통합보안관리시스템을 위한 보안정책 일반화에 관한 연구

최현희,정태명,Choi, Hyun-H.,Chung, Tai-M. 한국정보처리학회 2002 정보처리학회논문지 C : 정보통신,정보보안 Vol.9 No.6

이기종 보안 제품들을 통합관리하기 위한 통합보안관리시스템은 보안관리를 위한 불필요한 보안정책의 중복을 피하고 보안 제품들을 효율적으로 상호운용하기 위해 제안된 보안관리 구조이다. 본 논문에서는 보안 제품들에 대한 다양한 보안정책 관리 구조들을 통합된 형태로 보안적으로 무결한 보안정책을 설정할 수 있는 보안정책 일반화 관리 구조를 제안한다. 보안정책 일반화의 목적은 네트워크 상에서 존재하는 모든 보안 시스템들에 대한 보안관리의 효율성, 편의성 보장과 보안성 향상에 있으며, 이질적인 보안 정책제어 구조를 수용할 수 있도록 하는 것이다. 보안정책 일반화 과정은 관리자의 보안목표와 보안요구사항 설정, 각 보안제품과 보안 에이전트들에 의해 수집된 정보들에 대한 분석을 통하여 보안상태를 확인하며, 위험요소에 대한 보안정책 적용 방법들을 보안목표와 보안요구사항, 보안정책목록 정보를 기준으로 적절성을 판별하는 일련의 과정으로 정의할 수 있다. 보안정책 설정과정의 일반화는 이기종 보안정책에 대한 통합관리가 가능하게 하며, 보안 정책간의 충돌 및 중복 설정과 같은 일관성 문제를 해결함으로써 보안정책의 무결성을 보장하고, 네트워크 상에서 존재하는 보안제품의 제어에 편의성을 제공한다. Enterprise security management system proposed to properly manage heterogeneous security products is the security management infrastructure designed to avoid needless duplications of management tasks and inter-operate those security products effectively. In this paper, we propose the model of generalized security policies. It is designed to help security management build invulnerable security policies that can unify various existing management infrastructures of security policies. Its goal is not only to improve security strength and increase the management efficiency and convenience but also to make it possible to include different security management infrastructures while building security policies. In the generalization process of security policies. we first diagnose the security status of monitored networks by analyzing security goals, requirements, and security-related information that security agents collect. Next, we decide the security mechanisms and objects for security policies, and then evaluate the properness of them on the basis of security goals, requirements and a policy list. With the generalization process, it is possible to integrate heterogeneous security policies and guarantee the integrity of them by avoiding conflicts or duplications among security policies. And further, it provides convenience to manage many security products existing in large networks.

체계적인 보안 정책 관리를 위한 계층적 보안 모델 설계

황윤철,엄남경,장재웅,이상호 충북대학교 컴퓨터정보통신 연구소 2001 컴퓨터정보통신연구 Vol.9 No.1

인터넷 서비스의 다양화와 인터넷을 구성하는 네트워크의 대형화로 인해 다양한 특성을 갖는 구성요소와 환경 등의 요인으로 시스템간의 거래에 대한 보안정책 설정 및 제어가 어려운 문제로 등장하고 있다. 보안 정책 기술이란 인터넷상에서 정보보호 기능을 구현할 때 적용하는 정책들에 대한 검색, 접근제어, 분배 및 처리하는 기술을 의미한다. 이 논문에서는 이러한 현실적인 문제를 해결하기 위해 대형화되어 가는 인터넷 전체에 걸쳐 효율적으로 적용할 수 있는 계층적 구조의 보안 정책 모델을 설계한다. Security policy association and control about transaction between systems must be hard problem to solve because of the environment and composite factors with variable properties by diversity of internet service and enlarging a scale of organizing internet. Security policy technique means retrieval, access, control, distribute and process technique about adoptable policies when implementation is information security function on internet. In this paper, to solve this actual problems, Design of a hierarchical structure security policy model applicable to internet.

