오늘 날 세계는 과학기술과 정보통신의 비약적인 발전으로 정보화 기반 아래 실시간 정보 공유와 의사소통이 가능한 거대한 하나의 공동체로 발전하고 있다. 이러한 정보화의 이면에는 해킹, 바이러스 등에 의한 정보자산의 침해, 사이버 테러, 개인정보 및 중요정보 자산의 무단 유출과 같은 역기능은 지속적으로 증가하여 심각한 사회문제로 대두되고 있다. 침해사고 및 개인정보 유출 시 마다 정부 주도의 개인정보 보호를 위한 관련 법규 강화와 종합대책 수립 등 많은 규제정책이 발표되었고, 기업들 역시 정보보안의 중요성에 관한 인식이 점차 증가하면서 다양한 노력들을 기울이고 있다. 그럼에도 불구하고 개인정보 유출 및 산업기밀 유출과 같은 정보보안 사고는 계속적으로 발생하고 있으며 그 빈도 또한 줄어들고 있지 않는 것이 현실이다. 이에 본 논문에서는 획일적이고 기술 중심의 보안정책이 아닌 사용자 중심의 보안정책 수립을 통하여 다양한 업무환경 및 서비스 지원과 동시에 보안위협 대응 시 보다 신뢰성 있고 효과적으로 대처할 수 있는 사용자 맞춤형 보안정책 방법론을 제시하였다.
오늘 날 세계는 과학기술과 정보통신의 비약적인 발전으로 정보화 기반 아래 실시간 정보 공유와 의사소통이 가능한 거대한 하나의 공동체로 발전하고 있다. 이러한 정보화의 이면에는 해킹, 바이러스 등에 의한 정보자산의 침해, 사이버 테러, 개인정보 및 중요정보 자산의 무단 유출과 같은 역기능은 지속적으로 증가하여 심각한 사회문제로 대두되고 있다. 침해사고 및 개인정보 유출 시 마다 정부 주도의 개인정보 보호를 위한 관련 법규 강화와 종합대책 수립 등 많은 규제정책이 발표되었고, 기업들 역시 정보보안의 중요성에 관한 인식이 점차 증가하면서 다양한 노력들을 기울이고 있다. 그럼에도 불구하고 개인정보 유출 및 산업기밀 유출과 같은 정보보안 사고는 계속적으로 발생하고 있으며 그 빈도 또한 줄어들고 있지 않는 것이 현실이다. 이에 본 논문에서는 획일적이고 기술 중심의 보안정책이 아닌 사용자 중심의 보안정책 수립을 통하여 다양한 업무환경 및 서비스 지원과 동시에 보안위협 대응 시 보다 신뢰성 있고 효과적으로 대처할 수 있는 사용자 맞춤형 보안정책 방법론을 제시하였다.
Today, the world is evolving into a huge community that can communicate with real-time information sharing and communication based on the rapid advancement of scientific technology and information. Behind this information, the adverse effects of information assets, such as hacking, viruses, informat...
Today, the world is evolving into a huge community that can communicate with real-time information sharing and communication based on the rapid advancement of scientific technology and information. Behind this information, the adverse effects of information assets, such as hacking, viruses, information assets, and unauthorized disclosure of information assets, are continually increasing as a serious social problem. Each time an infringement of the invasion and personal information leaks occur, many regulatory policies have been announced, including stricter regulations for protecting the privacy of the government and establishing comprehensive countermeasures. Also, companies are making various efforts to increase awareness of the importance of information security. Nevertheless, information security accidents like the leaks of industrial secrets are continuously occurring and the frequency is not lessening. In this thesis, I proposed a customized security policy methodology that supports users with various business circumstances and service and also enables them to respond to the security threats more confidently and effectively through not a monotonous and technical but user-centered security policy.
