금융권의 제로 트러스트 보안모델 적용방안에 관한 연구

배재권 글로벌경영학회 2023 글로벌경영학회지 Vol.20 No.5

코로나바이러스 감염증(COVID-19)로 인한 클라우드 컴퓨팅(cloud computing) 기술의 적용확대와 재택근무 및 원격근무의 증가, 이로 인해 변화된 하이브리드 업무환경이 새로운 보안문제를 가져오게 되었다. 전통적인 경계보안모델(Perimeter Security Model)은 네트워크 경계를 명확히 구분하기 어려워 다양한 장치와 환경을 관리하고 보호하는데 한계점을 지닌다. 이를 극복하기 위한 대체 보안전략으로 제안된 제로 트러스트(Zero Trust) 모델은 기업 인프라와 워크플로우를 구성하는 연결 구성요소인 활용자산과 행위주체에 대한 신뢰를 갖지 않는다는 것을 전제로 한다. 금융권은 보안 강화의 수단으로 제로 트러스트 보안모델을 적극적으로 도입하려는 움직임을 보이고 있다. 고도화된 사이버보안위협의 대응 및 보안정책의 강화, 금융권 제로 트러스트 보안모델의 적용가능성 및 필요성에 대한 요구가 확대된 것이다. 본 연구는 금융 거버넌스 및 제로 트러스트 원칙, 성숙도 모델의 요소, 그리고 전문가 인터뷰의 내용 결과를 바탕으로 금융계에 접목할 제로 트러스트 보안모델의 구성요소를 제안하였다. 금융권 제로 트러스트 보안모델은 경계보안계층, 권한정의계층, 행위탐지계층, 내부통제계층의 4계층과 8개의 세부단계로 구성된다. 본 금융권 제로 트러스트 보안모델은 금융권에서 제로 트러스트 도입 시 고려해야 할 핵심요소와 구축단계에 대한 가이드라인을 제시할 것으로 기대한다. The changed hybrid work environment such as the expansion of cloud computing technology and the increase in telecommuting due to the coronavirus infection (COVID-19), has brought about new security problems. The traditional perimeter security model has limitations in protecting various devices and environments because it is difficult to clearly distinguish network boundaries. The Zero Trust model, which has been proposed as an alternative security strategy to overcome this, is based on the premise that there is no trust in the assets and actors that are connected components when configuring corporate infrastructure and workflow. The financial sector is actively seeking to introduce the zero trust security model as a means of strengthening security. Demand for responding to advanced cyber-security threats, strengthening security policies, and applicability and necessity of a zero trust security model in the financial sector has expanded. This study proposed the components of a zero trust security model to be applied to the financial world based on financial governance and zero trust principles, components of the maturity model, and the results of expert interviews. The zero trust security model in the financial sector consists of four layers and eight detailed steps: perimeter security layer, authority definition layer, behavior detection layer, and internal control layer. This zero trust security model for the financial sector is expected to provide guidelines for key elements and construction steps to be considered when introducing zero trust in the financial sector.

