정보보호와 IT통제의 병행구조에 대한 실증 연구 : 공시 데이터를 통한 기업 규모별 효과성과 중복성 고찰

김정훈 세종사이버대학교 정보보호대학원 2025 국내석사

최근 회계 부정 사례와 해킹 및 사이버 공격 증가로 기업들의 정보보호활동과 내부통제의 중요성이 부각되고 있다. 2018년 “주식회사 등의 외부감사에 관한 법률(외감법)”로 내부회계관리제도가 강화되었으며, "정보보호산업의 진흥에 관한 법률 제13조"에 의거 의무 공시가 점진적으로 확대되고있다. 이러한 배경 속에서 기업의 IT 통제는 내부회계 관리의 핵심요소로 작용하며, 정보보호 활동과 IT 통제 간의 병행구조에 대한 실증적 연구는 아직 충분히 이루어지지 않았다. 본 연구는 기업 규모별 정보보호 투자 및 IT 통제 활동의 차이를 실증적으로 분석하고, 정보보호와 감사 비용 간의 관계를 평가하였다. 특히 정보보호 투자와 인력 확보가 반드시 보안 효과성 개선으로 이어지지 않음을 검토하고, 정보보호 공시 데이터를 활용해 기업 규모별 중복 투자 구조를 규명하였다. 연구 결과, 정보보호 투자와 감사 비용 간 중복성이 존재할 가능성이 확인되었으며, 이는 보다 효율적인 정보보호 및 내부회계관리 운영이 필요함을 시사한다. 본 연구는 정보보호와 IT 통제 활동 간 상관관계를 분석하여 중복 투자 최소화 및 정보보호 효과성 극대화를 위한 전략적 접근을 제시하고자 한다. 이를 통해 기업들은 최적화된 정보보호 운영 체계를 구축하고, 내부회계 및 감사 비용 절감을 위한 효율적인 정보보호 투자를 설계할 수 있을 것이다.

중소기업의 개인정보와 스마트의료정보의 기술적 보호조치 방안 연구

김신석 세종사이버대학교 정보보호대학원 2020 국내석사

산업 전반에서 ICT의 발전과 변화로 개인정보의 이용 환경도 빠르게 변화하고 있으며, 이에 따라 개인정보를 보호하기 위한 새로운 과제가 대두되고 있다. 개인정보보호의 새로운 과제에 대한 해결 방안을 마련하기 위해서는 실제적이고 효율적인 개인정보보호 조치 방안이 마련되어야 하며, 이를 위해서는 기업의 규모 및 업종별로 개인정보보호 환경이 다르므로 이를 고려한 개인정보보호 조치 방안이 마련되어야 한다. 본 논문에서는 우리나라의 전체 사업체 수의 99% 이상을 차지하고 있는 중소기업의 상황을 고려하여 중소기업에 맞는 개인정보 기술적 보호조치 방안을 제시하고, 중소기업 중 그 사업 규모가 크게 확대되고 있는 온라인쇼핑몰에서 수집 및 사용하고 있는 개인정보 그리고 개인정보 사용 환경을 분석하여 이에 대한 개인정보 보호조치 방안을 제시하고자 한다. 또한, 개인정보 환경이 가장 크게 변화하고 있는 스마트의료 환경을 고려하여 중소형 의료기관에 적용할 수 있는 보호조치 방안을 제안하고자 한다.

정보보호 컨설턴트 양성을 위한 PBL 교육방안 적용 및 효과성 분석 연구

오창현 세종사이버대학교 정보보호대학원 2018 국내석사

사이버 국가 대란을 야기하는 DDoS 공격, 금전을 요구하는 랜섬웨어 유포 등 사이버테러의 증가로 국가 중요시설이 위협받게 되면서 주요 정보통신 기반시설이 확대 지정되고 있다. 이로 인해 주요정보통신기반시설의 취약점진단 등 컨설팅 프로젝트가 증가하고 있으며, 공공기관의 IT기반 정보보호 관리체계 등 법령 준수의 컴플라이언스 이슈가 대두 되면서 정보보호 컨설팅 수요는 지속적으로 증가하고 있으나 정보보호 컨설턴트 부족현상은 개선되고 있지 않다. 과거 연구에서는 정보보호 컨설팅 실무 관점에서 업무가 가능한 효과를 누릴만한 정보보호 컨설턴트 양성을 위한 교육 방법이 제시된 연구는 발견되지 않았다. 본 논문에서는 정보보호 컨설턴트 직무를 해외 사례와 국내 사례로 살펴보고 이를 기반으로 실무에서 활용 가능한 형태로 표준화하고 해당 직무를 실무관점에서 학습하고 교육할 수 있는 방안으로 정보보호 컨설팅 업무를 시나리오로 제시하여 스스로 문제를 풀어나가는 PBL(Problem-based learning) 교육방법을 제안한다. 또한 전문가 분석을 실시하고 그 효과성을 알아본다.

