위험관리 방법론 기반의 실효적 국가 정보보호 관리체계 도입에 대한 연구 : 공공기관 정보보호 아키텍처 도입에 대한 제언

강현호 高麗大學校 情報保護大學院 2012 국내석사

적국으로부터의 사이버공격이 원인으로 지목된 2009년 농협전산망 사고, D-DoS 공격으로 인한 웹사이트 서비스 중단사태 및 Stuxnet 악성코드 공격으로 인한 이란 핵발전소 중단사고 등 이미 사이버공격은 국가위기를 초래하는 중대한 위험이 되었다. 우리나라에서는 주요기반시설을 국가 주요정보통신기반시설로 지정하여 정기적인 취약성 점검을 하고 있으며 공공기관에 대하여는 국가정보원 주관으로 정보보안 관리실태 평가를 시행하고 또한 주요 정보통신사업자 등을 대상으로 정보보호 안전진단제도를 운영해 왔다. 그럼에도 불구하고 지속적으로 발생하는 사이버 공격으로 인한 개인정보유출사태 등 정보보안 침해사고가 끊이지 않는 것은 무슨 이유일까? 연구자는 이에 대한 답변으로 ISO 국제표준 및 해외선진사례에서 중요하게 제시하고 있는 위험관리를 충실히 하고 있지 않은 것이 원인이라 판단한다. 즉, ISO 27000 시리즈 국제표준 및 미국 NIST의 지침에서 정보보호를 위한 필수요건으로 제시하고 있는 위험분석 및 평가 즉, 위험관리를 상대적으로 소홀히 하고 있다고 판단한다. 위에서 언급한 기반시설 취약성점검, 공공기관 보안관리 실태평가, 정보통신사업자 정보보호 안전진단 등은 다소 차이는 있으나 이미 정해진 천편일률적인 통제항목을 해당기관이 준수하고 있는지 안하는지를 점검·평가하는 것이 주요내용이다. 따라서, 많은 기관들이 이러한 통제항목 준수를 위한 정보보호 대책수립 및 투자에는 전력하고 있으나 상대적으로 기관의 사정에 맞는 위험관리절차의 수립, 위험의 분석 및 평가수행 등은 소홀히 하고 있는 것이 보안의 핵심을 놓치고 있다고 보는 것이다. 본 논문에서는 공공기관에 우선적으로 국내외표준에서 제시하고 있는 위험관리방법론을 기반으로 한 정보보호아키텍처(rSA)를 도입할 것을 제언하며 구체적인 모델을 제시한다. rSA는 이미 공공기관에 도입이 의무화된 EA(정보기술아키텍처)가 기관의 업무최적화를 위한 정보화의 효익측면을 강조하는데 반해 위험측면을 정보화사업초기부터 고려하게 함으로써 합리적인 의사결정을 도모한다. 나아가 기관에 최적화된 정보보안대책을 수립하여 시행함으로써 실효적인 국가정보보안체계를 수립할 수 있다.

