• 융합보안논문지
• /
• 제17권1호
• /
• pp.39-44
• /
• 2017

기존의 기업 정보보호 활동은 정보보호 조직 중심이 이었으며, 최고경영자는 정보보호와 기업경영은 별개의 것이라고 생각한다. 하지만 각종 보안사고가 끊임없이 발생하고 있으며, 이에 대응하기 위해서는 정보보호 조직만의 활동이 아니라 기업경영 측면에서의 정보보호 활동이 필요하다. 본 연구에서는 기존에 제시된 기업 거버넌스 및 IT거버넌스 등을 살펴보고 기업의 정보보호 활동에 기업의 비즈니스 목표와 경영진의 목표를 반영할 수 있는 정보보호 거버넌스 모델을 제시하고자 한다. 본 논문에서 제시하는 정보보호 거버넌스 모델은 계획 단계에서부터 최고경영자의 참여를 유도하여 정보보호 목표를 수립한다. 정보보호 목표에 따라 정보보호 계획 수립, 정보보호체계를 구축 및 운영하고, 컴플라이언스 감사, 취약점 분석 및 리스크 관리 등을 통해 그 결과를 최고경영자에게 보고함으로써 기업의 정보보호 활동을 강화할 수 있다.

• 정보와 통신
• /
• 제31권5호
• /
• pp.39-45
• /
• 2014

기업활동에서 IT에 대한 의존도가 증가함에 따라 기업들은 다양한 소프트웨어 및 하드웨어 플랫폼에서 제공되는 서비스들을 운영하고 있다. 서비스들이 보급, 확대되는 과정에서 새로운 보안 취약점들이 나타나고, 이들 취약점을 악용한 기업정보의 유출 및 해킹 등 보안사고의 발생도 비례하여 증가하고 있다[1]. 특히 다양한 유형의 사업을 운영하는 지주회사 또는 대기업 그룹사의 경우, 사업영역별로 운영 중인 IT 인프라의 보안 취약점이 네트워크로 연결된 타 사업용 IT 인프라에 대한 사이버 침해의 통로로 악용될 가능성이 있다. 이 같은 문제의 해결을 위해 기업들은 사업영역 별로 보유한 IT 인프라의 보안 취약점 진단과 대응을 위한 솔루션들을 도입, 운영해 오고 있다. 하지만 기업의 보안 거버넌스 관점에서 보안 취약점 관리도 전사적인 보안 정책과의 연계 강화, 투자 중복의 방지, 효과적인 관리와 통제에 대한 필요성이 대두되기 시작했다. 보안 거버넌스 체계 강화에 대한 기업의 요구변화에 맞춰 보안 취약점의 통합관리를 지원하는 상용 솔루션들이 일부 출시되고 있으나 기업들이 기 운영하고 있는 개별 취약점 진단 솔루션과의 연동, 로그관리 및 기업이 요구하는 특화된 기능 구현 등의 어려움이 도입에 장애가 되고 있다. 따라서, 대기업을 중심으로 개별 보안 취약점 진단 솔루션들을 연동하여 기업보안 거버넌스를 효과적으로 지원할 수 있도록 취약점 관리업무 프로세스의 재설계와 함께 취약점 진단 통합관리 체계를 구축하고 있다[2][3][4]. 본고는 보안 취약점 관리업무의 문제점을 소개하고, 최근 대 기업을 중심으로 활발히 구축이 추진되고 있는 웹 기반의 취약 점 진단 통합관리 체계의 개념, 기능 및 운영 프로세스를 소개한다. 아울러, 기업 IT 인프라에 대한 보안 취약점 진단 데이터를 축적하여 기업 내부의 보안위험 요소를 사전예측하고, 정보보호의 투자 대비 효과(ROSI: Security Return on Investment)를 효과적으로 산정하는 인프라로서 활용 가치를 소개한다.

• 한국IT서비스학회:학술대회논문집
• /
• 한국IT서비스학회 2006년도 춘계학술대회
• /
• pp.267-272
• /
• 2006

일반적으로 거버넌스는 사회가 스스로를 이끌어나가는 과정을 의미하며, 전자거버넌스시스템(electronic governance system)은 이러한 거버넌스 지원을 위한 차세대 전자정부시스템을 의미한다. 전자거버넌스시스템은 주로 정부기관의 기능 강화에 초점을 두고 있는 전자정부시스템과 달리 능동적인 시민참여에 중점을 두고 있으므로 이에 부수되는 정보공유, 보안, 프라이버시, 구성원 사이의 상호 신뢰형성 등의 문제를 해결하여야 한다. 현재 거버넌스 관점에서 행정에 대한 시민참여가 활발하게 논의되고 거버넌스에 대한 이론 및 실증적 연구는 활발히 연구되고 있으나, 전자거버넌스시스템의 개발에 대한 연구는 매우 미약한 실정이다. USN(Ubiquitous Sensor Network)은 유비쿼터스 컴퓨팅 환경의 중요한 한 축으로써 많은 응용 잠재성을 내포하고 있으며, IT839 전략에 따라 국내 USN 인프라스트럭쳐에 대한 활발한 연구${\cdot}$개발 및 시험사업이 진헹되고 있다. 본 논문은 이러한 USN 인프라스트럭쳐를 활용하여 구성원 사이의 신뢰형성을 도울 수 있는 전자거버넌스시스템의 구조에 대하여 논한다.