cPP기반의 암호 관련 보안기능요구사항 및 평가방법에 대한 연구

박상혁 세종사이버대학교 정보호대학원 2016 국내석사

CC(Common Criteria)는 정보보호제품의 평가를 위한 국제 공통기준으로써, 각 나라 및 지역별로 상이한 평가기준을 운용하면서 발생하는 중복평가 문제를 해소하기 위해 개발 되었다. CC를 기반으로 평가·인증이 수행된 정보보호제품은 CCRA(Common Criteria Recognition Arrangement) 협정에 따라, EAL(Evaluation Assurance Level)1 ~ EAL4 등급까지 자국에서 평가·인증을 받은 것과 동일한 효력을 CCRA 회원국내에서 인정받는다. 그러나 2014년 7월에 승인된 CCRA 협정서에서는 상호인정 기준이 기존 EAL 등급기반에서 cPP(collaborative Protection Profile)준수 여부로 변경되었다. cPP는 새로운 종류의 보호 프로파일 (Protection Profile, PP)으로써, CCDB(Common Criteria Development Board)의 승인을 받은 iTC(international Technical Committee)에서 개발하며, 암호와 관련된 기본사항들을 지정할 수 있게 되었다. 현재 CC버전(V3.1 R4)의 암호 관련 보안요구인 암호지원 클래스에는 난수 생성, 키 유도, 암호함수에서 필요로 하는 입력 값(Salt, Nonce, Initialization Vector)등에 관한 컴포넌트가 없다. 평가방법인 CEM(Common Methodology for Information Technology Security Evaluation)에서는 암호지원 클래스와 관련된 사항을 각 국가의 평가스킴에서 정하도록 하고 있다. cPP는 상호인정을 위해 기존의 CC 및 CEM의 프레임워크를 준수해야하기 때문에, 현재 개발된 cPP에서는 암호와 관련된 보안기능요구사항들을 확장컴포넌트로 명시하고 암호지원 클래스와 관련된 평가방법은 SD(Supporting Document)를 통해 제공한다. 한편, 암호평가와 관련해서는 미국에서 시행중인 CMVP(Cryptographic Module Validation Program)이 가장 대표적이며, 일본과 국내에서도 암호모듈 검증제도를 시행하고 있다. CMVP는 암호모듈이 표준에 따라 적합하게 구현되어 있는가와 암호 키의 유출 가능성 그리고 암호모듈을 사용하는 물리적인 환경에 대해 평가를 한다. 이러한 배경에서 본 논문은 변경되는 cPP를 준수한 정보보호 제품의 암호지원 클래스를 분석하고, SD에 명시된 암호지원 클래스의 평가방법과 국내에서 시행중인 암호모듈 검증제도 검증방법 및 검증대상의 비교를 통해, 국내에서 cPP기반의 CC평가·인증제도가 원활히 정착되기 위한 방향을 제시한다.