바이오메트릭 데이터 활용 서비스에서 바이오정보 보호에 관한 연구

정부금 고려대학교 정보보호대학원 2019 국내박사

바이오메트릭 데이터 활용 서비스란 개인의 바이오정보를 측정하여 신원을 확인하고 신분을 인증하며 개인에게 필요한 정보를 제공해주는 지능정보 서비스로 정의할 수 있다. 바이오정보는 크게 생체인식정보, 유전정보, 건강정보의 범주로 분류할 수 있다. 지문과 홍채, 목소리, DNA와 같은 사람의 신체적, 행동적, 유전적 특성, 활동 패턴 및 건강 상태를 측정하여 디지털 데이터로 변환하여 ICT 시스템 상에서 그 사람임을 확인하며, 확인된 개인기반의 유용한 서비스를 제공하는 것이다. 바이오메트릭 데이터 활용 서비스는 대면으로 눈으로 보고 확인하는 것과 같이 비대면 온라인에서 비밀번호나 추가적인 보안수단 없이 간편하고 정확하게 개인을 인식하고, 인식된 개인에 대해 다양한 서비스를 제공할 수 있다는데 의의가 있다. 서비스 제공을 위한 세부 기술로는 IoT 센서 기술, 바이오인증 기술, 개인맞춤형 서비스 기술, 이벤트기반 서비스 기술 및 클라우드 기반 기술 등이 있으며, 이러한 서비스는 사람의 신체와 행동 데이터를 디지털화하고, 여러 데이터베이스를 연결하여 분석하고, 수동 및 자동으로 인식된 데이터를 활용한다는 특성을 갖는다. 이렇게 측정되는 DNA를 포함한 사람의 바이오정보는 데이터베이스에 보관되는데 이러한 데이터베이스가 항상 안전할 것이라고는 믿을 수 없다. 바이오정보가 유출되면 그 정보를 기반으로 일반 개인정보로는 알 수 없는 개인에 대한 내적인 분석이 가능하며, 유출된 바이오정보는 그 정보의 소유주가 알지 못하는 사이에 다른 곳에서 다른 목적으로 사용될 수 있는 위험이 있다. 그럼에도 불구하고 바이오정보는 편리성과 안전성 및 공익을 위한 필요로 인하여 식별·확인 기능, 인증·검증 기능 및 모니터링 기능으로 금융, 헬스케어, 음성인식 AI 서비스, 영상인식 서비스, 공공분야 등에서 그 사용이 지속적으로 확대되고 있다. 개인정보는 오늘날 중요한 자산으로 부각되고 있고, 일반적인 개인정보보다 더 많은 민감한 정보를 담고 있는 바이오정보의 가치는 더욱 큰 것으로 볼 수 있다. 개인정보는 공공에서의 활용 및 상업적 활용의 소재로 사용되고 있어 개인정보의 유출 가능성은 더욱 높아지고, 이는 법적, 사회적, 경제적으로 중대한 문제로 대두되고 있다. 또한, 개인의 사생활 측면에서도 심각한 문제이다. 국제 규범에서는 바이오정보의 프라이버시 원칙들을 정의하고 있으며, 유럽연합 및 각국에서는 신기술의 발전을 반영하여 바이오정보의 보호와 활용을 위한 규범들을 추가하고 있다. 특히, 2018년 5월부터 실시된 유럽연합의 일반개인정보보호규정(GDPR)에서는 생체인식정보, 유전정보, 건강정보 등 민감정보를 특별한 범주의 개인정보로 명시하여 이러한 정보는 정보주체의 명시적 동의, 법령에 따른 필요에 의해서만 처리할 수 있으며, 공공, 통계목적 등의 활용을 위해서는 비식별화 조치를 취하여야 하며, 프라이버시 중심 설계, 영향평가 실시 등의 일반 개인정보보다 더 높은 수준의 특별한 처리 규정을 신설하였다. 국내법에서는 개인정보 보호법과 정보통신망법에서 개인정보와 민감정보에 대해서 규정하고 있다. 정보통신망법에서는 민감한 정보로서 건강, 유전정보를 포함하고 있으며, 생체인식정보를 포함할 수 있는 법적 여지를 두고 있다. 개인정보보호법에서는 민감정보로 건강, 유전정보로 한정하고 있고 생체인식정보는 일반 개인정보로 규정하고 있다. 바이오정보를 포섭할 수 있는 민감정보의 판단 여부에 대해서 개인정보 보호법에서는 사생활 침해로 규정하고 있고 정보통신망법에서는 개인의 권리·이익의 침해 여부를 추가하여 포함하고 있다. 민감정보의 처리에 있어서는 개인정보보호법에서는 별도의 동의를 받도록 하고 있으며, 민감정보를 포함한 개인정보의 수집 동의 위반 시, 정보통신망법에서는 벌칙 규정으로 두고 있는 반면 개인정보보호법에서는 과태료 규정을 두고 있는 등 두 법은 바이오정보가 포섭되는 민감정보의 범위 및 처리에 있어 다소 상이한 규정을 두고 있다. 또한 바이오정보에 대한 규정은 법적인 구속력이 없고 자율적인 참조 지침으로 사용되는 바이오정보 보호 가이드라인으로 제시하고 있다는 문제점이 있다. 아울러 유럽과의 교역을 위하여 참조하여야 할 EU GDPR에서는 개인정보관리자와 개인정보처리자라는 용어를 사용하고 있는 반면 국내 개인정보 보호법에서는 개인정보관리자라는 용어 없이 개인정보처리자와 개인정보취급자라는 용어로 그 개념은 유사하지만 용어상에 다소 혼동을 가져올 수 있는 문제점이 있다. 본 논문에서는 바이오메트릭 데이터 활용 서비스에서 바이오정보 보호를 위하여 바이오정보에 대한 적절한 규정 및 효율적인 보호를 위한 방안으로 관련 법규에 대한 개정안을 다음과 같이 제시하였다. 개인정보 보호법 제2조 제5항에서 개인정보처리자의 개념에서 개인정보관리자의 역할을 수행하는 위탁자와 개인정보취급자의 역할을 수행하는 수탁자를 서로 대응되게 명시적으로 정의하여 EU GDPR과의 균형이 이루어지도록 한다. 제23조에서는 민감정보로서 생체인식정보, 건강정보, 유전정보를 명시하고, 정보주체의 자유와 권리를 현저히 침해할 우려가 있는 정보로 정의하고, 제1항에서는 민감정보의 처리를 위해서는 정보주체의 명시적 동의를 받도록 하여야 하며, 제3항에서는 정보주체의 동의와 법령에 의하여 처리할 경우에는 비식별화 조치를 하여야 함을 명시하여야 한다. 제71조 벌칙에 개인정보 및 민감정보의 미동의 수집을 추가하여야 하며, 제75조 과태료에서는 개인정보의 미동의 수집 항은 삭제하여 정보통신망법과의 일관성을 이루어야 한다. 바이오메트릭 서비스는 클라우드 서버를 기반으로 제공되고 있으며, 이에 따라 클라우드 서버가 국외에 위치하여 바이오정보가 국외로 제공될 가능성이 존재하므로 제17조에서는 유전자정보에 대해서는 국외제공을 금지하거나 제한하는 규정을 신설하여야 한다. 정보통신망법에서는 제23조 제1항 민감정보의 수집 제한에 대해서 개인정보보호법과 일치되게 명시적 사전 동의를 받도록 규정하여야 한다. 또한 제28조에서 개인정보의 보호 조치를 위하여 기존에 정의된 암호화 외에 비식별화 조치를 하여야 함을 규정하여야 한다. 추가적으로 국제적인 바이오정보 프라이버시 논점 분석을 통하여 국내 바이오정보 보호 가이드라인의 개선 방안으로 바이오정보 책임성 원칙, 정확성 유지 원칙, 프로파일링 금지 원칙을 추가로 제시하였고 기존의 기술적, 관리적 보호 조치 외에 활용을 위한 조치로 익명화, 가명화를 추가하여야 함을 제시하였다. 또한 본 논문에서는 기존의 개인정보보호 법제의 개선 방안에 대해 연구하였으나 여러 개별법에 규정되어 있는 바이오정보를 더욱 일관성 있게 규정하기 위해서는 이를 발전시켜 독립적인 자기 완결적 법률을 제정하는 방안에 대한 연구가 필요할 것이다.

