국내외 개인정보보호정책 비교 분석

정대경(Daekyeong Jeong) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.4

정보사회에서 시민들이 정상적인 경제적 활동이나 공공서비스를 제공받기 위해서 개인정보는 보호되어야 한다. 이러한 개인정보에 대한 보호를 통해서 공공부문과 민간부문은 각 부문의 정상적인 활동이 가능하기 때문이다. 국가는 개인정보보호를 위해 관련 법률과 전담조직을 활용하여 개인정보보호정책을 펴고 있다. 본 논문에서는 우리나라의 개인정보보호정책과 해외 주요국가의 개인정보보호정책에 대한 비교연구를 통하여 국가별 개인정보보호정책의 현황을 분석하고 개인정보보호를 강화하기 위해 필요한 정책적 과제를 살펴보도록 하겠다. In the information society, to serve the normal economic activity and to delivery the public service is to secure the privacy information. The government endeavors to support with the privacy protection laws and public organizations. This paper is to study the privacy protection policy in the major countries by analyzing the laws and organizations. At last, The study is to examine the policy tasks to support the privacy protection policy.

정보보호 기반 강화를 위한 정보보호 예산 확대 및 개선 방안 연구

배선하(Sunha Bae),김소정(So Jeong KIM) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.5

전자상거래, 전자정부 등 사이버 공간에서 활동 증가에 따라 안전하고, 신뢰성있는 정보화 기술 활용을 위한 정보보호의 중요성이 날로 높아지고 있다. 이에 미국, 영국을 비롯한 주요 선진국은 자국의 정보보호 강화를 위해 지속적으로 예산을 확대해 나가고 있다. 우리나라도 정보보호를 차세대 먹거리 산업 및 신성장동력 산업으로 육성하겠다는 계획을 발표하는 등 정보보호에 대한 관심이 지속적으로 높아지고 있다. 그러나 높아지는 관심과 필요성에 비해 우리나라의 정보보호 예산은 소폭 확대되었고, 정보보호 예산 부족이 우리나라의 정보보호 산업 성장 저해 요소로 지속적으로 지적되고 있다. 또한 정보보호 예산 편성 방안도 전체적인 정보보호 내용을 포괄하지 못하고, 정보화 사업 내에서 일부 보안 SW, HW, 서비스에 국한되어 요구가 가능하도록 되어 있어 명확한 예산 파악 및 실질적인 예산 확대에 어려움을 야기한다. 국가 전체적인 정보보호 역량 강화를 위해서는 정보보호 예산 및 투자의 확대가 필수적이다. 이에 본 논문에서는 우리나라의 정보보호 예산 현황 및 편성 방안에 대해서 검토하고, 미국의 정보보호 예산 현황 및 편성 방안을 분석하여 효과적인 정보보호 예산 확대 및 개선 방안을 제안하였다. Information security to use information technology(IT) in safety and reliability environment is becoming of great importance. In advanced countries including United States and United Kingdom are consistently expanding budget for information security. Korea also has been a growing interest in information security and Korea government announced plan to develop information security into next-generation growth engine. However, information security budget has increased slightly in recent years, so many national institutions and state governments have budget shortfall to perform information security work. Moreover budget items do not include generic contents about information security and there are confined to some security SW, HW and services. It is necessary to expand information security budget for enhancement national capabilities of information security. In this paper, we analyze the IT and information security budget situation for Korea and United States and propose effective budget expansion and improvement approaches for Korea.

