유비쿼터스 및 스마트도시건설환경에서의 정보통신 사업관리 개선방안 : U-환경에서의 건축물 정보통신감리 관점

김진용 건국대학교 정보통신대학원 2017 국내석사

첨단화초고속광대역으로의 정보통신발전은 BCN의 통신과 방송의 융합으로 발전하고 도시와의 융합은 U-City 및 스마트시티 건설 환경으로 건축과의 융합은 스마트빌딩과 스마트 홈으로 구축발전하고 있지만, 이들 간의 연계 및 융합은 이루어지지 않고 각각 분리 발전되고 있어 체감도 및 효율성이 낮은 상태이다. 이는 정보통신공사의 설계, 시공, 감리가 특히 설계와 감리가 타 공정에 비해 정확하지 않아 안전과 품질확보가 부실한 실정이 원인의 하나이다. 따라서 이에 대한 대책으로 해당법과 제도 및 업체선정, 대가 및 배치기준과 종합적인 관리상태 등을 조사. 연구하여 문제점을 도출하고 이에 대한 대책으로 시설의 안전과 품질향상, 일자리창출 및 나아가 해외진출에 우위를 점하여 국제경쟁력 향상을 위한 방안으로 테스트시트 제시 및 관련법제정과 제도보완 등 도구제시와 관리방법 등을 강구하여 건축물정보통신의 설계감리와 건설기술관리 및 시공감리를 최대로 활용되도록 하여 부실한 실정의 개선대책을 제시하고자 한다. The development of information and communication to high-speed, high-speed broadband has evolved from the convergence of communication and broadcasting in BCN. U-City and smart city convergence with the city has evolved into a smart building and a smart home. And there is no fusion or fusion between them.This is one of the reasons that the design, construction and supervision of Information and Communication Corporation are inadequate in safety and quality assurance especially because design and supervision are not performed accurately compared to other processes.As a countermeasure to this, we investigate the applicable law, institution and company selection, price and placement standard and comprehensive management status. To provide a test sheet as a measure to improve international competitiveness by taking advantage of the safety and quality improvement of the facility, job creation and further advancement into the overseas market by studying and finding out problems, and suggesting and managing tools And to suggest the improvement measures of the poor reality by making maximum use of the design supervision, construction technology management and construction supervision of the building information and communication.

