유비쿼터스 환경에서 국방정보보호 발전방안

김영화 목원대학교 산업정보대학원 2008 국내석사

Development strategies of military information protection in order to cope with the cyber war and terror are very essential in new military environment. Therefore, we have to consider new paradigm war patterns based on new developed IT(Information Technology). The threats are very critical to new environment including wire and wireless equipment. Nowadays, many researcher concentrate on new technology to solve the threats due to changed war patterns in ubiquitous environment. We have to make new plan for improving overall military information protection at the level of the Ministry of National Defense/Joint Chiefs of Staff with regard to "improvement in the information protection policy/institution", "the strengthening of information protection and organizations/human resources for conducting the cyber-war", "the construction of the information protection system", and "the securing of core technology". To provide policy and establishment of institution, we should establish multi-level and multi-stratum information protection promotion strategies. Also, we have to construct the technological structure in order to implement the strategies, establish high technology protection policies and countermeasures against cyber war. In terms of organizations and human resources, we should strengthen organizations with powerful responsibility for information protection and increase professional staffs and educate them by considering quality and quantity. With regard to the construction of the national information protection system, we should follow many rules according to military information protection technology structure. The order to secure mutual management between network timing systems, and expand the application of electronic data drain prevention systems, we need to strengthen the cyber war simulation training system and education for training actively to cope with treats to the systems. Development strategy of national defense information security in ubiquitous environment is presented in this dissertation. Specially, in air force, requirements to construct and management to protect the information system against cyber war are focus on the headquarter control to concentrate their command. This leads to requirement of information security technology in order to protect outside intrusion and threats. 본 논문에서는 정보통신기술 발전에 따라 변화된 전쟁양상과 이로 인한 정보보호 위협의 변화, 그리고 이러한 위협에 효과적으로 대처하기 위한 정보보호 발전방안에 대한 고찰을 통하여 사이버전 대응능력 완비를 위한 국방정보보호 발전 방향을 도출하였다. 우선 전쟁양상 변화에 따른 위협의 변화를 파악하고 군의 전체적인 차원에서 취할 수 있는 국방부/합참 차원의 군 전반적인 국방 정보보호 발전 방향에 대하여 ‘정보보호 정책/제도 발전’, ‘정보보호 및 사이버전 수행 조직/인력 강화’, ‘정보보호체계 구축’, 그리고 ‘핵심기술 확보’ 측면에서 주요 내용을 도출하였다. 정책/제도 측면에서는 날로 고도화되는 사이버위협에 대응하기 위한 다수준?다계층 정보보호 추진전략을 정립 및 이를 수행하기 위한 기술구조 수립과 첨단 IT 기술 보호정책 수립, 그리고 사이버전 대응정책 및 수행절차 수립을 하여야 하며, 조직/인력 측면에서는 정보보호 전담조직을 강화하고 정보보호 전문 인력의 선발 확대 및 교육을 강화해야 한다. 정보보호체계 구축 측면에서는 각 체계의 네트워크화 구성시 각 체계간 상호운용성 보장을 위하여 국방정보체계 기술구조를 준수하고 또한 전자자료 유출 방지체계의 적용을 확대하며 체계에 대한 테스트 및 위협에 대한 능동적 대응을 위한 사이버전 모의 훈련체계 구축 및 교육훈련을 강화해야 하며, 마지막으로 이를 지원할 수 있도록 사이버전 수행을 위한 방호 빛 대응능력 및 정보보호 기반 기술의 핵심기술을 확보하여야 한다. 또한 공군 차원에서는 미래 사이버 전장공간에서 실제 정보보호체계를 구축하고 운영하는데 있어서 필요한 중앙 부서로서 착안사항 및 각 제대별로 작전 수행시 겪게 되는 한계를 극복하고 현 능력을 보완하기 위해 필요한 요구사항을 도출하였다.

