최근 네트워크의 발달로 개인정보의 수집, 처리 등이 용이해진 반면 개인정보 유출로 인한 고객과 금융기관, 나아가 국가적 손실이 증대되고 있다. 따라서 금융기관의 개인정보 유출로 인한 정신적 피해나, 불법 유통된 개인정보를 활용한 금융거래로 인해 발생하는 추가적 피해와 관련된 방지 대책이 요구되고 있는 실정이다. 현재 금융기관에서는 중요문서(개인정보 포함)뿐만 아니라 공개문서의 열람방식에 있어서 직급이나 직위에 따른 접근통제방식을 수행하고 있다. 그리하여 기밀성을 요구하는 문서일지라도 동일 직급, 동일 직위이면 정당한 방법으로의 열람, 접근이 가능하다. 이를 개선하기 위한 방안으로 문서의 보안등급을 적용하고 보다 효과적인 접근통제를 통해 개인정보 유출 사고를 사전에 방지하고자 한다.
최근 네트워크의 발달로 개인정보의 수집, 처리 등이 용이해진 반면 개인정보 유출로 인한 고객과 금융기관, 나아가 국가적 손실이 증대되고 있다. 따라서 금융기관의 개인정보 유출로 인한 정신적 피해나, 불법 유통된 개인정보를 활용한 금융거래로 인해 발생하는 추가적 피해와 관련된 방지 대책이 요구되고 있는 실정이다. 현재 금융기관에서는 중요문서(개인정보 포함)뿐만 아니라 공개문서의 열람방식에 있어서 직급이나 직위에 따른 접근통제방식을 수행하고 있다. 그리하여 기밀성을 요구하는 문서일지라도 동일 직급, 동일 직위이면 정당한 방법으로의 열람, 접근이 가능하다. 이를 개선하기 위한 방안으로 문서의 보안등급을 적용하고 보다 효과적인 접근통제를 통해 개인정보 유출 사고를 사전에 방지하고자 한다.
While the recent advance in network system has made it easier to collect and process personal information, the loss of customers, financial companies and even nations is getting bigger due to the leakage of personal information. Therefore, it is required to take a measure to prevent additional damag...
While the recent advance in network system has made it easier to collect and process personal information, the loss of customers, financial companies and even nations is getting bigger due to the leakage of personal information. Therefore, it is required to take a measure to prevent additional damage from the illegal use of leakaged personal information. Currently, financial companies use access control in accordance with job title or position on general documents as well as important documents including personal information. Therefore, even if a documents is confidential, it is possible for a person of the same job title or position to access the document properly. This paper propose setting up security grade of documents to improve current access control system. It will help preventing the leakage of personal information.
While the recent advance in network system has made it easier to collect and process personal information, the loss of customers, financial companies and even nations is getting bigger due to the leakage of personal information. Therefore, it is required to take a measure to prevent additional damage from the illegal use of leakaged personal information. Currently, financial companies use access control in accordance with job title or position on general documents as well as important documents including personal information. Therefore, even if a documents is confidential, it is possible for a person of the same job title or position to access the document properly. This paper propose setting up security grade of documents to improve current access control system. It will help preventing the leakage of personal information.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
중요하고 민감한 보호 대상인 금융기관의 문서정보에 대한 자료 분류체계가 되어 있지 않아 어떤 문서가 중요문서이고, 어떤 문서를 보호해야 할지 알 수 없어 금융 보안사고가 계속해서 반복적으로 발생하고 있다. 본 연구는 이런 중요문서에 대해 보안등급을 적용함으로써 내부사용자의 불필요한 정보에 대한 접근을 제한하는 것에 목적을 두고 있다. 더구나 금융기관이 보유한 개인정보는 특정인의 생활과 관련된 여러 정보들 가운데 가장 중요하고도 내밀한 정보이기 때문에 고도의 보호수준이 요구됨은 물론 그 관리에 있어서도 매우 엄격한 제한이 필요하다는 본연적 특성을 가지고 있다[2].
