金融機關의 情報保護管理體系構築을 위한 모델 硏究

최연석 성균관대학교 정보통신대학원 2004 국내석사

With the advent of an information age ushered in by the development of computer and communications technologies, more diverse and high-tech information services have become available. On the other hand, such modern technologies are also producing adverse effects as they are used for highly sophisticated crimes such as destroying, altering and abusing information. Unlike the conventional crimes, these acts of cyber crime committed via computer networks, often affect the entire society as well as the individuals involved. As information systems are centralized in operators of such major social infrastructures as communications, financial and military centers, and the world is increasingly interconnected via internet, electronic invasions such as hacking, spreading viruses, etc., have emerged as new threats to national security. These threats can result in serious damages or even paralysis of the entire systems affected, and massive economic losses and social turbulence. Information security is no longer a simple IT issue, but it has become a social issue. For financial institutions, in particular, it is one of the key business issues. To address this increasing need for information security, it has become necessary to build the Information Security Management System or ISMS. The government has enacted the Low on Protection of Information and Communications Infrastructure and designated "key information and communications infrastructure facilities". The designated institutions are required to analyze the weakness and problems in their system and construct an appropriate information security management system. The existing specifications and analysis techniques, which are used to construct ISMS, are all standardized to fit all industries. Therefore, they need to be modified to suit the needs of a specific industry and financial industry is a typical example. Much of the current ISMS needs to be modified and improved to cater to the unique characteristics of the financial institutions.

