• 정보보호학회논문지
• /
• 제28권1호
• /
• pp.199-213
• /
• 2018

2008년부터 대규모 개인정보 유출사고들이 빈번히 발생하면서 이를 해결하고자 국가적 차원의 교육, 정책, 법률 등이 제정 및 시행되고 있다. 현재까지 개인정보 침해와 유출사고는 지속적으로 발생하고 있지만, 개인이 개인정보 침해에 대한 상세 정보를 확인하고 추정 및 대처 할 수 가 없는 실정이다. 이에 본 연구는 개인 정보 침해 및 유출사고 등 개인정보 침해에 예방 및 대응하기 위한 여러 가지 방법 중 일반인을 대상으로 하여 개인정보 침해에 관한 정보가 제공 및 전달된다면, 개인은 개인정보 침해 정보를 얼마나 받아들이고 개인정보보호 행동으로 옮겨질지에 대하여 연구하고자 한다. 개인정보 침해와 관련된 정보를 제공하는 것이 어떠한 의미를 가지고 있으며, 어떠한 기능을 수행해야 하는지 정의하고, 정보 제공에 대한 일반인의 수용 영향에 대하여 분석하고자 한다. 이를 통해 개인정보 관련 정보 제공에 대한 필요성 및 가이드라인을 제시하고, 개인의 주동적인 정보보호 활동을 장려하는데 도움이 되고자 한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2018년도 제57차 동계학술대회논문집 26권1호
• /
• pp.179-182
• /
• 2018

최근 여기어때, 인터파크 등 전자상거래 기업을 대상으로 발생한 개인정보 해킹사고 사례를 보면, 사람의 취약점을 노리는 지능화지속위협(APT) 공격과 알려진 해킹 기술이 복합적으로 이루어지고 있다. 해킹사고가 발생한 기관은 한국인터넷진흥원(KISA) 정보보호관리체계(ISMS) 의무대상 기관으로써 정보보호관리체계를 유지 관리하고 있었다. 그럼에도 불구하고 대형의 개인정보 유출사고가 발생한 주요 원인은 정보보호관리체계가 적용되지 않았던 정보시스템과 인력을 대상으로 해킹이 이루어졌기 때문이다. 해킹 위협의 변화에 따라 전자상거래 보안 수준도 변화해야 하는데, 개인정보보호 관련 규제 준수도 전자상거래 기업에서는 힘든 상황이다. 고객의 개인정보 유출 사고는 일반인을 매출 기반으로 서비스하고 있는 전자상거래 기업에서는 치명적이다. 안전한 전자상거래 플랫폼 기반에서 고객에게 서비스를 제공하기 위해서는 무엇보다도 중요 자산인 고객의 개인정보보호를 위해 역량을 집중해야 한다. 한정된 예산과 자원으로 안전한 서비스를 제공하기 위해서는 기존에 구축된 정보보호관리체계를 기반으로 IT보안감사체계를 전사적으로 확대하여 지속적으로 모니터링 할 필요가 있다. 이에 본 연구에서는 최신 사이버 보안 위협 동향과 전자상거래 기업 대상으로 발생한 최근 개인정보유출사고 사례를 분석을 통해 시사점을 도출하여 전자상거래 개인정보 보호를 위한 IT보안감사체계를 제시하였다.

• 정보보호뉴스
• /
• 통권137호
• /
• pp.26-29
• /
• 2009

지난 2008대규모 해킹 개인정보 유출 등 보안 사고로 얼룩진 한 해였다. 중국발 해킹으로 인해 국내 대표 오픈마켓 회원 1,000개인정보가 유출됐고, 포털 사이트의 고객 상담정보가 해커에 의해 탈취됐으며, 정유회사 고객정보 1,100내부 직원에 의해 유출되는 등 다양한 형태의 보안 사고가 발생했던 한해였다. 지난 십여년에 결쳐 진행된 정보화혁명으로 인해, 거의 모든 정보들이 디지털화되고 인터넷을 통한 유통이 일반화되면서 정보보호 이슈는 날이 갈수록 심화되고 있는 실정이다. 인터넷이 우리 사회에 가져 올 순기능은 형언할 수 없을 만큼 크지만 개인정보 침해를 비롯한 역기능 또한 심각한 수준에 이르고 있다. 향후 유비쿼터스 시대 도래 등과 더불어 다양한 개인 맞춤형 IT 서비스가 더욱 확산된다면 개인정보 보호와 프라이버시에 대한 이슈는 지금보다 더 첨예하게 대두될 것으로 예상된다. 더 많은 정보사회의 편익을 누리기 위해 개인정보의 적절한 수집과 활용은 계속될 것이기 때문이다. 그런 의미에서 개인정보 보호는 고도 정보화 사회를 위한 기본 전제조건이자, 결정적인 신뢰요소다. 그리고 지금은 우리 사회 의 개인정보보호 수준제고를 위해 모두의 지혜가 필요한 시점이다.

