• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2012년도 추계학술대회
• /
• pp.769-772
• /
• 2012

개인정보 보호법 제2조는 개인식별정보, 비밀정보 및 바이오 정보 등을 개인정보로 정의하고 제29조에서 개인정보에 대한 불법열람 및 유출을 방지하기 위해 적정한 수준의 기술적, 관리적, 물리적 안전조치를 취해야 하는 것으로 명시하고 있다. 정보통신망법 제28조 제1항, 시행규칙 제9조, 방송통신위원회 고시에서도 이에 관해 규정하고 있다. 이를 만족하기 위해서 개인정보의 안전성 확보조치를 취해야 하는 공공기관이나 기업들 등의 주체들이 기술적 조치를 적용하고, 이를 지속적으로 운영하고 관리하기 위해 적극적인 방안을 수립하고 실천해 나갈 것이 요구된다. 기술적 안전성 확보는 개인정보에 대한 암호화, 암호화키에 대한 안전한 관리와 운용, 개인정보 열람에 대한 접근제어와 감사를 제공하는 개인정보 보호수준을 도입함으로써 가능하다. 이 논문에서는 개인정보의 기술적 안전성 조치로서 핵심요소인 개인정보의 암호화에 대해서 다양한 기술을 분석하고자 한다. 이는 개인 정보 보호의 기술방안을 선택하는데 있어 도움이 될 수 있을 것이다.

• 한국정보시스템학회지:정보시스템연구
• /
• 제29권1호
• /
• pp.51-74
• /
• 2020

Purpose Since the number of personal information breach incidents increased, many people have perceived the importance of personal information protection, in the recent. Especially, the number of personal information breach targeting middle-aged and elderly people rapidly increases. Therefore, the purpose of this study is to identify the factors which influence to fail of online information security behaviors among the elderly. Design/methodology/approach This study made a research model by adopting the factors deducted from the protection motivation theory. To analyze the research model, we conducted an online survey targeted on the elderly and middle ages users who have nations of Korean and Chinese respectively. Findings According to the empirical analysis result, we identified that only perceived severity and perceived vulnerability affected information security awareness. On contrast, it was also discovered that perceived barriers, self-efficacy, and response efficacy did not affect information security awareness. Additionally, the awareness of information security also did not affect information security behaviors. Middle-aged and elderly people with personal information protection education did more information security behaviors than people those who no education experiences. Korean middle-aged and elderly people with education significantly did more information protection behaviors than the people without the education.

• 정보보호학회논문지
• /
• 제26권1호
• /
• pp.275-283
• /
• 2016

현재 우리나라의 인터넷과 IT 인프라는 세계 최고 수준을 유지하고 있다. 그러나 그 이면에는 보안사고, 특히 개인정보 유출 사고가 빈번히 발생하고 있다. 개인정보 유출 사고 발생 시 해당 기업은 부정적 영향을 받게 되며, 이를 방지하기 위해 정보보호 업체의 다양한 보안 솔루션을 사용하고 있다. 따라서 개인정보 유출 사고 발생 시 발생 기업은 물론 기업에 보안 솔루션을 제공하는 정보보호 업체에도 영향을 미칠 것으로 생각된다. 이에 본 논문에서는 개인정보 유출 사고 발생 시 정보보호 업체의 주가 변화를 통해 보안 이벤트가 정보보호 업체의 가치에 어떠한 영향을 주는지 가설을 세워 검증하였다. 그 결과 개인정보 유출 사고 발생 시 정보보호 업체의 주가는 상승하였으며, 사고 규모, 사고 발생 업종에 따른 차이는 통계적으로 유의하지 않았고, 정보보호 업체의 업태 구분에 따른 차이가 존재하였다.

• 경영정보학연구
• /
• 제16권3호
• /
• pp.179-190
• /
• 2014

교육기관이 보유한 개인정보 파일의 상당수는 개인의 학사정보, 건강정보 등 민감한 정보를 포함한다. 따라서 교육기관의 개인정보유출 사건이 발생할 경우 그 피해가 클 것으로 예상된다. 이러한 피해를 막기 위해 교육부는 2012년부터 교육기관의 (개인)정보보호 담당자를 대상으로 보안인식제고 및 보안기술능력 향상을 목표로 하는 정보보호 교육센터를 설립하여 운영하는 등 다양한 노력을 하고 있지만 여전히 공공기관에서 발생한 개인정보유출 사건의 상당수는 교육기관에서 발생하고 있다. 본 연구는 정보보호 교육센터의 교육과정이 교육대상의 교육수요에 적합하게 운영되고 있는지 확인하기 위해 다음과 같이 진행하였다. 대학의 정보보호 관련 전공 커리큘럼을 조사하여 정보보호 분야의 지식 및 기술 11개를 도출하였고, 정보보호 교육센터의 교육대상인 교육기관의 (개인)정보보호 담당자를 대상으로 정보보호 분야의 지식 및 기술 11개에 대한 교육수요를 조사하였다. 또한, 정보보호 교육센터의 교육과정을 조사하였으며, 이를 교육대상의 교육수요와 비교해보았다.

