조직의 정보시스템 보안위험관리 인식 및 관리의지에 영향을 미치는 요인에 관한 연구

송영미,김상현 한국산업경영학회 2012 한국산업경영학회 발표논문집 Vol.2012 No.-

기술발달에 따라 기업들의 정보시스템에 대한 의존도가 높아지고 있는 만큼 보안위험에 노출될 확률도 더 높아져 있으므로 보안위험관리에 대한 개발과 강화가 어느 때보다 요구되고 있다. 따라서 본 연구를 통해 조직의 보안위험관리 인식과 개발의지에 어떤 결정적 영향 요인들이 작용하는 지에 대한 이해를 높이고 조직의 보안위험관리 실행을 장려하고자 한다. 또한 기업의 보안관리 관련 실무자들이 보안위험관리에 대한 의사결정을 하는데 중요한 학문적 바탕이 되고자 한다. 이러한 목적을 달성하기 위해 본 연구에서 제시하는 주요 연구 질의는 "조직의 보안위험관리 실행을 이끄는 조직의 내외부적 인지요인들이 보안위험관리 인식과 개발의지에 어떤 영향을 미치는가?"이다. 이러한 연구 질의에 대한 실증적 증명을 위해서 보안관리 인지요인의 6가지 변수로 조직원의 보안관리행동, 보안의무준수, 지각된 이득, 지각된 희생, 사회적 압력, 보안위험경험을 제안하여 이 변수들이 보안위험관리 인식과 개발의지에 나아가 보안위험관리 실행에 어떤 영향을 주는지에 대해 검증하였다.

산업보안 관리체계를 위한 보안통제 프레임워크 구성에 대한 연구

채정우(Chae Jeong Woo),정진홍(Jeong Jin Hong) 한국공안행정학회 2013 한국공안행정학회보 Vol.22 No.1

The purpose of this study presents a 'Industrial security management system control framework' for the organization that are held to industrial secrets, and support the industrial security activities. The following methods are used for research. First, international information security certification standard ISO/IEC 27001 and national certification system KISA (Korea Internet Security Agency) ISMS (Information Security Management System), PIMS (Personal Information Management System) security control frameworks were compared with their controls each other. Additional analysis of existing research relating to industrial security management is implemented, and 'Industrial security management system control framework' was derived which is consists of multiple security domains. Derived after, two rounds of Delphi surveys is conducted by industrial security professionals' to verify its' validity. Completed 'Industrial security management system control framework' is composed of a total of 11 control domains and 54 control items. In the view point of national security, relating business processes for compliance were heavily covered, and specializes in critical industrial technology and the protection of trade secrets that have economic values. In that sense, it was differentiated with existing ISMS's security control framework. Research result could be used as practical guidelines to planning and implementing industrial security policy for organization holds industrial secrets. In addition, the proposed control framework could be extends its' practical usability by operated within the cyclic industrial security management process (industrial security policy building → policy operation → review and improvement) as an integrated industrial security management model. 본 연구는 산업기밀을 보유한 조직의 산업보안 활동을 지원하기 위한 '산업보안관리체계 통제 프레임워크'를 제시할 목적으로 수행되었다. 연구방법으로는 우선, 정보보안 국제인증 표준인 ISO/IEC 27001과 국내 인증체계인 KISA(한국인터넷진흥원)의 ISMS(정보보호관리체계), PIMS(개인정보보호관리체계)의 보안통제 프레임워크를 구성하는 통제사항들을 비교 · 고찰하였다. 그리고 산업보안관리와 관련한 기존 연구들을 분석하여 보안영역별 통제사항들로 구성되는 '산업보안관리체계 통제 프레임워크'를 도출하였다. 이후 산업보안 관련 전문가들을 대상으로 2차에 걸친 델파이 조사를 실시하여 도출된 '산업보안관리체계 통제 프레임워크'의 타당성을 검증하였다. 완성된 '산업보안관리체계 통제 프레임워크'는 총11개의 통제영역과 54개의 통제항목들로 구성되었다. 국가안보의 관점에서 관련 비즈니스 절차에 대한 컴플라이언스(Compliance)가 비중 있게 다루어졌고, 경제적 가치가 있는 핵심 산업기술과 영업비밀의 보호에 특화되었다는 점에서 기존의 정보보호관리체계들과 차별화 되었다. 연구결과는 산업기밀을 보유, 활용하고 있는 조직의 산업보안정책 수립과 집행에 실용적인 지침으로 활용될 수 있을 것이다. 또한 제안된 통제 프레임워크는 산업보안정책 구축 → 정책 운영 → 검토 및 개선에 이르는 산업보안관리체계의 순환적 관리과정에 포함하여 산업보안통합관리모델로 운용함으로써 실무적인 활용성이 더욱 확장되리라 본다.