휴머니즘 중심 개인정보보호 고찰

김광열 수원대학교 2014 국내석사

As the information system develops, the value of personal information is increasingly important with produces a lot of profits and provides many services. However, that release cause financial damages and emotional distress without discussing with the information owner such as excessive gathering private information and illicit use. Information owner doesn’t know how personal information is offered to the third party and how it is used. People receive advertisement calls they don’t want and their Resident Registration Numbers are used without notice. There are some rules to control these side effects, but general publics can not use to those effectively. Some actions are taken in this situation. Someone takes legal actions against the information leakage. Someone use low-functioning cellphones. Some people try to go back to so called ‘slow city’. Intending to realize the information system development and personal information protection centered in humanism. I studied to find the institutional problems in the present protecting private information system and tried to find solutions. As a result, it is found that there are many side effects in the information system development, and there are many institutional problems to be reconsidered and fixed regardless of the information system development. And we can find some good role models in which to have interest. Above all things, I suggested that all the parties associated with this problems, government and corporations and normal people, change their recognitions. I expect my study helps us lead to the society where the information system development contributes to humanism.

인터넷서비스 이용자의 사후(死後) 정보관리체계 및 정보보호 개선에 관한 연구

이민상 동국대학교 2012 국내석사

IT has developed rapidly and The number of Internet users continues to grow too. But, If a Internet users die, none of his personal information does not manage. Government and the company's Deceased's privacy legal and institutional response is still insufficient . I studied guidelines for management and security of deceased's privacy.

侵害事故 事例를 痛恨 企業의 情報保護 政策 方向에 관한 硏究

윤진환 성균관대학교 정보통신대학원 2008 국내석사

초고속 인터넷의 발달과 정보화의 확산으로 인해 개인은 물론 여러 기업에서 인터넷과 정보기술에 대한 활용도 및 의존도가 급속도로 높아지고 있다. 그러나 이러한 정보화의 발달에 따른 해킹이나 컴퓨터 바이러스 등 IT위협요소에 의한 부작용도 증가되어 사회전반에 막대한 경제적 손실을 낳고 있는 실정이다. 침해사고 사례를 수집, 추이를 분석한 결과 최근 들어 웜, 바이러스, 해킹 침해사고는 감소하는 추세이나, 금전적 목적으로 특정 대상을 타겟으로 해킹을 시도하는 사고가 빈번히 발생하기 때문에 피해규모는 지속적으로 증가하고 있으며, 기업의 정보보호 관리의 소홀로 인해 해킹을 통한 개인정보 유출과 허가 없이 제3자에게 제공 되는 등 개인정보침해 피해가 증가 하고 있는 추세에 있다. 이러한 온라인 ID 유출/오남용은 기업의 컴플라이언스 측면에서 중요한 이슈로 부각되어, 개인정보침해가 개인, 기업뿐만 아니라 정부위험으로 확산되어 전사회적 위험이라는 인식이 등장하기 시작하였다. 또한 최근 국제 경쟁력이 높은 IT분야에서 산업기술의 해외 유출이 빈번히 발생하고 있으며, 신원정보(ID), 금융정보 등을 불법으로 취득하여 금전적 이득을 취하는 범죄가 증가하고 있다. 따라서, 본 연구에서는 최근에(2005년~2007년)발생하고 있는 침해사고 사례들을 수집하여 침해사고 추이를 분석하고, 현재 발의 되어 있는 정보보호정책의 문제점을 분석하고자 한다. 그리고 이를 통해 침해사고 대비 정보보호정책의 낙후를 알리고, 이에 따른 기업의 정보보호정책 효율적인 방향을 연구, 그 방안을 제시하여 기업의 정보보호에 대한 수준을 보다 향상시키고자 하였다.

사이버 위협에서부터 중소기업과 개인을 보호하기 위한 효율적인 지원 체계 연구 : 정부의 Real-time Blocking List를 활용한 지원 체계 연구

