제로 트러스트 개념을 활용한 지방행정공통정보시스템 내부 사용자 본인 인증 방법 개선

현광남 제주대학교 대학원 2024 국내석사

4차 산업혁명의 도래와 ICT 기술의 발전으로 컴퓨팅 환경이 급격하게 변화하고 있다. 또한, 코로나바이러스의 확산은 우리 사회의 업무 환경 및 행정서비스 등에 많은 변화를 가지고 왔다. 원격회의와 재택근무가 활성화되고, 워케이션(workation)이 확대됨에 따라 모바일이나 노트북 등을 활용하여 원래 근무지가 아닌 여러 장소에서의 내부 정보 시스템 접근이 증가하고 있다. 이러한 사회적·기술적 변화는 사용자 입장에서는 편리함이 증가하였지만, 보안관리자 입장에서 보면 정보자원 및 정보서비스에 대한 정보보호 차원의 관리범위가 점점 확대되고, 통제의 어려움이 증가하고 있다. 정보시스템에 대한 해킹 방법이 더욱 다양해지고, 개인정보 유출 등의 정보보안 사고 등이 지속적으로 발생하고 있으며, 사회적인 문제로까지 발전하고 있다. 특히, 행정기관의 정보시스템은 대규모의 데이터를 관리하고 있으며, 주민등록번호 등을 포함한 고유식별번호까지 포함되어 있는 경우가 많아. 정보 유출 시 사회적인 파장이 클 뿐만 아니라, 이와 연계된 각종 범죄가 증가하고 있다. 특히, 공공기관에 대한 보안사고는 외부의 해킹에 의한 사고보다 공공기관 내부의 근로자 또는 임시 근로자들에 의한 보안 사고가 점점 증가하고 있는 현실이다. 또한, 정부는 전자정부 시대를 지나 디지털플랫폼정부(DPG)를 목표로 인공지능·데이터·클라우드 등 혁신 기술을 활용하여 국가 사회 시스템의 변화를 추구하고 있다. 급변하는 디지털 수요에 대응하기 있기 위해 공공기관 정보 시스템의 고도화 사업 추진하고 있으며, 민간 클라우드 네이티브 컴퓨팅 기술을 도입하기 위한 활동을 지속하고 있다. 그러나 안타깝게도 행정기관의 대표 시스템인 지방행정공통정보시스템은 구축된지 17년이 경과하고 있으나, 관련 혁신 기술을 반영하지 못하고 있고, 향후 2026년이 되어야 새로운 시스템으로 전환·구축할 수 있다. 현재 지방행정공통정보시스템의 현행 방식에 따른 사용자 본인 인증과 사용자접근 권한 정책으로는 대규모 보안 사고가 발생할 가능성이 아주 높다. 사용자 인증 방식이 단순하고, 시스템 접근 정책이 세밀하지 못하여 업무 담당자별 접근 권한의 체계가 확립되어 있지 않아, 지방행정공통정보시스템의 사용자 인증에 관련된 새로운 보안 정책 개발이 시급하다. 최근 들어, 아무도 신뢰하지 않는다는 제로 트러스트(Zero trust) 개념이 등장하게 되었고, 기존의 사용자 인증 방식과 사용자 접근 정책에 대한 변화를 요구하고 있다. 이에 맞게 지방행정공통정보시스템과 같은 기존 내부 정보시스템에 바로 적용할 수 있는 보안 정책 모델 개발이 필요함에 따라, 이에 대한 연구를 진행하였다. 본 논문은 공공기관의 행정정보시스템의 보급 유형과 변화의 방향을 분석하고, 이에 따른 보안 정책의 변화, 클라우드 컴퓨팅 시스템에서 활용되고 있는 제로 트러스트(Zero trust) 개념에 대한 연구하였다. 지방행정공통정보시스템 접근을 위한 사용자 보안 인증 방법을 다단계 인증(MFA) 방식으로 변경하고, 실시간 인증((Continuous Authentication) 방식의 도입, 사용자 접근 정책을 세분화하는 보안 정책을 설계하고, k-Fold 교차 검증 방식을 통해 보안성과 경제성의 긍정적 효과가 있음을 확인하였다. 공공기관의 행정정보시스템은 광범위하고, 다양하기 때문에 각각의 상황에 맞는 다양한 보안정책 및 시나리오가 필요하나, 본 연구에서 제안한 보안 정책은 모든 행정정보시스템에 적용하지 못하는 한계가 있지만, 공무원 조직의 가장 핵심 시스템인 지방행정공통정보시스템의 업무 환경에서 즉각적으로 실현 가능하면서도 보안성을 강화할 수 있는 보안 정책을 설계하였다는 데 큰 의의 가 있다고 할 것이다. With the advent of the 4th Industrial Revolution and the development of IOT technology, the computing environment is rapidly changing. In addition, the spread of coronavirus has brought many changes to our society's work environment and administrative services. As teleconferencing and telecommuting are activated, and work is expanding, access to internal information systems is increasing at various places other than the original workplace by utilizing mobile or laptop computers. These social and technological changes have increased convenience for users, but from the security manager's point of view, the scope of information protection management of information resources and information services is gradually expanding, and control difficulties are increasing. Hacking methods for information systems are becoming more diverse, information security accidents such as personal information leakage continue to occur, and social problems are also developing. In particular, the administrative agency's information system manages large-scale data and often includes unique identification numbers, including resident registration numbers. Not only is the social impact of information leakage large, but it is also increasing in various crimes related to it. In particular, security accidents against public institutions are more and more caused by workers inside public institutions or temporary workers than by external hacking. In addition, the government is pursuing changes in the national social system by utilizing innovative technologies such as artificial intelligence, data, and cloud with the goal of digital platform government (DPG) after the e-government era. In order to respond to rapidly changing digital demand, the government is pursuing the advancement of information systems in public institutions, and continues its activities to introduce private cloud native computing technology. Unfortunately, however, the local administrative common system, which is the representative system of administrative agencies, has been established for 17 years, does not reflect related innovative technologies, and cannot be converted and built into a new system until 2026. Currently, there is a very high possibility of a large-scale security accident with user self-authentication and user access rights policies according to the current method of the local administrative common system. Since the user authentication method is simple and the system access policy is not detailed, a system of access rights for each person in charge is not established, it is urgent to develop a new security policy related to user authentication of a common local administrative system. Recently, the concept of zero trust that no one trusts has emerged, and changes to existing user authentication methods and user access policies have been required. In accordance with this, research was conducted on the need to develop a security policy model that can be directly applied to existing internal information systems such as local administrative common systems. This paper analyzes the types of dissemination and changes in the administrative information systems of public institutions, and studies the concept of zero trust used in cloud computing systems, changes in security policies, and changes in the direction of changes. It was confirmed that the security authentication method for access to the local administrative common system was changed to a multi-level authentication (MFA) method, the introduction of a real-time authentication method, a security policy that subdivides user access policies, and the k-Fold cross verification method had a positive effect on security and economic feasibility. Since public institutions' administrative information systems are broad and diverse, various security policies and scenarios are needed for each situation, but the security policy proposed in this study has limitations in that it cannot be applied to all administrative information systems, but it is significant that it has designed a security policy that can be immediately realized and strengthened security in the work environment of the local administrative common system, the core system of public officials.