7S 모델과 경쟁가치 모델을 활용한 기업보안 조직문화 진단 도구 개발

임효창,권윤화,박소희,한혜중 한국경영컨설팅학회 2017 경영컨설팅연구 Vol.17 No.3

지식정보사회가 심화되면서 개별 기업에서 기업보안과 정보보호의 중요성은 점차 증가하고 있다. 외부인의 해킹에 의한 피해뿐만 아니라 내부 구성원에 의한 정보 유출 문제는 기업 경영에 심각한 부정적 영향을 줄 수 있다. 기업보안과 정보보호 관련 그동안의 연구는 주로 정보보호 기술이나 정보보호 관리체계에 초점을 두었다. 반면 기업 비전과 전략 달성을 위해 전사적으로 기업보안문화를 어떻게 형성해야 하는지에 대한 연구는 부족하였다. 본 연구는 조직문화 진단 프레임웍인 7S 모델과 경쟁가치 모델을 활용하여 기업보안문화를 측정할 수 있는 진단도구 개발을 목적으로 진행되었다. 7S 모델에 의해 전사적인 기업보안문화 진단 도구를 개발하였으며, 경쟁가치 모델에 의해 기업보안 부서에 대한 조직문화 진단 도구를 개발하였다. 연구결과를 바탕으로 시사점과 연구한계를 논의하였다. As the knowledge and information society grows, the importance of enterprise security and information protection in firms is increasing. In addition to the damage caused by hacking, information leakage by organizational members can have a serious negative impact on business management. The previous research on enterprise security and information protection has mainly focused on information security technology and information protection management system. On the other hand, there was a lack of research on how to form an enterprise security culture for corporate vision and strategy achievement. The purpose of this study is to develop a diagnostic tool to measure enterprise security culture using 7S model and competitive value model. I developed the enterprise security culture diagnosis tool using 7S model and developed the organizational culture diagnosis tool for enterprise security department using the competitive value model. Based on the results of the study, implications and research limitations were discussed.

정보시스템 감리 보안점검 성숙도 모델

이수현,박대하 보안공학연구지원센터(JSE) 2015 보안공학연구논문지 Vol.12 No.2

본 논문에서는 정보시스템 감리 시 체계적인 보안 점검을 수행하고, 정보화 사업 수행 시 보안 측 면의 안정성 향상에 도움을 줄 수 있는 정보시스템 감리 보안점검 성숙도 모델과 그 활용 방안을 제 시하고자 한다. 보안 점검항목의 충분성과 일관성 결여 대한 문제를 해결하고자 성숙도 기반의 IT 국 제 기준인 ISM3와 SSE-CMM의 연구를 통해 충분성을 점검하고, 보안 점검항목의 일관성 확보를 위 해 정보시스템 감리 보안점검 성숙도 모델인 ISA-SCMM을 제안하였다. 본 모델은 정보시스템 계획, 설계, 구축, 운영 등의 과정에서 이뤄져야 할 보안 활동으로 10개 영역, 54개의 보안 점검항목으로 구 성하고, 정보화 사업의 특성과 비용 및 효율을 고려하여 3단계의 등급과 활용방안을 제시하고 있다. This paper proposes a security check maturity model and how to apply the model to support performing the effective security check for information system audit and improve the security stability of ICT business. ISA-SCMM is developed to solve the problem of lacking security check items in current Korean information system audit criteria and to guarantee the sufficient security check items consistent with maturity based global IT criteria such as ISM3 and SSE-CMM. ISA-SCMM is a security measure that be performed on several processes such as information system planning, designing, constructing, and operating. It is made up with 10 areas, 54 security check items and 3 steps of level, which can be applied for considering the characteristics and cost efficiency of ICT businesses and organizational requirements.

