KCI등재
개인정보 유출 최소화를 위한 통합 접근통제 모델 연구 = A Study On The Integrated Access Control Model To Minimize Data Leaks In Corporations
저자
발행기관
학술지명
한국공안행정학회보(Korean Associatin of Public Safety and Criminal Justice Review)
권호사항
발행연도
2010
작성언어
-주제어
KDC
351
등재정보
KCI등재
자료형태
학술저널
수록면
316-357(42쪽)
KCI 피인용횟수
5
제공처
인터넷(Internet) 이용자가 폭발적으로 증가한 지식정보화 사회에 있어서 개인정보는 보호되고 지켜져야 할 재산으로서 그 중요성은 아무리 강조해도 지나치지 않다. 온라인(On-line) 상으로 정보가 교류ㆍ저장ㆍ처리되는 사이버(Cyber) 세계에서는 개인정보의 보호가 더욱 중요시된다고 하겠다. 개인정보는 본인 확인의 기본적인 수단으로서 온라인은 물론 오프라인(Off-line)에서도 광범위하게 사용됨으로써 유출 시에는 예기치 않은 문제나 큰 피해를 불러일으킬 수 있다.
최근 인터넷을 통해 개인정보가 부당 유출되는 사례가 급증하고 있는데, 그 주요 원인을 살펴보면 주로 관리 소홀, 의도적 유출, 기술적 미비 및 기업의 오ㆍ남용 등으로 밝혀졌다. 특히 기술적 공격이나 취약성 때문이 아닌 내부자(직원)의 고의(악의적 유출)나 관리 소홀에 의한 경우가 많다는 것도 주목할 부분이다. 유출된 개인정보는 다시 암시장(Black Market) 등에서의 거래를 통해 피싱(Phishing)이나 스팸(Spam) 등 사이버범죄에 악용되기도 하며, 심지어는 제3국으로 밀반출되어 국익이나 국가 안보에도 악영향을 미칠 우려를 낳고 있는 실정이다.
이 연구에서는 개인정보의 침해와 관련한 현황과 사례, 취약성 및 위협 등을 살펴보고, 개인정보의 보호를 위한 기술적 대책과 효과적인 보안관리 방안을 모색해 보고자 하였다. 이를 위해 개인정보에 대한 접근의 최소화, 접근이 허용된 관리자 및 사용자들의 권한 단순화, 접근이 허용된 사용자들의 침해 여부 판단, 접근 및 개인정보 처리 과정의 로그(Log)와 감사 기록(Audit Trail), 비정상 행위에 대한 감시 및 대응 등을 하나의 "통합된 접근통제 모델(Integrated Access Control Model)"에서 제공하는 대안을 검토하여 유출의 최소화를 위한 효율성 향상 및 개인정보 보호 전략을 논의하였다.
이 연구에서 제안한 통합적 접근통제 모델은 개인정보 접근에 대한 '내부 DMZ(Demilitarized Zone)' 구조를 중심으로 하여 설명하였으며, 특히 내부자 관리 소홀, 내부자의 고의적 행위, 해킹(Hacking)ㆍ악성코드(Malicious Code)와 같은 기술적 수단의 사용 등과 같은 침해 유형에 효과적으로 대응할 수 있는 전략적 방법으로 파악하였다. 따라서 이러한 통합 접근통제 모델을 2007년 개인정보 피해 사례를 기준으로 적용했을 때 '기업의 오ㆍ남용'과 '개인의 부주의'를 제외한 77.49%에 이르는 나머지 유형의 침해를 방지할 수 있었을 것으로 검증되는 바, 이를 적절히 응용할 경우 개인정보의 침해를 상당히 효과적으로 예방할 수 있을 것으로 판단된다.
In this study, the researcher presented the Integrated Access Control Model (the Model, hereafter) for deriving and specifying access control policies and investigated the usefulness of the Model. The Model in this research integrates access control policy specification into the data protection mechanism, making a significant step towards ensuring that policies are enforced in a manner consistent with a system's security requirements specifications. The researcher then utilized a simulation method to evaluate the Model's usefulness and effectiveness.
Data leakage in corporations has been a scary proposition and a serious headache to both the CEOs(Chief Executive Officers) and the CSOs(Chief Security Officers). Security professionals or practitioners have always had to deal with data leakage issues that arise from e-mail, instant messaging(IM), and other Internet communication channels. In addition, with the proliferation of wireless and mobile technology, it's now much easier than ever for loss by data breaches to occur, whether accidentally or maliciously.
While there are plenty of security tools on the market for keeping mobile and/or stationary data from leaving the enterprise surreptitiously, the best ones seem to use a combination of prevention and detection methods, such as a detection engine and a data blocker. However, it would be crucial to first understand what data types are being protected and the level of risk. In this study, the researcher explained the theoretical aspects of privacy, together with legal consideration on the protection of personal data.
A company's sensitive data, including personal data, is widely distributed throughout its network. Important or sensitive data resides not just in the organization's databases, but also in e-mail messages, on individual PCs and as data objects in web portals. Sensitive information also comes in many forms, including credit card details and Resident Registration Numbers, equivalent to Social Security Numbers in the U.S.
As corporations enable their businesses on the web and link up with networks belonging to partners, suppliers and customers, it is vital to keep track of what's flowing over those networks. With so many network egress points for data, it is of much significance to be able to constantly monitor network traffic and inspect e-mail, IM and peer-to-peer file-sharing systems, as well as web postings and FTP sites, for data that may be exiting a network in violation of company policies.
The data protection system in a company should be designed to keep an eye on what users and administrators are doing with their access privileges and either prevent certain actions--such as modifying, copying, deleting or downloading large sets of data or files--or send out alerts when someone attempts one of those actions. Encrypting sensitive data in databases is another measure companies should consider.
Access control is a mechanism for achieving confidentiality and integrity and access control policies express rules concerning who can access what information, and under what conditions. Companies should not give employees far more access than they really need. It is critical to create access control policies that limit users' network privileges strictly to what is required for their jobs, and set controls for enforcing those policies.
The researcher explained how to configure the Integrated Access Control Model and examined the usefulness of the Model, utilizing a simulation method to effectively evaluate the Model's usefulness by comparison with statistics on data leaks. This study shows that limiting user privileges upon the principle of "least privilege," monitoring user access to mission-critical data, and detecting unauthorized access to high-risk data are key steps to take. It also is quite important to be able to provide clear audit trails that track when people try to act outside of corporate security policy.
분석정보
연월일 | 이력구분 | 이력상세 | 등재구분 |
---|---|---|---|
2022 | 평가예정 | 재인증평가 신청대상 (재인증) | |
2020-03-10 | 학술지명변경 | 외국어명 : Korean Associatin of Public Safety and Criminal Justice Review -> korean Journal of Public Safety and Criminal Justice | KCI등재 |
2019-01-01 | 평가 | 등재학술지 유지 (계속평가) | KCI등재 |
2016-01-01 | 평가 | 등재학술지 선정 (계속평가) | KCI등재 |
2015-12-01 | 평가 | 등재후보로 하락 (기타) | KCI후보 |
2011-01-01 | 평가 | 등재학술지 유지 (등재유지) | KCI등재 |
2009-01-01 | 평가 | 등재학술지 유지 (등재유지) | KCI등재 |
2006-01-01 | 평가 | 등재학술지 선정 (등재후보2차) | KCI등재 |
2005-01-01 | 평가 | 등재후보 1차 PASS (등재후보1차) | KCI후보 |
2003-07-01 | 평가 | 등재후보학술지 선정 (신규평가) | KCI후보 |
기준연도 | WOS-KCI 통합IF(2년) | KCIF(2년) | KCIF(3년) |
---|---|---|---|
2016 | 0.96 | 0.96 | 0.98 |
KCIF(4년) | KCIF(5년) | 중심성지수(3년) | 즉시성지수 |
0.96 | 0.92 | 1.084 | 0.21 |
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)