earticle

영어

In this paper, we propose a method to measure the level of information protection by using the evaluation result of vulnerability analysis which is performed mandatory yearly on financial institutions. To this end, we developed an information security measure index optimized for financial institutions based on the evaluation items required by the Electronic Financial Transactions Law and the Information and Communication Infrastructure Protection Law. In detail, firstly, we proposed a method to measure the value of information asset, information security objective(confidentiality, integrity, availability) and asset value through production cost. Secondly, we defined the evaluation index based on the rating(risk level) and compliance requirement(importance) of the evaluation item. Thirdly, we defined the vulnerability of individual information assets through the evaluation result and the method of measuring the level of information protection in the relevant field. We applied the method of vulnerability analysis evaluation procedure to an organization.

한국어

본 논문에서는 금융회사에서 매년 의무적으로 수행하고 있는 취약점 분석· 평가 결과를 활용하 여 정보보호수준을 측정할 수 있는 모델을 제안하였다. 이를 위해 전자금융거래법 및 정보통신기반보 호법에서 요구하는 평가항목을 기반으로 금융회사에 최적화된 정보보호수준 측정지수를 개발하였다. 세부적으로는 첫째, 정보자산, 정보보호목적 중요도(기밀성, 무결성, 가용성) 및 생산비용을 통한 자산가 치 산정 방법을 제안하였다. 둘째, 법령에서 정한 평가항목의 등급(위험도) 및 준수요구사항(중요도)을 통한 평가지수를 정의하였다. 셋째, 취약점 분석평가 결과를 통한 개별 정보자산의 취약도 및 해당 분 야의 정보보호수준을 측정하는 방법 등을 정의하였다. 제안한 방안을 금융기관을 대상으로 취약점 분 석평가 절차에 따라 시범적으로 적용하여 서버자산에 대한 정보보호수준 측정과정을 소개하였다. 측 정방법의 타당성· 효용성· 적용가능성에 대해 평가전문가를 대상으로 심층 인터뷰를 진행하여 검토하 였다. 본 논문의 결과는 금융회사가 관계 법령에 대한 법적 준거성을 동시에 만족시키며 정보자산에 대한 정보보호수준을 측정하여 효과적으로 보호대책을 수립하고 정보보호예산을 투자할 수 있는데 기여할 수 있다.