하이브리드 블렌디드 실천모형 기반의 초등 정보보안 핵심원리 교육 프로그램 개발과 실증

정유진 제주대학교 대학원 2022 국내박사

정보 시스템의 발전은 첨단 정보통신기술(ICT) 플렛폼과 맞물려 현대 사회를 디지털 전환의 시대로 이끌어나가고 있다. 이는 점차 현대사회가 고도화된 내용의 정보화 사회로 변환하고 있음을 의미한다. 정보의 가치가 높아지면서 이를 이용한 부당한 이익을 챙기려는 해커의 기법은 세분화되고 고도화되고 있지만 정보 사회의 구성원으로서 정보윤리와 정보보호의 필요성이 요구되는 만큼의 교육은 이루어지지 않고 있다. 사회의 변화 분위기 속에서 2015 교육과정에서는 정보교육을 필수 교과목으로 지정하여 일정 시간 이상을 필수로 이수하도록 개정되었고, 점차 발전해 나가는 미래 사회에 맞춘 인재를 양성하기 위해서는 정보교육과정의 중요성이 점차 증대할 것으로 보인다. 하지만 현재 정보교육은 창의적 체험 활동 시간에 학교나 교사 재량에 의해 운영되고 있다. 정규 교과의 부재로 인해 교사 입장에서도 학생들의 정보보안 실천을 위해 무엇을 가르쳐야 하는 지에 대해 알기 어렵기 때문에 정보보호 교육은 네티켓(Netiquette) 중심의 정보 윤리 교육으로 한정되어 있기도 하다[1]. 특히 초등학생의 경우에 인터넷 이용률은 매우 높아지고 있으며, 초등학생에 대한 사이버 범죄가 급증함에 따라 초등학생에게도 정보보호 교육의 필요성이 높아지고 있다. 정보보호나 보안에 대한 인식이 취약한 초등생들의 경우에 쉽게 자신뿐만 아니라 주변인의 정보를 타인에게 알려주고, 아무런 죄의식도 없이 남의 정보를 가져다 악용하는 일이 발생하고 있다. 따라서 사이버 범죄로부터 초등학생을 보호하고 예방하기 위해서는 정보보안에 대한 교육이 절대적으로 필요하다는 것이 국가적인 관점에서의 공통적 의견이다[2]. 이러한 실정 속에서 초등학생에게 정보보안 교육을 위해서 전문적 지식 등을 전달하는 전문 정보교육은 학습자의 학습 성취도를 낮추게 되는 원인이 될 수 있기 때문에 쉽게 접근할 수 있는 교육 프로그램을 구상하여 적용하였다. 본 논문에서는 총 세 개의 교육 프로그램을 개발하고 실증하였으며, 첫 번째는 초등학생들의 정보보안 교육의 이해 수준을 고려하여 게임을 하면서 자연스럽게 정보보안의 개념 등을 익힐 수 있는 게이미피케이션을 도입한 블록체인 기술의 핵심원리를 파악할 수 있는 학습 교구를 개발하였다. 두 번째로 많은 청소년의 주요 관심사인 해킹 원리의 학습을 위해 학습자가 공격과 방어의 시나리오를 구상하고 보드 게임안에서 경험해 보아 자연스럽게 네트워크 해킹의 전문 용어 및 핵심 기술 등을 학습할 수 있도록 하였다. 또한 이는 학습자 스스로가 정보를 보호할 수 있는 능력 함양을 할 수 있도록 기술적인 부분을 보다 쉽게 접할 수 있는 시나리오 기반 교육 프로그램이다. 이 교육 프로그램은 네트워크 환경에서 적용되는 보안장비의 역할을 수행하는 패널들을 구성하여 공격을 수행하도록 함으로써 학습자에게 네트워크에서 적용될 수 있는 보안장비의 역할을 이해하도록 도움을 주어 학습자의 컴퓨팅 사고력을 강화하는 것을 목적으로 한다. 세 번째는 미래 신기술 중 하나이며 우리 사회에 매우 친숙하고 깊숙이 연관 있는 지능형 CCTV의 안면인식 기술을 사이버보안 포렌식 기법과 접목하여 복잡한 상황의 숨겨진 이슈를 그림, 스케치, 상징이나 부호, 아이콘 등을 이용해서 이미지로 표현하고. 그래픽 퍼실리테이션(Graphic Facilitaion)을 이용해 찾아내는 리치픽처(Rich Picture) 기법을 활용하여 학생들로 하여금 어려운 원리에 쉽게 접근해 볼 수 있도록 구상하였다. 초등학생에게 안정적인 교육을 위해서는 앞서 언급한 것과 같이 교수자, 즉 현장 교사의 정보보안에 대한 올바른 개념과 어려운 원리에 쉽게 접근할 수 있는 교육이 수반되어야 할 것이고, 이를 위해서는 학교 관리자의 인식과 의지등에 따라 학교 조직의 전망과 목표가 달라지게 되고, 이는 학교 전체의 교육 문화에 영향을 미치게 되는 만큼 학교 관리자의 인식 변화 및 역량 함양이 우선 필요하다[3][4]. 학교 관리자의 역할은 교육 전체의 커리큘럼 구성뿐만 아니라 예산 및 행정 지원까지 포괄하는 학교 운영 전반의 광범위한 권한을 행사하며 학교 환경에서 교육 구현에 상당한 영향을 미치고 있다고 볼 수 있기 때문이다[5]. 본 논문에서는 초등학생의 정보보안 교육의 중요성을 통감하여 학교에서의 정보보안 교육을 위해 교과서 수준에는 미치지 못하지만, 대체 교과 정도 수준에서라도 어려운 개념을 쉽게 파악하고 정확하게 인지하며, 스스로의 정보를 지킬 수 있으며 추후 나아가 정보보안 전문가 인재가 될 수 있는 방향성을 제시할 수 있도록 구상하였다. 앞서 언급한 바와 같이 본 프로그램은 초등학생 현장 교육뿐만 아니라 학교 교원연수와 관리자 연수를 통하여 일차적으로 교수자의 역량 강화를 위한 프로그램으로 구상하였다. 해킹 원리 교육 프로그램의 효과성을 분석하기 위하여 학교 관리자를 대상으로 연수를 구상하고, 총 69명의 교장이 2회에 걸쳐 총 3차시 교육 연수에 참여하였다. 그 결과 4.87의 높은 만족도를 기록하였으며 FGD(Focus Group Discussion) 분석 결과는 해킹 원리 교육이 학교 현장에서 얼마나 필요한지를 보여주었다. 3차시로 구성된 안면인식 기술 원리 교육 프로그램은 현장 교원에게 다양한 교수학습자료를 제공하고 교수할 수 있는 연수를 운영하였으며 총 46명의 교원이 참가하였다. 총 2회에 걸친 연수를 통해 효과성 분석을 통하여 다양한 기술적 지식과 흥미로운 방식의 수업 설계로 향후 교육 프로그램을 고도화할 수 있는 유의미한 결과를 얻었다. 블록체인 핵심원리 교육은 온라인과 오프라인 수업 환경에서 모두 활용할 수 있도록 설계하였으며 전국의 초등학생 2학년부터 6학년 303명을 대상으로 교육을 시행하였다. 대응 표본 t-검정 결과 시행된 모든 항목에서 통계적으로 유의한 상승률을 보였다. 본 세 가지 교육 프로그램의 다양한 대상자를 통한 높은 만족도 등의 검증 결과는 본 연구가 초등학생을 대상으로 하는 사이버보안의 어려운 기술 원리 등을 여러 학습 도구를 통하여 쉽게 구상하여 학교 현장에 적용하는 것에 대한 향후 발전 가능성을 보여준다. The development of information systems is leading modern society to an era of digital transformation in conjunction with the advanced information and communications technology platform. Put differently, contemporary society is gradually transforming into an information society with cutting-edge content. As the value of information increases, so do hackers’ techniques in taking advantage of unfair profits. However, education on information ethics and information protection that must be provided to people as members of the information society is still not sufficiently conducted. In the atmosphere of social change, in the 2015 curriculum, information education was designated as an essential subject and revised to keep up with the social change.. Moreover, the importance of such curriculum is expected to gradually increase in order to cultivate talented people in accordance with the gradually developing future society. However, information education is currently operated at the discretion of schools or teachers during creative experience activities. Furthermore, information security education is also limited to Netiquette-centered information ethics education because it is difficult for teachers to know what to teach students in order for them to practice information security due to the absence of regular subjects. In particular, in the case of elementary school students, the Internet utilization rate is very high. Moreover, there is a dire need for information protection education as cybercrime against elementary school students increases rapidly. Furthermore, in the case of elementary school students with weak awareness of information protection or security, it is common to easily inform others of the information about themselves and the people around them, and use such information without any guilt. Therefore, it is a common opinion from a national point of view that education on information security is necessary to protect and prevent students from engaging in cybercrime. In this situation, professional information education that delivers professional knowledge to elementary school students for information security education can cause learners to lower their learning achievement. Hence, this paper devised and applied for an easily accessible education program. In this paper, three educational programs were developed and demonstrated. The first is a teaching tool that can grasp the core principles of blockchain technology that applies gamification. This allows elementary school students to naturally learn the concept of information security while playing games in consideration of their understanding of information security education. The second proposed educational program allows learners to naturally learn network hacking jargon and core technologies. This is done by devising attack and defense scenarios and experiencing hacking principles in board games, which are the main interests of many teenagers. In addition, this is a scenario-based education program that makes it easier for learners to access technical parts to cultivate their ability to protect information. Moreover, it aims to strengthen the learners’ computing and thinking skills by helping them understand the role of security equipment applicable to the network by configuring panels that act as security equipment applied in a network environment to perform attacks. The third is one of the new technologies of the future and is an educational program that allows students to learn the facial recognition technology of intelligent CCTV, which is very familiar and widely-used to our society. In combination with cybersecurity forensics, it is designed to make it easier for students to access complex principles by using rich techniques that use pictures, sketches, symbols, signs, and icons to express hidden issues in complex situations as images. For stable education for elementary school students, as mentioned above, instructors or field teachers should be educated to easily access the problematic principles and correct concepts of information security. To this end, the vision and goals of the school organization vary according to the perception and will of the school manager, which affects the educational culture of the entire school. As such, it is necessary to change the perception and develop the competency of the school manager first. This is because school managers exercise a wide range of powers that cover the curriculum component of the entire education, budget, and administrative support, which have a significant impact on the education implementation in the school environment. In this study, we designed the educational programs to easily identify, accurately recognize complex concepts, protect students’ information, and further present directions to become information security experts. Although the educational program proposed in this paper may not reach the level of textbooks for information security education in schools, it is designed at the level of alternative curriculum. In addition, as mentioned earlier, this program was first conceived to strengthen the instructors’ competence through school teacher and administrator training prior to field education for elementary school students. To analyze the effectiveness of the hacking principle education program, training sessions were planned for school principals . A total of 69 principals participated in three educational training sessions twice. As a result, high satisfaction of 4.87 was recorded, and the focus group discussion analysis results confirmed the requirement of hacking principle education in school. Furthermore, to analyze the effectiveness of the education program for learning facial recognition technology principle composed of three lessons, various teaching and learning materials were provided to field teachers as part of the training. A total of 46 teachers participated in this program. Through two training sessions and effectiveness analysis, meaningful results were obtained to upgrade future educational programs with various technical knowledge and attractive instructional design. Additionally, blockchain core principle education was designed to be used in online and offline class environments. Education was conducted for 303 elementary school students from 2nd to 6th grades nationwide. As a result of the corresponding sample t-test, there was a statistically significant increase in all items performed. The verification results, such as high satisfaction through various subjects of these three educational programs, show the possibility of future development of this study for easily conceiving the difficult technical principles of cybersecurity for elementary school students through various learning tools.