개인정보 보호제도 개선방안에 관한 연구 : 데이터 3법을 중심으로

최광호 동국대학교 2021 국내석사

「개인정보 보호법」 상 데이터 이동권 및 프로파일링 관련 권리의 도입에 대한 연구

임용현 연세대학교 법무대학원 2020 국내석사

「개인정보 보호법」 상 데이터 이동권 및 프로파일링 관련 권리의 도입에 대한 연구 본 논문에서는 4차 산업혁명 및 데이터 경제 시대를 맞아 개인정보 보호와 활용의 조화와 균형이 중요시되는 시점에서 EU GDPR에서 신설한 데이터 이동권과 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리를 우리나라 일반법인 「개인정보 보호법」에 도입하는 것이 적절한지 여부를 검토하였다. 이를 위해 데이터 이동권과 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리의 도입 배경 및 입법 취지를 분석하고 우리나라를 포함한 주요국의 입법례를 비교법적으로 분석한 후 국내 도입방안을 제시하였다. 우리나라를 포함한 주요 국가에서는 데이터 이동권과 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리를 법제화 하려는 노력을 하고 있으며, 데이터 산업 발전과 함께 구체화되는 추세이다. 특히, 우리나라에서는 2020년 1월 개정되어 8월 시행 예정인 「신용정보의 이용 및 보호에 관한 법률」에서 데이터 이동권과 유사한 개인신용정보의 전송요구권, 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리와 유사한 자동화평가 결과에 대한 설명 및 이의제기 등의 권리를 신설하여 도입하였다. 이를 통해 개인정보 보호와 활용의 균형을 도모하는 법제를 마련하였다는 평가와 더불어 개인정보자기결정권의 특성, 권리의 실질적인 보장, 법적 안정성 등을 고려하면 데이터 이동권과 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리를 일반법인 「개인정보 보호법」에 도입해야 한다는 견해가 있다. 살피건대, 데이터 이동으로 인하여 발생할 수 있는 보안상의 문제, 데이터 이동 체계 구축으로 인한 기업의 부담, 우리나라 개인정보 보호 법제 특성 등을 고려하면 데이터 이동권은 우선 개별 분야에 도입한 후 일반법인 「개인정보 보호법」에 도입하는 것을 검토할 필요가 있다. 또한, 프로파일링을 포함한 자동화된 개별 의사결정으로 인하여 발생할 수 있는 정보주체의 권익 침해를 위한 보호 수단 마련도 중요하지만 프로파일링 관련 권리의 도입이 프로파일링 관련 산업이 가져올 사회적, 경제적 이익을 감소시키고 해당 산업 육성을 위축시키는 등 데이터 경제 활성화를 저해할 우려가 있으므로 데이터 이동권과 마찬가지로 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리 역시 우선 개별 분야에 도입한 후 일반법인 「개인정보 보호법」에 도입하는 것을 검토할 필요가 있다. 결국 4차 산업혁명 시대에서 데이터 경제 활성화가 피할 수 없는 시대적 흐름임을 고려하면 정보주체의 권익 보호와 산업 발전의 균형을 추구할 필요가 있으므로 데이터 이동권과 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리를 일반법인 「개인정보 보호법」에 도입하는 것은 신중하게 검토되어야 한다. -------------------------------------------------------------------------------- 핵심되는 말 : EU GDPR, 개인정보 보호법, 신용정보의 이용 및 보호에 관한 법률, 데이터 이동권, 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리, 개인신용정보의 전송요구권, 자동화평가 결과에 대한 설명 및 이의제기 ABSTRACT A study on the introduction of right to data portability and profiling under the “Personal Information Protection Act” Lim, Yong Hyun Dept. of Law The Graduate School Yonsei University In this paper, I reviewed whether it is appropriate to introducing the “Personal Information Protection Act” of EU GDPR's right to data portability and profiling. To this end, I analyzed the background of the introduction of rights, purpose of legislation. Also, I comparatively analyzed legislation in major countries, including Republic of Korea. As a result, Considering the security problems that may occur due to the movement of data, the burden of the company due to the construction of the data movement system, and the characteristics of Korea's personal information protection legislation, It is necessary to introduce the right to data portability into individual fields. And then, It is necessary to consider the introduction of “Personal Information Protection Act”. Also, It is important to prepare a means of protection for the infringement of data subject's interests that may occur due to automated individual decision-making, including profiling. But, There is a concern that the data economy will be disrupted, by reducing the social and economic benefits of profiling-related industries and discouraging the development of those industries. Therefore, It is necessary to introduce the right not to be subject to a decision based solely on automated processing, including profiling, into individual fields. And then, It is necessary to consider the introduction of “Personal Information Protection Act”. In the end, Considering that data economy revitalization is an inevitable trend in the era of the 4th Industrial Revolution, it is necessary to pursue a balance between the protection of data subjects' interests and the industrial development. Therefore, The introduction of each right into the “Personal Information Protection Act” should be carefully considered. -------------------------------------------------------------------------------- Key words : EU GDPR, Personal Information Protection Act, Credit Information Use and Protection Act, Right to data portability, Right not to be subject to a decision based solely on automated processing, including profiling.

