주요정보통신기반시설 통제성향 평가 방안에 대한 연구 =xA Study on the Evaluation Method of Control Propensity for the Critical Information Infrastructure

한조형 강원대학교 산업대학원 2017 국내석사

최근 사이버 공격에 따른 피해는 국가와 민생 그리고 사회적 안보에 막대한 영향을 끼칠 정도로 그 파급력이 확대되고 있다. 특히 대국민 서비스를 위한 사회기반시설의 중요도가 높아짐에 따라 사이버 공격의 대상과 파급효과가 날로 확대되고 있는 추세이며 이는 국가 기반시설에 대한 1차적인 피해를 넘어 금융, 사회적 인프라에 대한 심각한 2차적 피해로 직결될 수 있다. 기반시설에 대한 사이버 공격과 그에 따른 피해사례는 국내 뿐 아니라 국외에서도 지속적으로 보고되고 있다. 특히 제어시스템의 경우 과거에는 물리적 폐쇄망에 위치하여 물리적, 논리적 공격으로부터 상대적으로 안전하게 인식되었으나 최근에는 정보통신기술의 급격한 발전으로 휴대용저장매체, 스마트폰 등의 전자기기가 정보통신기술과 결합되어 기반시설에 대한 사이버 공격 가능성이 점차 높아지고 있는 추세이다. 기반시설을 대상으로 한 사이버 침해사고는 국가의 중요시설인 원자력·수력·통신·금융 등 전 분야에 걸쳐 발생할 수 있고, 이에 따른 피해는 막대한 경제적 손실 뿐 아니라 인명사고까지 초래할 수 있다. 이에 대해 정부는 2001년 국가 차원의 대책으로 정보통신기반 보호법을 제정함과 동시에 보호가 필요하다고 인정되는 시설을 주요정보통신기반시설을 지정하여 매년 취약점 분석·평가와 더불어 중장기 보호대책을 수립·적용하는 등의 중점적인 관리를 수행하고 있다. 보호대책의 경우 대책의 적정성 여부를 매년 정기적으로 검토하고 부족한 사항을 보완하여 적용하고 있는데, 보호대책 수립을 위해 사전에 수행되어야 하는 업무가 정보보호 수준 평가이다. 정보보호 수준 평가는 다수의 통제분야, 통제항목 등으로 구성되어 있고 수준 평가 결과는 정량적으로 표현된다. 그러나 현행 평가방식은 단순히 기반시설에 대한 전반적인 정보보호 수준만을 측정하는 방식으로 되어 있어, 정보보호 수준에 대한 다양한 동인(Driver)에 대해 판단하거나 측정할 수 없고 이는 보호대책의 방향성을 제시하거나 품질 강화를 위한 요구사항에 대해서도 해답을 제시하기에 한계로 작용하고 있는 상황이다. 이러한 현 상황을 극복하기 위하여 기반시설을 바라보는 새로운 측정 지표와 이를 적용할 수 있는 평가 모델이 필요하게 되었고, 이를 구현하고자 기반시설 취약점 분석·평가 항목과 IT거버넌스 프레임워크인 COBIT 5.0 그리고 정보보호 수준 평가 모델을 상호 연구, 보완하여 새로운 통제성향 평가 모델을 개발하였다. 신규 개발한 통제성향 평가 모델의 경우, COBIT에서의 정보의 7가지 통제기준의 의미와 사전적 의미 등을 고려하여 기반시설에 적용 가능하도록 이를 재정립하였고 기반시설 취약점 분석·평가에 활용되는 “12개 통제분야, 54개 통제항목, 89개 세부 점검항목” 별 재 정립한 통제평가 지표를 대입하여 각 점검항목에 대한 적용 타당성 여부가 검토·평가되도록 절차화하였다. 또한 연구 개발한 통제성향 평가 지표의 적합성과 평가 방법의 신뢰성 그리고 내용의 완성도를 검증하기 위해 실제 주요정보통신기반시설을 운영하고 있는 관리기관 6곳을 대상으로 평가 지표의 실효성을 검증하였고, 검증 결과를 토대로 현행 기반시설 정보보호 수준평가 모델의 한계를 극복할 수 있는 새로운 평가방식과 개선 방향성에 대한 실증적 근거를 제시하여 기반시설의 정보보호 수준을 이루는 동인에 대해 더 명확한 이해가 수반될 수 있는 계기를 마련하였다. In recent years, cyber attacks have expanded their ripple effects at such an alarming pace that they have tremendous impacts on the nation, people's livelihood, and social security beyond the level of personal information leakage. With the rising importance of social infrastructure in services for people, in particular, the targets and ripple effects of cyber attacks are expanding day after day. The resulting consequences can cause serious secondary damage to the financial and social infrastructure beyond the primary damage to the national infrastructure. There have been ongoing reports about cyber attacks to infrastructure and its damage cases both home and abroad. In case of control systems, in particular, they were located inside a closed physical network and thus considered to be relatively safe from physical and logical attacks. The recent rapid development of information and communication technologies has, however, incorporated those technologies into electronic devices such as portable storage media and smartphones and gradually raised the possibility of cyber attacks to infrastructure. Cyber attacks to infrastructure can happen to major national facilities across all the fields including nuclear energy, water power, communication, and finance and lead to human casualties as well as considerable economic loss. Reacting to those developments, the government enacted Act on the Protection of Information and Communication Infrastructure as a national-level countermeasure and designated major information and communication infrastructure facilities as facilities that would need protection in 2001, conducting a vulnerability analysis and assessment annually and taking intensive measures including the establishment and application of mid- and long-term protection plans. They regularly review the feasibility of protection plans every year and supplement them for their lacking aspects before application. One of things that should be done before making a protection plan is to evaluate the information security level. An information security level evaluation consists of multiple control areas and items and presents its outcomes in quantity. The current evaluation approaches, however, remain at the level of measuring only the overall information security level of infrastructure, thus being unable to assess or measure the various drivers of information security level and posing limits to the directionality of protection plans or requests for higher quality. There was a need for a new measurement indicator for infrastructure and an evaluation model to apply it to overcome the current situation, and this study set out to develop a new control tendency evaluation model by investigating and supplementing analysis and assessment items of infrastructure vulnerability, COBIT 5.0, an IT governance framework, and an information security level evaluation model to implement them. The newly developed control tendency evaluation model was reestablished to make the seven information control criteria in COBIT applicable to infrastructure by taking their meanings and definitions in the dictionary into consideration. It then underwent the proceduralization stage to review and assess the applicable validity of each check item by entering the reestablished control evaluation indicators for the 12 control areas, 54 control items, and 89 detailed check items used in the analysis and assessment of infrastructure vulnerability. In addition, an interview was conducted on the usefulness of the new control tendency evaluation indicators with some project managers that assessed the information security levels of major information and communication infrastructure in order to test the effectiveness of the evaluation model. Furthermore, the information security control tendency evaluation model was tested based on the information security level evaluation results of six agencies designated as major information and communication infrastructure. If the new evaluation model is used to reproduce the meanings inherent in the information security level evaluation scores and utilize them as new indexes or expanded and converted into an evaluation model on which the characteristics of control tendency are reflected, a more profound understanding of an agency's information security level will follow. It will help to take a further step toward the fulfillment of essential goal of information security.

