<31352E20C0B1BCAEBFF5B4D42E687770>

Similar documents
암호내지

제 출 문 한국산업안전공단 이사장 귀하 본 보고서를 2002 년도 공단 연구사업계획에 따라 수행한 산 업안전보건연구수요조사- 산업안전보건연구의 우선순위설정 과제의 최종보고서로 제출합니다. 2003년 5월 연구기관 : 산업안전보건연구원 안전경영정책연구실 정책조사연구팀 연


DBPIA-NURIMEDIA

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>


2017 치안정책연구제 31 권제 1 호 Police Science Institute

CC hwp

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

hwp

untitled

<31382E20BDC5BFB5C1F8B4D42E687770>

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

untitled

232 도시행정학보 제25집 제4호 I. 서 론 1. 연구의 배경 및 목적 사회가 다원화될수록 다양성과 복합성의 요소는 증가하게 된다. 도시의 발달은 사회의 다원 화와 밀접하게 관련되어 있기 때문에 현대화된 도시는 경제, 사회, 정치 등이 복합적으로 연 계되어 있어 특

±èÇö¿í Ãâ·Â

경북지역일자리공시제내실화방안



<28BCF6BDC D B0E6B1E2B5B520C1F6BFAABAB020BFA9BCBAC0CFC0DAB8AE20C1A4C3A520C3DFC1F8C0FCB7AB5FC3D6C1BE E E687770>

278 경찰학연구제 12 권제 3 호 ( 통권제 31 호 )

¿©¼ººÎÃÖÁ¾¼öÁ¤(0108).hwp

에너지경제연구 Korean Energy Economic Review Volume 11, Number 2, September 2012 : pp. 1~26 실물옵션을이용한해상풍력실증단지 사업의경제성평가 1

°í¼®ÁÖ Ãâ·Â

DBPIA-NURIMEDIA

유선종 문희명 정희남 - 베이비붐세대 소유 부동산의 강제매각 결정요인 분석.hwp

ad hwp

[ 목차 ]


군장병의사회복지분야공헌활성화방안에대한탐색적연구 군장병의사회복지분야공헌활성화방안에대한 탐색적연구 : 경기도포천지역사례를중심으로 민효상 *, 우지희 **, 서정욱 *** 1) Ⅰ. 서론 Ⅱ. 이론적논의및기존연구검토 Ⅲ. 연구설계 Ⅳ. 분석결과및논의 Ⅴ. 결론 Abstrac



이용석 박환용 - 베이비부머의 특성에 따른 주택유형 선택 변화 연구.hwp

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

230 한국교육학연구 제20권 제3호 I. 서 론 청소년의 언어가 거칠어지고 있다. 개ㅅㄲ, ㅆㅂ놈(년), 미친ㅆㄲ, 닥쳐, 엠창, 뒤져 등과 같은 말은 주위에서 쉽게 들을 수 있다. 말과 글이 점차 된소리나 거센소리로 바뀌고, 외 국어 남용과 사이버 문화의 익명성 등

WHO 의새로운국제장애분류 (ICF) 에대한이해와기능적장애개념의필요성 ( 황수경 ) ꌙ 127 노동정책연구 제 4 권제 2 호 pp.127~148 c 한국노동연구원 WHO 의새로운국제장애분류 (ICF) 에대한이해와기능적장애개념의필요성황수경 *, (disabi

ad hwp

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

특허청구의 범위 청구항 1 회선 아이디 접속 시스템에 있어서, 온라인을 통해 실제 사용자 고유정보의 발급이 가능한 아이디 발급 사이트를 제공하기 위한 아이디 발급 수단; 오프라인을 통한 사용자의 회선 아이디 청약에 따라 가상의 사용자 고유정보 및 가인증 정보를 생성하고

이동전화요금체계개선방안(인쇄본).hwp

조사연구 권 호 연구논문 한국노동패널조사자료의분석을위한패널가중치산출및사용방안사례연구 A Case Study on Construction and Use of Longitudinal Weights for Korea Labor Income Panel Survey 2)3) a

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

Untitled-1

(132~173)4단원-ok


Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: * A S

ISSN 제 3 호 치안정책연구 The Journal of Police Policies ( 제29권제3호 ) 치안정책연구소 POLICE SCIENCE INSTITUTE

04_이근원_21~27.hwp

歯1.PDF

에너지경제연구제 16 권제 1 호 Korean Energy Economic Review Volume 16, Number 1, March 2017 : pp. 35~55 학술 전력시장가격에대한역사적요인분해 * 35

DBPIA-NURIMEDIA

<30312E2028C3D6C1BEBAB8B0EDBCAD29BDB4C6DBBCB6C0AF5F E786C7378>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