지방자치단체의 정보보호서비스 대가 산정 모델 적용 성과 분석 및 개선 방안

오상익 제주대학교 2020 국내석사

초연결 ICT융합기술과 서비스가 발전하면서 보안위협의 양상이 기존 개인을 대상으로 한 개인정보 유출이나 단순한 금전 탈취 수준을 넘어 국가나 지방자치 단체, 공공기관 등을 대상으로 한 사이버 공격이 늘어나고 있다. 국내외적으로 많은 기관에서는 각종 침해사고를 능동적이고 선제적으로 예방하기 위해 다양한 정보보호 관리체계 제도를 도입하여 운영하고 있다. 하지만, 시군구 단위의 지방 자치단체인 경우 정보보호를 위한 자발적인 관심과 노력이 낮고 침해사고가 발 생할 당시에만 정보보호에 관심을 갖고 그에 따른 예산을 편성하기에 급급하여 속출하는 사이버 공격의 위협에 효과적으로 대응하지 못하고 있는 실정이다. 이 러한 산업 전반에 뿌리박힌 정보보호에 대한 낮은 인식과 적용, 전문 인력 부족 등의 고질적인 정보보호 생태계에 대한 체질을 개선하고 선순환 구조를 조성하 고자 과학기술정보통신부가 2015년에 정보보호 산업 진흥에 관한 법률을 제정하 였다. 이 법률에는 정보보호업체가 공공기관이 도입한 정보보호제품 및 정보보호 서비스에 대한 품질 향상을 위하여 정보보호서비스 대가 산정체계를 도입하였고, 이들 기관에서는 제공받고 있는 정보보호서비스에 대해 적정한 대가를 지불할 수 있도록 하였지만, 이 제도를 도입한 기관은 그리 많지 않다. 본 논문은 정보보호서비스 대가 산정체계를 도입하여 운영 중인 기관의 사례 분석 및 이용자 대상으로 정보보호서비스 제공과 관련하여 적정한 정보보호서비 스 대가 산정 모델 적용에 대해 세밀하게 분석하여 조직의 정보보호성과에 어떠 한 영향을 미치는지 실증을 위해 기존 문헌을 중심으로 선행연구 조사와 도입기 관의 사례분석을 통해 연구모형과 연구가설을 도출하였고, 가설검증을 위한 자료 를 수집하기 위하여 설문조사를 실시하였다. 설문조사는 정보보호서비스 대가 산 정 모델 도입 기관의 정보보호 및 정보화담당자를 비롯한 정보화담당부서 공무 원들과 이 기관을 대상으로 한 정보화 및 정보보호 관련 프로젝트를 수행하거나 수행한 경험이 있는 제주지역 ICT업체를 대상으로 실시하였으며, 수집된 자료를 바탕으로 다중회귀분석방법을 이용하여 가설검증을 하였다. 정보보호서비스 대 가 산정 모델과 정보보호성과에 미치는 영향에 대한 실증 분석결과를 살펴보면, 정보보호서비스 품질은 정보보호성과에 긍정적인 영향을 부분적으로 미치고 있 음이 확인되었으며, 정보보호서비스에 대한 적정한 비용 산정을 위한 정보보호서 비스 대가 산정 모델 적용은 정보보호서비스 품질 향상에 긍정적인 영향을 부분 적으로 미치고 있음이 확인되었다. 또한, 정보보호서비스 대가 산정 모델을 기 관에 도입하여 이에 따른 적용이 정보보호성과에 긍정적인 영향을 부분적으로 미치고 있음이 확인되었다. 정보보호서비스 대가 산정 모델이 국가 및 공공기관 에 정착되려면, 현재 정보보호 산업 진흥에 관한 법률에 정보보호서비스 대가 산 정 체계를 도입할 수 있다고 권고수준에서 명시한 조항을 ‘국가 및 공공기관에서 는 반드시 반영하여야 한다.’고 강제성을 부여하도록 개정할 필요가 있으며, 국가 및 공공기관이 정보보호서비스 대가 산정 모델 도입을 자발적으로 유도하기 위 한 ‘정보보호 적용 인센티브’를 마련할 필요가 있다. 본 논문은 지방자치단체의 정보보호서비스 대가 산정 모델 도입이 정보보호성 과에 미치는 영향에 관해서 실증연구와 현행 정보보호서비스 대가 산정 모델의 문제점과 개선방안을 도출했다는 점에서 기존 연구와 다른 관점에서의 연구이며, 향후 정보보호서비스 대가 산정 모델 도입을 검토하는 국가 및 공공기관이나 공 공과 정보보안 산업과의 상생할 수 있는 건전한 정보보호 산업의 생태계 조성과 관련된 정책 수립 시 유용한 참고자료로서 활용될 수 있는데 의미를 갖게 될 것 으로 기대된다.

