산업 영역에서 빅데이터 활용을 위한 개인정보 보호체계 : 농업분야를 중심으로

김진수 전북대학교 일반대학원 2019 국내박사

In order to activate the big data industry, it is required a balanced approach to protect personal information. The government-driven ‘de-identification action guidelines’ reflects only conceptual level industry characteristics rather than a specific approach. That is, even if it recommends that the unique personal identification, semi-identification, and other sensitive information are in a de-identification way, the big data industry is not yet activated because the definition and scope of personal information are still not clear. This thesis proposes that the adequacy criteria for de-identified personal information should be dealt with individual industry depend on the utilizing purpose of big data in each industry. Because the personal information protection act is a comprehensive general low, it is hard to reflect each industry’s features. Even though some degree of separated sub-acts exist in the fields of tele-communication, finance, and health care, it is required to be properly complemented by ‘personal information protection act’. Especially there is still no privacy protection system in the agricultural sector. So, we propose a personal information protection system to enhance the utilization of big data in the industry mainly focused on agriculture field. The agricultural items such as livestock, pets, or farmland and soil information should be defined as a sensitive data of the personal information. In the healthcare area, a formal agreement from the families is also required for analyzing a dead person. For the big data analysis, along with a de-identification, it is required to decide the properness of the de-identification. Here, the k-anonymity reference values should be applied differently from industry to industry. Currently, it is recommended to be higher than 3 regardless of industrial characteristics, With considering the sensitivity personal information, the risk of re-identification could be reduced only by setting the value at least 4 in agriculture area, and at least 5 in the healthcare sector. In conclusion, because the purpose for utilizing big data in agriculture field is the analysis of livestock and farmland information rather than human-oriented one, it is strongly recommended to set an separate information protection system. For the fourth industrial revolution era, a legal basis is also needed for personal property information collected from the human and location information through drone scanning and autonomous farming machine operating. 빅데이터산업을 보다 더 활성화하기 위해서는 서로 상충이 되고 있는 개인프라이버시 보호와의 균형적인 해결책이 필요하다. 현행 비식별화조치 가이드라인에서는 산업별 특성을 일부 반영하였으나 세부적인 접근방식이 아니라 개념적이고 포괄적인 형식으로 규정되어있다. 개인정보내 고유식별정보, 준식별정보, 민감정보 등을 특정개인임을 알아볼 수 없도록 비식별화를 하여 개인의 동의 없이 빅데이터에서 사용할 수 있도록 권장하고 있으나, 고유식별정보를 제외한 준식별정보, 민감정보의 정의나 보호범위가 명확하지 않아서 빅데이터산업이 아직 활성화 되지 못 하고 있다. 본 논문에서는 산업별 빅데이터 활용 목적에 따라 비식별화 대상이 되는 개인정보 나 비식별화정보의 적정성 판단기준 등이 해당 산업의 특징을 반영하여 개별법형식으로 다르게 시행되어야 함을 제안한다. 개인정보보호법은 포괄적인 일반법이기 때문에 산업 특징을 제대로 반영하고 있지 못 하다. 현재 정보통신, 금융, 보건의료분야 에서는 개별법들이 존재하나 개인정보보호법과의 상호 보완이 필요하며, 농업에서는 개인정보 보호체계가 부재 한 상황이다. 생산부터 유통, 판매 및 관광의 광범위한 밸류체인을 가지고 있어 6차 산업으로 일컬어지는 농업을 중심으로 산업 빅데이터 활용도 제고를 위한 개인정보 보호체계 개선방안을 제시한다. 사람중심에서 가축이나 반려동물, 또는 농지토양정보 등이 소유주인 정보주체의 민감정보로 명시화 되어야 한다. 또한, 의료분야에서는 사망한 사람들에 대해 분석이 필요할 경우 유가족의 공식적인 동의도 필요하다. 빅데이터분석을 위해 개인정보를 비식별화한 후 비식별화 적정성여부를 판단하게 된다. 이때 기준이 되는 k-익명성 값도 산업별로 다르게 적용되어야 한다. 현재는 산업특성을 고려하지 않고 일반적으로 k 기준값을 3 이상으로 하도록 권고하고 있으나, 민감정보의 정도를 고려할 때, 농업에서는 4 이상으로, 의료분야에서는 5 이상으로 설정 되어야 재식별 위험도를 낮출 수 있다. 결론적으로 농업분야에서는 빅데이터의 활용범위가 사람중심이 아닌 가축, 농토 중심이기 때문에, 현행 개인정보보호법을 기반으로 개별법형식의 농업 개인정보 보호체계가 수립되어야 한다. 향후 4차 산업혁명시대 미래농업에서는 드론을 통해 농작물 작황 정보와 함께 수집되는 개인사유물정보나 자율농기계 운행에 예상되는 타인개인정보 및 위치정보 등에 대한 개인정보 보호체계 관점에서의 법적인 근거도 필요하다.