Today, the world is evolving into a huge community that can communicate with real-time information sharing and communication based on the rapid advancement of scientific technology and information. Behind this information, the adverse effects of information assets, such as hacking, viruses, information assets, and unauthorized disclosure of information assets, are continually increasing as a serious social problem. Each time an infringement of the invasion and personal information leaks occur, many regulatory policies have been announced, including stricter regulations for protecting the privacy of the government and establishing comprehensive countermeasures. Also, companies are making various efforts to increase awareness of the importance of information security. Nevertheless, information security accidents like the leaks of industrial secrets are continuously occurring and the frequency is not lessening. In this thesis, I proposed a customized security policy methodology that supports users with various business circumstances and service and also enables them to respond to the security threats more confidently and effectively through not a monotonous and technical but user-centered security policy.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구는 첫째, 최근의 침해사고 및 개인정보 유출 사고 시 사용된 공격방식과 접근매체(인터넷,웹메일,PC,서버,DBMS)를 중심으로 보안정책을 수립하고자 하였다, 둘째, APT공격과 같은 지능화된 보안 위협을 최소화하고자 사용자 접근권한를 최소화하고 통합 보안관제 시스템의 정탐비율을 높이기 위하여 이상징후 정보와 사용자별 보안등급 정보를 활용하고자 하였다. 셋째, IT자산 중심의 위험평가가 아닌 사용자 중심의 보안정책(접근권한,보안준수 충성도 보안정책 예외 등) 정보를 반영한 위험평가 및 사용자 맞춤형 보안정책을 수립하고자 하였다.
본 연구에서 제시한 사용자 맞춤형 보안정책 방법론은 최근 침해행위 및 개인정보 유출 시 사용된 접근매체를 기준으로 기술적 보안대책과 사용자 보안정책 정보를 융합하여 현재의 보안정책 문제점 및 취약점을 개선하고자 하였다.
본 연구는 첫째, 최근의 침해사고 및 개인정보 유출 사고 시 사용된 공격방식과 접근매체(인터넷,웹메일,PC,서버,DBMS)를 중심으로 보안정책을 수립하고자 하였다, 둘째, APT공격과 같은 지능화된 보안 위협을 최소화하고자 사용자 접근권한를 최소화하고 통합 보안관제 시스템의 정탐비율을 높이기 위하여 이상징후 정보와 사용자별 보안등급 정보를 활용하고자 하였다. 셋째, IT자산 중심의 위험평가가 아닌 사용자 중심의 보안정책(접근권한,보안준수 충성도 보안정책 예외 등) 정보를 반영한 위험평가 및 사용자 맞춤형 보안정책을 수립하고자 하였다.
이에 본 연구에서는 사용자에게 부여된 접근매체(인터넷,웹메일,PC,서버,DBMS)별 접근권한를 통합분석하여, 고위험군 사용자의 접근권한 축소 및 추가 보안대책 수립을 통해 APT 공격과 같은 지능화된 보안위협을 최소화하고자 하였다.
이에 본 연구에서는 외부 공격자 및 내부 악의적인 행위를 파악하기 위해 통합 보안관제 시스템을 통해 수집된 이상징후 정보와 사용자 보안정책(접근권한,보안준수 충성도 등) 정보를 통합분석함으로써 오탐은 최대한 줄이고 정탐비율을 높임으로써 신속ㆍ정확한 보안위협 대응체계를 구축하고자 하였다.
이에 본 연구에서는 천만 건이 넘는 개인정보 유출사례를 중심으로 살펴보고 공통된 문제점과 이에 대한 외부 공격자의 APT공격과 내부 악의적인 행위에 의한 개인정보 유출사고 시 사용된 접근매체(인터넷,웹메일,PC,서버,DBMS)를 중심으로 보안대책을 수립하고자 하였다.
또한 다양한 업무 환경 및 서비스 지원을 위한 비즈니스 차원의 보안정책 예외와 같은 요구사항도 증가하고 있다. 이에 본 연구에서는 최근의 개인정보 사고사례 분석 및 기술적 대응방안의 개선을 위한 추가 보안대책을 수립하였다. 또한 사용자 중심의 위헙평가를 통해 보안등급을 산출하고 사용자 맞춤형 보안정책 방법론을 제시하였다.