지방자치단체 주요정보통신기반시설 위험관리 개선방안

공우진 건국대학교 정보통신대학원 2017 국내석사

2017년 주요정보통신기반시설 지정 개수는 393개(공공 252, 민간 141)이며, 이중 약 100여개가 행정자치부 지정 시설이다. 행정자치부 지정 시설 중 지방자치단체에서 운영하는 주요정보통신기반시설을 통해 국내 공공기관의 기반시설에 대한 위험관리 현황을 파악하고, 현재의 보안관리 수준을 강화하기 위한 개선안에 대해 제안하고자 한다. 이를 위해 국제표준 위험관리 방법론(ISO/IEC 27005)의 상황설정(Context Establishment), 위험평가[Risk Assessment, 식별(Identification), 분석(Analysis), 평가(Evalution)] 위험 처리(Risk Treatment) 및 수용(Risk Acceptance)을 국내 지방자치단체 주요정보통신기반시설 취약점 진단 분석⋅평가 컨설팅 사업 보고서와 비교 분석하여 운영 및 절차상의 문제점을 분석하였다. 상황설정 단계에서는 인프라(전담조직, 전담인력, 인센티브, 범위와 경계, 위험관리 기준)의 개선방향과 위험평가 단계에서는 표준 위험평가 모델 구축에 필요한 형식적 타당성을 위한 개선안(위협 분류 및 측정, 세부 평가기준 강화, 법적준거성)을 제시하였으며, 위험처리 및 수용 단계에서는 처리에 대한 결정과 평가, 지원정책 등에 대하여 개선안을 제시하였다. 다양한 종류의 사이버 공격으로부터 지방자치단체 주요정보통신기반시설은 안전하게 보호되어야 하고, 고유 서비스는 국민생활의 안전성을 보장하여야 한다. 이를 위해. 국가 및 중앙행정기관, 지방자치단체 주요정보통신기반시설 지정기관의 상호 협력과 대국민 서비스 제공의 지속성 유지를 위한 노력이 필요하며, 각종 제도 개선을 통한 신뢰성이 확보되어야 할 것이다. In 2017, the number of designated Major information and communication infrastructure equipments was 393(Public 252, Private 141), of which about 100 are designated by the Ministry of Government Administration and Home Affairs. In the Ministry of Government Administration and Home Affairs, we propose the improvement plan for strengthening the current security management level by grasping the status of risk management of the infrastructure facilities of domestic public institutions through the Major information communication infrastructure facilities operated by local governments. For this reason, Context Establishment, Risk Assessment(Identification, Analysis, Evalution), Risk Treatment and Risk Acceptance in the international standard risk management methodology(ISO/IEC 27005) is compare analyzed with the major information communication infrastructure facilities vulnerability analysis and evaluation consulting business report of the local governments, and the operational and procedural problems are analyzed. In the phase of Context Establishment, the improvement direction of the infrastructure(Professional organizations, specialized personnel, incentives, scope and boundaries, and Risk management standards), In the phase of Risk Assessment, the improvement(Threat classification and measurement, strengthening of detailed evaluation standards, legal compliance) the formal validity necessary for the standard risk assessment model, In the phase of Risk Treatment and Risk Acceptance, improvement proposals for treatment decision and evaluation, support policy, etc were suggest. The major information communication infrastructures of local governments must be safe guarded from various kinds of cyber attacks, and the inherent services should guarantee the safety of people's lives. for purpose, The mutual cooperation of national and central administrative agencies, the major information communication infrastructures facilities of local governments, Efforts should be made to maintain the continuity of service provision for the people, Reliability should be secured through various institutional improvements.