보안성숙도 모델을 활용한 정보보호 관리수준 점검방법에 관한 연구

이상규 고려대학교 정보보호대학원 2019 국내석사

사람과 사물이 다각적으로 이어지는 초 연결 사회 환경이 형성되고 있고, 데이터 주도 시대가 도래하면서 경제적 활용가치가 높은 정보의 수집과 분석, 생산과 유통의 안정성을 확보하기 위한 정보보호 관리의 중요성이 날로 높아지고 있다. 반면 정보보안을 침해하는 공격의 수법은 점차 지능화, 고도화 되고 있어 기업의 입장에서는 중요 정보자산에 대한 악의적인 해킹공격과 불법적인 정보 유출로 인한 피해예방에 심혈을 기울여야 하는 상황이다. 이러한 환경에서 기업은 정보보호 관리체계 인증을 통해 정보보안에 대한 신뢰를 보장받고 있으나 관리체계를 구성하는 세부영역에 대한 수준 평가와 활용은 제한적이다. 이에 반해 보안 성숙도 모델은 기업의 정보보호 수준을 단계적으로 진단할 수 있고 시급히 개선해야 할 영역을 판단할 수 있음은 물론 기업의 특성과 수준에 맞는 목표 설정을 지원하는 도구가 된다. 본 논문에서는 성숙도 모델을 바탕으로 정보보호 분야에 특화되어 개발, 활용되고 있는 보안 성숙도 모델의 사례인 ISM3와 C2M2를 비교하여 특징을 소개하고 정보보호 관리체계 수준점검 목적에 부합하는 참조모델을 결정하였다. 또한 국내 정보보호 관리체계(ISMS) 인증과 이를 비교, 분석하여 정보보호 관리 수준을 점검하기 위한 모형으로의 참조 가능성을 검증하였고 참조모델에 기반한 수준점검 방법을 제안하기 위하여 정보보호 업무를 수행하는 기업 담당자를 대상으로 전문가 의견조사를 실시하였다. 이를 통해 ISMS인증의 정보보호대책 세부영역을 구성하는 점검항목 간 우선순위를 도출하여 단계적으로 정보보호 관리수준을 점검하고 구축을 지원할 수 있는 방법을 제시하였다. 마지막으로, 최근 정부산하 기관 및 산업계와 학계에서 연구 활용중인 정보보호 관리수준 평가모델과 비교를 통해 실효성을 검증하였다. 기업은 개선된 정보보호 관리수준 점검방법을 통해 정보보호 수준을 단계적으로 평가할 수 있으며 이를 통해 효과적으로 정보보호 대책을 수립하고 발전시켜 나갈 수 있을 것이라 기대한다.

한ㆍ미 정보보호산업의 국제경쟁력 분석 : 포터의 다이아몬드 모델을 중심으로

원종성 高麗大學校 情報保護大學院 2012 국내석사

우리나라의 정보통신산업은 국내 경제성장을 견인하는 동시에 우리나라 전체 수출의 20%를 차지하여 국가차원의 핵심적인 전략산업으로 자리 잡아 왔다. 그러나 보안 산업은 세계수준의 기술력으로 충분한 가능성을 갖고 있음에도 불구하고 해외시장 진출은 활성화되지 못하고 있는 실정이다. 특히 정보보호 시장은 미국, 캐나다, 유럽 등의 선진국을 중심으로 형성되어 왔지만 최근에는 IT 인프라 개발이 빠르게 진행되며 인터넷 활용이 높아지고 있는 신흥 개발도상국들의 관심도 높아지면서 전 세계적으로 정보보호 시장은 크게 주목받고 있다. 본 연구에서는 마이클 포터의 다이몬드 모델을 이용하여 정보보산업의 경쟁력 분석을 위한 정보보호산업의 국가경쟁력 평가지표를 도출하여 정보보호산업의 국가 경쟁력을 개량적으로 측정할 수 있는 단초를 제시하고 더 나아가 산업발전 및 수출 활성화를 위한 기업전략과 정부의 정책방향에 대한 개인의 의견을 제시한다.

