[논문]인터넷 메신저의 보안 체계에 대한 연구

김상균; 이홍주

문제 정의

S사의 정보보호 책임자와 협력하여 S사에 적용 가능한 인터넷 메신저에 대한 보안 정책을 수립하였다. 보안 정책에는 Cl.
본 논문에서는 이렇듯 기업의 정보화 환경에서 필수적인 요소로 자리 잡고 있는 인터넷 메신저가 가지고 있는 잠재적 위험에 대하여 분석하고 이에 대한 대응책을 제시하였다. 위험 요인에 대해서는 전통적인 위험 분석 기법 중 정성적 분석을 통해서 항목화 및 우선 순위를 나누 었는데 기업의 영업기밀 관련 내용을 메신저로 송수신 할 경우 암호화되지 않은 통신 채널에 대하여 비인가된 제3자가 도청을 하여 정보가 유출되는 위험, 기업의 영업기밀 관련 내용이 송신에 대한 접근통제를 받지 않는 인터넷 메신저로 인하여 외부로 비인가된 상태로 유출되는 위험, 인터넷 메신저로 외부의 악성 코드들이 유입되어서 사용자 컴퓨터 시스템의 무결성을 침해 하는 위험 등이 가장 큰 위험 요소로 평가되었다 대응책인 통제 수단에 대해서는 기존에 존재하는 보안 통제의 요소를 각각의 위험에 연계하였다.
본 연구에서는 리시버 모듈을 개발하기 위하여 실제 인터넷 메신저를 활발하게 사용하는 환경에서 장기간에 걸쳐 패킷을 스니핑하여 분석 했다. 패킷 수집은 총 1개월간 총 여섯개의 메신저를 대상으로 진행했다.
본 연구에서는 표 1에서 제시한 통제 수단들을 기초로 인터넷 메신저의 5대 위험 요소에 대한 대응 수단을 제시한다. 이는 표 5와 같이 정리 된다.
수집된 패킷에 대하여 총 2개월간 다섯명의 분석인력이 패킷의 선후 관계를 추정하여 프로토콜을 분석해냈다. 분석된 메신저별 프로토콜에 따라서 이를 자동으로 수집하고 분류할 수 있는 모듈을 개발한 것이다. 분석된 메신저의 대부분은 네트워크 환경및 사용하는 메신저의 기능에 따라서 하나의 메신저가 여러 개의 프로토콜을 동시에 가지고 있었다.
본 논문에서는 인터넷 메신저에 대한 보안상의 위험을 파악하기 위하여 전통적인 위험분석 방법론을 사용한다. 이를 통해서 인터넷 메신저의 정보자산으로의 가치, 취약성, 위협 및 위험 등을 도출하고 이에 대응하기 위한 통제 요소를 제시한다. 마지막으로 본 연구에서 제시한 보안 체계에 따라서 실제 기업에서 인터넷 메신저에 대한 보안 통제를 구축한 사례연구를 통해서 본 연구의 실효성을 파악한다.

가설 설정

다음과 같은 세 가지 이유가 리시버 모듈의 개발을 어렵게 하였다.¹⁾ 인터넷 메신저에 대해서는 정확하게 규정된 국제 표준이 없다.²⁾ 인터넷 메신저 서비스 제공업체 마다 독립적으로 규정한 프로토콜을 사용한다.