가명 처리를 통한 법적 규제 및 인증 심사 대응도 분석

함도윤 세종사이버대학교 정보보호대학원 2025 국내석사

가명 처리를 통한 법적 규제 및 인증 심사 대응도 분석 4차 산업혁명과 디지털 전환이 가속화됨에 따라 개인정보 보호와 데이터활용 간의 균형은 기업과 정책 입안자들에게 중요한 과제로 부각되고 있다. 본 연구는 가명 처리를 통해 법적 요구사항을 준수하면서도 데이터 활용을 극대화할 수 있는 효율적 대응 전략을 제안한다. 이를 위해, 개인정보수집 목적과 활용 목적에 따라 기업 내부에서 가명 처리가 적용되는 인프라와 관리 영역을 구분하고, 각 영역에서 가명 처리 기술이 어떻게 활용될수 있는지 명확히 제시하였다. 또한, 가명 처리가 데이터 재식별 위험을 줄이고 데이터 활용 가능성을 확장함으로써 법적 리스크를 완화하는 데 기여할 수 있음을 분석하였다. 본 연구는 가명 처리 기술이 개인정보보호법 제32조의2(개인정보 보호 인증)을 근거로 한 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 심사 준비 과정에서 비용과 시간을 절감하며, 기업의 데이터 거버넌스를 강화할 수 있다는 점에 주목하였다. 더불어, GDPR, CCPA, APPI 등 주요 법적 규제의 조항별 요구사항을 분석하고, 가명 처리가 해당 조항들에 어떻게 부합하는지를 체계적으로 정리하였다. 본 연구는 가명 처리 기술이 개인정보 보호와 데이터 활용의 조화를 이룰 수 있는 중요한 도구임을 강조하며, 기업이 가명 처리를 통해 글로벌 법적 규제와 인증 기준을 효과적으로 준수하면서도 데이터 활용을 극대화할 수 있음을 제시하고자 하였다.

랜섬웨어 탐지를 위한 사이버 위협 헌팅 방법론 : IoC 및 MITRE ATT&CK TTPs 기반으로

윤정민 세종사이버대학교 정보보호대학원 2023 국내석사

사이버 위협은 날이 갈수록 정교하게 발전되고 있고, 방화벽 등의 정보보호 시스템을 우회하여 공격에 성공하여 내부에 잠재되어 정보를 유출하거나 시스템을 마비시킨다. 따라서 이러한 위협에 대비하기 위한 방어 수단 또한 발전해가고 있는데 그 중 하나가 바로 사이버 위협 헌팅(Cyber Threat Hunting)이다. 사이버 위협 헌팅은 이미 공격을 당했다고 가정한 상태에서 내부에 도사리고 있는 위협을 능동적으로 탐지하는 과정이다. 하지만 이러한 사이버 위협 헌팅을 수행하는 많은 기관에서는 아직 사이버 위협 헌팅 수행 방법론이 정립이 필요하다는 평가가 많다. 따라서 본 논문에서는 위협 헌팅 방법론을 발전시키기 위해, 가장 심각한 피해를 입히고 있는 랜섬웨어를 IoC 및 TTPs를 기반으로 분석하여 이에 대응하는 위협 헌팅 방법론을 제안하였다. 첫 번째로, 취약점 활용 위협 헌팅 방법을 제시한다. 랜섬웨어는 초기 접근을 위해 취약점을 활용하고 있었다. 두 번째, 명령어 인터프리터 탐지를 제시한다. 세 번째, 보안 시스템 우회를 탐지한다. 또한, 내부 이동 및 자료 유출을 탐지한다. 이 랜섬웨어 위협 헌팅 방법론은 위협 헌팅 대상과 목표 선정을 명확히 하여 효율성과 적시성을 향상시켜 고도화되는 랜섬웨어 공격을 보다 신속히 대응할 수 있다.

국내 인터넷 뱅킹 보안 환경과 보안 안전도에 관한 연구

이장현 세종사이버대학교 정보보호대학원 2015 국내석사

국내 인터넷 뱅킹 보안 환경과 보안 안전도에 관한 연구 1999년 인터넷 뱅킹 서비스가 국내에 처음 도입된 이후 다수의 사용자들에게 인터넷 뱅킹 서비스는 없어서는 안 될 중요한 서비스로 자리 매김하게 되었다. 인터넷 사용자에게 편리함을 제공하는 것은 물론 은행 업무의 효율성을 가져다준 인터넷 뱅킹은 그 중요성이 점점 더 커지고 있다. 이에 역행하는 현실로 인터넷 뱅킹을 악용하여 해킹을 하는 사례들이 많이 발생하고 있다. 컴퓨터 해킹을 통해서 불법적 계좌 이체를 하거나 사용자의 정보를 도용하는 등 그 피해의 유형 및 규모가 점점 증가하고 있는 추세이다. 이에 대해 금융기관은 보안을 강화하기 위해서 공인인증서, 보안토큰, 보안카드, OTP와 같은 인증 방법들을 제공하여 취약점을 보완토록 하였지만, 해킹사건이 끊이지 않고 발생하고 있다. 특히 기존 인증방법들은 메모리해킹이나 중간자 공격과 같은 해킹에 대해서 취약점이 드러나고 있다. 그러나 보안프로그램이 표준화되어 있지 않고, 은행별로 다른 보안 인증체계를 사용한다는 점에서 각자 취약점을 가질 수 있다. 그리고 그 중 현재 2채널인증에서 사용 중 인 VoIP를 이용한 2채널 인증에서도 인터넷과 같은 경로의 문제로 해킹의 가능성이 크게 나타나고 있다. 따라서 본 논문에서는 인터넷 뱅킹에서 전자금융거래를 할 때의 우리나라 5대 은행별 보안방법을 분석하고 2채널 인증시의 해킹의 우려가 있을 수 있는 VoIP에 관련한 문제점을 분석한다.