보안문화 모델 개발을 위한 연구동향 분석 : 조직적 관점을 중심으로

주영지,김정덕,이창무 한국경호경비학회 2023 시큐리티연구 Vol.- No.76

디지털 시대에서 조직의 보안을 유지하려면 기술 중심의 전략뿐만 아니라 인간 중심의 접근 방식이 필요하다. 내부 직원 및 협력사의 부주의나 악의적 행동으로 인한 사이버 보 안 사고가 증가하고 있으며, 디지털 전환과 MZ 세대의 조직 내 구성원 증가로 인해 새로운 보안 패러다임이 필요한 시점이다. 인간 중심 보안 전략은 조직 구성원이 보안을 자발적으 로 책임지고 조직 문화에 적합한 보안행위를 촉진한다. 조직 문화와 전략은 밀접하게 연결 되며, 전략과 문화가 조화롭게 결합되지 않으면 성공이 어려울 수 있다. 보안문화 모델은 조직의 보안문화를 이해하고 분석하며 문제점을 진단하고 개선 방안을 제시하기 위한 이론적 모델을 의미한다. 본 논문에서 보안문화 관련 연구를 조직적, 인적, 기술통제적 관점으로 구분하고, 보안 분야의 연구에서 사용된 주요 이론적 배경과 조직적 관점의 하위문화, 리더십, 커뮤니케이션에 관련된 보안문화 모델들을 조사하였다. 이를 통 해, 1) 조직적 관점의 보안문화 관련 연구 동향을 이해하고, 2) 보안문화 모델 개발을 위한 차별적인 연구방향을 제시하고, 3) 선행 연구들의 한계점을 파악하고 이를 해결하기 위한 향후, 연구 방향을 제시하고자 한다. The security culture model refers to a theoretical model used to understand and analyze an organization's security culture, and can identify the security cultural characteristics of the organization, diagnose problems, and suggest improvement measures. To develop such a security culture model, theoretical background and subculture, leadership, communication, and security culture models, which were proposed to diagnose and improve security culture were investigated. Through this, we intend to 1) comprehend the research trends related to the organizational perspective of security culture, 2) propose distinctive research directions for the development of a security culture model, and 3) seek to identify the limitations of prior research and provide future research directions to address these limitations.

해상보안관리 분석모델 개발에 관한 연구

정우리(Woo-Lee, Jeong) 한국항해항만학회 2012 한국항해항만학회지 Vol.36 No.1

해적과 테러공격에 의한 해상보안사고는 해상운송이 발생한 이후에 지속적으로 증가하고 있다. 하지만 기존의 해양사고 조사방법으로 해상보안사고를 조사하고 문제점을 파악하는데 한계가 있으므로 해상보안관리를 위한 분석모델을 개발할 필요가 있다. 이러한 분석모델을 개발하기 위해 해상운송에서 해상보안관리 위협대상을 선박, 화물의 종류, 항만시스템, 인적요소, 정보흐름으로 구분하고, 이에 대한 위험평가기준을 마련하여 해상보안사고 발생가능성 4등급으로 구분하였다. 또한 해상보안관리 관련 이해관계자를 단계별로 구분하여, 국제기구, 각국정부, 해운회사, 선박에서 이루어지고 있는 각종 보안제도들의 동향을 통해 분석모델의 기본틀을 마련하였다. 해상보안관리 관련 단계주체별 이해관계자들이 시행하고 있는 각종 보안제도를 상향식 및 하향식의 의사결정 및 이행방식을 토대로 하여 해상보안관리 분석모델을 개 발하였으며, 실제 Petro Ranger호에서 발생한 해상보안사고 사례를 적용하여 유효성을 입증하였다. Maritime security incidents by pirates and by terrorists increase, but maritime incidents investigation models are limited to figure out the maritime security incidents. This paper provides the analysis model for maritime security incidents. To develop this analysis model, this categorizes five threat factors, the ship, the cargo type, port system, human factor, information flow system, makes the risk assessment matrix to quantify the risk related to threat factors and classifies four priority categories of risk assessment matrix. Also, this model makes from the frameworks which include a variety of security initiatives implementing in stakeholder levels like international organizations, individual governments, shipping companies, and the ship. Therefore, this paper develops the Analysis for Maritime Security Management model based on various security initiatives responding to the stakeholder levels of maritime security management and top-bottom/bottom-up decision trees, and shows the validity through verifying the real maritime security incident of M/V Petro Ranger.