조직 정보보호성과에 영향을 미치는 정보보호담당임원의 내·외적 변인

오하경 충북대학교 2019 국내석사

정보보호 침해 사고가 기업의 이미지 훼손과 주가 하락 등을 유발하면서 조직의 리스크로 부상하였다. 기업 환경에서 정보 자산의 가치가 높아짐에 따라 기업은 과거에 비하여 높은 수준의 보안 환경을 추구하게 되었으며 이는 기업이 정보를 보호하고 보안 관리체계를 총괄할 수 있는 담당임원의 필요성을 인지하게 하였다. 이로 인하여 오늘날 등장한 대표적인 직책이 CPO, CIO, CSO, CISO, DPO이다. 정보보호담당임원은 기업의 정보보호 업무뿐만 아니라 기업의 다른 보안 업무까지 책임을 지고 있고, 이들의 의견이나 인식 그리고 역할이 기업이나 기관에서 중요한 비중을 차지하고 있다. 그러나, 정보보호담당임원의 중요성이 높아지고 있음에도 불구하고 그들의 특성과 관련된 연구가 부족한 실정이다. 본 연구에서는 개인내적 특성이 조직 정보보호성과에 미치는 영향과 개인외적 특성이 조직 정보보호성과에 미치는 영향, 개인내적 특성과 조직 정보보호성과의 관계에서 개인외적 특성 미치는 영향을 확인하고자 하였다. 연구수행을 위해 기업의 정보보호담당임원을 대상으로 2018년 8월 30일부터 2018년 11월 24일까지 온라인과 오프라인을 통하여 설문조사를 실시하였으며, 총 133부의 설문을 회수하였다. 이 중 불성실하거나 일관성이 없다고 판단되는 설문지를 제외한 101부의 설문을 분석에 활용하였으며, 사회과학 통계분석도구로 가장 많이 쓰이는 SPSS Statistic 22.0을 사용하여 분석하였다. 선행연구를 바탕으로 가설을 수립하여 검증한 결과는 다음과 같다. 먼저, 개인내적 특성과 조직 정보보호성과의 직접효과를 분석 결과 친화성이 조직 정보보호성과에 정(+)의 영향이 있는 것으로 확인되었다. 두 번째, 개인외적 특성과 조직 정보보호성과의 직접효과를 분석한 결과 기술적 배경지식, 법적 배경지식, 최고경영자와의 관계가 조직 정보보호성과에 정(+)의 영향이 있는 것으로 확인되었다. 세 번째, 개인내적 특성과 개인외적 특성의 직접효과를 분석한 결과 친화성과 성실성은 역할에 정(+)의 영향, 성실성은 기술적 배경지식에 정(+)의 영향, 친화성과 신경성은 법적 배경지식에 정(+)의 영향, 외향성은 최고경영자와의 관계에 정(+)의 영향이 있는 것으로 확인되었다. 마지막으로 개인내적 특성과 조직 정보보호성과에 대해 개인외적 특성의 매개효과를 검증한 결과 친화성과 조직 정보보호성과에 대해 법적 배경지식이 부분 매개하는 것으로 확인되었다. 연구 결과는 조직의 정보보호 목표에 부합하는 정보보호담당임원을 선정하고, 그들에게 권한을 부여함에 있어서 실무적 판단 기준이 될 수 있을 것으로 기대한다. 기업뿐만 아니라 정보보호담당임원 자신도 직무와 관련된 경력 개발을 위해 어떠한 역량에 집중해야하는지 판단할 수 있을 것이다. Infringement of information security has caused the corporate image to be damaged and share price to fall, and it is emerging as an organizational risk. As the value of information assets increases in the corporate environment, companies are seeking a higher level of security than in the past. As a result, companies are aware of the necessity of a person in charge of protecting information and managing security management system. Businesses must mandate information security officers with specialized knowledge of CPO, CIO, CSO, CISO, CPO etc. under various laws. This is because the infringement of information security affects the general citizen as a customer. However, despite the growing importance of information security officers, there is a lack of research on their roles and characteristics. The purpose of this study is to analyze the roles of information security officers in various legal systems and to analyze the impact of internal and external characteristics of information security officer on organizational information security performance. The results of this study can be expected to be a practical criterion for the selection and selection of information security officers who meet the information security objectives of the organization. Not only companies but also information security officers themselves will be able to judge what capabilities they need to focus on career development.

