조직 내 정보보안 기술스트레스 완화와 준수의도

황인호 ( Inho Hwang ),허성호 ( Sungho Hu ) 한국정보시스템학회 2020 情報시스템硏究 Vol.29 No.1

Purpose As information management grows in importance around the world, organizations are investing in information security technology. However, the higher the level of information security technology in an organization, the higher the techno-stress of employees. The purpose of this study is to suggest stress factors related to information security technology that affect the reduction of employees' intention to comply with information security and to suggest ways to alleviate stress. Design/methodology/approach The research presented a model for mitigating technical stress related to information security based on technical stress theory and person-organization fit theory. 346 questionnaire data were analyzed from the members of the organization who applied the information security technology, and the research hypothesis was verified through the structural equation modeling. Findings The hypothesis test confirms that security-related techno-stress reduces the information security compliance intention of employees, organizational technical support mitigates technical stress, and person-organization fitness mitigates the negative relationship between techno-stress and compliance intention. The results of the study contribute to the organization's strategy for minimizing the reduction of the information security compliance intention of employees, and are meaningful in that the theoretical basis for mitigating techno-stress is provided in the field of information security.

셉테드(CPTED)를 고려한 정보보안 관리시스템(ISO 27001)의 요구사항 개발

임헌욱,Lim, Heon-Wook 한국융합보안학회 2021 융합보안 논문지 Vol.21 No.1

본 연구의 목적은 환경설계를 통한 범죄예방인 셉테드를 정보보안 영역에 추가하고자 하였다. 정보보안 관리시스템인 ISO 27001의 통제항목(11가지)과 셉테드(CPTED)의 적용원리(6가지)를 매핑하고 항목 간 관련성에 대해서 12명의 보안전문가를 통해 FGI 회의를 통해 검증 하였다. 조사결과 관련성이 평균 60% 이상인 통제항목으로 보안정책, 물리·환경적 보안, 사고관리, 준거성 등이 있었으며, 이는 포괄적인 정책으로 환경보안인 셉테드의 항목과 전반적으로 공유하였으며, 보안조직, 자산관리, 인원보안, 운영관리, 접근통제, 시스템유지, 연속성관리 등 전문적인 통제항목은 셉테드의 각각의 항목과 매핑이 이루어 졌다. 이를 통해 정보보호 인증과 셉테드는 관련성이 있다고 할 수 있으며, 이는 보안의 3대 영역인 관리적보안, 기술적보안, 물리적보안에 환경적보안을 고려할 수 있게 되었다. The purpose of this study was to add CPTED to the information security area. The control items of ISO 27001 (11 types) and the application principles of CPTED (6 types) were mapped. And the relevance between the items was verified through the FGI meeting through 12 security experts. As a result of the survey, the control items with a relevance of at least 60% on average are security policy, physical and environmental security, accident management, and conformity. As a result, the comprehensive policy was shared with CPTED's items as a whole. The specialized control items are security organization, asset management, personnel security, operation management, access control, system maintenance, and continuity management. However, specialized control items were mapped with each item of CPTED. Therefore, information security certification and septed are related. As a result, environmental security can be added to the three major areas of security: administrative security, technical security, and physical security.

Design and Load Map of the Next Generation Convergence Security Framework for Advanced Persistent Threat Attacks

Lee, Moongoo The Institute of Electronics and Information Engin 2014 IEIE Transactions on Smart Processing & Computing Vol.3 No.2