홍보성 동국대학교 2014 국내석사

오늘날 정보보호는 새로운 공격과 취약점의 출현과 이를 방어하기 위한 노력이 반복되고 끊임없이 진화하고 있으며, 그 주기는 점점 짧아지는 추세이다. 이에 따라 정부 및 공공기관, 주요 기업들은 정보보호를 위한 법제와 선도 기관의 목표에 따라 투자와 개선을 지속적으로 하고, 민ㆍ공 협력으로 사이버테러 등 위협에 대응하기 위한 기반을 다지고 있다. 그러나 정보보호의 음영지대에 존재하는 소규모 중소기업과 일반 개인들은 스스로가 좀비나 악성코드의 유포지로 활용 되고 국가 내부의 위협이 되고 있으나 이를 효율적으로 대응하기 위한 연구가 제대로 이뤄지지 않는 것이 현실이다. 이러한 정보보호 취약계층을 지원하기위한 정부의 보호체계의 문제점을 사례를 통해 연구한 결과, 현재의 정부 지원 체계는 오히려 혼란을 야기 시키고 있었으며 차단리스트의 전파 체계를 개선해야 함을 알 수 있었다. 본 논문의 연구는 차단리스트를 사용하기 위한 환경과 체계를 연구하고 중소기업의 취약계층에 가상 적용을 한 후 기업의 정보보호 수준의 변화를 평가하는 연구롤 진행하였다. 진행결과, 테스트한 중소기업의 전반적인 정보보호 수준이 올라가는 것을 확인할 수 있었다. 본 연구가 사이버 위협으로부터 중소기업 및 개인을 체계적이고 능동적인 보호를 할 수 있는 체계에 새로운 대안을 제시하기를 기대한다.

개인정보유출의 법적 대응방안에 관한 연구 : 영업비밀로 간주해야하는 개인정보를 중심으로

유지언 東國大學校 2007 국내석사

In the information society, the activity of every economic subject is being maintained and operated by personal information and most enterprises use personal information in order to create benefit by marketing and so on. However, as information industry is getting developed, the stage of network arrives and electron a commercial transaction is active, once personal information is exposed to the public, the right to manage and control one’s information, the privacy, could be also attacked. Therefore, I would like to present new recognition of paradigm for personal information that the personal information managed simply as client’s list in public and civil sector so far should be regarded as the business top sector.

정보보호 인식제고 현황조사 및 시스템 구축방안 연구

호순근 동국대학교 2004 국내석사

Given the fact that 80% of all security accidents are caused by internal staff, it can be argued that the information security management of human resources is the most important security management item. However, many companies and security managers concentrate solely on the technical aspects of security management, overlooking the importance of managing human resources. The goals of security policies would be unattainable, even with the most complete and effective IT security policies, if the system operators and users lack an awareness of security. Thus, security managers must coordinate security awareness programs regarding human resources and continuously stress the importance of security in order to successfully improve the security awareness of the organization. In addition, numerous security training programs, performance evaluation programs, and object reward programs must be developed in order to successfully motivate the organization. This paper will explore through interviews and surveys the current information security awareness programs of financial institutions and future information security program plans. In addition, an internal approval document and development plan for the construction of an information security awareness system is included.

핀테크 서비스의 개인정보보호 자가평가항목 개발에 관한 연구 : 간편결제 서비스 중심으로

강민수 고려대학교 정보보호대학원 2016 국내석사

핀테크 서비스 산업은 현재 전 세계적으로 ICT기술을 기반으로 모바일 등 다양한 채널을 통해 금융 및 결제서비스의 혁신을 이끌며 빠르게 성장하고 있다. 국내에서도 간편결제 서비스를 중심으로 다양한 핀테크 서비스 산업이 형성되고 있다. 이러한 핀테크 서비스는 여러 가지 보안 위협들이 존재하며, 그 중 개인정보 및 금융정보를 수집ㆍ이용함에 따라 이에 대한 정보 유출이나 프라이버시 침해 사고 가능성도 증가할 것이다. 이에 본 논문에서는 핀테크 서비스 중 간편결제 서비스를 대상으로 자신의 개인정보보호에 대한 합리적인 선택을 하는 이용자들(Privacy Pragmatists)에 대해 해당 서비스를 이용 및 선택 시 개인정보보호에 대한 자가평가를 할 수 있도록 평가항목을 도출하며, 이를 통해 향후 핀테크 서비스의 개인정보보호를 위한 보안 정책을 제언하고자 한다.