<32382DC3BBB0A2C0E5BED6C0DA2E687770>

F1-1(수정).ppt

목차 Ⅰ. 추진배경 1 Ⅱ. 스팸유통현황분석결과 1 1. 휴대전화문자스팸 1 2. 휴대전화음성스팸 4 3. 이메일스팸 7 Ⅲ. 스팸수신량조사결과 8 Ⅳ. 이통사의스팸차단율조사결과 9 Ⅴ. 향후개선방안 9


DBPIA-NURIMEDIA

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 6, Jun Rate). STAP(Space-Time Adaptive Processing)., -

행정학석사학위논문 공공기관기관장의전문성이 조직의성과에미치는영향 년 월 서울대학교행정대학원 행정학과행정학전공 유진아

DBPIA-NURIMEDIA

- 2 -


소준섭

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

PowerPoint 프레젠테이션

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

DBPIA-NURIMEDIA

2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전


Journal of Educational Innovation Research 2017, Vol. 27, No. 3, pp DOI: : A basic research

98 자료 개발 집필 지침


[11하예타] 교외선 인쇄본_ver3.hwp

확정급여형3차

CR hwp

<352EC7E3C5C2BFB55FB1B3C5EBB5A5C0CCC5CD5FC0DABFACB0FAC7D0B4EBC7D02E687770>

DBPIA-NURIMEDIA

1

DBPIA-NURIMEDIA

여수신북항(1227)-출판보고서-100부.hwp

CC hwp

第 1 節 組 織 11 第 1 章 檢 察 의 組 織 人 事 制 度 등 第 1 項 大 檢 察 廳 第 1 節 組 대검찰청은 대법원에 대응하여 수도인 서울에 위치 한다(검찰청법 제2조,제3조,대검찰청의 위치와 각급 검찰청의명칭및위치에관한규정 제2조). 대검찰청에 검찰총장,대

부문별 에너지원 수요의 변동특성 및 공통변동에 미치는 거시적 요인들의 영향력 분석

에너지경제연구 Korean Energy Economic Review Volume 17, Number 2, September 2018 : pp. 1~29 정책 용도별특성을고려한도시가스수요함수의 추정 :, ARDL,,, C4, Q4-1 -

G hwp

(JBE Vol. 21, No. 1, January 2016) (Regular Paper) 21 1, (JBE Vol. 21, No. 1, January 2016) ISSN 228

교육학석사학위논문 윤리적입장에따른학교상담자의 비밀보장예외판단차이분석 년 월 서울대학교대학원 교육학과교육상담전공 구승영

개인정보처리방침_성동청소년수련관.hwp

<30382E20B1C7BCF8C0E720C6EDC1FD5FC3D6C1BEBABB2E687770>

<BACFC7D1B3F3BEF7B5BFC7E22D3133B1C733C8A BFEB2E687770>


인문사회과학기술융합학회

그린홈이용실태및만족도조사

DBPIA-NURIMEDIA

Transcription:

情報保護學會論文誌第 22 卷第 5 號, 2012. 10 AHP 를이용한 VoIP 정보보호점검항목의중요도분석 * 윤석웅, 1 박해룡, 1 유형선 2 1 한국인터넷진흥원, 2 인하대학교 Factor analysis of VoIP Security Checklists using AHP Seokung Yoon, 1 Haeryong Park, 1 Hyeong Seon Yoo 2 1 Korea Internet & Security Agency, 2 Inha University 요 약 스마트단말확산, 네트워크고도화및다양한인터넷전화용앱의등장으로국내인터넷전화시장은지속적으로성장하고있다. 그러나인터넷전화는인터넷을기반으로제공되고있어, 기존인터넷의보안위협뿐만아니라 VoIP 프로토콜적용에따른보안위협이존재한다. 본연구는 VoIP 사업자가침해사고예방및대응을위해자율적으로점검할수있는정보보호점검항목의중요도를 AHP(Analytic Hierarchy Process) 를이용하여파악한다. AHP 분석결과, 기술적보안에서는네트워크보안이, 관리적보안에서는침해사고대응이, 물리적보안에서는출입및접근보안이가장중요한항목으로나타났다. 본연구는 VoIP 점검항목의중요도를최초로제시함으로써, VoIP 사업자들이보안정책수립하고이정책에따라점검을하는데유용하게이용될수있을것이다. ABSTRACT VoIP service is steadily growing due to the spread of smartphones, enhanced network, and various VoIP applications. But, VoIP has many security vulnerabilities because it is based on IP network. This paper analyzes the important weight of VoIP security checklists for incident prevention and response using AHP. The results of AHP analysis showed that network security, incident response, and access control were the most important in technical, administrative, physical standpoint. This study proposes factor analysis of VoIP security checklist at first time. By doing this, it will be used helpfully when VoIP service providers establish their own security policies and inspect their VoIP environment according to their security policies. Keywords: VoIP, AHP, VoIP Security Checklists I. 서론 국내인터넷전화 (VoIP) 는저렴한요금, 다양한정부의활성화정책으로인해가입자수가 2012 년현재 1,100 만명을넘어서며지속적으로성장하고있다. 최근에는스마트폰확산, 4G 네트워크도입으로인해모바일인터넷전화도급속한성장이예상되고있다. 접수일 (2012 년 4 월 18 일 ), 수정일 (1 차 : 2012 년 8 월 10 일, 2 차 : 2012 년 9 월 27 일 ), 게재확정일 (2012 년 9 월 27 일 ) 주저자, seokung@kisa.or.kr 교신저자, hsyoo@inha.ac.kr 그러나인터넷전화는인터넷을기반으로하고있어기존인터넷의위협뿐만아니라인터넷전화프로토콜사용으로인한보안위협에노출되어있다. 또한무선네트워크환경이확대되고스마트폰사용이늘어나면서스마트폰악성코드감염등으로인한침해사고의우려또한제기되고있다. 이러한인터넷전화보안위협에대응하고자그간방송통신위원회와한국인터넷진흥원에서는 VoIP 정보보호가이드라인 ('07) 및 VoIP 침해사고대응안내서 ('10) 개발하여보급하고있다 [1-2]. VoIP 정보보호가이드라인에는부록에총 130개의기술적, 관리적