공공기관의 정보보호관리를 위한 감사시스템의 분석 및 설계

전용준 전북대학교 대학원 2008 국내박사

Public institutions, including the government agencies, possess and operate their own system for information security, and service based on a security management manual from the central government. However, due to the inherent characteristics of information security, an information system only is not enough, but organizing a security management team along with a management system plays a great role for the information security service. In addition, auditor's role and capability are getting important to control the service. Even if the security service in public institutions usually is executed by a security manager, it reveals a limitation with lacking of his/her specialities in information security as well as continuity with the position circulation system. In addition, it is very difficult to apply a uniform audit criterion for all public institutions due to the diversity and uniqueness of their information systems and management systems. Along with these issues, the subjective decision feature of an auditor makes worse to ensure the robustness and objectiveness of an audit result. This thesis deals with an analysis and design of audit information system based on an international standard, BS7799, in order to resolve the identified problems of the information security audit. The system is designed to support the diversity and uniqueness of the information security service by providing creation, edition and recycle of the audit control item. The robustness and objectiveness issues are resolved with a quantitative method of audit result. It also includes some additional functionalities such as an audit education with imitated audit training to increase auditor's capability. The proposed system can be effectively utilized to plan and do a information security system to a security manager as well as an auditor in public institution. By applying an international standard, it also is expected the system is flexibly applied to an audit service of general organization. 현재 중앙정부를 비롯한 공공기관들은 정보보안을 위해서 기관별로 시스템을 도입하여 운영하고 있다. 이들은 주로 중앙정부의 지침을 준거삼아 정보보안 업무를 수행하고 있다. 그러나 정보보안 업무의 특성상 시스템의 운영만으로 업무수행을 원활하게 할 수 없으며, 관련 조직의 구성, 관리체계의 확립을 통한 업무수행 과정이 매우 중요하다. 더불어 다양한 보안업무를 관리 감독하기 위한 감사자의 역할 및 능력도 크게 중요시 되고 있다. 공공기관에서 보안관련 업무의 중심은 보안 관리자에 의해 수행되고 있지만 순환 보직으로 인한 전문성의 부족과 관련 업무의 연속성 부족의 한계를 나타내고 있다. 또한 개별 공공기관이 운영하고 있는 정보 시스템, 운영 관리체계가 다양성과 특이성을 가지고 있어 일괄적인 감사 기준을 적용하기 어렵다. 이러한 구조적인 문제점과 감사자의 주관적인 판단과 경험적인 기술이 감사 결과로 도출되는 현실로 인하여 감사 결과에 신뢰성, 객관성 확보가 사실상 불가능한 문제점을 지니고 있다. 본 논문에서는 기존의 정보보호 관련 감사에서 나타나고 있는 문제점들을 보완할 목적으로 정보보호 관리체계에 있어 전 세계적으로 통용되고 있는 기준인 BS7799을 감사시스템에 적용하는 방안을 모색하였다. 시스템 설계는 감사통제 항목의 생성, 편집, 재활용 기능 등으로 보안업무의 다양성과 특이성에 대한 문제점을 해결하고 있다. 또한 감사 결과의 정량화 산출 기법을 적용하여 감사 결과에 대한 객관성, 신뢰성을 확보 하고 있다. 현행 수작업에 의한 감사 수행방법은 감사 결과의 도출에 많은 시간이 소요된다. 하지만 제안하는 시스템의 활용 시 감사 현장에서 즉시 정량화된 결과를 산출하고 확인 할 수 있다. 부가적인 기능으로 감사자의 감사능력 확보, 사전 모의감사 훈련 등을 포함하여 빈번한 감사요원의 교체에 따른 감사교육 훈련의 필요성도 충족 할 수 있도록 하였다. 구현된 시스템은 공공기관의 정보보호 관련 감사 관리자, 보안 담당자에게 정보보안 관리체계를 수립, 적용하여 감사 관리자나 감사 담당자가 복수일 때 독립적으로 감사 하는데 활용될 것을 목적으로 하고 있다. 특히, 본 시스템이 국제표준 절차를 준용함으로 인하여 일반적인 조직의 감사업무에도 융통성 있게 사용될 수 있을 것으로 기대된다.