그레이박스를 사용한 컴포넌트의 관심사 분리 보안 모델

김영수(Young Soo Kim),조선구(Sun Goo Jo) 한국컴퓨터정보학회 2008 韓國컴퓨터情報學會論文誌 Vol.13 No.5

컴포넌트에 대한 의존도 및 활용도가 증가하면서 컴포넌트의 보안성 강화를 위한 필요성이 증가하고 있다. 컴포넌트는 재사용을 통한 소프트웨어의 개발 생산성을 향상시키는 이점을 제공한다. 이러한 이점에도 불구하고 컴포넌트의 보안 취약성은 재사용에 제한을 한다. 이의 개선을 위해 컴포넌트의 보안성을 높이는 경우에 가장 문제가 되는 부분이 재사용성에 대한 제한이 확대된다는 것이다. 따라서 컴포넌트의 재사용성과 보안성을 동시에 고려하는 컴포넌트의 모델이 제공되어야 한다. 이의 해결책으로 정보은폐와 수정의 용이성을 제공하여 보안성과 재사용을 확대할 수 있도록 재사용 모텔을 결합하고 포장 및 애스펙트 모델을 통합한 컴포넌트 재사용 확대를 위한 관심사의 분리 보안 모델을 제안하고 응용시스템을 구축하여 모델의 적합성을 검증하였다. 이의 응용은 핵심 및 보안 관심사의 분리를 통한 컴포넌트 기능의 확장과 수정의 용이성을 제공함으로써 보안성을 높이는 동시에 재사용성을 확대한다. As the degree of dependency and application of component increases, the need to strengthen security of component is also increased as well. The component gives an advantage to improve development productivity through its reusable software. Even with this advantage, vulnerability of component security limits its reuse. When the security level of a component is raised in order to improve this problem, the most problematic issue will be that it may extend its limitation on reusability. Therefore, a component model concerning its reusability and security at the same time should be supplied. We suggest a Separation of Concerns Security Model for Extension of Component Reuse which is integrated with a wrapper model and an aspect model and combined with a reuse model in order to extend its security and reusability by supplying information hiding and easy modification, and an appropriate application system to verify the model's compatibility is even constructed. This application model gives the extension of component function and easy modification through the separation of concerns, and it raise its security as well as extends its reusability.

체계적인 보안 정책 관리를 위한 계층적 보안 모델 설계

황윤철,엄남경,장재웅,이상호 충북대학교 컴퓨터정보통신 연구소 2001 컴퓨터정보통신연구 Vol.9 No.1

인터넷 서비스의 다양화와 인터넷을 구성하는 네트워크의 대형화로 인해 다양한 특성을 갖는 구성요소와 환경 등의 요인으로 시스템간의 거래에 대한 보안정책 설정 및 제어가 어려운 문제로 등장하고 있다. 보안 정책 기술이란 인터넷상에서 정보보호 기능을 구현할 때 적용하는 정책들에 대한 검색, 접근제어, 분배 및 처리하는 기술을 의미한다. 이 논문에서는 이러한 현실적인 문제를 해결하기 위해 대형화되어 가는 인터넷 전체에 걸쳐 효율적으로 적용할 수 있는 계층적 구조의 보안 정책 모델을 설계한다. Security policy association and control about transaction between systems must be hard problem to solve because of the environment and composite factors with variable properties by diversity of internet service and enlarging a scale of organizing internet. Security policy technique means retrieval, access, control, distribute and process technique about adoptable policies when implementation is information security function on internet. In this paper, to solve this actual problems, Design of a hierarchical structure security policy model applicable to internet.

건강신념모델을 이용한 기업 정보보안 행동에 관한 연구

조성배 ( Sung Bae Cho ),권두순 ( Do Soon Kwon ),이미영 ( Mi Young Lee ) 한국중소기업학회 2014 中小企業硏究 Vol.36 No.2

