• 정보보호뉴스
• /
• s.127
• /
• pp.12-16
• /
• 2008

지금까지 기업 정보보호를 위해 우수사례를 소개하는 기회는 많았던 반면 공통된 문제 즉, 기업 정보보호에 있어 각 기업이 공통적으로 안고 있는 문제점을 공유하는 기회는 상대적으로 적었다. 이런 상황에서 KISA가 기업 및 기관을 대상으로 실시해 왔던 정보보호관리 체계 인증심사 및 사후관리 심사를 통해 기업들에게서 발견되는 문제점 발생빈도를 수치화해 '보안관리 취약점 Top 10'을 선정했다. 각 기업에게서 공통적으로 발견된 취약점에는 어떤 것들이 있었을까.

• Review of KIISC
• /
• v.21 no.5
• /
• pp.27-36
• /
• 2011

국내 주요기업(83개)의 개인정보보호책임자를 대상으로 조사한 결과 1백만명 이상의 개인정보를 수집하고 있는 기업이 61.4%(08년 기준)나 되고 국내 개인정보 침해건수는 2005년 18,000여건이던 건수가 급격하게 증가하여 2008년에는 39,000여건에 이르고 있다. 국민들이 개인정보를 안전하게 관리하는 기업을 손쉽게 식별할 수 있는 기준이나 정보가 미흡한 실정이며, 기업 스스로가 개인정보 침해사고를 사전에 방지하고 개인정보를 안전하게 관리할 수 있는 개인정보보호 체계의 필요성이 절실한 시기이다. 이에 본고에서는 국내 외(개인)정보보호관리체계 동향을 비교 분석하고 국내 환경에 적합하도록 개인정보보호에 특화된 개인정보보호관리체계 인증제도를 소개하고 구축에 필요한 방법을 선구축한 기업의 입장에서 살펴보고자 한다.

• Review of KIISC
• /
• v.14 no.5
• /
• pp.32-43
• /
• 2004

인터넷에 산재한 id와 개인정보들은 적절한 관리와 보호를 필요로 한다. 인터넷 ID 관리 서비스는 가입자의 id와 개인정보를 관리해 주는 서비스이다. 가입자는 인터넷 ID 관리 서비스에 가입해 id와 개인정보를 등록하면, 이 id로 한번의 로그인 만으로 모든 가맹 웹사이트를 이용할 수 있고, 개인정보의 활용에 대한 통제도 할 수 있다. 인터넷 ID 관리 서비스가 도입되면 인터넷 이용이 편리해지고 id 도용을 크게 줄이며, 개인정보 보호를 강화할 수 있다. 해외에서도 ID 관리 분야에 대한 기술 개발과 표준화, 실환경 도입이 활발히 진행되고 있다. ETRI에서는 Liberty 규격을 준용한 인터넷 ID 관리 서비스 시스템을 개발 중에 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2017.04a
• /
• pp.227-229
• /
• 2017

ICT산업의 발전과 전자상거래의 대중화에 따라 정보시스템에 대한 지능 고도화 된 사이버위협이 증가되고 있고, 개인 및 기업정보 유출의 피해규모가 커짐에 따라 정보보호의 중요성이 한층 더 부각되고 있다. 이미 세계 각국에서는 ISO27001, BS10012 등 정보보호 관리 제도를 구축하여 운영하고 있다. 이에 국내에서도 미래창조과학부 주관 정보보호 관리체계(ISMS:Information Security Management System) 인증제도를 비롯한 정보보호 제도를 구축하여 기업 정보자산의 안전과 신뢰성 향상 등의 목적으로 자율과 의무 대상을 구분하여 운영하고 있다. 하지만 기업의 규모와 환경, 매출 등에 따라 형평성 있게 구분하지 않은 현재의 정보보호 관리체계 인증제도에는 여러 모순이 존재한다. 통제항목을 비롯한 세부점검항목을 인증 기업을 대상으로 모두 공통으로 적용하기 때문이다. 본 논문에서는 정보 보호 관리체계 인증제도와 유사 인증체계를 비교하여 인증기준 항목을 기업의 규모와 특성에 따라 유형별로 구분하여 적용하는 방안을 연구하였다.

• Review of KIISC
• /
• v.12 no.5
• /
• pp.27-35
• /
• 2002

어플리케이션이나 서비스에서 요구하는 인증, 인가, 감사, 암호화 등의 어플리케이션 정보보호 분야의 현재와 미래의 요구사항을 분석하고 이러한 요구사항에 대응하는 솔루션으로 ETRI에서 개발 중인 통합 어플리케이션 정보보호 기반구조를 소개한다. 어플리케이션 환경을 현재의 현황과 앞으로의 추세를 고려하여 인터넷 서비스 환경, 어플리케이션 통합으로 나누어 분석하여 현재 정보보호의 문제점과 이에 따라 새롭게 요구되는 정보보호서비스를 도출한다. 또한 다양한 정보보호 서비스들의 통합관리의 필요성과 이에 따른 요구사항을 분석한다. 새로운 정보보호 서비스의 제공과 기존 정보보호 솔루션의 통합 및 연동, 관리 요구 사항을 만족시키기 위한 기반구조인 통합 어플리케이션 정보보호 기반구조의 개념과 구조를 소개한다.

