• 정보보호학회논문지
• /
• 제22권2호
• /
• pp.379-390
• /
• 2012

본 연구는 2008년부터 2011년까지 행정안전부에서 시행하고 있는 공공기관의 개인정보보호 수준진단 지표의 정책적 의미를 고찰하고, 각 지표의 중요도 선정에 따른 개인정보보호의 정책적 문제를 다루었다. 우선, 개인정보보호수준진단 지표를 선정하기 위해 개인정보보호에 대한 정책 방향을 개인정보보호의 정책 및 기술적 측면, 개인정보의 관리적 측면, 개인정보 침해 대응적 측면인 세 분야로 구분하였다. 그리고, 각 정책방향에 따라 선정된 지표의 세부사항에 대해 학자, 전문가, 실무자를 대상으로 AHP 조사를 실시하여 우선적으로 추진해야 할 정책을 정하도록 하였다. AHP를 통해 개인정보보호 수준 진단 지표의 중요도를 도출하였으며, 개인정보보호정책의 일반적인 체계를 갖추기위해 필요한 정책과제를 도출하였다. 결과적으로 공공기관의 개인정보보호의 제도적 기반 확충을 위해서는 웹사이트상의 개인정보관리, 개인정보보호를 위한 전담 조직 및 인력, 그리고 개인정보보호시스템 도입 등이 우선 시 된다. 본 연구의 정책과제를 기초로 공공기관의 개인정보보호 수준진단 체계가 지속된다면 개인정보를 취급하는 공공기관에 대한 국민의 신뢰가 높아지고, 개인정보의 안전한 유통 및 가치가 향상되리라 기대한다.

• 디지털산업정보학회논문지
• /
• 제10권4호
• /
• pp.97-107
• /
• 2014

The development of ICT has led positive aspects such as popularization of Internet. It, on the other hand, is causing a negative aspect, Cyber Terror. Although the causes for recent and continuous increase of cyber security incidents are various such as lack of technical and institutional security measure, the main cause which threatens the cyber security is the users' lack of awareness and attitude. The purpose of this study is the positive analysis of how the personal and job characteristics influence the cyber security training participation rate and the response ability to cyber terror response training with a sample case of K-corporation employees. In this paper, the relationship among career, gender, department, whether he/she is a cyber security specialist, whether he/she is a regular employee), "ratio of cyber security training courses during recent three years", "ratio that he/she has opened the malicious email in cyber terror response training during recent three years", "response index of virus active-x installation (higher index means poorer response)" is closely examined. Moreover, based on the examination result, the practical and political implications regarding K-corporation's cyber security courses and cyber terror response training are studied.

• 디지털산업정보학회논문지
• /
• 제12권3호
• /
• pp.87-109
• /
• 2016

This study intends to present an effective and efficient development plan about the information protection of medical institutions, by establishing the improvement plan about Personal Information Management System(PIMS) appropriate to the characteristics of medical information focusing on medical institutions generating and using domestic medical information, and doing an empirical study on medical information protection plan. For this, in view of the medical characteristics of the existing Information Security Management System(ISMS), the study presented a study model appropriated to medical institutions based on Personal Information Management Systems index specialized for personal information, and through this, presented the vulnerability diagnosis and vulnerability improvement plan. Based on ISMS index, it designed an improvement index of personal information protection management about each index. The study conducted a survey for executives and employees about PIMS. Accordingly, it presented vulnerability diagnosis items of the current management system indexes from the viewpoint of the people who establish and mange the personal information protection about patients' medical information targeting executives and employees who serve at hospitals and can access medical information.

• 컴퓨터교육학회논문지
• /
• 제15권2호
• /
• pp.75-81
• /
• 2012

인터넷 이용자수의 증가에 비례하여 개인정보의 노출 또는 유출로 인한 개인정보 침해사고가 많아지고 있으며, 침해사고로 인한 정신적 피해와 함께 금전적 피해 등을 입는 경우도 증가하고 있다. 개인정보 노출 및 유출은 담당자 및 내부직원의 실수 또는 고의로 인해 일어나는 경우가 대부분인데, 이는 정보 보호와 관리, 보안에 대한 정책 결정 및 운영 등을 담당하는 최고 책임자인 개인정보관리책임자 (CPO, Chief Privacy Officer)의 개인정보보호에 대한 인식 부족이 주원인이라고 볼 수 있다. 이에 행정안전부는 측정 지표를 제시하고 세부 항목을 열거하여 점수를 매겨서 합산한 점수가 일정 수준에 도달하는지 여부를 체크할 수 있는 체계를 구축하였다. 하지만 이는 사후 평가 성격이 강하기 때문에 시스템 구축 또는 계획에 적용하지 못한다는 한계가 있으며 평가자가 원하는 집계는 물론이고 항목별 다양성의 표현이 필요하다. 본 논문에서는, 각 기업의 정보보안 취약점을 파악하고 보안의 방향을 제시할 수 있는 개인정보 영향평가 툴을 제안한다. 본 툴에서는 평가 결과를 방사형 그래프로 제시하고, 세부 항목은 막대그래프로 표시하여 점수와 함께 보여주기 때문에, 기업입장에서는 취약점 파악과 보안의 방향을 파악할 수 있다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권5호
• /
• pp.2674-2697
• /
• 2019

