$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

기업의 침해사고 예방을 위한 관리 모델
A Study on the Effective Countermeasures for Preventing Computer Security Incidents 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.22 no.1, 2012년, pp.107 - 115  

강신범 (고려대학교 정보보호대학원) ,  이상진 (고려대학교 정보보호대학원) ,  임종인 (고려대학교 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

우리나라의 정보화 수준과 비교하여 정보보호 수준은 상대적으로 낮다. 정보보호 예산 수준 역시 전체 정보화 예산대비 5%대로 미미하며 기업들의 사후대응 중심의 정보보호 조치는 반복적인 피해비용을 야기한다. 정보보호 침해사고에 대한 대응은 사후대응 체계에서 예방과 사전탐지 중심으로 바뀌어야한다. 정보사회에서의 침해사고 대응은 개인의 책임보다는 국가와 기업이 공동으로 대처해야할 영역이라는 인식 전환이 필요하다. 2004년 정보보호조치 및 안전진단 관련 지침이 고시되면서 우리나라도 침해사고 예방을 위한 제도적 기반을 마련하였다. 하지만 제도적으로 시행되고 있는 관리적, 기술적, 물리적 보호조치가 실제 침해사고 대응에 완벽한 예방책이 되지는 못한다. 본 연구에서는 현행 제도적 보호조치의 예방 효과에 대해 살펴보고 제도적 한계와 개선점을 도출하여 기업들이 실질적인 목표 보안수준을 유지하기 위해 필요한 효과적인 침해 예방 대응책으로써의 선행위협 관리 모델을 제안한다.

Abstract AI-Helper 아이콘AI-Helper

The level of information protection is relatively low, in comparison with the informatisation in this country. The budget for information protection is also quite marginal at 5% of the entire information-related policy budget. The passive information protection practices by companies, which focus mo...

주제어

#Cyber Criminal Threat   #Computer Security Incident   #Security Policy  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 연구를 통해 기업이 침해사고 예방을 위해 취할 수 있는 효과적인 침해 위협 관리 모델을 살펴봤다. 연구 자료 분석을 통해 제도적 범위에서 취할 수 있는 사전 예방 작업으로써의 정보보호 안전진단이나 ISMS와 같은 관리체계의 기대 효과를 평가하였다.
  • [3][4] 정보보호 정책은 제도적 예방조치 수행과 기업 내부적으로 수립된 침해 예방 대응체계의 이행을 통한 방식으로 전환되어야 한다. 본 연구를 통해 침해사고 예방을 위한 보호조치의 중요성을 평가하고 기업들의 적극적인 침해 사고 예방을 위한 효과적인 침해위협 관리 모델을 제시한다.
  • 앞서 연구 자료를 통해 실제 보호조치가 수행되고 있는 실제 기업의 위협 상황을 살펴보았다. 효과적인 기업의 침해사고 예방을 위해서는 해당 기업의 내부원들이 자사가 보유한 자원과 자사가 제공하는 서비스, 회원, 외부 환경 등의 요소들에 대한 깊이 있는 이해가 반드시 필요하다.
  • ISMS 인증제도는 정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ 운영하는 시스템 즉, 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도로 관리체계가 없는 부분적 보안, 일회성 관리, 산발적 대응 방식을 균형적 보안, 지속적 관리, 체계적 대응 방식으로 개선시켜 준다. 이 제도 역시 기업의 주요 정보자산 유출 및 피해를 사전에 예방하고 대처할 수 있도록 하는데 목적이 있다.[6]
  • 25인터넷침해사고로 인해 ISP, 쇼핑몰 등의 낮은 보안수준이 사회적 문제로 지적되며 정보보호조치 강화에 대한 필요성이 제기되었다. 이에 정보통신서비스의 정보보호 수준을 강화하여 안전한 이용 기반을 조성하고자 관련법규들의 개정과 정보보호안전진단 제도를 도입하였다. 이로써 정보통신서비스 매출이 100억원 이상이거나 3개월간의 일일평균이용자가 100만명 이상인 사업자은 매년 정보보호 안전진단을 받아야 한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
ISMS는 어떠한 체계인가? 정보보호 안전진단이 정보통신망의 안전성 확보를 위해 주요 정보통신서비스제공자를 대상으로 관리적, 기술적, 물리적 보호조치 항목에 대한 이행 여부를 점검하는 내부위험관리제도라면 ISMS는 조직에 적합한 수준의 정보보호를 제공하기 위해 정책 및 조직을 수립하고 위험관리, 대책 구현, 사후 관리 등의 정보보호 관리과정을 유기적으로 통합 운영하는 체계이다.
정보보호 안전진단 제도의 목적은 무엇인가? 정보보호 안전진단 제도의 목적은 주요정보통신서비스제공자, 집적정보통신시설사업자, 쇼핑몰 등의 정보통신서비스제공자의 정보통신망에 대한 침해사고 예방을 위함이다. 이 제도를 통해 기업은 관리적, 기술적, 물리적 보호조치 영역에서 48가지의 세부조치사항에 대한 점검 및 정책을 수립할 수 있다.
기업은 정보보호 안전진단 제도를 통해 무엇을 수립할 수 있는가? 정보보호 안전진단 제도의 목적은 주요정보통신서비스제공자, 집적정보통신시설사업자, 쇼핑몰 등의 정보통신서비스제공자의 정보통신망에 대한 침해사고 예방을 위함이다. 이 제도를 통해 기업은 관리적, 기술적, 물리적 보호조치 영역에서 48가지의 세부조치사항에 대한 점검 및 정책을 수립할 수 있다.[5]
질의응답 정보가 도움이 되었나요?

참고문헌 (9)

  1. ITU-D, Measuring the Information Society, 2010 

  2. 한국인터넷진흥원, 인터넷 침해사고 동향 및 분석 월보, 2010년 12월 

  3. 공희경, 기태성, 정보보호 투자효과에 대한 연구동향, 정보보호학회지 제17권 제4호, pp. 26-33, 2007년 8월. 

    원문보기 상세보기

  4. 한국인터넷진흥원, 정보보호 사전점검 제도 활성화에 관한 연구, 2010년 7월 

  5. 방송통신위원회, 한국인터넷진흥원, 정보보호 안전진단 해설서, 2010년 3월 

  6. 한국인터넷진흥원, 정보보호관리체(ISMS) 인증제도 소개, 2009년 2월 

  7. 방송통신위원회, 한국인터넷진흥원, 정보보호관리체계(ISMS) 인증 모범사례, 2010년 

  8. 장상수, 이호섭, 정보보호관리체계 인증심사 결함 사항 분석에 관한 연구, 정보보호학회지 제20권 제1호, pp. 31-38, 2010년 2월. 

    원문보기 상세보기

  9. Susan W. Brenner, "Cybercrime: re-thinking crime control strategies", Crime Online, Willan Publishing,, pp. 15, 2007. 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로