지능정보기술 핵심역량에 기반한 미래 정보보호기술 교육 프로그램 개발 및 적용

정유진 제주대학교 2020 국내석사

현장 경찰관 디지털포렌식 역량 강화를 위한 교육과정 개발

김현주 제주대학교 대학원 2022 국내석사

디지털기기 사용이 보편화된 오늘날 디지털포렌식을 통한 경찰의 범죄 수사가 크게 늘고 있다. 디지털포렌식은 법원에서 발부받은 압수수색영장이나 디지털기기 제출자의 동의를 얻어 디지털기기에 저장된 정보를 추출하여 분석하는 작업으로 디지털기기에 저장된 방대한 정보에 범행을 입증할 수 있는 결정적인 범죄 단서가 남아 있는 경우가 많아 최근 수사에 있어서 필수 불가결한 요소로 자리 잡게 되었다. 그런데 컴퓨터나 스마트폰 같은 디지털기기에 대한 지식이 많지 않은 대부분의 현장경찰관이 디지털증거 압수수색현장을 직접 담당하고 있기 때문에 현장경찰관이라면 디지털포렌식에 대한 기본적인 이해와 디지털증거 압수수색 절차에 대한 지식이 반드시 필요하다. 본 연구는 디지털포렌식 관련 전문지식이 없는 현장경찰관의 디지털포렌식 역량 강화를 위한 교육과정을 구성하는 방법을 알아보고자 하였다. 2019년부터 2021년까지 제주경찰청 소속 현장경찰관 대상 디지털포렌식 교육을 실시하면서 교육효과를 극대화하기 위해 교육 전 교육 신청자 상대로 희망교육 분야를 파악하여 가장 많이 희망하는 분야 위주로 교육 과목을 편성하고 교육시간을 배정하였으며 교육 과정에 대한 실증 분석을 위해 교육 수료자 상대로는 교육 관련 현장의견 조사와 만족도 조사를 실시하였다. 또한 교육의 효과를 알기 위해 교육 수료 후 교육 내용을 바탕으로 문제를 구성하여 디지털포렌식 퀴즈대회를 실시하는 등 다양한 방법으로 교육과정을 구성하여 진행하였다. 제주경찰청에서 실시한 교육과정과 교육을 수료한 현장경찰관의 의견(열린 문항)을 질적분석한 결과 현장경찰관의 디지털포렌식 역량강화를 위한 교육과정을 설계한다면 다음과 같은 사항을 고려할 필요가 있다. 첫째 디지털증거 압수수색절차 교육은 필수적으로 모든 수사관에게 기본 교육으로 실시해야 한다. 디지털증거 압수수색 절차와 관련 서류 작성법은 반드시 필요한 교육으로 경찰청에서 제작한 표준강의안에 각 시도경찰청의 실정에 맞는 부분과 실제 사례를 반영하여 교육을 하는 것이 더욱 효과적이라고 생각된다. 더불어 교육대상자별 맞춤형 강의안을 마련할 필요가 있다. 수사부서별로 처리하는 사건의 종류가 다르기 때문에 같은 디지털기기라도 처리하는 사건에 따라 주의 깊게 봐야 하는 자료가 다를 수 있으므로 각 수사부서별 처리 사건에 맞는 맞춤형 강의안이 필요하다. 둘째, 디지털증거분석 건수의 80% 이상을 차지하고 있는 모바일기기(스마트폰)에 대해 모바일기기 압수시 유의 사항, 모바일기기에 저장되는 기본적인 정보의 종류, 디지털증거분석 결과물에서 사건과 관련한 자료를 탐색·추출하는 방법 등 모바일기기에 대한 심화 교육이 필요하다. 모바일기기의 경우 종류가 너무 많아 기종 및 버전에 따라 사용법이 다르고 새로운 어플리케이션이 꾸준히 생겨나고 있으며 모바일기기 운영체제인 안드로이드 버전이나 IOS 버전이 계속 업데이트 되고 있어 이에 대한 지속적인 교육이 필요하다. 셋째, 실제 현장에서 디지털증거와 관련하여 논의가 되었던 부분과 현장경찰관이 디지털증거 수집과정에서 디지털증거와 관련하여 궁금했던 사항, 실제 법원에서 증거능력을 인정받거나 부정 받은 사례를 대법원 판례 위주로 구성하고, 디지털증거와 관련한 새로운 판례가 나올 경우 최신 판례에 대한 내용도 교육에 반드시 반영해야 한다. 그리고 실습 위주의 교육을 희망하는 경우가 많으니 대면 교육을 진행하는 경우 실습 환경을 잘 구축하여 교육생의 흥미를 유발할 수 있도록 하고, 실습환경 구축이 쉽지 않은 상황이라면 실습 과정을 촬영한 동영상 형태의 교육자료를 만들어서 교육하는 것도 효과적일 것이다. 넷째, 디지털포렌식 교육의 효과를 높이기 위해서는 카드뉴스나 퀴즈와 같은 다양한 형태의 교육자료를 개발하면 좋을 것으로 판단된다. 제주경찰청에서 자체 제작한 카드뉴스나 퀴즈 외에도 퍼즐, 숨은그림찾기 등 흥미를 유발할 수 있는 교육자료를 다방면으로 개발하여 디지털포렌식 교육에 적극 활용해야 한다. 다섯째, 경찰 업무 특성상 교대부서에서 근무하는 경우가 많고, 당직근무, 피의자 체포 및 호송, 집회시위 같은 상황 발생으로 정해진 교육 일정에 참여하기가 쉽지 않으므로 언제 어디서나 접속이 가능한 인터넷을 통해 디지털포렌식 관련 강의를 들을 수 있는 사이트를 구축하여 운영하는 것도 좋은 방법이다. 컴퓨터나 스마트폰을 통해 쉽게 접속이 가능하며, 집중도가 떨어지지 않을 만큼의 적당한 분량의 동영상 강의를 분야별로 세분화해서 구성하여 듣고 싶은 강의를 선택해서 들을 수 있도록 한다. 업무상 보안이 요구되는 자료가 아닌 디지털포렌식 전반적인 내용 및 디지털증거 압수수색 현장에서 필요한 서류, 각종 법령과 규칙도 손쉽게 다운로드 받을 수 있다. 또한 실제 압수수색 현장에서 확인해야 하는 부분이 생겼을 때 실시간 채팅을 통해 질의를 할 수도 있고 교육자료 등 게시글에 대해서 댓글을 통해서도 질문을 할 수 있으며, 교육 관련 건의사항과 같은 현장경찰관의 의견 수렴도 쉽게 할 수 있어 추후 교육자료를 개발하거나 교육과정을 설계하는 데에도 도움이 될 거라고 생각한다. 디지털기기가 제대로 확보되어야 증거능력이 있는 디지털증거로 거듭날 수 있는 만큼 사건 해결에 있어서 현장경찰관의 디지털포렌식 역량은 점점 더 중요해질 것이다. 이 연구 결과를 토대로 현장경찰관의 디지털포렌식 역량을 강화시킬 수 있는 교육과정에 대한 연구가 계속되어 현장경찰관들이 쉽게 디지털포렌식을 접하고 실제 압수수색현장에서 바로 적용할 수 있는 다양하고 효과적인 교육방법이 개발되기를 희망한다. Today, when the use of digital devices has become more common, the number of criminal investigations by the police through digital forensics is increasing significantly. Digital forensics is a process of extracting and analyzing information stored in digital devices with the consent of court-issued seizure warrants or digital device submitters, and has often become an indispensable factor in recent investigations. However, since most field police officers who do not have much knowledge of digital devices such as computers and smartphones are in charge of digital evidence seizure and search sites, field police must have a basic understanding of digital forensics and knowledge of digital evidence seizure. This study attempted to find out how to construct a curriculum to strengthen the digital forensics capabilities of field police officers without expertise related to digital forensics. From 2019 to 2021, digital forensics education for field police officers belonging to the Jeju National Police Agency was conducted to maximize the educational effect, and education subjects were organized and training hours were allocated. In addition, in order to know the effectiveness of education, the curriculum was organized and conducted in various ways, such as holding a digital forensics quiz contest by organizing questions based on the contents of education after completion of education. As a result of qualitative analysis of the opinions of field police officers who completed the curriculum and training conducted by the Jeju Police Agency, the following matters need to be considered when designing a curriculum to strengthen their digital forensics capabilities. First, education on digital evidence seizure and search procedures must be provided as basic education to all investigators. The digital evidence seizure and search procedures and related document preparation methods are essential training, and it will considered more effective to reflect the actual cases of each city and province's police agency in standard lectures produced by the National Police Agency. In addition, it is necessary to prepare a customized lecture plan for each subject of education. Since the types of cases handled by each investigation department are different, data that must be carefully viewed may vary depending on the case handled by the same digital device, so customized lectures are needed for each investigation department. Second, for mobile devices like smartphones, which account for more than 80% of digital evidence analysis, in-depth education on mobile devices is needed, such as precautions when confiscating mobile devices, types of basic information stored in mobile devices. In the case of mobile devices, there are so many types that there are different usage methods depending on the model and version, and new applications are steadily emerging, and Android and IOS versions, which are mobile device operating systems, continue to be updated, requiring continuous training. Third, what was discussed about digital evidence at the actual site, what the field police officer was curious about digital evidence in the process of collecting digital evidence, and cases of actual court recognition or denial of evidence ability must be reflected in the education. In addition, since there are many cases where practical education is desired, the training environment should be well established to induce the interest of trainees when conducting face-to-face education. If it is not easy to establish a practice environment, it would be effective to create and educate educational materials in the form of videos that filmed the practice process. Fourth, in order to increase the effectiveness of digital forensics education, it would be good to develop various types of educational materials such as card news and quizzes. In addition to card news and quizzes produced by the Jeju Police Agency, educational materials that can induce interest, such as puzzles and Finding hidden pictures, should be developed in various ways and actively used for digital forensics education. Fifth, due to the nature of police work, they often work in the shift department, and it is not easy to participate in the set training schedule due to situations such as on-call work, arrest and escort of suspects, and assembly demonstrations. Therefore, it is also a good idea to establish and operate a site where you can listen to lectures related to digital forensics through the Internet that can be accessed anytime, anywhere. It can be easily accessed through a computer or smartphone, and the appropriate amount of video lectures is subdivided into fields so that the concentration does not decrease, so that you can select and listen to the lectures you want to listen to. It is easy to download the overall contents of digital forensics, documents necessary at the site of seizure and search of digital evidence, various laws and regulations, not data that requires business security. In addition, inquiries can be made through real-time chat when there is a part that needs to be checked at the actual seizure and search site. In addition, you can ask questions about posts such as educational materials through comments, and it is easy to collect opinions from field police officers such as educational-related suggestions. Therefore, it will be helpful in developing educational materials or designing a curriculum in the future. Only digital evidence collected and analyzed through due process is recognized as evidence in court. Thus, the digital forensics ability of field police officers will become increasingly important in case resolution. Based on the results of this study, we hope that research on the curriculum that can strengthen the digital forensics capabilities of field police officers will continue, and various and effective educational methods will be developed that can be applied directly to actual seizure and search sites.