정보시스템 구축을 위한 위험요인 연구

민경천 한세대학교 대학원 2007 국내박사

정보 사회의 도래와 인터넷 확산으로 정보보호의 중요성이 증가함에 따라 현대 조직에 있어서 정보보호는 경쟁우위를 확보하기 위한 도구임과 동시에 비즈니스를 안정적으로 수행하기 위한 필수 경영 요구사항으로 등장하고 있다. 또한 정보보호 관련 사고의 발생 건수가 증가함에 따라 국내외 법적 요구사항이 증가하고 있어 기업에 있어서 정보보호 관리는 필수적 분야로 인식되기 시작했다. 하지만 현재 일반 기업체에서 이루어지는 위험분석은 과정 및 결과에 대해서 충분한 의사결정권자의 신뢰를 얻지 못하고 있는 실정이다. 이렇게 중요한 비중을 차지하는 위험분석 및 관리가 조직에서 회피되거나 무시된 이유는 첫째, 새로운 정보기술에 대한 위협요인을 파악하기가 어렵고, 둘째, 정보기술 관리자의 위험관리에 대한 인식 및 전문 지식이 결여되어 제대로 수행하기 어렵고, 셋째, 과거 적절치 못한 위험분석 방법 사용으로 인한 잘못된 경험으로 인한 오해 및 편견이 존재하며, 마지막으로 위험분석은 오랜 시간 및 많은 자금의 소요가 초래되고 있기 때문이라고 할 수 있다. 따라서 본 논문에서는 문헌조사를 통해 측정항목을 도출하고 현 대학의 실무자들의 정보보호 현황에 대한 조사를 통해 알아보았다. 본 연구는 앞으로 사고발생 확률, 보안사고의 심각성 등 좀 더 세부적인 사항을 조사하여 보안 할 필요가 있다. 또한 정보보안 수준을 계량화하기위한 바람직한 가중치 수준을 도출하여 수치화된 보안수준을 제시할 수 있도록 발전시킬 필요가 있다. As the security management field is recognized very important internationally, related industries have been growing a lot. In order to build an optimum information system security scheme, a risk analysis toe enviornment of information system, find vulnerable points and risk factors, and suggest efficient measures is required. However, the risk analysis performed in general companies is not sufficiently trusted by the decision makers about the course and the result. The reasons why this important risk analysis and management are evaded or ignored in an organization is that first, it is is diffucult to grasp threatening factors if they are driven from the new technology, and second, managers of the IT are lack of recognition and professional knowledge about risk management, and third, there exist misunderstanding and prejudice about the risk analysis due to wrong experiences of the past, and at last, the risk analysis takes long costs a lot. This study accordingly tries to raise the security level of the companies by providing the secure system requirements which the companies can apply to their risk analysis. The exiting researches and related studies were analyzed, the problems were drawn, and the importance and correlation. Secure system requirements draw from the opinions of the professionals is very similar th the risk analysis course. It is the important that the asset list is made and the threat factors are checked such as virus, forgery, environment factors, software errors and etc. The technological aspect in the security field was considered most important in the past but the managemental aspect is regarded important these days. The study needs to be supplemented by inspecting more details such as the probability of accident occurrence and severity of security accidents. It is also required to develop to provide numerical value of the security level by deducting the desirable weight level to quantify the level of information security