Identity authentication is a crucial line of defense for network security, and passwords are still the mainstream of identity authentication. So far trawling password attacking has been extensively studied, but the research related with personal information is always sporadic. Probabilistic context-free grammar (PCFG) and Markov chain-based models perform greatly well in trawling guessing. In this paper we propose a systematic targeted attacking model based on structure partition and string reorganization by migrating the above two models to targeted attacking, denoted as TG-SPSR. In structure partition phase, besides dividing passwords to basic structure similar to PCFG, we additionally define a trajectory-based keyboard pattern in the basic grammar and introduce index bits to accurately characterize the position of special characters. Moreover, we also construct a BiLSTM recurrent neural network classifier to characterize the behavior of password reuse and modification after defining nine kinds of modification rules. Extensive experimental results indicate that in online attacking, TG-SPSR outperforms traditional trawling attacking algorithms by average about 275%, and respectively outperforms its foremost counterparts, Personal-PCFG, TarGuess-I, by about 70% and 19%; In offline attacking, TG-SPSR outperforms traditional trawling attacking algorithms by average about 90%, outperforms Personal-PCFG and TarGuess-I by 85% and 30%, respectively.

• 대한방사선기술학회지:방사선기술과학
• /
• 제31권4호
• /
• pp.347-353
• /
• 2008

본 연구는 의료기관 PACS 운영 및 영상정보관리 과정에서의 개인정보보호와 보안 관리에 대한 보안평가 기준 및 보안평가에 따른 등급기준을 마련하고자 하였다. 보안평가기준과 보안평가 등급기준의 지표를 도출하기 위해 ISO17799(BS 7799), HIPPA(Health Insurance and Portability and Accountability Act of 1996), 국내 의료법 등을 참조하여 정책적 보안, 기술적 보안, 데이터관리 보안, 물리적 보안 등 4가지 항목을 대분류로 선정 후 10개의 세부 평가항목을 선정하여 점수화 하였다. 도출된 보안평가기준과 보안등급의 지표를 가지고 30곳의 의료기관에서 조사를 시행하였다. 대분류의 평가 요소 중 물리적 보안 항목의 전체 의료기관평균 점수는 20점 만점기준 18.5점(93%)으로 가장 우수한 점수를 나타내었으며, 정책보안항목 30점 기준18.5점(62%), 데이터관리 보안항목 20점 기준 12점(60%), 기술적 보안항목 30점 기준 17.5점(58%) 순임을 알 수 있었다. 30개 종합병원의 보안평가 점수는 평균 67점으로 4등급 수준을 나타내었다. PACS환경에서 취약한 개인정보보호 및 보안의식에 대한 관리기준 수립이 필요하다.

• 정보보호학회논문지
• /
• 제26권2호
• /
• pp.501-522
• /
• 2016

디지털시대에 정보는 가치창출의 원천이다. 지식 및 정보의 중요성이 높아지는 만큼 관련된 위험 및 위협 역시 증가하는 추세다. 정보는 한 번 유출되면 완전한 회수가 힘들고 2차 3차 유포는 쉽기 때문에 위험성이 높다. 특히 개인정보는 활용성이 높기 때문에 주요표적이 된다. 하지만 정보주체는 자신의 정보 활용에 대한 동의는 하지만 제공 후 처리는 모르는 등 온전하게 개인정보자기결정권을 행사하기 힘든 상황이다. 이에 본 논문은 개인정보자기결정권이 올바르게 행사될 수 있도록 프라이버시 리터러시 수준 측정 모델 개발을 목적으로 한다. 정보주체들의 현재 정보보호에 대한 지식수준과 이해의 정도, 실제 적용하는 능력을 파악하기 위하여 프라이버시 리터러시의 개념과 지수를 제시한다. 본 지수를 통하여 정보주체의 선택능력을 강화하고 개인정보의 보호와 활용에 대한 판단 및 결정능력을 증진하고자 한다.