지금까자의 위험평가 기준은 IT자산 중심의 개별적 통제항목 중심으로 평가되었으나, 본 연구에서는 사용자 중심의 보안정책(접근권한, 보안준수 충성도 보안정책 예외 등) 정보를 통한 사용자별 위험평가 및 그에 대한 보안대책을 수립하고자 하였다.
제안 방법
감독기관의 법규 준수 및 정보보호관리체계(ISMS) 인증을 획득한 A사를 기준으로 사용자 관점에서 3개의 보안정책(접근권한, 보안준수 충성도, 이상징후)과 5개의 접근매체(인터넷, 웹메일, 업무 PC, Server, DBMS)에 대한 3개월간의 단일로그를 수집하여 통합분석을 하였다.
기존 기술적, 관리적 측면에서 획일적, 단편적으로 관리되고 있는 보안정책을 사용자 관점에서 3개의 보안정책(접근권한, 보안준수충성도, 이상징후)과 5개의 접근매체(인터넷,웹메일, 업무PC, AP Server, DBMS)를 상호연계하여 Fig. 5.과 같이 통합 계산함으로써 사용자별 보안등급을 분류하였다. 이를 통해 과도한 권한 소유자, 보안 미준수자, 보안정책 예외자, 이상행위 사용자 등을 상호연계 및 통합분석하여 고위험군을 분류하고, 이를 통해 사용자별 신속하고 정확한 보안정책(보안교육, 보안점검, 권한조정 등) 수립 및 보안조치를 수행하였다.
둘째, 보안 점수화는 접근매체의 접속로그, 보안 준수 충성도 및 이상징후 로그와 사용자 보안정책 정보를 융합한 사용자 보안등급을 점수화하였고, 고위험군의 사용자에 대해서는 보안등급 하향조정을 위한 보안정책 검증과정을 재수행하도록 하였다. 셋째, 사용자의 보안등급 상승 및 고위험군 사용자에 대한 보안통제 및 점검을 위한 보안대응 방안을 정의하였다.
는 사용자 관점의 맞춤형 보안정책 수립을 위하여 첫째, 침해사고 및 개인정보 유출 시 사용된 5개의 접근매체(인터넷, 웹메일, 업무PC, 서버, DBMS)를 정의하였다. 둘째, 접근매체 사용을 위한 사용자의 접근권한을 정의하였고 셋째, 사용자의 보안정책 준수여부와 보안위협 행위 등을 통한 보안준수 충성도를 정의하였다. 넷째, 이상징후는 접근매체 별 시나리오 및 룰(rule) 기준으로 추출되는 사용자의 보안로그을 바탕으로 정의하였다.
이에 본 연구에서는 최근의 개인정보 사고사례 분석 및 기술적 대응방안의 개선을 위한 추가 보안대책을 수립하였다. 또한 사용자 중심의 위헙평가를 통해 보안등급을 산출하고 사용자 맞춤형 보안정책 방법론을 제시하였다. 이를 통해 다양한 업무환경과 서비스를 지원함과 동시에 기업의 보안사고 대응 역량도 한층 강화하였다.
넷째, 이상징후는 접근매체 별 시나리오 및 룰(rule) 기준으로 추출되는 사용자의 보안로그을 바탕으로 정의하였다. 마지막으로 사용자 보안등급은 4가지 요소를 합산하여 산출하였다.
셋째, 사용자의 보안등급 상승 및 고위험군 사용자에 대한 보안통제 및 점검을 위한 보안대응 방안을 정의하였다. 본 연구의 사용자 맞춤형 보안정책 방법론을 통해 정확한 보안정책 수립과 신속한 보안위협 대응을 위한 실효적 정보보호관리 체계를 구축하였다.
