스마트워크 기술은 재택근무나 스마트워크센터, 모바일 단말기 등을 활용하여 시간과 공간의 제약이 없는 유연한 근무 환경을 제공한다. 업무의 효율성을 높여주는 스마트워크 시스템에는 그 편리성만큼 여러 정보보호에 대한 위협이 존재한다. 따라서, 스마트워크 구축시에는 정보보호 대책을 적절하게 마련되도록 정보보호 감리를 수행하여야 한다. 본 논문에서는 스마트워크 환경 구축을 위해 실무 기술적 차원에서 정보보호 감리모형을 제안하였다. 정보 보호를 위해 터미널, 네트워크 및 서버 영역으로 분류하고, 전문 정보보호감리 점검항목을 도출하였다. 또한, 스마트워크 정보보호 감리시점을 수립하고 점검항목과 ISMS 통제분야를 매핑함으로써 보안성과 효율성을 동시에 향상시킬 수 있도록 감리모형을 제안하였다. 제안한 정보보호 감리영역 및 점검항목들이 스마트워크 정보보호 감리의 목적에 부합되는지를 검증하기 위해서 감리사 및 IT 업계 종사자를 대상으로 설문조사를 통하여 적합성을 검증하였으며, 13개의 점검항목에서 97% 수준으로 적합하다는 결론이 도출되었다.
스마트워크 기술은 재택근무나 스마트워크센터, 모바일 단말기 등을 활용하여 시간과 공간의 제약이 없는 유연한 근무 환경을 제공한다. 업무의 효율성을 높여주는 스마트워크 시스템에는 그 편리성만큼 여러 정보보호에 대한 위협이 존재한다. 따라서, 스마트워크 구축시에는 정보보호 대책을 적절하게 마련되도록 정보보호 감리를 수행하여야 한다. 본 논문에서는 스마트워크 환경 구축을 위해 실무 기술적 차원에서 정보보호 감리모형을 제안하였다. 정보 보호를 위해 터미널, 네트워크 및 서버 영역으로 분류하고, 전문 정보보호감리 점검항목을 도출하였다. 또한, 스마트워크 정보보호 감리시점을 수립하고 점검항목과 ISMS 통제분야를 매핑함으로써 보안성과 효율성을 동시에 향상시킬 수 있도록 감리모형을 제안하였다. 제안한 정보보호 감리영역 및 점검항목들이 스마트워크 정보보호 감리의 목적에 부합되는지를 검증하기 위해서 감리사 및 IT 업계 종사자를 대상으로 설문조사를 통하여 적합성을 검증하였으며, 13개의 점검항목에서 97% 수준으로 적합하다는 결론이 도출되었다.
Smartwork technology, using teleworking, smartwork centers and mobile terminal, provides a flexible work environments without constraints of time and space. Smartwork system to increase the work efficiency has the information protection threats according to their convenience. Thus, in order to build...
Smartwork technology, using teleworking, smartwork centers and mobile terminal, provides a flexible work environments without constraints of time and space. Smartwork system to increase the work efficiency has the information protection threats according to their convenience. Thus, in order to build smartwork, it is proper to provide information protection audit to help ensure the information protection. In this paper, we have proposed an infortaion protection audit model at the practical and technical level for building a smartwork environment. We were classified as a terminal, network and server area for information protection, and derived a professional information protection check items. Further, by establishing a smartwork information protection audit time to map ISMS control items, we have proposed an audit model so that it is possible to improve the security and efficiency. It also verified whether the proposed model is suitable or not by doing a survey if deduced audit domain and check items correspond with the purpose of the smartwork information protection audit to auditors and IT specialists. As the result, this study was 97% satisfaction out of 13 check items.