제안 방법

정성적 분석은 자산가치, 취약성 위협 및 위험을 상대적 중요도, 순위 산정, 전문가 의견 등을 통해서 비수치적인 형태로 나타내고 분석하는 것이다.[6] 본 논문에서는 위험 분석의 전통적 기법인 정량적 분석과 정성적 분석중 정성적 분석의 기법을 통해 인터넷 메신저의 위험을 분석한다.
본 논문에서는 인터넷 메신저에 대한 보안 체계를 제시하기 위하여 전통적인 위험 분석 방법을 사용한다. 기존 연구를 통해서 본 연구에서는 그림 1과 같은 절차에 의해서 인터넷 메신저에 대한 위험 분석 및 이를 통한 보안상의 요구사항을 도줄했다.
[27] 그러나 인터넷 메신저와 관련된 직접적 효과의 정량화에 대해서는 아직 활용할만한 연구가 부족하여 기존 이론을 본 사례의 정량적 효과분석에 그대로 적용하기에는 어려움이 존재했다. 따라서 본 연구에서는 Kim 이 제시한 운영 효과와 전략 효과의 일부 항목에 대하여 S사의 직원들을 대상으로 표 6과 같은 방법으로 설문을 실시하였다.
표 3에서 제시한 정보자산, 취약성 및 위협은 아직 개별 항목에 대한 통계 자료나 기존 연구가 매우 부족하여 이를 기존에 존재하는 이론적 근거를 바탕으로 정량화된 수치로 비교하는 것이 불가하다. 따라서 본 연구에서는 정보자산, 취약성 및 위협에 대하여 전문가를 대상으로 한 정성적 분석 방법을 통해 계량화했다.[6] 본 연구에서는 표 3에서 제시한 인터넷 메신저의 정보자산, 취약성 및 위협에 대하여 보안 전문가 10명을 대상으로 개별 설문을 실시하였다.
위험 요인에 대해서는 전통적인 위험 분석 기법 중 정성적 분석을 통해서 항목화 및 우선 순위를 나누 었는데 기업의 영업기밀 관련 내용을 메신저로 송수신 할 경우 암호화되지 않은 통신 채널에 대하여 비인가된 제3자가 도청을 하여 정보가 유출되는 위험, 기업의 영업기밀 관련 내용이 송신에 대한 접근통제를 받지 않는 인터넷 메신저로 인하여 외부로 비인가된 상태로 유출되는 위험, 인터넷 메신저로 외부의 악성 코드들이 유입되어서 사용자 컴퓨터 시스템의 무결성을 침해 하는 위험 등이 가장 큰 위험 요소로 평가되었다 대응책인 통제 수단에 대해서는 기존에 존재하는 보안 통제의 요소를 각각의 위험에 연계하였다. 또한, 본 연구에서 제시한 보안 체계의 실효성을 점검하기 위하여 실제 기업에서 인터넷 메신저의 보안 체계를 본 연구에서 제시한 방법을 통해 구축하였으며, 사례에 대한 검증을 통해 본 이론의 효율성 및 개선점을 고찰하였다. 인터넷 메신저의 기존 보안 체계 및 이에 대해 본 연구의 제시한 보안 체계를 정리해보면 표 8과 같다.
본 장에서는 3장에서 제시한 인터넷 메신저의 위험 분석결과를 바탕으로 실제 기업에서 인터넷 메신저에 대하여 보안 체계를 구축한 사례를 소개한다. 본 사례 연구에서는 표 5에서 제시한 통제 수단을 S사의 보안 체계 구축에 활용하였다. S사는 인터넷 메신저를 정보화 전략상에서 정식으로 기업내외부의 주요 통신 수단으로 채택한 상황이다.
정보자산의 보안과 관련된 속성은 크게 기밀성, 무결성, 가용성의 세 가지로 나뉜다. 본 연구에서는 정보보호의 3대 속성을 기준으로 인터넷 메신저와 관련된 정보자산의 요소를 분류한다. 이는 표 2와 같다.
본 장에서는 3장에서 제시한 인터넷 메신저의 위험 분석결과를 바탕으로 실제 기업에서 인터넷 메신저에 대하여 보안 체계를 구축한 사례를 소개한다. 본 사례 연구에서는 표 5에서 제시한 통제 수단을 S사의 보안 체계 구축에 활용하였다.
패킷 수집은 총 1개월간 총 여섯개의 메신저를 대상으로 진행했다. 수집된 패킷에 대하여 총 2개월간 다섯명의 분석인력이 패킷의 선후 관계를 추정하여 프로토콜을 분석해냈다. 분석된 메신저별 프로토콜에 따라서 이를 자동으로 수집하고 분류할 수 있는 모듈을 개발한 것이다.
본 논문에서는 이렇듯 기업의 정보화 환경에서 필수적인 요소로 자리 잡고 있는 인터넷 메신저가 가지고 있는 잠재적 위험에 대하여 분석하고 이에 대한 대응책을 제시하였다. 위험 요인에 대해서는 전통적인 위험 분석 기법 중 정성적 분석을 통해서 항목화 및 우선 순위를 나누 었는데 기업의 영업기밀 관련 내용을 메신저로 송수신 할 경우 암호화되지 않은 통신 채널에 대하여 비인가된 제3자가 도청을 하여 정보가 유출되는 위험, 기업의 영업기밀 관련 내용이 송신에 대한 접근통제를 받지 않는 인터넷 메신저로 인하여 외부로 비인가된 상태로 유출되는 위험, 인터넷 메신저로 외부의 악성 코드들이 유입되어서 사용자 컴퓨터 시스템의 무결성을 침해 하는 위험 등이 가장 큰 위험 요소로 평가되었다 대응책인 통제 수단에 대해서는 기존에 존재하는 보안 통제의 요소를 각각의 위험에 연계하였다. 또한, 본 연구에서 제시한 보안 체계의 실효성을 점검하기 위하여 실제 기업에서 인터넷 메신저의 보안 체계를 본 연구에서 제시한 방법을 통해 구축하였으며, 사례에 대한 검증을 통해 본 이론의 효율성 및 개선점을 고찰하였다.
정책은 크게 관리 정책과 운영 정책으로 분류 하였다.[20,25] 관리 정책에는 인터넷 메신저 관리 시스템의 개발, 운영 및 활용에 대한 정책과 메신저를 통해서 보호되어야 하는 정보의 분류및 등급 등에 대해서 정의하였다.
최종적으로는 정책의 시행에 앞서서 전임직원을 대상으로 본 정책의 내용을 충분히 숙지하고 정책의 시행에 동의하였음을 확인하는 협약서를 작성하였다.[11,20]