유비쿼터스 時代의 韓國的 네트워크 中心戰(NCW)에 관한 硏究

노보환 강원대학교 2008 국내석사

The strengths and power from the information age has changed the conventional way of war by creating a speed and effect that could have been inconceivable during the industrial age. NCW, which operates by connecting all the battle elements in the battlefield to a network system, will make the battlefield space more visible through digital processing. As a result it has increased the space in ground, naval, air, space and cyber, eliminating the distinction between front and rear line, made reconnaissance and strike possible with long-range precision guidance missiles, changing the war environment and linking up all war assets into a network node. NCW is the new system that has been created to meet the demands of the change in the new war paradigm and it is also the innovative demands for the military in the information revolutionary age. By using the data processing ability from the computer and communication technology that is connected to the network, NCW concept 'assures accurate information sharing to elements of combat power which in fact enhances the efficiency of the military.' As a result the NCW has a characteristic of establishing and accurate strike system that will show the will of our friendly forces and collection and sharing real-time information. In a need to adapt to the battle environment during the information age, NCW was researched by U.S forces, starting from the end of the 1990s by which the incumbent Bush Administration has also selected Sebrosky and Garuska who are the advocates of NCW to apply their system to the 2001 Afghanistan war and the 2003 Iraqi War. These new concepts are the core for the changes of U.S forces after 9.11. Following this trend, the ministry of defense in Korea has announced the 'Military Reform 2020' vision in an effort to convert the current quantitative manning military system to a qualitative technology oriented military system that focuses on information technology, by 2020. Starting from this year, the Ministry of Defense is carrying out its reform by acquiring real-time battlefield control, command and control ability, and advanced weaponry in order to construct a digital military through NCW. Throughout the days, the Korean Military Forces have reflected this new war paradigm during times to increase military power through automated information system. Consequently, they have accelerated in introducing and developing various IT applied military system and also miximized efficiency through the system integration and mutual operations. As you can see, IT is now the heart for military operations and has brought innovative changes and created new values throughout our society. Our military should know that the IT sector is the most important way to enhance National competitiveness and especially by promoting and applying IT throughout the military will change the quality of the system, achieve digital integration, increase intelligence, and also in the long run bring an age of the digital self-reliance defense. All these countries in the world are now establishing this NCW system that is suitable to their countries ability and situation. United Kingdom is following the NEO (Network-Enabled Operation) model whereas Canada and Australia is pursuing the NEC(Netwo가-Centric Capability) model. But currently, the Korean Forces not only lack the thorough understanding of the models, but also the need for the system. In order for the proper establishment of the NCW, we should try to induce basic directions for the actualization, which in fact provides an important meeting to us by a stream of processes that discern our military capability. Through these processes we can objectively discern our military capability, and through these discerned abilities, we can objectively discern our military capability, and through these discerned objects, which will be the foundation, we could find the roadmap of successfully implementing NCW. Here are some steps we neeed to carry out. First, we need to establish a future battlefield control system that will enhance our command and control system of the Joint Chief of Staff(JCS) and all other military forces. Secondly, in order to establish a new generation telecommunicated system, which is the foundation of NCW, we need to establish a communication observation surveillance system that includes a Korean strategy data link, satellites and a National Defense telecommunication network. Thirdly, establish all type of standards or a communication system that will secure a mutual operative function between weapons. On fourth, we need to acquire vital technologies such as an efficient informational collection system, early warning and surveillance system, imagery sensor, and imagery signal processing and satellites. On fifth, we need an integrated strike system that will get us ready to counter any unexpected threats from the future, which makes it essential to establish a multilayered defense system that will cover upper and lower layer for defense. Lastly, we need to establish a support system that will make the right decisions at the right time. This research is about National Security Strategy for the Ubiquitous Era, which is considered as a solution to actualize NC. We need to check the battlefield environment change for the Era and also confirm the military application of Ubiquitous computing. In addition we also need to see how the concepts of NCW develop as well as provide solutions on how our military forces could effectively establish and promote KCW plans for the future. For the success of 'Military Reform 2020,' and the early establishment of Korean NCW, we need much interest and effort. Furthermore, if we take the steps and solutions that I've provided, I guarantee that the system itself will operate smoothly, and in the long run bring a new paradigm for our National Security Strategy. 정보화시대의 전력을 이용한 새로운 전쟁방식은 산업화시대에는 상상할 수 없었던 속도와 효과를 창출하였다. 전장의 모든 전투요소를 네트워크 체계로 연결하여 작전을 수행하는 네트워크 중심전은 전투력의 핵심 구성기능인 네트워크화된 전장 환경 공유로 전장공간을 디지털 프로세싱으로 가시화시키고 지상, 해상, 공중 및 우주 사이버공간등으로 확대하여 전ㆍ후방구별이 따로 없으며 장거리 정밀유도무기에 의한 정찰 및 타격을 가능케 했으며, 이러한 전쟁환경의 새로운 변화로 모든 전투자산은 네트워크노드가 되었다. 네트워크 중심전(NCW : Netwrok Centric Warfare, 이하 NCW)은 바로 이러한 요구에 의해 등장한 전쟁패러다임 전환이며 “정보혁명”시대에 요구되는 새로운 군사혁신의 요구이다. NCW는 ‘컴퓨터의 자료처리 능력과 네트워크로 연결된 통신기술능력을 활용하여 전투력 구성요소들에게 정보공유를 보장함으로써 군사력의 효율성을 향상한다는 개념’으로 실시간으로 정보를 수집하고 공유하며 우군의 의지를 전달 할 수 있는 정밀 타격체계의 확립을 특징으로 한다. 이러한 NCW은 정보화시대에 변화하는 전쟁환경에 적응하기 위하여 1990년대 후반부터 미군들에 의해 연구가 시작되었고 現 부시 행정부에서 NCW 주창자인 세브로스키와 가르스트카를 발탁하여 2001년 아프가니스탄 전쟁과 2003년 이라크 전쟁에 적용하는 등 9·11테러 이후 미군변화의 핵심을 이루고 있는 새로운 개념이다. 이러한 추세에 따라 우리 국방부는 병력위주의 양적 군 체계를 2020년까지 정보, 기술중심의 기술 집약형 질적 군 체계로 전환하기 위하여 ‘국방개혁 2020’ 비전을 발표했다. 이에 따라 국방부는 올해 실시간 전장관리 및 지휘통제능력, 첨단무기체계 등을 확보하는 국방개혁에 본격 착수하여 NCW에 의한 디지털 군 건설을 추진 중에 있다. 그동안 한국군은 전력강화를 위한 자동화 정보체계 사업시 새로운 전쟁 패러다임을 반영하여 다양한 IT적용 군사체계 도입 및 연구개발을 가속화시켰으며 시간이 흐를수록 체계간의 통합과 상호운용성의 특성으로 효율성을 극대화시키려하고 있다. 이런 측면에서 볼 때 정보기술(IT)은 전쟁수행의 핵심수단이 되었으며 또한 국가 사회전반에 걸쳐 혁신적 변화와 새로운 가치를 창출하고 있다. 이에 우리군은 IT분야를 국가 경쟁력 향상의 가장 중요한 수단으로 인식하고 특히 IT의 국방적용을 통해 군사력의 질적 변환과 고 집적화, 디지털 통합화, 지능화된 디지털 자주국방시대를 구현 할 수 있도록 추진하고 있는 것이다. 오늘날 세계의 각 국가들은 자국의 능력과 상황에 적합한 방법으로 NCW 체계를 구축하기 위해 노력하고 있다. 영국은 NEO(Network-Enabled Operation) 모형을 캐나다와 호주는 NEC (Network-Centric Capability) 모형을 추구하고 있다. 그러나 한국군의 경우 NCW 체계에 대한 전반적인 이해도가 부족 할 뿐만 아니라 그 필요성에 대한인식의 저변확대가 미흡한 상태이다. 따라서 한국의 여건에 타당한 NCW개념 정립을 위해 한국적인 의미에 대한 접근에서부터 한국적 NCW실현을 위해 요구되는 기본방향을 도출하고 한국군의 능력을 식별하는 일련의 과정은 중요한 의미를 가진다. 이러한 과정을 통해 객관화된 능력을 식별하고 식별된 능력을 토대로 이를 NCW 구성요소에 비추어 한국적 NCW체계 구현을 위한 핵심능력을 재 조명함으로써 한국적 NCW 실현을 위한 로드맵을 얻을 수 있고 이를 통해 한국적 NCW의 수행 기반구축을 해야 한다. 이를 위해서 첫째로 미래의 전장관리체계 구축으로 합참 및 육·해·공군 지휘통제체계를 개선하고 정보 통합체계 성능개량으로 효율적인 전장관리체계를 구축하며 둘째로 NCW의 핵심 기반체계인 차세대 정보통신기반체계를 구축하기 위하여 상호연동성이 보장된 차세대 국방정보통신망 구축 한국형 전술데이터 링크 확보 및 인공위성을 이용한 통신감시 정찰체계를 구축해야 한다. 셋째로 각 무기체계간의 상호운용성을 확보토록 각종표준 또는 통신체계를 확보하며, 넷째로 효율적인 정보수집체계와 조기경보 및 감시체계 그리고 영상센서 高 해상 영상신호처리 및 위성체계등 핵심 기술 확보가 필요하다. 다섯째로 타격체계의 통합운용으로 미래 불특정 위협에 대응하기 위해 하층 및 상층방어 체계의 다층방어체계가 구축되어야하며 마지막으로 의사 결정권자의 적시정확한 의사결정을 내릴 수 있는 지원체계를 구축해야 한다. 따라서 본 연구는 유비쿼터스시대의 국가안보전략으로 한국적 NCW 구현을 하나의 대안으로 판단하고 유비쿼터스 시대의 전장 환경변화와 유비쿼터스 컴퓨팅의 군사적 활용을 확인하고 NCW의 개념 발전경과 및 각국의 NCW 구축현황을 살펴본 다음 우리군이 추진해 나가야 할 한국적 NCW을 효율적으로 수행 할 수 있는 기반을 구축 할 수 있도록 방안을 제시하였다. 이를 통해 ‘국방개혁 2020’의 목표인 정보·기술 중심의 기술 집약형 질적 군 체제구축을 위하여 한국적 NCW 조기구축에 보다 높은 관심과 적극적인노력이 이루어져야하며 또한 여기서 제시된 개선방안의 체계적인 구축 및 효율적인 운영과 더불어 최고관리자의 지속적인 관심이 함께 이루어 진다면 새로운 패러다임의 국가안보전략은 성공적으로 추진 될 수 있을 것으로 판단된다.