정보보호관리 국제표준화 동향

김정덕(Jungduk Kim) 한국정보보호학회 2011 情報保護學會誌 Vol.21 No.2

정보보호관리 표준은 ISO/IEC JTC1/SC27 WG1에서 주도적으로 진행하고 있으며, ITU-T SG17 Q.3에서는 SC27과의 긴밀한 협력 관계를 유지하면서 정보통신조직에 특화된 정보보호관리 표준에 치중하고 있다. 현재 제정된 정보보호관리 국제표준으로는 정보보호관리체계에 관한 요구사항 (27001) 및 통제표준 (27002)과 이와 관련된 지침 성격 표준들이 상당부분 국제표준으로 발표되었다. 최근에는 기 발표된 국제표준에 대한 개정 작업과 정보통신조직, 금융조직 등 특정 산업이나 정보보호 거버넌스 등 특정 이슈에 해당되는 정보보호관리 표준 제정 작업이 한창 진행 중에 있다. 인터넷의 확산과 정보화의 역기능 증가에 따라 능동적인 정보보호관리체계의 수립을 위하여, 국내에서도 정보보호관리 표준의 제정 과정에 적극적으로 참여할 뿐 아니라 국내 많은 조직에서 정보보호관리 표준이 적용되어 전반적인 정보보호관리 수준이 향상될 수 있도록 할 필요가 있다.

정보보호인력의 분류체계에 대한 대한 연구

김태성,전효정,이진희,이초희 한국정보보호학회 2003 情報保護學會誌 Vol.13 No.3

정보통신이 국가(사회 활동의 주요한 기반이 됨에 따라, 해킹, 컴퓨터 바이러스 유포, 개인정보 및 프라이버시 침해 등 정보화의 역기능 현상도 급증하고 있다. 정보화의 역기능은 정부 및 공공기관, 기업, 개인 모두가 정보보호의 중요성을 인식하도록 하는 계기가 되었으며, 그 결과 정보보호산업이 활성화되었다. 그러나, 정보보호산업에 대한 갑작스러운 수요 증가는 적절한 전문인력 확보에 차질을 빚어, 현재 정보보호인력시장은 공급부족으로 인한 수급 불일치 현상을 보이고 있다. 인력은 산업발전의 가장 큰 원동력으로 작용한다. 따라서, 향후 지속적인 성장이 전망되고 있는 정보보호산업이 꾸준히 발전할 수 있기 위해서는 무엇보다도 정보보호인력의 확보가 뒷받침되어야 할 것이다. 정보보호 기술의 생명주기가 매우 짧고, 매우 역동적으로 변화하는 데다가 정보보호산업이 타산업과의 동태적인 상관관계 속에서 성장하는 산업이기 때문에 과연 정보보호인력이란 무엇인가라는 간단한 질문에 대한 해답조차도 아직까지 명확하게 제시되지 못하고 있어 정보보호인력 양성을 위한 정책수립 및 시행에 있어 정부, 기업 등 관련 기관 모두의 어려움을 가중시키고 있다. 본 논문에서는 정부 및 민간 부문에서 정보보호인력의 양성 및 공급 관련 의사결정의 토대가 될 정보보호인력의 분류체계(정의, 범위, 분류)에 대한 분석을 하고자 한다.

일본 중소기업 정보보호 대책 가이드라인 동향

박춘식(Park Choon-Sik) 한국정보보호학회 2010 情報保護學會誌 Vol.20 No.1

정보화의 진전에 따라 기업의 정보화도 급속하게 추진되고 이에 따른 역기능인 정보보호 문제도 함께 고려해야 하는 실정이다. 특히 개인 정보 유출, 영업 영보 누설, 기업 내부 핵심 기술 유출 등은 현재 중소기업이 직면하고 있는 문제이며 대기업으로 부터의 위탁 업무를 수행하거나 자체 업무를 위해서도 정보보호 대책을 마련하지 않으면 안 되는 상황임은 주지의 사실이다. 그러나 많은 통계나 보고 자료에서 알려진 바와 같이 자금 면이나 인력 면 등에서 중소기업이 정보보호 대책을 수립하고 이를 구현하여 운영하는 것은 여러 면에서 어려운 것 또한 사실이다. 이러한 중소기업의 실정을 고려하여 우리나라에서는 2006년도 정보보호진흥원(현재 한국인터넷진흥원)에서 중소기업을 위한 정보보호 가이드라인을 발행하여 중소기업의 정보 보호 대책을 수립하는 등 중소기업의 정보보호 대책을 위한 많은 지원을 해 왔다. 우리나라와 유사한 환경에 있는 일본에서도 최근 중소기업 정보보호 대책 가이드라인을 발행하였다. 이에 본고에서는 국내 중소기업 정보보호 대책 수립과 지원에 참고하고자 2009년도에 발행한 일본 중소기업 정보보호 대책 가이드라인을 소개하고 시사점을 살펴보고자 한다.

