사이버거래 처리 구조 진단을 기반으로 한 뱅킹시스템 정보보호 성숙도 측정방법론 연구 A Study of Information Security Maturity Measurement Methodology for Banking System based on Cyber -based Transaction Processing Architecture Diagnosis원문보기
SSE-CMM은 보안엔지니어링을 공학, 보증, 위험 프로세스의 3가지 요소로 나누고 있으며 정보보호 성숙도 평가 모델과 수준을 제시하고 있다. 정보보호 성숙도 측정은 취약점 진단, 위험분석 방법론을 실무 현장에서 사용할 수 있도록 종합적으로 결론을 제시한다. 사이버거래의 일반적인 서비스는 인터넷 뱅킹, 모바일 뱅킹, 텔레뱅킹 등이다. 사이버거래 처리구조의 한 종류인 뱅킹시스템 정보보호 성숙도 측정방법론 연구 목적은 기존의 취약점 진단, 위험분석 방법론을 실무현장에서 사용할 수 있도록 종합적 결론을 제시한다. 안전성과 편리성을 확보하여 이용자들이 사이버 거래를 편리하게 이용할 수 있는 환경을 구축하는 것이 사이버 거래 활성화의 핵심이다. 특히 업무현장에서 정보보호 성숙도 측정을 통한 사이버뱅킹시스템의 안전성을 확보한다면 현장의 실무처리 결과로 많은 효과가 나타날 것으로 기대한다.
SSE-CMM은 보안엔지니어링을 공학, 보증, 위험 프로세스의 3가지 요소로 나누고 있으며 정보보호 성숙도 평가 모델과 수준을 제시하고 있다. 정보보호 성숙도 측정은 취약점 진단, 위험분석 방법론을 실무 현장에서 사용할 수 있도록 종합적으로 결론을 제시한다. 사이버거래의 일반적인 서비스는 인터넷 뱅킹, 모바일 뱅킹, 텔레뱅킹 등이다. 사이버거래 처리구조의 한 종류인 뱅킹시스템 정보보호 성숙도 측정방법론 연구 목적은 기존의 취약점 진단, 위험분석 방법론을 실무현장에서 사용할 수 있도록 종합적 결론을 제시한다. 안전성과 편리성을 확보하여 이용자들이 사이버 거래를 편리하게 이용할 수 있는 환경을 구축하는 것이 사이버 거래 활성화의 핵심이다. 특히 업무현장에서 정보보호 성숙도 측정을 통한 사이버뱅킹시스템의 안전성을 확보한다면 현장의 실무처리 결과로 많은 효과가 나타날 것으로 기대한다.
SSE-CMM for security engineering, engineering, assurance, risk is divided into three elements of the process maturity assessment model and the level of information security presented. Maturity measurement of privacy, vulnerability diagnosis and risk analysis methodologies is used in practical field ...
SSE-CMM for security engineering, engineering, assurance, risk is divided into three elements of the process maturity assessment model and the level of information security presented. Maturity measurement of privacy, vulnerability diagnosis and risk analysis methodologies is used in practical field for present a comprehensive conclusion. The common cyber services are internet banking, mobile banking, telephone banking and the like. Transaction structure, a kind of cyber-banking system, information security maturity of the existing measurement methodologies for research purposes, vulnerability diagnosis and risk analysis methodologies to be used in practical field present a comprehensive conclusion. To ensure safety and convenience for the user, convenient to deal with cyber environment is the key to the activation of cyber trading. Particularly by measuring the maturity of cyber banking system to ensure the safety of the practice field much effects are expected as a result.