재택근무 환경에서 기술유출방지 보안정책 변화에 대한 직원 수용도 연구

권재성,신은희,장항배 한국산업보안연구학회 2021 한국산업보안연구 Vol.11 No.2

재택근무라는 갑작스런 업무환경의 변화는 기존 보안정책의 한계를 보여주면서 중요하면서도 시급한 해결과제들을 던지고 있다. 그러나 사이버 보안을 중심으로 한 기술적 측면에서의 빠른 대응에 비해 정책수정의 검토나 조직 구성원의 보안수용도와 같은 보안문화 이슈 등에 대해서는 상대적으로 논의가 미흡한 실정이다. 시대와 문화의 변화, 그리고 재택이라는 특수 환경에서는, 보안을 위해 필요하다는 이유만으로 변화된 정책에 대한 조직 구성원의 실천을 당연히 요구할 수도 없고, 보안 교육과 홍보만으로 조직 구성원의 인식과 실천 문제가 해결되지 못할 수도 있다. 본 연구는 재택근무 환경에서 필요한 보안정책 연구에 선행하여, 현재의 보안정책 중 강화되어야 하는 정책들은 무엇인지를 보고, 이에 대한 기업 보안담당자와 일반직원의 인식 및 수용도의 차이를 비교 분석하고자 하였다. 연구 결과 보안위협이나 중요성 변화에는 모두 동의하였으나, 해결 방안에 대해서는 보안담당자와 일반직원 사이에 인식의 차이가 있는 것으로 나타났다. 정책은 환경의 변화에 대응하여야 하고, 동시에 그 대상들의 공감과 실천 수준이라는 수용도 향상을 고려해야 한다. 따라서 재택근무에 대해 필요한 기술적 보안조치를 넘어 신뢰와 책임 기반의 보안문화를 구현하기 위해서는 조직 구성원의 보안수용도 강화를 주요 지표로 측정하고 관리하는 것이 필요하다. The rapid change in the working environment of telecommuting has led to a number of urgent security responses. While technical responses centered on cybersecurity are fast-progressing, discussions on security culture areas such as security policies and the security acceptability of employee are relatively insufficient. Requiring employee to accept inconveniences or constraints simply because they are needed for security cannot be justified, nor can security education alone solve problems. This study aims to compare and analyze the differences in the perception and acceptance of corporate security officers and general staff in what current security policies should be strengthened in teleworking environments. The study found that both security threats and changes in importance were agreed, but that there was a difference in perception between security officers and general employees about the measures. Security policies must respond to changes in the environment and at the same time consider the acceptability of employee. Therefore, it is necessary to measure and manage the acceptability of employee as key indicators to implement the security culture that is based on trust and accountability beyond the necessary technical security measures for telecommuting.

데이터마이닝 기법을 적용한 보안정책서버의 경보데이터 분석

신문선,류근호 충북대학교 컴퓨터정보통신 연구소 2002 컴퓨터정보통신연구 Vol.10 No.2

최근 네트워크 구성이 복잡해짐에 따라 정책기반의 네트워크 관리기술에 대한 필요성이 증가하고 있으며, 특히 네트워크 보안관리를 위한 새로운 패러다임으로 정책기반의 네트워크 관리 기술이 도입되고 있다. 보안정책 서버는 새로운 정책을 입력하거나 기존의 정책을 수정, 삭제하는 기능과 보안정책 결정 요구 발생시 정책결정을 수행하여야 하는데 이를 위해서는 보안정책 실행시스템에서 보내온 경보 메시지에 대한 분석 및 관리가 필요하다. 따라서 이 논문에서는 정책기반 네트워크 보안관리 프레임워크의 구조 중에서 보안정책 서버의 효율적인 보안정책 수립 및 수행을 지원하기 위한 경보데이터 관리기를 설계하고 구현한다. 그리고 경보 데이터 저장과 분석을 위해서 데이터베이스 스키마를 설계하고 저장된 경보데이터를 분석하는 모듈을 구현한다. 또한 데이터 마이닝 기법을 적용하여 경보 관리기나 고수준 분석기가 효율적으로 경보데이터를 분석하고 능동적인 보안정책관리를 지원할 수 있도록 한다. Recently, a number of network systems are developed rapidly and network architectures are more complex than before, and a policy-based network management should be used in network system. Especially, a new paradigm that policy-based network management can be applied for the network security is raised. Architecture of the policy-based network management has hierarchical structure that consists of management layer and enforcement layer. A security policy server in the management layer can generate new policy, delete, update the existing policy and decide the policy when security policy is requested. The server needs some information to perform these faculties. The security server needs to analyze and manage the alert message received from server policy enforcement system in the enforcement layer for the available information. In this paper, we not only design database schema to store the alert data and the alert analyzer to support the proceeding and making of security policy efficiently in framework of the policy-based network security management, but also implement an alert analyzer that analyze the stored alert data. We also propose a data mining system for the analysis of alert data. It is a helpful system to manage the fault users or hosts. The implemented mining system supports alert analyzer and the high level analyzer efficiently for the security policy management.