• 디지털융복합연구
• /
• 제10권1호
• /
• pp.105-111
• /
• 2012

새로운 정보통신기술 변화에 따른 신규 보안위협의 등장, 사이버 공격의 증가, 국내외 정보보안 관련 법규 제정 및 시행 강화 등 제반 환경 변화에 따라 정보보안에 대한 대응방법의 변화를 요구하고 있다. 본 논문에서는 디지털 경제주체로서 정부, 기업/산업, 개인, 환경 등 네 가지 측면에서 국가 정보보안을 위해 해결해야 할 이슈를 도출하고 해결방안을 제시하였다. 구체적으로 국가 정보보안 거버넌스 체계 개선 방안, 정보보안 산업 육성 및 기업보안 수준 제고 방안, 정보보안 전문인력 양성 방안, 정보보안 법 제도 정비 및 문화 형성 등 네 가지 관점에서 현황 및 문제점 분석과 주요 이슈 해결을 위한 정책 방안을 제시하였다.

• 융합보안논문지
• /
• 제20권3호
• /
• pp.39-46
• /
• 2020

기업은 기업의 비즈니스 정보를 보호하기 위해 정보보호 관리체계 구축, 정보보호 시스템 구축 및 운영, 취약점 점검, 보안 관제 등 다양한 정보보호 활동을 하고 있다. 기업 비즈니스를 위한 다양한 정보보호 활동들을 체계화한 것이 기업 정보보호 거버넌스라고 할 수 있으며, 이를 효과적으로 운영하기 위해서는 시스템화할 필요성이 있다. 본 연구에서는 기업 정보보호 거버넌스를 시스템화하기 위해 기존의 기업 정보 포털(EIP) 모델에 대해 알아보고, 이에 기반한 기업 정보보호 포털(EISP) 모델을 제시하고자 한다. 기업 정보보호 포털(EISP) 모델은 기업의 다양한 정보보호 활동인 기업 정보보호 거버넌스를 시스템화하여 정보보호부서의 활동을 지원하고 기업의 정보보호 활동이 정보보호부서만의 활동이 아닌 최고경영자부터 임직원까지 직접 참여할 수 있도록 통합된 환경을 제시한다.

• 디지털융복합연구
• /
• 제17권8호
• /
• pp.89-94
• /
• 2019

퍼블릭 블록체인과 프라이빗 블록체인의 한계로 인해 여러 조직들이 컨소시엄 블록체인 시스템을 구현하고 있다. 조직이 블록체인을 활용하여 비즈니스를 수행하기 위해서는 조직의 전략과 목표에 따라 블록체인 온체인과 오프체인 상의 의사결정권, 책임성, 보상체계와 같은 '블록체인 거버넌스' 요소들을 고려해야 한다. 조직이 블록체인 거버넌스가 부재한 상태로 비즈니스를 수행하면 조직의 전략과 목표를 체계적이면서 효과적이고 효율적으로 달성할 수 없고, 조직의 이해관계자들의 기대 및 법규 등의 내 외부 요구사항들을 준수할 수 없다. 하지만 컨소시엄 블록체인을 기반으로 한 비즈니스가 확대됨에 따라 컨소시엄 블록체인 거버넌스가 필요로 한 상황임에도 불구하고 이에 대한 연구는 전무한 상황이다. 따라서 본 연구에서는 조직이 컨소시엄 블록체인을 활용한 비즈니스를 효과적이고 효율적으로 수행하도록 기능 및 역할과 책임을 포함한 컨소시엄 블록체인 거버넌스 프레임워크를 개발하였다. 또한 개발된 컨소시엄 블록체인 거버넌스 프레임워크의 타당성을 검토하기 위해, 두 차례에 걸쳐 블록체인과 거버넌스 관련 전문가들로 구성된 자문위원회를 통해 프레임워크를 검토하였다. 검토 결과 기능, 역할과 책임을 포함한 컨소시엄 블록체인 거버넌스 프레임워크의 구성 요소들이 완전하고 타당한 것으로 검토되었다.