미국 감찰관 제도 고찰을 통한 제도적 발전방안

김기응 제주대학교 대학원 2024 국내박사

All countries introduce their own audit bodies as various internal control measures to ensure transparency, economy, efficiency, and legality of state operations, and the U.S. Inspector General has been operating for about 40 years, raising and developing many achievements. First, the origin and development of the US Inspector General have been influenced by the interaction of stakeholders such as Congress, the president, the heads of agencies, and the public and how they meet and coordinate each other's expectations, and Congress played a major role in the establishment of the Inspector General. The characteristics of the U.S. Inspector General are that inspectors general are appointed solely based on ability regardless of political orientation, dismissal is based on one's own willingness rather than external pressure, and focus solely on monitoring the policy execution process without participating in the policy-making process. Depending on the method of appointment, US inspectors general are largely divided into PAS inspectors general and DFE inspectors general, but both authority and responsibility are the same. However, due to claims that PAS inspectors general are more productive than DFE inspectors general as a result of the operation, DFE inspectors general have been converted to PAS inspectors general in some cases, and recently, they have been recommended. The authority and responsibility of inspectors general are further strengthened through the revision of the inspector general law and related laws, and inspectors general are positioning themselves as monitors who promote the efficiency, economy, and integrity of the government. Each office of inspector general is regarded as an independent institution because it guarantees independence in the process of accessing information and performing duties, and the inspector general has the authority, responsibility, and function of the head of the agency or the appointee in relation to the affairs. The inspector general of the United States has a special nature of being responsible for both the agency and Congress. Responsible for conducting audits, evaluations(inspection), investigations and reporting on the programs and operations of the inspector-affiliated institutions. In the course of performing the work, the standards set by Government Accountability Office(GAO) are applied to the audit, and the standards set by the CIGIE are applied to the evaluation and investigation. The organization is operated by appointing auditor(Assistant), evaluator (Assistant), and investigator(Assistant) according to the characteristics of the agency's work. Most inspectors' term of office is 10 years and there is no limit to the number of consecutive terms, so they can continue to work regardless of the president's replacement, and in the case of dismissal, the independence of inspectors general was enhanced by requiring Congress to notify the reason 30 days in advance. In addition, only "for cause" is allowed as the basis for dismissal, which the Ministry of Justice argued may infringe on the president's right to command personnel of the administration, but the court interprets that this restriction does not fundamentally violate the president's right to personnel due to the separation of powers. This is because it does not completely deprive the president of his right to dismiss, but only restricts it. Organizations that oversee such inspectors general include (1) the Integrity Committee under the CIGIE, which investigates claims of misconduct by inspectors and office staff, (2) GAO, which issues standards for inspectors general performing work, (3) the president, (4) the Congress, and (5) the leadership of organizations that exercise general supervision over inspectors general. It can be said that the inspector general has stakeholders (Congress, agnecy leadership, and staff) that he faces in the process of performing his duties, and how to maintain the relationship with these stakeholders is directly linked to the inspector general's performance. Just because the inspector general is independent does not mean he should be isolated. To become a successful inspector, one must maintain good relations with the agnecy and its employees. This is because isolated inspectors general without the cooperation of the institution cannot perform their duties properly. In the end, the inspector general must balance these stakeholders with their independence and collaborative relationships. In relation to Congress, it can be said that the role of Congress is important because the inspector general's office provides important political and financial support to maintain independence within the agency. In the end, the inspector general's office must comply with the demands of Congress, respond to challenges against them, maintain balance, and not confront each other. Regarding the activities of the inspector general, it is the function of e Inspector General Council(CIGIE), a community of inspectors. It operates an integrity committee that enhances transparency and accountability of the inspector organization while functioning as a space for communication, setting professional standards for inspector activities, providing inspector appointment procedures, recruitment of staff, and training opportunities. Measures to secure the responsibility of inspectors general include disclosure of reports prepared by inspectors general, the president's authority to dismiss inspectors general, and peer review, and peer review to check whether inspectors general have met the standards set by the CIGIE. The last thing the inspector general aspires to do is to see that their efforts have improved the operations of their agencies. What to see as the difference(performance) of the inspector and how to make this difference(performance) can be said to be the inspector general's homework. 모든 국가는 국가 운영의 투명성, 경제성, 효율성, 적법성을 확보하기 위해 다양한 내부통제 수단으로 자체감사기구를 도입하고 있으며, 이런 가운데 미국의 감찰관 제도는 약 40여 년간 운영해오면서 많은 성과를 드높이고 발전해왔다. 먼저 미국 감찰관 제도의 유래와 그 발전과정은 이해관계자인 의회, 대통령, 기관의 장, 대중 등의 상호작용과 서로의 기대를 어떻게 충족하고 조율하는가에 따라 영향을 받아왔고, 의회는 감찰관 제도의 정착과정에 큰 역할을 하였다. 미국의 감찰관 제도의 특징은 감찰관은 정치적 성향과 관계없이 오로지 능력에 근거하여 임명하도록 하고, 해임은 외부 압력보다는 본인의 자발성에 기초하여 면직하도록 하고 있으며, 정책을 결정하는 과정에는 참여하지 않고 오로지 정책의 집행과정 모니터에 초점을 두고 있다. 미국 감찰관은 임명 방법에 따라 PAS 감찰관과 DFE 감찰관으로 크게 구분되나 권한과 책임은 모두 같다. 하지만 운영 결과 PAS 감찰관이 DFE 감찰관보다 더 생산적이라는 주장에 따라 몇몇 경우에는 DFE 감찰관이 PAS 감찰관으로 전환되었으며 최근에는 이를 권고하는 추세이다. 감찰관의 권한과 책임은 감찰관법과 관련 법의 개정을 통해 더욱 강화되고 있으며, 감찰관은 정부의 능률성, 경제성, 청렴성을 증진하는 감시자로 자리매김을 하고 있다. 감찰관의 정보에 대한 접근과 업무수행 과정에서 독립성을 보장해 주고 있어 각 감찰관실은 독립된 기관으로 간주 되고, 이에 감찰관은 그 사무와 관련하여 기관의 장 또는 임명권자의 권한, 책임, 기능을 가진다. 미국의 감찰관은 소속 기관과 의회 양쪽에 책임을 지는 특별한 속성을 지니고 있다. 감찰관 소속 기관의 프로그램 및 운영과 관련하여 감사, 평가(감찰), 조사를 수행하고 이를 보고하는 책임을 진다. 업무 수행과정에서 감사에는 감사원(GAO)이 세운 기준을 적용하고, 평가와 조사에는 감찰관 협의회(CIGIE)가 세운 기준을 적용하고 있다. 기관의 업무 특성에 따라 감사, 평가(감찰), 조사 감찰관 보(Assistant)를 임명하여 조직을 운영한다. 감찰관의 임기는 대부분 10년으로 하고 연임 횟수에는 제한이 없도록 하고 있어 대통령의 교체와 관계없이 계속 근무할 수 있으며, 해임할 경우에는 의회에 30일 전에 그 사유를 통지하도록 규정함으로써 감찰관의 독립성을 끌어 올렸다. 또한, 해임의 근거로 “for cause”에 한해 할 수 있도록 하고 있는데, 이에 대해 법무부는 대통령의 행정부 공무원에 대한 인사지휘권을 침해할 소지가 있다고 주장하였지만, 법원은 이러한 제한은 삼권분립에 따른 대통령의 인사권을 근본적으로 침해하는 것은 아니라고 해석하고 있다. 왜냐하면 대통령의 해임 권한을 완전히 박탈하는 것이 아니고 단지 제한하고 있기 때문이다. 이러한 감찰관에 대한 감독을 수행하는 기관으로는 (1)감찰관과 감찰관실 직원의 비위 주장을 조사하는 감찰관협의회 산하 청렴위원회 (2)감찰관 업무수행기준을 발행하는 감사원(GAO) 등 정부기관 (3)대통령 (4)의회 (5)감찰관에 대한 일반적 감독 권한을 행사하는 기관 지도부 등을 들 수 있다. 감찰관이 업무수행 과정에서 직면하게 되는 이해관계자(의회, 기관 지도부, 직원)가 있고 이러한 이해관계자와의 관계를 어떻게 유지하는가는 감찰관의 성과와 바로 연결되어 있다고 할 수 있다. 감찰관이 독립적이다 라고 해서 고립되는 것을 의미하는 것은 아니다. 성공적인 감찰관이 되기 위해서는 기관 및 직원들과 좋은 관계를 유지해야 한다. 기관의 협조가 없는 고립된 감찰관이 제대로 본연의 업무를 수행할 수 없기에 결국 감찰관은 이들 이해관계자와 독립성과 협업적 관계 사이에 균형을 유지해야 한다. 의회와의 관계에서도 감찰관실이 기관 내에서 독립성을 유지하도록 하는 중요한 정치적 재정적 지원을 하고 있기에 의회의 역할이 중요하다고 할 수 있다. 결국은 의회의 요구에 감찰관실은 순응해야 하고, 이들에 대한 도전에 대응하고 균형을 유지 하도록 하며 서로 맞서도록 해서는 안 된다. 감찰관의 활동과 관련하여 주목할 것은 감찰관 공동체인 감찰관 협의회(CIGIE) 기능이다. 이곳은 소통의 공간으로 기능을 하고, 감찰관 활동의 전문적 기준을 설정 하고, 감찰관 임명 절차, 직원 모집, 훈련 기회 등을 제공하면서 감찰관 조직의 투명성과 책임성을 증진하는 청렴위원회를 운영하고 동료 심사를 시행하고 있다. 감찰관의 책임성을 확보하는 방안으로는 감찰관이 작성한 보고서 공개, 대통령의 감찰관 해임 권한, 동료 심사 등이 있고, 동료 심사를 통해 감찰관들이 감찰관 협의 회(CIGIE)가 제시한 기준을 충족하고 있는지를 점검한다. 마지막으로 감찰관이 열망하는 것은 그들의 노력이 그들 기관의 운영을 개선했음을 보기를 원하는 것이다. 무엇을 감찰관의 차이(성과)로 볼 것인가와 이러한 차이(성과)를 어떻게 만들어 낼 것인가는 감찰관의 숙제라고 할 수 있다.

