• 정보보호학회지
• /
• 제29권3호
• /
• pp.51-65
• /
• 2019

미국의 사이버보안 관련 법률은 1987년 컴퓨터보안법이 제정되는 시점이 본격적인 시작이라고 할 수 있다. 1990년대에는 컴퓨터 및 인터넷의 발전으로 정보보안의 중요성이 대두되었으며 법률은 데이터 보호 및 프라이버시 중심으로 제정되었다. 2002년 국토안보부 설립을 위한 국토안보법의 제정을 통해 본격적인 국가 사이버보안 정책을 시작할 수 있는 토대를 마련하였다. 전자정부법(2002) 부속법률인 연방정보보안관리법(FISMA 2002)은 연방기관들의 사이버보안 관련 임무를 구체화하여 국가차원의 사이버위협 대응을 체계적으로 할 수 있었다. 2014년 연방정보현대화법(FISMA 2014)으로 개정되어 지난 10여년간의 시행착오를 바로잡는 노력을 진행하고 있다. 2015년 사이버보안법(Cybersecurity Act 2015), 2018년 사이버보안 및 기반구조보안기관법(CISA 2018)을 제정하여 국가 사이버보안 체계를 획기적으로 발전한 미국의 사이버보안 법률의 추진 현황을 살펴봄으로써 우리나라의 법체계의 발전방향에 대해 고찰해 보도록 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 춘계학술발표대회
• /
• pp.370-372
• /
• 2017

사이버 위협이 고도화, 지능화되면서 사이버보안 사고로 비롯한 유무형 손실이 점차 증가추세에 있으며, 이러한 피해를 최소화 하기 위해 사이버보안에 대한 필요성이 증대되고 있다. 기업에서는 각종 규제와 법률에 근거하여, 또는 신뢰할 수 있는 서비스를 고객에게 제공하기 위해서 보안 솔루션, 보안 서비스, 보안 컨설팅 등 다양한 방면에서 보안에 대한 투자를 늘리고 있다. 기업의 보안에 대해 투자는 비용과 효과를 분석하여야 효율적이고 효율적인 투자일 것이나, 아직은 이에 적합한 방안이 제시되지 않고 있다. 따라서 본 연구는 사이버보안 환경에 적합한 비용/효과 분석 방안으로 CMU SQUARE 팀의 비용효과분석 프레임워크를 선택하였고, SQUARE의 프레임워크를 기반으로 사이버보안 투자에 적합한 비용/효과 측정 방안을 제시하였다. 특히 기존의 금전적 효과에만 치중되어 연구가 부족했던 정성적 효과를 고려하여, 사이버보안 투자에서 발생되는 효과를 종합적으로 측정할 수 있도록 한다. 본 연구의 결과는 사이버보안과 관련된 투자의 비용/효과를 산출함으로써 기업의 보안 투자 방안 추진의 기준이 될 것이다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권7호
• /
• pp.321-328
• /
• 2017

사이버 위협이 고도화되고 지능화되어짐에 따라 사이버 침해사고로 인한 피해사례가 급격하게 증가하고 있다. 이로 인해 사이버보안 전문인력의 중요성을 인식하여 다수의 사이버 보안관련 교육 프로그램이 운영되고 있지만 사이버보안 인력 현황 및 직무에 기반한 사이버보안 교육연구가 이루어지 않아서 교육 수요자 및 공급자가 목표한 교육과정이 제공되지 않고 있다. 이에 따라 본 연구에서는 사이버보안 인력 및 지식체계를 정의하고 이를 반영한 새로운 사이버보안 교육 커리큘럼을 개발하였다. 본 연구에서 개발한 교육 커리큘럼은 기존 교육 커리큘럼에서 강조하고 있는 방어와 관련된 교육내용만으로 구성하는 것이 아니라, 공격분야의 교육내용을 추가하여 전문적이고 균형적인 사이버보안 인력양성을 위한 교육 커리큘럼을 개발 및 개선하였다.

