$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

기업의 상시 보안관리 체계 연구
A Study for Enterprise Type Realtime Information Security Management System 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.3, 2017년, pp.617 - 636  

노시영 (삼성SDS) ,  임종인 (고려대학교 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

많은 기업에서 핵심 정보자산의 보호를 위해 보안관리 체계 강화 목적으로 ISO27001, 또는 K-ISMS 등 표준 보안 관리 체계를 도입하여 일정부분 성과를 얻고 있으나 최근 IT 기술의 발전과 침해수법의 진화 등으로 위협요인이 기하급수적으로 증가하고 있어 기업은 보안관리 측면에서 보다 더 신속하고, 정확한 대응조치가 필요하게 되었다. 이를 위해 보안관리 프로세스의 효율화, 핵심적 보안영역을 집중관리 할 수 있는 보안지표의 설정, 침해위험 영역을 사전 인지할 수 있는 위험지수의 산출 등을 바탕으로 한 '기업형 상시 보안관리 체계'를 연구하고, 전문가 집단의 의견을 조사하여 AHP(Analytic Hierarchy Process)방법론으로 적절성을 분석하였다. 본 연구를 통해 기업의 보안담당자들은 보안 관리 체계의 운영에 있어서 선제대응, 신속조치 등의 효율성을 향상시킬 수 있다.

Abstract AI-Helper 아이콘AI-Helper

Many businesses have adopted the standard security management structure such as ISO27001 and K-ISMS for strengthening business's security management structure to protect their core information assets and have acquired partial output from such effort. However, many risk factors such as recent advance...

주제어

#Security   #Lifecycle   #Risk   #Real time   #Enterprise  

질의응답

핵심어 질문 논문에서 추출한 답변
ISMS의 관리과정은 어떻게 진행되는가? 또한, ISMS는 보안정책 수립단계로부터 사후관리에 이르기까지 정책수립-범위설정-위험분석-대책적용-사후관리 등 PDCA(Plan, Do, Check, Act)형태로 진행되는 관리과정과 이러한 과정 내에 조직의 보안목표를 달성하기 위한 보안영역별 통제사항을 포함한 대책과정으로 구성되어 있는데 K-ISMS에서는 이를 각각 ‘관리과정’ 5단계 12개의 통제사항과 ‘대책과정’ 13개 분야 92개 통제사항으로 분류하여 각각 관리하고 있으며 ISO27001도 이와 유사한 체계를 가지고 있다. Table 1은 K-ISMS를 구성하고 있는 각 과정별 분류 내용이다[3,4].
기업의 경영정보, 기술정보 탈취를 목적으로 한 최근 기업보안의 위협요인들은 무엇들이 있는가? 첫째는 대부분 기업에서 비즈니스 자체, 혹은 수단으로 활용하고 있는 하드웨어 및 소프트웨어의 취약점이다. 공격자들은 이러한 취약점을 이용하여, 기업의 핵심정보를 절취하기 위한 악성코드 등을 제작 유포하고 있고, 직접적인 해킹공격도 불사하고 있으며 그 빈도 및 수법도 시시각각으로 진화하고 있다. Symantec 사의 2016년 위협보고서에 따르면 하드웨어 및 소프트웨어의 취약점은 2013년 6,787건,2014년 6,549건, 2015년 5,589건 등 매년 수천 건 이상이 발견되고 있으며 특히 제조사, 또는 개발사 등이 보완조치를 하지 못한 ‘Zero-Day 취약점’은 매주 발견되고 있을 뿐만 아니라 2014년 24건, 2015년 54건으로 지속 증가하고 있는 것으로 나타났다[13]. 둘째는 IT기기, 혹은 인터넷 사용자의 편의를 위해 신규개발, 제공되고 있는 서비스들이 오히려 기업을 위협하고 있는 복병이 되고 있다. 예를 들면 2014년 1월 전자신문의 “윈도 오류보고시스템이 해킹 위험 키운다”기사에 따르면 MS 사에서 PC Windows OS의 오류수정을 위해 인터넷에 연결된 PC에서 S/W오류가 발생할 경우 해당 PC의 IP와 OS 버전 등을 MS 연구소로 전송하고 있는데 이는 타겟 공격을 위한 훌륭한 소스정보로 오용될 수도 있다고 하였고[14], 인터넷상에서 수집한 기업의 문서를 인터넷에 무차별 공개하는 ‘Filemare’[15], 인터넷에 연결된 통신장비의 취약점 현황을 제공하는 ’Shodan‘ 서비스[16]등 이와 유사한 정보 서비스사업이 지속 증가하고 있다. 셋째로는 국가간 생존경쟁 차원에서 인터넷을 활용한 안보 및 정보활동이 증가함에 따라 기업이 선의의 피해자가 될 수도 있다는 점이다. 예를 들면 2013년 월 스트리트 저널은 반도체 칩 내에 해킹회로가 삽입되어 있을 가능성을 제기[17]하였고, 연합뉴스는 2013년 7월, 이러한 위협의 회피 목적으로 영국의 정보기관과 미국 국무부에서는 중국산 반도체칩이 포함된 레노버 PC의 사용을 금지하였다고 보도[18]한 바가 있으며, 또한 2013년 12월 독일 Spiegel Online에서는 “Documents Reveal Top NSA Hacking Unit”란 제목으로 대부분 국가가 사용하는 통신장비 및 서버에 NSA가 해킹 프로그램을 삽입한 의혹이 있다고 보도한 바가 있다[19].
기업은 핵심 정보자산의 보호를 위해 무엇을 구축 및 운영하는가? 기업은 핵심 정보자산의 보호를 위해 외부의 보안 위협에 대응이 가능하도록 ‘보안관리 체계’를 구축하여 운영하고 있다. 그러나 이러한 보안관리 체계가 제대로 작동하지 않을 경우 악성코드 등의 위협요인 등을 인식하지 못하거나 신속하게 대응하지 못한다면 순식간에 감염이 확산되어 기업을 큰 혼란으로 빠뜨릴 수 있고, 비즈니스에도 치명적인 영향을 초래할 수 있을 것이다.
질의응답 정보가 도움이 되었나요?