An overall responding security-centered framework is necessary required for infringement accidents, failures, and cyber threats. On the other hand, the correspondence structures of existing administrative, technical, physical security have weakness in a system responding to complex attacks because each step is performed independently. This study will recognize all internal and external users as a potentially threatening element. To perform connectivity analysis regarding an action, an intelligent convergence security framework and road map is suggested. A suggested convergence security framework was constructed to be independent of an automatic framework, such as the conventional single solution for the priority defense system of APT of the latest attack type, which makes continuous reputational attacks to achieve its goals. This study suggested the next generation convergence security framework to have preemptive responses, possibly against an APT attack, consisting of the following five hierarchical layers: domain security, domain connection, action visibility, action control, and convergence correspondence. In the domain, the connection layer suggests a security instruction and direction in the domains of administrative, physical and technical security. The domain security layer has consistency of status information among the security domain. A visibility layer of an intelligent attack action consists of data gathering, comparison and decision cycle. The action control layer is a layer that controls the visibility action. Finally, the convergence corresponding layer suggests a corresponding system of before and after an APT attack. The administrative security domain had a security design based on organization, rule, process, and paper information. The physical security domain is designed to separate into a control layer and facility according to the threats of the control impossible and control possible. Each domain action executes visible and control steps, and is designed to have flexibility regarding security environmental changes. In this study, the framework to address an APT attack and load map will be used as an infrastructure corresponding to the next generation security.

An Analysis of Technical Security Control Requirements for Digital I&C Systems in Nuclear Power Plants

송재구,이정운,박기용,권기춘,이동영,이철권 한국원자력학회 2013 Nuclear Engineering and Technology Vol.45 No.5

Instrumentation and control systems in nuclear power plants have been digitalized for the purpose of maintenance and precise operation. This digitalization, however, brings out issues related to cyber security. In the most recent past, international standard organizations, regulatory institutes, and research institutes have performed a number of studies addressing these systems cyber security.. In order to provide information helpful to the system designers in their application of cyber security for the systems, this paper presents methods and considerations to define attack vectors in a target system, to review and select the requirements in the Regulatory Guide 5.71, and to integrate the results to identify applicable technical security control requirements. In this study, attack vectors are analyzed through the vulnerability analyses and penetration tests with a simplified safety system, and the elements of critical digital assets acting as attack vectors are identified. Among the security control requirements listed in Appendices B and C to Regulatory Guide 5.71, those that should be implemented into the systems are selected and classified in groups of technical security control requirements using the results of the attack vector analysis. For the attack vector elements of critical digital assets, all the technical security control requirements are evaluated to determine whether they are applicable and effective, and considerations in this evaluation are also discussed. The technical security control requirements in three important categories of access control, monitoring and logging, and encryption are derived and grouped according to the elements of attack vectors as results for the sample safety system.

AN ANALYSIS OF TECHNICAL SECURITY CONTROL REQUIREMENTS FOR DIGITAL I&C SYSTEMS IN NUCLEAR POWER PLANTS

Song, Jae-Gu,Lee, Jung-Woon,Park, Gee-Yong,Kwon, Kee-Choon,Lee, Dong-Young,Lee, Cheol-Kwon Korean Nuclear Society 2013 Nuclear Engineering and Technology Vol.45 No.5

Instrumentation and control systems in nuclear power plants have been digitalized for the purpose of maintenance and precise operation. This digitalization, however, brings out issues related to cyber security. In the most recent past, international standard organizations, regulatory institutes, and research institutes have performed a number of studies addressing these systems cyber security.. In order to provide information helpful to the system designers in their application of cyber security for the systems, this paper presents methods and considerations to define attack vectors in a target system, to review and select the requirements in the Regulatory Guide 5.71, and to integrate the results to identify applicable technical security control requirements. In this study, attack vectors are analyzed through the vulnerability analyses and penetration tests with a simplified safety system, and the elements of critical digital assets acting as attack vectors are identified. Among the security control requirements listed in Appendices B and C to Regulatory Guide 5.71, those that should be implemented into the systems are selected and classified in groups of technical security control requirements using the results of the attack vector analysis. For the attack vector elements of critical digital assets, all the technical security control requirements are evaluated to determine whether they are applicable and effective, and considerations in this evaluation are also discussed. The technical security control requirements in three important categories of access control, monitoring and logging, and encryption are derived and grouped according to the elements of attack vectors as results for the sample safety system.