Smartwork technology, using teleworking, smartwork centers and mobile terminal, provides a flexible work environments without constraints of time and space. Smartwork system to increase the work efficiency has the information protection threats according to their convenience. Thus, in order to build smartwork, it is proper to provide information protection audit to help ensure the information protection. In this paper, we have proposed an infortaion protection audit model at the practical and technical level for building a smartwork environment. We were classified as a terminal, network and server area for information protection, and derived a professional information protection check items. Further, by establishing a smartwork information protection audit time to map ISMS control items, we have proposed an audit model so that it is possible to improve the security and efficiency. It also verified whether the proposed model is suitable or not by doing a survey if deduced audit domain and check items correspond with the purpose of the smartwork information protection audit to auditors and IT specialists. As the result, this study was 97% satisfaction out of 13 check items.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서, 본 논문에서는 스마트워크와 정보보호 감리를 위하여 스마트워크 환경에 적합하게 정보보호 영역을 구분하고 정보보호 관리체계(ISMS : Information Security Management System, 이하 ISMS로 표기함 )와 원활하게 융화가 될 수 있는 스마트워크 정보보호 감리모형을 제안하였다.
제안 방법
감리영역은 감리기준 제8조 제1항 제4호에서 제시하고 있는 평가를 작성하는 표준화된 단위(영역)를 사업유형별, 감리시점별로 구분하여 감리영역으로 규정함으로써 감리의 일관성을 확보할 수 있도록 하였다.
네트워크에서의 감리점검 항목들은 스마트워크 유형에 따른 네트워크 위험에 대한 분석 및 평가, 비인가 네트워크 송수신에 대한 위험 분석, 도청에 의한 위험 분석, 무선구간에서의 해킹에 대한 위험과 DDoS 등 유해 트래픽에 따른 위험분석 및 평가 등을 위험분석 및 평가단계의 감리점검 항목으로 도출하였다.
2.1 단말
단말에서의 감리점검항목들은 스마트워크 유형에 따라 물리적 공간에 의한 단말의 위험에 대한 분석 및 평가 여부, 원격 접근에 따른 위험 분석, 단말기 도난 및 분실에 따른 위험 분석, 단말기 소유주가 악의적으로 업무자료를 외부로 유출할 경우의 위험 분석 및 평가를 점검항목으로 도출하였다
. 또한, 위치추적(GPS)의 취약점에 따른 위험 분석, 스마트워크 단말의 이동저장 매체화에 따른 자료유출로 안한 위험, 화면 캡처에 대한 보안 위협 등을 위험분석 및 평가단계의 감리점검 항목으로 도출하였다.
따라서, 본 논문에서는 전사적 정보보호 계획 및 체계가 구축되어 있지 않은 조직에서도 신뢰성 있는 표준 위험관리 절차에 따라 안전한 스마트워크를 구축하고, 기존 관리 중이거나 향후 수립할 ISMS와도 유기적으로 연동되어 안전하고 효율적으로 정보보호 수준을 유지할 수 있도록 하는 스마트워크 정보보호 감리 모형을 정립하였다.
본 논문에서 제시한 안전한 스마트워크 환경 구축을 위한 정보보호감리 모형은 실무·기술적 차원에서 정보보호를 전문적으로 구현할 수 있도록 스마트워크 정보보호를 단말, 네트워크, 서버 보안 영역으로 분류하고 각각에 대한 전문적이고 세부적으로 정보보호 항목을 도출하였다. 또한, ISMS를 통해 지속적으로 정보보호 수준이 유지될 수 있도록 점검항목과 ISMS 통제분야를 매핑함으로써 보안성과 효율성을 동시에 향상시킬 수 있도록 설계하였다.
단말에서의 감리점검항목들은 스마트워크 유형에 따라 물리적 공간에 의한 단말의 위험에 대한 분석 및 평가 여부, 원격 접근에 따른 위험 분석, 단말기 도난 및 분실에 따른 위험 분석, 단말기 소유주가 악의적으로 업무자료를 외부로 유출할 경우의 위험 분석 및 평가를 점검항목으로 도출하였다. 또한, 위치추적(GPS)의 취약점에 따른 위험 분석, 스마트워크 단말의 이동저장 매체화에 따른 자료유출로 안한 위험, 화면 캡처에 대한 보안 위협 등을 위험분석 및 평가단계의 감리점검 항목으로 도출하였다.
본 논문에서 안전한 스마트워크 환경 구축을 위한 정보보호 감리영역, 감리시점, 감리점검항목 등에 대하여 그 필요성 및 실효성을 검증하기 위하여 감리사 및 IT 업계 종사자를 대상으로 설문하는 방법을 사용하였다. 본 연구에서 50 여명의 감리사 및 IT 종사자들에게 설문을 요청하였으며, 최종 30명에게 응답을 받아 분석하였다.