웹 서비스 기반의 모바일 RFID 네트워크 서비스

백일우 韓國外國語大學校 大學院 2007 국내석사

최근의 정보통신 분야에서 최대의 화두는 유비쿼터스 컴퓨팅이다. 다양한 분야에서 도입되고 있는 유비쿼터스 컴퓨팅의 가장 근본이 되는 기술은 모든 사물을 유일하게 식별할 수 있는 객체 인식 기술이다. 이중 RFID는 다량의 정보를 보유할 수 있는 tag를 삽입 또는 부착함으로써 객체간의 정보 이동을 가능하게 하는 차세대 정보 기술이다. 현재 RFID는 물류 유통을 위한 지능형 네트워크 구축을 통한 서비스 제공이 시작 되었으며, 다양한 제조 업체에서 시범적으로 운영하면서 실제 이익을 얻고 있다. 또한 RFID의 향후 발전 가능성을 인지한 각 국가들과 다양한 협회에서 RFID 시장의 주도권을 잡기 위해 협회를 설립하여 연구 중이다. RFID 관련 연구 중에서 현재 가장 중요한 이슈는 기존의 휴대폰 단말기에 RFID 기능을 탑재하여 다양한 서비스 방식을 제공하고자 하는 모바일 RFID 이다. RFID에 대한 연구는 크게 인터넷을 이용하는 EPC 네트워크와 이동통신망을 이용하는 모바일 RFID 네트워크로 나누어지며 각각 독립적으로 발전하고 있다. EPC 네트워크는 EPCglobal이 제안한 것으로 현재 RFID와 관련한 사실상의 표준이다. EPC 네트워크는 현재 VeriSign과의 협약을 통해 EPC 네트워크를 이용한 물품에 대한 지능형 공급망을 구축하여 월마트와 질레트 등의 회사에서 이용하고 있다. 모바일 RFID 네트워크는 세계 최대의 이동통신 사용률을 가진 국내에서 가장 먼저 연구 되어 현재 모바일 RFID 포럼을 통해 연구가 진행되고 있으며 표준이 제안되고 있다. 또한 SKT와 KTF 등의 실제 이동통신사와의 협약을 통해 상용화 서비스를 계획 중이다. 그러나 현재 RFID 네트워크의 서비스는 몇 가지 문제점이 존재한다. 첫 번째로 두 RFID 네트워크의 서비스는 모두 한정적이다. EPC 네트워크의 경우 주요 서비스 대상이 제품 제조 회사와 물류 유통 회사로 제한된다. 따라서 사용자의 제한이 따르며 적용 가능한 서비스도 한정적이다. 모바일 RFID 네트워크는 사용자가 핸드폰을 사용하는 모든 사용자로 확대가 가능하지만 제공되는 서비스의 대상 역시 물품으로 한정되어 단순 물품 정보를 획득하는 서비스만 제공하고 있다. 이로 인해 모바일 RFID 네트워크는 현재의 인터넷에서와 같이 사용자의 요구에 맞는 다양한 정보를 제공할 수 없다. 두 번째로 모바일 단말기는 제약성과 무선 환경의 대역폭 제한으로 다양한 서비스 제공이 힘들다. 이로 인해 현재의 모바일 RFID 네트워크에서는 인터넷에서와 같은 수준의 정보를 획득할 수 없다. 모바일 단말기는 메모리, 저장 공간, 배터리, 화면제한 등의 물리적 제약성 때문에 서비스를 위한 오버헤드가 큰 처리과정에 대해 민감하며 새로운 서비스 제공 시 모바일 단말기의 물리적 또는 소프트웨어의 변경 및 추가가 불가피하다. 이와 같은 문제점을 해결하기 위해서는 다음과 같은 내용들이 요구된다. 우선 기존의 제한적인 서비스를 벗어나 개인화된 정보를 위한 모바일 네트워크의 고유 서비스 방식인 Closed Service Model과 EPC 네트워크와 연동을 통한 Open Service Model를 제시한다. 이동단말은 한 개인에게 귀속된 물품으로 본래의 기능인 개인 확인 및 정보에 RFID 리더와 태그 기능을 추가하여 물품에 대한 정보뿐만 아니라, 개인정보 제공 및 획득이 모두 가능한 다양한 서비스를 제공 할 수 있다. 본 논문에서는 Closed Service Model에 초점을 두었다. Closed Service Model은 외부망 연동과 상호운용성을 고려할 필요 없이 이동통신사업자 독자적으로 서비스를 제공할 수 있는 모바일 RFID 네트워크 고유 서비스 모델이다. 두번째 모바일 RFID 단말기의 성능 향상을 위해 기존의 EPC 네트워크의 단말에서의 처리 기능을 가지는 모바일 RFID 네트워크 만의 구성요소인 Service Agent를 제안한다. Service Agent는 모바일 RFID 단말기를 대신하여 처리 과정을 담당함으로써 단말기는 물리적 제한성을 극복할 수 있다. Service Agent는 서비스 대부분의 처리과정을 담당하는 서비스 제어 포인트 역할을 함으로써 서비스 제공자는 이를 이용하여 보다 다양하고 효율적으로 서비스를 제공 할 수 있다. 이와 같은 요구사항을 만족하는 네트워크 모델을 통하여 이루어질 수 있는 서비스를 연구 및 분석하여 사람 중심의 시나리오로써 개인 신상에 대한 Profile, 관심있는 물품에 대한 Interest, 자주가는 장소 및 위치에 대한 Visit의 3가지 Feature를 도출하였다. 이 Service Feature를 기반으로 하는 다양한 서비스의 제안과 관리가 가능한 네트워크의 구성 및 구현을 위해 Web Service 방식을 이용하였다. 서비스 제공을 위한 기존 IS 정보 획득방식과 웹 서비스의 차이를 분석하고 비교를 통해 Web Service를 이용한 서비스의 추가 및 확장이 더욱 효율적임을 보인다. Web Service를 이용한 구성은 서비스 제공 시 보다 모바일 단말기의 의존성을 줄일 수 있으며, 서비스 조합 및 추가에 용이하다. 본 논문은 모바일 RFID 네트워크에서 다양한 종류의 개인화된 정보 서비스를 제공 할 수 있는 네트워크 모델과 새로운 구성요소인 Service Agent를 포함한 네트워크 아키텍쳐를 제시한다. 이로부터 실제 서비스의 기본이 되는 Service Feature를 도출하고 효과적인 서비스 제공을 위해 Web Service를 이용하여 모바일 RFID 네트워크 서비스를 구현 및 시험한다.