Global Trends in the Standardization of Security and Resilience through International Organization for Standardization (ISO)

박현호 한국경찰연구학회 2021 한국경찰연구 Vol.20 No.4

본 연구는 보안 및 회복력 분야에서 표준화에 대한 새로운 글로벌 추세를 분석한다. 주요 연구대상은 국제표준기구(ISO) 기술위원회 292와 워킹그룹의 활동들이고, 보안학 및 경찰학 분야에 대한 정책 아이디어와 통찰력을 위해 ISO 표준 54개를 수집 및 분석 하였다. 이들 보안 및 안전 분야의 국제표준화가 기업체 등 조직의 유연성과 적응성을 높이고 재난이나 위기상황에서 보다 신속하게 회복할 수 있는 시스템 분야로 다양화되 고 있다는 것이 주요 분석결과이다. 보안 및 회복력과 관련된 국제표준화의 범위가 확 대됨에 따라 이 분야의 담론도 기존의 테두리 안에서 가능했던 것보다 더 포괄적인 그 림을 제공하기 위해 확장되고 있다. 이러한 표준화를 통해 더 많은 공공 및 민간 조직이 세계화와 현지화를 동시에 추구하면서 수많은 보안 위협과 손실에 비용효율적으로 대비하고 대응할 수 있다. 보안 문제는 개별 기업뿐만 아니라 산업계에서도 해결해야 할 과제이다. 이 분야 국제표준화는 COVID-19 대유행으로 인한 위기 상황에서 공공 및 민간 보안에 대한 전체적인 접근법을 지원하는 데 도움을 줄 수 있으며, 보안과 회 복력 표준화에 따른 경제적·사회학적 편익이 충분히 확인되면 이런 표준화 추세가 세 계적 규모로 지속될 것으로 예상된다. This study analyzes emerging global trends in standardization within the field of security and resilience. International Standards Organization (ISO) Technical Committee 292 and its working groups were the research subjects, and 54 security-related ISO standards were collected and explored for policy ideas and insights into the relevant area of security science. The main findings derived from the analysis are that international standardization in these security areas is diversifying into a system in which organizations, including businesses, can be more flexible and adaptable and can recover from disaster or crisis more rapidly. As the scope of international standardization related to security and resilience expands, the security discourse has grown with it to provide a more comprehensive picture than was possible within its traditional confines. This standardization allows more public and private organizations to prepare for and respond to the many security threats and losses in a cost-effective manner while simultaneously pursuing globalization and localization. Security issues are not only a challenge for businesses, but for industries as well. This international standardization helps support a holistic approach to public and private security, all the more so in the crisis brought on by the COVID-19 pandemic. When the economic and sociological benefits of the standardization of security and resilience become fully recognized, it can be expected that this trend will continue on a global scale.

