• 정보보호학회논문지
• /
• 제24권5호
• /
• pp.817-838
• /
• 2014

금융기관 및 통신사 등 대량의 데이터를 다루는 회사에서 테스트환경은 구축 비용문제로 인한 스토리지 용량의 한계 및 중요정보 컬럼의 변환 등으로 운영환경과 항상 동일한 것은 아니다. 따라서, 이러한 테스트환경과 운영환경이 동일하지 않아 발생하는 SQL 성능저하는 예상치 못한 거래장애로까지 연결되어 기업의 금전적 손실 및 고객민원, 신뢰도 하락을 발생시키는 중요 원인이 되고 있다. 그동안 SQL과 관련한 성능연구는 DBMS Optimizer와 관련한 튜닝연구 중심으로 이루어져, 이러한 문제에 대해서는 다루어지지 않았다. 따라서, 본 논문에서는 테스트환경과 운영환경의 차이로 발생하는 SQL의 성능저하에 따른 온라인 거래장애 방지를 위해 개선된 SQL 성능 기반의 IT 응용프로그램 변경관리 프로세스를 제시하여 그 효과성을 검증한다.

• 디지털융복합연구
• /
• 제12권8호
• /
• pp.351-359
• /
• 2014

보안 장비에서 발생하는 로그는 그동안 ESM(Enterprise Security Management) 기반으로 통합적으로 데이터를 분석하였으나 데이터 저장 용량의 한계와 ESM자체의 데이터 처리 성능의 한계로 빅데이터 처리에 부적합하기 때문에 빅데이터 플랫폼을 이용한 보안로그 분석 기술이 필요하다. 빅데이터 플랫폼은 Hadoop Echosystem을 이용하여 대용량의 데이터 수집, 저장, 처리, 검색, 분석, 시각화 기능을 구현할 수 있다. 현재 ESM기술은 SIEM(Security Information & Event Management)방식으로 기술이 발전하고 있으며 SIEM방식의 보안기술을 구현하기 위해서는 현재 보안장비에서 발생하는 방대한 로그 데이터를 처리할 수 있는 빅데이터 플랫폼 기술이 필수적이다. 본 논문은 Hadoop Echosystem 이 가지고 있는 빅데이터 플랫폼 기술을 활용하여 보안로그를 분석하기 위한 시스템을 어떻게 구현할 수 있는지에 대한 모델을 연구하였다.

• 정보처리학회논문지D
• /
• 제11D권4호
• /
• pp.917-928
• /
• 2004

국제 공통평가기준으로서 IS0/IEC 15408인 CC는 국내ㆍ외에서 정보보호제품에 대한 평가 체계로 사용되고 있다. 공통평가기준의 보증요구 사항에서 중요 핵심 보증클래스 중 하나인 형상관리 클래스는 TOE 제품 개발자들이 제품의 품질을 보장하기 위한 잘 정의된 절차 및 규격의 제공이 필요하다. 본 논문은 프로세스 차원에서 CC를 기반으로한 정보보호제품의 형상관리 방법론을 연구하였으며 이에 대한 명확한 품질 활동을 정의하고 형상관리 프로세스 평가를 정량적으로 수행할 수 있는 체크리스트 기반의 지원 도구인 CMPET를 개발한다. 이를 통하여 프로세스 수행활동에 대한 유용한 분석자료가 제품 개발자, 평가자 및 사용자에게 제공되어 품질활동을 개선할 수 있다.

• 지식경영연구
• /
• 제16권4호
• /
• pp.35-45
• /
• 2015

Fintech, which means the convergence of finance and information technology, becomes a hot topic in the financial sector. Through innovative activities on financial services, ICT(Information and Communication Technology) is integrated into the overall financial industry, and a new form of financial services could be expected to improve the existing financial system. On the other hand, fintech services are relatively vulnerable to security issues. Due to the process simplication and the channel fusion, the leakage of personal and financial informations, authentication bypass, phishing, and pharming are getting more concerned. In this study we investigated the security risk of fintech services in the viewpoints of service provider, technology adoption, and security policy. The possible countermeasures to reduce those risks are suggested because security is an important criterion for selecting financial services. This study basically offers quantification of the potential security risks and step-by-step control measures about business processes in the fintech services. The suggested security model includes user authentication, terminal security, payment information protection, API(Application Programming Interface) security, and abnormal transaction monitoring. This study might contribute to an understanding of the security risks and some possible measures for mitigating those risks on the practical perspective.