PRISM: 보안 레이블을 이용한 위험예방 통합보안관리 모델

김동수,김태경,정태명,Kim, Dong-Soo,Kim, Tae-Kyung,Chung, Tai-Myoung 한국정보처리학회 2003 정보처리학회논문지 C : 정보통신,정보보안 Vol.10 No.6

다양한 조직을이 그들의 전산환경을 효과적으로 보호하기 위해 보안시스템을 설치하고 이들 보안 시스템들을 통합보안기술을 이용하여 관리를 하고 있는 추세이다. 그러나, 현재의 통합보안관리 모델은 수동적이며 사후 대응 방식이다. 공격성공 가능성을 낮추고 보안관리 비용과 자원을 하고 있는 추세이다. 그러나, 현재의 통합보안관리 모델은 수동적이며 사후 대응 방식이다. 공격성공 가능성을 낮추고 보안관리 바용과 자원의 절감을 위해서는 위험예방 차원의 보안관리가 필요하다. 본 논문에서는 정보 자산의 중요도와 자산이 위치한 호스트/네트워크의 보안성을 평가하여 사전에 자산에 대한 보호대책을 세우는 사전 준비 방식의 통합보안관리 모델인 PRISM을 제안한다. PRISM은 자산이 처리되는 호스트나 네트워크의 보안 수준을 평가한 결과에 따라서 각 보안 시스템들의 정책을 적절히 조정하고 각 자산들에게 요구되는 수준의 안전성을 확보하기 위한 보안관리 모델이다. 사전 예방 방식의 보안 관리를 실현하기 위하 PRISM은 현재와 같이 복잡한 네트워크 보안에 ㄷ한 효과적인 방법을 제시할 것이다. Many organizations operate security systems and manage them using the intergrated secutity management (ISM) dechnology to secyre their network environment effectively. But current ISM is passive and behaves post-event manner. To reduce cost and resource for managing security and to remove possbility of succeeding in attacks by intruder, the perventive security management technology is required. In this paper, we propose PRISM model that performs preventative security management with evaluating the security level of host or network and the sensitivity level of information asset from potential risks before security incidents occur. The PRISM can give concrete and effective security management in managing the current complex networks.

SNMPv3 통신망의 정책기반 보안관리를 위한 역할기반 보안관리 모델의 설계 및 분석

주광로,이형호,노봉남,Ju, Gwang-Ro,Lee, Hyeong-Ho,No, Bong-Nam 한국정보처리학회 2001 정보처리학회논문지 C : 정보통신,정보보안 Vol.8 No.5

정책기반 통신망관리 시스템은 다양한 사용자의 요구에 부응하고 대형화, 분산화되는 통신망의 효과적인 관리에 적합한 아키텍처이다. 이 시스템에서의 통신망 관리자는 각 통신망 구성요소에 대한 직접적인 동작설정 대신 미리 설정한 규칙에 따라 통신망 구성요소나 서비스의 동작을 결정하게 된다. 한편, 융통성있는 통신망 관리 프레임워크를 제시한 SNMPv3는 인증, 암호화, 접근통제 등의 보안서비스를 제공함으로써, 이전 SNMP 버전들이 제공하지 못했던 안전한 통신망 관리를 위한 기반기술을 제공하고 있다. 그러나, SNMPv3의 개선된 보안서비스에도 불구하고 통신망 관리자별로 인증과 암호화 과정에 이용되는 보안정보가 관리되고, 보안정보가 통신망 구성요소에 분산되어 있어 중앙집중방식의 체계적인 보안관리기능이 제공되지 않아 여러 관리자에 의해 운영되는 대규모 통신망을 효과적으로 관리하는데 부적합한 문제점을 가지고 있다. 본 논문에서는 중앙집중방식의 규모확장성과 통신망 보안관리기능을 제공하기 위해 보안관리정책을 지원하는 역할기반 보안관리 모델을 제시하고, 이를 추가한 SNMPv3의 확장된 보안시스템의 구조, 동작절차 및 보안관리 관점에서의 효율성 분석에 대해 기술한다. Policy-Based Network Management (PBNM) architecture is to meet various needs of network users and to provide effective management facilities in distributed and large scale networks to network managers. In PBNM, network managers perform network management operations by stipulating a set of rules rather than control each network component. On the other hand, providing security services such as authentication, privacy of messages as well as a new flexible and extensible administration framework, SNMPv3 enables network managers to monitor and control the operation of network components more secure way than ever before. Despite of its enhanced security services, SNMPv3 has difficulties in managing distributed, large-scaled network because it does not provide centralized security management facilities. In this paper, we propose a new security model called Role-based Security Management model (RSM) with security management policy to support scalable and centralized security management for SNMP-based networks. Also, the structure and the operation of the security system as well as the efficiency analysis of RSM in terms of security management are also described.

