$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

개인정보보호를 위한 개인정보 유출 모니터링 시스템의 설계
Privacy Leakage Monitoring System Design for Privacy Protection 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.22 no.1, 2012년, pp.99 - 106  

조성규 (숭실대학교) ,  전문석 (숭실대학교)

초록
AI-Helper 아이콘AI-Helper

다수의 민간기업체 및 공공기관들은 영업, 홍보, 민원처리 등의 업무를 위하여 다양한 방법을 통해 개인정보를 수집하고, 조직의 이익 및 업무처리를 위해 개인정보를 활용하고 있다. 하지만 이렇게 수집된 개인정보에 대한 기술적, 관리적 조치 및 내부통제의 미숙으로 인해 개인정보의 오남용 및 유출이 사회적 문제로 크게 대두되고 있으며, 정부에서도 개인정보보호에 대한 중요성을 인식해 개인정보보호법의 시행을 추진하고 있는 실정이다. 본 연구에서는 조직에서 관리하고 있는 개인정보의 취급 패턴을 분석하여 이상징후를 탐지하고, 사전에 개인정보 유출 및 오남용에 대한 대처가 가능한 방안에 대해 기술하고 있다. 특히 개인정보 유출과 관련된 요소들을 객관적으로 측정이 가능한 핵심위험지표들로 수치화하여 관리할 수 있는 개인정보 유출 모니터링 시스템의 설계 방안에 대해 제시하고자 한다.

Abstract AI-Helper 아이콘AI-Helper

Numerous private corporations and public institutions are collecting personal information through the diverse methods for the purpose of sales, promotion and civil services, and using personal information for the profits of the organizations and services. However, due to immaturity of the technical,...

주제어

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 일정 임계치 이상의 이상징후에 대해서는 관리자에게 Mail, SMS, PopUp 등의 방법을 이용하여 경보를 발령할 수 있도록 하여, 개인정보유출에 대한 위험을 사전에 탐지하고 대처할 수 있도록 한다. 또한 일정 임계치 이상의 개인정보와 관련된 위험 징후를 나타낸 사용자에게는 소명 기회를 부여하며, 소명 처리 결과에 따라 경보에 대한 대응방안을 마련하도록 한다.
  • 또한 위험분석은 위험관리의 주요 핵심 과정으로 위협을 분석하여 이들의 발생 가능성 및 위협이 미칠 수 있는 영향을 파악해서 보안 위험의 내용과 수준을 결정하는 과정이다[3]. 본 논문에서 제시하고 있는 개인정보 유출 모니터링 시스템은 이와같은 ERM의 개념을 개인정보보호 분야에 적용하여 사전에 위험징후를 포착하고 사고를 예방할 수 있는 방안을 연구한 것이다.
  • 본 연구에서 제안하는 시스템을 설계하기 위해 필요한 관련분야의 개념에 대해 기술한다.
  • 예를 들어, 개인정보와 관련된 위험으로 개인정보 처리시스템의 운영미흡, 개인정보 유출, 불법아이디도용 등 여러 가지 위험을 식별할 수 있을 것이다. 본 연구에서는 개인정보와 관련된 위험들 중 조직에 가장 심각한 피해를 유발할 수 있으며, 본 논문에서 중심 과제로 다루고 있는 개인정보유출을 위험으로 식별하여 연구를 진행하도록 한다.
  • 본 연구에서는 조직에서 관리하고 있는 개인정보에 대한 취급패턴을 분석하여 이상 징후를 탐지하고, 사전에 개인정보의 유출 및 오남용을 모니터링 할 수 있는 개인정보 유출 모니터링 시스템의 설계 방안에 대해 제시하고자 한다. 이와 같은 개인정보 유출 모니터링 시스템을 설계하기 위해 먼저, 개인정보 유출과 관련해 발생 가능한 위험을 식별하고 위험을 발생하게 할 수 있는 근본 원인이 되는 핵심위험요인들을 정의하며, 핵심위험요인들을 수치화하여 관리할 수 있는 핵심위험지표들의 작성 방안에 대해 기술하고자 한다.
  • 본 연구에서는 조직에서 발생할 수 있는 개인정보의 유출로 인한 피해를 사전에 탐지하여 예방할 수 있는 개인정보유출 모니터링 시스템의 설계 방안에 대해 제시하였다. 개인정보보호법이 제정되고 이제 시행을 얼마 남겨놓지 않은 상황에서 개인정보를 취급하는 조직에서는 법률 시행에 대비하기 위해서 어떤 보안대책을 마련해야 할지 구체적인 대안을 갖고 있지 않은 조직이 많을 것이다.
  • 위험을 관리하기 위해서는 위험의 발생 가능성을 판단할 수 있어야 하며, 각각의 위험요소에 대해 세부적으로 측정할 수 있는 지표들을 선정해야만 효율적인 보안대처 방안들을 마련할 수 있을 것이다. 본 연구에서는 조직의 업무 연속성을 저해할 수 있는 개인정보유출이라는 위험을 정의하고, 개인정보유출이 발생할 수 있는 근본 요소들인 핵심위험요인을 정의하였다. 또한 핵심위험요인들을 수치적으로 정량화하여 관리할 수 있는 핵심위험지표를 활용함으로써, 실제 조직에서 개인정보유출과 관련된 위험요소들은 무엇이 있으며, 어느 정도인지 직관적으로 파악할 수 있는 방안에 대해 제시하였다.
  • 여기에서는 본 연구에서 제안하는 개인정보와 관련된 위험 식별, 핵심위험요인 정의, 핵심위힘지표의 작성 방안에 대해 살펴본다.
  • 본 연구에서는 조직에서 관리하고 있는 개인정보에 대한 취급패턴을 분석하여 이상 징후를 탐지하고, 사전에 개인정보의 유출 및 오남용을 모니터링 할 수 있는 개인정보 유출 모니터링 시스템의 설계 방안에 대해 제시하고자 한다. 이와 같은 개인정보 유출 모니터링 시스템을 설계하기 위해 먼저, 개인정보 유출과 관련해 발생 가능한 위험을 식별하고 위험을 발생하게 할 수 있는 근본 원인이 되는 핵심위험요인들을 정의하며, 핵심위험요인들을 수치화하여 관리할 수 있는 핵심위험지표들의 작성 방안에 대해 기술하고자 한다. 특히, 개인정보 유출과 관련된 핵심위험지표들의 예를 들고, 각 핵심위험지표들에 대한 지표 정의서 작성 방법 및 핵심위험지표들을 수치화하여 관리할 수 있는 산출식을 제시함으로써 개인정보보호를 위한 조직의 개념적 보호조치를 구체적인 시스템으로 구현할 수 있는 방안에 대해 제시한다.
  • 또한 핵심위험지표는 핵심위험요인을 수치화하여 측정할 수 있는 대표성이 있는 지표 들을 의미한다. 이와 같은 피라미드 구조를 통해, 여러 가지 핵심위험지표들을 측정하여 핵심위험요인의 위험수준을 판단하여 결과적으로 조직의 목표 달성을 방해할 가능성이 있는 위험의 발생가능성 및 정도에 대한 객관적 판단 자료를 얻게 되는 것이다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
개인정보란 무엇인가? 공공기관의 개인정보보호에 관한 법률에 따르면 개인정보란 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명, 주민등록번호 및 화상 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말한다[4].
위험파악과 위험평가는 각각 무엇인가? 위험분석은 보안관련 항목들에 대한 위험파악과 위험평가로 구성된다. 위험파악은 정보시스템 내에 각 항목의 세부사항을 발견 및 식별하는 것이며, 위험평가는 파악된 항목에 대해 그의 발생가능성과 피해가능성 등을 수치적 또는 등급적으로 부여하는 것이다.
개인정보영향평가란 무엇인가? 개인정보영향평가(Privacy Impact Assessment)란 개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축⋅ 운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사⋅분석⋅평가하는 체계적인 절차를 말한다[6]. 개인정보영향평가를 수행함으로 인해 개인정보 라이프 사이클인 수집⋅저장⋅이용⋅제공⋅파기의 각 단계에서 발생할 수 있는 위협 요소들을 사전에 발견하고 대처하는 것이 가능하여 진다[7].
질의응답 정보가 도움이 되었나요?