BRE를 이용한 실시간 개인정보보호 위험분석방안

최규훈 동국대학교 2010 국내석사

This dissertation presented the analytical method that uses Business Rule Engine to generally analyze the result of security solution so as to analyze the leakage of personal information. BRE(Business Rule Engine) is applied that calculates and provides the integrated connection program and automatic leakage risk index for important control point data of many security solution that is operated to prevent the leakage of personal information, able to immediately apply the policy or environmental factor of diversified organization to analytic standard and to find new type of leakage. Then, it becomes to opportunely respond against the intimidation of leakage by automatically calculating the seriousness index that is analyzed in integration of the personal information protection solution. Since the calculation portion can be changed by immediately applying the risk influence of changed environment to analysis standard, the capacity of group for security activity could be enhanced.

개인정보보호를 위한 프라이버시 영향평가(PIA) 모델

송세현 경기대학교 대학원 2004 국내석사

이 글은 정보화 사회에 있어서 근래에 가장 이슈화되고 있는 개인정보보호에 대한 글이다. 특히 정보시스템 안에서 프라이버시 정보의 보호방안을 연구하는 글이라 할 수 있다. 프라이버시 보호방안으로 캐나다의 프라이버시 영향평가(PIA) 모델을 도입하여 위험분석 방법론을 추가하여 재설계하였다. 기존의 PIA모델은 개인정보의 식별과 준거성 여부를 확인하고, 프라이버시 분석을 통해 단지 해당 프로젝트의 권고 Report를 산출한다. 이는 현황파악의 수준에서 진행하는 소극적인 분석이라는 점에서 착안하여 프라이버시 분석에 좀더 신뢰성 있는 데이터 산정방법을 찾기로 하였다. 그래서 위힘분석 방법론을 데이터 흐름 분석 과정에 추가하여 전체적인 PIA process에 신뢰도와 정확성을 더해 주는 모델로 재설계하였다. 모델의 첫 번째 단계로, Conceptual Analysis가 있다. 이는 PIA가 필요한지에 대한 Pre-PIA를 실시하고, 개인정보자산에 대한 식별 단계이다. 두 번째 단계는, Data Flow Analysis이다. 비즈니스 업무 활동을 통해 발생하는 포괄적인 프라이버시 데이터에 대한 분석과 문서화 작업을 하는 단계이다. 식별된 정보자산의 흐름을 파악하여 문서화하거나 비즈니스 프로세스 다이어그램을 그리고, 프라이버시 분석을 한다. 바로 이 영역 속에 위험분석방법론을 추가하여 데이터에 신뢰성을 기했다. 이 방법론은 ISO17799의 위험분석 방법론을 사용하였다. 마지막 단계는, Follow-up Analysis를 통해 분석 평가된 Report자료를 근간으로 대응조치를 실제 시스템에 적용하여 review하는 단계이다. 급변하는 정보화 사회의 흐름 속에서 기술의 발전과 아울러 부정적으로 나타나는 현상이 바로 개인정보 침해문제이다. 특히, 지난해 NEIS의 개인정보침해 문제로 사회적으로 이슈화가 되었었다. 물론 비단 NEIS의 경우만은 아니다. 아이러브스쿨에서도 고객정보가 해킹을 당해 개인정보가 유출이 되었던 사건도 있었다. 국내에서는 전자정부시대가 도래하면서 많은 행정업무가 종이문서에서 전자문서화 되어 서비스 이용이 용이해지고 있다. 이는 행정업무의 효율성을 높이는 동시에 국민에게 서비스의 질적인 향상을 제공하기 위한 것이다. 그러나 이런 긍정적인 현상 이면에 정보의 집적화를 통한 국민 또는 고객정보보호는 기술발전에서 한발 물러서 있는 부정적인 현상도 나타나게 되었다. 바로 이런 문제 때문에 국책사업의 하나인 NEIS 추진 시 사회적으로 많은 논쟁이 발생하게 된 것이다. 현재는 기관과 기업모두 개인의 민감한 정보(이름, 주민등록번호, 주소, 전화번호 등 개인을 식별할 수 있는 정보)들을 무분별하게 수집하고 있다. NEIS의 개인정보 침해 문제화 사례나 신용카드사가 보험사에 고객정보를 팔아 넘기는 사례 등을 통해 알 수 있듯이 개인정보 침해사례가 간과할 수 없는 심각한 문제임을 인식할 수 있다. 그러므로 이런 위험성을 감소시키고 서비스 도입 시 국민의 신뢰감을 안겨줄 수 있는 적절한 대책이 필요한 때이다. 이를 위해 공공기관이나 기업에서 정보시스템을 구축하거나 변경할 때 PIA평가를 실시하여 프라이버시를 보호해 줄 필요가 있다. 그래서 정보의 특성 중 기밀성에 의존도가 높은 개인정보의 침해위험을 보호해야 한다. 특히 공공기관에서 실시하는 PIA는 기업에서처럼 일부 고객들을 대상으로 하지 않고 전 국민을 대상으로 하는 정보시스템의 개인정보에 대한 평가이다. NEIS의 경우처럼 여론의 질타와 국민의 불신을 타파하기 위해서는 정보의 주체인 국민의 신뢰성을 얻는 것이 중요할 것이고, 이를 위해 적절한 대응방안으로 PIA 모델이 그 역할을 지원해 줄 것이라 여겨진다. 이 논문의 PIA모델에 대해 실제 적용사례가 없기 때문에 실적용과 검토가 꾸준히 진행되어 수정 보완해야 할 것이다. 