주요정보통신기반시설 운영에 관한 감리 점검항목 개선 : 비상대응체계 중심으로

위광우 건국대학교 정보통신대학원 2016 국내석사

The recent development of the information communication environment and information systems is accelerating and diversifying. Furthermore, the acceleration of information infrastructure building has generalized information systems in all industry and service fields, increasing their size and range. The expansion of major information communication infrastructure projects, the systematic framework of information systems, and strategies capable of building and managing integrated information systems are important. The purpose of the present study is to positively research the improvement of operation and audit inspection items for major information communication infrastructure, with a focus on emergency response systems. In detail, the study deducted the improvement of operation and audit inspection items capable of diagnosing the operation and management levels of major information communication infrastructure, with a focus on adequate emergency response. A survey was formed based on the inspection items for major information communication infrastructure as presented in the study, with 67 subjects surveyed and the results analyzed. Furthermore, the effectiveness test for the survey involved items on IT task experience and ITSM-based IT service operation and management experience, operation and management experience in major information communication infrastructure, items on the operation and audit needs of major information communication infrastructure, items on audit inspection items centering on emergency response systems and, audit inspection item suitability assessments. The research results revealed that the audit inspection items in the service provision area, the service support area, the continued service improvement area, and the emergency response system area as being extremely necessary. Studies on vitalization plans for operation and audit improvement for major information communication infrastructure from an emergency response perspective are almost nonexistent. Out of the five audit areas of the audit model presented in preceding studies based on ITSM, which has ITIL v3 as its conceptual model, continued improvement is maintained as it is, while the remaining four inspection items are reassigned to the two areas of service provision an service support, which is dealt with in ITIL v2, so that the audit areas are simplified from the five audit areas of ITIL v3 to three audit areas. Because ITIL v3 often overlaps with the questions of the audit methodology of ITIL v2, despite being a simplified methodology, the study used ITIL v2 rather than v3, which carries many audit areas. Also, by introducing an emergency response system that is not dealt with in ITIL v2 and v3, the study was able to develop and research a methodology that can be applied to other information systems beyond major information technology infrastructure, which may be regarded as its academic significance. Also, the study is able to greatly contribute in improving the reliability of auditing and defect discovery in terms of audit results, through improved models and detailed inspection items, which are capable of checking lacking areas that fail to be inspected for their operation and management of general information systems, by additionally comparing and analyzing the analysis assessments standards of major information communication infrastructure SLA and vulnerabilities in ITIL based management operation and audit inspection items in previous studies. Furthermore, the study is practically significant in that it performed research on audit inspection items for emergency response systems in terms of security, which was not sufficient in existing operation and auditing. 최근 정보통신환경의 발전과 정보시스템은 고도화되고 다각화되고 있다. 그리고 정보 인프라 구축의 가속화로 인해 모든 산업 및 서비스 분야에서 정보시스템은 일반화되고 그 규모와 범위는 증가되었다. 이는 주요정보통신기반시설사업의 확대와 정보시스템의 체계적인 프레임워크와 통합적인 정보시스템을 구축 및 운영할 수 있는 전략이 중요하다. 본 연구의 목적은 비상대응체계 중심으로 주요정보통신기반시설 운영 감리 점검항목 개선을 실증 연구하였다. 구체적으로 적절한 비상대응 중심에서의 주요정보통신기반시설 운영 및 관리 수준을 진단할 수 있는 운영 감리 점검항목 개선을 도출하였다. 설문조사는 본 연구에서 제시한 주요정보통신기반시설 점검항목들을 기반으로 설문지를 구성하였으며, 67명의 대상자를 선정하여, 설문을 실시하였고 결과를 분석하였다. 그리고 설문에 대한 실효성 검증은 IT업무 경력 및 ITSM 기반의 IT서비스 운영관리 경험에 관한 사항 주요정보통신기반시설 운영관리 경험과 주요정보통신기반시설 운영감리 필요성에 관한 사항, 비상대응체계 중심의 감리 점검항목에 관한 사항, 감리 점검항목 적합성 평가에 대해 실증 검증하였다. 연구결과 주요정보통신기반시설의 서비스 제공 영역, 서비스 지원 영역, 지속적 서비스 개선 영역, 비상대응체계 영역 감리 점검항목은 매우 필요한 것으로 나타났다. 국내 비상대응 관점에서의 주요정보통신기반시설 운영 감리 개선에 관한 활성화 방안에 대한 연구는 거의 없는 실정이며, ITIL v3를 개념 모델로 하는 ITSM 기반의 기존 선행연구에서 제시하는 감리모형의 5개의 감리영역중 지속적 개선은 그대로 유지하고 나머지 4개 영역의 점검항목들을 ITIL v2에서 다루고 있는 서비스 제공, 서비스 지원 이라는 2개의 영역에 재배치하여 ITIL v3의 5개 감리영역에서 3개의 감리영역으로 간소화 하였다. 간소화된 방법론이지만 ITIL v3는 ITIL v2의 감리방법론의 문항과 중복되는 경우가 많기 때문에 감리영역이 많은 ITIL v3를 사용하기 보다는 ITIL v2를 이용하였다. 또한 ITIL v2, v3에서 다루지 않은 비상대응체계를 감리방법론에 도입함으로써 주요정보통신기반시설의 적용을 넘어 다른 정보시스템에 적용할 수 있는 방법론을 개발하고 연구를 수행했다는 점에서 학문적 의의가 있다고 할 수 있다. 그리고 기존 연구에서의 ITIL 기반의 운영감리 점검항목에서 주요정보통신기반시설 SLA 및 주요정보통신기반시설 취약점 분석평가 기준을 추가로 비교분석하여 일반적인 정보시스템 운영감리에서 점검하지 못하거나 부족한 부분들을 체크할 수 있는 좀 더 세부적인 점검항목 및 개선된 모형을 통해 감리 성과 측면에서 결함 발견율과 감리의 신뢰성 향상에 크게 기여할 수 있을 것이며, 기존 운영감리에서 충분하지 못했던 보안측면의 비상대응체계에 대한 감리점검항목을 연구를 수행했다는 점에서 실무적 의의가 있다고 할 수 있다.

