• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1207-1217
• /
• 2013

본 연구는 2010년 한국인터넷진흥원에서 조사한 "기업의 정보보호 실태조사"의 원자료를 패널데이터로 재구성하여 정보보호 투자와 침해사고의 인과관계를 분석하였다. 이중차분법을 이용하여 분석한 실증결과는 다음과 같다. 첫째, 정보보호투자가 침해사고를 줄인다는 통상적인 인과관계에 대해서는 유의미한 실증적인 근거를 발견하기 어려웠던 반면, 역의 인과관계, 즉 침해사고가 많은 기업이 정보보호 투자를 증가시킨다는 가설은 유의미하게 데이터에 의해 입증되는 것으로 나타났다. 둘째, 정보보호에 매우 민감하기 때문에 다른 업종에 비해 과감한 사전적인 투자를 수행하는 것으로 인식되고 있는 금융/보험업의 경우, 실증분석에 따르면 오히려 침해사고의 발생에 따라 사후적으로 정보보호 투자를 수행하고 있는 대표적인 업종으로 나타났다.

• 디지털융복합연구
• /
• 제11권11호
• /
• pp.1-13
• /
• 2013

최근 정보보안사고의 가장 큰 문제 중 하나가 조직 내 내부인임에도 불구하고 아직까지 보안사고의 원인을 기술적 문제에만 초점을 맞추고 있다. 이에 본 연구는 도덕적 해방이론을 기반으로 조직 내부인의 보안정책 이탈의도가 무엇인지 탐색해보고자 한다. 정보보안 분야에서 조직내부인의 보안정책 이탈을 설명하기 위해 사용되는 일반화된 이론은 전무하다. 따라서 본 도덕적 이탈 이론을 기반으로 정보보안을 위한 가이드라인을 제시하고자 한다. 분석결과 보안정책인지와 인지된 처벌은 도덕적 이탈에 부정적 영향을 미치는 것으로 나타났다. 반면에 정보보안에 대한 부정적 정서는 도덕적 해방에 긍정적 영향을 미치는 것으로 나타났다. 마지막으로 도덕적 해방은 보안정책 위반 의도에 긍정적 영향을 미치는 것으로 나타났다.

• 정보보호학회논문지
• /
• 제27권6호
• /
• pp.1507-1517
• /
• 2017

일반적으로 정보유출사건은 외부 해커에 의해 발생된다고 생각되지만 내부자에 의한 직간접적인 정보유출사건이 더 많고 전체 유출비중의 과반 수 이상을 차지하기 때문에 내부자 유출에 대한 대비가 필요하다. 본 연구에서는 일반 억제 이론과 합리적 선택 이론을 기반으로 교통심리학 분야에서 연구되었던 행동결정요인인 위험감수성과 상황불안을 통합해 연구모델을 구성하고 설문조사를 통해 실증분석 하였다. 분석 결과, 위험감수성이 지각된 처벌의 심각성 및 확실성에 미치는 영향은 통계적으로 유의미하지 않았으나, 지각된 이익, 상황불안, 지각된 처벌의 심각성 및 확실성은 정보유출의도에 영향을 주는 것으로 확인되었다.

• International Journal of Computer Science & Network Security
• /
• 제22권6호
• /
• pp.67-74
• /
• 2022

One type of network security breach is the availability breach, which deprives legitimate users of their right to access services. The Denial of Service (DoS) attack is one way to have this breach, whereas using the Intrusion Detection System (IDS) is the trending way to detect a DoS attack. However, building IDS has two challenges: reducing the false alert and picking up the right dataset to train the IDS model. The survey concluded, in the end, that using a real dataset such as MAWILab or some tools like ID2T that give the researcher the ability to create a custom dataset may enhance the IDS model to handle the network threats, including DoS attacks. In addition to minimizing the rate of the false alert.

• 정보보호학회논문지
• /
• 제28권1호
• /
• pp.199-213
• /
• 2018

2008년부터 대규모 개인정보 유출사고들이 빈번히 발생하면서 이를 해결하고자 국가적 차원의 교육, 정책, 법률 등이 제정 및 시행되고 있다. 현재까지 개인정보 침해와 유출사고는 지속적으로 발생하고 있지만, 개인이 개인정보 침해에 대한 상세 정보를 확인하고 추정 및 대처 할 수 가 없는 실정이다. 이에 본 연구는 개인 정보 침해 및 유출사고 등 개인정보 침해에 예방 및 대응하기 위한 여러 가지 방법 중 일반인을 대상으로 하여 개인정보 침해에 관한 정보가 제공 및 전달된다면, 개인은 개인정보 침해 정보를 얼마나 받아들이고 개인정보보호 행동으로 옮겨질지에 대하여 연구하고자 한다. 개인정보 침해와 관련된 정보를 제공하는 것이 어떠한 의미를 가지고 있으며, 어떠한 기능을 수행해야 하는지 정의하고, 정보 제공에 대한 일반인의 수용 영향에 대하여 분석하고자 한다. 이를 통해 개인정보 관련 정보 제공에 대한 필요성 및 가이드라인을 제시하고, 개인의 주동적인 정보보호 활동을 장려하는데 도움이 되고자 한다.