AHP를 활용한 스마트워크 정보보호 요소의 중요도 분석 : 중소기업의 모바일 오피스를 중심으로

강경훈 고려대학교 정보보호대학원 2013 국내석사

1. 연구의 개요 스마트워크는 시간과 장소에 얽매이지 않고 언제 어디서나 편리하고 똑똑하게 근무함으로써 업무효율성을 향상시킬 수 있는 업무방식을 말하며, 과학기술 및 정보통신기술의 발달로 많이 이슈화되고 있다. 이에 본 연구에서는 중소기업이 스마트워크의 한 유형인 모바일 오피스를 도입할 때 고려해야할 정보보호 요소를 도출하고, 이들 간에 상대적 우선순위를 실증적으로 분석해봄으로써, 정보보호 측면에서의 스마트워크 정책 방향을 제시하는데 목적이 있다. 이를 위해서 본 연구에서는 이론적인 논의로써 모바일 오피스를 포함한 스마트워크의 개념 및 유형별 특성에 대해 알아보고, 모바일 오피스의 보안 위협 및 대응방안에 관한 선행연구 분석을 통해 모바일 오피스 도입시 고려해야 할 정보보호 요소에 대해 살펴보았다. 이상의 이론적인 논의를 바탕으로 정보보호 분야에서 AHP(Analytic Hierarchy Process)를 활용한 연구를 다양하게 검토함으로써, 연구의 프레임워크를 설정하였다. 이후, 중소기업 종사자를 대상으로 2012년 11월 12일부터 11월 23일까지 약 2주간 온라인 설문조사를 실시하여 136명의 표본을 추출하여 다양한 분석을 시도하였다. 즉, 본 연구에서는 AHP에 근거해 모바일 오피스 정보보호 요소 간의 우선순위에 대해서 분석하고, 추가적으로 모바일 오피스의 주요 특성과 정보보호 요소별 차이를 규명하기 위해서 교차분석(Cross Tab Analysis)과 평균비교분석(독립표본T-검정, 일원배치분산분석)을 실시하였다. 그리고 변수간의 상관관계를 규명하기 위해 이변량 상관관계분석(correlation analysis)을 실시하였다. 2. 주요 연구결과와 시사점 본 연구에서 검증하고자 하는 연구가설(research hypothesis)에 대응하여 다음과 같은 연구결과를 도출할 수 있었다. 1) 가설1에 대한 AHP 분석결과 및 시사점 본 연구에서는 가설1을 “모바일 오피스 정보보호 요소의 5개 영역(단말기, 응용프로그램 및 플랫폼, 네트워크, 서버, 사용자)과 세부 하위 요소에 대한 상대적인 가중치(우선순위)에는 차이가 존재할 것이다”로 설정하였으며, 이에 대한 구체적인 AHP 분석결과와 시사점은 다음과 같다. 첫째, 영역(Level1)에 대한 우선순위의 분석 결과, ‘사용자’가 24.810%로 상대적으로 가장 높은 비중을 차지하고 있어, 이와 관련된 다양한 세부 요소(교육훈련, 업무현황 모니터링, 정보유출 추적기술, 정보보안 관리 조직, 퇴사 시 단말 회수)에 대한 우선적인 고려가 필요한 것으로 나타났다. 둘째, 이를 각 영역별 세부 하위요소에 대해서 분석해보면, 첫째, ‘단말기’ 영역의 경우에는 ‘접속관리’가 22.137%로 가장 높은 가중치를 보이고 있어, PC와 스마트폰 사이의 데이터 전송 통제 및 P2P/웹하드 접속 금지 등에 대한 우선적 고려가 필요한 것을 알 수 있었다. 둘째, ‘응용 프로그램 및 플랫폼’ 영역의 경우, ‘시스템 언락(Unlock) 탐지·차단’이 24.708%로 가장 높은 가중치를 보이고 있어, 기본적으로 탑재되어 있는 펌웨어를 고의적으로 조작한 펌웨어로 교체하는 언락(Unlock) 탐지 및 차단이 우선적으로 고려되어야 하는 것으로 나타났다. 셋째, ‘네트워크’ 영역의 경우, ‘데이터 암호화’가 41.261%로 가장 높은 가중치를 보이고 있어, 데이터 및 음성의 도·감청 방지를 위해 송·수신 데이터의 암호화에 우선적으로 초점을 둘 필요가 있음을 잘 보여준다. 넷째, ‘서버’ 영역의 경우, ‘무선랜 침입탐지시스템’이 21.788%로 가장 높은 가중치를 보이고 있어, 무선랜을 통한 침입 탐지 및 차단 시스템 구축이 중요함을 알 수 있었다. 다섯째, ‘사용자’ 영역의 경우, ‘퇴사 시 단말 회수’가 24.931%로 가장 높은 가중치를 보이고 있어 모바일 오피스 사용자가 퇴사할 경우 사용하던 단말 회수 및 데이터 삭제가 우선적으로 고려되어야 함을 알 수 있었다. 셋째, 전술한 영역(Level1)과 세부 하위요소(Level2)의 상대적인 가중치를 종합적으로 고려하였을 경우에는 상대적으로 ‘네트워크’ 영역의 ‘데이터 암호화’가 8.473%로 1순위, ‘네트워크’ 영역의 ‘무선랜 통제’가 6.499%로 2순위, ‘사용자’ 영역의 ‘퇴사 시 단말 회수’가 6.185%로 3순위 등으로 상대적으로 높은 가중치를 보이는 것으로 나타났다. 