통합보안관리시스템을 위한 보안정책 일반화에 관한 연구

최현희,정태명,Choi, Hyun-H.,Chung, Tai-M. 한국정보처리학회 2002 정보처리학회논문지 C : 정보통신,정보보안 Vol.9 No.6

이기종 보안 제품들을 통합관리하기 위한 통합보안관리시스템은 보안관리를 위한 불필요한 보안정책의 중복을 피하고 보안 제품들을 효율적으로 상호운용하기 위해 제안된 보안관리 구조이다. 본 논문에서는 보안 제품들에 대한 다양한 보안정책 관리 구조들을 통합된 형태로 보안적으로 무결한 보안정책을 설정할 수 있는 보안정책 일반화 관리 구조를 제안한다. 보안정책 일반화의 목적은 네트워크 상에서 존재하는 모든 보안 시스템들에 대한 보안관리의 효율성, 편의성 보장과 보안성 향상에 있으며, 이질적인 보안 정책제어 구조를 수용할 수 있도록 하는 것이다. 보안정책 일반화 과정은 관리자의 보안목표와 보안요구사항 설정, 각 보안제품과 보안 에이전트들에 의해 수집된 정보들에 대한 분석을 통하여 보안상태를 확인하며, 위험요소에 대한 보안정책 적용 방법들을 보안목표와 보안요구사항, 보안정책목록 정보를 기준으로 적절성을 판별하는 일련의 과정으로 정의할 수 있다. 보안정책 설정과정의 일반화는 이기종 보안정책에 대한 통합관리가 가능하게 하며, 보안 정책간의 충돌 및 중복 설정과 같은 일관성 문제를 해결함으로써 보안정책의 무결성을 보장하고, 네트워크 상에서 존재하는 보안제품의 제어에 편의성을 제공한다. Enterprise security management system proposed to properly manage heterogeneous security products is the security management infrastructure designed to avoid needless duplications of management tasks and inter-operate those security products effectively. In this paper, we propose the model of generalized security policies. It is designed to help security management build invulnerable security policies that can unify various existing management infrastructures of security policies. Its goal is not only to improve security strength and increase the management efficiency and convenience but also to make it possible to include different security management infrastructures while building security policies. In the generalization process of security policies. we first diagnose the security status of monitored networks by analyzing security goals, requirements, and security-related information that security agents collect. Next, we decide the security mechanisms and objects for security policies, and then evaluate the properness of them on the basis of security goals, requirements and a policy list. With the generalization process, it is possible to integrate heterogeneous security policies and guarantee the integrity of them by avoiding conflicts or duplications among security policies. And further, it provides convenience to manage many security products existing in large networks.