조직의 정보보안 목표 설정과 공정성이 보안정책 준수의도에 미치는 영향

황인호,김승욱 한국디지털정책학회 2018 디지털융복합연구 Vol.16 No.2

전 세계적인 정보보안 위협의 증대에 따라 조직들은 보다 전문화된 정보보안 정책 및 시스템을 도입 및 활용에 투자 비중을 높이고 있다. 정보보안은 보안 시스템 및 정책을 이행하는 조직원들의 참여가 무엇보다 필요하며, 조직 내부의 보안 수준을 높이기 위해서는 조직원들의 정보보안 준수의도 향상을 위한 조직의 체계적인 지원이 무엇보다 필요하다. 본 연구는 정보보안 분야에 공정성이론과 목표설정이론을 적용하여 조직원의 정보보안 준수의도를 높이기 위한 매커니즘을 찾는다. 즉, 보안정책 목표설정이 조직원들의 보안관련 공정성 인식수준에 긍정적인 영향을 미치고, 공정성은 준수의도에 긍정적인 영향을 미친다는 연구모델 기반 가설 검증을 실시한다. 연구대상은 정보보안 정책을 도입한 조직의 조직원들이며, 설문조사를 통하여 유효샘플 383개를 수집하였다. 연구가설 검증은 구조방정식 모델링을 실시하였다. 보안정책 목표 요인(목표 난이도, 목표 구체성)이 조직원의 보안관련 공정성 인식을 높이며, 보안관련 공정성(분배, 절차, 그리고 정보 공정성)이 준수의도에 긍정적 영향을 주는 것으로 나타났다. 결과는 조직의 보안 정책에 대한 조직원들의 준수의도 향상을 위한 전략적 접근 방향을 제시한다. The threat to information security is growing globally. To this, organizations are increasing the weight of adapting and operating the more specialized information security policy and system. Information security requires participation from the employees who execute the security system and policy, and to increase the level of organization’s internal security, requires organization’s systematic support to improve employees’ information security compliance intention. This research finds the mechanism for improving employee’s information security compliance intention by applying justice theory and goal setting theory in information security. We use structural equation modeling to verify the research hypothesis, and conducted a survey on the employees of organization with information security policy. In other words, this research performs verification of the research model based hypothesis which claims that security policy goal setting has positive influence on employee’s level of security related justice recognition, and claims that justice has positive influence on compliance intention. The object of study is the employees of the organization that adapts information security policy, and 383 valid samples were collected via survey. Structural equation modeling was performed to verify the research hypothesis. The result shows that security policy goal factor (goal difficulty, goal specificity) improves employee’s security related justice recognition, and that security related justice (distribution, process, and information justice) has positive influence on compliance intention. The result suggests the strategic approach directions for improving employees’ compliance intention on organization’s security policy.

보안정책에 대한 편향적 사고가 보안준수 행동에 미치는 영향

허준,안성진 한국컴퓨터교육학회 2020 컴퓨터교육학회 논문지 Vol.23 No.1

From the perspective of compliance with security policies by members of the organization, which is a major cause of security incidents, this study presented biased thinking as factors that affect compliance with security policies and verified the following: First, the impact of biased thinking on security policies on compliance with security policies is verified. Second, the participation of management, perceived risk, education and punishment of management will verify the adjustment effect of increasing or decreasing biased thinking. Finally, we have verified that compliance attitudes have a significant impact on compliance behavior. To this end, 157 people were surveyed, statistical analysis of research models and structural equations, and conformity analysis were conducted. Studies have shown that biased thinking has a negative effect on the attitude of compliance with information security. In addition, it was analyzed that the attitude of compliance with information security policy increases policy compliance behavior. On the other hand, the higher the perceived risk of information security, the lower the bias was the adjustment effect, but management's participation, education and punishment were found to have no adjustment effect. 보안사고 예방을 위한 많은 노력에도 불구하고 조직구성원의 보안행동과 연관된 정보유출, 랜섬웨어 등 치명적 보안사고 피해는 해마다 늘어나고 있다. 이 연구에서는 보안사고의 주요한 원인인 조직원의 보안정책 준수의 관점에서, 보안정책 준수에 영향을 주는 요인으로 편향적 사고를 제시하고 다음을 검증하였다. 첫째, 보안정책에 대한 편향적사고가 보안정책준수 태도에 주는 영향을 검증한다. 둘째, 경영진의 참여, 지각된 위험성, 교육 및 처벌이 편향적 사고를 증가 또는 감소시키는 조절 효과를 검증한다. 마지막으로, 보안정책준수 태도가 준수행동에 유의미한 영향을 주는 지 검증하였다. 이를 위해 157명을 대상으로 설문조사를 실시하고 연구모형 및 구조방정식 통계적 분석, 적합성 분석을 실시하였다. 연구결과 편향적 사고는 정보보안 정책준수 태도에 부정적 영향을 주는 것으로 나타났다. 또한 정보보안 정책준수 태도는 정책준수 행동을 증가시키는 것으로 분석되었다. 한편, 조직원 개인이 정보보안에 대한 위험성을 높게 지각할수록 편향적 사고를 감소시키는 조절효과가 있었으나, 경영진의 참여, 교육 및 처벌은 조절효과가 없는 것으로 나타났다. 향후, 연구결과는 내부조직원에 의한 보안사고 대처방안에 시사점을 줄 것으로 기대된다.