「개인정보 보호법」과 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 비교

김용학 건국대학교 정보통신대학원 2017 국내석사

개인정보 보호에 대하여 일반법으로서 ｢개인정보 보호법｣이 있고 특별법으로서 ｢정보통신망의 이용촉진 및 정보보호 등에 관한 법률｣, ｢신용정보의 이용 및 보호에 관한 법률｣ 등이 있다. 그런데 특별법에서 지나치게 일반적인 개인정보 보호에 대한 사항까지 규정하고 있어 법 적용에 혼란으로 작용되고 있는 문제가 있다. ｢신용정보의 이용 및 보호에 관한 법률｣은 금융 분야라는 한정된 영역이 있어 법 적용의 혼란에 대한 논란은 다소 적은 편이지만, 이러한 혼란마저도 최소화 하기 위하여 법 개정을 추진하고 있다. 그러나 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣은 법 적용대상이 정보통신망서비스 제공자로서 인터넷을 통하여 영업활동을 하는 사업자는 모두 법 적용 대상이 된다. 이로 인하여 대부분의 사업자는 동일한 개인정보를 온라인으로 처리할 때와 오프라인으로 처리할 때 등 개인정보 처리 환경에 따라, 그리고 정보주체가 직원인지 이용자인지 등 정보주체의 종류에 따라 ｢개인정보 보호법｣과 ｢정보통신망의 이용촉진 및 정보보호 등에 관한 법률｣ 중 어느 법을 적용하여야 하는지를 두고 혼란을 겪고 있다. 본 연구에서는 일반법인 ｢개인정보 보호법｣과 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣의 개인정보 보호에 대한 규정을 비교하여 법 적용의 혼란을 일으키고 있는 요소들을 분석하여 개인정보 보호의 법 체계 정비 방안을 제시하였다. 먼저 해외의 국제기구와 주요 국가들의 개인정보 보호에 대한 법 체계를 살펴 본 결과 우리나라와 같이 일반법과 특별법이 개인정보 보호에 대한 일반적인 사항을 각각 별도로 규정하고 있는 사례는 찾아볼 수 없었다. 또한 ｢개인정보 보호법｣과 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣의 개인정보 처리단계에 대한 규정을 비교해 본 결과 거의 모든 규정이 서로 같거나 유사한 내용으로 규정하고 있어 특별법에서 별도로 규정하여야 할 필요성을 찾을 수 없었다. 따라서 개인정보 보호에 대한 일반적인 사항은 일반법인 ｢개인정보 보호법｣에서만 규정하도록 일원화하여야 한다. 정보통신망서비스 제공자에게 한하여 특별히 규정하여야 할 사항이 있다면 그 내용만 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣에서 규정하도록 정비하여야 한다. 그것이 개인정보 보호 법 적용에 대한 혼란을 해소하고 개인정보 보호에 대한 통일된 법 집행이 이루어질 수 있는 길이다. 이는 ICT 기술 발달로 빅데이터, 사물인터넷 등 개인정보 처리의 다양화, 대량화 추세에 정부나 기업이 더욱 빠르고 정확하게 대응할 수 있도록 법적인 뒷받침을 할 것이다. Regarding to privacy protection, there is a general law, ｢Personal Information Protection Act｣ and special laws which are ｢Act on Promotion of Information｣ and ｢Communications Network Utilization and Information Protection, etc｣. However, the provision in special law has covered too much of the general personal information protection, causing confusion in applying the law. ｢Communications Network Utilization and Information Protection, etc｣ is less controversial since it is confined to finance, but the law revision is promoted to minimize the confusions. On the other hand, ｢Act on Promotion of Information and Communications Network Utilization and Information Protection, etc｣ is applied for all the business operators who do the business activity through the internet since the law is applied to the information network services providers. As a result, business operators are experiencing confusion whether to apply ｢Personal Information Protection Act｣ or ｢Act on Promotion of Information and Communications Network Utilization and Information Protection, etc｣ depending on the processing environment(online or offline) and depending on the information subject(employee or user) when handling the same personal information. This study suggest law-modifying measures of personal information protection laws by comparing regulations between the general law, ｢Personal Information Protection Act｣ with ｢Act on Promotion of Information and Communications Network Utilization and Information Protection, etc｣ by analyzing factors which cause confusions. In 2011, ｢Personal Information Protection Act｣ was established but general provisions about personal in formation protection was not made in ｢Act on Promotion of Information and Communications Network Utilization and Information Protection, etc｣. Therefore, it caused confusion to entrepreneurs in applying the laws. Major oversee countries have regulations of subordinate legislation to the personal information protection or they have special case law. It is hard to find any cases likewise Korea where general laws and special laws about personal information protection are separated. After comparing the general provision about privacy protect of personal information from ｢Personal Information Protection Act｣ and ｢Act on Promotion of Information and Communications Network Utilization and Information Protection, etc｣, the rules were very similar and there were even same contents. Therefore, there was no need for making the special law. Thus, the rules about general privacy protect should be made to combine into ｢Personal Information Protection Act｣. If there is a certain rule for information network services providers, it should be made through ｢Act on Promotion of Information and Communications Network Utilization and Information Protection, etc｣. This will solve the confusion of applying the privacy protection act and this is the way to execute unified law about privacy protect. This will support legally for the governments and the companies to counteract more quickly and accurately for the phenomenon of diversification and massificion caused by big data, IoT due to development of ICT.