블록체인을이용한학교생활기록부 신뢰성확보방안

김희경 제주대학교 2020 국내석사

본 연구의 목적은 시·도교육청에서 공통적으로 사용하고 있는 교육행정정보시 스템 내에 학교생활기록부가 학생이 초등학교에서 고등학교까지의 학교생활 전반에 대한 교육활동과 함께 개인의 성장과정이 매우 세밀하게 기록되어 있는 중요한 개인 정보이며 교육활동 결과물로서 안정적으로 보호되어야 하므로 현행시스템 기술방식 보다 더 보안성이 강화된 기술 적용방식에 대한 연구의 필요성에 의해 블록체인 기 술구현 방법을 제안하는 것이다. 교육행정정보시스템은 일반행정, 교무업무, 학교행정 등 전 교육행정업무를 교육청 과 각급 학교에서 자체 운영 및 교육부와 대학 등에 전자적으로 연계 처리할 수 있 도록 2002년 11월에 초기 구축을 시작으로 2006년과 2010년에 두 차례 개편하여 현 재까지 운영되고 있으며, 교육부와 시·도교육청에서는 2022년에 4세대 시스템 개편 을 목표로 준비하고 있다. 교육행정정보시스템은 교육행정의 효율성과 대국민 서비스를 향상시키는 등의 성 과을 거두고 있으나, 일부 학교에서 관련 규정을 어기고 중요한 데이터인 학교생활 기록부 내용을 부당하게 정정하는 사건이 간헐적으로 발생하고 있어 위·변조와 불법 유출의 위험성이 내포되어 있다. 이러한 교육행정정보시스템의 문제점을 개선하고 학교생활기록부 데이터의 신 뢰성을 확보하기 위해 본 논문에서는 허가된 조직과 개인만이 참여할 수 있는 Private 블록체인을 적용하여 허가받지 않은 자에 의한 블록네트워크 참여를 방 지하고, 내부자에 의한 위변조를 방지할 수 있는 방안을 연구하였다. 오픈소스인 하이퍼레저 패브릭 블록체인 기술을 기반으로 두 종류의 블록 데 이터(학교생활기록부 학생정보 블록과 접근기록 블록)를 생성하여 허가된 권한을 받은 참여자에 의해서만 등록, 수정, 열람할 수 있는 블록 메커니즘을 제시하였 다. 2018년 숙명여고 시험지 유출사건 및 학교생활기록부 조작 등의 일련의 사건 으로 인해 교육기관에서는 학교생활기록부 권한체계 강화, 2차 인증 도입, 학교 생활기록부 수정이력 저장 등으로 교육행정정보시스템 보안체계를 강화하고 있 으나, 이는 근본적인 해결방안이라기엔 부족한 점이 있다. 하이퍼레저 패브릭 블록체인 기술기반 프라이빗 블록체인 네트워크를 구현함 으로서 인증센터(Fabric-CA)를 통해 인증받은 참여자만 네트워크에 참여할 수 있다. 비트코인이나 이더리움은 블록네트워크에 모든 노드들이 데이터를 공유하나, 하이 퍼레저 패브릭에서는 데이터 공유가 허용된 조직끼리만 채널을 구성할 수 있어 다수 의 블록네트워크를 구현하여 채널별로 독립적인 블록체인을 유지할 수 있다. 또한 PDC(Private Data Collection) 기능을 적용함으로서 동일 채널내에서도 인가받은 조직만 암호화된 프라이빗데이터 원본을 공유할 수 있다. 이러한 하이퍼레저 패브릭 블록체인 기술을 적용한 블록체인 네트워크 구현 시 블록네트워크 CA에 의한 권한인증 검증이 가능하므로 사람에 의한 2차인증 을 하는 불편함을 해소할 수 있으며, 블록네트워크로 데이터를 관리함으로서 수 정이력을 저장하는 관리상의 번거로움을 해결할 수 있다. 본 연구를 통해 제3자에 의한 생활기록부의 위·변조방지와 부인방지, 접근통제 를 확보할 수 있는 방안을 마련하였으며, 실제 학교생활기록부 시스템에 적용하 게 된다면 학교생활기록부 운영과 관리에 대한 사회적 신뢰형성이 향상될 것으 로 기대한다.