따라서 ‘데이터 및 음성의 도·감청 방지를 위한 송·수신 데이터 암호화’, ‘보안이 취약한 무선랜(WiFi)을 통한 시스템 접속 통제’, ‘모바일 오피스 사용자가 퇴사할 경우 사용하던 단말 회수 및 데이터 삭제’ 등을 우선적으로 고려하여 모바일 오피스를 구현할 필요가 있음을 알 수 있다. 2) 가설2에 대한 교차분석 및 평균비교분석 결과 및 시사점 본 연구에서는 가설2를 “다양한 특성(모바일 오피스 도입여부, 소속기관 규모, 직급, 직무분야, 성별, 실무경력, 전문지식 수준 등)에 따라서 모바일 오피스 정보보호 요소의 필요정도, 모바일 오피스를 도입하지 않은 이유 및 정부 지원사항 등에 대한 인식에 차이가 존재할 것이다”로 설정하였으며, 이에 대한 구체적인 교차분석 및 평균비교분석 결과와 시사점은 다음과 같다. 첫째, 모바일 오피스 도입과 관련한 사항(소속기관 모바일 오피스 도입여부, 도입하지 않은 이유, 문제 해결을 위한 정부의 지원사항 등)에 대해 분석한 결과, 모바일 오피스를 도입한 곳은 약 21.3% 정도로 도입하지 않은 곳(78.7%)에 비해서 상대적으로 그 비중이 낮은 것으로 나타났다. 이를 인적특성과 연계하여 살펴보면, 소속기관 직원규모가 큰 조직일수록 모바일 오피스 도입을 했을 가능성이 높은 것으로 나타났으며, 남자인 경우 소속기관에 모바일 오피스를 도입한 비중이 상대적으로 여자보다 높음을 알 수 있었다. 그리고 하위 직급이나 최상위 직급에 비해서 중간 직급에 해당되는 경우를 중심으로 모바일 오피스 도입 비중이 높았으며, 사무직이나 전산직에 비해서 기술직, 영업직, 기타에 해당되는 직무분야를 중심으로 모바일 오피스 도입 비중이 높음을 알 수 있었다. 모바일 오피스 정보보호에 대한 전문지식 수준이 높은 표본일수록, 소속기관의 모바일 오피스 도입 비중이 상대적으로 높게 나타났다. 둘째, 그리고 모바일 오피스를 도입하지 않은 이유는 주로 모바일 오피스 시스템 구축 등의 예산문제가 37.4%로 가장 높은 응답 비중을 차지하고 있으며, 그 다음으로는 기업 기밀정보 및 개인정보 유출 등 보안 문제가 22.4% 등으로 나타났다. 셋째, 위와 같이 모바일 오피스 도입을 주저하게 만드는 문제를 해결하기 위해서 정부가 지원해야 할 가장 중요한 사항은 최적의 모바일 오피스 솔루션 도입을 위한 컨설팅 제공(30.8%)이며, 그 다음으로는 모바일 오피스에 대한 인식 제고 및 활용 능력 향상을 위한 교육 제공(23.4%) 등으로 나타났다. 특히, 모바일 오피스 정보보호에 대한 전문지식 수준이 낮은 경우는 주로 컨설팅 제공과 같은 지원을 요구하고 있는 반면에, 전문지식 수준이 높은 경우는 그 외의 기술지원, 교육지원, 법제도 제정 등의 다른 지원사항을 요구하는 비중이 높음을 알 수 있다. 넷째, 표본들의 주요 특성(모바일 오피스 동비여부, 소속기관 직원규모, 직급, 직무분야, 실무경력, 전문지식 수준 등)에 따라서 모바일 오피스 정보보호 요소의 필요도에 대한 차이를 분석하였으며, 통계적으로 유의미한 결과를 토대로 다음과 같은 사항을 발견하였다. 모바일 오피스를 도입한 경우에 비해서 도입하지 않은 경우에서 모든 평균이 높아 각 영역 및 세부 하위요소에 대한 필요성을 더 많이 인식하고 있었다. 남자에 비해서 여자에 해당되는 표본이 모든 경우에서 평균이 높아 각 영역 및 세부 하위요소에 대한 필요성을 더 많이 인식하고 있는 것으로 해석할 수 있다. 소속기관 직원규모에 따라서는 제한적으로 ‘단말기’ 영역, 원격 잠금 삭제, 원격 데이터 관리, 모바일 전용백신의 경우에서만 통계적으로 유의미한 차이가 존재하였고, 대체로 직원규모가 작은 기관에 속해 있는 표본이 그렇지 않은 표본들에 비해 필요성을 더 많이 인식하고 있었다. 사무직과 기타에 해당되는 직무분야에서 각 영역 및 세부 하위요소에 대한 필요성을 더 많이 인식하고 있음을 알 수 있다. 실무경력과 전문지식 수준에 따라서 일부 지표에 차이가 존재하나, 비일관적인 패턴을 보였다. 3) 가설3에 대한 상관분석 결과 및 시사점 본 연구에서는 가설3을 “모바일 오피스 정보보호 영역 및 세부 하위요소 간에는 상관성이 존재할 것이며, 이에 따라 공동변화하는 정도에 차이가 있을 것이다”로 설정하였으며, 이변량 상관분석을 통해서 다음과 같은 분석결과와 시사점을 도출하였다. 