• 정보화연구
• /
• 제11권2호
• /
• pp.143-155
• /
• 2014

최근 국내의 전자, 금융, 전기, 서비스, 제조, 제약 등 기업의 형태를 막론하고 악의적인 해커를 통해 기업 보안사고가 발생되고 있으며 이로 인한 기업정보 손실의 피해가 매년 꾸준히 늘어가고 있다. 이에 대응하기 위해 국내 대다수 기업들은 기업 활동과 관련된 중요 정보를 보호하기 위해 노트북, 스마트폰, 태블릿 내 다양한 Endpoint 보안솔루션을 도입하고 있다. 그러나 무분별하게 도입되고 있는 Endpoint 보안솔루션 간에는 과다 예산, 동일한 기능으로 인한 충돌이나 성능 저하 등의 문제들이 발생하고 있으며, 이로 인한 추가적인 유지비용, 충돌 문제를 해결하기 위한 노력은 보안부서의 IT운영상의 새로운 어려움이 되고 있다. 본고에서는 이러한 Endpoint 보안솔루션 도입 및 운영상의 문제를 해결하기 위해서 PC를 중심으로 정보보호 거버넌스에 기반한 Endpoint보안 솔루션 도입 결정을 위한 프로세스를 마련하여 해결 방안으로 제시하고자 한다.

• 정보화연구
• /
• 제10권4호
• /
• pp.451-466
• /
• 2013

기업들은 정보기술 리스크(IT Risk)에 대하여 어떻게 대처하고 있을까? 금융기관이나 공공기관은 태생적으로 이미 위험관리를 적극적으로 수행하고 있다. 정보기술에 대한 위험관리도 지난 10년동안 전산망 마비, 해킹 사고, 디도스 공격, 고객정보 유출 등을 겪으면서 적극적으로 대응해 왔다. 특히 2011년 농협사태는 IT 성과보다는 IT 보안을 훨씬 중요하게 보는 계기가 되었다. IT 보안 인력과 예산이 대폭 강화되고 망분리 사업이 추진되는 것이 대표적인 사례이다. 하지만 그동안 IT 위험관리는 특정 기술에 대한 사전 대응 및 사후 대응 강화에 집중되었다. 현재 IT 위험관리는 단편적 관리에서 종합적 관리로 전환되고 있다. 최근에 많은 기업들이 전사 차원의 정보기술 리스크 거버넌스(IT Risk Governance) 체계를 구축하고 있거나 구축하는 계획을 갖고 있다. 하지만 아직도 IT보안은 전사적으로 통합되지 못하였으며, IT 위험관리 프로세스는 조직에 내재화 되지 못 하였고, IT 성과관리와 연계성은 고려하지 못하고 있다. 본 논문에서는 IT 관리와 기술을 효과적으로 연계하기 위하여, 그리고 IT 성과와 IT 위험을 균형되게 관리하기 위하여 엔터프라이즈아키텍처(EA: Enterprise Architecture) 활용을 제안하고자 한다.

• 정보보호학회지
• /
• 제30권5호
• /
• pp.55-60
• /
• 2020

본 논문에서는 일반적으로 외부와 격리된 환경이라고 생각하는 발전소, 공장과 같은 OT(Operational Technology) 환경에서 IT(Information Technology) 환경과 커넥션이 많아짐에 따라 각종 악성코드, 해커, Threat Actor 등으로 인해 취약해 질 수밖에 없는 보안환경과 이에 대한 대응 방안을 소개하고자 한다. 본고에서는 최근 있었던 OT 관련사고 사례와 OT의 구성 항목에 대한 정의, IT와 차별되는 OT의 특징, 그리고 대응 방안으로써 보안 아키텍처, 가시성 확보, 관리 및 거버넌스에 대해 살펴보았다.

• 한국전자거래학회지
• /
• 제18권1호
• /
• pp.147-164
• /
• 2013

지속적인 정보보호 거버넌스를 위해서는 단순히 접근통제, 문서보안 등 기술적인 측면이 아닌 개인의 보안 행위, 문화, 규범, 개인적 가치 등 비공식적인 정보보호 행위를 관리하는데 초점을 맞추어야 한다. 그러나 많은 연구들이 정보보호 규정과 같은 공식적인 수준의 거버넌스나 기술과 같은 수단에 집중하고 있는 실정이며, 개인의 정보보호 위반 행위와 개인적 신념, 규범, 문화, 개인적 가치 등 비공식적인 수준에 대한 연구는 거의 이루어지지 않고 있다. 이에 본 연구는 정보보호 문화, 규범적 신념, 행위, 가치가 정보보호 규정 위반 행위에 어떠한 영향을 미치는 지에 대해 실증하였다. 또한 본 연구에서는 사회조직적 관점의 아노미 개념을 이용하여 조직 내에서 정보보호 규정의 중요성에 대한 인식 결핍과 정보보호 규정의 가치 결여를 '정보보호 아노미 현상'으로 정의하고, 이를 바탕으로 정보보호 문화, 규범, 행위, 가치가 정보보호 규정 위반 행위에 미치는 영향에 있어 정보보호 아노미 현상이 어떠한 역할을 하는지에 대해 실증분석을 수행하였다.