• Review of KIISC
• /
• v.23 no.5
• /
• pp.5-8
• /
• 2013

모바일, 클라우드, BYOD 등 새로운 IT 환경으로의 변화로 인해 기존의 정보보호 접근방법의 효과성에 대해 의문이 대두되고 있다. 침입차단시스템, 안티 바이러스 등 알려진 침입패턴에 근거한 기술적 대책 중심의 접근방법으로는 복잡하고 지능화되어가는 최근의 공격에 효과적으로 대응하기에는 태생적 한계를 가지고 있다. 또한 가중되는 보안대책으로 인해 창의적인 업무 수행을 방해하고 사용자의 자율성을 감소시키는 부작용도 초래하고 있다. 따라서 새로운 환경변화에 효과적으로 대처하고 지속가능한 정보보호관리 프로그램을 수립하기 위해서는 새로운 패러다임의 도입이 필요하다고 할 수 있다. 본 고에서는 가트너에서 제시한 일련의 혁신적인 정보보호 접근방법을 소개함으로써 새로운 패러다임을 제시하고 이에 기반한 새로운 정보보호관리 프로그램 구성요소와 이의 구현을 위한 로드맵을 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2005.11a
• /
• pp.1019-1022
• /
• 2005

본 연구는 기업이 경영혁신 방침으로 Six Sigma 추진시 정보보호영역에서의 과제선정에 대한 기준을 제시한다. 기업은 윤리경영을 기초로 사업과 서비스를 통한 수익창출을 목적으로 한다. 기업은 안정적인 사업, 서비스의 정보환경을 확보,유지하기 위해 지속적인 보안활동을 통하여 Risk 를 줄이는 작업을 해오고 있다. 기업의 정보보호 활동과 패턴은 초기의 정보보호 기본기능을 도입, 구축하는 단계에서 탈피하여, 점진적으로 종합적인 관리체계로 수렴되고 있으며 산출되는 관련 정보와 Data 의 정규화를 기초로 정량적으로 관리가 이루어 지는 시점에 와 있다. 그러나, 정보보호 침해사고 예방 및 대응활동, 예측 불허한 상황에서 발생되는 보안사고, 책임문제의 발생, 정성적으로 관리되는 상황 등은 정보보호 영역의 Six Sigma 추진시 과제선정의 어려움으로 작용한다. 정보보호 영역에서 Six Sigma 과제 선정은 일반적인 Six Sigma 과제 선정과는 다르게 정보보호 특성을 고려하여 선정하여 추진하는 것이 바람직하다. 정보보호 활동에 대한 기업의 투자효과도 비재무적 성과외에 경제적 가치요소를 기초로 재무적 성과를 산출하고, 관리하여야 한다. 국내 기업들이 Six Sigma 를 경영혁신 기법으로 확대 적용하고 있는 상황에서 정보보호 영역의 Six Sigma 과제선정에 대한 제안을 통하여 정량적 목표수준 관리에 의한 성공적인 Six Sigma 성과를 달성할 수 있도록 함에 있다.

• Convergence Security Journal
• /
• v.6 no.3
• /
• pp.135-144
• /
• 2006

Until now, most of the evaluation systems have performed evaluation with an emphasis on in-formation security products. However, evaluating information security level for an enterprise needs analysis of the whole enterprise organization, and a synthetic and systematic evaluation system based on it. In this study we subdivided the information security elements of the whole enterprise such as planning, environment, support, technology, and management; developed indices based on them; finally, made the information security level of the whole enterprise organization possible to be measured. And we tried to grasp the information security level of the whole enterprise organization and develop an evaluation system of information security level for suggesting a more developing direction of information security.

• Review of KIISC
• /
• v.1 no.1
• /
• pp.124-129
• /
• 1991

정보 보안의 요소는 인가되지 않은 사람이 시스템에 액세스(Access)하거나 인가없 이 사용하는 것을 방지하는 액세스 통제이다. 이를 위해서 정보의 기밀정도에 따라 보호정 도를 결정하는 기밀등급분류가 이루어져 정보를 선택관리하는체계가 이루어 져야한다. 정 보를 선택관리하기 위해서는 보호할 만한 정보를 식별하고, 식별된 중요정보를 어떤 방법 으로 유지, 관리, 이용할 것인지를 규정하는 것이 필요하다. 본 논문에서는 정보 기밀등급 의 체계적인 분류방법에 대해 살펴보기로 한다.

• Proceedings of the Korea Technology Innovation Society Conference
• /
• 2005.10a
• /
• pp.282-295
• /
• 2005

본 연구는 기업이 정보보호 투자 시 필요로 하는 경제성 평가의 접근방법을 제시한다. 기업은 윤리경영을 기초로 사업과 서비스를 통한 수익창출을 목표로 한다. 그리고 기업은 안정적인 사업, 서비스의 정보환경을 확보, 유지하기 위해 지속적인 정보보호 활동을 통하여 Risk를 줄이는 작업을 해 오고 있다. 기업의 정보보호 활동과 패턴은 초기의 정보보호 기본기능을 도입, 구축하는 단계에서 탈피하여 점진적으로 종합적인 관리체계로 발전되고 있으며 이와 병행하여 산출되는 정보와 정규화 되는 Data를 기초로 정량적인 관리가 이루어 지 는 시점에 와 있다. 기업의 정보보호 투자에 대한 경제적인 효과를 체계적으로 평가하고 관리하는 활동은 아직도 초기단계에 머무르고 있다. 그러므로 기업이 정보보호 투자 시 발생되는 피해비용의 감소와 사업 및 서비스 등에서 예측되는 경제가치 창출에 대한 기대효과의 정량적인 관리를 통해 투자의 기준을 제시하여 기업에서 효과적인 정보보호 투자가 이루어지도록 함에 있다.