청사보안 담당 법원보안관리대원의 보안성과에 관한 연구

채정석,최연준 한국경찰연구학회 2022 한국경찰연구 Vol.21 No.3

The purpose of this study is to provide data to enhance the security performance of court security management personnel in charge of government office building security. To this end, a survey was conducted, and statistical programs called SPSS 23.0 and AMOS 23.0 were used to analyze the collected survey data, and the statistical significance level was verified at 0.05. As a result of the study, transformational leadership had a positive (+) effect on organizational citizenship behavior, organizational citizenship behavior had a positive (+) effect on security performance, and transformational leadership had no positive (+) effect on security performance. In other words, transformative leadership had a positive (+) effect on security performance by mediating organizational citizenship behavior, so it was completely mediated. Based on the results of the analysis, this study suggested that an anti-drone system should be introduced to enhance security performance and that the regulations on the operation of the court security management office should be revised to exclude emergency planning officers from the duties of the court security management office. In addition, this study suggested that court managers at various levels should conduct management to enhance transformational leadership, select court security management personnel who takes the initiative and set an example, and provide appropriate compensation to them. 이 연구는 청사보안을 담당하는 법원보안관리대원의 보안성과를 고양하기 위한 자료를 제공하는 것에 목적을 둔다. 이를 위해 설문조사를 실시하였으며, 수집된 설문자료를 분석하기 위해 SPSS 23.0 통계프로그램과 AMOS 23.0 통계프로그램을 사용하였고, 통계적 유의수준은 0.05에서 검증하였다. 이 연구의 분석 결과 변혁적 리더십은 조직시민행동에 정(+)의 영향을 미쳤고, 조직시민행동은 보안성과에 정(+)의 영향을 미쳤으며, 변혁적 리더십은 보안성과에 정(+)의 영향을 미치지 않았다. 즉, 변혁적 리더십은 조직시민행동을 매개하여 보안성과에 정(+)의 영향을 미쳤으므로 완전매개하였다. 도출된 분석 결과를 바탕으로 이 연구에서는 보안성과 제고를 위해 안티드론(Anti-Drone) 시스템 도입, 비상계획 담당자가 법원보안관리대 업무에서 제외되도록 법원보안관리대 운영에 관한 예규를 개정해야 한다는 시사점을 제시하였다. 또한, 대법원 및 각급 법원의 관리자는 법원보안관리대 청사보안담당관 및 청사보안팀장의 변혁적 리더십을 높이기 위한 효율적인 관리를 실시해야 하며, 솔선수범하고 모범을 보이는 법원보안관리대원을 선발하여 적절한 보상을 실시하여야 한다는 시사점을 제시하였다.

조직몰입, 조직시민행동, 보안성과 간의 구조적 관계 분석: 법원보안관리대원을 중심으로

채정석,최연준 한국보안관리학회 2025 시큐리티연구 Vol.- No.82

이 연구는 법원보안관리대원의 보안성과를 고양하기 위한 정책적 시사점과 기초자료를 제안하는 것에 그 목적을 둔다. 이 연구를 시행하기 위한 자료수집을 위해 광주·대구·부산· 서울고등법원 관내에서 근무하고 있는 법원보안관리대원에게 설문지를 배부하였으며, 총 237부의 설문지를 회수하였다. 이 중 이상치와 결측치가 포함된 29부의 설문지를 제외한 208부의 설문지를 데이터 코딩 작업 후 통계분석 하였다. 이 연구의 가설검증 결과는 다음 과 같다. 첫째, 조직몰입은 조직시민행동에 정(+)의 영향을 미쳤다. 둘째, 조직시민행동은 보안성과에 정(+)의 영향을 미쳤다. 셋째, 조직몰입은 보안성과에 정(+)의 영향을 미치지 않았다. 넷째, 조직몰입은 조직시민행동을 경유해 보안성과에 정(+)의 영향을 미쳐 완전매 개 하였다. 즉, 보안성과를 높이기 위해서는 조직몰입과 조직시민행동을 높여야 할 필요가 있다. 따라서 조직몰입을 높이기 위해 각급 법원 및 대법원은 법원보안관리대원을 대상으 로 보안관련 규정 교육을 수시로 실시해야하며, 사무직렬의 업무가 법원보안관리대원에게 분담되지 않도록 조치를 취해야한다는 시사점을 제안하였다. 더불어 조직시민행동을 높이 기 위해 법원행정처는 금속물체와 비금속 물체 모두를 탐지할 수 있는 보안검색장비를 도 입하고 타 기관(경찰, 대통령 경호처 등)의 조직운영 체계 및 업무수행 절차 등을 벤치마킹 해야 한다는 시사점을 제안하였다. The goal of this study is to present basic standards and policy implications for the Security Performance enhancement of Court Security Officers. Questionnaires were distributed to collect data to achieve the purpose of this study in cooperation with court security officers working at the High Courts of Gwangju, Daegu, Seoul and Busan. 237 questionnaires were collected in total, amongst them, 208 were statistically analyzed after data coding operation. Excluding 29 of them due to missing values and outliers. The hypothesis test result of this study showed the following; First, the Organizational Commitment had a positive (+) effect on the Organizational Citizenship Behavior. Second, the Organizational Citizenship Behavior had a positive (+) effect on the Security Performance. Third, the Organizational Commitment didn’t have a positive (+) effect on the Security Performance. Fourth, the Organizational Commitment did full mediation by having a positive (+) effect on the Security Performance through the Organizational Citizenship Behavior. Therefore, to enhance the Organizational Commitment, each court and supreme court should provide security regulation training to Court Security Officer regularly. And measures should be taken to ensure that Office Functional Categories’ work is not divided with court security officers. Also to enhance the Organizational Citizenship Behavior, Ministry of Court Administration should introduce Security scanning machines that can detect both metal and non-metal objects, also should benchmark the organizational operation system, and work performance procedures of other organizations (Police, Presidential Security Service etc.) as well.

