• Journal of Digital Convergence
• /
• v.14 no.2
• /
• pp.191-196
• /
• 2016

The organizations and companies establish personal information protection policy under the law and guidelines. They carry out access control without consideration for distinctiveness of the information although the damage degree varies when the information is leaked. Considering the distinctiveness, a policy needs to be made for individuals to protect his personal information. However, he is not able to write the policy because of lack of understanding the system. To write his own policy efficiently, the system that authorizes ones according to service list provided by organizations is necessary. This paper suggests the model and method that write personal policy for his information protection based on the service list provided by organizations. Through this model, fine-grained authorization and policy change are easily made and ultimately the access control customized according to one's own information is possible.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.32 no.7C
• /
• pp.667-673
• /
• 2007

In order to provide the efficient personalized services, the organizations and the companies collect and manage the personal information. The stored data have some slight differences among each subject. Even though the same attribute information leaks out, the personal privacy violation is different according to personal sensitivity. However, currently the organizations or the companies protect all the information as the same level. This paper reflects the sensitive attribute information of the information subject to each personal policy by the encrypting techniques. And then we propose a policy-based access control mechanism for the personal information which strictly prevents unauthorized information users from illegally accessing the personal information. In the proposed mechanism, the individuals' personal information which is encrypted with different keys is stored into the database. For the access control, information subjects set up their own access control policy for their sensitive personal information. Then it is possible to control the information access by providing the information to the information users according to personal and organizational privacy policy.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.22 no.4
• /
• pp.923-939
• /
• 2012

In the information society, to serve the normal economic activity and to delivery the public service is to secure the privacy information. The government endeavors to support with the privacy protection laws and public organizations. This paper is to study the privacy protection policy in the major countries by analyzing the laws and organizations. At last, The study is to examine the policy tasks to support the privacy protection policy.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.11a
• /
• pp.55-57
• /
• 2005

본 논문에서는 프라이버시 보호를 위한 개인 위치 정보 접근에 대한 통보 유무, 동의와 같은 차별화 된 정책 설정과 특정 장소나 시간에 대해 위치 정보 제공을 차단 할 수 있는 프로토콜을 제안 하려고 한다. 제안하는 프로토콜은 모바일 상의 프라이버시 설정을 위해 응용 레벨에서 동적으로 발생하는 개인의 위치정보에 대해 유저가 설정한 특정 장소와 시간에 따라 차단하는 기능 설정할 수 있다. 또한 서비스 제공자와 요청자 별로 개인 위치 정보 접근에 대한 통보 유무, 동의와 같은 차별화된 정책을 설정 할 수 있다. 제안하는 프로토콜은 이들 설정된 정책들의 리스트들을 요청자 별로 나누어서 사용자 프라이버시 리스트 서버(UPLS)에서 관리하며, 서비스 요청 시 설정된 정책에 맞는 서비스를 서비스 제공자들이 제공하게 되므로 개인 위치 정보에 대해 프라이버시를 제공하게 된다.

• Review of KIISC
• /
• v.11 no.4
• /
• pp.35-43
• /
• 2001

본 논문에서는 인터넷 비즈니스를 수행하는 기업들의 웹사이트의 개인정보보호정책 현황을 고찰하였다. 서비스 유형별 개인정보보호정책 공표현황을 살펴보면, 포털/검색엔진 사이트와 쇼핑몰 사이트, 그리고 금융서비스를 제공하는 사이트가 타 사이트에 비해 고객 및 회원, 또는 방문자의 개인정보보호의 공식적인 공표가 더 많다. 그리고 서비스 유형에 크게 구분없이 대부분의 사이트들이 개인정보보호정책의 목적, 개인정보 수집목적 및 이용목적, 개인정보 수집 범위 및 방법, 개인정보 보유기간 및 파기, 제3자와의 정보공유 및 정보제공 경우, 정보보호를 위한 기술적·제도적 대책 등을 잘 명시하고 있으나 정책구성에 필요한 용어정의, 불만/분쟁처리방법, 아동보호방법, 정책의 시행일자 등을 명시하는데 미흡했다.