• 한국전자거래학회지
• /
• 제16권4호
• /
• pp.17-31
• /
• 2011

정보화의 빠른 진전과 더불어 정보화의 역기능 역시 비례하여 확산되고 있으며 그 피해는 막대한 것으로 추정되고 있다. 하지만 현재까지 개인정보 유출의 피해규모에 대한 연구와 자료가 미흡한 실정이기 때문에 이로 인한 국가적 피해규모를 계량화하는 작업에 많은 현실적 어려움이 존재하고 있다. 만약 피해액의 규모를 제대로 산출하여 보안정책 수립에 참고한다면 경제적으로나 사회적으로 미치는 사고 영향의 심각성을 정확히 파악할 수 있으며, 결과적으로 유출사고 대응에 필요한 기업 그리고 정부의 노력과 비용의 크기~에 대한 의사결정을 할 수 있기 때문에 체계적인 경제적 피해규모를 파악하는 일은 매우 필요한 과제라고 판단된다. 이에 본 연구는 일본 네트워크 보안협회 등 해외 유수 연구들의 방법론과 새로운 접근법들을 참고하여, 개인정보 유출사고의 피해실태를 파악하기 위한 정보의 수집과 이의 정량적 분석의 개념적 틀을 제시하고자 한다. 또한 비교적 데이터가 부족한 국내의 환경에서도 정책적 지표로서 의미 있는 피해액을 측정함으로써 개인정보 유출 피해를 막기 위한 다양한 정책기획의 기반자료로 활용될 수 있기를 기대한다.

• 한국전자거래학회지
• /
• 제20권2호
• /
• pp.93-106
• /
• 2015

전자상거래의 성립을 위해 온라인 정보시스템 상에서 거래 당사자의 정보를 제공하는 것은 필수적이다. 거래의 간편성을 위해 서비스 제공 기업이 이를 보관하고 개인정보와 거래 정보를 가공하여 추가 서비스를 제공하는 것이 전자상거래 분야에서 일반화 되고 있다. 그러나 해당정보의 임의적 보관은 거래의 간편화에 도움이 되는 반면 외부 유출로 인해 직접적 혹은 간접적 피해가 발생할 수 있는 가능성을 높인다. 본 연구는 시스템 운영 기업의 측면에서 정보유출 사고발생의 위험률과 이로 인해 발생할 수 있는 기대 손실을 분석하기 위해 정보보호 관리체계로 대표되는 정성적 정보보호 관리방식과 더불어 대표적인 정량적 분석 방법인 개인정보에 대한 수요공급 곡선과 Gordon and Loeb 모델을 소개한다. 또한 한국인터넷진흥원에서 실시한 개인정보보호 수준 실태조사 결과 중 개인정보 누출사고가 있었던 조사 대상 사업자의 분포가 핵심사업분야나 기업규모에 따라 큰 편차를 나타내는 원인을 제시하였다. 이를 통해 징벌적 손해배상으로 유출사고로 인한 기업의 금전적 손실이 일정 수준을 유지하는 것과 법률로 요구하는 개인정보보호 기준을 최상위등급으로 유지하는 것이 기업간 개인정보 취약점의 편차를 보완할 수 있는 방법으로 제시된다.

• 벤처다이제스트
• /
• 통권119호
• /
• pp.16-19
• /
• 2008

몇 달 전 발생했던 옥션의 개인정보 해킹 사건 등에서 볼 수 있듯이 개인정보는 한번 유출되면 명의도용 등으로 악용될 수 있어 기업뿐만 아니라 해당 정보의 주체인 일반 이용자에게까지 정신적.경제적 피해를 야기할 수 있다. 최근 개인정보 유출 사고는 내부자의 고의적 범죄, 관리 부주의 등에서 외부인의 악의적 해킹에 의한 기술적 침해로 진화하고 있다. 이에 따라 개인정보보호 기술(PET, Privacy Enhancing Technologies)이 어느 때보다 중요해지고 있다.