망분리 적용 및 정착을 위한 기술적 방안에 관한 연구 : 망연계를 통한 웹 데이터 전송 방법을 중심으로

정원치 제주대학교 2020 국내석사

다양한 정보보안 사고가 지속적으로 발생하며, 그 방법과 피해는 점차 증가하 고 있으며, 이에 따라 정보보안의 중요성도 강조되고 있다. 기업 또는 기관의 인프라 환경 구성이 중요하며, 안전한 네트워크 토폴로지를 설계하기 위해 많은 노력과 예산을 투입해야 하는 사안이다. 특히, 네트워크 망 분리를 선택하는 기업 또는 기관의 도입 이유는 법령, 정보보호 평가 등을 통해 강요받기 때문만은 아니다. 4차 산업혁명시대라고 말하는 초연결 사회 (Hyper-connected Society)에서 정보보안 정책으로 선택할 수 있는 네트워크 보 안 선택 방법은 정보보호 장비를 통해 서버나 PC를 호스트 관점에서 차단할 수 있지만, 네트워크를 원천적으로 차단하는 망분리가 더욱 효과적이기 때문에 많은 기관과 기업들이 선택하고 있다. 그만큼 정보보안 측면에서 효과적인 것은 사실이지만 모든 기관의 망분리가 성공적으로 적용되고 안전하게 관리 되는 것은 아니다. 경영진의 낮은 의지, 업 무 효율성 저하, 직원의 강한 저항, 변화관리의 실패, 기술적은 보완책 미비 등의 다양한 이유로 막대한 예산을 투입했지만 기업 상황에 맞지 않는 환경에 의해 망분리를 재투자 하는 경우가 종종 존재한다. 논리적인 망분리를 적용한 기업이 물리적인 망분리로 전환 하거나, 물리적인 망분리가 다시 논리적인 망분리로 돌 아가는 경우도 있으며, 실효성 없는 껍데기 망분리를 운영하는 기관도 다수 존재 한다. 이 논문을 통해 제안하고자 하는 것은 망분리 도입 시, 고려 해야 할 정책과 기술적인 망분리를 분석하여, 망분리를 잘 정착할 수 있는 방안에 대해 분석하 고, 망분리 정책 안에서 업무 효율성은 증대할 수 있는 방안을 제시하고자 한다.

개인정보보호 강화를 위한 개인정보 관리역량 성숙도 모델 및 평가지표 개발

오상익 제주대학교 대학원 2023 국내박사

본 연구는 개인정보 취급자가 스스로 개인정보 관리역량성숙도를 측정 함에 있어 더욱 객관적으로 관리역량 수준을 확인하고 그 결과에 따라 개인정보 관리 현상에 대한 개선 또는 관리를 할 수 있는 평가지표를 개발하는 데 그 목적이 있다. 본 연구의 목적을 달성하기 위하여 선행연구 및 문헌을 고찰하여 연구에 필요한 개념을 설계하였다. 이를 토대로 현행 개인정보보호 및 정보보안 성숙도 모델의 문제점을 파악하였다. 기존의 ISMS-P, PIA, 공공기관 개인정보 관리 수준 진단, ISO27702 모델에서 75개 평가지표를 선정하였고, 개인정보 취급자의 역량과 윤리의식 측정을 위한 14개 항목을 신규 제안하여 총 89개의 평가지표를 도출하였다. 전문가패널을 대상으로 2차례에 걸쳐 델파이 조사하였고, 평가지표 간 상대적 중요도를 파악하기 위해 AHP 조사기법을 통해 가중치를 평가하였다. 그 결과 최종 평가지표는 5개의 상위개념, 17개의 하위개념, 89개의 세부 지표로 확정되었다. 평가지표를 측정할 성숙도 모델은 기존의 업무 연속성 성숙도 모델(BCMM)을 기반으로 하여 7단계(Very High, High, Very Medium, Medium, Low, Very Low, None)의 성숙도 수준으로 된 개인정보 관리역량 성숙도 모델(PCM2 : Privacy Competency Maturity Model)을 제안하였다. 본 연구에서 개발한 개인정보 관리역량 성숙도 모델과 평가지표에 대한 사용자의 신뢰도 검증 결과, Cronbach's α 값이 0.9 이상으로 매우 높은 것으로 분석되었다. 또한, 공공과 민간기관 종사자를 대상으로 개인정보 관리역량 자가 진단 테스트 결과, 공공이 민간보다 개인정보 관리역량 수준이 높은 것으로 나타났다. 기존 성숙도 측정모델인 PIA, CMMI와 제안한 성숙도 측정모델인 PCM2를 비교 분석한 결과, PIA와 CMMI는 개인정보처리자 평가에 적합하고, PCM2는 개인정보 취급자 평가에 적합한 것으로 나타났다. 지금까지의 개인정보보호 관련 역량 모델 평가에 관한 연구를 보면 정보보호 위주의 연구가 대부분이다. 기관 내에서 강력한 보호 대책 및 기준에도 불구하고 내부자에 의한 개인정보 침해사고가 꾸준히 발생하는 원인은 통제하는 주체와 통제받는 주체가 인간이다. 이러한 인간의 특성을 고려하여 개인정보 취급자의 관리역량과 윤리의식을 평가하기에는 기존의 성숙도 모델로는 한계점이 있다. 이 들의 평가 모델은 개인정보처리자인 기관의 개인정보보호 관리체계와 자산을 평가하기에는 적합하지만, 개인정보 취급자를 식별하고 평가하기에는 한계가 있다. 그렇기에 본 연구에서는 개인정보 취급자를 관점으로 기존의 모델을 한 단계 개선하고 인간의 내면을 고려한 개인의 관리역량과 윤리의식을 높일 수 있는 지표를 신규로 개발하여 개인정보 관리역량 성숙도 모델 및 평가지표를 개발하였다는데 큰 의의가 있다. 개발된 모델은 개인정보처리자가 아닌 개인정보 취급자를 평가 대상으로 한다는 점, 개인정보 관리역량성숙도 평가에 유용한 정보를 제공한다는 점, 그리고 평가의 실제적인 활용성을 위해서 개발하였다고 할 수 있다. 본 연구를 통해서 개발된 평가지표를 활용하여 개인정보 취급자가 스스로 업무를 수행하는데 세부적인 관리지침으로 활용할 수 있도록 하였으며, 개인정보 관리역량 수준을 진단하여 이를 기반으로 객관적이고 신뢰할 수 있는 개인정보보호 관리가 이루어질 수 있도록 할 뿐만 아니라 더욱 체계화된 개인정보 관리체계 정립에 기여될 것으로 기대한다. The purpose of this study is to develop an evaluation index that allows personal information handlers to more objectively check the level of management capability and improve or manage personal information management according to the results. In order to achieve the purpose of this study, the concepts necessary for research were designed by examining previous studies and literature. Based on this, the problems of the current personal information protection and information security maturity model were identified. A total of 89 evaluation indicators were derived by selecting 75 evaluation indicators from the existing ISMS-P, PIA, public institution personal information management level diagnosis, and ISO27702 model, and 14 new items for measuring personal information handler's competence and ethics. Delphi surveys were conducted twice on expert panels, and weights were evaluated through the AHP survey technique to understand the relative importance between evaluation indicators. As a result, the final evaluation index was confirmed as 5 higher concepts, 17 lower concepts, and 89 detailed indicators. The maturity model to measure the evaluation index proposed a Privacy Competency Maturity Model (PCM2) based on the existing Business Continuity Maturity Model (BCMM) with seven levels of maturity (Very High, High, Very Medium, Medium, Very Low, None). As a result of verifying the user's reliability of the personal information management competency maturity model and evaluation index developed in this study, it was analyzed that the Cronbach's α value was very high at 0.9 or more. In addition, as a result of the self-diagnosis test of personal information management capabilities for workers in public and private institutions, it was found that the public had a higher level of personal information management capabilities than the private sector. As a result of comparing and analyzing the existing maturity measurement models PIA and CMMI with the proposed maturity measurement model PCM2, PIA and CMMI are suitable for personal information controller evaluation, and PCM2 is suitable for personal information handler evaluation. Most of the studies on the evaluation of competency models related to personal information protection so far have focused on information protection. Despite strong protection measures and standards within the institution, human beings are the controlling and controlled entities that constantly cause personal information infringement accidents by insiders. In consideration of these human characteristics, there are limitations in the existing maturity model to evaluate the management capabilities and ethical consciousness of personal information handlers. Their evaluation model is suitable for evaluating the personal information protection management system and assets of institutions that are personal information processors, but there is a limit to identifying and evaluating personal information handlers. Therefore, this study is significant in that it developed a new indicator that can improve the existing model from the perspective of personal information handlers and increase individual management capabilities and ethical awareness considering the human inner side. The developed model was developed for the evaluation of personal information handlers, not personal information processors, providing useful information for the evaluation of personal information management competency maturity, and practical use of the evaluation. Using the evaluation index developed in this study, it is expected that personal information handlers can be applied as detailed management guidelines for performing their own tasks, and that personal information management capabilities can be evaluated to achieve objective and reliable personal information protection management.