주요정보통신기반시설의 정보보안 위험관리 감리점검항목 연구

박만서 건국대학교 정보통신대학원 2014 국내석사

최근 미국, 캐나다, 독일 등을 비롯한 선진국에서는 사이버 테러나 사이버 공격 등으로부터 국가의 중요한 기반시설을 보호하기 위해 정보보호 활동을 강화하고 있으며, 우리나라는 정보통신기반시설보호법을 통하여 주요정보통신기반시설을 지정하여 관리하고 있다. 체계적이고 지속적인 정보보호 활동을 위해서는 정보보안 위험관리 기반의 정보보호 활동이 지속적으로 이루어져야 한다. ISO/IEC 27005는 정보보안 위험관리는 프로세스를 기반의 체계적인 정보보안 위험관리 활동을 제시하고 있다. 국내의 주요정보통신기반시설을 대상으로 매 년 실시하는 취약점 분석 및 평가는 체크리스트 기반의 점검항목을 중심으로 지속적이고 체계적인 정보보안 위험관리를 유지하기에는 미흡한 부분이 많다. 본 연구는 주요정보통신기반시설의 정보보안 위험관리 감리점검항목을 제시하기 위하여 정보시스템 감리지침의 위험관리 관련 감리 점검항목과 주요정보통신기반시설 취약점 분석 및 평가 점검항목을 ISO/IEC 27005 기준과 비교 및 분석하여 주요정보통신기반시설의 정보시스템 감리 시 정보보안 위험관리 부문의 점검영역에 대한 개선책을 제시하였다. 연구결과로 도출된 주요정보통신기반시설의 정보보안 위험관리 감리점검항목을 통하여 향후 주요정보통신기반시설과 관련된 정보화 전략 계획 수립, 시스템 개발, 시스템 운영 및 사업관리의 감리 시 체계적인 정보보안 위험관리 감리 활동이 이루어지길 바란다.