는 사용자별 보안정책 준수여부 또는 보안위협 행위를 기준으로 단순실수, 관리소홀, 고의적 행위 등으로 구분하여 가중치를 정의하였다. 사용자에 의한 보안위협 가중치는 전자금융감독규정 제37조의 5(정보보호최고 책임자의 의무)의 금융감독원장이 정한 34개 정보보안 점검항목, 개인정보 위험도 분석기준, 보안준수 여부를 바탕으로 정의하였다.
둘째, 보안 점수화는 접근매체의 접속로그, 보안 준수 충성도 및 이상징후 로그와 사용자 보안정책 정보를 융합한 사용자 보안등급을 점수화하였고, 고위험군의 사용자에 대해서는 보안등급 하향조정을 위한 보안정책 검증과정을 재수행하도록 하였다. 셋째, 사용자의 보안등급 상승 및 고위험군 사용자에 대한 보안통제 및 점검을 위한 보안대응 방안을 정의하였다. 본 연구의 사용자 맞춤형 보안정책 방법론을 통해 정확한 보안정책 수립과 신속한 보안위협 대응을 위한 실효적 정보보호관리 체계를 구축하였다.
과 같이 통합 계산함으로써 사용자별 보안등급을 분류하였다. 이를 통해 과도한 권한 소유자, 보안 미준수자, 보안정책 예외자, 이상행위 사용자 등을 상호연계 및 통합분석하여 고위험군을 분류하고, 이를 통해 사용자별 신속하고 정확한 보안정책(보안교육, 보안점검, 권한조정 등) 수립 및 보안조치를 수행하였다.
셋째, IT자산 및 보안 솔루션 중심의 보안대책과 모니터링으로 사용자의 업무적 목적 사용여부와 이에 따른 보안위헙 판단이 어려워 신속․정확한 보안대응이 쉽지 않았다. 이에 대한 보안대책의 개선방안을 찾고자 사용자 중심의 보안정책 방법론을 제안하였다.
본 논문은 침해사고 및 개인정보 유출 방지를 위하여 개인정보보호 관련 법규 강화와 기업들의 다양한 노력에도 불구하고 보안사고는 지속적으로 발생하고 있으며 그 빈도 또한 줄어들고 있지 않고 있다. 이에 최근의 보안사고 사례 분석 및 기술적 보안대책과 정보보호대책 수립을 위한 위험평가 방법론을 살펴보았다. 첫째, 과도한 접근권한을 소유한 사용자의 접근매체를 통해 APT 공격 대상이 되었고 둘째, 보안정책 예외자 및 보안위협 행위자에 대한 지속적인 모니터링 및 관리 미흡으로 내부 악의적인 행위자에 의한 개인정보 유출이 발생하였다.
제안한 방법론은 사용자의 직무별 접근매체(인터넷,웹메일,PC,서버, DBMS)에 대한 상세 접근권한과 보안준수 충성도(보안정책 준수여부, 보안위협 행위) 및 이상징후 정보를 이용한 사용자 기준의 위험평가를 통해 보안등급을 산출하였다. 보안등급이 높은 고위험군 사용자는 보안통제 및 점검을 강화하고, 저위험군 사용자는 다양한 업무특성과 서비스 지원을 위하여 보안통제 및 점검을 완화함으로써 업무 효율성 증대와 동시에 전체 사용자의 보안등급을 하향 평준화하였다.
첫째, 사용자의 역할 및 권한을 바탕으로 접근매체, 접근권한, 보안정책 예외자 최소화 등 1차 보안 위협 방지를 위한 보안정책을 정의하였다.
대상 데이터
본 연구의 사례검증을 위해 3개월 간 수집된 접근 매체의 보안로그와 사용자 보안정책 정보는 사용자 보안등급 산정을 위한 귀중한 자료가 되었다. 향후 더 방대한 보안로그의 실시간 수집과 사용자 보안정책의 상세정보가 융합된다면 사용자 보안등급 산정의 신뢰성과 정확성이 한층 더 발전 될 것이다.