대상 데이터

따라서 본 연구에서는 정보자산, 취약성 및 위협에 대하여 전문가를 대상으로 한 정성적 분석 방법을 통해 계량화했다.[6] 본 연구에서는 표 3에서 제시한 인터넷 메신저의 정보자산, 취약성 및 위협에 대하여 보안 전문가 10명을 대상으로 개별 설문을 실시하였다. 응답자 중 4명은 현직 보안 컨설턴트 3명은 기업내부의 보안 시스템 운영 책임자, 3명은 보안 시스템 관련 개발자로 구성되었다.
개별 설문 항목 및 항목에 대한 응답 결과의 통계는 표 7과 같다. 설문 항목별로 피응답자는 1부터 5까지의 척도（1: 효과가 거의 없음, 2: 효과가 크지는 않음, 3: 비교적 효과가 있음, 4:효과가 우수함, 5: 효과가 매우 우수함）에 대하셔 주관에 의하여 선택을 했다.
본 연구에서는 리시버 모듈을 개발하기 위하여 실제 인터넷 메신저를 활발하게 사용하는 환경에서 장기간에 걸쳐 패킷을 스니핑하여 분석 했다. 패킷 수집은 총 1개월간 총 여섯개의 메신저를 대상으로 진행했다. 수집된 패킷에 대하여 총 2개월간 다섯명의 분석인력이 패킷의 선후 관계를 추정하여 프로토콜을 분석해냈다.

이론/모형

본 논문에서는 인터넷 메신저에 대한 보안 체계를 제시하기 위하여 전통적인 위험 분석 방법을 사용한다. 기존 연구를 통해서 본 연구에서는 그림 1과 같은 절차에 의해서 인터넷 메신저에 대한 위험 분석 및 이를 통한 보안상의 요구사항을 도줄했다.
본 논문에서는 인터넷 메신저에 대한 보안상의 위험을 파악하기 위하여 전통적인 위험분석 방법론을 사용한다. 이를 통해서 인터넷 메신저의 정보자산으로의 가치, 취약성, 위협 및 위험 등을 도출하고 이에 대응하기 위한 통제 요소를 제시한다.