정보통신망법 개정에 따른 기업 정보보호 제도 현황 및 정보보호 관리체계의 인증기준 비교

김환국(Kim Hwan Kuk),고규만(Ko Kym Man),이재일(Lee Jae Il) 한국정보보호학회 2013 情報保護學會誌 Vol.23 No.4

최근 사이버공격은 지능화, 대규모화되고 있는 반면, 경기침체 등으로 인해 기업의 정보보호 투자가 저조하고 인터넷 침해사고 예방활동이 미흡한 실정이다. 정부는 취약한 기업의 정보보호 환경을 개선하기 위해 정보보호 안전진단 제도를 폐지하고 정보보호 관리체계(ISMS) 인증제도로 일원화하였으며, ISMS 인증기업을 대상으로 한 정보보호 관리등급제, 정보보호 사전점검, 임원급 정보보호 최고책임자(CISO) 지정 등 신설하였다. 본 고에서는 개정 정보통신망법에 따라 신설ㆍ보완된 기업 정보보호 관련 제도현황과 변경된 정보보호 관리체계 인증기준에 대해 소개하고자 한 다.

정보보호 투자 효과에 대한 연구 동향

공희경(Hee-Kyung Kong),김태성(Tae-Sung Kim) 한국정보보호학회 2007 情報保護學會誌 Vol.17 No.4

정보사회의 도래와 인터넷의 확산으로 정보보호의 중요성에 대한 인식은 매우 높아졌으나 정보보호에 대한 투자는 인식수준만큼 확대되지 않고 있다. 조직의 정보보호 투자가 지속적으로 이루어짐에도 불구하고 정보보호의 투자효과를 분석하기 위한 분석기준과 정보보호 투자대상이 명확하지 않아 정보보호 투자 의사결정 및 정보보호 개선 방향 도출에 어려움이 있다. 본 연구에서는 정보보호 투자 효과에 관한 연구의 고찰을 통하여 정보보호 투자 효과의 개념을 명확히 하고, 정보보호 투자 효과에 대한 연구 현황을 분석함으로써 향후 정보보호 투자 경제성 연구방향에 대한 시사점을 제시하고자 한다.

정보보호 패러다임 변화 및 정보보호 동향에 대한 고찰

최명길(Choi Myeonggil),김세헌(Kim Sehun) 한국정보보호학회 2007 情報保護學會誌 Vol.17 No.4

정보보호는 지난 세기에 걸쳐서 많은 발전을 이룩하여 왔다. 정보보호의 패러다임은 메임프레임을 기반으로 하는 제1세대, 정보보호관리를 중심으로 하는 제2세대, 제도화를 중심으로 하는 제3세대를 걸쳐 정보보호 가버넌스를 중심으로 하는 제4세대 이르러고 있다. 본 고는 정보보호의 패러다임의 변화를 살펴봄으로 향후에 전개될 정보보호 발전 양상을 고찰하고, 정보보호 패러다임의 혼재로 나타나고 있는 최근 정보보호 동향을 살펴본다.

정보보호담당자의 역할이 조직의 정보보호수준에 미치는 영향

최동근(Dong-Keun Choi),송미선(Mi-Sun Song),임종인(Jong In Im),이경호(Kyung-Ho Lee) 한국정보보호학회 2015 정보보호학회논문지 Vol.25 No.1