사전 뜻풀이말에서 추출한 의미정보에 기반한 동형이의어 중의성 해결 시스템

허정 울산대학교 대학원 2000 국내석사

동형이의어는 문장에서 그와 함께 사용된 단어들에 의해서 그의 의미를 확정지을 수 있다. 본 연구에서는 동형이의어의 중의성을 해소하기 위하여 사전의 뜻풀이말에서 의미 정보를 추출하고, 이 의미 정보를 확률 통계적 방법에 적용하여 동형이의어의 중의성을 해결하는 모델을 제안한다. 사전의 뜻풀이말에서 동형이의어를 포함하고 있는 뜻풀이말을 구성하는 체언류(보통 명사)와 용언류(형용사, 동사)를 의미 정보로 추출한다. 의미 정보는 1차 의미 정보와 2차 의미 정보로 구분하는데, 1차 의미 정보는 의미 분별할 단어와 표제어가 의미적으로 상-하의어 관계를 이루고 있다. 이러한 상-하의어 관계는 깊이 1의 의미 계층구조로 자료 부족 문제를 완화시키기 위한 의미 정보의 확장에 유용하다. 비교적 중의성이 자주 발생하는 9개의 동형이의어 명사를 대상으로 실험하였다. 학습에 이용된 데이터로 정확률을 실험하는 내부 실험의 결과, 체언류와 용언류의 가중치를 0.9/0.1로 주는 것이 가장 정확률이 높았다. 외부 실험은 국어 정보베이스와 ETRI 코퍼스를 이용하여 1,796문장을 실험하였는데, 평균 80.73%의 정확률을 보였다. Homonyms are disambiguated by semantic information of other words in the sentence used with the homonym. This paper proposes a homonym disambiguation system using statistical semantic information extracted from definitions in dictionary. The semantic information consists of nouns and predicates that are used with the homonym in definitions. The semantic information is classified into two types. One has hyponym-hypernym relation between title word and head word (homonym) in definition. The relation is one level semantic hierarchy and can expand to overcome the problem of data sparseness. The other is extracted from definitions in which the homonym is used for defining other words. Nine homonyms are examined. Using the training corpus(definitions), we decide the weights for noun and verb are 09 and 01. respectively which affect the accuracy of homonym disambiguation. The homonym disambiguation system results the average precision of 80.73% on 1,796 untraining sentences from Korean Information Base I and ETRI POS corpus.

초등학교 컴퓨터교육의 실태 분석 및 개선 방안

김봉희 동국대학교 2005 국내석사

본 연구는 초등학교 컴퓨터 교육의 실태 분석 및 개선방안에 대한 내용으로, 초등학교 교육과정의 컴퓨터 교과의 성격 및 교육 내용을 분석해보면 지식, 원리, 구조의 습득보다 컴퓨터 활용에 의한 응용프로그램을 조작하고 컴퓨터통신을 하는 방법을 익히는 것을 위주로 편제되어 있다. 컴퓨터 교육의 본질은 컴퓨터의 원리를 이해하는 교육이 밑바탕이 되어야 하고, 컴퓨터 활용교육은 컴퓨터 원리를 이해하는 교육이 이루어지는 과정에서 수반되는 보완적 성격의 교육이 되어야 한다. 지금까지의 컴퓨터 교육은 응용프로그램을 잘 다루는 것이 컴퓨터 전체를 배우는 것으로 잘못 인식되어 왔고, 학생들로 하여금 학년이 올라갈수록 컴퓨터에 대해 식상하게 만든다. 초등학교 학생들의 현 컴퓨터 활용능력 정도를 설문조사를 통하여 분석해서 컴퓨터 활용위주의 교육에서 프로그래밍 교육의 필요성과 컴퓨터의 원리교육을 강조하고, 컴퓨터의 기본 개념교육을 바탕으로 한 초등학교 교육과정 재구조화 방안을 제시하였다. 본 논문에서는 기초개념을 통한 원리학습의 한 방법으로 알고리즘 교육과 프로그래밍 교육으로 초등학교 3학년부터 LOGO 프로그래밍 교육을 시작으로 4학년부터 알고리즘과 배우기 쉽고 다루기 쉬운 비주얼 베이직 프로그램을 배움으로 해서 인터넷이나 응용프로그램을 통한 컴퓨터 활용 중심의 교육에서 벗어나 컴퓨터 자체를 이해하고, 작동원리를 이해하며 간단한 프로그램을 학생 스스로 만들어 오류를 수정해 봄으로써 자신감과 논리적인 사고력, 문제해결력을 가질 수 있는 프로그래밍 교육의 영역을 학습모형으로 제시하고 필요성을 강조하였다. 그리고 프로그래밍 교육을 통해서 학생들의 논리적인 사고력과 문제해결력을 향상시킬 수 있는지 검증하였다. This research is studying about actual conditions analysis and an improvement way of elementary school computer-aided education. When it is analyzed characters and contents of computer subjects of elementary school education courses, it is formed more focused on training method of manufacturing application program by computer practical use and using computer communication than acquiring knowledge, principle, structure. The essence of computer-aided education is based on understanding the computer principle and computer practical use education must become complementary education based on understanding computer principle. Computer-aided education had been recognized wrong because learning all about the computer was seen as handling well application program so far, and that makes students sick. Computer practical use, through analyzing and polling present computer practical use ability degree, and presented re-structural devices of a elementary school training courses based on basis concept education of computer. In this study, third-year students of elementary school start to get LOGO programming education, one way of principle learning through basis concept using algorithm and programming education, and fourth-year students begin to learn algorithm, visual BASIC program, being learned and treated easy so escaping computer practice focused education by Internet or application program and could understand a computer itself, a moving principle and also creating simple program and modifying errors by a student, presented programming education are that could have pride and logical thinking power, problem solution ability and emphasized necessity. And verified whether can improve students' logical thinking power and problem solution ability through programming education.

