• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 추계학술발표대회
• /
• pp.1028-1031
• /
• 2012

NFC 기능을 탑재한 스마트폰의 보급이 증가하고 점차적으로 NFC를 활성화하여 고객에게 편리함을 주려는 기업들이 늘어나고 있다. 하지만 기존의 NFC 기반 Payment System의 경우 사용자의 개인 정보를 부분적으로 암호화하지 않은 것과 내부 및 제 3자의 개인정보 유출, 그리고 개인정보를 무단활용을 대표적인 문제점으로 나타낼 수 있다. 뿐만 아니라 도난 및 분실의 위험으로 인한 피해가 있을 수 있다. 이러한 문제점들로 인하여 본 연구에서는 자체적인 NFC 보안에 사용자 어플리케이션 실행시 한 번의 개인정보 입력에 따른 암호화로써 NFC 단말기 간의 정보를 주고 받을 때 암호화를 할 수 있도록 구현하고자 한다. 이렇게 함으로써 NFC를 이용하여 결제를 하였을 시에 암호화 된 개인정보이기 때문에 외부의 공격자로부터 보안에 대한 위협을 줄일 수 있으며, 도난과 분실에도 개인정보가 식별되지 않기 때문에 보다 안정성을 높일 수 있다.

• 정보보호학회지
• /
• 제25권4호
• /
• pp.6-10
• /
• 2015

기업에 의해 수집되어 관리되고 있는 개인정보가 유출되는 사고가 빈번하게 발생하고 있어서 기업의 개인정보보호 대응능력을 강화하기 위한 관리체계의 도입이 요구되고 있다[1,2]. 국제표준화위원회/전기위원회 합동위원회 1의 정보보호 기술연구반 아이덴터티 관리 및 프라이버시 작업반 (ISO/IEC JTC 1/SC 27/WG 5)에서는 기업을 위한 개인정보보호 원칙을 제시하고, 개인정보보호 위험 평가 지침을 제시하며 개인정보보호를 위한 각종 통제를 제시하기 위한 국제 표준화 작업을 수행하고 있다[18]. 정보보호관리체계 작업반(WG 1)에서는 2013년부터 정보보호관리 요구사항을 다룬 ISO/IEC 27001[6]을 이용해 여러 섹터에 적용되는 정보보호관리체계 구축을 위한 요구사항에 대한 국제표준화를 추진하고 있다. 본 논문에서는 작업반 1과 작업반 5에서 수행되고 있는 개인정보보호 관련 국제 표준화 활동의 동향을 살펴보고, 개인정보보호 관리체계 구축을 위한 국제 표준의 배열을 제시한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 추계학술발표대회
• /
• pp.697-700
• /
• 2015

스마트디바이스의 확산으로 그에 따른 보안에 대한 중요성이 커지고 있다. 스마트디바이스의 정보를 보안하기 위해서는 소스코드에서 암호화가 필요하다. 하지만 모든 애플리케이션이 암호화가 돼있는 것은 아니다. 스마트디바이스의 구조를 모르는 사용자는 애플리케이션이 안전한지 모르기 때문에 정보가 암호화 돼있지 않는 애플리케이션을 사용할 경우 개인정보가 유출될 가능성이 농후하다. 따라서 이를 사용자에게 인지시켜주기 위해 암호화과정에 따른 암호화 복잡도를 체크할 수 있는 분석 툴을 개발하였다. 이 개발 툴은 오픈소스 기반인 와이어샤크와 카인과 아벨을 이용한 이차분석 툴로 사용자에게 해당 애플리케이션이 개인정보유출의 위험성을 제안한다.

• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.1205-1219
• /
• 2019

데이터 기반 경제시대에서 데이터 활용능력이 경쟁력이 됨에 따라 개인정보의 보호와 더불어 개인정보의 활용을 통한 경제적 부가가치를 창출하려는 노력이 함께 강조되고 있다. 이 가운데 등장한 EU의 PSD2(the second Payment Service Directive)는 정보 주체의 '정보이동권'을 근거로 개인의 자기결정권을 보장하면서 데이터의 활용과 유통을 촉진하는 마이데이터 정책으로 전 세계 오픈뱅킹 정책의 시초가 되고 있다. 이러한 추세에 따라 우리나라 정부도 국내 금융업권별 실정을 반영하여 마이데이터 정책을 적극적으로 추진하고 있다. 하지만, 마이데이터 정책으로 인해 금융정보의 유통 및 활용 범위가 커진 만큼 개인정보의 유출 및 오남용, 해킹 등 위험도 커진 것도 사실이다. 본 연구에서는 EU PSD2가 어떻게 국내 금융분야 마이데이터 정책에 반영되어 추진되고 있는지를 살펴본다. 그리고 국내 마이데이터 정책의 개인정보보호 위험 사항을 개인정보 생명 주기별로 나누어 식별한 후 이러한 위험에 대한 법적 기술적 대응책을 제시하고자 한다.

• 정보와 통신
• /
• 제26권1호
• /
• pp.31-37
• /
• 2009

우리나라는 세계 최고 수준의 IT 인프라를 기반으로 네트워크 및 서비스 융합, RFID 등 u-IT 서비스 확산 등을 통해 유비쿼터스 사회로 빠르게 진입하고 있다. 향후 디지털 융합이 가속화됨에 따라 시간과 공간의 제약 없이 원하는 정보의 획득 활용이 증가하고, u-Health, u-learning 등 IT가 타산업과 융합되면서 높은 부가가치를 창출할 것으로 전망 된다. 그러나 정보화의 급속한 진전에 따른 사회 전반의 편의성과 효율성이 향상하였으나, 해킹 바이러스, 개인정보 유출사고, 스팸 등 역기능으로 인한 피해도 확산되고 있다. 최근에는 네트워크 방어체계를 무력화시키는 지능화된 해킹, 대량의 고객정보 유출, 사회공학 기법을 활용한 피싱 등 이용자의 자산과 프라이버시를 침해하는 사이버범죄 증가 등으로 이용자자산과 권리 보호관점에서의 정보보호의 중요성이 부각되고 있다. 향후 시간과 장소에 상관없이 지식정보를 활용하여 편리하고 쾌적한 생활을 누리게 하는 지식정보사회는 예측 불가능한 위험이 곳곳에 산재한 정보위험사회로의 진입을 의미 할 수도 있다. 그러므로 미래사회에서 예상되는 위협을 예측하여 효과적으로 사전에 예방할 수 있는 체계를 마련하는 것은 안전하고 신뢰할 수 있는 지식정보사회를 향유하기 위한 전제조건으로 작용한다. 이에 본고에서는 미래 지식정보사회에 대비한 정보보호 전략으로 안전한 u-사회 청사진 설계 및 환경조성 선도와 국제화, 사이버위협 예방 및 대응체계의 입체적 조화와 융합, 정보보호 기술 제품 산업간 선순환 촉진과 성장 등 3대 전략을 설정하고 실행방안을 제시한다.

• 한국재난정보학회 논문집
• /
• 제17권2호
• /
• pp.375-390
• /
• 2021

연구목적: 사이버보안 침해사고의 대부분은 중소기업에서 발생하고 있는데, 기존 사이버보안 프레임워크(Framework)와 인증체계 등은 주로 금융권이나 대기업에 초점이 맞추어져 있어 정보보안 예산과 인력이 부족한 중소기업이 활용하기에는 어려움이 많아 중소기업이 자율적으로 사이버위험관리를 할 수 있는 방안을 마련할 필요가 있다. 연구방법: 사이버보안 시장, 금융기관 사이버보안 항목, 사이버보안 프레임워크 비교, 언론에 보도된 사이버보안사고 등을 통해 사이버보안에 중요한 항목을 도출하고 이를 AHP 분석을 통하여 그 중요도를 분석하고, 손해보험사의 사이버보안 항목을 조사·비교 하였다. 연구결과: 주요한 사이버사고 원인 20가지에 대한 중소기업의 사이버위험관리 방안을 제시하였다. 결론: 본 연구에서 도출된 국내 중소기업의 사이버보안 위험평가방안이 향후 중소기업이 사이버보험 가입 시 그 기업의 위험평가에 도움이 되길 바라고 사이버 위험평가도 ERM 규격화의 한 부분에 포함되기를 희망해 본다.