• 사물인터넷융복합논문지
• /
• 제10권4호
• /
• pp.65-70
• /
• 2024

사물인터넷 환경에서 새로운 보안에 대한 요구사항은 빠르게 변화하고 있다. 이러한 빠른 변화에서 보안 위협을 통한 침해사고가 발생하면 큰 피해가 발생한다. SASE(Secure Access Service Edge) 환경은 보안 위협에 매우 취약하며, 침해가 발생하면 심각한 피해가 발생한다. SASE 환경의 보안을 강화하려면 SASE의 고유한 특성과 문제 해결을 다루는 전문 커리큘럼이 필요하다. 본 논문에서는 SASE 환경 내에서 보안 사고에 대응하기 위한 커리큘럼 모델을 제안한다. 제안된 커리큘럼 모델은 위협 유형, 위반 시나리오 및 대응 절차를 포함하여 SASE 보안의 다양한 측면을 다루는 교육과정으로 설계하였다. 이 모델의 목표는 보안 인식을 향상하고 전문가가 SASE 프레임워크 내에서 보안 사고를 효과적으로 처리할 수 있도록 준비하는 것에 목적을 두고 있다.

• 경영정보학연구
• /
• 제9권1호
• /
• pp.105-120
• /
• 2007

최근 인터넷의 급속한 발전과 기업의 정보 인프라 의존도가 높아지면서 정보 유출과 탈취, 변조 등 침해사고의 위험성이 급속히 확산되고 있다. 우리나라의 인터넷 사용빈도는 세계 최상위 수준이지만 정보보안은 그에 미치지 못하는 실정이다. 우리나라의 많은 기업들이 정보보안 사고로 인해 금전적 손실, 기업 이미지 훼손, 매출액, 순이익 감소 등 직간접적 피해를 경험하고 있다. 그러나 정보보안 사고에 대한 피해 규모를 계량화한 자료가 없어 올바른 정보보안사고 방지를 위한 투자의사 결정을 하기 어렵고 투자의 효과를 평가하기도 어려운 실정이다. 본 연구의 목적은 정보보안 사고에 따른 기업의 손실과 보안 투자로 인한 수익을 기업 시장가치의 변화를 이용하여 정량적으로 측정하는 데 있다. 사건연구방법론을 통해 분석한 결과에 따르면, 기업의 정보보안 사고는 평균 0.86%의 기업 가치 감소(시가총액 기준으로 약 540억)를 가져온 것으로 나타났다. 반면 기업의 보안 관련투자는 기업가치에 아무런 영향을 주지 않는 것으로 나타났다. 추가적으로 본 연구와 해외 연구결과와 비교해 보면, 국내 기업의 정보보안 사고가 기업 가치에 미치는 영향력이 상대적으로 매우 작은 것을 알 수 있었다. 이는 사회 전반에 걸친 보안 의식 제고가 무엇보다 시급함을 시사하고 있다.

• 경영정보학연구
• /
• 제22권2호
• /
• pp.201-217
• /
• 2020

정보보호는 기업의 운영과 고객의 신뢰를 보장하는 필수요소이며 침해사고 예방을 통해 불확실한 피해를 완화시킬 수 있기 때문에 적절한 정보보호 대책의 선택과 적정투자 수준을 결정하는 것이 중요하다. 본 연구는 다양한 산업군에 속해있는 기업에서 정보보호 대책 투자에 활용할 수 있는 예산 범위에서 구성할 수 있는 최적의 정보보호 대책 포트폴리오 구성뿐만 아니라, 각 대책의 적절한 투자 수준에 대한 의사결정 지원 모델을 제시한다. 이를 위하여 산업군별 침해사고 유형 통계를 분석하고 유전자 알고리즘을 활용하여 최적 정보보호 대책 투자 포트폴리오를 도출한다. 도출된 모델을 기존 유전자 알고리즘을 이용한 정보보호 대책 투자 최적화 모델과 비교하고 기업 대상 설문 조사를 통하여 실제 사례를 분석한다.

• 정보보호학회논문지
• /
• 제27권1호
• /
• pp.129-145
• /
• 2017

본 연구는 지속적으로 발생하고 있는 개인정보 유출사고에 대한 기업의 리스크와 손해금액 산출을 위해, 최신 리스크 분석방법론인 FAIR(Factor Analysis of Information Risk)를 사용하였다. FAIR를 통해서 실제 개인정보 유출 사고 기업을 예를들어, 손해금액을 분석하고 산출하는 방법론을 제시 하였다. 전문가 집단의 설문을 실시하고 AHP(Analytic Hierarchy Process) 방법론을 사용하여 손해금액 산정요소의 중요도와 적절성을 객관적으로 평가하였다, 본 연구를 통해서 개인정보보호 실무 담당자는 스스로 손해금액을 최신 리스크 평가 방법론을 통해서 산정하고 입증할 수 있다. 또한 본 연구의 손해금액 산정요소를 해당기업에 맞게 선택하여 정확한 개인정보 유출에 따른 손해금액 등 경제적 손실을 추정할 수 있으며, 사고조치 및 예방대책의 수립과 경영진에게 보고할 수 있는 객관적인 근거를 확보 할 수 있다.

• 정보보호학회논문지
• /
• 제21권5호
• /
• pp.169-179
• /
• 2011

2011년 9월 시행되는 개인정보 보호법에 따르면, 개인정보처리자는 개인정보 유출에 대한 추가적인 법적 책임을 져야 한다. 특히 개인정보 유출 시, 개인정보처리자는 정보 주체에게 개인 정보가 유출된 사실을 의무적으로 통지를 하여야 한다. 본 연구에서는 미국 46개주에서 실시하고 있는 현행 유출 통지법과 기타 국가의 주요 사례를 분석하여, 유출 통지 프레임워크를 제시한다. 개인정보 유출통지 프레임워크는 (1) '통지의 대상이 되는 개인정보', (2) '통지 주체', (3) '통지 시점', (4) '통지 내용', (5) '통지 방법' 등 다섯 가지 중요 요소로 구성된다. 그리고 새로운 유출 통지 프레임워크에 기초하여, 향후 적절한 가이드라인을 수립하기 위한 방향을 제안한다.