• 전기전자학회논문지
• /
• 제19권4호
• /
• pp.548-556
• /
• 2015

본 논문에서는 다양한 형태의 개인건강서비스들이 ICBM(사물인터넷, 클라우드, 빅데이터, 및 모바일) 환경에서 제공될 때, 프라이버시 이슈를 포함하여 개인건강서비스에 대한 보안 요구사항이 제안된다. 개인건강과 연관된 서비스들은 클라우드 환경에서 제공될 것이 예상되므로, 우선적으로 클라우드 환경의 보안 요구사항에 대해 조사한 후, 클라우드 환경에서의 직접적인 위협과 간접적인 위협을 포함한 보안 위협을 개인건강서비스의 보안 관점에서 분석한다. 그리고 본 논문에서 의료서비스를 위한 전자의료기록(EMR)에 대한 보안 요구사항에 기반을 두고 개인건강서비스를 위한 보안 요구사항을 도출한 뒤, 클라우드 환경의 보안요구사항이 개인건강서비스의 보안요구사항에 의해 충족될 수 있음을 나타내는 관계를 보임으로서 제안된 개인건강서비스에 대한 보안 요구사항의 타당성을 제시한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 추계학술발표대회
• /
• pp.907-909
• /
• 2012

주민등록번호는 주민생활의 편익 증진과 행정사무의 적정한 처리를 목적으로 도입되었으나 인터넷의 발달과 함께 관행적이고 무분별하게 사용되어 왔다. 수집된 주민등록번호가 해킹 등의 유출사고로 명의도용 등 범죄에 악용될 우려가 커지자 이를 근본적으로 해결하기 위하여 2011년 방송통신위원회는 인터넷상 주민등록번호 수집 이용을 제한하는 법 제도적 정책을 추진하였다. 정보통신망법이 개정되어 주민등록번호의 사용이 제한되면서 사업자에게 본인확인, 연령확인 등 법률의무의 이행이나 고객의 분쟁조정 등 목적을 위해 주민등록번호를 대체할 본인확인수단이 필요하게 되었다. 본 논문에서는 주민등록번호를 이용자가 입력하지 않으며 보편적으로 사용하고 있는 인프라를 이용하고 단순한 입력정보의 변경을 통해 본인확인을 할 수 있는 방안을 제안한다.

• 시큐리티연구
• /
• 제44호
• /
• pp.199-223
• /
• 2015

본 연구는 신변보호업무경비원들이 현재 인지하고 있는 문제점들을 바탕으로 신변보호업무의 발전방안을 모색하는데 있다. 이러한 연구의 목적을 달성하기 위해 신변보호업무에 15년 이상 종사하고 있는 현장전문가 7명에게 면담조사를 실시하여 자료를 분석하였다. 신변보호업무를 몸소 수행하고 있는 신변보호업무경비원들은 신변보호업무의 발전방안을 다음과 같이 제시하였다. 첫째, 현재의 경비원 신임교육 제도는 신변보호업무와 관련된 교과목으로 재편성하여 40시간 정도의 교육프로그램으로 개선이 요구된다. 둘째, 신변보호업무경비원 직무교육도 국가에서 관할하는 교육기관을 통하여 3개월에 8시간의 교육프로그램으로 전환하여 시행하는 것이 적합하다. 셋째, 신변보호업무경비원들에게는 실무에서 필요로 하는 교육프로그램과 능력 있고 전문적인 강사진을 통하여 분야별로 양질의 교육이 진행되어져야 한다. 넷째, 경비업법에 규정되어 있는 집단민원현장의 범위에 행사 및 문화관련 현장을 포함시켜서 일괄적인 규제를 하는 것은 개정되어져야 할 것이다. 다섯째, 민간경비업체와 경찰서로간의 인식전환이 필요하고, 경찰과 민간경비업체가 공동으로 참여하는 전문 관리/감독기관이 신설되어질 필요가 있다. 여섯째, 한국경비협회에 각 업무별 전문가로 구성되는 분과위원회를 구성한다거나, 신변보호업무와 관련한 발전방안과 신변보호업무 경비원들의 권익보호를 할 수 있는 한국신변보호협회의 창설이 요구되어진다.