• 정보화정책
• /
• 제19권4호
• /
• pp.63-82
• /
• 2012

우리나라의 정보인프라는 세계 최고 수준이다. 그러나 심각한 보안 사고의 위험 또한 동반하고 있다. 최근 일어난 주요 사고만 정리해도 유출된 개인정보는 우리나라 인터넷 사용인구의 세 배를 넘는다. 이제 개인정보 침해 등의 정보보안의 사고는 국가의 일급재난에 해당하는 정책문제가 되었다. 이 논문은 빅 데이터 시대의 정보보안을 위한 정책적 논의를 사회과학 차원에서 탐구하였다. 이를 위해 최근 사고가 급증한 개인정보침해 사례를 위험기반으로 분석하였다. 사례분석결과는 다음과 같다. 첫째, 발생가능성과 영향에 따라 정보통신기술의 위험의 상황은 '심각, 강력, 집중, 기본'으로 구분되었다. 둘째, 위험의 상황에 따라 해당집단은 '계층주의, 평등주의, 운명주의, 개인주의' 문화유형을 지니며 '회피, 전가, 완화, 수용'의 대응 정책을 적용하였다. 셋째, 위험상황에 따라 정보통신기술은 '대용량, 고성능, 다양성'의 빅 데이터의 특성을 보였다. 이 연구의 시사점은 다음과 같다. 첫째, 위험상황별 문화유형과 빅 데이터의 특성을 이해하여 포괄적인 정책을 수립하고 적용할 수 있는 정부의 전담조직이 필요하다. 둘째, 빅 데이터 시대 정보통신기술에 대한 위험관리는 '기술, 규범, 법, 시장' 측면의 균형 있는 정책의 적용이 필요하다.

• 정보보호학회지
• /
• 제25권4호
• /
• pp.57-62
• /
• 2015

최근의 정보보호 관련 사고를 살펴보면 기업 내부자로 인한 개인정보의 유출과 같이 특별한 기술 없이 이루어지는 인간 중심의 정보보호가 이슈화되고 있다. 그만큼 점점 사회공학적인 위협이 증가하고 있는 추세이며, 그 위험성이 사회 전반적으로 인식되어가고 있다. 본 지를 통해 사회공학의 의미에 대해 되짚어보고, 사회공학 라이프 사이클과 최근의 사회공학 공격 기법에 대해 분석한다. 또한 일반적 사회공학 의미인 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여서 보안 절차를 우회하는 등의 기존 개념에 더하여 유사한 사례를 바탕으로 인간의 대표적 감정 상태(두려움, 슬픔, 기쁨)를 이용한 사회공학 기법에 대해 논한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2023년도 제68차 하계학술대회논문집 31권2호
• /
• pp.631-633
• /
• 2023

본 논문에서는 빅데이터의 활용이 확산되는 현대 사회에서 빅데이터의 수집, 관리, 이용 등에서 나타날 수 있는 문제를 확인하고 그 문제에 대한 기존의 대응 방법과 보완점을 시사한다. 빅데이터의 위험성은 개인 정보유출, 디지털 디바이드, 편향성과 신뢰성, 의존성과 통제 가능성 등이 있다. 해당 문제는 빅데이터의 보편화가 가중될수록 큰 규모의 사회적 문제로 대두될 가능성이 높다. 이를 보완하기 위한 대응 방법을 크게 기술적 대응, 법적 대응, 사회적 대응으로 나누어 알아보고 각 부분의 취약점을 분석하여 개선의 방향을 제시한다.

• 정보보호학회논문지
• /
• 제22권2호
• /
• pp.337-346
• /
• 2012

인터넷 기술을 활용한 클라우드 컴퓨팅 서비스의 확산에 따라 개인정보 유출 위험과 정보에 대한 통제가 불가능해질 수 있는 보안 위협이 증가되고 있으나, 현재 클라우드 컴퓨팅 서비스 제공자는 개인정보보호에 대한 충분한 보호조치를 서비스 이용자에게 제공하지 못하고 있는 상황이다. 본 논문에서는 클라우드 컴퓨팅 서비스에 대한 개인정보보호 고려 사항을 살펴보고, 클라우드 컴퓨팅 서비스 환경에서의 개인정보보호 위협에 대응하는 방안을 제안한다.