성능/효과
기존의 보안정책은 사용자(내부/외부)의 업무특성을 고려하지 않은 획일적인 보안통제 및 점검으로 업무효율성 저하 및 보안관리 측면의 어려움이 가중되었다. 그러나 사용자 보안등급에 따른 맞춤형 보안정책을 통해 샘플링 위주의 보안점검이 아닌 우선순위를 통한 실효적 보안점검이 가능했으며, 이상징후 발생 시 오탐, 과탐이 아닌 정탐 위주의 보안대응이 가능했다.
셋째, 인간은 환경의 지배를 받으므로 정신적, 심리적 변화 가능성이 상존한다. 넷째, 보안관리는 인간의 행위규제를 수단으로 하고 있어 저항이 따른다. 다섯째, 제도권을 벗어난 자(퇴직,전직자 등)에 대한 보안관리는 사실상 어렵다[15].
제2장의 관련연구를 통해 첫째, 침해사고 및 개인정보 유출사고 시 외부침해 공격은 지능화된 APT 공격기법을 주로 사용하여 외부에서 인터넷, 웹메일, 업무PC, 서버, DBMS 의 접근매체를 경유하여 공격에 성공하였고, 내부 악의적인 행위자는 보조기억장치를 이용하여 업무PC, 서버, DBMS의 접근매체를 이용하여 정보유출에 성공하였다. 둘째, 지능화되어가는 공격대응을 위하여 APT공격대응, 통합 보안관제 시스템을 이용한 기술적 보안대책을 수립하고 있으나, 전체 사용자 대상의 동일 기준의 시나리오와 룰 등으로 과탐 및 오탐으로 신속한 분석 및 대응에 어려움이 발생하고 있고, IT자산 중심의 위험평가 외 인적보안 측면의 보안위험이 평가도 필요하였다. 제3장에서는 사이버 공격의 지능화 및 각종 보안사고가 발생하면서 정보보호 관련 규제 강화 및 보안위협 증가에 따른 보안통제 및 관리의 어려움이 가중되고 있다.
제안한 방법론은 사용자의 직무별 접근매체(인터넷,웹메일,PC,서버, DBMS)에 대한 상세 접근권한과 보안준수 충성도(보안정책 준수여부, 보안위협 행위) 및 이상징후 정보를 이용한 사용자 기준의 위험평가를 통해 보안등급을 산출하였다. 보안등급이 높은 고위험군 사용자는 보안통제 및 점검을 강화하고, 저위험군 사용자는 다양한 업무특성과 서비스 지원을 위하여 보안통제 및 점검을 완화함으로써 업무 효율성 증대와 동시에 전체 사용자의 보안등급을 하향 평준화하였다. 또한 기업 내 사용자는 자신의 보안등급을 직접 확인함으로써 보안의식 고취 및 보안준수 충성도도 자연스럽게 상승하였다.
셋째, IT자산 및 보안 솔루션 중심의 보안대책과 모니터링으로 사용자의 업무적 목적 사용여부와 이에 따른 보안위헙 판단이 어려워 신속․정확한 보안대응이 쉽지 않았다. 이에 대한 보안대책의 개선방안을 찾고자 사용자 중심의 보안정책 방법론을 제안하였다.
둘째, 인간의 내면성 접근에 한계가 있어 예방조치가 어렵다. 셋째, 인간은 환경의 지배를 받으므로 정신적, 심리적 변화 가능성이 상존한다. 넷째, 보안관리는 인간의 행위규제를 수단으로 하고 있어 저항이 따른다.
3개월간 수집된 사용자 관점의 통합로그를 기준으로 사용자 보안등급 분류(위험,주의,관심,정상) 후 고위험군 사용자에 대하여 맞춤형 보안대책을 Table 8. 와 같이 수행하였으며, 기존과 달리 고위험군에 속한 사용자들의 접근매체, 접근권한 축소가 용이했으며 또한 보안준수 충성도가 높아지는 결과를 얻을 수 있었다.