중복성 평가를 통한 개인정보보호 관리체계 인증제도 개선방안

김소라 충북대학교 일반대학원 2016 국내석사

개인정보 침해사고가 잇따르고 그 피해규모가 심각함에 따라 정부에서는 개인정보의 보호를 위하여 다수의 개인정보보호 관련 인증제도를 도입하였다. 그중에서도 개인정보보호 관리체계 인증제도는 개인정보보호 관리체계를 수립하여 운영하는 조직에 대하여 개인정보보호 관리체계 및 그에 따른 개인정보 보호활동에 대해 평가하고 그 적합성을 보증하는 제도이다. 국내에는 개인정보보호 관리체계 인증(이하 PIMS)과 개인정보보호 인증(이하 PIPL)이 있으나, 이 두 제도는 서로 유사한 점이 많아 중복규제라는 문제점이 제기되어 왔다. 이에 2014년 관계부처는 이 두 제도를 통합하기로 결정하였다. 따라서 현 시점에서 두 개인정보보호 관리체계 인증제도 간의 통합을 위한 방향제시가 필요하다. 본 연구에서는 그동안 논란이 되어 온 PIMS와 PIPL 간의 중복성을 규명하기 위하여 두 인증제도 심사기준의 중복성을 평가하였다. 그 결과를 통해 PIMS와 PIPL 간에 중복성이 있음을 확인하고, 개인정보보호 관리체계 인증제도를 개선하기 위한 방안으로 통합 심사기준을 제안하였다. 통합 개인정보보호 관리체계 인증제도의 도입은 인증의 대상이 되는 기업의 혼란을 최소화하고, 효율적이고 실효성 있는 인증제도의 운용을 가능하게 할 것으로 기대되며, 본 연구의 결과는 통합 개인정보보호 관리체계 인증제도의 도입을 위한 심사기준을 마련하는 데에 도움이 될 것으로 생각된다.

금융권 대상 정보보호 관리수준 평가모형 개발

오은 충북대학교 일반대학원 2016 국내석사

3.20 전산 대란, 카드사 고객정보유출사고 등에서 알 수 있듯 보안이 전제되지 않고서는 그 어떤 편의성과 효율성도 담보할 수 없다. 그뿐만 아니라 금융권은 다른 산업보다 고객 이익의 침해 가능성이 커 보안사고 발생 시 이용자의 정신적․금전적 피해가 발생할 수 있으며, 이로 인해 집단 소송, 고객 이탈, 평판 실추, 대외 신뢰도 하락 등으로 이어져 해당 기업의 비즈니스 연속성에도 큰 영향을 미칠 수 있다. 따라서 금융보안 위험에 대한 효과적인 관리가 필요한 실정이다. 본 연구에서는 정보보호 관리 효율성 개선을 위해 국내 대표 정보보호 인증제도인 ISMS, PIMS, PIPL을 통합하였다. 금융 산업의 특성을 반영하기 위해 금융 IT․정보보호 관련 법규인 「전자금융거래법」과 「신용정보의 이용 및 보호에 관한 법률」에서 도출한 신규 통제항목을 정보보호 인증제도 통합모형에 추가하여 금융권 정보보호 관리수준 평가모형 제안하였다. 이 연구 결과는 기존 정보보호 인증제도의 중복 문제를 해결하고 금융기관의 보안사고에 대한 대응능력을 높일 수 있도록 금융 분야에 특화된 정보보호 관리체계의 방향성을 제시하였다는 점에서 의미가 있다. 또한, 제안된 방법론은 각 산업을 위한 체계적, 구체적인 정보보호 관리표준 연구에 활용할 수 있다.