본 연구에서는 개인정보 등을 포함한 중요한 문서들을 보안등급으로 분류하여 보호할 자산에 대해 명확한 기준을 제시함으로써 효율적인 접근제한이 될 수 있도록 제안 하고자 한다. 본 논문의 Ⅱ장에서는 개인정보 유출사고 사례 및 정보 분류체계에 대해서 Ⅲ장에서는 현재 금융기관의 문서 정보 분류와 문제점에 대해 살펴보고, Ⅳ장에서는 연구대상인 문서의 보안등급 분류, 연구가설을 설정하였으며 Ⅴ장에서는 각 요인 변수들 간의 인과관계 분석을 통해 가설을 검증하였고 마지막으로 Ⅵ장에서는 본 논문의 결론으로 끝을 맺는다.
앞으로는 금융기관 CEO 등에 해임 등 징계권고 사유가 될 만큼 사안이 중요하고 시급하다. 본 연구에서는 금융기관 문서의 보안등급을 반영하여 중요정보 유출을 방지시킬 수 있는 방안을 연구하였다. 연구 결과 문서의 보안등급 분류는 중요정보 유출방지와 보안정책에 정 (+)의 영향을 미치는 것으로 나타났다.
중요(개인정보 포함)정보 유출에 영향을 미치는 요인들은 여러 가지 요인들이 상호 연관되어 다양하게 나타난다. 본 연구에서는 문서의 보안등급이 직관적으로 위험을 인지하고 중요정보 유출방지에 어떠한 영향을 미치는지 알아 볼 것이다. 또한 ‘피해예상경중’에 따라 분류되어 있는 현재 문서분류체계와도 영향이 미치는지도 연구할 것이다.
문서의 작성된 항목 및 내용에 대해 정보시스템분류를 살펴보면 기밀성은 특성상 아주 민감해서 주의 깊은 통제와 보호를 요구하는 항목인지를 판단하였다. 예시로 개인식별정보, 직원정보, 은행의 경영이나 전략이 노출되었을 때 은행에 중대한 영향을 미칠 수 있는 정보인지 판단하였다. 무결성에 대해서는 데이터의 완전성, 일관성, 정확성, 유일성, 유효성 등 데이터의 품질 기준으로 판단했으며, 예시로 공시되지 않은 재무상태, 회계보고서, 위·변조 등의 영향을 받는 항목인지를 고려하였다.
가설 설정
H1: 문서의 보안등급분류는 중요정보 유출방지와 정(+)의 영향을 미칠 것이다.
H2: 문서의 보안등급분류는 ‘피해예상경중’에 따라 분류되는 현 문서분류체계와 부(-)의 영향을 미칠 것이다.
H3: 문서의 보안등급분류는 보안정책에 정(+)의 영향을 미칠 것이다.
제안 방법
무결성에 대해서는 데이터의 완전성, 일관성, 정확성, 유일성, 유효성 등 데이터의 품질 기준으로 판단했으며, 예시로 공시되지 않은 재무상태, 회계보고서, 위·변조 등의 영향을 받는 항목인지를 고려하였다. 마지막으로 가용성은 응답시간의 지연, 접근 불능, 데이터 손실, 파괴, 도난 등의 발생에 대한 의사결정불능, 업무처리 불가 등을 기준으로 삼았다. 예시로는 은행의 경영이나 전략에 중대한 영향을 미치는 문서가 손실, 도난 등으로 인하여 의사 결정 및 업무 처리가 불가 될 수 있는 내용인지를 기준으로 삼았다.
무결성에 대해서는 데이터의 완전성, 일관성, 정확성, 유일성, 유효성 등 데이터의 품질 기준으로 판단했으며, 예시로 공시되지 않은 재무상태, 회계보고서, 위·변조 등의 영향을 받는 항목인지를 고려하였다.
