• 경영정보학연구
• /
• 제18권4호
• /
• pp.17-42
• /
• 2016

금융회사의 정보보안사고는 정당한 접근 권한을 가진 내부자에 의해 발생하는 사례가 증가하고 있으며, 특히 외주직원에 의한 사고가 증가하고 있다. 금융회사의 외주용역 증가에 따라, 내부자 위협관점에서 정당한 권한을 가진 외주직원은 조직의 정보보안정책을 위반할 수 있는 위협적인 존재가 되고 있다. 본 연구의 목적은 내부직원과 외주직원의 차이를 분석하고 정보보안정책의 위반요인을 확인하여 금융회사의 정보보안정책이 바르게 작용할 수 있도록 하기 위함이다. 금융회사 조직원의 정보보안정책에 대한 위반요인에 대해 계획된 행동이론, 일반억제이론 및 정보보안인식을 기초하여 연구모형을 설계하고, 내부직원과 외주직원 간의 차이를 분석하였다. 분석에 사용된 설문은 온라인과 오프라인으로 수집된 363개의 샘플이 사용되었으며, 그룹 간 차이를 분석하기 위해 내부직원 246명(68%)과 외주직원 117명(32%)을 두 그룹으로 나누어 다중 집단 분석을 이용하였다. 차이 분석을 수행한 결과, 외주직원은 내부직원과 달리 정보보안정책에 대한 위반의도가 정보보안정책에 대한 주관적규범에 영향을 받지 않고 정보보안정책에 대한 행동통제에 영향을 받아 억제되는 것으로 나타났다. 이는 외주직원은 자신이 스스로 할 수 있다고 여기는 자기효능감과 같은 요인에 의해 정보보안정책에 대한 위반의도가 통제되는 것을 나타내는 것이며, 외주직원관리에 이를 응용하여 정보보안교육을 내부직원과 달리 정보보안정책에 대한 조직의 기대를 강조하기보다는 스스로 지킬 수 있을 정도로 외주직원이 기술을 가지고 있음을 강조하고 쉽게 지킬 수 있다는 것을 강조하면 더욱 효과적일 것이다. 결론적으로 금융회사의 외주직원에 대한 정보보안교육 프로그램은 정보보안정책에 대한 이해도를 높일 수 있도록 하여야 하며, 외주직원관리에서는 외주직원이 스스로 지킬 수 있도록 쉬운 보안체계를 유지하는 것이 효과적이라 할 수 있다.

• 융합보안논문지
• /
• 제9권4호
• /
• pp.1-6
• /
• 2009

현재 산업보안의 패러다임은 단순한 보안장비 설치에서 효율적인 운영 관리로 바뀌어 가고 있다. 물리적 보안시스템(출입통제시스템, 영상보안시스템 등)과 IT 통합보안관제시스템이 융합하면 기업의 위험관리 및 보안관리를 통하여 내부자의 정보유출을 획기적으로 예방, 차단하고, 사후 추적등을 가능케 해준다. 즉, 기존의 물리적 보안과 IT 보안인력의 추가적인 확충이 없어도 단시간 내에 체계적인 융합보안관리 프로세스 확립이 가능해져 전문 조직 체제를 상시 운영하는 효과를 기대할 수 있게 된다. 이제 개별 기술로 IT보안 및 물리보안 영역의 보안이벤트 수집 및 통합관리, 보안사고 발생시 사후 연계 추적 관리, 정보유출 보안위반 사항에 대한 패턴 정의 및 실시간 감시, 보안위반 정보유출 시도에 대한 신속한 판단 및 대응/조치, 단계적 체계적 보안정책 수립 및 융합보안의 통합보안관리체계 확립이 필요하다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1293-1308
• /
• 2014

2014년 카드사 개인정보유출 사고의 원인은 테스트시스템에서 원본 데이터가 사용되었기 때문이다. 금융감독원 전자금융감독규정과 금융회사 정보기술(IT)부문의 정보보호업무 모범규준에는 테스트시스템에서 고객을 식별하는 정보는 변환하여 사용하도록 규정하고 있다. 금융회사는 이 지침에 따라 고객식별정보를 변환한 데이터를 테스트시스템에 적재하여 사용한다. 하지만, 테스트 과정에서의 사용자 실수 또는 기술적, 관리적 보안의 미비 등으로 의도치 않게 실제 개인식별정보가 유입될 수 있으나, 이를 통제 및 관리하는 프로세스는 현재 연구된 바가 없고, 감독기관의 컴플라이언스 위반 가능성을 높이는 원인이 되고 있다. 본 논문에서는 이러한 테스트시스템의 변환 미확인 고객식별정보를 관리 및 통제함으로써 감독기관의 컴플라이언스 위반 가능성을 없애는 프로세스를 제시 및 실증하고, 그 효과성을 확인해 본다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제7권3호
• /
• pp.558-575
• /
• 2013

The purpose of a data leakage prevention system is to protect corporate information assets. The system monitors the packet exchanges between internal systems and the Internet, filters packets according to the data security policy defined by each company, or discretionarily deletes important data included in packets in order to prevent leakage of corporate information. However, the problem arises that the system may monitor employees' personal information, thus allowing their privacy to be violated. Therefore, it is necessary to find not only a solution for detecting leakage of significant information, but also a way to minimize the leakage of internal users' personal information. In this paper, we propose two models for representing the level of personal information disclosure during data leakage detection. One model measures only the disclosure frequencies of keywords that are defined as personal data. These frequencies are used to indicate the privacy violation level. The other model represents the context of privacy violation using a private data matrix. Each row of the matrix represents the disclosure counts for personal data keywords in a given time period, and each column represents the disclosure count of a certain keyword during the entire observation interval. Using the suggested matrix model, we can represent an abstracted context of the privacy violation situation. Experiments on the privacy violation situation to demonstrate the usability of the suggested models are also presented.