성능/효과

인터넷 메신저를 사용하는 기업입장에서는 다음과 같은 사항들에 주목해야한다.(2) 1） 인터넷 메신저에 대해서는 국제적으로 제정된 표준이 없으며, 인터넷 메신저 제공업체가 독자적으로 설계 및 개발한 프로그램을 그대로 사용하는 것이다. 2） 인터넷 메신저는 정보보호 에러 체크및 재전송 등에 대한 기능이 대부분 매우 취약 하다.
¹⁾ 인터넷 메신저에 대해서는 정확하게 규정된 국제 표준이 없다.²⁾ 인터넷 메신저 서비스 제공업체 마다 독립적으로 규정한 프로토콜을 사용한다.³⁾ 모든 인터넷 메신저 프로토콜은 비공개를 원칙으로 하고 있다.
²⁾ 인터넷 메신저 서비스 제공업체 마다 독립적으로 규정한 프로토콜을 사용한다.³⁾ 모든 인터넷 메신저 프로토콜은 비공개를 원칙으로 하고 있다.[3,4,5]
따라서 보안 통제하에서의 인터넷 메신저 사용으로 인한 업무 효율성 증대 및 정보 유출 방지효과 등에 대한 연구가 보강되어야 할 것이다.³⁾ 세부적 정책, 절차 및 지침의 개발: 개별 기업의 특징, 인터넷 메신저의 종류, 인터넷 메신저의사용 목적 및 형태 등에 따라서 적용 가능한 세분화되고 세부적인 정책, 절차 및 지침서의 내용에 대한 개발이 추가되어야 한다.
2） 인터넷 메신저는 정보보호 에러 체크및 재전송 등에 대한 기능이 대부분 매우 취약 하다. 3） 기업 내부 직원들이 임의적으로 사용하는 인터넷 메신저에 대해서 기업의 정보시스템관리자들이 이를 모두 파악하고 관리하기는 매우 어렵다.
분석된 메신저별 프로토콜에 따라서 이를 자동으로 수집하고 분류할 수 있는 모듈을 개발한 것이다. 분석된 메신저의 대부분은 네트워크 환경및 사용하는 메신저의 기능에 따라서 하나의 메신저가 여러 개의 프로토콜을 동시에 가지고 있었다. 일예로 M사의 인터넷 메신저의 경우에는 프로토콜내에 총 5개의 동작 모드가 존재하고 있었다.
설문 결과를 보면 관리자와 사용자 모두 영업 기밀 유출에 대한 방지를 본 보안 체계의 가장큰 효과로 꼽고 있음을 알 수 있다. 관리자와 사용자 층에서 가장 큰 차이를 보인 부분은 업무 생산성 증가에 대한 것이다.
관리자측은 보안 체계를 통해 인터넷 메신저 사용에 대해 불필요한 사용이 감소하여 업무 생산성이 증가한 것으로 판단한 반면에 사용자들은 모니터링에 대한 부담감으로 오히려 적절한 수준의 의사소통까지도 저해하는 부분이 있다고 주장한 것이다. 설문항목 중 “고객응대의 편의성 증가”와 관련해서는 조사 대상기업에서 고객사를 대상으로 인터넷 메신저를 사용하는 경우자체가 거의 없다는 것이 효과가 낮게 평가된 이유로 판단되었다.

후속연구

따라서 특정 환경에서 본 연구에서 제시한 보안 체계를 개선 없이 적용하는 것에는 많은 어려움이 있을 것이다. 그리고 효과 검증이 정량적이지 못했기에 본 보안 체계의 도입 추진 과정에서 문제시 될 수 있는 의사결정 자료의 부족은 본 연구의 한계점이다.[27,30]
²⁾ 비용 대비 효과 분석에 대한 연구: 기존의 보안 투자에 대한 효과 분석 연구로는 이와 같은 보안 체계 구축에 대한 효과를 정량화하기가 어렵다. 따라서 보안 통제하에서의 인터넷 메신저 사용으로 인한 업무 효율성 증대 및 정보 유출 방지효과 등에 대한 연구가 보강되어야 할 것이다.³⁾ 세부적 정책, 절차 및 지침의 개발: 개별 기업의 특징, 인터넷 메신저의 종류, 인터넷 메신저의사용 목적 및 형태 등에 따라서 적용 가능한 세분화되고 세부적인 정책, 절차 및 지침서의 내용에 대한 개발이 추가되어야 한다.
이를 통해서 인터넷 메신저의 정보자산으로의 가치, 취약성, 위협 및 위험 등을 도출하고 이에 대응하기 위한 통제 요소를 제시한다. 마지막으로 본 연구에서 제시한 보안 체계에 따라서 실제 기업에서 인터넷 메신저에 대한 보안 통제를 구축한 사례연구를 통해서 본 연구의 실효성을 파악한다.
본 연구는 연구 대상의 특성상 분석 대상 메신저의 서비스 업체별 특성, 사례연구 적용기업의 특징 및 실제 운영과 관련된 세부적 결과를 제시 하지 못하고 있다. 따라서 특정 환경에서 본 연구에서 제시한 보안 체계를 개선 없이 적용하는 것에는 많은 어려움이 있을 것이다.
인터넷 메신저는 기업 업무 효율성 증대를 위해 앞으로도 더 많은 기여를 할 것으로 기대된다. 그러나 그에 버금가는 많은 위험 요인도 내포하고 있는 것이 사실이다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

인터넷 메신저의 보안 체계에 대한 연구
A Study on the Security Management of Instant Messengers 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

인터넷 메신저의 보안 체계에 대한 연구 A Study on the Security Management of Instant Messengers 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

인터넷 메신저의 보안 체계에 대한 연구
A Study on the Security Management of Instant Messengers 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper