KINAC (Korea Institute of Nuclear Non-proliferation and Control) is entrusted with the NSSC (Nuclear Safety And Security Commission) to conduct threat assessments for nuclear facilities. As part of the threat assessment, DBT (Design Basis Threat) must be established every three years, and a threat assessment report must be developed for DBT establishment. This paper suggests a method for collecting and analyzing cyber threat information for the development of a cyber security threat assessment report. Recently, cyber threats not only in the IT (Information Technology) field but also in the ICS (Industrial Control System) field are rapidly increasing. As cyber threats increase, threat information including related attack techniques is also increasing. Although KINAC is conducting a threat assessment on cyber security at nuclear facilities, it cannot collect and analyze all cyber threat information. Therefore, it is necessary to determine a reliable source of threat information for threat assessment, and establish a strategy for collecting and analyzing threat information for DBT establishment. The first method for collecting and analyzing threat information is to first collect threat information on industrial fields with high similarity to nuclear facilities. Most of the disclosed cyber threat information is in the IT field, and most of this information is not suitable for closed-network nuclear facilities. Therefore, it is necessary to first collect and analyze threat information on facilities that use networks similar to nuclear facilities such as energy and financial sector. The second method is to analyze the attack technique for the collected threat information. The biggest factor in DBT reset is whether there is a new threat and how much it has increased compared to the existing threat. Therefore, it is necessary to analyze which attack technique was used in the collected threat information, and as part of the analysis, a cyber attack analysis model such as a kill chain can be used. The last method is to collect and manage the disclosed vulnerability information. In order to manage vulnerabilities, it is necessary to analyze what assets are in the nuclear facility first. By matching the reported vulnerability with the CDA (Critical Digital Asset) in the facility, it is possible to analyze whether the CDA can be affected by a cyber attack.As cyber threats continue to increase, it is necessary to analyze threat cases of similar facilities, attack techniques using attack models, and vulnerability analysis through asset identification in order to develop a threat assessments report.
With the advent of the 4.0 era of logistics due to the Fourth Industrial Revolution, infrastructures have been built to receive the same services online and offline. Logistics services affected by logistics 4.0 and IT technology are rapidly changing. Logistics services are developing using technologies such as big data, artificial intelligence, blockchain, Internet of things, and augmented reality. The convergence of logistics services and various IT new technologies is accelerating, and the development of data management solution technology has led to the emergence of electronic cargo waybill to replace paper cargo waybill. The electronic waybill was developed to supplement paper waybill that lack economical and safety. However, the electronic waybill that appeared to complement the paper waybill are also in need of complementation in terms of efficiency and reliability. New research is needed to ensure that electronic cargo waybill gain the trust of users and are actively utilized. To solve this problem, electronic cargo waybill that combine blockchain technology are being developed. This study aims to improve the reliability, operational efficiency and safety of blockchain electronic cargo waybill. The purpose of this study is to analyze the blockchain-based electronic cargo waybill system and to derive evaluation indicators for system supplementation.
For most organizations, a security infrastructure to protect company’s core information and their technology is becoming increasingly important. So various approaches to information security have been made but many security accidents are still taking place. In fact, for many Korean companies, information security is perceived as an expense, not an asset. In order to change this perception, it is very important to recognize the need for information security and to find a rational approach for information security. The purpose of this study is to present a framework for information security strategies of companies. The framework classifies companies into eight types so company can receive help in making decisions for the development of information security strategy depending on the type of company it belongs to. To develope measures to classify the types of companies, 12 information security professionals have done brainstorming, and based on previous studies, among the factors that have been demonstrated to be able to influence the information security of the enterprise, three factors have been selected. Delphi method was applied to 29 security experts in order to determine sub items for each factor, and then final items for evaluation was determined by verifying the content validity and reliability of the components through the SPSS analysis. Then, this study identified characteristics of each type of eight companies from a security perspective by utilizing the developed sub items, and summarized what kind of actual security accidents happened in the past.
대부분의 조직에서 핵심 자산으로 분류되는 정보와 기술을 보호하기 위한 보안 환경 구축과 이에 대한 운영 업무는 그 어떤 업무보다 중요해지고 있다. 이에 따라 다양한 방법으로 정보 보안에 대한 접근이 이루어지고 있지만, 보안 사고는 지속적으로 발생하고 있으며 그 빈도나 피해 규모 역시 줄어들지 않고 있다. 우리나라의 기업 정서상 정보 보안은 안정성을 유지하기 위한 투자 개념이 아닌 소모성 비용으로 인식되고 있는 것이 사실이다. 이러한 인식을 바꾸기 위해서는 정보 보안의 필요성에 대해 정확히 인지하고 최소한의 비용으로 최대의 효과를 얻을 수 있도록 합리적인 접근 방법을 찾는 것이 무엇보다 중요하다. 본 연구의 목적은 정 보 보안에 접근하고자 하는 기업의 상황에 맞는 전략 유형 틀을 제시하는데 있다. 이 프레임워크는 기업의 유형을 8가지로 분류하는데, 각 기업은 자사가 속한 유형에 따라 정보 보안 전략 수립 의사결정을 지원 받을 수 있다. 본 연구에서는 기업의 유형을 분류하기 위한 척도 개발을 위해 보안 관련 전문가 12명과 브레인스 토밍을 진행하고 선행 연구를 바탕으로 기업의 정보보안에 영향을 미칠 수 있다고 검증된 요인 가운데 양극의 영향 요인 3가지를 선정하였다. 그리고 각각의 요인 별로 세부 척도 항목을 다시 29명의 보안 관련 전문가를 대상으로 델파이(Delphi) 기법을 활용하여 개발한 후 SPSS 분석을 통해 구성 요인의 내용타당도 및 신뢰도를 검증하여 최종 평가를 위한 항목을 개발하였다. 그리고 개발된 항목을 활용하여 보안의 관점으로 본 8가지 기업의 유형은 각각 어떤 특징을 가지고 있으며, 주로 해당되는 기업과 실제 사고 사례에 대해 정리해 보았다. 본 연구의 결과는 처음 정보 보안에 접근하고자 하는 기업이나 새롭게 정보 보안 전략을 수립하고자 하는 기업에 기초가 될 자료로서 의사결정을 지원할 결과를 산출하는데 도움을 줄 것으로 기대한다.
최근 일련의 개인정보보호법령의 강화는 불가피하게 정부의 활동, 특 히 정보수집을 핵심 기능으로 하는 정보기관에 의한 사이버안보 활동에 제약을 가하게 된다. 결국 개인정보보호를 통한 개인의 권리의 보장과 국가안보를 위한 사이버안보활동의 보장이라는 두 가지 법익의 충돌을 적절히 조화할 필요가 생겨난다. 이러한 문제의식을 바탕으로 이 글에서 는 과거 및 현행 개인정보보호법령에서 사이버안보 활동에 대하여 어떻 게 규율하고 있는가를 살펴본 후 주요 국가에서는 어떻게 이를 다루고 있는지를 비교법적으로 검토하여, 최종적으로 바람직한 개인정보보호법 령의 규율태도를 도출하고자 시도하였다. 결론적으로 개인정보보호와 사 이버안보는 서로 긴장관계에 있으면서도 불가분의 관계에 있다. 사이버 안보를 꾀하기 위해서는 개인정보의 처리가 불가피하지만, 개인정보보호 를 함으로써 사이버안보도 도모할 수 있으며, 사이버안보가 확보되면 개 인정보보호도 함께 이루어질 수 있는 긴밀한 관계이다. 또한 사이버안보 는 국가안전보장이라는 측면에서도 매우 중요한 부분을 차지하고 있기 때문에 사이버안보를 위한 개인정보의 처리는 적절한 범위에서 허용할 필요가 있다. 이처럼 개인정보보호와 사이버안보는 적절한 균형관계를 꾀하여야 한다. 즉, 사이버안보를 위한 개인정보처리의 근거는 현재처럼 유지하면서도, 사이버안보 활동 과정에서 개인정보가 부당하게 침해된 경우에 적절한 구제가 이루어질 수 있는 체계를 유지하는 것이 필요하 다. 이런 관점에서 현행 개인정보보호법 상 개인정보분쟁조정위원회에 의한 개인정보분쟁해결 규정을 적용제외한 것을 재고하거나 아니면 다른 적절한 구제절차를 마련토록 하는 것이 필요하다. 또한 미국 대통령 정 책 지침에서와 같이 정보기관 내부적으로 자율적인 통제가 이루어지기 위한 법적 기반을 강화하는 정책을 추진하는 것도 바람직한 방향이다. 이런 관점에서 현행 「국가정보보안 기본지침(국가정보원)」, 「보안업 무규정」, 「국가사이버안전관리규정」의 제정 및 운영은 하나의 중요한 법적 기반이 될 수 있다.
Corporation’s valuable intelligent asset is being threatened from the skills of threatening subject that has been evolved along with the growth of the information system and the amount of the information asset. Domestically, attempts of various private information attacks, important information extortion, and information damage have been detected, and some of them have abused the vulnerability of security of information system, and have become a severe social problem that generates security incident. When accessing to the security, most of companies used to establish a strategy with a consistent manner and a solution plan. However, this is not a proper way. The order of priorities vary depending on the types of business. Also, the scale of damage varies significantly depending on the types of security incidents. And method of reaction and critical control point vary depending on the types of business and security incidents. In this study, I will define the security incidents by their types and preponderantly examine how one should react to those security incidents. In this study, analyzed many types of security accidents that can occur within a corporation and an organization considering various factors. Through this analysis, thought about factors that has to be considered by corporations and organizations when they intend to access to the information security. This study focuses on the response methodology based on the analysis of the case analysis of the leakage of industrial secret and private secret other than the conceptual response methodology that examines the way to prevent the leakage of the industry security systems and the industry information activities. And based on these factors, want to be of help for corporations to apply a reasonable approach when they establish a strategy to information security.
This study aims to verify the structural correlation empirically between information security performance and information management performance. To verify the correlation, three factors such as managerial controlled activity, technical controlled activity, and physical controlled activity are divided for the information security activities variable. the security performance are divided into accident prevention and accident response variables. As a result, security organization activity is a unique factor being positively significant to information security and management performance. And three activities such as human security, security training, development security do not affect at all on both information security and management performance.
It is trend of professional company that outsource to be considered of the efficiency and cost effective, except that you can handle the core business of the enterprise, This is important for the secured management and supervision of critical information entrusted with outsourcing In this paper, I reviewed the management oversight of the fiduciary partner under Information Security Management System and analyzed the expert opinion through the survey. It can be used as a basis for management and oversight provided by the trustee company.
Increasing the outsourcing of personal information treatment, the safe management and director for fiduciary is very important. In this paper, under the personal information protection management systems the current situation of fiduciary management and direction was reviewed and the certification system was analysed in terms of availability of the controled items. Under the basis of legal compliance at the time of the Privacy Act, the characteristics of outsourcing type was also analyzed and derived new controled items. As a result of the proposed research, new controled items for fiduciary could be used as a standard for the managing Director.
Recently, the breakdown of online banking servers and the leakage of customer information give rise to much concern about the security of information systems in financial and banking companies in Korea. The enforcement of security for information system becomes much more important issue than earlier. However, the security reinforcement of information system is restricted by a budget. In addition, the activities' cost to secure information system from threatening are under uncertain circumstances and should be established by a human decision maker who is basically uncertain and vague. Thus, making the budget for information system is exposed to any extent of the risk for these reasons. First, we introduce brief fuzzy set theory and fuzzy AHP (Analytic Hierarchy Process) methodology. Then, the cost elements that comprise yearly budget are presented and the priorities among the cost elements are calculated by fuzzy AHP. The cost elements that are exposed to risk are evaluated from the both perspectives of the risk impact and risk occurrence possibility which are expressed as linguistic terms. To get information on the risk profiles-pessimistic, most likely, and optimistic-for each cost element, the evaluation is accomplished and the result is presented. At last, the budget ranges-minimum, mode, maximum-for each cost element are estimated with the consideration of the risk profiles.
Under limited resources such as budgets and experts, it is necessary to make decisions for promotion strategy of standardization work items in Information and Communication Technologies (ICTs). This paper focuses on a method of setting standardization pro
To give a solution to solve personal information problems issued in this study, the domestic and overseas cases about information security management system including an authentication technique are analyzed. To preserve the outflow of personal information, which is such a major issue all over the world, a new security audit check list is also proposed. We hope this study to help information system developers construct and operate confidential information systems through the three steps: Analysis of risk factors that expose personal information, Proposal to solve the problem, Verification of audit checking items.
To protect information resources, many organizations including private corporate and government employ integrated information security systems which provide the functions of intrusion detection, firewall, and virus vaccine. In order to develop a reliable
Coordination has been identified as a concern in the cross-cutting issues of food security and nutrition (FSN) in Cambodia. Food Security and Nutrition Information System (FSNIS) in Cambodia is the only “entry portalˮ to support policy formulation and decision-making with regard to FSN. While this knowledge and information management system has earned a respectful reputation, Council for Agricultural and Rural Development (CARD) faces many challenges in the implementation of the system. This paper will present how FSNIS has been developed and impacts on policy or strategy related to FSN. In addition, sustainability of the system is a key challenge for FSNIS; yet it is interesting to see how it works. Along with a success story, FSNIS is recognized by its stakeholders as the most successful knowledge and information management system in the field of FSN in Cambodia.
The most important concern in the internet service organizations in competitive market circumstances is to focus on formation and maintenance of continuous relationship with customers. The purpose of this study is to verify the effect of perception of the fairness - procedural fairness for recovery, interactional fairness, fairness for reward on customer's satisfaction and trust, behavior when the internet service company failed to service such as disclosure of personal information. This study aims to apply justice theories to service recovery. As a result, first, the customer's perceived justice had a significant effect on the customer satisfaction and trust in service recovery. Second, the customer's satisfaction positive effect on trust. Third, customer's satisfaction formed by service recovery had a effect on the customer's behavior such as continuous usage intention. Therefore, this study was reveal how the extent of justice perception felt by customers in the service recovery process, causes positive causation relationship which affect customer behavior intention.
지식이나 정보는 인류공동의 자산으로 인식되어 왔고 지식이나 정보에 대한 배타적인 지배는 발명과 창작을 유인하는 한도 내에서만 제한적으로 허용되어 왔다. 소유권의 객체인 물건은 그 내용이나 가치에 관계없이 소유자가 자유롭게 이를 사용, 처분하고 타인의 사용을 배제할 수 있음에 반해 지식이나 정보는 신규성, 진보성, 창작성, 비밀유지성등 지적재산권 관련 법률이 요구하는 요건을 갖춘 경우에 한해 일정한 기간동안만 보호의 대상이 될 수 있으며 공정사용(fair use) 등 타인의 사용을 배제할 수 없는 경우가 폭넓게 존재한다. 그런데 컴퓨터보안과 프라이버시에 관한 법률은 지적재산권 법률이 요구하는 요건을 갖추지 않는 정보라 하더라도 타인의 부당한 접근이나 사용을 금지한다. 소유권의 본질을 타인 사용의 배제라고 본다면 정보도 물건과 같이 소유권의 객체가 될 수 있는 것처럼 해석될 수 있다. 그러나 관련 법률이 정보에 대한 보호를 강화하는 것은 사실이지만 정보를 소유권의 대상으로 변환시킨다고 해석할 수는 없다. 본질적으로 정보는 창작성, 신규성, 진보성, 비밀성 등이 결여될 경우 법률의 보호와는 무관하게 제3자의 사용이나 접근을 막을 수 없다. 누구나 쉽게 생각해낼 수 있는 아이디어는 아무리 비밀을 잘 유지해도 다른 사람이 생각해 내는 것을 막을 수 없고 배타적인 지배도 가능한 것이 아니기 때문이다. 생명이 법률적으로 보호되지만 거래의 대상이 되는 것은 아닌 것처럼 제3자의 침해로부터 보호된다는 이유만으로 소유권이란 용어를 사용할 수는 없다. 소유권이란 용어의 사용은 그 대상이 거래될 수 있도록 하기 위해 필요한 권리를 부여할 때 사용되어야 한다. 지적재산권 관련 법률이 정보를 활용해 얻을 수 있는 경제적 이익을 보호할 수 있는 권리를 부여함에 반해 컴퓨터 보안이나 프라이버시 관련 법률은 권리를 침해한 자를 처벌하는데 그치고 해당 정보를 경제적으로 이용할 수 있는 권리나 침해한 자에 대하여 반환이나 원상회복을 요구할 권리를 제공하고 있지 않다. 오히려 컴퓨터보안 및 프라이버시 관련 법률은 부당한 침해행위의 도덕적 비난 가능성, 정보주체인 사람의 인격권 보호를 일차적인 목표로 하기 때문에 정보를 보호하면서도 정보의 거래는 제한할 가능성이 높다. 또한, 정보에 대한 배타적 지배를 허용하는 입법정책은 정보의 생산자와 이용자간의 균형관계를 현저하게 깨뜨리는 것으로써 헌법적으로 허용될 수 없으며 기존의 지적자산을 토대로 약간의 응용을 통해 이루어지는 정보의 생산에 오히려 장애가 될 수 있기 때문에 정책적으로도 바람직하지 않다.
정보 통신 산업이 비약적으로 발달하고, 디지털컨버전스(Digital Convergence) 시대가 도래함에 따라, 각 정보주체들의 정보를 자신들의 의도에 따라 유지 관리하고, 보호하는 것은 시대적 요청으로 급부상하였다. 그에 따른 각 분야별 정보보호 산업이 비약적으로 발전하게 되었음은 물론이다. 정보보호 산업 전체의 경쟁력을 제고 하고, 기술발전과 국제경쟁력을 키우기 위해서는 여러 정보보호 기업들을 조직적으로 관리하고, 각 분야별 전문 업체를 유기적으로 결합시키도록 하는 것이 요청되며, 정보보호 지주회사의 설립은 이러한 요구에 부응하는 하나의 제도적 방안이 될 수 있다. 정보보호 지주회사의 설립으로 소기의 목적을 달성하기 위해서는, 정보보호 지주회사에 대한 법적 성격 구명 등 기본 연구가 필요하다. 현재 주도적 정보보호 기업을 대상으로 그 지배구조와 사업범위, 조직 형태를 법적 관점에서 분석하고, 이를 바탕으로 우리 법제도 하에서 정보보호 지주회사의 활용 가능성을 타진해 본다.
최근 XML(Extensible Markup Language)이 인터넷 표준으로 자리 잡아가고 있는 가운데 원격 서
비스를 지원하는 XML 기반 SOAP 프로토콜은 개발자들에게 급속도로 인기를 얻고 있다. SOAP(Single Object Access Protocol) 통신은 방화벽에 제약을 받지 않지만 SOAP 기반 웹 서비스를 안전하게 구현하기 위한 표준 정보보호 모델은 아직 없는 상태이다. 따라서 인터넷 분산 환경에서 기업간 제품정보 공유 및 교환 할 때에 제품 정보보호를 위해서는 사용자 인증, 데이터 무결성 및 기밀성 보장, 송수신에 대한 부인 봉쇄, 접근제어 등 다양한 보안 기능이 필요하다. 본 논문에서는 인터넷상에서 XML을 기반으로 하는 협업적 제품거래의 안전한 제품정보 공유/교환을 위하여 XML 전자서명, XML 암호화 기술, XACL(Extensible Access Control Language) 기술을 이용하여 웹 서비스 정보보호 서비스 모델을 제안한다. 제안한 웹 서비스 정보보호 서비스 모델은 인터넷 분산 환경에서 기업간 제품정보(부품정보)를 서로 공유/교환함에 있어서 안전한 정보보호 서비스를 목적으로 한다.