• 융합보안논문지
• /
• 제15권3_1호
• /
• pp.107-114
• /
• 2015

2002년부터 시행해온 국내 정보보호 관리체계(ISMS) 인증 제도는 그간 정보통신서비스제공 기업의 지속적인 정보보호 수준을 제고하고 침해사고시 피해확산 방지와 신속한 대응 등 많은 성과가 있어온 것은 사실이다. 그러나 이러한 정보보호 관리체계 구축이 실제 정보보호에 대한 투자 일환으로 기업성과에 얼마나 영향을 미쳐왔는지는 아직까지 측정 지표나 방법에 대해 부족한 실정이다. 본 연구에서는 실제로 이러한 ISMS 인증이 기업의 성과에 얼마나 영향을 미치는 지를 실제 인증 취득기업을 대상으로 성과 평가 모델과 지표 개발하고 실증 사례 분석을 통해 유효성을 검증하였다. ISMS 인증 취득 기업을 대상으로 설문조사를 통해 경제적 효과성에 대해 정확한 평가를 함으로써 궁극적으로 조직의 정보보호 목적을 달성하도록 하고자 하였다. 또한 ISMS 자체가 정보보호 수준을 한단계 높이는 실효적인 인증 시스템이 되도록하여 보안 사고를 사전에 예방하고 기업성과를 향상시키는데 도움을 주고자 한다.

• 경영정보학연구
• /
• 제20권3호
• /
• pp.51-71
• /
• 2018

많은 정보보호 분야 연구들은 인식을 높여야 할 필요성을 밝히고 있다. 그러나 정보보호에 대한 인식이 상당한 수준으로 높아졌음에도 실제 보호행동은 최근까지 그에 미치지 못하고 있다. 이에 인식수준과는 별개로 정보보호 의사결정에 심리적 요인이 작용할 것으로 가정하고 정보보호에 대한 인식에 차이가 없는 실험상황에서 심리적 거리감과 낙관편향에 따른 차이를 확인하고 정보보호 행동에 대한 영향을 확인하고자 하였다. 연구결과 모바일 기기 사용자의 확률적 거리감에 따라 정보보호 위험의 지각에 차이가 있었으며, 사회적 거리감에 따라 상대적 낙관성의 정도에 차이가 있었다. 이를 바탕으로 상대적 낙관성을 개념화하고 정보보호 행동의도와의 관계를 분석한 결과 자신과 가까운 사람과 비교해 더 낙관적이라 생각했을 때 정보보호 위험의 수준을 낮게 평가하고 확률적 거리감에 따라 영향력이 달라짐을 확인했다. 본 연구는 방법론적 측면에서 의미 있는 시도를 하였고, 정보보호와 관련한 행동에 있어 심리적 요인을 고려함으로써 실질적 위험지각에 영향을 미치는 상대적 낙관성의 범위를 좁혔다는 데 의의가 있다. 정보보호를 위한 의사결정 과정에 다각도로 접근할 필요성을 실증적으로 규명함으로써 궁극적으로 정보기술 사용자의 정보보호 수준 향상과 정보자산의 보호에 기여할 것으로 기대한다.

• 한국산학기술학회:학술대회논문집
• /
• 한국산학기술학회 2006년도 춘계학술발표논문집
• /
• pp.123-127
• /
• 2006

정보기술의 발달 및 정보화의 촉진으로 인해 IT 시스템의 복잡도는 급격히 증가하고 있으며, 이에 따라 정보보호제품을 설치 운영함으로써 보안목적을 달성하는 과거의 보안정책은 한계에 도달하였다고 할 수 있다. 대부분의 IT 시스템 사용자들은 해당 IT 시스템의 보안대책에 대한 신뢰가 적절한 수준인지 판단할 수 있기를 원하고 있으며, 또한 이러한 수준이 지속적으로 유지되기를 바라고 있다. 보안수준을 유지하기 위해서는 지속적으로 해당 시스템의 보안수준을 확인하여야 하는데, 이러한 확인 및 판단의 근거를 제공하는 가장 기본적이고 전통적인 방법은 보안수준에 대한 평가이다. 본 논문에서는 IT 시스템의 보안수준을 유지하기 위한 보안수준관리의 필요성과, 이를 위해 보안수준 확인이 필요한 평가 대상항목을 식별하고자 한다.