Traffic Surveillance and Control based on Wireless Sensor Networks : 무선 센서네트워크에서의 교통 감시 및 제어

Jo Youngtae 강원대학교 대학원 2015 국내박사

A traffic information acquisition system is the foundation of an ITS. Many traffic information acquisition systems have been developed, such as inductive loop detectors, infrared sensors, and video monitoring systems. However, such systems have high costs and low scalability owing to their large size, wired power supplies, and wired communication systems. Consequently, the available detection area is narrowed and the utilization of overall ITSs is declined. Thus, to measure traffic information across entire road networks, a low cost and highly scalable detection systems are required. To address the disadvantages of existing systems, we propose a new WSN-based traffic information acquisition system. Our system use a wireless network and is battery driven, which provides high scalability and a low cost of installing and replacing the systems. However, WSN-based systems have important issues, such as low computing power, limited battery capacity, and high transmission delay. Thus, we propose power saving methods, vehicle detection algorithms with low computational complexity, and network protocols for efficient data transmission in ad-hoc network environment. First, we introduce the detection interval optimization methods of a tiny ultrasonic sensor, which provide reliable data collection with minimum power consumption. Moreover, we propose a new vehicle detection algorithm with low computational complexity based on real-time distance data collected from an ultrasonic sensor. The algorithm can produce traffic information in real-time under restricted computing resources, such as 8 MHz clock speed and 4 KB of memory. The collected traffic information should be transmitted to a server with low power consumption and low delay in wireless networks. To satisfy these aims, we propose three-phase routing protocol based on a duty-cycling mechanism, which minimizes the power consumption and data transmission delay by applying time synchronization of each sensor node. Next, we discuss an efficient traffic control algorithm with highly scalable traffic information acquisition systems, such as our WSN-based systems. If the accurate information of approaching vehicles at intersections is measured in real-time, a new traffic signal control method can be designed. In this paper, we propose a novel traffic signal control algorithm for minimizing the average delay time of vehicles and improving throughput under recurring traffic congestion based on traffic pattern learning algorithms. Finally, we propose a new variable speed limit algorithm based on the traffic information collected from multiple points of urban freeways. The design aims are to enhance road safety near traffic congestion on urban freeways. Each traffic congestion is automatically detected by real-time traffic information collected from the sensors installed on freeways, and approaching vehicles to congested area are guided to reduce their speed. Our algorithm dynamically changes the size of control area for minimizing additional travel time. 지능형 교통시스템의 기반기술에는 교통정보 수집시스템이 있다. 교통정보를 수집하기 위하여 루프 디텍터, 적외선 센서, 비디오 등 많은 시스템들이 연구 개발되었다. 하지만, 기존의 시스템들은 유선을 통한 전원공급과 통신 그리고 큰 사이즈 등의 특징으로 인해 비용이 높고 확장성이 떨어지는 단점이 있다. 이러한 단점은 교통정보를 수집할 수 있는 영역을 협소화 시키며 전체적인 지능형 교통시스템의 활용성을 저해하는 결과를 초래하게 된다. 따라서, 전체 도로망으로부터 교통정보를 수집하기 위해서는 확장성이 높고 비용이 낮은 시스템이 필요하다. 본 논문에서는 기존 교통정보 수집시스템의 단점을 해결하기 위해 무선센서네트워크 기반의 교통정보 수집시스템을 제안한다. 제안하는 시스템은 무선통신, 배터리 기반 동작을 바탕으로 확장성을 높이고 설치 및 유지보수 비용을 감소시킨다. 하지만, 무선센서네트워크 기반 시스템은 낮은 컴퓨팅파워 그리고 제한된 파워 용량, 높은 전송 지연 등의 특징으로 인해 고려해야 하는 점들이 존재한다. 본 논문에서는 무선센서네트워크 기반 교통정보 수집 시스템에서 낮은 컴퓨팅파워를 고려한 센서데이터 처리 알고리즘의 경량화 방법 그리고 에너지소비의 최소화 방법, Ad-hoc 무선통신 환경에서 효율적으로 교통정보를 전송할 수 있는 프로토콜에 대해 논한다. 먼저 소형 초음파 센서를 이용한 교통정보 수집 시 센싱 에너지를 최소화 하기 위한 센싱 횟수 최적화 방법에 대해 논한다. 제시된 방법은 초음파 센서로부터 소모되는 에너지를 교통정보의 신뢰성을 보장하며 최소화 시킨다. 수집된 초음파 데이터로부터 실시간으로 교통정보를 추출할 수 있는 경량화된 알고리즘을 제안한다. 설계된 알고리즘은 8MHz 동작 클럭과 4KB 메모리를 가지는 제한적 컴퓨팅 환경에서 실시간 측정이 가능함을 보인다. 수집된 정보는 무선통신을 통해 빠르고 저전력으로 전송되어야 한다. 이를 위해 Duty-Cycling 기법을 기반으로 하는 전송 프로토콜을 제안한다. 제안된 프로토콜은 각 노드의 시각 동기화를 통해 에너지 소비와 데이터 지연을 최소화한다. 무선센서네트워크 기반 교통정보 수집시스템과 같이 높은 확장성이 보장되었을 때 이를 기반으로 하는 효율적인 교통흐름제어 알고리즘에 대해 논한다. 다수의 교차로 진입로로 진입하는 차량의 수를 실시간으로 측정할 수 있다면 새로운 방식의 교차로 신호제어가 가능하다. 본 논문에서는 매일 반복되는 도심 교차로의 교통 혼잡을 고려한 교차로 신호 제어 알고리즘을 제안한다. 제안된 알고리즘은 학습 알고리즘을 이용해 반복되는 교통 흐름을 학습하고 이를 기반으로 교차로의 지연시간 감소 및 통행량 증가를 목표로 한다. 마지막으로, 본 논문에서는 다수의 위치에서 수집되는 도심고속도로의 교통 정보를 바탕으로 하는 가변속도제한 알고리즘을 제안한다. 제안된 알고리즘은 도심고속도로의 교통혼잡 영역의 안전성 증가를 목표로 한다. 교통 혼잡영역은 각 센서로부터 수집된 데이터를 통해 자동으로 감지되고 해당 영역으로 진입하는 차량의 속도를 단계적으로 낮춰 사고 위험을 줄인다. 제안된 가변속도제한 알고리즘은 이동시간 증가를 최소화하기 위해 속도제한 영역을 가변적으로 변화하는 방식을 사용한다.