첫째, 전체 5개 영역별 상관분석 결과, 각 변수간의 공동변화 정도는 (+)54.9%∼74.4% 정도로 높게 나타났으며, 특히, 모바일 오피스와 관련된 단말, 응용 프로그램 및 플랫폼, 네트워크, 서버, 사용자 등의 5개 영역별 필요도에 대한 관련성은 상당히 높은 편에 해당되며, 영역별로 유기적인 상관성이 있는 것을 알 수 있다. 둘째, 단말기 영역의 하위요소, 즉, 원격 잠금·삭제, 원격 데이터 관리, 사용자·단말기 인증, 모바일 전용 백신, 최신 운영체제, 접속관리 등 하위요소 간의 공동변화 정도가 (+)22.0%∼79.8% 정도로 높게 나타났다. 특히, 단말기 영역과 세부 하위요소의 상대적인 공동변화 정도는 모바일 전용백신(0.797), 최신 운영체제(0.771), 접속관리(0.766) 등의 순이며, 원격 잠금 삭제(0.666)의 공동변화 정도가 상대적으로 낮게 나타났다. 셋째, 응용 프로그램 및 플랫폼 영역의 하위요소, 즉, 애플리케이션 보안성 검증, 정보보호체계 확립, 응용프로그램 보안, 비정상적 사용패턴 탐지, 시스템 언락(Unlock) 탐지· 차단 등 하위요소 간의 공동변화 정도는 (+)54.6%∼88.7% 정도로 높게 나타났다. 그리고, 응용 프로그램 및 플랫폼 영역과 세부 하위요소의 상대적인 공동변화 정도는 애플리케이션 보안성 검증(0.887), 정보보호체계 확립(0.879), 비정상적 사용패턴 탐지(0.857) 등의 순이며, 상대적으로 시스템 언락(Unlock) 탐지 차단(0.802)의 공동변화 정도가 가장 낮은 편임을 알 수 있었다. 넷째, 네트워크 영역의 하위요소, 즉, VPN, 데이터 암호화, 무선랜(WiFi) 통제 등 하위요소 간의 공동변화 정도는 (+)48.0%∼84.8% 정도로 높게 나타났다. 그리고 네트워크 영역과 세부 하위요소의 상대적인 공동변화 정도는 VPN(0.848)이 가장 높으며, 상대적으로 데이터 암호화(0.818)의 공동변화 정도가 가장 낮은 편임을 알 수 있었다. 다섯째, 서버 영역의 하위요소, 즉, 침입차단 및 방지, 보안관제, 사용자 행위기록, 무선랜 침입 탐지 시스템, 릴레이 연계 서버 등 하위요소 간의 공동변화 정도는 (+)46.3%∼86.3% 정도로 높게 나타났다. 그리고 서버 영역과 세부 하위요소의 상대적인 공동변화 정도는 무선랜 침입 탐지 시스템(0.863)이 가장 높으며, 상대적으로 사용자 행위기록(0.783)의 공동변화 정도가 가장 낮은 편임을 알 수 있었다. 여섯째, 사용자 영역의 하위요소, 즉, 교육·훈련, 업무 현황 모니터링, 정보유출 추적기술(디지털 포렌식), 정보보안 관리조직, 퇴사 시 단말 회수 등 하위요소 간의 공동변화는 (+)39.8%∼86.8% 정도로 높게 나타났다. 그리고 사용자 종합과 세부 하위요소의 상대적인 공동변화 정도는 정보유출 추적기술(디지털 포렌식)(0.868)이 가장 높으며, 상대적으로 퇴사 시 단말 회수(0.781)의 공동변화 정도가 가장 낮은 편임을 알 수 있었다. 3. 연구의 한계와 후속 연구의 필요성 본 연구는 방법론상에서 다음과 같은 한계를 가질 수 있어 해석상의 주의와 향후 추가적인 보완 연구 등이 필요하다. 본 연구의 AHP 체계가 모바일 오피스에서 고려해야 하는 정보보호 요소를 모두 포함한 것인지, 그리고 각 계층별 하위항목간의 정렬이 타당하게 이루어진 것인지 등에 대한 방법론적 비판이 존재할 수 있다. 왜냐하면 의사결정 체계에 대한 자의성에 대한 비판은 AHP 방법론이 가지는 근원적인 한계이기 때문이다. 따라서 본 연구의 AHP 조사체계가 모바일 오피스와 관련된 세부 내용을 충분히 반영하고 있다고 주장하기 보다는 향후 다양한 외생적, 내생적 환경과 수요를 반영하여 해당 정책이 추가적으로 고려해야 할 요소가 무엇인지를 지속적으로 고민해보아야 할 것이다. 따라서 본 연구의 측정도구를 현실에 맞게 보다 정교화하여 다양한 분석단위를 대상으로 한 추가적인 실증분석도 이루어질 필요가 있을 것이다. 그리고 본 연구는 양적인 방법론을 활용한 연구결과이다. 이러한 연구결과는 일반적인 경향을 파악하는데 용이하나 각 표본들 간의 특수하고 개별적인 특성을 파악하는 데는 용이하지 못하다. 즉 이상의 양적인 방법이 가지는 기본적인 한계를 보완하기 위해서 해석학적 관점에서의 사례분석이나 인터뷰, 면접 등의 질적인 방법론을 활용한 보완적인 연구가 이루어질 필요가 있다.