• 한국컴퓨터산업학회논문지
• /
• 제3권12호
• /
• pp.1691-1696
• /
• 2002

EC환경 변화에 대응하기 위한 정보보호 요인은 인터넷 사이버몰 구축과 소비자 보호 규정, 개인정보 보호 및 시스템 보안에 대한 규정이 중요요인으로 제시되었다. 심사기준과 함께 심사방법도 중요요인으로 도출되었으며, 인터넷 사이버몰 평가에 대한 소비자의 관심을 유발시켜 소비자 권익보호에도 기여할 것으로 사료된다. 또한 전자상거래에 대한 기술수준, 기술의 연구 개발, 개발된 기술의 실용화 등도 상당히 의미있는 요인으로 제시되었다.

• 정보보호학회논문지
• /
• 제14권2호
• /
• pp.101-111
• /
• 2004

ISP 네트워크의 보안수준 진단과 대응방안을 수립하기 위해서는 네트워크상의 정보자산에 대한 취약점과 위협 요인을 식별하고, 피해 발생시 예상되는 손실의 정도를 산정하는 위험분석 절차가 필수적이다. 하지만, 기존의 위험분석 방법론 및 도구들은 대부분 방법론적 분석절차와 수단만을 제공하며, 개별 시스템의 취약점 및 위협요인의 변동정보를 실시간으로 반영할 수가 없다. 따라서. 본 논문에서는 네트워크 침입탐지 시스템과 취약점 분석 시스템의 탐지 정보들을 실시간으로 수집, 분석하여 네트워크 자산에 발생할 수 있는 위험의 가능성을 찾아내고, 정량적인 위험수준을 평가하는 시스템을 제안한다. 또한, 실험을 통해 시스템의 성능수준을 제시하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.1677-1680
• /
• 2003

기존의 보안 관리 수준을 측정하기 위한 방법들이 다양하지만 IT 자산을 중심으로 한 평가만이 이루어지고 있는 관계로 조직 전반에 걸친 분석이 이루어지지 못했다. 따라서 본 논문에서는 보안 관리 수준 점검을 손쉽게 할 수 있도록 웹 기반 보안 관리 수준 분석 도구에 대해 제시한다. 본 도구의 경우는 전사적 정보 보호 관리 방법론인 BS7799의 보안통제 항목들을 기반으로 설문 내용을 구성하였다.

• 한국컴퓨터정보학회논문지
• /
• 제15권11호
• /
• pp.143-156
• /
• 2010

근거리통신망과 인터넷으로부터 유입되는 정보보호 위협이 증가하는 상황에 대처하기 위하여, 많은 기업들이 정보보호 시스템 구축을 고려하고 있다. 기업 내 의사결정자의 정보보호 도구 선택을 지원하기 위하여, 본 논문은 선형퍼지회귀분석 및 physical programming을 이용하는 세 가지 단계로 구성된 통합 프레임워크를 제안하였다. 첫째, 정보보호도구 선정 기준 및 평가 기준에 대한 전문가들의 상대평가 의견을 바탕으로, 각 정보보호 기준들 간의 관계를 정량화시키기 위하여 analytic hierarchy process 및 quality function deployment 방법을 적용하였다. 그리고, 선형퍼지회귀분석법을 활용하여 각 기준별 평가값을 산출하였다. 마지막으로, 정보보호 시스템의 품질, 정보보호 수준, 비용 등의 다수 목적함수를 효과적으로 고려하기 위하여, physical programming weights 알고리즘을 통하여 도출된 가중치에 기반한 목표계획법을 활용하여 가장 적절한 정보보호 도구를 선정하였다. 이와 같은 과정은 구체적인 예제를 통해 단계별로 설명하고 그 장점을 가시적으로 제시하였다. 본 연구에서 제안한 방법은 전문가 제공 정보에서 발생 가능한 노이즈를 효과적으로 제거함으로써, 전문가의 경험을 통한 표준 정보보호 기준의 확보와 수학적 최적화 방법을 통한 정확성 확보의 장점을 의사결정자에게 제공할 것으로 기대된다.