유비쿼터스 환경에서 국방정보보호 발전방안

김영화 목원대학교 산업정보대학원 2008 국내석사

Development strategies of military information protection in order to cope with the cyber war and terror are very essential in new military environment. Therefore, we have to consider new paradigm war patterns based on new developed IT(Information Technology). The threats are very critical to new environment including wire and wireless equipment. Nowadays, many researcher concentrate on new technology to solve the threats due to changed war patterns in ubiquitous environment. We have to make new plan for improving overall military information protection at the level of the Ministry of National Defense/Joint Chiefs of Staff with regard to "improvement in the information protection policy/institution", "the strengthening of information protection and organizations/human resources for conducting the cyber-war", "the construction of the information protection system", and "the securing of core technology". To provide policy and establishment of institution, we should establish multi-level and multi-stratum information protection promotion strategies. Also, we have to construct the technological structure in order to implement the strategies, establish high technology protection policies and countermeasures against cyber war. In terms of organizations and human resources, we should strengthen organizations with powerful responsibility for information protection and increase professional staffs and educate them by considering quality and quantity. With regard to the construction of the national information protection system, we should follow many rules according to military information protection technology structure. The order to secure mutual management between network timing systems, and expand the application of electronic data drain prevention systems, we need to strengthen the cyber war simulation training system and education for training actively to cope with treats to the systems. Development strategy of national defense information security in ubiquitous environment is presented in this dissertation. Specially, in air force, requirements to construct and management to protect the information system against cyber war are focus on the headquarter control to concentrate their command. This leads to requirement of information security technology in order to protect outside intrusion and threats. 본 논문에서는 정보통신기술 발전에 따라 변화된 전쟁양상과 이로 인한 정보보호 위협의 변화, 그리고 이러한 위협에 효과적으로 대처하기 위한 정보보호 발전방안에 대한 고찰을 통하여 사이버전 대응능력 완비를 위한 국방정보보호 발전 방향을 도출하였다. 우선 전쟁양상 변화에 따른 위협의 변화를 파악하고 군의 전체적인 차원에서 취할 수 있는 국방부/합참 차원의 군 전반적인 국방 정보보호 발전 방향에 대하여 ‘정보보호 정책/제도 발전’, ‘정보보호 및 사이버전 수행 조직/인력 강화’, ‘정보보호체계 구축’, 그리고 ‘핵심기술 확보’ 측면에서 주요 내용을 도출하였다. 정책/제도 측면에서는 날로 고도화되는 사이버위협에 대응하기 위한 다수준?다계층 정보보호 추진전략을 정립 및 이를 수행하기 위한 기술구조 수립과 첨단 IT 기술 보호정책 수립, 그리고 사이버전 대응정책 및 수행절차 수립을 하여야 하며, 조직/인력 측면에서는 정보보호 전담조직을 강화하고 정보보호 전문 인력의 선발 확대 및 교육을 강화해야 한다. 정보보호체계 구축 측면에서는 각 체계의 네트워크화 구성시 각 체계간 상호운용성 보장을 위하여 국방정보체계 기술구조를 준수하고 또한 전자자료 유출 방지체계의 적용을 확대하며 체계에 대한 테스트 및 위협에 대한 능동적 대응을 위한 사이버전 모의 훈련체계 구축 및 교육훈련을 강화해야 하며, 마지막으로 이를 지원할 수 있도록 사이버전 수행을 위한 방호 빛 대응능력 및 정보보호 기반 기술의 핵심기술을 확보하여야 한다. 또한 공군 차원에서는 미래 사이버 전장공간에서 실제 정보보호체계를 구축하고 운영하는데 있어서 필요한 중앙 부서로서 착안사항 및 각 제대별로 작전 수행시 겪게 되는 한계를 극복하고 현 능력을 보완하기 위해 필요한 요구사항을 도출하였다.