문서분류는 보안등급 정책을 수립하는데 있어서 가장 핵심이 되는 사안으로 금융기관에서 수집된 정보에 따라 보안등급별로 분류하여 보호하여야 할 자산과 그렇지 않을 자산을 나눠 민감한 정보유출로 인하여 발생 할 수 있는 위험을 최소화하는 것을 목표로 하여 등급을 분류 하였다. Table 7.
마지막으로 가용성은 응답시간의 지연, 접근 불능, 데이터 손실, 파괴, 도난 등의 발생에 대한 의사결정불능, 업무처리 불가 등을 기준으로 삼았다. 예시로는 은행의 경영이나 전략에 중대한 영향을 미치는 문서가 손실, 도난 등으로 인하여 의사 결정 및 업무 처리가 불가 될 수 있는 내용인지를 기준으로 삼았다.
연구 자료의 수집을 위해 설문 대상자는 3개 금융기관 정규 직원 중 개인정보를 취급 하는 업무담당자에 한해서 전체 150명(A은행: 90, B은행: 30, C은행: 30)을 대상으로 조사를 실시하여 설문결과를 작성하였다. 조사기간은 2014년08월 18일부터 8월22일까지 5일 동안 수행 되었으며 직접방문 하는 방법으로 근무처, 직위, 직무, 경력 등이 한쪽으로 치우치지 않도록 사전에 조정 후 조사를 실시하였다. 본 연구에서는 IBM SPSS Statistics 18 통계 분석 프로그램을 사용하여 가설의 실증분석을 하였다.
대상 데이터
연구 자료의 수집을 위해 설문 대상자는 3개 금융기관 정규 직원 중 개인정보를 취급 하는 업무담당자에 한해서 전체 150명(A은행: 90, B은행: 30, C은행: 30)을 대상으로 조사를 실시하여 설문결과를 작성하였다. 조사기간은 2014년08월 18일부터 8월22일까지 5일 동안 수행 되었으며 직접방문 하는 방법으로 근무처, 직위, 직무, 경력 등이 한쪽으로 치우치지 않도록 사전에 조정 후 조사를 실시하였다.
데이터처리
문서의 보안등급 분류로 인한 보안정책의 변화가 있는지 알아보기 위해 유출방지, 현재 문서분류체계, 보안정책을 독립변수로 입력하여 종속변수인 문서 보안등급에 대한 회귀 분석을 실시하였다. Table 9.
조사기간은 2014년08월 18일부터 8월22일까지 5일 동안 수행 되었으며 직접방문 하는 방법으로 근무처, 직위, 직무, 경력 등이 한쪽으로 치우치지 않도록 사전에 조정 후 조사를 실시하였다. 본 연구에서는 IBM SPSS Statistics 18 통계 분석 프로그램을 사용하여 가설의 실증분석을 하였다.
어떤 한 요인들이 연구가설에 영향을 미치는지, 그리고 가설검증을 하기 위해서 다중 회귀분석(Multiple Regression Analysis)을 시행하였다.
연구 가설에 포함되어 있는 변수의 측정항목들의 신뢰성(reliability)과 구성타당성(construct validity)을 탐색적 요인분석(exploratory factor analysis)으로 평가하였다. 내적일관성은 크롬바흐 알파계수(Cronbach`s α)를 사용하여 분석하였다.
이론/모형
내적일관성은 크롬바흐 알파계수(Cronbach's α)를 사용하여 분석하였다.
에서는 연구 변수들에 대한 측정 항목들의 요인 적재값, 고유값(Eigen value), 크론바흐 알파 값을 보여준다. 모든 측정변수는 구성요인을 추출하기 위해서 주성분분석(principle component analysis)을 사용하였으며, 요인적재치의 단순화를 위하여 배리맥스(varimax)방법에 따른 직교회전 방식을 채택하였다. 그 결과 Table 8.