위성통신을 이용한 ITS 서비스 방안 연구

정규정 건국대학교 정보통신대학원 2013 국내석사

최근에 산업의 경제성장율 둔화로 인한 일자리 부족으로 새로운 일자리 창출이 이슈화 되면서 대표적인 일자리 창출의 아이템으로 이종산업 간의 융․복합 산업이 거론되고 있다. ITS는 교통산업과 ICT산업이 융합된 것으로 대표적인 융․복합 산업의 특징을 가지고 있다. 고속도로 톨케이트 주변의 도로의 상황을 살펴보면 고속도로는 한국도로공사 소관이지만 고속도로에 진입하기 위한 톨게이트 주변의 국도는 관할 지방자치단체의 소관으로 되어있어 ITS서비스 제공을 위한 교통정보의 제공이 원활하지 않아 일부구간의 교통정보가 제공되지 못하는 곳이 있다. 이는 교통정보서비스의 이용자에게 실시간으로 통합적인 교통정보서비스 제공에 미흡한 원인이 된다. 이 논문에서는 이런 문제점을 극복하기 위한 방안으로 효율적인 교통정보 서비스 제공과 구축 및 운용비용 절감을 위해서, 현장의 교통정보 수집을 위한 효율적인 ITS 통신망으로 국도의 집중국사에 집선 되어 있는 교통정보를 위성통신을 이용하여 교통센터에 전송하는 방안을 연구하였다. 본 연구 결과는 현재의 국내 지능형교통시스템 산업에 향상된 교통정보제공 서비스를 위하여 기존의 광통신망 위주의 유선통신망의 ITS시스템에 부가적인 정보의 수집을 위하여 위성통신망이 보완적으로 적용할 수 있을 것으로 생각된다. 또한 ITS 산업의 해외 진출시 지상의 통신 인프라가 부족한 국가의 ITS 도입과 위성통신망으로 ITS시스템 구성이 효율적인 국가에 효과적인 ITS서비스 통신망을 제공방안으로 활용될 것으로 기대된다.

주요 정보통신 기반시설 기술적 분야 취약점 점검 개선방안 연구

김상현 건국대학교 정보통신대학원 2016 국내석사

IT가 발전하면서 다양한 산업과 업무에 시스템 자동화, 언제 어디서든 연결이 가능한 인터넷과 같은 편리함으로 우리 생활 및 산업에 적용되어 있다. 하지만 IT가 발전할수록 사이버 침해 사고 또한 지속적으로 발생하여 기관(회사)의 주요정보 유출, 시스템 파괴, 서비스 장애 등과 같은 피해가 속출하고 있다. 이에 정보통신 기반시설을 대상으로 행정자치부와 KISA에서 정한 주요 정보통신 기반시설 기술적 취약점 분석·평가 방법 상세 가이드를 따라서 취약점 점검을 매년 실시하고 있다. 매년 취약점 점검을 실시하고 취약점에 대한 조치를 취해도 지속적으로 사이버 침해 사고가 발생하고 있다. 현 주요 정보통신 기반시설 기술적 분야 취약점 점검 항목은 기관(회사)의 보안을 위해 기본적으로 모두 조치되어야 하는 부분이다. 그러나 현 취약점 점검 항목은 시스템 또는 장비의 설정 값 또는 서비스, 포트의 관리 실태와 같은 점검 항목이 주를 이루어 해킹 메일이나 특정 OS 취약점, 프로그램의 취약점, 피싱·파밍과 같은 사회공학 기법 등에 대해 기관(회사)의 대응이나 대응 상태를 파악하기에는 현 주요 정보통신 기반시설 기술적 분야 취약점 점검 항목으로는 부족하다. 본 연구에서는 주요 사이버 침해사고 사례 및 공격 유형의 동향을 조사하고 설문을 통하여 현 주요 정보통신 기반시설 기술적 분야 취약점 점검의 만족도 및 사이버 공격 유형 별 점검 항목을 추가한 취약점 점검 개선방안의 만족도를 조사하였으며 매년 실시하는 주요 정보통신 기반시설 기술적 취약점 점검 항목에 다양해지고 있는 사이버 공격 유형별로 점검 항목을 추가하여 사이버 침해 대응에 대한 기관(회사)내의 전반적인 보안 수준 파악 및 향상에 도움이 될 수 있도록 취약점 점검 개선방안을 제시하였다. As IT evolves, convenience such as system automation in various industries and business tasks and Internet that can be provided anywhere in the world is applied to our lives and industries. However, such a development of IT causes continuous cyber breach which is responsible for organization(corporation)’s critical information leakage, system destruction and service malfunction. In order to prevent this incident, government conducts vulnerability assessment for Info-Communications infrastructure every year using “The major Info-Communications Infrastructure Technical Field Vulnerability Assessment” guideline made by MSPA(Ministry of Security and Public Administration) and KISA(Korea Internet & Security Agency). Even though vulnerability assessment is performed every year and follow-up measures are taken place, cyber breach occurs continuously. The current vulnerability assessment items must be examined throughly and follow-up measures are imperative as a matter of security issue for any organization(corporation). However, the current vulnerability assessment items are mainly composed of checking system(device)’s predetermined values or managing actual condition of services or ports, which is insufficient for organization(corporation) to correspond against hacking through mail, certain OS vulnerability, program vulnerability and phishing or pharming. This research looks into major cyber breach examples and corresponding attack types. Using survey, satisfactions of current major info-communication technical field vulnerability assessment and vulnerability assessment improvements by adding evaluation items related to cyber attack types were investigated. This research also provides vulnerability assessment improvements, which organization(corporation) can use it to defend against various cyber threats and eventually lead to advancement of overall security level.