情報保護 管理體系 標準을 適用한 情報戰略計劃 樹立方案

황건준 전북대학교 일반대학원 2012 국내박사

Even if there are some benefits and side-effects on making use of ICT(Information and Communication Technology), people tend to pursue its benefits in the modern society which is governed by information. As an alternative for the side-effects, our society tries to be getting strong of privacy protection act and its related regulations against emerging issues such as trade secret leakage, cyber crime, and privacy invasion. Nevertheless, differentiated security attacks continuously threat the companies and organizations. In this situation, it is strongly required to develop a comprehensive viewpoint and approach to actively protect security threats. Recently, the threat management budget for information security is getting the same or more than that of informationalization. Existing ISP/IPR(Information Strategic Planning/Information Planning for Re-engineering) processes deal with the information security in an architecture level. In addition, it is widely agreed to need for standardization to lessen the burden caused by de facto approaches. As a result, a systematic and strategic approach is required by combining information protection strategy planning with information strategic planning process in the total and macro level point of view. In this thesis, we propose a design of information protection strategic planning and ISP/IPR processes based on ISMS(Information Security Management System) standard, which is widely applied to various information standards and guidances. Firstly, a framework of ISP/IPR is defined in each of the activity phases such as process procedure, implementation procedure, input, analyzing method, and output. Then, as an security integrated model, we present a ISP/IPR type information protection methodology, named S-ISP/IPR(Security-ISP/IPR) framework. Secondly, a relation analyze matrix is suggested to apply ISO/IEC 27001 international standard related to each tasks on phase steps of the S-ISP/IPR framework, in order to map the detailed goals into the restricted items. To do this, a strategic planning actualization framework, such as analyzing procedure, analyzing method, and input/output, is established based on the detail goals for each task. Then, each phase of ISP/IPR and S-ISP/IPR is redefined at the activity and task level. Eventually, the processes and phases of ISP/IPR and S-ISP/IPR are integrated at activity and task level. This is named as C-ISF2ISP(Convergence ISF(Information Security Framework) to ISP), which is a converged method for ISP/IPR and S-ISP/IPR based on ISMS standardization. The proposed method is advantageous to develop a total information protection measure based on the international standard guidance. Also, it is very effective with simultaneously practicing informationalization strategic planning and information protection strategic planning in the ICT area. We are going to more elaborate the detailed processes on self-diagnosis or verifying system, such as improving accuracy of specific methodology and making detail of defining output. Keywords : Consulting Methodology, ISP/IPR, ISMS, S-ISP/IPR, C-ISF2ISP, ISO/IEC 27001

CC기반의 정보시스템 정보보호관리체계 인증ㆍ평가모델에 관한 연구

조영훈 한세대학교 신학대학원 2003 국내석사

A. Background of Study In the beginning 21st century, the hacking is being increased rapidly. But the government administration, public office, financial agency, company and people in domestic don't think about the importance of information security. So, we are required urgently devise the plan of information security in government major industrial facilities. At present our national organization is preventing the hacking applied National Security Control Guide Line made out NIS(National Intelligence Service). But this method leave something to be desired in the objective evaluation. B. Purpose of Study The primary purpose of this study is to develop the criteria for the Safety and Trust Certification Information System. The secondary purpose is to present evaluation methodology for the Safety and Trust Certification Information System in public office. C. Methodology To present evaluation model for the Safety and Trust Certification Information Security System, we preceding studied CC(Common Criteria) and BS7799(in England) throughout the survey of former report. We present Information Security System Framework based on practical experience of the i-Safe Mark Certification. Also we present evaluation model of the establishment Information Security Policy in various fields of industry. D. Major Research Findings Taking advantage of the evaluation model of the Information Security System throughout conformed preceding studies, we present the method of the Safety and Trust Certification Information Security System in government major industrial facilities using the Internet under accessible open circumstances. Above all we present evaluation model DISS(Defense Information Security System) required MLS(Multi-Level Security) based on Information Security System Framework. E. Conclusions We presented Information Security System & Policy based on international standard though there is something yet to learn. Especially we presented the direction for the new style management of unification, efficiency and standardization. Also as we studied the model of the Information Security System Framework, we presented the Information Security direction for the subject of the Information Security Policy, manage boundary, information property boundary classifying in new point of view.