企業의 情報保護水準 測定모델 開發에 關한 硏究

이희명 고려대학교 정보경영공학전문대학원 2008 국내석사

최근 첨단기술과 핵심정보의 불법적인 유출 및 해킹과 바이러스 등으로 인한 피해사례가 계속 증가하고 있으나, 기업에서의 보안사고 방지와 예방체제는 효율적인 대응을 하지 못하고 있는 형편이다. 대기업을 중심으로 한 일부 선진기업에서 회사의 중요한 정보를 보존할 수 있는 안전장치로써 정보보호관리체계를 (ISMS) 도입하여 운영하고 있으나, 아직까지는 정성적인 평가가 많고 보안기준의 강화가 오히려 업무의 효율성을 저하시키는 원인을 제공함으로써, 임직원들로부터 불만을 야기시키기도 한다. 기존의 정보보호수준 진단 및 측정 모델은 주로 ISO 27001에 기반을 둔 정보보호정책과 제도의 수립여부, 또는 IT 분야에 초점을 둔 지표 중심으로 평가를 함으로써 기업의 전반적인 보안수준 평가와 보안사고 예방체제 강화에는 다소 미흡한 점이 많았다. 본 논문에 소개 된 정보보호수준 측정모델은 기존의 정보보호관리체계를 다시 조망하는 한편, 정보보호활동의 성과를 정량적으로 평가하여 각종 보안사고의 예방 및 대응방안 수립에 활용 가능하도록 국내외 사례연구와 실용성에 초점을 맞추어 개발하였다. 특히, 최근 경영관리기법으로 많이 사용되고 있는 BSC(Balanced Scorecard) 기법을 활용한 종합지표구성(기반지표, 이행지표, 결과지표)과 아울러 명확한 관리기준에 근거한 측정을 실시함으로써 실질적인 기업의 정보보호수준 평가가 가능하도록 하였다. Despite the recent growth in size and frequency of damages caused by illegal information breaches, current business counter-measures and precautionary systems are greatly limited. Some major companies have developed Information Security Management Systems (ISMS) to safeguard their vital information; however, such measures are still mostly qualitative assessment tools, and the introduction of rigid security policies may compromise operational efficiency to the dismay of corporate members. Current information security level diagnosis and assessment models are largely based on the ISO27001, designed to determine the formulation of information security policies and institutions and to evaluate indices only focusing on the IT aspect of a company. Such myopic evaluations fail to grasp the holistic corporate security level and reinforce precautionary measures. The information protection level evaluation model introduced in this paper is a reflection of the existing ISMS's, and is a result of numerous domestic and international case studies focused on practicality and quantitative assessment techniques. The result is a pragmatic evaluative tool that can be utilized to devise effective corporate information security precautionary measures and countermeasures. In particular, this study was based on the widely used managerial tool, the BSC(Balanced ScoreCard) method, to compose a comprehensive index (fundamental/infrastructural index, executive index, outcome index) and suggests assessments based on clear managerial criteria to make an actual and realistic corporate information security level evaluation possible.

중소기업 정보보호 강화방안에 대한 연구 : 보안인력 양성을 중심으로

이인선 동국대학교 국제정보보호대학원 2021 국내석사

In contrast to the advancement of technology in SMEs, information leakage accidents occur every year due to the lack of adequate security personnel. This is a study on strengthening plan about information protection of SMEs by fostering security personnel. Folliwing is the result of this study First, SMEs have to diagnose the information security level of the company with self-check there security level. Second, security personnel with insufficient expertise have to improve their specialty through the university’s major classes where is affiliated with the government. Third, security personnel are obligated to acquire information protection license. Fourth, to learn more business experience, make a practical training system at the well-established company about information security. Fifth, reinforce the importance of information protection in the textbooks for elementary, middle and high school students who are our future generations. Sixth, Security awareness training should be actively implemented by improving and developing at the national level. Seventh, checking fulfillment of security awareness training for cleaners and security guards from service and maintenance companies. Eighth, when you training the vulnerable class for information, security training should be provided as well as how to use it.