본 논문에서 제시한 안전한 스마트워크 환경 구축을 위한 정보보호감리 모형은 실무·기술적 차원에서 정보보호를 전문적으로 구현할 수 있도록 스마트워크 정보보호를 단말, 네트워크, 서버 보안 영역으로 분류하고 각각에 대한 전문적이고 세부적으로 정보보호 항목을 도출하였다.
2.3 서버
서버에서의 감리점검 항목들은 스마트워크 유형에 따른 서버 위험 분석, 원격 접근에 따른 위험 분석 및 평가, 악성코드 감염에 따른 보안 위험 분석, 서버 운영체제의 취약점 분석, 서버 어플리케이션의 취약점 분석과 악성 어플리케이션 업로드 및 배포에 대한 위험분석 등을 위험분석 및 평가단계의 감리점검 항목으로 도출하였다
.
사업유형은 크게 스마트워크 계획수립, 스마트워크 시스템 정보보호 구현 및 운영/유지보수로 구분하였다. 스마트워크 시스템 정보보호 구현은 단말, 네트워크 서버 감리영역별로 정보보호 범위 설정, 위험 분석 및 평가, 통제사항을 선택 및 구현, 시험 시점으로 세분화하여 위험관리에 기반하여 정보보호를 구현할 수 있도록 감리모형을 설계하였다.
스마트워크 정보보호 감리점검항목에 대한 설문은 4장에서 제안한 안전한 스마트워크 환경 구축을 위한 정보보호 통제사항 선택 및 구현 단계의 점검항목을 나열하여 각 항목마다 매우필요(5점), 필요(4점), 보통(3점), 필요없다(2점), 전혀 필요없다(1점)의 값으로 표기하도록 하였다. 설문 결과에 따른 항목 적합성 검증은 보통(3)을 기준으로 “매우필요·필요”는 적합으로, “필요없다·전혀 필요없다”는 부적합 의견으로 검증하였다.
위험분석 및 평가 단계에서는 감리영역별로 위험을 분석 및 평가하였다. 보안위협의 종류는 스마트워크의 유형, 업무의 특성, 위치 등에 따라 상이하다.
대상 데이터
본 논문에서 안전한 스마트워크 환경 구축을 위한 정보보호 감리영역, 감리시점, 감리점검항목 등에 대하여 그 필요성 및 실효성을 검증하기 위하여 감리사 및 IT 업계 종사자를 대상으로 설문하는 방법을 사용하였다. 본 연구에서 50 여명의 감리사 및 IT 종사자들에게 설문을 요청하였으며, 최종 30명에게 응답을 받아 분석하였다.
설문조사의 대상은 과 같이 선정하였으며, 감리사(43.3%), 개발자(10%), 네트워크관리자(10%), 서버관리자(23.3%), 보안관리자(13.3%)로 구성되어 있다.
이론/모형
또한 국내에서는 2001년 도입된 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 제 47조에 의한 정보보호 관리체계 인증제도(방송통신위원회 KCC ISMS[10])가 운영되고 있다. 본 논문에서는 KCC ISMS를 보다 범용적인 명칭인 KISA ISMS를 사용하였다. 미국은 FISMA(Fedral Information Security Management Act)법에 의한 FIPS(Fedral Information Processing Standards) 199, FIPS 200제도[15][16]를 운영하고 있다[9].
성능/효과
단말영역 정보보호 점검항목에서 단말 분실·도난 대책의 적정성에서 27명, 원격제어 대책이 적정하게 선택및 구현성에서 26명, 콘텐츠 보안 대책의 적정성에서 29명이 적합하다고 응답하였다. 나머지 모든 점검항목에서는 30명 모두 적합하다고 응답하여 전체 평균 적합하다고 응답한 응답율은 97%로 나타났다.
네트워크 영역 정보보호 점검항목에서 무선랜 연결 대책이 적정하게 선택 및 구현성에서 29명, 통신망 암호화 대책의 적정성에서 29명, 침입차단 및 방지 대책의 적정성에서 30명이 적합하다고 응답하였다. 점검항목 3가지 전체 평균 적합하다고 응답한 응답율도 단말영역과 같이 97%로 나타났다.