• 한국IT서비스학회:학술대회논문집
• /
• 한국IT서비스학회 2009년도 추계학술대회
• /
• pp.531-536
• /
• 2009

원전 디지털 계측제어계통 통신망에서는 일반 산업체의 사이버보안과는 달리 안전성과 가용성, 그리고 경성실시간 조건을 매우 중시하면서도 일반 IT 분야에서 사용하고 있는 사이버보안 기술의 대부분을 수용할 것을 요구받고 있다. 사이버보안 활동은 원전 디지털 계측제어계통 통신망에서 요구하는 통신망의 성능 조건을 저해하지 않아야만 하는데, 이러한 요구 조건들은 서로 상충되는 측면들이 있다. 원전 디지털 계측제어계통 사이버보안을 위한 보안기술들이 계측제어시스템 및 이와 관련된 통신망에 적용될수록 이들의 성능은 저하될 수밖에 없기 때문이다. 사이버보안에 대한 위협이 일반 산업계는 물론 국가 핵심 기반 시설까지 확대되고 있는 현실에서 안전성이 가장 우선시되는 원전의 핵심 제어계통인 원전 디지털 계측제어계통에 대한 사이버보안 활동은 매우 주요하다. 본 논문에서는 원전 디지털 계측제어계통 사이버보안에 활동 수행에 필요한 고려사항들에 대하여 기술한다.

• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.279-287
• /
• 2022

최근 사이버 위협이 고도화되고 해킹기술이 발달함에 따라 자동차, 선박 등 다양한 분야에서 사이버보안이 강조되고 있다. 이러한 추세에 따라 여러 산업 분야에서 기자재 및 시스템에 대한 사이버보안을 요구하고 있으며, 이에 관련된 인증 및 제도가 구체화 되고 있다. 본 논문에서는 산업 분야의 사이버보안 형식승인이 RMF와 같이 명시적으로 개발 단계별로 구분하지는 않으나, 시스템 개발 전주기에 사이버보안 요소가 반영되어야 한다는 공통요소가 있다는 전제하에 RMF와 비교하였다. 비교 대상으로 해상 사이버보안 형식승인을 선정하였으며, 이는 공식적인 사이버보안 형식승인의 예로 국내 유일의 국제 선박검사 기관인 한국선급의 형식승인을 예로 비교한 것이지 산업 분야의 사이버보안 형식승인을 대표한다는 의미는 아니다. 비교 결과 해상 사이버보안 형식승인 획득 절차는 RMF와 같이 개발 단계별로 구분하지 않지만, RMF와 같이 개발 전단계에 대해 사이버보안 요소 적용해야 하는 절차상의 공통점과 단계별 결과물에 대한 유사성을 확인하였다. 이에 따라 해상 사이버보안 형식승인 획득과정을 통해 개발된 시스템은 개발 전주기에 사이버보안 요소가 적용되었다고 판단할 수 있는 가능성을 확인하였다.

• 한국전자거래학회지
• /
• 제23권4호
• /
• pp.87-107
• /
• 2018

세계 금융 및 사이버보안 중심지인 미국에서 최초로 제정된 금융부문 사이버보안 규제인 '뉴욕 주 금융 사이버보안 규정(23 NYCRR 500)'이 2017년 3월 뉴욕에서 시행되었다. 기존의 금융 정보보안 법률과 달리 23 NYCRR 500은 위험평가 기반 정책수립, 비공개 데이터의 보안 강화, 정보보안 최고 책임자(CISO) 지명, 내부위험요소 제거, 연간보고 의무 등을 규정함으로써 뉴욕 내 영업활동을 하는 은행, 보험회사 등 모든 금융기관들은 내 외부 위협으로 부터의 안정성을 입증해야 할 책임이 강화되었다. 본 논문은 뉴욕의 새로운 금융 사이버보안 규정과 기존 미국 금융 법률체제를 분석하고 국내 금융부문 사이버보안 규제(전자금융거래법 및 전자금융감독규정)와의 비교분석을 통해 국내 금융서비스 산업의 국제경쟁력 강화를 위한 금융부문 사이버보안 규제 개선 방안을 제시한다.