참고문헌 (35)

  1. PCworld, "Sony Sued Over PSN Data Breach, Failure to Disclose", http://www.pcworld.com/article/226478/sony_sued_over_psn_data_breach_failure_to_disclose.html, Apr 27, 2011 

  2. Seung-Ju Kim. "Have to lead the 'Creative Security' against industry", http://www.dt.co.kr/contents.htm?article_no2011080902012251697035, Aug 8, 2011 

  3. KQA, "ISO/IEC 27001:2013 Framework overview", http://kqa.co.kr/main.php, Jun 15, 2017 

  4. KISA, "2017 ISMS certification system briefing session", https://isms.kisa.or.kr/main/isms/notice/?boardIdbbs_0000000000000001&modeview&cntId48&category%EC%9E%90%EB%A3%8C&pageIdx1, Apr 27, 2017 

  5. KISA, "Detail check list of ISMS certification", https://isms.kisa.or.kr/main/isms/notice/?boardIdbbs_0000000000000001&modeview&cntId36&category%EC%9E%90%EB%A3%8C&pageIdx2, May 15, 2013 

  6. Haider Abbas, Christer Magnusson, Louise Yngstrom and Ahmed Hemani, "Addressing dynamic issues in information security management", Information Management & Computer Security. 19, pp. 4, Jan. 2011 

  7. BCS, "Why ISO27001 is not enough?", http://www.bcs.org/content/ConWebDoc/26594, IT Research Lab, pp. 1-2, 2009 

  8. Hee-Myung Lee and Jong-In Lim, "A Study on the Development of Corporate Information Security Level Assessment Models", Journal of the Korean Institute of Information Security and Cryptology, pp. 165-169, Jul. 2008 

  9. Shin-beom Kang, "A Study on the Effective Countermeasures for Preventing Computer Security Incident", pp. 71-82, Feb. 2012 

  10. Sang-Eun Kwon, KAIST, "Research of Information Security Management Model for Real-Time Security Level Measurement", KOASAS(KAIST open access self archving system), pp.2, 2013 

  11. Yu-Chan Ko, "A Study on an Improvement of Information Security Management System (ISMS) Scheme- Flexible Application of Control Items", Research Information Sharing Service(RISS), pp.42, Dec, 2013 