법원보안관리대원의 조직신뢰가 보안성과에 미치는 영향 : 조직시민행동의 매개역할

채정석,최연준 한국경호경비학회 2021 시큐리티연구 Vol.- No.69

본 연구는 보안성과를 종속변수, 조직신뢰를 독립변수, 조직시민행동을 매개변수 로 선정하여 각 변수 간의 인과관계를 규명함으로써 법원보안관리대원의 보안성과 를 고양하기 위한 방안을 마련하는데 목적이 있다. 이를 위해 2021년 7월 5일부터 7월 23일까지 부산·수원고등법원 관내 법원보안관리대원의 협조를 받아 설문조사를 실시하였다. 수거된 251부의 자료 가운데 결측치 및 이상치가 포함된 44부의 설문지 를 제외한 207부의 자료를 최종적으로 분석하였다. 수거된 자료는 SPSS 24.0과 AMOS 24.0 프로그램을 사용하여 빈도분석, 기술통계분석, 신뢰도분석, 탐색적 요인 분석, 상관관계분석, 구조방정식 분석을 실시하였고 분석결과는 다음과 같다. 첫째, 조직신뢰는 조직시민행동에 유의미한 정(+)의 영향을 미쳤다. 둘째, 조직시민행동은 보안성과에 유의미한 정(+)의 영향을 미쳤다. 셋째, 조직신뢰는 보안성과에 유의미 한 정(+)의 영향을 미쳤다. 넷째, 조직신뢰는 조직시민행동을 경유하여 보안성과에 유의미한 정(+)의 영향을 미쳐 부분매개 하였다. 이러한 결과는 법원보안관리대원의 보안성과를 고양하기 위해 무엇보다 조직신뢰와 조직시민행동을 높이는 것이 중요 하다는 것을 뜻한다. 따라서 조직신뢰와 조직시민행동을 제고하기 위해 법원행정처 는 별정직 법원보안관리대원 및 임기제 9호의 신분보장과 더불어 일반직 보안직류 및 보안관리직류의 일반승진 실시 등과 같은 처우를 개선하기 위한 노력을 기울여야 하며, 각급 법원의 관리자는 법원보안관리대원의 애로사항을 듣고 이를 해결할 수 있는 방안을 마련하여야 한다는 시사점을 제시하였다. The purpose of this study is to prepare a plan to enhance the security performance of court security officers by selecting security performance as a dependent variable, organizational trust as an independent variable, and organizational citizenship behavior as a parameter and identifying the causal relationship between each variable. To this end, a survey was conducted from July 5 to July 23, 2021, with the cooperation of court security officers in the jurisdiction of the Busan·Suwon High Court. Of the 251 copies of the collected data, 207 copies of the data were finally analyzed, excluding 44 copies of the questionnaire containing missing values and outliers. Frequency analysis, descriptive statistics analysis, reliability analysis, exploratory factor analysis, correlation analysis, and structural equation analysis were performed on data collected using SPSS 24.0 and AMOS 24.0 programs, and the analysis results are as follows. First, organizational trust had a meaningful positive (+) effect on organizational citizenship behavior. Second, organizational citizenship behavior had a meaningful positive (+) effect on security performance. Third, organizational trust had a meaningful positive (+) effect on security performance. Fourth, organizational trust had a meaningful positive (+) effect on security performance through organizational citizenship behavior and partially mediated it. These results imply that it is more important to increase organizational trust and organizational citizenship behavior than anything else to enhance the security performance of court security officers. Therefore, in order to enhance organizational trust and organizational citizenship behavior, the court administration office should make efforts to improve treatment such as the implementation of general promotion of general security directives and security management directives, along with guaranteeing the status of a specially appointed court security officers and electoral term No.9. The managers of courts at various levels must listen to the difficulties of court security officers and come up with measures to solve them.