• 한국항해항만학회:학술대회논문집
• /
• 한국항해항만학회 2022년도 추계학술대회
• /
• pp.396-397
• /
• 2022

IMO는 해상사이버보안 관리기준을 제정하여 2021년부터 ISM code에 따른 선박안전관리 지침 상 사이버보안 관리방안의 반영을 권고하였다. 이에 따라 선박에 대한 사이버보안 관리지침 또는 계획서 등이 선박회사별로 개발되어 적용되어 오고 있으나 명확한 법적 근거 및 표준이 부재하여 선박회사별 차이가 발생하고 있다. 본 연구는 국내 선사들의 사이버보안 계획서를 BIMCO, NIST 등의 Guideline과 Framework 기반으로 비교하여 선사별 사이버보안 대응을 위한 선내조직 및 역할과 책임, 비상 시 대응방안을 비교하였다. 비교 결과를 기반으로 차이점과 개선점 식별을 통해 실효성 있는 사이버보안계획서 수립 및 대응조직 구성 방안제시를 연구목적으로 설정하여 수행하였다.

• 정보보호학회지
• /
• 제22권2호
• /
• pp.7-14
• /
• 2012

사이버보안 위협의 양상이 점차 세계화되고 피해의 규모가 날로 심각해지고 있어, 한 지역이나 한 국가만의 노력으로는 사이버공간의 안전성을 보장하기에는 한계가 있다. 이러한 사이버 공간에서의 보안 문제 해결을 위한 국제적인 공조 대응 노력의 일환으로 사이버보안 정보공유 기술이 등장하였다, 본 고에서는 사이버보안 정보교환 기술의 개발 동향에 대해 간단히 소개하고, 국제표준화단체인 ITU-T SG17을 중심으로 사이버보안 정보 교환 기술에 대한 국제 표준화 동향을 살펴본다.

• 한국재난정보학회 논문집
• /
• 제17권2호
• /
• pp.375-390
• /
• 2021

연구목적: 사이버보안 침해사고의 대부분은 중소기업에서 발생하고 있는데, 기존 사이버보안 프레임워크(Framework)와 인증체계 등은 주로 금융권이나 대기업에 초점이 맞추어져 있어 정보보안 예산과 인력이 부족한 중소기업이 활용하기에는 어려움이 많아 중소기업이 자율적으로 사이버위험관리를 할 수 있는 방안을 마련할 필요가 있다. 연구방법: 사이버보안 시장, 금융기관 사이버보안 항목, 사이버보안 프레임워크 비교, 언론에 보도된 사이버보안사고 등을 통해 사이버보안에 중요한 항목을 도출하고 이를 AHP 분석을 통하여 그 중요도를 분석하고, 손해보험사의 사이버보안 항목을 조사·비교 하였다. 연구결과: 주요한 사이버사고 원인 20가지에 대한 중소기업의 사이버위험관리 방안을 제시하였다. 결론: 본 연구에서 도출된 국내 중소기업의 사이버보안 위험평가방안이 향후 중소기업이 사이버보험 가입 시 그 기업의 위험평가에 도움이 되길 바라고 사이버 위험평가도 ERM 규격화의 한 부분에 포함되기를 희망해 본다.

• 정보보호학회지
• /
• 제27권2호
• /
• pp.57-68
• /
• 2017

원자력시설에 대한 사이버보안 위협이 증가됨에 따라 "원자력시설 등의 방호 및 방사능 방재 대책법"에 의거 원자력통제기술원은 사이버보안 이행에 관한 세부 기준을 제시하는 KINAC/RS-015 "원자력시설 등의 컴퓨터 및 정보시스템 보안기술기준"을 마련하고 원자력 사업자로 하여금 사이버보안계획(CSP)을 이행토록 하였다. 따라서 원자력사업자는 사이버공격으로부터 필수디지털자산(CDA)을 보호하기 위해 운영적 관리적 기술적 사이버 보안조치를 적용 및 이행하여야 한다. 본 논문에서는 원자력시설의 최상위 설계요건인 안전성 및 신뢰성 확보를 위해 사이버보안 기술을 적용하는데 많은 어려움이 따르는 기술적 보안조치인 접근통제, 감사 및 책임, 시스템 및 통신의 보호, 식별 및 인증, 시스템 보안강화에 대한 이행방안을 살펴보고자 한다.