한국 산업보안 관계 법령의 현황 및 개선방안

유병후(Yu, Byung-Hu) 한국민간경비학회 2020 한국민간경비학회보 Vol.19 No.4

산업보안의 중요성은 사회가 발전할수록 강조되고 있으며 우리나라의 경우도 경제규모가 늘어남에 따라 중요한 문제가 되었다. 기업의 핵심기술은 이제 국가를 지탱하는 중요한 문제가 되었으나, 아직까지도 우리나라는 산업보안에 대한 인식이 부족하고 그에 대한 보안책도 부족한 실정이다. 산업보안에 대한 범죄에 대한 인식의 결여와 처벌의 확실성의 부족으로 인하여 산업보안 범죄는 크게 줄지 않고 있는 실정이다. 이에 이 연구에서는 한국의 산업보안의 관계 법령들을 민사책임에 관한 법령, 형사책임에 관한 법령, 행정처분에 관한 법령으로 나누어 살펴보았다. 이를 바탕으로 하여 다음과 같은 개선방안을 제시하였다. 첫째, 산업보안 관련 법령의 재정비의 필요성을 제시하였다. 이를 위해 침해행위 및 처벌에 대한 규정 등에 중복이 있는 「부정경쟁방지 및 영업비밀보호에 관한 법률」과 「산업기술의 유출방지 및 보호에 관한 법률」의 통합 필요성, 임직원과 제3자의 침해행위의 처벌 차별화, 직무경험 및 직무성과 등에 대한 개념 정비의 필요성 등을 제시하였다. 둘째, 산업기술유출범죄는 그 피해액이 상당히 크고 사회 전반적 범위에 영향을 미친다는 점을 고려하여 산업보안 관련 범죄의 처벌 강화의 필요성을 제시하였다. 셋째, 산업기술 유출 사건은 이직이나 창업 등 인적 유출에 의한 사건이 다수를 차지하고 있어 이러한 경우 관련자의 신고가 매우 중요하다고 볼 수 있으므로 신고포상금 제도 강화의 필요성을 제시하였다. The importance of industrial security is emphasized as society develops, and Korea has become an important issue as the size of the economy grows. The core technology of companies has now become an important issue supporting the nation, but Korea still lacks awareness of industrial security and security measures. The lack of awareness of crimes against industrial security and the lack of certainty of punishment have not greatly reduced industrial security crimes. In response, the study examined the relevant laws of industrial security in Korea by dividing them into the Civil Liability Act, the Criminal Liability Act and the Administrative Disposal Act. Based on this, the following improvement measures were proposed. First, the need for re-organization of laws related to industrial security was presented. To this end, the need to integrate the Act on the Prevention of Unfair Competition and the Protection of Business Secrets, the Act on the Prevention and Protection of Leakage of Industrial Technology, the differentiation of punishment of employees and third parties, and the need to readjust the concept of job experience and job performance, etc. was presented. Second, the need to strengthen the punishment of industrial security-related crimes was presented in consideration of the large amount of damage caused by industrial technology leakage crimes and their impact on the overall scope of society. Third, cases of leakage of industrial technology such as turnover or start-ups were mostly caused by human outflow, so in such cases, reporting by those involved could be considered very important, suggesting the need to strengthen the reporting reward system.

중국 IPTV 시장의 발전과 법적 과제

김종우(Kim, Jongwoo) 한국정보법학회 2013 정보법학 Vol.17 No.3

중국의 IPTV 시장은 세계 최대 인구시장으로서 법적 쟁점에 대한 고찰은 중국에 진출하고자 하는 전자그룹 및 부품업체에 시사하는 바가 크다. 본 논문에서는 IPTV 관련 주요 법적 쟁점과 관련하여 표준기술의 채택문제에 대해서는 ITU-T의 IPTV 시스템구조와 안전시스템구조, 인터넷통제구조 및 설비 등을 고찰하였으며, ITU-T의 IPTV 표준제정에도 중국정부의 간여를 통해 중국의 기준을 국제규범에 맞추는 데에 적극 협력하였다는 점을 밝혔다. 이에 관련된 기술은 Web, JavaScript, H.IPTV.AM 및 IPTV 네트워크 통제 등이 있다. 중국 IPTV 감독관리문제는 중국의 여러 정부부처가 각기 다른 영업허가증을 발급해주고 있는 다원화관리의 양상을 나타내고 있으며, ≪視 聽辦法≫가 설정한 감독권과 중국정부 관련부처 감독권이 충돌하고 있어서 통신산업 관리와 문화시장 감독에 있어서 보다 분명한 가이드라인이 규정되어야 한다. IPTV 제품 사용 시의 쟁점으로는 우선 인터넷설비 시 광대역통신망 구축이 제약을 받는다는 문제를 거론하였다. 인터넷설비관리 시의 문제 또한 발생하고 있어 대책이 요구된다. IPTV의 안전보호문제는 통제와 관리, 데이터의 보장을 거론할 수 있다. 로그인기록과 같은 통제정보이용의 통제와 정보검색의 통제, 정보기밀유지준수의 통제와 정보통신안전의 통제, 정보의 완전성방면의 통제를 통한 보안의 안전추구 등이 주요 쟁점이 되고 있다. IPTV 관리에 있어서 중점을 두어야 할 부분은 로그인통제 관리 이며, 정보검색의 관리, 정보의 기밀성 관리, 정보통신안전의 관리, 정보의 완전성 관리를 통한 안전이 보장되어야 한다. 데이터에 있어서는 자원의 가용성 면에서 안전보 장이 필요시 된다. IPTV 인터넷설비 및 관리, 부분 통제에 있어서 해킹의 위협을 받는 안전문제나 지능형단말기가 직면한 안전문제 또한 해결되어야 할 과제이다. 상술한 내용이 법해석론에 입각한 중국 IPTV의 고찰이라면 네트워크전송권 보호문 제에 대해서는 嘉興시 南湖지역 법원의 판결을 통한 사례분석을 고찰하였다. 1심 판결에서 중국 저작권법은 인터넷전송행위를 전송이라고 간주하지 않고 있으며, 방송 영역에서 인터넷영역의 전송을 통제할 수 없고 또한 방송영역 내의 전송권 보호범위를 인터넷영역으로 확대하는 것은 중국정책에 불리한 영향을 끼친다고 하여 최종적 으로 嘉興華數 패소판결을 내린 것이 그 예이다. The IPTV security problem is one of the biggest obstacles which IPTV service p romotion. IPTV facing the problem of network security is a business network of its own security and safety of two aspects of business applications. To deal with security threats, only by adopting the appropriate technology in the IPTV network security, the provision of service security, the information transmission security and broadcasts based on the program content controls in four levels to implement the solution in order to protect the IPTV network security. Having a wide user basis and the ability of rapid development. IPTV business which will lead to a revolution of broadband application is becoming hotter around the globe, and it is becoming the focus of ICT market in China. China has technical and market conditions to greatly develop IPTV business. However, the situation of the business in China is uncertain. From the angle of law, the paper discusses the problems that should be concerned in the healthy development of IPTV in China from the aspects of IPTV technical standards, copyright protection and security protection of the contents.