• 정보보호학회논문지
• /
• 제29권3호
• /
• pp.565-577
• /
• 2019

최근에 생체인증은 다양한 분야에 사용되고 있다. 생체정보는 변경이 불가능하고 다른 개인정보와 달리 폐기할 수 없기 때문에 생체정보 유출에 대한 우려가 커지고 있다. 최근 Jin et al.은 지문 템플릿을 보호하기 위해 IoM(Index-of-Max) 해싱이라는 폐기가능한 생체인증 방법을 제안했다. Jin et al.은 Gaussian random projection 기반과 Uniformly random permutation 기반의 두 가지 방법을 구현하였다. 제안된 방법은 높은 매칭 정확도를 제공하고 프라이버시 공격에 강력함을 보여주며 폐기가능한 생체인증의 요건을 만족함을 보여주었다. 그러나 Jin et al.은 다른 생체정보에 대한 인증(예: 정맥, 홍채 등)에 대한 실험 결과를 제공하지는 않았다. 본 논문에서는 Jin et al.의 방법을 적용하여 홍채 템플릿을 보호하는 방법을 제안한다. 실험 결과는 이전의 폐기가능한 홍채인증 방법과 비교했을 때 더 높은 정확도를 보여주며 보안 및 프라이버시 공격에 강력함을 보여준다.

• 정보보호학회논문지
• /
• 제28권1호
• /
• pp.215-227
• /
• 2018

한국은 단기간에 IT강국으로 급성장함에 따라 사이버 폭력, 개인정보 유출, 사이버 테러 등 사이버상의 각종 부작용이 새로운 사회적 문제로 대두되고 있다. 특히 안전한 사이버 생활의 기본이 되는 개인정보 유출에 대한 심각성은 전 세계적으로 심각한 문제로 부각되고 있다. 이와 관련하여 개인정보 유출에 따른 피해비용 규모의 추정이 필요한데 이와 관련한 연구는 국내에서는 아직 미흡한 상황이다. 이에 본 연구에서는 개인정보 유출에 따른 피해비용 산출 모델을 실거래 평균값 기반, 개인 인식 가치 기반, 보상금액 기반, 타 국가 기반의 네 가지 방식을 제시한다. 그리고, 2007년부터 2016년까지의 뉴스와 보고서 등의 자료를 분석하여 10년간의 개인정보 유출사건을 수집하여 피해비용을 추정하였다. 추정에 활용한 사건의 수는 65건이고 총 개인정보 유출 건수는 약 4억 3천만 건에 이른다. 추정결과 2016년의 개인정보 유출로 인한 피해비용은 최소 74억에서 최대 220조로 추산되었으며 10개년도 평균은 연간 약 107억에서 307조로 추산 되었다. 또한 개인정보 유출로 인한 추정 피해액이 3년 주기로 상승하는 특이점을 발견할 수 있었다. 앞으로 본 연구를 통해 개인정보 유출로 인한 피해비용을 조금 더 정확하게 측정할 수 있는 지표를 마련하고 그 피해비용을 줄일 수 있는 방안 마련의 지표로 사용되기를 기대한다.

• International Journal of Computer Science & Network Security
• /
• 제23권11호
• /
• pp.190-194
• /
• 2023

By looking the importance of communication, data delivery and access in various sectors including governmental, business and individual for any kind of data, it becomes mandatory to identify faults and flaws during cyber communication. To protect personal, governmental and business data from being misused from numerous advanced attacks, there is the need of cyber security. The information security provides massive protection to both the host machine as well as network. The learning methods are used for analyzing as well as preventing various attacks. Machine learning is one of the branch of Artificial Intelligence that plays a potential learning techniques to detect the cyber-attacks. In the proposed methodology, the Decision Tree (DT) which is also a kind of supervised learning model, is combined with the different cross-validation method to determine the accuracy and the execution time to identify the cyber-attacks from a very recent dataset of different network attack activities of network traffic in the UNSW-NB15 dataset. It is a hybrid method in which different types of attributes including Gini Index and Entropy of DT model has been implemented separately to identify the most accurate procedure to detect intrusion with respect to the execution time. The different DT methodologies including DT using Gini Index, DT using train-split method and DT using information entropy along with their respective subdivision such as using K-Fold validation, using Stratified K-Fold validation are implemented.