센서네트워크를 위한 오버레이 네트워킹 제어 메커니즘 연구

박대현 한국외국어대학교 대학원 2007 국내석사

WiBro 망에서의 그룹통신 시스템의 설계 및 구현

유대승 울산대학교 2011 국내박사

본 논문에서는 실제 선박을 건조하는 조선소의 요구사항을 수렴해서 WiBro(Wireless Broadband) 망에서 PTT(Push To Talk) 서비스를 제공하는 그룹통신 시스템(GoW : GCS over WiBro)을 설계하고 구현하였다. GoW는 현재 그룹통신에서 사용되고 있는 무전기나 TRS(Trunked Radio System)와 같은 주파수 기반 그룹통신 시스템의 한계를 극복하고, 차세대 ALL-IP 기반 네트워크 통합 환경을 대비하는 WiBro 기반 그룹통신 시스템이다. GoW는 무전기의 동일채널 이용으로 발생하는 혼신 및 간섭과 보안에 취약한 문제점과 TRS의 경우 다수 사용자가 공용의 주파수를 이용함으로써 접속이 지연되는 문제점을 극복하는 VoIP 음성 서비스 기술이다. 본 논문에서 설계하고 구현한 GoW는 WiBro 망에서 최초로 구현된 그룹통신 서비스로 SIP(Session Initiation Protocol)를 기반으로 서버와 단말간의 메시지 교환 프로토콜과 발언권 제어 프로토콜을 설계하였고, GoW의 시스템 구조는 확장성과 안정성을 고려해서 설계 되어 확장성 지원을 위한 다중서버 구성과 안정성 지원을 위한 이중화 구성이 가능하다. 특히 GoW는 초기접속 지연시간의 단축을 위하여 그룹통화를 위한 그룹 세션을 미리 생성해 두는 방식인 Pre-established Session 방식을 사용하였고, 그룹통신 중심의 경량 프레즌스 서비스를 고안하고 적용함으로써 서버의 성능 저하와 네트워크 트래픽을 최소화하면서 프레즌스 서비스를 제공할 수 있도록 하였다. 또한 GoW에서는 메인 메모리에 데이터를 저장하는 MMDBMS(Main Memory Database Management System)를 적용하여 경성 실시간 그룹통신이 요구되는 환경에서도 원활한 서비스를 제공할 수 있도록 하였다. GoW는 개별통화와 그룹통화 외에 사용자 요구사항에 의해 비상호출(긴급발언권 요청, 그룹복귀 요청, 긴급통화 요청), 문자 메시지, 원격단말제어(lock/unlock, 단말 사용기간 설정), 검색서비스, 통화통계 등의 추가적인 기능을 지원한다. 본 논문에서 구현된 GoW가 WiBro 망에서 다수의 사용자와 다수의 그룹에게 PTT 서비스를 제공한다는 것을 검증하기 위해서 성능 측정과 분석을 통한 음성품질과 성능에 대한 평가가 수행되었다. 음성품질과 성능에 대한 평가 결과 GoW에서 제시한 성능 요구사항을 만족함을 확인할 수 있었다. This study has designed and implemented a GoW (group communication system over WiBro) provides push-to-talk (PTT) services in a WiBro network environment by collecting the requirements from shipbuilding yards. The GoW is a WiBro-based group communication system for the next-generation All-IP integrated network environment. It helps overcome the limitations that are shown in frequency-based group communication systems such as trunked radio systems (TRS) or walkie-talkies. The GoW also represents VoIP service technology which helps overcome the problems of crosstalk, interference and security vulnerability which may be caused by using the same channel in a radio system and the problem of connection latency which may be triggered by the use of the same frequency band by a number of users in a TRS. The GoW, the first group communication system to be implemented on the WiBro network, has server-UE (user equipment) signaling and floor control protocols designed based on the session initiation protocol (SIP). The structure of the GoW system designed with considerations for scalability and reliability enables a multi-server configuration for scalability and a duplex configuration for reliability. Especially, the GoW used a Pre-established Session method which is to establish a group session prior to group communication to reduce the initial connection delay. As a group communication-oriented lightweight presence service is applied, the communication system can minimize the degradation of server performance and network traffic while providing the presence service. Also, with the application of a main-memory database management system (MMDBMS) which is designed to store data in the main memory, the GoW works effectively even in the environment where hard real-time group communication is required. In addition to individual and group communications, the GoW supports additional features such as emergency calling, text messaging, remote UE control, search and call statistics. In this study, an analytical evaluation of voice quality and server performance was conducted to verify that the GoW can provide the PTT service to multiple groups and users in the WiBro network environment. The evaluation results showed that the group communication system's performance requirements were satisfied.

