특히 미집행 예산(예산액-집행액) 규모와 감사 결함 및 권고사항의 수가 정(+)의 관계에 있음을 확인할 수 있었다. 이를 통해 상관분석 결과에 따른 유사도를 통계 분석하여 정보보호 투자의 효과성을 검증할 수 있는 모델을 제시한다. 그리하여 기업의 정보보호 투자에 대한 체계적인 방법론 접근과 정보보호 정책 수립 시 정확한 의사결정 방향에 도움이 되고자 한다.

• 한국IT서비스학회:학술대회논문집
• /
• 한국IT서비스학회 2003년도 추계학술대회
• /
• pp.383-389
• /
• 2003

정보시스템의 효과적인 개발 및 운영을 지원하기 위한 활동에는 품질 보증, 감리 등이 있다. 이중에서 감리는 정보시스템의 전체 개발 수명주기에 걸쳐서 시스템의 품질을 개선시키기 위한 핵심활동이라고 할 수 있다. 현재 공공 정보시스템 감리는 기존의 정보시스템감리기준(정보통신부고시제1999-104호)를 활용하여 수행하고 있지만, 감리영역이나 점검사항이 현재 IT 환경과 맞지 않고 실제 감리에 적용하기 어렵다. 또한, 정보시스템 개발수명주기에 걸쳐서 감리를 수행해야함에도 불구하고, 현실은 그렇지 않으며 수명주기별 감리기준도 명확하지가 않다. 본 연구에서는 ISACA(Information Systems Audit and Control Association)의 COBIT(Control Objectives for Information and related Technology)와 IT 관련 국제 표준들을 벤치마킹하여 정보시스템 감리프레임워크를 제시하였고, 이의 운영 및 활용 방안을 제안하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2001년도 추계종합학술대회
• /
• pp.479-482
• /
• 2001

침입 탐지 시스템은 침입 판정과 감사 데이터(audit data) 수집 분야에서 많은 연구가 진행되고 있다. 침입 판정은 주어진 일련의 행위들이 침입인지 아닌지를 정확히 판정해야 하고 감사 자료 수집에서는 침입 판정에 필요한 데이터만을 정확히 수집하는 능력이 필요하다 최근에 이러한 문제점을 해결하기 위해 규칙기반 시스템과 신경망 등의 인공지능적인 방법들이 도입되고 있다. 그러나 이러한 방법들은 단일 호스트 구조로 되어있거나 변형된 침입 패턴이 발생했을 때 탐지하지 못하는 단점이 있다. 따라서, 본 논문에서는 분산된 이기종 간의 호스트에서 사용자의 행위를 추출하여 패턴을 검색, 예측할 수 있는 데이터 마이닝을 적용하여 실시간으로 침입을 탐지하는 방법을 제안하고자 한다.

• 한국정보통신학회논문지
• /
• 제18권3호
• /
• pp.761-769
• /
• 2014

본 논문에서는 군 특수성을 고려한 정보보호 관리체계를 기존 ISMS를 기반으로 개선된 M(Military)-ISMS 모델을 제시한다. 이는 ISMS에서 논의 되지 않은 군 특수성을 고려한 '내부 보안감사'와 '대외활동 관리'부분이 주요 연구대상이다. 내부 보안감사 부분은 민간에서 중요하게 다루는 가용성보다 기밀성이 중요하기 때문에 기밀성과 관련된 보안감사의 6가지 통제항목을 추가하였다. 또한 대외활동 관리부분은 해당 군사자료가 비밀로서 가치가 사라졌을 경우 보안관리 기준 수립과 수준유지에 관한 통제항목 등을 추가하였다. 본 논문에서 제안된 M-ISMS는 기존의 ISMS에서 제공하는 다양한 장점들과 민간 침해사고 사례를 활용하여 군의 특수성을 고려한 신속하고 미래지향적인 보안 침해사고를 사전에 예방할 수 있는 효과가 있다.

• 한국콘텐츠학회논문지
• /
• 제17권10호
• /
• pp.343-359
• /
• 2017

본 연구는 제도복합성과 제도정합성이라는 신제도주의 이론에 근거하여 정부회계제도를 분석하고 시사점을 제공하고자 하였다. 이러한 분석은 국가회계와 지방회계에 대한 문헌연구와 실제 운영현황에 대한 자료를 기획재정부, 행정안전부, 감사원, 회계통계센터 홈페이지 등에서 체계적으로 수집하여 수행하였다. 분석결과 정부회계제도는 제도복합성 측면에서 다양한 요소로 구성되어 있으며 정보의 생산, 공개, 활용의 측면에서 정합성은 높지 않았다. 이를 향상시키기 위하여 다음과 같은 측면이 개선될 필요가 있었다. 신뢰성 있는 정보의 생산을 위해 회계직 공무원 채용을 신설해야 하고, 감사제도로 발전시킬 필요가 있으며, 국가회계와 지방회계 관련 조직의 협력이 필요하다. 투명한 정보의 공개를 위해 실시간 정보공개 및 국가회계정보와 지방회계정보를 연계하여 공개하는 것이 필요하다. 정보활용을 위해 정보이용자에 대한 교육, 타당한 원가정보와 활용가능한 재정분석지표의 제공, 재정책임관제의 도입, 국가회계와 지방회계가 포함된 통합재무제표의 작성 등이 필요하다.