참고문헌 (13)

  1. 유진호, 지상호, 임종인, "개인정보 유노출 사고로 인한 기업의 손실비용 추정," 한국정보보호학회논문지, 19(4), pp. 63-75, 2009년 8월. 

  2. 김정덕, "개인정보보호를 위한 관리체계와 거버넌스," 정보보호학회지, 18(6) pp. 1-5, 2008년 12월. 

  3. 김정덕, 이성일, "정보기술 위험관리 과정과 기법," 정보보호학회지, 11(3), pp. 16-23, 2001년 6월. 

  4. 이강신, 이기혁, 반진식, 최일훈, "개인정보보호 기초와 활용." 인포더북스, vol. 1, pp.12-15, 2010년 10월. 

  5. "개인정보보호법 워크숍," 한국정보보호학회 세미나 자료, vol. 1, pp. 6-13, 2011년 2월. 

  6. "개인정보 영향평가 수행을 위한 교육교재," 한국인터넷진흥원, vol. 2, pp. 141-148, 2010년 11월. 

  7. 남기효, 박상중, 강형석, 남기환, 김성인, "개인정보보호기술의 최신 동향과 향후 전망," 정보보호학회지, 18(6), pp. 11-19, 2008년 12월. 

  8. 김상일, "KRI 선행 지표의 유용성," LG주간경제 818, vol. 9, pp. 16, 2005년 2월. 

  9. 최상수, 방영환, 최성자, 이강수, "보안관리 및 위험 분석을 위한 분류체계, 평가기준 및 평가스케일의 조사연구," 정보보호학회지, 13(3), pp. 38-49, 2003년 6월. 

  10. 이기혁, 윤재동, "민간 기업의 개인정보 유출 위험에 대한 측정 방법과 그 사례에 대한 연구," 정보보호학회지, 18(3), pp. 92-100, 2008년 6월. 

  11. (주)인포섹 홈페이지, http://www.skinfosec.com 

  12. (주)이지서티 홈페이지, http://www.easycerti.com 

  13. 박중환, 조남욱, 이기혁, 최일훈, "기업내부 개인정보 보호 시스템 개발," 정보보호학회지, 18(6), pp. 28-34, 2008년 12월. 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로