• 경영정보학연구
• /
• 제16권3호
• /
• pp.179-190
• /
• 2014

교육기관이 보유한 개인정보 파일의 상당수는 개인의 학사정보, 건강정보 등 민감한 정보를 포함한다. 따라서 교육기관의 개인정보유출 사건이 발생할 경우 그 피해가 클 것으로 예상된다. 이러한 피해를 막기 위해 교육부는 2012년부터 교육기관의 (개인)정보보호 담당자를 대상으로 보안인식제고 및 보안기술능력 향상을 목표로 하는 정보보호 교육센터를 설립하여 운영하는 등 다양한 노력을 하고 있지만 여전히 공공기관에서 발생한 개인정보유출 사건의 상당수는 교육기관에서 발생하고 있다. 본 연구는 정보보호 교육센터의 교육과정이 교육대상의 교육수요에 적합하게 운영되고 있는지 확인하기 위해 다음과 같이 진행하였다. 대학의 정보보호 관련 전공 커리큘럼을 조사하여 정보보호 분야의 지식 및 기술 11개를 도출하였고, 정보보호 교육센터의 교육대상인 교육기관의 (개인)정보보호 담당자를 대상으로 정보보호 분야의 지식 및 기술 11개에 대한 교육수요를 조사하였다. 또한, 정보보호 교육센터의 교육과정을 조사하였으며, 이를 교육대상의 교육수요와 비교해보았다.

• 정보보호학회논문지
• /
• 제26권1호
• /
• pp.275-283
• /
• 2016

현재 우리나라의 인터넷과 IT 인프라는 세계 최고 수준을 유지하고 있다. 그러나 그 이면에는 보안사고, 특히 개인정보 유출 사고가 빈번히 발생하고 있다. 개인정보 유출 사고 발생 시 해당 기업은 부정적 영향을 받게 되며, 이를 방지하기 위해 정보보호 업체의 다양한 보안 솔루션을 사용하고 있다. 따라서 개인정보 유출 사고 발생 시 발생 기업은 물론 기업에 보안 솔루션을 제공하는 정보보호 업체에도 영향을 미칠 것으로 생각된다. 이에 본 논문에서는 개인정보 유출 사고 발생 시 정보보호 업체의 주가 변화를 통해 보안 이벤트가 정보보호 업체의 가치에 어떠한 영향을 주는지 가설을 세워 검증하였다. 그 결과 개인정보 유출 사고 발생 시 정보보호 업체의 주가는 상승하였으며, 사고 규모, 사고 발생 업종에 따른 차이는 통계적으로 유의하지 않았고, 정보보호 업체의 업태 구분에 따른 차이가 존재하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 추계학술발표대회
• /
• pp.907-909
• /
• 2012

주민등록번호는 주민생활의 편익 증진과 행정사무의 적정한 처리를 목적으로 도입되었으나 인터넷의 발달과 함께 관행적이고 무분별하게 사용되어 왔다. 수집된 주민등록번호가 해킹 등의 유출사고로 명의도용 등 범죄에 악용될 우려가 커지자 이를 근본적으로 해결하기 위하여 2011년 방송통신위원회는 인터넷상 주민등록번호 수집 이용을 제한하는 법 제도적 정책을 추진하였다. 정보통신망법이 개정되어 주민등록번호의 사용이 제한되면서 사업자에게 본인확인, 연령확인 등 법률의무의 이행이나 고객의 분쟁조정 등 목적을 위해 주민등록번호를 대체할 본인확인수단이 필요하게 되었다. 본 논문에서는 주민등록번호를 이용자가 입력하지 않으며 보편적으로 사용하고 있는 인프라를 이용하고 단순한 입력정보의 변경을 통해 본인확인을 할 수 있는 방안을 제안한다.

• Asia pacific journal of information systems
• /
• 제22권1호
• /
• pp.53-77
• /
• 2012

Financial firms, especially large scaled firms such as KB bank, NH bank, Samsung Card, Hana SK Card, Hyundai Capital, Shinhan Card, etc. should be securely dealing with the personal financial information. Indeed, people have tended to believe that those big financial companies are relatively safer in terms of information security than typical small and medium sized firms in other industries. However, the recent incidents of personal information privacy invasion showed that this may not be true. Financial firms have increased the investment of information protection and security, and they are trying to prevent the information privacy invasion accidents by doing all the necessary efforts. This paper studies how effectively a financial firm will be able to avoid personal financial information privacy invasion that may be deliberately caused by internal staffs. Although there are several literatures relating to information security, to our knowledge, this is the first study to focus on the behavior of internal staffs. The big financial firms are doing variety of information security activities to protect personal information. This study is to confirm what types of such activities actually work well. The primary research model of this paper is based on Theory of Planned Behavior (TPB) that describes the rational choice of human behavior. Also, a variety of activities to protect the personal information of financial firms, especially credit card companies with the most customer information, were modeled by the four-step process Security Action Cycle (SAC) that Straub and Welke (1998) claimed. Through this proposed conceptual research model, we study whether information security activities of each step could suppress personal information abuse. Also, by measuring the morality of internal staffs, we checked whether the act of information privacy invasion caused by internal staff is in fact a serious criminal behavior or just a kind of unethical behavior. In addition, we also checked whether there was the cognition difference of the moral level between internal staffs and the customers. Research subjects were customer call center operators in one of the big credit card company. We have used multiple regression analysis. Our results showed that the punishment of the remedy activities, among the firm's information security activities, had the most obvious effects of preventing the information abuse (or privacy invasion) by internal staff. Somewhat effective tools were the prevention activities that limited the physical accessibility of non-authorities to the system of customers' personal information database. Some examples of the prevention activities are to make the procedure of access rights complex and to enhance security instrument. We also found that 'the unnecessary information searches out of work' as the behavior of information abuse occurred frequently by internal staffs. They perceived these behaviors somewhat minor criminal or just unethical action rather than a serious criminal behavior. Also, there existed the big cognition difference of the moral level between internal staffs and the public (customers). Based on the findings of our research, we should expect that this paper help practically to prevent privacy invasion and to protect personal information properly by raising the effectiveness of information security activities of finance firms. Also, we expect that our suggestions can be utilized to effectively improve personnel management and to cope with internal security threats in the overall information security management system.

• 융합정보논문지
• /
• 제7권3호
• /
• pp.83-90
• /
• 2017

본 연구의 목적은 기업체의 정보보안 관리자가 모든 임직원들의 개인정보 보유 현황을 인지해야 하는 한계성을 해결하고자 한다. 본 연구에서는 정보보안 관리자와 부서별 정보보안 담당자가 개인별, 부서별 개인정보 보유 현황을 최소화할 수 있도록 효율적인 개인정보 보유 현황 관리시스템을 제안한다. 이를 위해 개인정보 보유 현황의 대상이 되는 점검대상 컴퓨터와 개인정보 보유 현황의 결과를 확인할 수 있는 점검결과를 PVA 시스템으로부터 효율적인 개인정보 보유 현황 관리시스템으로 전송하는 방법에 대해 연구하고, 확인된 개인정보 보유 현황을 최소화할 수 있는 방법에 대해서도 연구한다. 기존 PVA 시스템을 정보보안 관리자가 관리하는 One channel 방식을 정보보안 관리자와 정보보안 담당자가 관리할 수 있도록 Two channel 방식으로 변경하여 개인정보 보유 현황을 최소화한다.

• 정보보호학회논문지
• /
• 제27권4호
• /
• pp.913-921
• /
• 2017

스마트폰의 대중화 보급은 모바일 인터넷 사용자를 증가시켰고 이로 인해 모바일 전자상거래 서비스도 급속히 성장하고 있다. 이런 급격한 성장과 더불어 모바일커머스 사용자의 보안 및 개인정보유출에 대한 불안감도 더욱더 커지고 있다. 따라서 모바일커머스의 지속적인 확대와 성장을 위해서는 보안과 개인정보보호가 무엇보다 중요하다는 인식하에 보안과 개인정보보호가 사용자의 모바일커머스 사용의도에 미치는 영향력을 심도 있게 분석하고자 하였다. 이에 본 연구에서는 모바일커머스 방문 경험자를 중심으로 설문조사를 하여 보안과 개인정보보호 인식이 지각된 위험과 지각된 신뢰, 사용의도 간에 미치는 영향을 분석하였다. 연구결과, 보안과 개인정보보호는 모바일 상거래에 대한 불안과 불확실성을 감소시킴으로써 사용자들의 모바일커머스에 대한 신뢰향상에 기여하며, 이런 결과가 사용의도를 높이는 심리적 기제에 영향을 미치는 중요한 요인으로 나타났다.

• 정보보호학회논문지
• /
• 제19권2호
• /
• pp.117-125
• /
• 2009

일반적으로 컨택센터에서는 고객의 개인정보 취급이 필수적이며, 중요정보자산인 고객의 개인정보를 취급하는 고객정보취급자의 수가 매우 많아, 내부 고객정보 유출 가능성 등의 위협요인이 존재하고 있다. 본 논문에서는 컨택센터의 특성과 위협요인 및 취약점을 분석하였으며, 고객의 개인정보를 효과적으로 보호할 수 있는 방안을 연구하였다. 또한 내부 정보 유출 가능성을 사전에 예방할 수 있는 개인정보 보호 방안을 마련하였다. 그리고 컨택센터의 고객 개인정보보호 방안에 대하여 ISMS (Information Security Management System) 표준을 따르는 "컨택 센터의 고객 개인정보 보호 모델"을 수립하여 제안한다.

• 한국항행학회논문지
• /
• 제14권4호
• /
• pp.504-511
• /
• 2010

개인건강관리를 위해 PHD(Personal Health Device)로 부터 제공되는 개인 생체정보는 사생활 보호 측면에서 볼 때 개인의 생체와 관련한 매우 민감한 정보이며 환자를 가정할 때, 이것이 제 3자에게 노출되는 경우는 더욱 심각하다. 그러나 이번에 ISO에서 제정된 표준 프로토콜[1]의 경우, 개채 상호간에 생체 정보 교환을 위한 전송 부분만을 고려한 규격일 뿐 보안에 대한 요소는 전혀 고려되고 있지 않은 실정이다. 따라서 본 논문에서는 u-헬스 환경에서 개인건강관리를 위한 각종 보안 위협과 보안 요구사항에 대해 새롭게 제안하고자 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제16권2호
• /
• pp.587-608
• /
• 2022

The European Union recently established the General Data Protection Regulation (GDPR) for secure data use and personal information protection. Inspired by this, South Korea revised their Personal Information Protection Act, the Act on Promotion of Information and Communications Network Utilization and Information Protection, and the Credit Information Use and Protection Act, collectively known as the "Three Data Bills," which prescribe safe personal information use based on pseudonymous data processing. Based on these bills, the personal data store (PDS) has received attention because it utilizes the MyData service, which actively manages and controls personal information based on the approval of individuals, and it practically ensures their rights to informational self-determination. Various types of PDS models have been developed by several countries (e.g., the US, Europe, and Japan) and global platform firms. The South Korean government has now initiated MyData service projects for personal information use in the financial field, focusing on personal credit information management. There is also a need to verify the efficacy of this service in diverse fields (e.g., medical). However, despite the increased attention, existing MyData models and frameworks do not satisfy security requirements of ensured traceability, transparency, and distributed authentication for personal information use. This study analyzes primary PDS models and compares them to an internationally standardized framework for personal information security with guidelines on MyData so that a proper PDS model can be proposed for South Korea.

• 대한안전경영과학회지
• /
• 제12권4호
• /
• pp.107-116
• /
• 2010

To give a solution to solve personal information problems issued in this study, the domestic and overseas cases about information security management system including an authentication technique are analyzed. To preserve the outflow of personal information, which is such a major issue all over the world, a new security audit check list is also proposed. We hope this study to help information system developers construct and operate confidential information systems through the three steps: Analysis of risk factors that expose personal information, Proposal to solve the problem, Verification of audit checking items.