최근 IT 비즈니스 환경의 급격한 성장과 아울러 정보 보안에 관한 이슈가 대두되고 있다. 특히 오늘날의 보안 위험은 특정 대상을 목표로 은밀하게 오랜 기간을 통해 이루어지고 있으며, 이는 기업 이미지 훼손 및 금전적 손실 등의 심각한 결과를 초래할 가능성이 있다. 이에 각종 보안위험에 대한 예방 및 대응을 위하여 정부는 금융, 통신, 의료 등 각 분야에 다양한 정보보안 규제 강화를 하고 있다. 이와 관련하여 각 기업에서도 정보보호 전담조직을 구성하여 전사적 측면의 보안정책을 수립하고 정보보호시스템을 도입하는 등 다양한 정보보안 활동을 수행하고 있다. 하지만 분산서비스거부공격(DDoS : Distributed Denial of Service)이나 지능형 지속 위협 공격(APT : Advanced Persistent Threat) 그리고 내부 직원에 의한 정보유출 등으로 인해 전산망이 마비되거나 기업 내고객정보 및 중요정보가 유출되는 등의 각종 보안사고가 지속적으로 발생하고 있는 실정이다. 본 연구는 국내 기업의 정보보안 행동에 영향을 미치는 영향요인들을 파악하고 이들 요인이 기업의 정보보안 행동에 어떠한 영향을 미치는지 실증 검증하고자 한다. 기업의 정보보안 활동을 촉진할 수 있는 요인들을 찾아내기 위해 건강신념모델을 이용하여 연구모형을 제시하였다. 연구모형을 실증적으로 검증하기 위해 국내 기업의 정보보안 실무 담당자들을 대상으로 설문조사를 실시하였으며, 설문조사를 통해 총 107부의 표본을 수집하였다. 또한, 요인들 간의 관계를 분석하기 위해 경로분석을 실시하였다. 경로분석결과 건강신념모델의 지각된 심각성, 지각된 개연성, 지각된 장애를 통해 매개변수인 대응성에 유의한 영향을 미치고 종속변수인 기업 정보보안 행동에 유의한 영향을 미치는 것으로 나타났다. 이를 통해 기업에서는 보안위험에 대한 예방 및 대응을 위해서 관련 보안규정 및 지침을 수립하고 정보보안 솔루션 도입을 지원해야 하는 것은 물론 직원들의 정보보안 인식을 향상시키기 위한 노력을 해야 할 것이다. The rapid growth of IT business environment incurs the issues of information security recently. Especially, today`s attack on information security progresses on a specific target for a long period of time and this may result in serious outcomes such as damage on company`s reputation or financial loss. Therefore, to prevent and respond to different kinds of security risks, the government reinforces various security risk regulations on such areas as finance, communication, or medicine. In this regard, companies are forming information security organizations, establishing company-wide security policies, and introducing information security systems. However, the reality still struggles with unceasing security accidents of different kinds, like computer network paralysis or customer/important information spills, due to DDoS (Distributed Denial of Service) or APT (Advanced Persistent Threat) and information spills by the insiders. The purpose of the study is to figure out major factors that influence the information security behaviors of Korean companies and empirically verify the effects of these factors on companies` information security behaviors. A research model is proposed based on Health Belief Model, which is expected to influence the companies` information security behaviors and emphasizes the promotion of company information security behaviors. The total of 107 samples are collected through the questionnaires which are conducted on the Korean companies` information security staff. The path analysis is performed to analyze the relationships among the factors and find that the perceived severity, probability, and barriers of Health Belief Model significantly affect the behaviors of corporate information security via the parameter of responsiveness. Based on the results, companies should establish rules and guidelines on information security and adopt information security solutions for the prevention of and coping with the information security risks and also make efforts to improve the employees` information security awareness.