포스트 코로나 시대의 안전국가 이론 - 패러다임의 변용에 따른 리질리언스 관리방법론을 중심으로 -

김영근 한양대학교 일본학국제비교연구소 2020 비교일본학 Vol.48 No.-

본 논문의 목적은 포스트 코로나 시대에 글로벌 패러다임의 변용에 따른 리질리언스 관리 방법론을 고찰하고 ‘안전국가’ 이론을 정립하는 데 있다. ‘3.11 코로나19 팬데믹’이라는 대재 해는 1918년의 스페인독감이나 제1차・제2차세계대전(전쟁)에 버금가는 글로벌 사회의 변용 이 예견되고 있으며, 국가의 역할 및 안전에 관한 거버넌스도 전환점을 맞고 있다. 제2차세계 대전을 경험하며 ‘전쟁국가(warfare state)’와 대비되는 ‘복지국가(welfare state)’라는 개념이 정립되었듯 포스트 코로나 시대를 맞이하여 ‘안전국가(safety state)’가 주목받고 있다. 본 논문의 구성은 다음과 같다. 제1절에서 제시한 분석틀, 즉 감염병 확산으로 과정에서 두드러진 영역별 변화 및 코로나19 재해가 초래한 부(負)의 유산에 관한 유형화를 시도한다. 제2절에서는 국가 안보: 정치-사상적 대응과 패러다임 변화를 점검하고 <국가 안보>를 고찰 한다. 아울러 탈(脱)국가론적 지구환경공학에 관해서도 논한다. 제3절에서는 불확실성 및 위 기관리라는 관점에서 <경제 안보>를 분석한다. 제4절에서는 ‘사회 안전 및 공동체’ 아젠다를 내포하는 <인간 안보>에 관해, 제5절에서는 4차산업혁명 시대의 과학기술공학 이슈인 <기술 안보>를 해부한다. 마지막으로 제6절(결론)에서는 이상의 안보에 관한 영역별 패러다임의 변 화를 이론화(試論)하고, 글로벌 위험요소 즉 포스트 ‘3.11 코로나팬데믹’ 재난관리를 위한 과 제를 제시한다. The purpose of this paper is to examine the theory of risk management concerning the changes in the global paradigm of the post-COVID-19 era and to establish the measure of safety state concept. As much as the 1918 Spanish Flu or the First and Second World Wars, the ‘3.11 COVID-19 Pandemic’ is expected to transform the global society. The governance related to the role and the safety of the country is also at its turning point. While the concept of a “welfare state” was introduced in contrast to a “warfare state” after experiencing World War II, “safety state” is expected to draw attention in the post-COVID-19 era. The composition of this paper is as follows. Section 1 suggests an analysis framework that attempts to categorize the marked changes in various domains due to the spread of the infectious disease and challenges the inherited obstacles caused by the COVID19 pandemic. Section 2 considers ‘national security’ by examining political-ideological responses and paradigm shifts. It also discusses the denationalistic aspects of geoenvironmental engineering. Section 3 analyzes ‘economic security’ from the perspective of uncertainty and crisis management. Section 4 reviews ‘human security’ that includes social safety and community-related agendas. Section 5 is integrated with the science and technological issue of the Fourth Industrial Revolution, known as ‘technical security’. Lastly, Section 6 (Conclusion) theorizes the noted changes in the paradigm for each domain with the notions of security, thereby presenting the challenges in the uncertainty and outlines the global risk factors in the disaster management of the post-COVID-19 Pandemic.