리브레오피스 문서 파일에서의 정보 은닉 및 검출

박영호 세종사이버대학교 정보보호대학원 2020 국내석사

The methods to hide information in an MCDFF document file of MS Office 2003 or earlier and the methods to hide information in an OOXML document file of MS Office 2007 or later have already been developed and disclosed by many researchers. However, the methods to hide information in an ODF document file of LibreOffice and OpenOffice have hardly been developed though the ODF document format is registered to ISO. So, this paper discloses the methods to hide information in an ODF document file of LibreOffice. And how to effectively find the hidden information in an ODF document file is also discussed in this paper.

사이버작전에 대한 공통상황인식 함양을 위하여 非사이버작전부대 장교들에게 적합한 사이버작전 교육의 방향성 연구

이상운 세종사이버대학교 정보보호대학원 2020 국내석사

본 연구는 사이버작전을 전문적으로 수행하지 않는 非사이버작전부대 장교들에게 적합한 사이버작전 교육의 방향성을 제시하기 위한 연구이다. 軍에서 사이버작전을 합동작전으로 수행하기 위해서는 非사이버작전부대 장교들이 사이버작전을 알아야하나 이들을 위한 사이버작전 교육은 현재 軍에는 정립되어 있지 않으며, 이를 정립하기 위해 참고할 수 있는 선행연구 또한 거의 없어 해당 분야의 연구가 필요하다. 이를 위해 非사이버작전부대 장교들에게 적합한 사이버작전 교육의 방향성을 문헌연구와 델파이 설문조사를 기반으로, 5가지 항목 즉, 교육의 필요성, 교육의 대상, 교육의 목표 및 중점, 교육해야 할 내용, 적합한 교육과정에 관한 사항을 연구하였다. 연구한 결과는 사이버작전 전문가들에게 각 항목의 적절성을 확인하였다. 그 결과, 일부 항목은 향상의 필요성을 보였으나, 전체적으로 적절하다고 평가되었다. 향후에는 이 연구를 바탕으로 非사이버작전부대 장교들을 위한 세부 교육프로그램이 개발되고, 이러한 교육프로그램을 통해 사이버작전 교육을 받은 軍 지휘관 및 참모들이 사이버공간에서 일어나고 있는 상황을 정확히 인식한 가운데 전략·전술적 사이버작전 개념과 합동전투발전분야를 발전시켜 사이버작전과 군사작전이 통합된 합동작전이 수행되기를 기대한다.

사이버전의 역량평가와 대응방안에 관한 연구

박찬수 세종사이버대학교 정보보호대학원 2015 국내석사

컴퓨터와 네트워크 기술의 발전으로 인터넷 사용이 급증하고 있고, 현재는 스마트폰, 태블릿 PC와 같은 스마트 기기들의 출현으로 일상생활이 사이버공간으로 확대되는 획기적인 변화를 가져왔으며, 삶의 가치 또한 한층 더 높아졌다. 이러한 사이버 공간이 개개인의 일상생활만을 변화시켜온 것이 아니라 전 영역과 세계적으로 변화를 주었으며, 전쟁양상 또한 변화되고 있다. 예전의 전쟁양상은 물리적 타격 수단으로 인명살상과 영토 확장을 목적으로 한 재래전이었다면 현재는 사이버 공간의 확대로 정보 우위를 기반으로 한 네트워크 중심전으로 이동한 전쟁환경의 변화를 가져왔다. 물리적 파괴에서 전쟁수행체계를 마비시키는 공격대상도 변화하였으며, 전쟁영역은 물리적 영토에서 사이버 공간으로 변화하게 되었고 미래전은 사이버전과 재래전을 결합한 형태의 융복합전이 될 것이다. 본 학술지에서는 사이버전의 개념과 국가별 사이버 역량을 살펴보고 향후 사이버전 발생시 최선의 방어로 피해를 최소화하기 위한 대응방안을 모색해 보고자 한다.