사이버침해 사고가 정보보호 기업의 가치에 미치는 영향

도귀철 고려대학교 정보보호대학원 2019 국내석사

우리나라는 ICT 기술의 발달로 빠른 정보화 사회로의 변화와 정보 공유를 통해 편리한 생활을 누리고 있다. 하지만 우리의 생활을 윤택하게 해주는 ICT 기술을 바탕으로 지금까지 정보시스템 마비, 사이버 공격, 정보 유출 등 여러 건의 다양한 사이버침해 사고가 있었다. 이러한 사이버 공격에 대해 최근에는 개인정보 유출에 대한 사고 대상기업의 재무적 가치 하락과 관련된 연구가 많이 선행되었다. 사이버 침해 사고 발생 시 기업의 단기적인 기업가치 하락과 대내외 신뢰도 및 평판도 하락으로 인한 영업환경 악화 등을 감소시키기 위하여 사이버 공격에 대해 사전에 예방하고 침해 사고 발생 시 빠른 대응을 위하여 정보보호를 위한 솔루션과 정보보안 서비스를 정보보호 기업으로부터 제공받고 있다. 이에 본 연구에서는 지금까지의 개인정보 유출에 의한 피해기업 대상이 아닌 실제 사이버공격에 의한 사이버침해 사고 발생 시 반대급부를 얻을 수 있는 정보보호 기업에 대한 가치 변화 여부를 국내 정보보호 기업의 주가 변화에 대한 연구를 통하여 사건연구(Event Study) 방법과 가설 검증을 통해 연구하였다. 사이버침해 사고는 온라인 및 오프라인에 보도된 실제 사이버공격에 의한 침해사고를 대상으로 하였고, 대상 정보보호 기업은 주가변화를 통한 기업 가치변화를 확인, 검증할 수 있는 국내 주식시장에 상장된 29개 기업으로 선정하여 모집단에 대해 추정하였다. 사건연구방법에서 정보보호 기업의 가치변화 연구는 주가지수와 연동한 시장조정수익률모형을 사용하였고 가설검증은 통계패키지인 R-프로그램을 활용하여 95% 신뢰도로 검증하였다. 그 결과 사이버침해 사고는 침해사고에 대한 보도일(D일) 기준으로 D-1일에서 D+3일까지의 5거래일까지 정보보호 기업에 대한 누적평균수익률이 주가지수 대비 단기간 증가하였고 그 이후에는 유의미한 차별성이 없었다. 반면에 정보보호 기업과는 다르게 사이버 침해사고에 의한 IT 대표기업의 기업 가치에 미치는 영향은 통계적으로 유의미하게 없었다. 또한 정보보호 기업의 업종과 사이버침해 사고의 피해대상 개수, 현재 또는 과거에 발생한 사이버침해 사고 여부와 관계없이 침해 사고에 대한 보도 공지는 대상 정보보호 기업의 가치에 동일하게 영향을 주었다. 지금까지 사이버침해 사고와 사고대상 기업의 재정적 가치변화에 대한 연구와 개인정보의 중요성이 확대되면서 개인정보 유출 사고에 대한 정보유출 대상기업의 주가 변화를 통해 개인정보 유출 사고가 대상 기업에 미치는 영향을 연구하는 기존의 연구범위를 넓혀 다양한 사이버 공격으로 인한 사이버침해 사고에 대하여 정보보호 기업의 가치에 미치는 영향을 연구하였다는데 의의를 갖는다. 하지만 기업 가치를 주가와 비교하기 위해 국내 상장기업으로 한정하여 전체 정보보호 기업에 대해 통계 추정한 한계점이 있으며 상장 정보보호 기업의 주가에 대하여 사이버침해 사고 이외의 다른 호재나 악재를 본 연구에 반영하지 않았음을 밝힌다. Due to the development of ICT technology, we are enjoying convenient life through change to information society and sharing information. However, based on ICT technology that will enrich our lives, there have been a number of cyber infringement accidents, including paralysis of information system, cyber attacks, and leakages of information. Many studies have been conducted on such cyber attacks, those involving a falling financial value of an accident target company for personal information leaks lately. Protecting short-term company value reduction and worsening business environment due to a decrease in domestic and international credibility and reputation in the event of a cyber breach, solutions and information security services are provided to prevent cyber attacks and to respond swiftly in case of cyber infringement. In this study, the case study has been conducted by event-study methodology on domestic information security companies about changes in the company's share price that can be compensated for cyber attacks, not for victim companies of personal information leakage. Cyber-infringing accidents were targeted at actual cyber attacks reported online and offline, and estimated the population of information security firms value by selecting 29 companies that could identify changes in corporate value through stock price changes. In the event study method, the value change study of information protection companies used a Market Adjusted Return Model linked to the stock price index, and hypothesis testing was verified with 95% confidence using the statistical package R program. As a result, based on the day of reporting on cyber infringement accidents the cumulative average return on information Security companies was increased for a short period 5 days during D-1 to D+3 , and there was no significant difference afterwards. On the other hand, unlike information security companies, there was no impact on the company value of IT representative firms by cyber-infringing accidents. In addition, the reporting notice of an infringement accident, regardless of the industry of the information protection firm, the number of victims of cyber-infringement incidents, and whether they were currently or have occurred in the past, has equally affected the value of the target information security firms. This study is meaningful in that it has expanded the scope of research limited to changes in the value of victim firms of cyber-infringing accidents and personal information leaks and investigated the impact on information security companies regarding various cyber attacks. However, there are limitations on this study because it was conducted statistical estimation not all information security companies but selected companies. And regarding information security company stock price, it did not reflect any favorable or adverse factors other than cyber infringements.

K-ISMS 기반의 한국형 스마트 그리드 정보보호 관리체계 평가기준 제안

김기철 高麗大學校 情報保護大學院 2013 국내석사

스마트 그리드란 전력망에 정보통신기술을 적용하여 에너지 이용 효율을 극대화하는 차세대 지능형 전력망으로 최근 전 세계적으로 관련 기술 및 제도가 개발되고 있다. 정보보호는 스마트 그리드 개발에 필수적인 요소로써 지속적인 관리가 필요하다. 국내에서는 조직의 위험을 관리하기 위해 정보보호 관리체계 인증 제도가 이미 시행 중인 가운데 스마트 그리드에 적용할 수 있는 정보보호 관리체계 기준 마련의 필요성이 제기되고 있으나 구체적인 방법은 제시되지 않고 있다. 본 논문은 미국 스마트 그리드 제도와 비교 분석을 통해 기 시행중인 정보보호 관리체계 기반의 한국형 스마트 그리드 정보보호 관리체계 핵심 평가 기준과 추가적인 평가 기준을 제안한다. 기존의 정보보호 관리체계 인증을 받은 스마트 그리드 관련 사업자는 추가 평가 기준만으로 중복되고 불필요한 인증 평가 작업을 최소화할 수 있다.