자체확장인증과 하드웨어보안모듈을 이용한 하이브리드 키관리

이병천 보안공학연구지원센터 2014 보안공학연구논문지 Vol.11 No.4

개인이 복수의 컴퓨팅 기기들을 사용하게 되는 유비쿼터스 환경에서는 인증키를 발급받고, 이용하 고, 안전하게 관리하는 것이 매우 어려운 문제이다. 하나의 인증키를 여러 기기에서 복사하여 사용하 거나, 기기별로 별도의 인증키를 발급받아 사용하는 방법 모두 키관리에 많은 어려움을 내포하고 있 다. 한편 최근에는 안전한 키관리 도구로서 하드웨어보안토큰을 활용할 수 있는 환경이 확대되고 있 는데 이들을 적극 활용할 수 있는 키관리 방안이 필요하다. 이 논문에서는 개인이 소유한 하나의 인 증키를 기반으로 복수의 개인 소유 기기들에서 생성된 암호키에 대해 인증을 자체 확장하여 이용할 수 있도록 하는 통합적인 키관리 체계인 하이브리드 키관리 방식을 제안한다. 아울러 이러한 통합 키 관리 시스템의 특징과 효율성을 분석한다.

항공기반시설의 정보보호를 위한 보안관리체계 모델에 관한 연구

정창화(Chang Hwa Jung),이준택(Joon Taik Lee),정동근(Dong Keun Chung) 한국전자거래학회 2011 한국전자거래학회지 Vol.16 No.4

항공기반시설(공항, 기상 서비스, 항로 항행시설, 항공교육시설)에 대한 관리적, 물리적 그리고 인적측면과 기술지원 환경 및 인프라측면에서 발생하는 보안사고의 대응을 위한 보안관리체계는 수립단계에서부터 착수하여 분석이 진행됨에 따라 세부적인 평가가 수행되어야 하며, 시설변경이 발생하는 경우, 변경된 시설에 대한 재평가가 실시되어야 한다. 또한 항공기 운용과정에서 발생 가능한 각종 사고에 대한 사전 예방 및 정비를 위해서도 체계적인 보안성 평가가 필수적이다. 보안수준 평가에는 계획(Plan), 활동(Do), 그리고 평가(Check), 조치(Action)업무로 이어지는 생명주기(Life Cycle) 구조가 지속적으로 개선되는 순환적 프레임워크 구조를 가져야 하며, 과거의 사용 또는 경험에 따라 세분화된 보안성 평가 요구조건을 구분하여 적용하여야한다. 특히, 항공기반시설에 대한 보안성 입증과 안전한 운항을 보장하기 위해서는 실시간 지원체계와 국가적 차원의 관리가 필요한데, 이는 공공의 안전을 확보하기 위한 것으로서, 민간항공업체는 해당 법규, 표준서 및 지침 등에 따라 최소한의 보안성을 입증하여야 한다. 따라서 본 논문에서는 항공기반시설에 대한 보안사고 대응을 위한 보안관리체계를 위해 설정된 보안의 목표를 충족하고 있는지를 확인 평가하고, 분석 등을 고려하여 종합적인 보안성 평가기법을 적용할 수 있도록 하는 하늘차형 보안관리체계 프레임워크 기반 모델에 대해 제시하고자 한다. The importance of the security management system for the aviation infrastructure cannot be overemphasized. What is especially important on the security management system for it is the assessment that is detaild and systematic. This article presents a framework based on a Hanulcha-type security management system model for a Information security of the Aviation infrastructure. This system checks, estimates and analyzes the goal of security with effect, especially in case of the security-accident on the aviation infrastructure because this system model gives the integrated security assessment method.