• 정보보호뉴스
• /
• 제9호통권132호
• /
• pp.14-18
• /
• 2008

개인정보보호 유출사고가 줄지어 법정으로 향하고 있다. 내외부자에 의한 고객정보의 불법 유출이 그 원인으로, 굵직굵직한 소송사건들이 과연 어떤 판례를 남기게 될 지가 많은 기업들에게 초미의 관심사가 되고 있다. 개인정보를 대량으로 수집하는 기업들이라면 이런 법정 공방은 '내' 문제가 될 수 있기 때문이다. 이와 같은 기업의 관심은 자연스럽게 데이터베이스 즉, DB 보안에 대한 관심으로 이어지고 있다.

• 정보보호학회논문지
• /
• 제26권1호
• /
• pp.259-273
• /
• 2016

2014년 카드 3사 개인정보유출 사고를 계기로 외부 불법 침입으로 인한 보안사고 보다 내부직원의 고의나 실수 등 관리 소홀에 의한 개인정보 불법유출 사고가 더 심각하다는 것을 깨닫고 금융회사는 개인정보유출 재발방지 대책을 마련하여 추진하고 있다. 그러나 국내 금융환경을 반영한 정보기술(IT)시스템 구조가 매우 복잡하고 어려운 구조로 되어 있어 관리적, 물리적, 기술적 통제절차의 범위를 벗어난 내부자 위협에 노출과 유출사고 발생 개연성은 높다. 본 연구에서는 메타데이터에 기초하여 개인식별속성데이터를 정의 및 관리하고, 테이블간 결합을 통해 포괄적인 개인정보 식별 및 접근을 통제하는 프로세스를 제시한다. 이 프로세스는 금융감독기관의 컴플라이언스 위반 가능성 감소 및 내부통제 강화라는 목표를 충족시킨다. 마지막으로 본 연구에서는 제안한 프로세스를 반영한 의사결정 모델을 도출하고 실증하였다.

• 정보보호학회논문지
• /
• 제24권5호
• /
• pp.961-968
• /
• 2014

내부자에 의한 개인정보유출 사고를 방지하기 위하여 다수의 기업은 문서 DRM(Digital Right Management), DLP(Data Loss Prevention), 개인정보 검색시스템 등과 같은 PC보안솔루션을 지속적으로 도입하여 운영하고 있다. 하지만 이러한 투자에도 불구하고 개인정보유출 사건들은 지속적으로 발생하고 있다. PC보안솔루션의 단순 구축이 아닌 기업에 적합한 보안 정책을 사전에 수립하고 정책에 맞는 시스템을 운영한다면 개인정보유출 사고를 미연에 방지할 수 있을 것이다. 또한 로그분석을 통하여 수립한 보안정책의 효과성을 검증할 수 있으며 로그분석결과를 바탕으로 보안정책의 수정 보완이 가능할 것이다. 본 논문은 다양한 PC보안솔루션 중 개인정보유출 방지를 위해 PC에 필수 설치되는 보안솔루션을 정의하고, 필수보안 솔루션을 개인정보보호 관점에서 통합 운영하는 방안, 그리고 로그분석을 통해 개인정보유출 사고 방지를 위한 효과적인 보안정책을 제안하고자 한다.

• 정보보호학회지
• /
• 제21권5호
• /
• pp.45-49
• /
• 2011

네트워크 등의 환경에서 정보의 사용 범위가 확대됨에 따라 PC 및 다기능의 단말 등을 사용하여 내부 정보에 접근 가능하도록 하는 기능적 요구가 확대되고 있다. 그러나 이러한 요구에 따라 내부 정보 접근이 용이 해 지면서 내부 정보 유출의 가능성이 증가 하게 되었다. 실제로 최근 발생한 정보유출 사건들은 단순 정보유출이나 일회성 공격에 지나지 않고, 자산의 유출로 인해 기업의 존폐를 흔들 만큼 그 영향이 커지고 있다. 이러한 정보유출사고 발생이 증가함에 따라 정보를 취급하는 정부기관 및 기업은 이를 막기 위하여 정보유출방지시스템을 운영한다. 그러나 정보유출을 방지하기 위한 솔루션이 확인 하는 데이터에는 정보유출방지시스템에 연결되어있는 사용자들의 개인정보가 포함되어있다. 개인의 프라이버시는 어떠한 경우에서도 반드시 보호되어야 한다는 관점으로 볼 때, 정보유출탐지시스템 설계 시 사용자들의 프라이버시 보호가 가능한 솔루션이 필요한 상황이라고 볼 수 있다. 본고에서는 정보유출 방지를 위한 기술이 갖는 프라이버시 침해 관계에 대해 살펴보고, 이를 막기 위한 요소기술들을 제시하고자 한다. 본고는 정보유출과 개인정보보호에 대한 상관관계 분석에 대한 연구 내용을 요약하는 형태로 작성되었다.