유럽일반개인정보보호법(GDPR) 시행이 수출기업에 미치는 영향과 역할별 대응 방안

최재림 고려대학교 정보보호대학원 2019 국내석사

유럽일반개인정보호보법(General Data Protection Regulation, GDPR)이 시행됨에 따라 국내 기업들은 각종 영업 활동에서 영향을 받게 되었다. 특히, 유럽을 대상으로 진출해있는 제품이나 서비스 수출 기업들이 직접적인 영향을 받게 되었으며, 잠재적으로 진출을 희망하는 기업 또한 이를 고려하지 않을 수 없게 되었다. 4차산업혁명시대의 새로운 기술들은 각종 편의 제공을 위해 과거와 비교하여 더 많은 개인정보의 처리를 포함하고 있으며 이러한 기술은 수출제품에도 그대로 반영되고 있다. 결국 이러한 기술적인 흐름은 국가간에 발생하는 개인정보의 이동을 더욱 활발하게 하고 있다. 한국은 국가 경제에서 수출이 차지하는 비중이 크기 때문에 어느 국가보다도 능동적인 대응이 필요한 상황이다. 수출기업의 경우 수출과정에서 마케팅, 계약, 사후지원, 연구 등의 절차에서 개인정보를 처리하며, 현지 법인이나 사무소를 통해 직원을 채용하는 과정에서 채용준비, 채용결정, 고용유지, 고용종료 단계에서 개인정보를 처리한다. EU에 진출한 기업의 경우 법률에서 정해진 조건에 따라 위와 같은 개인정보 처리과정에서 GDPR의 적용대상이 되며, 그에 따라 법률에서 요구하는 각종 의무사항을 수행하고 정보주체의 권리를 보장하여야 한다. GDPR이 시행된 지 반년이 지난 시점에서, 본 연구는 수출기업과 GDPR의 관계 분석, GDPR의 주요내용 및 수출기업에 미치는 영향 분석, 수출기업의 업무별 GDPR 적용관계 분석을 수행하고, 국내 수출기업의 현업 담당자를 대상으로 인터뷰를 진행하여 GDPR 대응 현황을 살펴보도록 하였다. 그리고 마지막으로 기업과 정부, 수출유관기관의 역할별 GDPR 대응방안 제시함으로써 수출기업의 GDPR 대응과정에서의 개선을 위한 도움을 제공하고자 하였다.

금융회사 내 최적의 정보보호조직 형태에 대한 연구 : 경영진(CISO, CIO, CPO) 관계를 중심으로

김상호 고려대학교 정보보호대학원 2019 국내석사

금융회사의 정보보호조직 형태는 정보기술최고책임자(CIO)와 정보보호최고책임자(CISO), 개인정보보호책임자(CPO)의 책임과 역할 부여에 따라 다양한 조직 구성의 형태를 가질 수 있다. 하지만 이러한 다양한 형태의 정보보호조직 중에서 금융회사에게 요구되는 컴플라이언스와 각종 가이드라인, 그리고 정보보호 거버넌스 준수 등을 만족시키는 최적의 조직 형태인지는 살펴볼 필요가 있다. 본 연구에서는 CISO, CIO, CPO 관계를 중심으로 다양한 정보보호조직 형태 가운데 일반적으로 금융회사가 갖는 정보보호조직 형태 중 대표적인 6개 조직 형태를 후보군으로 선정하였다. 그리고 금융회사만이 갖는 몇 가지 고유한 특성과 공인된 외부의 정보보호 거버넌스 요소를 평가척도로 하여 6개 정보보호조직 형태에 적용, 평가를 실시하였다. 이를 통해 최적의 금융회사 정보보호조직 구성 형태가 무엇인지 연구 및 도출해보고자 한다.

스마트폰 메신저 어플리케이션에서의 사용자 정보의 삭제 및 사생활 보호에 관한 연구

강성훈 高麗大學校 情報保護大學院 2013 국내석사

초고속 정보 통신망의 보급과 이동 통신 서비스의 발달로 국내뿐만 아니라 세계적으로 스마트폰 사용자들이 증가하였다. 스마트폰 이용자의 증가와 함께 이용자들에게 편의를 제공하기 위한 어플리케이션들 역시 다양하게 개발 및 배포되고 있다. 소셜 네트워크 서비스(이하 SNS)는 스마트폰의 보급과 함께 스마트폰에서 가장 많이 활용되고 있다. 특히, Short Message Service(이하 SMS)와 Multi-media Message Service(이하 MMS)를 대체하는 커뮤니케이션 중심의 SNS를 제공하는 메신저 어플리케이션들이 많이 등장하였다. K사의 A 어플리케이션과 N사의 L 어플리케이션은 국내뿐만 아니라 전 세계에 걸쳐 6000만 명이 넘는 이용자를 확보하였다. 이렇게 널리 사용되는 스마트폰 메신저 어플리케이션들 중에는 단말기에 저장된 다양한 정보를 어플리케이션 내부에 정보를 수집하고, 저장한다. 이런 종류의 어플리케이션들은 이용자에게 2가지 경우에 대해 삭제 기능을 제공한다. 첫 번째 경우는 이용자가 어플리케이션의 불필요하여 탈퇴 옵션을 사용할 때와 두 번째 경우는 기기변경 등으로 인해 새로운 기기에 이용자 인증을 받을 때이다. 개인정보보호법에 따르면, 이용자가 삭제를 요청했을 경우 즉각적으로 이용자의 데이터는 삭제되어야 한다. 따라서 이 두 가지 경우의 삭제 기능이 개인정보보호법을 잘 따르고 있는지를 확인할 필요가 있다. 또한, 기기 변경 시 어플리케이션에 저장된 데이터가 제대로 삭제되지 않을 경우 개인정보의 유출 및 프라이버시 침해와 같은 문제가 발생할 수 있다. 완전한 삭제가 이루어지지 않은 채 이러한 정보들이 빠져나간다면 피싱과 같은 범죄에도 악용될 수 있어 관리가 매우 중요하다. 최근에는 개인정보유출과 프라이버시 침해사고는 점차 대형화, 지능화, 다양화되어 더욱 주의를 기울여야 한다. 본 논문에서는 전 세계적으로 가장 널리 사용하고 있는 스마트폰 OS인 Google의 안드로이드를 기반으로 제작된 대한민국 대표 커뮤니케이션 중심의 소셜 네트워크 서비스 제공자인 K사의 A 어플리케이션과 D사의 B 어플리케이션의 탈퇴 기능과 기기변경 기능에 대한 개인정보보호법의 준수 여부와 함께 개선점을 찾아보고, 이용자의 개인정보 및 프라이버시를 보호하는 법적, 기술적 조치 방안을 제안한다.