• 디지털콘텐츠학회 논문지
• /
• 제15권1호
• /
• pp.121-128
• /
• 2014

SSE-CMM은 보안엔지니어링을 공학, 보증, 위험 프로세스의 3가지 요소로 나누고 있으며 정보보호 성숙도 평가 모델과 수준을 제시하고 있다. 정보보호 성숙도 측정은 취약점 진단, 위험분석 방법론을 실무 현장에서 사용할 수 있도록 종합적으로 결론을 제시한다. 사이버거래의 일반적인 서비스는 인터넷 뱅킹, 모바일 뱅킹, 텔레뱅킹 등이다. 사이버거래 처리구조의 한 종류인 뱅킹시스템 정보보호 성숙도 측정방법론 연구 목적은 기존의 취약점 진단, 위험분석 방법론을 실무현장에서 사용할 수 있도록 종합적 결론을 제시한다. 안전성과 편리성을 확보하여 이용자들이 사이버 거래를 편리하게 이용할 수 있는 환경을 구축하는 것이 사이버 거래 활성화의 핵심이다. 특히 업무현장에서 정보보호 성숙도 측정을 통한 사이버뱅킹시스템의 안전성을 확보한다면 현장의 실무처리 결과로 많은 효과가 나타날 것으로 기대한다.

• 정보보호학회논문지
• /
• 제25권6호
• /
• pp.1595-1606
• /
• 2015

위험분석은 위험을 허용 가능한 수준으로 관리하기 위한 방안을 수립하는 데 활용된다. 이러한 위험관리 의사결정에 있어서 위험의 시각화는 중요하다. 그러나 기존의 위험 시각화 방식은 위험의 요소들을 고려하여 입체적으로 위험을 시각화하는 데 있어서 한계를 지닌다. 본 논문에서는 기밀성, 무결성, 가용성 측면에서 개별적 혹은 종합적으로 위험을 표현할 수 있는 개선된 위험도 3차원 시각화 방법을 제시한다. 제안된 방법을 기업의 위험분석 평가에 적용하여 유효성을 검증한다. 제안된 시각화 방법은 내부통제를 위한 정보보호 의사결정 과정에 효과적으로 활용될 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제16권12호
• /
• pp.285-296
• /
• 2011

UN, OECD, ITU 등 국제기구들은 정기적으로 정보 정책을 수립하고 평가하는데 활용하기 위한 목적으로 정보화 지수를 발표한다. 정보화 지수는 국가의 정보 정책의 수행능력을 평가하고 미래에 진행할 정부의 정보화 프로젝트를 선택하기 위한 기준으로서 활용된다. 정보 시스템이 고도화됨에 따라 이와 더불어 정보보안 역시 그 중요성이 부각되고 있는 실정이고, 이에 따라 국가 정보보호 지수의 산출이 필요하게 되었다. 정보 보안 지수는 특정 그룹의 정보 보안의 특성을 가장 명확하게 표현하는 공식 수치 값이며, 이는 정부의 정보 보안 정책을 결정하는데 이용된다. 국가 정보보호 지수를 산출하는 데에는 현재 설문지 조사방법이 사용되고 있는데, 이 방법으로는 충분한 통계 자료를 확보하기 어려우며 그 자료의 신뢰성 또한 높지 않다는 문제점이 존재한다. 본 연구에서는 이를 해결하기 위해 기존의 설문지 조사방법이 아닌 개별 기업의 정보보호 수준에 관한 원시데이터를 정확하게 수집할 수 있는 새로운 방법을 제시하고, 다음으로 원시데이터를 근간으로 하여 머크로 데이터를 얻어 정책 의사결정을 할 수 있는 OLAP 데이터베이스 시스템을 구축하는 것에 목적을 두고 있다. 현 OLAP 체제에서는 모든 계층구조 스키마가 분배적으로 되는 경우에만 제대로 집계데이터를 구할 수 있기 때문에 본 연구에서는 사례의 비 분배적 계층구조 스키마를 분배적 스키마로 변환하여 국가 정보보호 지수를 산출하는 OLAP 데이터베이스 시스템을 구축하였다. 본 연구에서 제안하는 방법은 구현의 관점과 스키마 설계의 관점에서 볼 때에 유용한 방법이 되리라 생각한다.