Risk IT 프레임워크 기반의 개인정보 DB 암호화 효율적 관리방안에 관한 연구

김재중 강원대학교 대학원 2012 국내석사

Current IT technology in the rapid development of computers and the Internet in the business of our real life and getting a lot of help, and that is becoming increasingly dependent. Development of computer technology and can easily handle the vast amounts of information stored and can take advantage of numerous materials via the Internet a place of discovery and information exchange has been used. The added development of smart devices, especially mobile banking and social issues by taking advantage of the free-wheeling discussion on forming public opinion may be brought out. The recent wave of disclosure of personal information, such as misuse, abuse, invasion of privacy cases continue to occur as the personally identifiable information and sensitive information such as telephone fraud and identity theft using the mental and financial damage has resulted. To prevent this damage from the source to the last year, September 30, 2011 in accordance with the Privacy Act implementation of all public and private sector organizations must handle personal information must be encrypted as it should perform. Through this study, DB encrypts your personal information in the administrative building to maximize the efficiency of the overall Risk IT framework is to promote the expansion. This study group of experts to target information security professionals for statistical analysis (50 people), Information Security Governance Specialist (20 people), Risk IT framework, professionals (30 people), IT-related services personnel (50 people) who 2012 year 21 May to 3 June 15 days e-mail (E-mail) through the survey was conducted. As a result, the total number of 108 questionnaire responses were analyzed. The significance of this study performed in accordance with the Privacy Act personal information of related organizations and businesses plan effective management of DB encryption Risk IT framework domains of the three kinds of 'risk governance', 'risk evaluation', 'Risk Response' of the with three kinds of information sector by constructing a sub-element of the sector through nine kinds of business processes enterprise-wide Risk Management within the enterprise to systematically build / run is being conducted silmunjosaro comment on. The first three domains, risk governance, senior management sector in their decision by considering all aspects of IT risk and decide whether, IT risk managers in the design or execution, and operating at steady state is considered as a trusted advisor IT departments and business operational risk and enterprise risk services to perform key roles in business and was placed on whether the criteria. Second, the risk assessment sector IT decision makers in favor of transparency, risk probability of loss and gain new opportunities for exposure and the best available information, and facilitate the actual operation of the physical risk factors aggressively through the extended enterprise is passed, the staff at all levels of business risk factors directly responsible for determining relevance and companies collecting data on the formal Risk, risk analysis and profiling techniques of how to perform the continuous improvement of the standards placed. Third, the risk categories corresponding to the total risk requirement and are ready for how to deal with is aware of strategies and plans, actively corresponding risks and threats for current operations extended across the entire enterprise is being passed, the entire fashion companies typically respond to risk issues in partnership with external organizations to mitigate risk exposure and was placed on whether the criteria. Firstly, the risks identified in the governance sector are as follows. Senior management of the IT risk, but the interest in higher education IT systems for risk managers and human resource development was relatively low. Personal information in order to perform DB encryption are scattered a number of risks and effectively manage these risks for senior management to be high interest and talent in a systematic risk management education training could find that you need. Second, the sector identified in the risk assessment information for IT-related risk identification, analysis and reporting for effective data collection and analysis, but the periodic determines the judgment process, and Risk of Risk due to the absence of risk, as well as up-to-date profiling, continuous improvement does not be done that could be found. Third, the risk in the corresponding sector in a timely manner after the occurrence of risk reports and risk, but a clear analysis and transparent reporting was found to not be made. Since the onset of risk for the monitoring of residual risk and acceptable levels, but to reduce the lack of systematic management and lessons learned since the onset of risk is not being systematically managed also was found. This efficient management of personal information for DB encryption system of the enterprise-wide IT risk management plan may be a need. Beyond the limits of this study have the research focus is on this that trend continues, please future research. 현재 IT 기술의 컴퓨터와 인터넷의 급속한 발전 속에 우리의 실생활과 비즈니스에서 많은 도움을 받고 있고 그 의존도는 점점 높아지고 있다. 컴퓨터기술의 발달은 방대한 양의 정보를 손쉽게 처리하고 보관하고 활용할 수 있으며 인터넷을 통해 수많은 자료 검색 및 정보교류의 장으로 활용되고 있다. 특히 스마트 기기의 발달이 더해지면서 모바일을 활용하여 금융거래 및 사회적 이슈에 대한 자유분방한 토론을 이끌어 내어 여론을 형성하기도 한다. 최근 연이어 발생되는 개인정보의 유출·오용·남용 등 개인정보 침해사례가 지속적으로 발생함에 따라 개인의 신상 정보 및 민감 정보를 이용한 명의도용 전화사기 등의 정신적, 금전적 피해를 초래하고 있다. 이러한 피해를 원천적으로 방지하기 위해 지난해 2011년 9월 30일 개인정보보호법 시행에 따라 모든 공공부문과 민간부문의 단체에서 반드시 개인정보를 처리함에 있어 반드시 암호화를 수행해야 한다. 본 연구를 통해 개인정보 DB암호화 구축에 관리적 효율성을 극대화하기 위해 Risk IT 프레임워크의 전반적인 확대를 도모하고자 한다. 본 연구는 전문가 집단을 대상으로 통계적 분석을 위해 정보보호 전문가(50명), 정보보호 거버넌스 전문가(20명), Risk IT 프레임워크 전문가(30명), IT관련 업무 종사자(50명)를 대상으로 2012년 5월 21일부터 6월 3일까지 15 일간 전자우편(E-mail)을 통한 설문 조사를 실시하였다. 그 결과 총 108건의 설문응답을 회수하여 분석을 수행하였다. 이 연구가 갖는 의미는 개인정보 보호법 시행에 따른 관련 기관 및 기업의 개인정보 DB암호화의 효율적 관리 방안을 Risk IT 프레임워크의 3가지 도메인인 ‘리스크 거버넌스’, ‘리스크 평가’, ‘리스크 대응’의 3가지 부문으로 내용을 구성하여 그 부문의 하위 요소 아홉 가지 비즈니스 프로세스를 통하여 기업 내 전사차원의 Risk 관리가 체계적으로 구축/운영되고 있는지에 대한 의견을 실문조사로 실시하였다. 3가지 부문은 첫째, 리스크 거버넌스 부문은 고위 경영진들이 그들의 의사결정 안에서 IT리스크의 모든 측면을 고려하여 결정을 하고 있는지, IT리스크 관리자가 설계 중이거나 실행 그리고 정상 상태의 운영 시 신뢰할 수 있는 조언자로 간주되고 IT 부서는 비즈니스 운영 리스크 업무와 기업 리스크 업무에 주요 역할을 수행하고 있는지에 기준을 두었다. 둘째, 리스크 평가 부문은 의사 결정권자는 IT리스크 투명성을 선호하며 손실 및 이득 확률, 새로운 노출 및 기회에 대한 최상의 정보를 이용할 수 있으며, 실제 운영에 대한 실제 리스크의 촉진요소가 확장된 기업을 통해 적극적으로 전달되고, 직원들이 모든 수준에서 리스크 요인의 비즈니스 관련성 결정에 직접적인 책임 있고, 기업은 공식적으로 Risk에 대한 데이터 수집, 리스크 분석 및 프로파일링 기술의 지속적인 개선을 수행하는지에 기준을 두었다. 셋째, 리스크 대응 부문은 전체 요구사항 및 리스크에 대한 대처 방법에 대해 준비되어 있는 전략과 계획을 잘 알고 있는지, 리스크 대응들이 적극적으로 현재 운영과 위협에 대해서 확장된 전체 기업 전반에 걸쳐 전달되고, 전체 기업은 일반적으로 유행적인 리스크 문제에 대응하기 위해 외부 단체와 함께 협력하여 리스크 노출을 완화하고 있는지에 기준을 두었다. 연구 결과 첫째, 리스크 거버넌스 부문에서 파악된 내용은 다음과 같다. 고위 경영진들의 IT리스크에 대한 관심은 높게 나타났지만 IT리스크 관리자에 대한 체계적인 교육 및 인재 육성은 상대적으로 낮게 나타났다. 개인정보 DB암호화를 수행하기 위해서는 수많은 리스크가 산재되어 있고 이러한 리스크에 대해 효율적으로 관리하기 위해서는 반드시 고위 경영진의 높은 관심 속에 체계적인 리스크 관리 교육 및 인재 육성이 필요함을 발견할 수 있었다. 둘째, 리스크 평가 부문에서 파악된 내용은 IT관련 리스크에 대한 식별, 분석 및 보고를 효과적으로 하기위한 자료 수집은 되고 있지만 주기적인 분석 및 Risk 결정 판단 프로세스 부재로 인해 Risk에 대한 최신 상태유지는 물론 리스크의 프로파일링이 이뤄지지 않아 지속적인 개선을 못하고 있음을 발견할 수 있었다. 셋째, 리스크 대응 부문에서는 리스크 발생 후 적시에 보고서를 작성하고는 있지만 리스크에 대한 명확한 분석 및 투명한 보고가 이루어 지지 않음을 알 수 있었다. 리스크 발생 이후 잔여 리스크에 대한 모니터링은 하고 있지만 수용가능 수준으로 낮추기 위한 체계적인 관리가 부족하고 리스크 발생 이후 배운 교훈 또한 체계적으로 관리되고 있지 않음을 확인할 수 있었다. 이를 통해 개인정보 DB암호화의 효율적 관리를 위해서는 전사차원의 체계적인 IT리스크 관리 방안들이 필요하다고 할 수 있다. 본 연구가 갖고 있는 한계를 넘어서 이러한 연구에 역점을 두는 후속연구가 이어졌으면 하는 바람이다.