SSE-CMM for security engineering, engineering, assurance, risk is divided into three elements of the process maturity assessment model and the level of information security presented. Maturity measurement of privacy, vulnerability diagnosis and risk analysis methodologies is used in practical field for present a comprehensive conclusion. The common cyber services are internet banking, mobile banking, telephone banking and the like. Transaction structure, a kind of cyber-banking system, information security maturity of the existing measurement methodologies for research purposes, vulnerability diagnosis and risk analysis methodologies to be used in practical field present a comprehensive conclusion. To ensure safety and convenience for the user, convenient to deal with cyber environment is the key to the activation of cyber trading. Particularly by measuring the maturity of cyber banking system to ensure the safety of the practice field much effects are expected as a result.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
SEI (Software Engineering Institutes)의 CMM이 소프트웨어 개발업자의 개발능력을 평가하고 조직의 성숙도 수준 측정 모델인 반면 SSE-CMM은 공학, 보증, 위험 프로세스의 3가지 요소로 보안엔지니어링을 나누며 성숙도 평가 모델과 수준을 제시한다. 본 연구는 이들 기존 연구를 근간으로 사이버 거래 뱅킹시스템을 대상으로 기술적 관점에서 정보 보호수준 성숙 단계를 정의하고자 한다. 이를 연구소재로 선택한 이유는 정보보호수준 성숙단계 진단은 기존의 취약점 진단, 위험분석 방법론을 실무 현장에서 사용할 수 있도록 종합적으로 결론을 제시한다는 점이다.
정보시스템의 보안성 평가는 보안 제품/시스템에 대한 평가와 제품의 생산 공정에 대한 평가로 구분 할 수 있다. 시스템 보안공학 능력 성숙도 모델(System Security Engineering - Capability Maturity Model;SSE-CMM)은 최종 산출물에 대한 품질의 통제 에서 생산 공정 품질의 통제로 초점을 옮긴다는 현대적 품질 관리의 기본적인 철학을 보안 분야에 적용하고자 개발되었다. 미국 NSA의 후원 하에 카네기멜론 대학의 소프트웨어공학연구소 (SEI) 주관으로 1995년에 SSE-CMM 그룹이 발족되어 1999년에 모델과 평가방법 version 2.
제안 방법
4) 위험도측정 : 자산, 위협, 취약점, 보안체계 단계산정, 위험도를 연계 분석하여 현재의 위험 수준 평가.
산출된 정보보호지수를 활용하여 정보보호 수준의 위치를 판단하기 위한 정보보호수준 단계를 정의한다. 기존 연구된 정보보호수준 성숙단 계를 참고하였으며, 그 구성 체계를 같이 하도록하였다. 정보화가 진전될수록 정보보호수준 또한진전되어야 한다.
위협평가와 취약점평가간 연계 평가가 가능한 분야로서 현실적으로 금융업무 현장에서 정보보호분야 금융사고 실적 통계를 관리하지 않거나 금융 사고에 대한 엄격한 보안을 유지하므로 이 요건을 충족시키는 분야 데이터를 채집하기 용이하지 않다. 따라서 본 연구에서는 평가 측정방법론을 제시하고채택방법은 각 업무 현장에서 선택적으로 적용토록 한다.
보안위험도 평가는 보안 위험도 평가체계 설계에 제시된 절차에 의거 정 량적 평가를 실시하며, 위협강도, 위협 발생 빈 도, 위협등급 평가, 대책평가를 실시하고 자산, 취약점, 위협 등급을 산정한 결과를 대책과 비교하여 마지막으로 위험수준을 산출한다.
본 논문에서 사용하는 금융정보 뱅킹시스템 구간은 고객사용자구간, 네트워킹구간, 웹서비스 구간, 내부사용자구간으로 구분할 수 있다. 정보 시스템 트래픽 구간별 도메인 분류는 보안기술 적용이 가능하도록 네트워크 영역을 구분한다.
본 연구는 위험분석 방법론을 토대로 뱅킹시스템을 중심으로 사이버거래에서의 보안관리 수행과정으로서 정보자산, 위협, 취약성, 대응책을 중심으로 대상 정보 환경의 위험을 측정하는 절차와 기술을 제시한다.
가중치 값은 동일그룹 부여 대상 전체를 100% 범위내 값을 항목에 상대적 배분한다. 본 연구에서 제시하는 가중치 범위는 일반 뱅킹 업무를 기준으로 예시 사례이며 실제산정은 현장 업무 성격, 규모, 프로세스 단계, 프로세스 중요도, 평가의 시기적 특성을 기준으로 재산정해야 한다.