개인정보 안전성 확보를 위한 보안관리 강화 방안에 대한 연구

김용호 건국대학교 정보통신대학원 2018 국내석사

부가통신업자(VAN) 대신 가맹점 계약의 체결을 중개ㆍ대리하고 단말기를 설치하는 가맹점모집인인 밴(VAN)대리점은 개인사업자로 사업자 등록을 하지 않고 수행하는 업체 수가 상당히 많으며, 점검ㆍ관리ㆍ감독의 부재로 인해 정보관리의 사각지대로 지적되어 왔다. 2014년 금융감독원 개인정보 유출 재발방지 종합대책에 의하면 부가통신업자(VAN)의 의무 중 하나로 밴(VAN)대리점 관리가 명시되어 있다. 하지만 실제로 관리ㆍ감독이 되고 있지 않으며, 부가통신업자(VAN)가 밴(VAN)대리점과 전속 계약이 아니기 때문에 관리ㆍ감독할 조사권이나 감독권 등 법적 권한이 없으므로 통제에 대한 한계가 있다. 그리고 인력, 예산 등이 제한되어 현실적으로 수행하기 어려운 점도 존재한다. 여러 가지 이유로 방치되어 있는 밴(VAN)대리점에서 개인정보가 유출 되어 보안사고로 이어진다면 금융사고, 스팸메일, 스팸전화, 스팸문자, 웹사이트 계정 탈취, 주민등록번호 유출로 인한 명의 도용, 사생활 침해 등 다양한 피해를 입을 수 있게 된다. 이러한 피해를 방지하고자 밴(VAN)대리점의 개인정보 보안관리 강화 방안을 연구하였다. 본 논문에서 제시한 밴(VAN)대리점 개인정보 보안관리 강화 방안을 통하여 밴(VAN)대리점의 보안성이 향상되기를 기대해 본다. The VAN agent, an agent of a franchisee who brokers or represents a contract for the signing of a merchant contract instead of an VAN, has a considerable number of companies performing business without registering as a business operator, has been pointed out as a blind spot in information management. According to the Comprehensive Measures to Prevent Recurrence of Personal Information Leak in Fiscal Year 2014, the management of VAN agents is specified as one of the responsibilities of the VAN. However, since it is not actually managed and supervised, and because the VAN is not a contract with a VAN agent, it has limitations in control because it does not have legal authority such as inspection right or supervision right to manage and supervise. In addition, there are limitations on manpower and budget, which make it difficult to carry out in real life. If personal information is leaked from a VAN agent that has been neglected for a variety of reasons, it can cause various damages such as Financial accidents, spam mail, spam phone, spam letter, website account hijacking, identity theft due to leakage of resident registration number, . To prevent such damage, we have studied how to strengthen personal information security management of VAN agents. We expect that the security of VAN agent will be improved through strengthening personal information security management of the VAN agency presented in this paper.