절차적 대책과 기술적 대책이 금융기업의 감소된 IT 보안 위험에 미치는 영향과 기업 경쟁력 강화 간의 관계-변혁적 리더십의 조절효과-

김근아,김상현 한국산업경영학회 2015 경영연구 Vol.30 No.1

Even if a rapid diffusion of digital era has brought a high level of convenience in our daily life, risks associated with security(e.g., phishing, hacking) have been increased in a same manner. Recently, the risks such as cyber attack or inside information leakage aiming financial gain has gradually transformed and appeared as new types of threat. Particularly, financial firms are more concerned about such security risks than others because negligence in surveillance results in negative result to customer. To achieve security objectives of financial firm, it needs organizational monitoring and effort of controlling to maintain technical and procedural status. In this regard, this study proposes the research model investigating the relationship between the organizational security countermeasures and the reduced financial IT risks, which then affects competitive advantage. In addition, we examine the role of transformational leadership as a moderating effect between security countermeasures and the reduced financial IT risk. The research model was analyzed using Partial Leasts Square(PLS) approach with a total of 159 data collected from financial firms. Findings indicate that all proposed hypotheses are supported. This study suggests new theoretical framework on security-related study and provides practitioners with guideline of security design. 디지털 시대의 급속한 확산은 업무와 일상생활에 편리함을 가져온 반면, 피싱이나 해킹 등의 위험도 함께 증가시켰다. 최근 들어 금전적 이익을 목적으로 하는 사이버 공격 혹은 내부 정보 유출 등 그 위협들이 점차 새로운 형태로 변형되어 나타남으로써 심각한 사회적 이슈가 되고 있다. 특히, 이러한 문제는 금융기관에서 중요하게 인식되고 있다. 왜냐하면 이들의 소홀한 관리가 내부 뿐 아니라 소비자들에게 부정적인 결과를 만들기 때문이다. 이러한 금융기업들의 보안 목표를 달성하기 위해서는 기술 및 절차적 상태를 유지하기 위한 조직적 관리와 감독의 노력에 의해서 가능하다. 이에 본 연구는 조직의 보안대책이 금융기업의 IT 보안 위험 감소를 이끌고 나아가 기업 경쟁력 강화에도 영향을 미칠 것이라고 제안한다. 또한, 변혁적 리더십이 보안대책과 감소된 금융 IT 보안 위험 사이에서 어떠한 조절역할을 하는지에 대해 살펴보았다. 총 159부의 설문을 바탕으로 SmartPLS 3.0을 사용하여 구조모형을 분석한 결과, 모든 가설은 지지된 것으로 나타났다. 본 연구는 보안관련 연구에 새로운 이론적 프레임워크를 제안하고 금융기업 실무자들에게는 보안 설계에 대한 가이드라인을 제공한다.