• 디지털산업정보학회논문지
• /
• 제14권3호
• /
• pp.55-68
• /
• 2018

In this paper, we identify and evaluate the information security factors considered in outsourcing development of information systems for defense agency with analytic hierarchy process(AHP). To assess the information security elements, we prepared three groups including the experts of a defense agency, subcontractor managers and subcontractor practitioners who are involved in developing information systems. And the relative importance of security factors were analyzed using questionnaires and responses. As a result of analysis of 27 security factors, factors corresponding to human and physical security as a whole were evaluated as having higher importance. Although there are some differences in the ranking of some importance according to human roles, they can be positive for the implementation of complementary information security. And administrative security and technical security can be relatively insignificant considering that they can be considered as infrastructure of the overall information environment. The result of this paper will be helpful to recognize the difference of perception of information security factors among the persons in the organization where collaboration is activated and to prepare countermeasures against them.

• 한국정보통신학회논문지
• /
• 제26권4호
• /
• pp.582-590
• /
• 2022

사이버공격으로 인한 보안위협이 지속되고 있어 보안관제는 신속한 탐지와 대응을 위해 전문성을 가진 용역사업 형태로 주로 운용된다. 이에 따라 보안관제 용역 운영에 대한 다수의 연구가 진행되었다. 그러나 결과적인 관리, 지표, 측정 등의 연구로 업무과정에 대해 세부적으로 연구되지 않아 현장에서 업무 혼선이 빚어져 보안사고 대응이 원활하지 않다. 본 논문에서는 이런 문제점을 ISMS-P 기반의 용역관리 방법을 제시하고 그 방법을 업무 연관성 분석을 통해 시나리오기법과 ISMS-P 보호대책 요구사항 64개 항목의 맵핑(Mapping)으로 도출된 각 항목을 체크리스트화 하여 사용업체의 용이한 외주용역 관리 방법을 제안한다. 또한 주기적 보안준수 이행과 중장기적으로는 ISMS-P의 취득 및 갱신에 도움이 되고 관련 인원들의 보안의식 제고에도 기여할 것으로 기대한다.

• 시큐리티연구
• /
• 제40호
• /
• pp.175-207
• /
• 2014

산업보안관리사는 현재 민간자격이지만 향후 국가자격화 되어 현장에서 적절하게 활용 가능한 인력인지 여부에 대하여 국가적으로 공신력이 부여될 필요가 있다. 공신력 확보를 위한 운용방안 중 고려할 수 있는 것이 등급제이다. 현재와 같이 단일등급제로 운용할 경우 양적 확산에 초점을 두게 될 가능성이 있다. 따라서 질적 혁신 차원에서 산업보안관리사의 등급제도 활용도를 장기적인 관점에서 검토하여 등급을 구분할 필요가 있다. 한편, 산업보안 현장 실무자의 산업보안관리사 자격시험에 응시할 수 있는 요건, 산업보안 실무연수 과정 이수, 민간자격을 이미 취득한 인력의 경우 국가자격 승계문제도 중요한 고려 사항중 하나이다. 산업보안관리사제도가 활성화 되기 위해서는 국가자격화를 통한 공신력 확보뿐만 아니라 산업보안관리사의 인력의 수요창출이 필요하다. 현재 증가하는 산업기술유출에 대한 우려에도 불구하고 우리기업 등의 보안관리체계의 미비 등 산업보안대응 역량이 상당히 취약한 실정임을 고려할 때, 산업기술 보호에 특화된 산업보안관리체계에 대한 인증을 기존의 정보보호관리체계인증과 별개로 도입할 필요성이 있다. 산업보안 관리체제 인증제도와 산업보안관리사 자격제도가 연동될 때 국가핵심기술 등을 다루는 기업체, 연구기관 등의 산업보안이 실질적으로 이루어져 시너지 효과가 발생할 것이다.