기업의 포렌직을 위한 사용자 행위 로깅시스템의 설계

박찬홍 한서대학교 대학원 2009 국내석사

컴퓨터 네트워크의 급속한 보급과 빠른 발전으로 인해 수많은 지식들이 손쉽게 공유되고 있다. 개인의 영리적인 목적에 의해 산업의 핵심 기술과 신기술 유출 범죄가 늘어 기업의 자산이 유출되는 되는 중심에 정보기기가 존재하는 빈도가 높아지고 있다. 정보 기기내에 존재하는 자료가 범죄의 사실을 규명하는 증거 자료로 활용되는 사례가 늘어나고 있다. ‘사실 인정은 증거에 의하여 한다’ 라는 증거 재판주의 규정으로 적법한 증거조사를 거친 증거만이 증거 사실을 인정 된다. 증거의 정확성, 신뢰성을 확보하여 증거를 수집하고 하여야 한다. 기업에서 사용하는 수많은 정보기기와 직원 중에서 정보를 유출 시킨 당사자를 찾기 위해서는 많은 시간이 필요하게 된다. 정보에 접근하는 사용자의 행위를 기록하고 분석을 통해 정보 유출의 사고를 미연에 방지하고 사고 발생 시 사후 조치를 빠른 시간에 분석을 할 수 있게 된다. 사용자 행위 로깅시스템에 기록되어진 로그를 통해 사용자의 불법적인 행위를 재현함으로써 수사관이 놓칠 수 있는 부분의 증거까지 명확하게 조사할 수 있으며 정확하고 신뢰할 수 있는 증거를 수집할 수 있다. Due to widespread diffusion and rapid development of computer networks, knowledge sharing has become easier than ever. However, on the other side, there is also an increased occurrence of cybercrime which corporations leak its critical information within information systems. Thus evidences which exists within information system devices are becoming highly important sources in investigating crimes. Due to the statement 'Recognition of fact only relies on evidence', only the legally collected evidences can be admitted as legal evidence. When collecting evidences, it is important to ensure its accuracy and reliability. However it takes a lot of time and efforts to discover the offender from numerous information system devices and employers. Logging activities of users who access information helps to avoid information leakage incident, and also allows quick response to incidents that are already have occurred. By analyzing the logs created by user activity logging system, investigators are able to replay users' unauthorized activities, and thus are able to investigate incidents in depth and collect more accurate and trustful evidences. A thesis submitted to Committee of the Graduate School of Hanseo University in partial fulfillment of the requirements for the degree of Master in February, 2009