  12. Kyung-Ho Lee, "Method and Apparatus for Measurement of Information-Security-Controlling Status", Patent No.10-1616989-0000, pp. 5-6, March, 2016 

  13. Symantec, "Internet Security Threat Report", Volume 21, pp. 2, 2016 

  14. ETnews, "1 Billion PCs At Risk As Windows Error Reporting Sends Reports In Clear(Original Title)", http://www.etnews.com/201401020348, Jan 2, 2014 

  15. Dailysecu, "Possibility of Anonymous FTP attack for Domestic NAS servers.", http://www.dailysecu.com/?modnews&actarticleView&idxno5930, Dec 17, 2013 

  16. Boannews, "Exposure of domestic gas measurement system information at Shodan", http://m.boannews.com/html/detail.html?idx49636, Feb 17, 2016 

  17. ETnews, "The warning of Semiconductor hacking threats. Industries preparing counteasure.", http://www.etnews.com/201401160301, Jan 16, 2014 

  18. Yonhapnews, "'Hacking suspicion' Chinese PC, Withdraw from British intelligence agency", http://www.yonhapnews.co.kr/bulletin/2013/07/30/0200000000AKR20130730184900085.HTML, Jul 30, 2013 

  19. Spiegel Online, "Documents Reveal Top NSA Hacking Unit", http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969.html, Dec 29, 2013 

  20. Eun-Sung Kang, "The CISO Story of Eunsung Kang", i-News24 Opinion column, http://opinion.inews24.com/php/news_view.php?g_serial835179&g_menu042137, Jul 11, 2014 

  21. Eun-Sung Kang, "The Information Security that CxOs have to know", Hanbit Media, Seoul, 296, 2015 

  22. Il-Jun Moon(CEO of Bitscan Company), "Is the ISMS certification company safe from hacking?", http://www.dailysecu.com/?modnews&actarticleView&idxno3677, Jan 23, 2013 

  23. NIST. "Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations." Special Publication 800-137: https://www.nist.gov. Sep 2011 

  24. Chae-Ho Lim(The Former Professor of KAIST University), "The need of Total ISCM strategy for continuous security monitoring", http://www.boannews.com/media/view.asp?idx49305, Jan 25, 2016 

  25. The KPI Institute, "New SmartKPIs.com Report Ranks The Top IT Security KPIs of 2011- 2012", https://news.kpiinstitute.org/new-smartkpis-com-report-ranks-the-top-it-security-kpis-of-2011-2012/, May 20, 2013 

  26. Jung-Sik Ryu(CEO of 'In Future' Company), "Give up the unconditional trust about KPI", http://www.infuture.kr/1444, Apr 14, 2014 

  27. KISA, "A Study on National Information Security Evaluation Indices and their Internationalization", R&D Report, 06-1. 2006 

  28. KISA, "Encryption action guide of the Privacy Informations", Jan, 2017 

  29. Yun-hyun Kim, Tae-Seung Lee(KISA), "Main Issues and the weakness analysis of Internat Cookies", INTERNET & SECURITY FOCUS, pp. 84-85, Aug, 2014 

  30. Russia Focus, "Russia Amendment Law Enacted in September. -Russian personal information have to save at the domestic servers", https://russiafocus.co.kr/society/2015/04/10/9_46959, Apr 10, 2015 

  31. ITworld,''Europe approves new data protection law-European Parliament gives massive support to stronger data protection rules", http://www.itworld.com/article/2831822/it-management/europe-approves-new-data-protection-law.html, Mar 12, 2014 

  32. Juniper Networks, "The Economics of Defence", from RAND Corporation's "Defender's Dilemma: Charting a Course Toward Cybersecurity", pp. 9, Aug,. 2015 

  33. CONCERT, "Security Consumer Report- Information Security Performance Indicator", CONCERT Homepage, pp.4-6, Nov. 2013 

  34. KISA, "An Analysis of economic effectiveness on ISMS Certification", Internet & Security issue, pp. 30, Mar. 2010 

  35. Sang-su Jang, "The Effects of the Operation of an Information Security Management System on the Performance of Information Security", Journal of the KIISE, Information Networking, Vol. 40(1), pp. 58-69, Feb. 2013 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로