PCI DSS 評價技法을 活用한 個人情報의 保安監査 方法 硏究 : 技術的 保安을 中心으로

김정덕 성균관대학교 정보통신대학원 2012 국내석사

정보통신기술의 발달과 함께 급증하고 있는 보안사고로 인하여 고객 개인정보보호의 중요성이 큰 사회적 이슈로 부각되고 있다. 많은 기업들은 정보보호 전문업체의 컨설팅을 통하여 개인정보보호 관리체계 인증, 개인정보보호의 기술적·관리적 보호조치 등의 정보보호 관리 요구사항을 적용하려고 노력할 뿐만 아니라, 다양한 정보보호시스템을 도입하여 보안 강화에 힘쓰고 있다. 그럼에도 불구하고 아직까지도 사회적으로 파장이 큰 고객개인정보 유출사고, 보안사고가 줄어들지 않고 있다. 기업들의 정보보호 수준이 대외적으로 많이 향상된 것으로 보이지만, 질적인 면에서는 그렇지 못하다는 것이다. 보안감사 및 점검 등을 제대로 수행했다면 이미 조치되었어야 할 보안 취약점들로 인해 사고가 발생하기 때문에 기존 보안감사의 문제점을 되짚어 볼 필요가 있다. 특히 기술적 보안요구사항은 감사기준이나 방법의 표준화가 어려우며, 감사자 및 이해관계자들의 기술, 평가 여건 등에 따라 쉽게 준수여부를 인정하는 경우가 많기 때문에, 체계적인 보안감사 기법의 연구가 이루어져야 할 필요성이 증대되고 있다. 본 논문에서는 감사 위험을 감소시키고, 보안감사 결과의 객관성을 향상시키기 위하여 PCI DSS 보안평가에서 사용되고 있는 평가기법을 활용한 개인정보의 보안감사 방법을 제시한다. With the development of information and communication technology security accidents increase very rapidly, thus the importance of customer personal information security became a big social issue. Firms try to apply information protection management requirements such as personal information security management system, and technical and administrative safeguard of personal information security with the assistance from the information security specialists. And they work hard for security by introducing various information security management systems. Nevertheless customer information leaks and security accidents that bring great impact to society do not decrease. Though firms' level of information security looks externally improved a lot, it is still not so much improved in terms of quality. Particularly in the case of technical security requirements it is hard to standardize assesment criteria and method for each item. And it is a usual practice for assessors and related people to approve the compliance with the requirements with relative ease depending on their expertise and assesment conditions, the need for the systematic investigation of security audit technique, that firms can use, is increasing. In this study technical security requirements are extracted after analyzing domestic and foreign information security management system certification or personal information security related systems, and then security audit method of personal information, that is made on the basis of PCI DSS assesment technique, is suggested.

侵害事故 事例를 痛恨 企業의 情報保護 政策 方向에 관한 硏究

윤진환 성균관대학교 정보통신대학원 2008 국내석사

초고속 인터넷의 발달과 정보화의 확산으로 인해 개인은 물론 여러 기업에서 인터넷과 정보기술에 대한 활용도 및 의존도가 급속도로 높아지고 있다. 그러나 이러한 정보화의 발달에 따른 해킹이나 컴퓨터 바이러스 등 IT위협요소에 의한 부작용도 증가되어 사회전반에 막대한 경제적 손실을 낳고 있는 실정이다. 침해사고 사례를 수집, 추이를 분석한 결과 최근 들어 웜, 바이러스, 해킹 침해사고는 감소하는 추세이나, 금전적 목적으로 특정 대상을 타겟으로 해킹을 시도하는 사고가 빈번히 발생하기 때문에 피해규모는 지속적으로 증가하고 있으며, 기업의 정보보호 관리의 소홀로 인해 해킹을 통한 개인정보 유출과 허가 없이 제3자에게 제공 되는 등 개인정보침해 피해가 증가 하고 있는 추세에 있다. 이러한 온라인 ID 유출/오남용은 기업의 컴플라이언스 측면에서 중요한 이슈로 부각되어, 개인정보침해가 개인, 기업뿐만 아니라 정부위험으로 확산되어 전사회적 위험이라는 인식이 등장하기 시작하였다. 또한 최근 국제 경쟁력이 높은 IT분야에서 산업기술의 해외 유출이 빈번히 발생하고 있으며, 신원정보(ID), 금융정보 등을 불법으로 취득하여 금전적 이득을 취하는 범죄가 증가하고 있다. 따라서, 본 연구에서는 최근에(2005년~2007년)발생하고 있는 침해사고 사례들을 수집하여 침해사고 추이를 분석하고, 현재 발의 되어 있는 정보보호정책의 문제점을 분석하고자 한다. 그리고 이를 통해 침해사고 대비 정보보호정책의 낙후를 알리고, 이에 따른 기업의 정보보호정책 효율적인 방향을 연구, 그 방안을 제시하여 기업의 정보보호에 대한 수준을 보다 향상시키고자 하였다.