빌딩관리의 안전성 제고를 위한 물리적 보안에 관한 연구

오장환 한세대학교 대학원 2008 국내박사

According to the recent scientific technology and the times requirement, a building meaning appeared the new ones such as Intelligent building or Smart building. The building management needed to be connected with Information Technology and became vulnerable intelligence protection by integrated technology and attack by the terrorism. The vulnerability of the information safeguard is increasing in proportion as the development of the information technology. Especially the attack against the information system became more intelligent and advanced trends than ever before. Most of the information protection programs does not include the physical forms but physical protection for the information system infra. The organization has the vulnerability for the sustainable and important information by not protecting the information of the physical forms in the expanded information system protection program. Another consideration in the building management is about the counterplan against the terrorism that has being increased. There are big and small confrontations among nations or organizations that have different interests in politics and religion. Our country is one of the above mentioned ones. As the conception of the dangerousness against the terrorism is growing, the study on the terrorism and the counter-terrorism prevention law enactment are researched. But most of them are for the national scale. So the necessity of the study to improve the safety of the building in the private security sphere that is to cope with the information system attack and the threat of the terrorism is gathering strength. But the established study did not research the physical security. And the recent study on the physical safeguard focuses mostly on the information protection against terrorism. The result of the study produced only the deduction of the survey items about the physical security of the building. The research failed to study how to put the priority in constructing the practical physical security. It needs the study that can provide the effective building safety in the restricted resources. The purpose of this thesis is to weight on the items for the physical security that is to recognize what to practice first of all to increase the effectiveness in the restricted resources and to put the priority order on the physical security items through the weight. This paper is composed of the 8 categories and 53 questions about the physical security of the building. The research adopted the method that is to select the specialists of the physical protection or facility management to weight the each items and to collect the opinions from the selected group. It used the Analytic Hierarchy Process to put the weight on the items. The AHP means the method that is to put the weight on the survey items through the paired comparison. But this paper adopted the absolute comparison to survey and deducted the importance of the each items by analyzing the comparison because of the many survey items. And also practiced the paired comparison according to the priority. The AHP analysis used the expert Choice program. The analysis calculated the priority on the survey items according to the each category and figured out the priorities on the physical security of the building through the paired comparison based on the mean value of the importance of the categories obtained by the absolute comparison. 최근 과학기술의 발전과 시대적 요구에 따라 빌딩도 인텔리전트 빌딩(Intelligent building) 또는 스마트 빌딩(Smart Building) 등의 개념이 등장하면서 빌딩의 관리도 정보기술과 연계 또는 통합화에 의한 정보보호 취약성과 테러리즘에 의한 공격에 자유롭지 못하게 되었다. 현재 정보기술이 발전함에 따라 정보보호 취약성도 비례하여 증가하고 있다. 특히 최근에는 정보시스템에 대한 공격이 보다 지능화되고 고도화되고 있는 추세이다. 대부분의 정보보호 프로그램은 정보시스템 인프라에 대한 물리적 보호를 포함하고 있지만 물리적 형태를 다루고 있지는 않다. 따라서 가장 확장된 정보시스템 보호 프로그램에 있어서도 물리적 형태의 정보에 대한 보호가 적용되지 않으므로 해서 조직은 지속적이고 중요한 정보에 대한 취약성을 가지게 된다. 빌딩의 관리 차원에서 고려하여야 할 사항 중 다른 한 가지는 날로 증가하고 있는 테러리즘에 대한 대응방안에 관한 것이다. 오늘날 정치적으로나 종교적으로 서로 이해를 달리하는 국가 또는 특정 조직 간의 크고 작은 대립이 존재하며, 우리나라도 역시 테러에 대한 안전지역이라고 할 수 없는 실정이다. 테러리즘에 대한 위험성에 대한 인식이 높아지면서 국내에서도 테러리즘에 관련된 연구나 대테러방지법 제정 추진 등이 연구되고 있으나 대부분 국가차원의 대응체계 구축에 관한 내용들이다. 이와 같이 정보 시스템에 공격과 테러리즘에 의한 위협에 대응하는 민간경비 차원에서의 빌딩의 안전성 제고를 위한 연구의 필요성이 대두되고 있다. 그러나 기존 연구에서 물리적 보안에 대한 연구는 거의 이루어지지 않았으며, 물리적 보안에 대한 연구가 최근 연구에서도 정보보호나 대테러리즘에 대한 각각의 연구가 주를 이루고 있으며, 빌딩의 물리적 보안에 관한 측정항목의 도출에 그치는 수준에 머물러 있으며 실제적 물리적 보안에 대한 구축시에 어떤 것을 우선적으로 구축해야 하는지에 대한 연구는 이루어지지 않았다. 제한된 자원 내에서 보다 효율적인 빌딩의 안전성을 제공할 수 있는지에 대한 연구가 필요하다. 제한적 자원의 효율성을 높이기 위해서 무엇을 우선적으로 수행할 것인가를 알아보기 위해 빌딩의 물리적 보안에 대한 항목들에 대한 가중치를 부여하고 그 가중치를 통해 물리적 보안의 항목의 우선순위를 부여하고자 하는 것이 이 논문의 목적이다. 본 논문에서는 빌딩의 물리적 보안에 관련한 총 8개의 범주에 53개의 질문을 작성하였다. 각 항목에 대한 가중치를 부여하기 위한 물리적 보안 또는 시설관리에 대한 전문가를 선정하고 선정된 전문가 집단으로부터 의견을 수렴하는 방법을 채택하였다. 물리적 보안의 측정항목에 대한 가중치를 부여하기 위해 다기준의사결정론인 AHP(Analytic Hierarchy Process)을 사용하였다. AHP는 쌍대비교를 통해 측정항목에 대한 가중치를 부여하는 방법이나 본 논문에서는 측정항목이 많은 관계로 쌍대비교를 수행하기 적합하지 않아 절대비교를 설문을 통해 수행하고 절대비교에 대한 분석을 통해 각 항목의 중요도를 도출하고, 그 중요도에 따라 쌍대비교를 수행하였다. AHP의 분석은 expert Choice 프로그램을 통해 수행하였다. 분석은 각 범주별로 측정항목에 대한 가중치를 계산하고, 절대비교를 통해 얻은 중요도의 범주별 평균값을 기초로 쌍대비교를 통해 최종 빌딩의 물리적 보안에 대한 가중치를 계산하였다.

이미지 파일의 개인정보 탐지 방안

김원규 전북대학교 일반대학원 2018 국내석사

By making use of OCR technique, various methodologies ware suggested to extract text from an image file. Recently, many works are concentrated on how to effectively detect personal information from an image file. That is considered as a hot issue which brings about many problems. This thesis proposes a novel method to detect the personal information contained in an image file. The proposed method firstly applies the image binarization technic as a pre-processing step to enhance the text recognition rate, by separating the background and the text into black and white. Then, by using Tesseract OCR, personal information is identified through a pattern match with considering characteristics of each personal information. Finally, as a post-processing, the identified personal information is corrected and compensated with the string search. With these processes, the personal information included in the image is passed to users in forms of the proper template, so that the user can make use of it appropriately. Experimental results show that the proposed method can identify personal information with a high degree of accuracy. However, a set of further works are required to compensate the detection accuracy which is different on the contrast, brightness, slope, font, etc.

대규모 사이버 공격에 대한 침해사고대응시스템 자동화모델 설계

최운호 한세대학교 2005 국내박사