블록체인 기반 카지노 서베일런스 시스템 거버넌스 강화 방안

노문섭 제주대학교 대학원 2024 국내석사

관광산업은 우리나라 경제산업 분야에서 중대한 역할을 차지하고 있으며, 미래지향적인 관점에서 보았을 때 지속적인 성장 잠재력을 가지고 있다. 이 산업은 다른 산업들과의 연관성이 높아, 국내외 투자 유치를 통해 경제성장과 고용 증가에 중요한 기여를 하고 있다. 이와 더불어, 관광산업의 활성화를 위해 정부는 외국인 전용 카지노가 포함된 복합리조트 유치와 확대에 주력하고 있다. 이러한 복합리조트는 외국 관광객들에게 다양한 오락과 즐거움을 제공함으로써 관광 소비를 증가시킬 수 있을 것이다. 외국인 전용 카지노 산업은 전시, 공연, 체험형 레저, 테마파크 등을 포함한 복합리조트의 형태로 발전하고 있으며, 이는 국제 관광객들에게 풍부한 경험을 제공하고 있다. 이는 더 많은 관광객을 유치하고, 관광 산업의 성장을 촉진하는 데 중요한 역할을 한다. 또한, 이러한 복합리조트의 발전은 관광산업의 다양성과 경쟁력을 향상시키며, 국가 경제에 긍정적인 영향을 미칠 수 있다. 정부의 지속적인 지원과 투자는 이 산업의 장기적인 성장을 위해 필수적이며, 국가 경제에 중요한 기여를 할 것으로 예상된다. 복합리조트의 핵심인 카지노는 대표적인 사행성 산업으로, 정부 차원에서 신뢰성 있는 관리감독을 해야 한다. 카지노 운영이 관광산업 활성화, 고용 창출, 사회 복지 확대 등의 이점을 가져다주지만, 자금세탁과 도박 중독 관련 범죄 증가와 같은 단점이 커질 경우 사회 갈등이 증가할 수 있기 때문이다. 이에 정부는 카지노 운영에 대한 관리감독을 강화하고 있다. 이를 위해 카지노 종사원 등록, 자금세탁 방지 교육, 카지노 전산시설 및 영상정보처리기기 관리감독을 강화하고 있다. 본 연구에서는 카지노 영상정보처리기기 운영에 대한 정부의 관리감독을 강화하기 위해 블록체인 기반의 카지노 서베일런스 시스템 거버넌스 강화 방안을 제안한다. 이 시스템은 프라이빗 블록체인을 기반으로 하여 Hyperledger Fabric을 활용하여 개발되었다. 본 시스템의 주요 목적은 서베일런스 시스템 관리 로그 열람 과정을 엄격하게 통제하는 것이다. 로그에 접근을 원하는 사용자는 블록체인 네트워크로부터 승인을 받아야 하며, 이는 특정 체인코드를 실행하는 내부 관리자를 통해 가능하다. 체인코드 API는 열람에 필요한 해독키, 기간, 횟수를 기반으로 엄격한 사용권한을 부여하는 라이선스를 생성한다. 이 라이선스 시스템은 서베일런스 데이터에 대한 접근을 철저히 관리하여 무단 접근이나 데이터 유출의 위험을 막는 데 큰 역할을 한다. 블록체인 기반으로 설계된 이 시스템에서 서베일런스 시스템 로그 관리 프로토콜을 통합함으로써, 로그 데이터는 무단 접근으로부터 효과적으로 보호되며, 이는 보안 수준을 크게 높이는 결과를 가져온다. 모든 운영 기록, 특히 데이터의 반출 기록을 포함한 활동이 블록체인에 기록됨으로써 데이터의 정확성과 투명성을 유지한다. 이러한 시스템은 카지노 운영자와 감독 기관에게 서베일런스 시스템 운영의 명확한 통찰력을 제공하고, 부정 행위와 데이터 조작을 방지하는 데 효과적인 수단을 제공한다. 결론적으로, 이 연구에서 제안된 프라이빗 블록체인을 사용한 시스템은 카지노 서베일런스 시스템의 운영과 관리를 향상시키는데 결정적인 기술적 발전을 가져올 수 있다. 블록체인의 변경 불가능한 특성과 데이터 접근 관리 메커니즘은 로그 데이터를 안전하게 관리할 수 있게 하며, 이는 서베일런스 시스템의 전체적인 보안과 투명성을 크게 향상시키기 때문이다. 이 시스템은 카지노 산업을 넘어 다양한 분야에서 적용될 수 있는 모델로, 블록체인 기술의 폭넓은 활용 가능성을 입증한다. 본 연구가 제시하는 이 방안으로 카지노 운영 관리의 신뢰성이 향상되며, 이러한 신뢰성을 바탕으로 우리나라의 카지노 복합리조트 산업의 활성화와 관광산업 발전의 기반이 마련되기를 기대한다. 주제어: 블록체인, 하이퍼레저 패브릭, 카지노, 서베일런스, 로그관리, 정보보안 The tourism industry occupies a significant role in the economic sector of South Korea, possessing continuous growth potential from a future-oriented perspective. This industry, closely interlinked with other sectors, contributes substantially to economic growth and employment enhancement through domestic and international investments. Additionally, the government focuses on attracting and expanding integrated resorts, including foreigner-only casinos, to boost the tourism industry. Such resorts potentially increase tourist consumption by providing various entertainments and amusements to foreign visitors. The foreigner-only casino industry, evolving into integrated resorts encompassing exhibitions, performances, experiential leisure, and theme parks, offers rich experiences to international tourists. This plays a vital role in attracting more tourists and fostering the growth of the tourism industry. Moreover, the development of these integrated resorts enhances the diversity and competitiveness of the tourism industry, positively impacting the national economy. The government's continual support and investment are essential for the long-term growth of this sector, expected to significantly contribute to the national economy. Casinos, central to integrated resorts and representative of the speculative industry, require reliable management and supervision at the governmental level. Although casino operations contribute to the activation of the tourism industry, employment creation, and social welfare expansion, the disadvantages, such as increased money laundering and gambling addiction-related crimes, can escalate social conflicts. Therefore, the government is intensifying the management and supervision of casino operations. This includes strengthening the registration of casino employees, money laundering prevention education, and the management and supervision of casino computing facilities and video processing equipment. This study proposes a blockchain-based casino surveillance system governance enhancement plan to strengthen the government's management and supervision of casino video processing equipment operations. The proposed system is developed using a private blockchain based on Hyperledger Fabric. The primary purpose of this system is to strictly control the process of accessing surveillance system management logs. Users wishing to access the logs must obtain approval from the blockchain network, facilitated by specific chain codes executed by internal managers. The chain code API generates a strict license using decryption keys, viewing duration, and the number of viewings. This licensing system plays a crucial role in thoroughly controlling access to surveillance data and preventing unauthorized access and data leakage. By integrating the surveillance system log management protocol into this blockchain-based system, log data is effectively protected from unauthorized access, significantly enhancing the security level. By recording all operational activities, including data export records, on the blockchain, the system maintains data accuracy and transparency. This system provides clear insights into the operation of the surveillance system for casino operators and supervisory agencies, offering an effective means of preventing malpractice and data manipulation. Ultimately, the system proposed in this study, utilizing a private blockchain, brings about a crucial technological advancement in improving the operation and management of casino surveillance systems. The immutable nature of the blockchain and its data access control mechanism allow for the secure management of log data, significantly enhancing the overall security and transparency of the surveillance system. This system serves as a model applicable in various sectors beyond the casino industry, proving the extensive potential uses of blockchain technology. The approach presented in this study is expected to enhance the reliability of casino operation management, laying the foundation for the activation of South Korea's casino integrated resort industry and the development of the tourism industry. Keywords: Blockchain, Hyperledger Fabric, Casino, Surveillance, Log Management, Information Security