스마트워크 환경 구축을 위한 정보보호 감리의 필요성과 실효성에 대한 설문 결과, 스마트워크 정보보호 감리영역 분류의 적정성에서는 93%의 필요성을 보였으며, 보안성 향상에서도 93%의 효과있음으로 응답하였다. 나머지 스마트워크 정보보호 감리의 필요성, 감리시점의 적정성과 이를 통한 ISMS 관리에 기여 정도의 설문에는 100%의 필요함으로 응답하였다.
단말영역 정보보호 점검항목에서 단말 분실·도난 대책의 적정성에서 27명, 원격제어 대책이 적정하게 선택및 구현성에서 26명, 콘텐츠 보안 대책의 적정성에서 29명이 적합하다고 응답하였다. 나머지 모든 점검항목에서는 30명 모두 적합하다고 응답하여 전체 평균 적합하다고 응답한 응답율은 97%로 나타났다.
네트워크 영역 정보보호 점검항목에서 무선랜 연결 대책이 적정하게 선택 및 구현성에서 29명, 통신망 암호화 대책의 적정성에서 29명, 침입차단 및 방지 대책의 적정성에서 30명이 적합하다고 응답하였다. 점검항목 3가지 전체 평균 적합하다고 응답한 응답율도 단말영역과 같이 97%로 나타났다.
감리관점/점검기준은 감리가 대상사업을 바라보는 관점이다. 즉, 감리는 사업을 기반으로, 대상 사업에 대한 방법론, 사업추진계획, 절차 등 사업에 대한 절차와 그 결과로 생성되는 산출물을 점검/평가하고, 결론적으로 대상 사업이 당초에 목적했던 성과 또는 기대효과를 달성할 수 있도록 하는 역할을 한다.
통제사항 선택 및 구현 단계의 13개 감리항목에 대한 설문 결과, 97% 수준으로 모든 항목에 대하여 “적합”하다고 응답을 하였다.
통제사항 선택 및 구현 단계의 단말에서의 감리점검 항목으로는 단말 분실·도난 대책, 악성코드 대책, 단말 인증 대책, 사용자 인증 대책, 원격제어 대책, 플렛폼 보안 대책, 앱 보안 대책과 콘텐츠 보안 대책 등이 적정하게 선택 및 구현되었는지를 점검항목으로 도출하였다.
위험을 수용 가능한 수준으로 통제하기 위한 항목들을 선택하여 구현한다. 통제사항 선택 및 구현은 기업 및 기관에서 수립하여 관리하고 있거나 향후 수립할 정보보호 관리체계(ISMS)에 용이하게 반영 및 적용하여 될 수 있도록 검점항목과 통제항목을 매핑하여 도출하였다.
후속연구
따라서 실제적인 스마트워크 정보보호 감리에 적용해 나가면서 수정·보완하여 안전한 스마트워크 환경 구축을 위한 정보보호 감리모형으로 자리 잡을 수 있도록 추가적인 연구가 필요하며, 적합성 검증을 위한 데이터의 신뢰성과 타당성에 대한 실증이 요구되는 한계를 가지고 있다.
통제사항 선택 및 구현 단계의 13개 감리항목에 대한 설문 결과, 97% 수준으로 모든 항목에 대하여 “적합”하다고 응답을 하였다. 따라서, 13개 점검항목을 통제사항 선택 및 구현의 적합/부적합 여부를 판단하는데 활용 가능할 것으로 사료된다.
본 연구에서는 실제 스마트워크 환경 구축 사업에 적용하여 효과성을 검증하지 못한 한계는 지니고 있다. 따라서 실제적인 스마트워크 정보보호 감리에 적용해 나가면서 수정·보완하여 안전한 스마트워크 환경 구축을 위한 정보보호 감리모형으로 자리 잡을 수 있도록 추가적인 연구가 필요하며, 적합성 검증을 위한 데이터의 신뢰성과 타당성에 대한 실증이 요구되는 한계를 가지고 있다.