정보보안 관련 업무 스트레스가 직무 소진을 통해 정보보안 정책 저항에 미치는 영향

황인호(In-Ho Hwang) 한국전자통신학회 2024 한국전자통신학회 논문지 Vol.19 No.2

Ⅰ. 서 론 Ⅱ. 이론적 배경 Ⅲ. 연구 모델 및 측정 Ⅳ. 분 석 Ⅴ. 결 론 References 최근, 정보보안이 사회적으로 중요하게 인식되면서 조직들은 정보보안 정책 도입 및 전문 인력을 확보하고, 조직원들에게는 정보보안 준수를 요구하고 있다. 하지만, 기존 업무 체계를 변화시킨 정보보안 정책의 도입은 조직원들의 업무적 저항을 발생시킬 수 있다. 본 연구는 업무 체계를 반영하지 못한 보안 정책이 업무 스트레스를 발현시킬 수 있음을 고려하여, 보안에 의한 업무 스트레스가 개인의 직무 소진 및 조직의 정보보안 정책저항으로 연계되는 메커니즘을 설명하고자 하였다. 선행연구를 반영하여 연구 모델 및 가설을 설정하고, 정보보안 정책을 도입한 기업의 조직원들로부터 확보한 데이터를 활용하여 구조방정식모델링을 하였다. 검정 결과, 업무 모호성과 업무 장애가 직무 소진(감정 소진 및 심리적 이탈)을 통해 정보보안 정책 저항으로 연계되는 것을 확인하였다. 본 연구는 급격한 정보보안 정책의 적용이 조직원의 반발을 일으킬 수 있으며 원인이 스트레스에 있음을 제시하여, 역설적으로 조직 맞춤형 보안 정책의 도입 필요성을 제언한다.

정보보안정책 준수가 정보보안능력 및 행동에 미치는 영향 분석

강다연(Dayeon Kang),장명희(Myunghee Chang) 한국항만경제학회 2014 韓國港灣經濟學會誌 Vol.30 No.1

최근 발생한 고객정보유출사고는 조직의 정보보안 강화에 대한 관심과 전담조직의 중요성을 고조시키고 있다. 이에 따라 기업들은 정보보안 강화를 위해 정보보안정책을 마련하고 있으며, 조직구성원들로 하여금 보안정책을 준수하도록 권고하고 있다. 해운항만 조직에서도 정보보안을 위해 정보보안정책을 체계화시키고 조직구성원들의 정보보안능력과 정보보안행동을 평가할 필요성이 있다. 본 연구의 목적은 해운항만조직 구성원들을 대상으로 정보보안정책 준수 정도가 정보보안능력과 정보보안행동에 미치는 영향을 분석하는데 있다. 분석결과, 먼저 해운항만조직 구성원의 정보보안정책 준수에 영향을 미치는 요인으로 정보보안규범과 정보보안교육을 확인할 수 있었고, 정보보안처벌은 정보보안정책 준수에 유의한 영향을 미치지 않는 것으로 분석되었다. 해운항만조직 구성원의 정보보안정책 준수정도는 정보보안능력과 정보보안행동에 유의한 영향을 미치는 결과를 확인할 수 있었다. Recent accidents of customer information leakage increase the necessity of information security for organization and the importance of information security team for it. To strengthen information security, organizations make information security policy and ask the members to comply with it. In this regard, maritime organization also needs to structure information security policy and examine its ability and behavior. The purpose of this study is to analyze the effects of compliance with information security policy on the ability and behavior of workers in shipping and port organization. The results of investigation show that information security education and norm affect compliance with information security of the workers. On the contrary, the punishment of information security is insignificant. It is shown that the degree of compliance with information security significantly affects its ability and behavior of the workers in shipping and port organization.