개인정보보호 관리체계를 반영한 금융IT 취약점 분석평가 개선방안

장문석 강원대학교 산업대학원 2014 국내석사

Investigate the current status of Information Security Management System certification fulfillment of obligations that legal, is defined as obligations to information and communications services provider, Member of Parliament Lim Soo Kyung is, in fact of financial institutions skilled in the art in accordance with the situation of personal information leakage recent companies that have certified was only two companies only. More than 10 billion won sales, or However, financial companies, telecommunications service provider of several million people or more average daily users, the law relating to the protection of information if to undergo the compulsory certification of ISMS it has been reported to obtain the current status, such as authentication, BS10012, K-ISMS, ISO27001, K-PIMS autonomously based on. On the other hand, the financial committee to control and manage the security of financial institutions and internal creation science department of the future is a K-ISMS competent institution, there was a conflict Financial Committee to control and manage the security of financial institutions and internal Future Creation science department, there was a conflict. By the electronic financial transaction method, and analyzes the internal security, evaluate, finance committee is adapted to report to the Financial Services Commission to specify the financiers K-ISMS certification obligation subject to the Future Creation Science Buddha, So, that there is no need to undergo the ISMS certification based on information communication method. The Financial Services Commission, was to apply the financial-ISMS that is optimized for financial operations of the year 2014S to the announcement was announced last year a "computerized financial security strengthening comprehensive measures.“ A need to minimize to unify redundancy by the authentication system and various regulations is a bottleneck of the financial companies that put before the introduction of a certification system, was introduced already, improve the efficiency of the certification system at the time of the current and began to study the options for it is determined that there is, to solve the privacy and protection of personal information. In order to ensure the safety and reliability of electronic financial transactions, e-financiers or "finance companies e-banking infrastructure on the basis of (vulnerability analysis ? evaluation of electronic financial infrastructure) 3 of Article 21 of the electronic financial transaction method analyze ? evaluate the matter to the facility, it shall report to the Financial Services Commission and the results "because, financiers, it is an obligation the vulnerability analysis evaluation.. Financial IT vulnerability analysis evaluation is a situation similar to the K-ISMS of ISO27001, personal information protection management items, missing. In this paper, by comparing the important control points of the certification system and privacy protection, such as, BS10012 K-PIMS, of information at home and abroad the analysis and evaluation of financial IT vulnerability that has been established in electronic financial transactions method, you must in order to apply the result derived by minimizing the overlap is allowed to delete or includes comprehensive items control Na, is operated to apply the COBIT is a framework for iT control, financial companies continue it presented a "model and vulnerability analysis evaluation of the financial iT" which has been modified to be able evaluates them and improve. In addition, the financial committee of 2014, by preparing new, it meets the laws of the financial industry has helped to FI-ISMS selection criteria making that apply to financial institutions, the overall protection of personal information and protection of information it is intended to provide assistance to the measurement of the effectiveness of such. 최근 잇따른 개인정보유출 사태에 따라 국회의원 임수경 의원실에서는 현행 법률상 정보통신서비스 제공자에게 의무로 규정되어 있는 정보보호관리체계(Information Security Management System)의 인증의무 이행 여부를 조사해보았고, 금융권 업체 중 실제 인증을 획득한 업체는 단 두 곳 뿐이였다.[1](블로그, http://blog.naver.com/su_blog) 매출 100억원 이상, 혹은 1일 평균 이용자수 백만명 이상인 정보통신서비스 제공자는 정보보호관리체계(ISMS) 인증을 의무적으로 받아야 하지만 금융기업은 정보보호 관련 법률에 따라 자율적으로 정보보호관리체계(K-ISMS), ISO27001, 개인 정보 보호 관리체계 K-PIMS, BS10012 등 인증 획득 현황을 보고하고 있다. 한편 정보보호관리체계의 주관기관인 미래부와 금융권 내부 보안을 통제 관리하는 금융위는 갈등이 있었다. 미래부의 금융업체 K-ISMS 인증 의무대상 지정으로 금융위는 전자금융거래법에 의해 내부보안 사항을 분석평가해 금융위에 보고하도록 되어있어, 정보통신망법에 근거한 ISMS 인증을 받을 필요성이 없다고 했다.[2](디데일리 www.ddaily.co.kr) 금융위는 지난해 발표된 "금융 전산 보안 강화 종합대책"발표에 2014년 금융 업무에 맞는 금융-ISMS를 적용하겠다고 발표하였다. 현시점에서 인증제도 도입을 앞둔 또는 도입한 금융 기업들의 애로사항인 각종 규제 또는 인증제도로 인한 중복성을 단일화하고 최소화하여 인증제도의 효율성을 높일 필요성이 있다고 판단하였고, 개인정보 보호와 정보보호를 해결할 수 있는 대안을 연구하게 되었다. 전자금융거래법 시행령 개정안(본조 신설 2013.11.22) 제21조 3(전자금융기반시설의 취약점 분석평가)에 따라 “금융회사 및 전자금융업자는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 전자금융기반시설에 대한 사항들을 분석?평가하고 그 결과를 금융위원회에 보고하여야 한다"는 법률에 따라 금융 업체들은 취약성 분석평가를 의무적으로 하고 있다. 금융IT 취약성 분석 평가는 국제 인증 ISO27001 과 국내 인증 K-ISMS와 유사하나, 개인정보 보호 통제 항목은 부족한 상황이다. 본 논문에서는 전자금융거래법에 신설된 금융IT 취약점 분석 평가를 K-PIMS, BS10012 등 국내외 정보보호 및 개인정보보호 인증제도와 중요 통제사항을 비교하여 필요 통제 항목에 대해 포괄적으로 포함 또는 제거시켜 중복을 최소화하고 도출된 결과를 적용 및 운영하기 위해 IT 통제 프레임워크인 코빗(COBIT)을 적용하여 금융기업이 지속적으로 평가, 개선할 수 있도록 개선된 "금융IT 취약점 분석평가 기준 및 모델"을 제시하였다. 또한 2014년 중 금융 위원회에서 새롭게 준비해 금융권에 적용될 금융-ISMS 선정 기준 마련에 도움이 되고 금융업계에 관련 법률 충족 및 정보보호와 개인정보보호의 전반적인 효과성 측정에 도움을 제공하고자 한다.