스마트워크 정보보호 감리 모형을 통해 모바일 등 급변하는 IT기술의 보안위협으로부터 스마트워크 IT인프라 및 정보자산을 안전하고 효율적으로 보호할 수 있는 스마트워크 환경을 구축할 수 있기를 기대한다.
질의응답
핵심어
질문
논문에서 추출한 답변
스마트워크는 어떤 업무 환경을 의미하는가?
스마트워크는 종래의 지정된 업무공간인 사무실의 개념을 탈피하여, 다양한 장소와 이동환경에서도 언제 어디서나 편리하게, 효율적으로 업무에 종사할 수 있도록 하는 미래지향적인 업무 환경을 의미한다[1]. 스마트워크를 통해 언제, 어느 장소에서나 사무실과 동일한 환경에서 업무를 지속할 수 있다[5].
스마트워크 확산에 걸림돌이 되는 원인은 무엇인가?
스마트워크를 도입하는 기업 및 기관은 이를 통해 신속한 의사결정 및 생산성 향상 효과를 기대하며 사업을 추진한다. 그러나, 스마트워크 단말 및 물리적 공간 위협에 따른 단말기 도난, 분실, 해킹 등으로 인한 기밀 정보유출에 대한 우려로 인하여 스마트워크 확산에 걸림돌이 되고 있다.
스마트워크는 어떤 면에서 기존의 원격근무와 다른가?
스마트워크는 IT를 활용하여 시간과 장소에 구애받지 않고 언제 어디서나 일할 수 있는 선진화된 근무방식을 총칭한다. 이는 단순히 근무장소의 유연화만을 의미 하지 않고, 일하는 방식 및 근무문화의 선진화까지 포함한다는 점에서 기존의 원격근무와 다르다[14].
참고문헌 (17)
Korea Communications Commission, introduction, operation guidebook of smartwork for enterprise, Korea Communications Commission, 2011
National Information Society Agency, CIO Report 26 Smart phones and mobile office security issues and response strategies, National Information Society Agency, 2010
Hae Soo Hwang, Ki Hyuk Lee, A study on the mobile security model for secure smartwork, Review of KIISC 21(3), pp.22-34, 2011
Hyung Chan Lee, Jung Hyun Lee, Ki Wook Son, Smartwork security threats and countermeasures, Review of KIISC 21(3), pp.12-21, 2011
Ho Sun Yun, Sung Back Hong, Hyung Yul Yum, In Jae Kim, Mobile VPN structure suitable for smartwork environments, Journal of Advanced Information Technology and Convergence(JAITC) 9(5), pp.159-166, 2011
National Information Society Agency, u-Work Service Activation Support Project, National Information Society Agency, 2007
Ji Yong Lee, Dong Soo Kim, Hee Wan Kim, A design of the information security auditing framework of the information system audit, Korea society of digital industry and information management 6(2), pp.233-245, 2010.
Dong Soo Kim, Nam Jae Jun, Hee Wan Kim, Design of financial information security model based on enterprise information security architecture, Korea society of digital industry and information management 6(4), pp.307-317, 2010.
Ho Ik Jang, Ho Hyun Han, Nam Yong Lee, Jang Hee Jo, A study on the selection model of information protection management system control items, The journal of korea information and communications society 35(8), pp. 195-204, 2010
Korea Communications Commission Notice 2010-3, Notice regarding information security management system certification, Korea Communications Commission, 2010
Hee Myung Lee, Jong In Lim, A study on the development of corporate information security level assessment models, Review of KIISC 18(5), pp.161-170, 2008
Myeong Soo Jeong, Dong Bum Lee, Jin Kwak, An analysis of smartwork security threats and security requirements, Korea institute of information security and cryptology 21(3), pp.55-63, 2011
Ministry of Security and Public Administration, Smartwork promotion plan, Ministry of Security and Public Administration, 2010
National Information Society Agency, National Information white papers, National Information Society Agency, 2011
FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems, NIST, 2006.
FIPS PUB 200, Minimum Security Requirements for Federal Information Systems and Organizations, NIST, 2006.
ISO/IEC 27000, Information technology-Security techniques - Information security management systems - Overview and Vocabulary, ISO, 2009.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.