7. 은 사용자 맞춤형 보안정책 수행 후 전반적인 보안인식 제고 효과를 얻었으며, 이를 통해 접근매체 및 접근권한 축소, 보안준수 충성도 향상 등 사용자 보안등급이 전체적으로 평균 하향화되었다.
제2장의 관련연구를 통해 첫째, 침해사고 및 개인정보 유출사고 시 외부침해 공격은 지능화된 APT 공격기법을 주로 사용하여 외부에서 인터넷, 웹메일, 업무PC, 서버, DBMS 의 접근매체를 경유하여 공격에 성공하였고, 내부 악의적인 행위자는 보조기억장치를 이용하여 업무PC, 서버, DBMS의 접근매체를 이용하여 정보유출에 성공하였다. 둘째, 지능화되어가는 공격대응을 위하여 APT공격대응, 통합 보안관제 시스템을 이용한 기술적 보안대책을 수립하고 있으나, 전체 사용자 대상의 동일 기준의 시나리오와 룰 등으로 과탐 및 오탐으로 신속한 분석 및 대응에 어려움이 발생하고 있고, IT자산 중심의 위험평가 외 인적보안 측면의 보안위험이 평가도 필요하였다.
이에 최근의 보안사고 사례 분석 및 기술적 보안대책과 정보보호대책 수립을 위한 위험평가 방법론을 살펴보았다. 첫째, 과도한 접근권한을 소유한 사용자의 접근매체를 통해 APT 공격 대상이 되었고 둘째, 보안정책 예외자 및 보안위협 행위자에 대한 지속적인 모니터링 및 관리 미흡으로 내부 악의적인 행위자에 의한 개인정보 유출이 발생하였다.
환경의 지배를 받는 사람의 의식구조와 내면을 관리해야 하는 인원보안은 태생적으로 적용수단과 기술에 한계를 느낄 수 밖에 없다. 첫째, 인원보안은 관리 주체와 객체가 사람이며 보호대상인 동시에 경계대상이 되는 양면성을 가지고 있어 사람은 가장 위험한 침해요소이며 위협의 대상이다. 둘째, 인간의 내면성 접근에 한계가 있어 예방조치가 어렵다.
후속연구
손실 및 위험의 수준을 표현하는 방법에 따르 크게 정량적인 방법과 정성적인 방법으로 구분될 수 있으며, 평가된 위험의 규모에 따라 수용할 위험과 수용할 수 없는 위험을 분류하고 수용할 수 없는 위험에 대해서는 위험 규모에 따라 우선순위에 따른 적절한 대응책을 마련해야 한다.
향후 더 방대한 보안로그의 실시간 수집과 사용자 보안정책의 상세정보가 융합된다면 사용자 보안등급 산정의 신뢰성과 정확성이 한층 더 발전 될 것이다. 이를 바탕으로 고위험군 사용자에 대해서는 접근매체별 보안솔루션과 실시간 연동을 통해 보안위협 탐지와 동시에 접근권한을 차단함으로써 선제적 보안사고 대응을 위한 초석이 될 것이다.
최근의 침해사고 및 개인정보 유출 사고 사례를 보면 해당 기업은 이미 상당 수준의 보안 솔루션이 구축되어 있었음에도 불구하고 외부 해커 또는 악의적인 내부 사용자에 의한 정보유출 행위를 탐지/차단하는데 실패하였다. 이에 반복되는 보안사고의 원인을 살펴보고 효과적으로 침해 및 개인정보 유출 사고를 사전에 탐지/예방할 수 있는 해결방안을 찾기 위한 이론적인 연구가 필요하다고 판단된다.