정보통신기술 관점에서 이러닝의 발전 방안 연구

노영호 건국대학교 정보통신대학원 2008 국내석사

주요정보통신기반시설 관리적/물리적 분야 취약점 점검 항목 개선 연구

이영규 건국대학교 정보통신대학원 2018 국내석사

정보기술의 발전과 함께 악성코드 등의 사이버 공격은 지능화·대형화되어 가고 있으며, 민간을 넘어서 산업 및 공공시설에까지 그 범위를 넓혀가고 있다. 이러한 사이버 위협으로부터 주요정보통신기반시설을 보호하기 위하여 정부는 정보통신기반보호법을 통해 보호대책 수립, 취약점 분석/평가 기준과 같은 체계적인 예방 및 대응체계를 마련하고 있다. 본 연구는 주요정보통신기반시설 관리적/물리적 분야의 취약점 점검 항목을 점검하고, 주요 정보보호 관리체계(KISA ISMS, ISO/IEC 27001:2013, NIST 800-53 Rev.4)의 통제항목을 비교·분석하였다. 그리고 11개 영역(41개 통제 항목)을 제안하였다. 개선 항목에 대한 실증 검증을 위하여 공공 및 정보보호 업무관련자 63명을 대상자를 선정하였다. 그리고 주요업무, IT경력, 주요정보통신기반시설 운영경험, 주요정보통신기반시설 개선 필요성, 관리적 분야(9개 37개제항목) 및 물리적 분야(2개 영역, 4개 항목)에 대한 적합성 검증을 설문조사를 통해 수행하였다. 설문결과, 주요정보통신기반시설 취약점 분석·평가 기준은 개선이 필요하다는 결론과 제안한 41개 점검 항목들은 모두 적합하다는 결론을 얻을 수 있었다. 주요정보통신기반시설 관리적/물리적 분야의 취약점 점검 항목의 개선을 통하여 기관의 정보보안 수준 향상에 기여할 수 있을 것이다. 또한 정보보안 담당자에게는 합리적인 의사결정을 지원하여 사이버공격에 대한 사전 예방 및 대응을 강화할 수 있다는 점에서 실무적 의의가 있다고 할 수 있다. With the advancement of information technology, cyber attacks such as malicious codes are becoming more intelligent and larger, and they are expanding beyond the private sector to industrial and public facilities. In order to protect the Critical Information and Communication Infrastructures from cyber threats, the government has established systematic prevention and response system such as establishment of protection measures, analysis/evaluation of vulnerability through information and communication infrastructure protection law. This study examines vulnerability checklist of Critical Information and Communication Infrastructure management and physical field, compares/analyzes the control items of major information protection management system(KISA ISMS, ISO/IEC 27001:2013, NIST 800-53 Rev.4). and 11 zones (41 control items) were proposed. To verify the verification of the improvement items, 63 persons related to the public and the information protection work were selected. and The survey was conducted to verify the suitability of major tasks, IT career, Critical Information and Communication Infrastructure operation experience, need for improvement of Critical Information and Communication infrastructure, management field (9 zones, 37 items) and physical field (2 zones, 4 items). As a result of the survey, it was concluded that the analysis and evaluation standard for Critical Information and Communication Infrastructure need to be improved and that the 41 control items proposed are appropriate. It will contribute to the enhancement of the information security level of the organization through improvement of vulnerability checklist in the Critical Information and Communication Infrastructure management/physical field. In addition, it can be said that there is a practical meaning in that information security officers can support rational decision-making to strengthen the prevention and response to cyber attacks.