• Review of KIISC
• /
• v.22 no.1
• /
• pp.47-57
• /
• 2012

미국의 개인정보보호 정책은 시장의 자율규제에 입각하여 소비자의 권리를 보호하는 것에 초점을 맞추고 있다. 관리되는 법률로는 연방정부기관이 보유하고 있는 개인정보에 관한 보호법규인 1974년의 프라이버시법(Federal Privacy Act 1974)과 각 주단위로 규정된 프라이버시권 관련 법률들이 있다. 현재 공공과 개인을 아울러서 총괄하는 법은 존재하지 않지만 다양한 영역별로 접근 방식을 택하여 세부적으로 공공, 금융, 통신, 교육, 의료, 비디오 감시, 근로자 정보 등 각 영역별로 제정하여 시행하고 있다. 본고에서는 미국의 개인정보보호 법제 현황에 대해 살펴보았으며, 최근에 국내에서도 수행기관이 지정된 개인정보영향평가에 대한 내용을 분석하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.16 no.2
• /
• pp.33-43
• /
• 2006

In order to provide the efficient personalized services, the organizations and the companies collect and manage the personal information. However, there have been increasing privacy concerns since the personal information might be misused and spread over in public by the database administrators or the information users. Even in the systems in which organizations or companies control access to personal information according to their access policy in order to protect personal information, it is not easy to fully reflect the information subjects' intention on the access control to their own Personal information. This paper proposes a policy-based access control mechanism for the personal information which prevents unauthorized information users from illegally accessing the personal information and enables the information subjects to control access over their own information. In the proposed mechanism, the individuals' personal information which is encrypted with different keys is stored into the directory repository. For the access control, information subjects set up their own access control policy for their personal information and the policies are used to provide legal information users with the access keys.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2010.05a
• /
• pp.642-645
• /
• 2010

본 논문에서는 DDoS(Distribute Denial of Service) 공격 상황에서의 효율적인 iptables 정책 설계 방법에 대해 제안한다. 현재 구축된 인터넷 상황에서는 누구나 손쉽게 DDoS Attack 환경을 구축하여 특정 사이트를 공격할 수 있다. 이를 극복하기 위해 DDoS 방어전용 장비 등을 사용 할 수 있지만 고가라는 단점 때문에 개인 혹은 소규모 서비스 시스템에서 사용하기에 어려운 점이 많다. 본 논문은 이러한 상황을 극복하기 위해 개인 및 소규모 시스템에 적용 가능한 효율적인 iptables 정책을 제안한다. 제안한 각 정책별 성능 평가는 웹 서비스 환경과 DDoS 유형별 공격 시나리오를 가정하여 시행하였고, 이는 실제적으로 효과가 있음을 확인하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04d
• /
• pp.433-435
• /
• 2003

엄청난 양의 정보를 제공하는 인터넷은 사람들에게 편의성을 제공해 주고 있다. 그러나 다른 한편으로는 인터넷으로 인하여 청소년들이 유해한 정보에 무방비로 노출되고, 회사에서는 업무와 관련이 없는 인터넷 사용으로 업무 능률이 저하되며 네트워크 자원이 낭비되는 등의 여러 가지 문제가 발생하고 있다. 본 논문에서는 이러한 문제를 해결하기 위해 개인별로 인증을 받은 후에 각 개인에 따라 설정된 필터링 정책에 의해 인터넷을 사용하는 시스템을 제안한다. 기존의 시스템은 시스템 구성 및 성능, 사용자 관리의 어려움 등의 문제로 ISP 등의 대단위 네트워크에 적용하기 어렵다. 본 논문에서는 대단위 네트워크에 적용 가능하고 사용자 관리가 용이한 URL 필터링 시스템을 제안한다. 이러한 시스템을 사용하면 학교나 가정 및 직장에서 개인별로 다양한 필터링 정책을 적용할 수 있어 유해한 정보로부터 청소년을 보호할 수 있으며, 업무 능률의 상승과 네트워크 자원을 효율적으로 활용할 수 있는 장점이 있다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.29 no.5
• /
• pp.1205-1219
• /
• 2019

As the ability to use data becomes competitive power in the data-driven economy, the effort to create economic value by using personal data is emphasized as much as to protect personal data. EU's PSD2(the second Payment Service directive) became the initiative of the Open Banking trends all over the world, as it is the Mydata policy which protects the data subject's right by empowering the subject to control over the personal data with the right to data portability and promotes personal data usages and transfer. Korean government is now fast adopting EU's PSD2 in financial sector, but there is growing concerns in personal data abuse and misuse, and data breach. This study analyzes domestic financial Mydata policy in comparison with EU's PSD2 and focus on Personal information life-cycle risks of financial Mydata policy. Some suggestions on how to promote personal information and privacy in domestic financial Mydata Policy will be given.