산업보안정책과 준수비용이 산업보안 실무자의 행동결정에 미치는 영향

신소영(Shin, So-Young),김창호(Kim, Chang-Ho) 한국민간경비학회 2015 한국민간경비학회보 Vol.14 No.4

본 연구는 산업보안 실무자를 대상으로 보안정책 준수행동에 관한 연구이다. 타 논문과는 다르게 보안정책의 형식적 측면과 인지된 준수비용이 보안담당자들로 하여금 준수행동에 미치는 영향을 확인하고자 하였다. 이러한 연구목적을 위하여 한국산업기술보호협회에서 실시하는 산업보안교육 수강생들을 대상으로 설문지를 배포 및 자료 분석 후 다음과 같은 결론을 얻었다. 첫째, 보안정책 특성 중 간결성은 인지된준수비용에 부정적인 영향을 미친다. 둘째, 인지된 준수비용은 보안정 책 준수행동에 부정적인 영향을 미친다. 셋째, 보안정책 특성 중 명확성은 보안정책 준수행동에 긍정적인 영향을 미친다. 넷째, 인지된 준수비용은 매개변수로써 산업보안정책 특성과 보안정책 준수의지 간의 관계에서 유의한 영향력을 가진다. 이러한 연구결과를 바탕으로 본 연구에서는 산업보안 정책 수립 시 고려해야 할 방향성을 제시하여 향후 효과적인 산업보안 영역 정책 및 규정에 따른 보안담장자의 준수행동 함양을 도모하고자 하였다. This paper is a study on the industrial security specialists of organizations in possession of industrial technology and their compliance motivations towards security policies. Unlike other articles, the effects of formal aspect of security policies on security specialists and their willingness to comply with policies were investigated. Survey questionnaires are collected from the participants of a regular educational program provided by the Korean Association for Industrial Technology Security (KAITS). Through various statistical analyses, acquired results are as followed. First, brevity, one of the characteristic features of security policies, has negative influences on recognized response costs. Second, response costs exert negative effects on the compliance motivations towards security policies. Third, clarity, a character of security policies, brings about a positive implications for compliance motivations. Fourth, recognized response costs are revealed significant leverage as a mediating effects in the relations between characteristics of industrial security policies and compliance motivations. In this paper, we suggest a considerable direction for establishment of industrial security policies and promote the willingness of specialists to comply with policies in regard to industrial security policies and regulations in the future.

역할기반 접근 제어를 적용한 데이터베이스 보안 시스템에서의 보안 정책 최소화

정민아,이광호 한국정보통신학회 2005 한국정보통신학회논문지 Vol.9 No.7

There are many security models for database systems using policy-based access control. RBAC (Role-based Access Control) is used for complementing MAC (Mandatory Access Control) and DAC (Discretionary Access Control) and is for performing flexibly security policies meet applied environment. We implemented the database security system that applies DAC, MAC, and RBAC to meet security requirements of users. However, security policies are constructed redundantly whenever security policies are needed to each user in this system. Even though the proposed security system can flexibly control more complicated ‘read’ access to various data sizes for individual users, it is obvious that there is a possibility that a new policy can be a duplication of existing policies. In this paper, we introduce the problem of policy duplication and propose the policy management module. With this proposed module, constructed policies are checked for duplication and deleted or merged with existing policies. 데이터베이스 보안을 위해 주로 정책기반 접근 제어를 이용하며, 이 중 역할 기반 접근 정책의 도입은 강제적 접근 제어 정책과 임의적 접근 제어 정책의 단점을 보완하고자 하는 노력으로, 이를 통하여 적용 환경의 상황에 적합한 보안 정책을 유연하게 시행할 수 있다. 최근 사용자의 다양한 보안 요구사항을 수용하기 위해 정책기반 접근 제어 정책을 변형 및 적용하여 데이터베이스 보안 시스템을 구현한 바 있다. 이러한 시스템에서 보안 정책은 새로운 접근 제어가 필요할 경우 정책을 추가 생성하므로 같은 사용자에 따른 정책들의 중복 현상이 나타나 시스템의 성능을 저하시킬 수 있다. 본 논문에서는 기존의 접근 제어 정책을 변형 및 조합하여 적용한 데이터베이스 보안 시스템에서 역할 기반 접근 제어 정책을 적용하는 과정에서의 정책 중복의 문제를 소개하고 이를 해결하기 위한 정책 관리 모듈을 제안하고자 한다. 정책 관리 모듈은 사용자별로 생성되는 정책에 대하여 중복여부를 검사하고 중복된 정책에 대하여는 삭제하며, 사용자 별로 이미 생성된 정책에 데이터 그룹에 대한 접근 제어 정책을 통합할 수 있도록 구현하였다.