본 연구의 사례검증을 위해 3개월 간 수집된 접근 매체의 보안로그와 사용자 보안정책 정보는 사용자 보안등급 산정을 위한 귀중한 자료가 되었다. 향후 더 방대한 보안로그의 실시간 수집과 사용자 보안정책의 상세정보가 융합된다면 사용자 보안등급 산정의 신뢰성과 정확성이 한층 더 발전 될 것이다. 이를 바탕으로 고위험군 사용자에 대해서는 접근매체별 보안솔루션과 실시간 연동을 통해 보안위협 탐지와 동시에 접근권한을 차단함으로써 선제적 보안사고 대응을 위한 초석이 될 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
APT는 무엇인가?
APT는 해킹을 시도하는 개인이나 그룹이 명확한 목적을 가지고 특정 대상을 겨냥하여 지능적이고 복합적인 방법을 동원하여 지속적으로 공격하는 위협형태를 말한다[6]. APT는 악성코드의 생존율을 높이기 위해 사전조사, 제로데이 취약점 공격, 사회공학 기법 적용, 은닉, 적응, 지속 등의 공격기법을 조합하여 장기적으로 원하는 목적이 달성될 때까지 공격한다[7].
APT는 악성코드의 생존율을 높이기 위해 어떤 방법들을 사용하는가?
APT는 해킹을 시도하는 개인이나 그룹이 명확한 목적을 가지고 특정 대상을 겨냥하여 지능적이고 복합적인 방법을 동원하여 지속적으로 공격하는 위협형태를 말한다[6]. APT는 악성코드의 생존율을 높이기 위해 사전조사, 제로데이 취약점 공격, 사회공학 기법 적용, 은닉, 적응, 지속 등의 공격기법을 조합하여 장기적으로 원하는 목적이 달성될 때까지 공격한다[7].
인적보안 관리가 어려운 이유는 무엇인가?
환경의 지배를 받는 사람의 의식구조와 내면을 관리해야 하는 인원보안은 태생적으로 적용수단과 기술에 한계를 느낄 수 밖에 없다. 첫째, 인원보안은 관리 주체와 객체가 사람이며 보호대상인 동시에 경계대상이 되는 양면성을 가지고 있어 사람은 가장 위험한 침해요소이며 위협의 대상이다. 둘째, 인간의 내면성 접근에 한계가 있어 예방조치가 어렵다. 셋째, 인간은 환경의 지배를 받으므로 정신적, 심리적 변화 가능성이 상존한다. 넷째, 보안관리는 인간의 행위규제를 수단으로 하고 있어 저항이 따른다. 다섯째, 제도권을 벗어난 자(퇴직,전직자 등)에 대한 보안관리는 사실상 어렵다[15].
Jun-Taek Lee, "Overview of Information Protection," Dec. 2016.
Hu-Eul Kim and Dong-Hyun Baek, "A Study on Categorization of Accident Pattern for Organization's Information Security Strategy Establish," Annual Report of Industrial Management Systems in Korea, 38(4), pp. 193-201, Dec. 2015
In-Hwan Cha, "(An)Empirical Research on Developing Personnel Security Management Indicators in Information Security," Thesis for the Degree of Dotor, Gwangun University, Aug. 2009.
GARTNER,"Strategies for Dealing With Advanced Targeted," Aug. 2011.
Seong-Back Han and Sung-Kwon Hong,"Countermeasures against APT Attacks," Journal of the Korea Institute of Information Security & Cryptology, 23(1), pp. 44-53, Feb. 2013
Seol-Hwa Im,Jong-Su Kim," APT status and new malicious code countermeasures," Journal of the Korea Institute of Information Security & Cryptology,24(2), pp.64-70, Apr. 2014
Song-young Kim, "A study on the security policy improvement using the big data," Journal of the Korea Institute of Information Security & Cryptology, 23(5), pp.969-976, Oct. 2013.
Chang-Woo Byun and Seog Park, "A Role-Based Access Control Model ensuring Confidentiality and Integrity," ournal of the Korea Institute of Information Security & Cryptology, 15(3), pp.13-29, Jun. 2005.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.