성능/효과
본 연구에서는 금융기관 문서의 보안등급을 반영하여 중요정보 유출을 방지시킬 수 있는 방안을 연구하였다. 연구 결과 문서의 보안등급 분류는 중요정보 유출방지와 보안정책에 정 (+)의 영향을 미치는 것으로 나타났다. 또한 '피해예상경중'에 따른 분류체계도 제안한 문서의 보안등급 분류체계와 연관성을 가지는 것으로 나타났다.
후속연구
또한 ‘피해예상경중’에 따라 분류되어 있는 현재 문서분류체계와도 영향이 미치는지도 연구할 것이다.
보호자산인 문서를 차등적으로 보호하게끔 하여 보다 명확한 유출방지와 보안예산 비용을 절감 시킬 것으로 기대된다.
본 연구에서는 금융기관 문서의 보안등급을 분류하였고 통계학적으로 증명 하였지만 향후, K-ISMS, ISO27001 등 일반적이고 다양한 위험평가 방법으로 선행 연구한 논문을 기반으로 금융기관 문서 특성을 반영한다면 보다 명확한 보안등급 분류기준을 제시 할 수 있을 것이다.
제안한 보안등급분류로 현재 시행되고 있는 보안 정책과 상호 보완적 관계가 될 것으로 기대된다.
현 문서분류체계에서 미처 반영하지 못한 개인정보영역에 대한 불가피한 보완이 필요 할 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
문서의 보안등급은 어떻게 분류 되는가?
본 연구는 문서의 보안등급 분류이다. 위 내용을 요약해보면 문서의 보안등급 1등급인 경우는 은행의 경영이나 전략에 중대한 영향을 미칠 수 있는 문서, 2등급은 개인식별정보가 포함한 문서, 3등급은 각 업무별 사용방법 및 업무처리방법에 관한 문서, 4등급은 은행의 규정, 지침 등 법률에 관한 문서, 5등급은 약관, 상품설명서, 안내장, 보고서, 일반기안문 등으로 분류했다. 금융기관의 중요정보 유출이 중요한 문제가 되고 있고 이에 따른 관리 방안이 여러 방면으로 연구되고 있다.
중요문서에 대한 등급 분류가 명확하게 구분되지 않는다면 어떤 문제가 발생 하는가?
첫째. 보호할 자산에 대한 불명확성이다. 현재 많은 보안인력과 예산을 집행하고 있지만 내부보안 사고는 계속 발생하고 있다. 이런 원인은 보호할 자산에 대한 리스트가 충분하지 않기 때문이다. 둘째. 업무의 비효율성이다. 현재 개인정보가 포함하지 않은 상품안내장 및 단순제안서조차도 보안문서로 잠겨 있어 불필요한 반출승인 절차를 따르고 있어 영업력을 반감 시키고 있다. 마지막으로 정보보호를 위한 비용이 증가한다. 명확한 분류기준이 없는 상태에서 적당한 기준에 따라 정보를 분류한다면 불필요한 정보에 과도한 보안조치로 인한 비용을 증가시킬 수 있다.
개인정보란 무엇인가?
"개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.(‘개인정보보호법 제2조’)
참고문헌 (6)
The Financial News Daily available at, "http://www.kbanker.co.kr/news/articleView.html?idxno41062",[Accessed: February 8, 2014]
Gil-Yong Oh, Due to the leakage personal information, emergency debate, January 27, 2014
The Security News Daily, available at, "http://www.boannews.com/media/view.asp?idx32178&kind1",[Accessed: July 19, 2012]
The Korea Economic Daily, available at,"http://www.hankyung.com/news/app/newsview.php?aid2014010820061", [Accessed:January 8, 2014]
NIST, Guide for Mapping Types of Information and Information Systems to Security Categories, "http://csrc.nist.gov/publications/nistpubs/800-60-rev1/SP800-60_Vol1-Rev1.pdf", p20
DQC, available at, "http://www.dqc.or.kr/guideline/6-2-3.html"
※ AI-Helper는 부적절한 답변을 할 수 있습니다.