조직 내의 정보보호에 대한 이슈는 최근에 와서야 조직의 리스크로 인지되기 시작하였다. 정보보호 사고로 인하여 정보보호책임자 뿐만 아니라 대표, 임원 및 개인정보책임자까지 사임하거나, 기업에 커다란 금전적 피해와 회복하기 어려운 대고객 신뢰 등에 막대한 악영향을 초래하였다. 특히 개인정보 유출사고가 조직내 미치는 영향이 기업의 생존 문제로까지 인식되고 있는 이때에, 조직의 정보보호 수준을 향상시킬 수 있는 여러 가지 방안 중 정보보호 담당자의 역할과 업무수행이 어느 때보다 크게 부각되고 있으며, 이들 정보보호 담당자가 조직의 정보보호 수준에 얼마나 영향을 끼치는지 본 연구를 통하여 파악코자 한다. 본 연구에서는 기업내 정보보호 담당자들을 대상으로 조직 내 정보보호 담당자의 보안전담 업무수행 비중과 조직의 정보보호 수준 등 현상을 파악하고 이들 간의 상관관계를 분석하여 영향도를 분석하고자 한다. 이를 통해 기업내 정보보호 담당자의 보안업무비중을 전담 또는 크게 비중을 높임으로써 조직의 정보보호 수준을 향상시키고자 한다. The issue of information security within an organization began to be recognized as risk of the organization. Because of this, not only ISO(Information Security Officer) but an executive or CEO were forced to resign. In addition, it brought about heavy financial damage to the company and made the company difficult to restore trust to customers. At a time when inadvertent disclosure of personal information has become accepted as a matter of survival because of having a bad effect within an organization, how the information security specialist causes influence on information protection level of the organization. For these reasons, targeting the information security specialists of various industry sectors, we"ll analyse how task performance rate of the information security specialist within an organization cause influence to the information security level. The goal of this study is for the company to raise the task proportion of information security specialist and to improve the information protection level of the organization.

정보보호관리체계(ISMS) 항목의 중요도 인식과 투자의 우선순위 비교 연구

이중정(Choong-Cheang Lee),김진(Jin Kim),이충훈(Chung-hun Lee) 한국정보보호학회 2014 정보보호학회논문지 Vol.24 No.5

최근의 개인정보 유출과 같은 정보보안 사고들이 기업의 매출 감소와 이미지 손실에 직접적인 영향을 주는 심각한 위험 관리 요소가 됨에 따라 체계적인 정보보호 관리를 위해 정보보호관리체계를 도입하는 기업들이 증가하고 있다. 그러나 기업 내 정보보호 인식과 달리 적은 투자로 인해, 한정된 예산으로 다양한 정보보호 요소들을 효과적으로 관리할 수 있는 방안이 중요해지고 있다. 본 연구에서는 정보보호관리체계의 13개 항목들에 대해 정보보호전문가들의 중요도 평가를 통해 우선순위를 도출하여, 단계적으로 정보보호관리체계를 구축할 수 있는 방향을 제공한다. 그리고 각 항목들에 대한 투자 정도도 평가하여 중요도와 투자 간의 우선순위 차이를 비교·분석하였다. 연구 결과 침해사고 관리가 가장 중요한 것으로 나타났으며, 투자 정도에서는 IT 재해복구가 가장 높은 것으로 확인되었다. 그리고 정보보호 중요도와 투자 간의 우선순위 차이가 큰 정보보호 항목은 암호통제, 정보보호정책, 정보보호교육, 인적보안으로 확인되었다. 본 연구 결과는 정보보호관리체계 도입을 고려하거나 운영 중인 기업들이 한정된 예산을 고려하여 효과적인 정보보호 투자에 대한 의사결정 자료로 활용될 수 있을 것으로 기대한다. Recently, organizational efforts to adopt ISMS(Information Security Management System) have been increasingly mandated and demanded due to the rising threat and the heavier cost of security failure. However there is a serious gap between awareness and investment of information security in a company, hence it is very important for the company to control effectively a variety of information security threats within a tight budget. To phase the ISMS, this study suggests the priorities based on evaluating the Importance of 13 areas for the ISMS by the information security experts and then we attempt to see the difference between importance and investment through the assessment of the actual investment in each area. The research findings show that intrusion incident handling is most important and IT disaster recovery is the area that is invested the most. Then, information security areas with the considerable difference between priorities of importance and investment are cryptography control, information security policies, education and training on information security and personnel security. The study results are expected to be used in making a decision for the effective investment of information security when companies with a limited budget are considering to introduce ISMS or operating it.