또한 국내 실정에 맞는 Checklist의 발전도 향후 연구해야 할 분야 중의 하나이다. This is the thesis about the Privacy Protection which is the latest issue in our Information Society. Especially, this thesis is focused on the methodology of Protecting Privacy Information in the Information System. As the way of protecting Privacy, I redesigned Canadian Privacy Impact Assessment (PIA) Model by adding on Risk Analysis Methodology. The existing PIA Model identifies personal information and whether it follows the related law, and makes report through the Privacy Analysis as a project recommendation. As an observation of this kind of analysis, I made a decision to find more reliable data assessing method about the Privacy analysis. Therefore, I redesigned the model by adding on the risk analysis methodology to the data flow analysis so as to give the reliability and exactness to the overall PIA process. As a first step for this model, there is a Conceptual Analysis. This step is a pre-PIA whether there is a need to do PIA, and Identification of Private Information. The second step is a Data Flow Analysis. This step is to do an analysis and documentation about the comprehensive Privacy data which is generated through business activity This step includes the documentation about flow of the identified information asset or describing business process diagram, and executing privacy analysis. In this area, I gave reliability by adding on the risk analysis methodology. This methodology used ISO17799 risk analysis methodology. The final is a review step which countermeasure on the basis of analyzed and assessed report through Follow-up Analysis applied to the real system. In this rapidly changing information society, the negative situation for the technology development is the violation of privacy. Especially, the violation of privacy problem on the NEIS issued last year. Of course, NEIS is not the only case. There is another case of leaking personal information by hacking in the web site of ILOVESCHOOL Inc,. In Korea, as the arrival of electronic government, paper work substituted by electronic document so as to make easier people using service. This is enhancing the effectiveness of administration as well as giving high quality service to the people. However, on the other side of this affirmative circumstance, the protection of people or customer information through the collecting of information has been neglected. Because of this problem, one of the national policies, NEIS makes a lot of social disputes. At present, all the authorities and enterprises are collecting sensitive private information (name, social ID, address, phone number etc.) recklessly. As we can see through the violation of private information problem on the NEIS or the case that credit card company sold their customer information to the insurance company, the violation of privacy is quite serious problem. In this sense, we need a proper countermeasure to reduce this kind of risk and give the reliability to the people when introducing the service. For this, Privacy shall be protected as the method of PIA when public authority or enterprise constructs or change the information system. Therefore, the private information which more depends on the confidentiality among the characteristics of information shall be protected Especially, PIA executed in a public authority is the assessment not about a partial customer in a private company but about the private information of the entire people of our nation. As like the case of NEIS, to reduce scolding and distrust of people, the important thing is to get trust of people who are the subject of information. As the proper countermeasure of this, PIA shall play an important role. This thesis shall be applied to the real situation and modified consistently because there is no real case of application. And the development of checklist which is suitable to the domestic situation shall be one of the research areas.