• Asia pacific journal of information systems
• /
• 제23권4호
• /
• pp.129-149
• /
• 2013

According to the development of new Information Technologies, firms consistently invest a significant amount of money in IT activities, such as establishing internal and external information systems. However, several anti-Information activities-such as hacking, leakage of information and system destruction-are also rapidly increasing, thus many firms are exposed to direct and indirect threats. Therefore, firms try to establish information security systems and manage these systems more effectively via an enterprise perspective. However, stakeholders or some managers have negative opinions about information security systems. Therefore, in this research, we study the relationship between multibusiness firms' performance and information security systems. Information security indicates physical and logical correspondence of information system department against threats and disaster. Studies on information security systems suggested frameworks such as IT Governance Cube and COBIT Framework to identify information security systems. Thus, this study define that information security systems is a controlled system on enterprise IT process and resource on IT Governance perspective rather than independent domain of IT. Thus, Information Security Systems should be understood as a subordinate concept of IT and business processes. In addition, this study incorporates information capability to information security system literature to show the positive relationship between Information Security Systems and Corporate Performance. The concept of information capability suggested that an interaction of human, information, technical and an effect on corporate performance using three types of capability (IT Practice, Information Management Practice, Information Behaviors and Values). Information capability is about firms' capability to manage IT infrastructure and information as well as individual employees who use IT infrastructure and information. Thus, this study uses information capability as a mediating variable for the relationship between information security systems and firms' performance. To investigate the relationship between Information Security Systems and multibusiness firms' performance, this study extends the IT relatedness concept into Information Security Systems. IT relatedness provides understanding of how corporations cope with conflicts between headquarters and business units to create a synergy effect and achieve high performance using IT resources. Based on the previous literature, this study develops the IT Security Relatedness model. IT Security Relatedness is our main independent variable, while Information Capability and Information Security Performance are mediating variables. To control for the common method bias, we collect each multibusiness firm's financial performance and use it as our dependent variable. We find that Information Security Systems influence Information Capability and Information Security Performance positively, and these two variables consequently influence Corporate Performance positively. In addition, this result indirectly shows that corporations under a multibusiness environment can obtain synergy effects using the integrated Information Security Systems. This positive impact of Information Security Systems on multibusiness firms' performance has an important implication to various stakeholders. Therefore, multibusiness firms need to establish Information Security Systems to achieve better financial performance.

• 정보보호학회논문지
• /
• 제25권4호
• /
• pp.759-766
• /
• 2015

본 논문에서는 WSN을 위한 위치 기반의 키 관리 기법에 대해서 제고한다. 기존의 위치 기반의 키 관리 기법들에 대해 알아보고 그 중 LDK (Location Dependent Key management) 기법을 집중적으로 파악하였다. 이를 통해 LDK 기법에서 고려하지 못한 통신 간섭 문제를 개선하기 위하여 그리드 정보를 활용한 키 생성 기법과 키 보정과정을 활용하는 기법을 제안하였다. 시뮬레이션을 통하여 보안성이 높은 환경에서 제안 기법이 기존의 LDK보다 접속율은 향상하였고 절충율은 감소하였음을 확인하였다. 또한, 육면체 형태의 AN 배치를 통해 네트워크 비용을 줄일 수 있음을 시뮬레이션을 통해 확인하였다.

• 정보보호학회논문지
• /
• 제21권6호
• /
• pp.101-108
• /
• 2011

정보보호분야에 종사하고 있는 인력 중 10% 이상이 매년 직장을 옮기고 있고, 퇴사 인력 중 50% 이상이 정보보호 이외의 직무로 전환을 하고 있어 정보보호 전문인력의 유출이 상당한 규모이다[1]. 정보보호 분야에 신규로 우수한 인력을 채용하는 것 뿐만 아니라, 이미 정보보호 분야에 근무하고 있는 인력들에게 만족스럽게 업무를 수행할 수 있는 여건을 제공하여 정보보호인력들의 전문성을 높이고 정보보호 관련 업무의 완성도를 높이는 것이 중요한 과제이다. 본 연구에서는 정보보호인력의 직무 이동 과정을 마코프체인을 이용하여 모델링하고 향후 정보보호인력의 직무별 구성에 대하여 전망한다. 본 연구의 결과는 유망 분야 중점 육성의 효과를 예측하는 등 정보보호 인력양성 관련 세부적인 정책추진의 타당성을 확보하는데 참고가 될 수 있을 것이다.