현재 운용중인 정보시스템 자산이 진단 당시의 환경에서 위협, 취약성 진단결과 어느 정도 위험 수준을 보여주고 있는가를 산정한다. 위협 평가 , 취약성평가, 보안체계평가 결과를 연계 산출한다. 위험도 산출 공식은 위협 = 위협 영향 * 위협발생빈도(T)이며 취약성 = 자산이 가지고 있는 정보보호 항목 약점의 수치(V)이다.
측정대상 금융기관에서 실제 발생되었던 위협중 데이터채집이 가능한 분야, 측정대상 금융 기관에서 실제 발생되었던 위협 중 발생빈도수 조사가 가능한 분야를 채집한다. 위협평가와 취약점평가간 연계 평가가 가능한 분야로서 현실적으로 금융업무 현장에서 정보보호분야 금융사고 실적 통계를 관리하지 않거나 금융 사고에 대한 엄격한 보안을 유지하므로 이 요건을 충족시키는 분야 데이터를 채집하기 용이하지 않다.
후속연구
그러나 업무현장에서의 실제 적용 가능성을 심각하게 고려하지 않고 해외의 특정 방법론과 도구를 그대로 발표하고 있어 이론적 모델이 현장실무에 적용이 어려운 사례도 발견되고 있다. 따라서 업무현장 실정을 고려한 체계적 정보보호관리, 위험분석 방법론 및 도구 개발을 위해 기존의 연구(보안 관리, 위험 분석, 평가 방법, 보호프로 파일, 평가 프로세스, 자산분류, 위협 및 취약성 등)를 보강 및 추가 연구할 필요가 있다. 정보시스템, 서비스 개발 조직의 개발능력 평가를 위해 SSE-CMM (System Security Engineering-Capability Maturity Model) 연구가 수행되었다.
특히 뱅킹시스템 환경의 사이버 거래에서 안전성 확보를 위한 대안 도출은 실무적용 효과가 크게 나타날 것으로 확신하기 때문이다. 본 논문으로 연구하는 방법론은 향후 운영 업무에 참고 되기를 기대한다.
사이버 거래는 향후 스마트폰과 전자상거래, B2C의 활성화로 그 증가 폭은 더욱 빠르고 광범위하게 진행될 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
사이버 거래에서 가장 많이 이용되는 종목은 무엇인가?
사이버 거래에서 가장 많이 이용되는 종목은인터넷 뱅킹과 증권사의 Cyber Trading, 전자 상거래 결제이다. 인터넷 뱅킹의 경우 은행이 수행하는 대고객 업무인 자금이체, 계좌거래 조회, 금융상품 조회 등 일반 은행 업무를 모두 처리할 수 있어 높은 이용률을 보인다.
사이버거래의 일반적인 서비스로는 어떤 것들이 있는가?
정보보호 성숙도 측정은 취약점 진단, 위험분석 방법론을 실무 현장에서 사용할 수 있도록 종합적으로 결론을 제시한다. 사이버거래의 일반적인 서비스는 인터넷 뱅킹, 모바일 뱅킹, 텔레뱅킹 등이다. 사이버거래 처리구조의 한 종류인 뱅킹시스템 정보보호 성숙도 측정방법론 연구 목적은 기존의 취약점 진단, 위험분석 방법론을 실무현장에서 사용할 수 있도록 종합적 결론을 제시한다.
사이버거래 중 온라인 증권거래는 무엇인가?
온라인으로 주식을 비롯한 거래소에서 거래 되는 모든 금융상품을 매매할 수 있는 시스템으로 매매주문, 거래내역 확인, 금융상품 조회 등의 기능이 있다. 거래수단에 따라 Web Trading, Home Trading, Mobile Trading으로 구분된다.
참고문헌 (10)
S. C. Noh, A Study of Evaluation Methodology of Maturity Level for Technical Security Models Based on SSE-CMM, Sep. 2012.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.