• 정보화정책
• /
• 제25권3호
• /
• pp.95-115
• /
• 2018

본 연구는 조직 구성원들의 보안정책 위반의도를 설명하기 위해 사람-환경 적합 모델(P-E Fit Model: Person-Environment Fit Model)을 기반으로 연구하였다. 보안정책 위반의도에 있어서 조직이 제공하는 보안 환경과 보안에 대한 개인의 가치 간 관계가 어떤 영향을 미치는지 설명하고자 하였다. 조직 구성원이 관찰할 수 있는 보안 환경을 조직의 정보보안 문화와 동료의 보안 준수 행동으로 설정하였고 보안에 대한 개인적 가치는 도덕 이탈 이론에서 제시하는 행동의 재구성, 결과의 왜곡, 조직의 가치감소로 설정하였다. 도덕 이탈 이론의 구성 개념을 바탕으로 조직원의 보안 위반에 대한 인식을 2차 요인(Second Order)으로 측정하였다. 인식의 측정은 조직 내에서 흔히 일어날 수 있는 패스워드 공유 상황을 시나리오로 제시하여 설문을 조사하였다. 연구 결과, 정보보안 문화가 조직의 가치감소에 통계적으로 유의한 영향을 미쳤으나 행동의 재구성과 결과의 왜곡에는 유의한 영향을 미치지 않았다. 동료의 보안 행동은 보안 위반 행동에 대한 재구성, 결과의 왜곡, 조직의 가치감소에 유의한 영향을 미쳤으며 행동의 재구성, 결과의 왜곡, 조직의 가치감소는 조직원의 보안정책 위반의도에 유의한 영향을 미쳤다. 본 연구는 실제 조직 내에서 발생하는 문제를 적용했다는 점에서 실무적인 기여도가 있을 것으로 판단된다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2011년도 춘계학술대회
• /
• pp.754-756
• /
• 2011

Most of the sources of security and privacy issues in RFID technology arise from the violation of the air interface between a tag and its reader. This paper will approach the security risk analysis is process from the perspective of the RFID tag life cycle, identify the tag usage processes, identify the associated vulnerability and threat to the confidentiality, integrity and availability of the information assets and its implications for privacy, and then mitigate the risks.

• 한국멀티미디어학회논문지
• /
• 제19권7호
• /
• pp.1159-1165
• /
• 2016

Traffic violations such as moving while the traffic lights are red have come from a simple omission to a premeditated act. The traffic control center cannot timely monitor all the cameras installed on the roads to trace and pursue those traffic violators. Modern vehicles are equipped and controlled by several sensors in order to support monitoring and reporting those kind of behaviors which some time end up in severe causalities. However, such applications within the vehicle environment need to provide security guaranties. In this paper, we address the limitation of previous work and present a secure and privacy preserving protocol for traffic violation reporting system in vehicular cloud environment which enables the vehicles to report the traffic violators, thus the roadside clouds collect those information which can be used as evidence to pursue the traffic violators. Particularly, we provide the unlinkability security property within the proposed protocol which also offers lightweight computational overhead compared to previous protocol. We consider the concept of conditional privacy preserving authentication without pairing operations to provide security and privacy for the reporting vehicles.

• Asia pacific journal of information systems
• /
• 제26권1호
• /
• pp.163-188
• /
• 2016

Compliance with information security policies has been an important managerial concern in organizations. Unlike traditional general deterrent theory, this study proposes whistle-blowing as an alternative approach for reducing internal information security policy violations. We build on the theories of planned behavior and rational choice as well as develop a theoretical model to understand the factors that influence whistle-blowing attitudes and intention at both the organizational and individual levels. Our empirical results reveal that altruistic and egoistic concerns are involved in the development of whistle-blowing attitudes. The results not only extend our understanding of whistle-blowing motivation but also offer directions to managers in promoting internal disclosure of information security breaches.

• 융합보안논문지
• /
• 제16권5호
• /
• pp.81-86
• /
• 2016

최근 지속적으로 발생하는 보안위협은 기업의 비즈니스 연속성을 저해할 뿐만 아니라 사회적 국가적 차원에서도 그 심각성이 높아지고 있는 실정이다. 이러한 보안위협은 기업과 국가 간 경쟁력이 심화 되면서 기업의 지적 재산권 침해가 지속적으로 증가함에 따라, 기업들은 다양한 IT 컴플라이언스(compliance) 법제들에 대하여 의무적 준수와 더불어 엄격한 법적 책임을 부담하여야 한다. 따라서 본 연구에서는 기업의 능동적인 IT 컴플라이언스 활용을 위해 머신러닝(machine learning) 기술을 이용한 융합보안 컴플라이언스 관리 모델을 제안하고자 한다.

• International Journal of Computer Science & Network Security
• /
• 제22권5호
• /
• pp.284-288
• /
• 2022

The article analyzes the regulations of current criminal law, which ensures the protection and protection of information relations, offers the optimal model of the system of norms of the Criminal Code of Ukraine, which establishes liability for violation of information. The subject of the article is protected information, which should include information or data, the procedure for access to and distribution of which, regardless of the method of submission, storage or organization, are subject to legal regulation in accordance with laws and regulations. For the purposes of criminal law, information as an object of criminal law protection should be classified on the following grounds: depending on the content: personal or family secrets; information constituting a state secret; data included in the official secret; information that constitutes a professional secret; information that constitutes a commercial, tax, banking secret, and, depending on the medium - documented and undocumented.