보안처분의 재범위험성 판단시기에 대한 입법론 연구 : 형 집행 종료 후 보안처분을 중심으로

장진환(Chang, Jin-Hwan) 한국형사법학회 2021 형사법연구 Vol.33 No.3

현행 법률에 따르면 보안처분의 선고유무를 판단하는 판단시점은 주로 형벌의 선고시점으로 규정되어 있다. 그러나 대부분의 보안처분은 형벌의 집행이 종료된 이후에야 집행이 되므로, 이 경우 보안처분의 선고시점과 보안처분의 집행시기 사이에는 자연스레 시간적 차이로 인해 보안처분의 선고 근거인 재범위험성이 제대로 평가되지 못하는 문제점이 발생할 수 있다. 본 글에서는 이러한 문제점을 해결하기 위해 보안처분의 선고시점과 관련하여 생각해 볼 수 있는 입법모델을 정리하여 비교 분석해보았다. 검토 결과 신상정보의 공개 및 고지와 취업제한 명령과 관련해서는 선고된 형벌이 단기인 경우에는 형벌 선고시형 모델이 타당하고, 선고된 형벌이 장기인 경우에는 유보적 모델과 중간심사 모델이 도입되는 것이 타당하다. GPS전자감독, 성충동 약물치료, 보호감호제도의 경우에는 장, 단기의 구별 없이 유보형 판단모델 및 중간 심사형 판단모델의 도입을 검토해 볼 필요가 있다. The current laws and regulations mainly stipulate that the timing as to whether a decision on a security measure should be rendered is at the time of sentencing. However, most security measures are executed only after the completion of sentence, which naturally leads to a difference between the time when a security measure is pronounced and the time when that security measure is executed. Due to this time difference, the risk of recidivism, which is the ground for pronouncing a security measure, might not be properly evaluated. In order to solve this problem, this paper compiles, compares and analyzes legislative models that can be considered in relation to the timing of the pronouncement of security measures. With respect to the disclosure and notification of personal information and the employment restrictions, the review concludes that for cases involving short-term sentences, it would be reasonable to apply the time of sentencing-based model, and for cases involving long-term sentences, it would be reasonable to apply the deferred decision model and the interim review-based decision model. With respect to the systems of GPS-based electronic monitoring, pharmacological treatment for sexual impulses and protective custody, it would be necessary to review the introduction of the deferred decision model and the interim review-based decision model for both cases involving long-term and short-term sentences.

국가물류보안체계 고도화를 위한 물류보안표준참조모델 구축

서상범(Seo, Sang-beom),이정윤(Lee, Jung-Yoon),김혜진(Kim, Hye-Jin) 한국물류학회 2009 물류학회지 Vol.19 No.2

물류보안과 관련된 규제 및 규정들이 국가, 국제기구 들 다양한 주체들로부터 양산되고 있어 국내 기업들이 효과적으로 대응하는데 어려움을 겪고 있다. 대외 무역 의존도가 높은 우리나라의 경우 글로벌 물류보안 강화 추세에 대응하기 위한 정부 및 민간 차원의 협력과 제도 마련이 시급하나, 우리나라는 아직까지 국가보안이나 수출입 물류 분야에 국한하여 국제적인 보안체제에 대응하는 수준에 머물러 있다. 글로벌 변화에 능동적으로 대응하기 위해서는 수출입 물류보안을 넘어 공급사슬망 전체를 대상으로 한 포괄적이고 체계적인 물류보안시스템을 구축해야 한다. 본 연구는 최근 글로벌 물류의 중요 현안으로 대두되는 국제 물류보안 제도를 종합적으로 분석함으로써, 우리나라 현실에 맞는 물류보안표준참조모델을 구축하기 위해 수행되었다. 이를 위해 국내외 물류보안제도 및 관련 동향을 분석하고, 이를 기반으로 물류보안표준참조모델 구축안과 그 활용방안을 제시하였다. 이처럼 공급사슬 전반에 걸친 효율적인 물류보안 대응체계를 구축하는 작업은 물류보안이 더 이상 무역장벽이 아닌 국가경쟁력의 핵심요소로 자리매김하는 데 기여할 수 있을 것으로 기대된다. Global supply chain(SC) security has become one of the hottest topics in international trade since 9/11. Many security related regulations which had significant impact on global SC activities have been enacted by various international commitments and countries during the last decade. Because of the limited budget and information capabilities, many small and medium trading companies(both logistics and manufacturing ones) had difficulty in keeping up with the recent SCM security trends. This paper aims to introduce the concept of the Supply Chain Security Reference Model(SCSRM) and to show the usefulness of it. Based on the analysis of many international supply chain security programs, SCSRM is designed for all supply chain players to refer the right SC security activities easily. By using SCSRM, all participants in global supply chain will save much time and money in adapting themselves to new supply chain security environment.