• 정보보호학회논문지
• /
• 제19권2호
• /
• pp.117-125
• /
• 2009

일반적으로 컨택센터에서는 고객의 개인정보 취급이 필수적이며, 중요정보자산인 고객의 개인정보를 취급하는 고객정보취급자의 수가 매우 많아, 내부 고객정보 유출 가능성 등의 위협요인이 존재하고 있다. 본 논문에서는 컨택센터의 특성과 위협요인 및 취약점을 분석하였으며, 고객의 개인정보를 효과적으로 보호할 수 있는 방안을 연구하였다. 또한 내부 정보 유출 가능성을 사전에 예방할 수 있는 개인정보 보호 방안을 마련하였다. 그리고 컨택센터의 고객 개인정보보호 방안에 대하여 ISMS (Information Security Management System) 표준을 따르는 "컨택 센터의 고객 개인정보 보호 모델"을 수립하여 제안한다.

• 정보보호학회논문지
• /
• 제27권4호
• /
• pp.913-921
• /
• 2017

스마트폰의 대중화 보급은 모바일 인터넷 사용자를 증가시켰고 이로 인해 모바일 전자상거래 서비스도 급속히 성장하고 있다. 이런 급격한 성장과 더불어 모바일커머스 사용자의 보안 및 개인정보유출에 대한 불안감도 더욱더 커지고 있다. 따라서 모바일커머스의 지속적인 확대와 성장을 위해서는 보안과 개인정보보호가 무엇보다 중요하다는 인식하에 보안과 개인정보보호가 사용자의 모바일커머스 사용의도에 미치는 영향력을 심도 있게 분석하고자 하였다. 이에 본 연구에서는 모바일커머스 방문 경험자를 중심으로 설문조사를 하여 보안과 개인정보보호 인식이 지각된 위험과 지각된 신뢰, 사용의도 간에 미치는 영향을 분석하였다. 연구결과, 보안과 개인정보보호는 모바일 상거래에 대한 불안과 불확실성을 감소시킴으로써 사용자들의 모바일커머스에 대한 신뢰향상에 기여하며, 이런 결과가 사용의도를 높이는 심리적 기제에 영향을 미치는 중요한 요인으로 나타났다.

• Asia pacific journal of information systems
• /
• 제22권1호
• /
• pp.53-77
• /
• 2012

Financial firms, especially large scaled firms such as KB bank, NH bank, Samsung Card, Hana SK Card, Hyundai Capital, Shinhan Card, etc. should be securely dealing with the personal financial information. Indeed, people have tended to believe that those big financial companies are relatively safer in terms of information security than typical small and medium sized firms in other industries. However, the recent incidents of personal information privacy invasion showed that this may not be true. Financial firms have increased the investment of information protection and security, and they are trying to prevent the information privacy invasion accidents by doing all the necessary efforts. This paper studies how effectively a financial firm will be able to avoid personal financial information privacy invasion that may be deliberately caused by internal staffs. Although there are several literatures relating to information security, to our knowledge, this is the first study to focus on the behavior of internal staffs. The big financial firms are doing variety of information security activities to protect personal information. This study is to confirm what types of such activities actually work well. The primary research model of this paper is based on Theory of Planned Behavior (TPB) that describes the rational choice of human behavior. Also, a variety of activities to protect the personal information of financial firms, especially credit card companies with the most customer information, were modeled by the four-step process Security Action Cycle (SAC) that Straub and Welke (1998) claimed. Through this proposed conceptual research model, we study whether information security activities of each step could suppress personal information abuse. Also, by measuring the morality of internal staffs, we checked whether the act of information privacy invasion caused by internal staff is in fact a serious criminal behavior or just a kind of unethical behavior. In addition, we also checked whether there was the cognition difference of the moral level between internal staffs and the customers. Research subjects were customer call center operators in one of the big credit card company. We have used multiple regression analysis. Our results showed that the punishment of the remedy activities, among the firm's information security activities, had the most obvious effects of preventing the information abuse (or privacy invasion) by internal staff. Somewhat effective tools were the prevention activities that limited the physical accessibility of non-authorities to the system of customers' personal information database. Some examples of the prevention activities are to make the procedure of access rights complex and to enhance security instrument. We also found that 'the unnecessary information searches out of work' as the behavior of information abuse occurred frequently by internal staffs. They perceived these behaviors somewhat minor criminal or just unethical action rather than a serious criminal behavior. Also, there existed the big cognition difference of the moral level between internal staffs and the public (customers). Based on the findings of our research, we should expect that this paper help practically to prevent privacy invasion and to protect personal information properly by raising the effectiveness of information security activities of finance firms. Also, we expect that our suggestions can be utilized to effectively improve personnel management and to cope with internal security threats in the overall information security management system.