• 지능정보연구
• /
• 제20권2호
• /
• pp.149-162
• /
• 2014

수강지도는 학생의 졸업인증이나 공학교육인증 이수를 위해 수강 신청 이전에 수행되는 과정을 지칭한다. 수강지도는 학생의 수강이력 점검과 향후 수강 과목의 안내 등을 포함하여 학생들의 졸업 및 교과과정 인증과 관련된 중요한 역할을 하고 있다. 현재 대부분 대학에서는 수강지도를 위한 전산시스템의 부재로 인해 지도교수가 직접 수동적으로 수강지도를 진행하고 있다. 하지만 이러한 수동적인 방식의 수강지도는 지도교수가 각 학생에 대한 정보를 분석해야 하고, 때때로 휴먼에러를 일으키게 된다. 수강신청이 학기 단위로 이루어지기 때문에 휴먼에러로부터 발생된 피해는 원상태로 되돌리는 것이 거의 불가능하다. 따라서 수강지도를 진행함에 있어 자동화된 시스템은 필수적인 요소로 판단된다. 관계 데이터 모델을 이용한 수강지도 시스템의 도입은 수동적인 수강지도의 문제점을 해결할 수 있게 해준다. 하지만 교육과정 및 인증제도의 변화에 따라 기존 시스템의 스키마 변경이 요구되고, 수강 과목 사이에 존재하는 관계 및 의미적인 검색을 제공하는 것이 어렵다는 한계가 존재한다. 본 논문에서는 수강지도 시스템을 위한 수강지도 온톨로지를 모델링하고, 온톨로지 기반의 수강지도 시스템을 설계한다. 온톨로지 인스턴스 생성을 위해 JENA 프레임워크를 이용하여 온톨로지 생성 모듈을 개발하였고, 실험에 참가한 학생의 수강 이력 데이터를 기반으로 온톨로지 인스턴스를 생성하고 추론과정을 통해 트리플 저장소에 저장하였다. 실험은 제안하는 시스템이 학생들이 향후 수강할 수 있는 과목을 모두 제공하는지 여부와 제공되는 과목에 대한 정보 및 학점 계산들이 정확한 지를 측정하였다. 실제 학생의 수강내역을 이용한 실험의 결과는 온톨로지 기반의 수강지도 시스템이 현 수강지도 시스템의 수동적 방법을 해결하고, 사람이 지도한 내용과 같은 내용을 도출하는 것을 확인함으로써 제안하는 시스템의 유효성을 보여준다.

• 한국산학기술학회논문지
• /
• 제22권4호
• /
• pp.140-149
• /
• 2021

기업 기밀과 고객 정보를 적절하게 보호하고 유지하기 위해, 조직은 정보보호 관리체계(ISMS), 개인정보보호 관리체계(PIMS), 비즈니스연속성 관리체계(BCMS)와 같은 경영시스템을 도입하여 운영하기 시작하였다. 본 연구는 정보보안을 고려하는 모든 조직이 정보보호 관리체계를 유지하는 것이 바람직하며 ISMS는 정보보안 문화, 실무 및 가이드라인을 고려하는 다양한 조직 안에 각기 다른 형태를 가질 수 있다는데서 출발하였다. 산업분야에 상관없이 적용 가능하고 보편적으로 널리 알려진 국제 정보보호 관리체계 ISO27001을 도입한 조직을 대상으로, 인증 심사에 따른 부적합 사례를 통해 산업별, 조직규모별, 심사유형별 정보보호 관리체계의 주요 통제 영역을 도출하려 하였다. 국내의 경우 산업분야별 인증을 유지하고 있는 곳이 많지 않아 실증 연구를 위한 자료 확보에 어려움이 있지만, 탐색적 연구 대상으로서의 의미가 있는 것으로 보인다. 분석을 통해, 대상 업체들에서 ISO27001:2013이 발표된 2013년부터 2020년까지 각 형태별로 부적합 빈도수가 가장 높았던 요구사항을 주요 통제영역으로 도출하였다. 이를 바탕으로 3개 산업분야, 조직규모, 심사유형에 따라 ISMS의 주요 통제항목에 차이가 있다는 것을 발견하였다.

• 한국전자거래학회지
• /
• 제2권2호
• /
• pp.1-30
• /
• 1997

In this research, the concept of CM (configuration management) is introduced for proper applications to the life-cycle product data management. In addition, the activities for CM - CM management and planning, configuration identification, configuration control, configuration status accounting, and configuration verification and audit - are described in detail. For the management of distributed configuration data among governments, prime contractors, and subcontractors, development environments and functions for the configuration management information system (CMIS) are proposed.