1116 AHP 를이용한 VoIP 정보보호점검항목의중요도분석 점검항목을마련하여사업자스스로가이드라인에서명시한정보보호대책적용여부를점검할수있도록하였다. 또한 VoIP 정보보호가이드라인에서제시한총 130개의점검항목중, VoIP 사업자및보안전문가의자문을거쳐 VoIP 사업자가침해사고를예방하기위해필수적인총 50개의기술적 관리적 물리적점검항목을 VoIP 침해사고대응안내서에포함시켰다. 최근기업들을대상으로지속적으로발생한침해사고로인한경제적 사회적손실을감안함때, 1,100 만명이상이사용하고있는국내인터넷전화에서도침해사고가발생할경우그피해는엄청날것으로예측되고있다. 따라서 VoIP 사업자들의침해사고예방을위한다양한대책마련이요구되고있는가운데본연구는침해사고예방을위한점검항목의우선순위를처음으로제시함으로써사업자가점검항목의우선순위에따라보안정책을세우고선택적으로점검을할수있도록하였다. 본연구에서는점검항목의우선순위도출에필요한가중치산출방식을현재가장많이사용하고있는방식중하나인계층분석기법 (AHP, Analytic Hierarch Process) 방법을선택하였다. AHP는의사결정의계층구조를구성하고있는요소간의쌍대비교를통해평가자의지식, 경험및직관을포착하는의사결정방법론중하나이다. 또한 AHP는쌍대비교의일관성검정을통해응답자의응답일관성을검토할수있다는장점으로인해최종적인분석결과에대해타당성을부여할수있어의사결정문제에널리활용되어지고있다 [3]. 본논문은다음과같이구성되어있다. 제 2장에서는본연구의배경이되는 VoIP 에대한소개와관련선행연구를살펴본다. 제 3장은 AHP 활용을위한연구모형을설정하고제 4장에서는이를이용하여자료를분석함으로써점검항목의우선순위를살펴본다. 마지막으로제 5장에서는결론을맺는다. II. 이론적배경 2.1 인터넷전화 (VoIP) VoIP 란인터넷망을이용해음성을비롯한다양한부가서비스를제공하는서비스로, 2008 년에번호이동성제도실시이후에급속히성장하여 2012 년현재가입자 1,100 만을돌파한보편적인서비스이다. 최근에는모바일인터넷전화, VoLTE(Voice over 구분 도청 서비스거부공격 서비스불법사용 VoIP 스팸 [ 표 1] VoiP 보안위협 내용 VoIP 사용자간의통화내용을불법적으로수집하여재생하는공격 VoIP 주요시스템에대한자원을고갈시켜시스템이서비스를제공하지못하도록하는공격 인증받지않은사용자가 VoIP 시스템을해킹등불법적으로이용하는공격 자동화된도구를이용하여불특정다수에게원치않는 VoIP 스팸을전송 LTE) 로인해사용이지속적으로증가할것으로예상되고있다. 인터넷전화는인터넷을기반으로서비스를제공하고있어기존인터넷의보안위협을상속받으며, 인터넷전화프로토콜사용으로인한보안위협이공존하고있다. 아울러상대적으로보안에취약한무선네트워크에서의사용확산으로인해보안사고의우려가높아지고있다. 실제로 2008 년부터인터넷전화를대상으로하는다양한침해사고가언론을통해발표되고있으며, 이에따른대응방법에대한연구도활발하게진행되고있다 [4-5]. 방송통신위원회와한국인터넷진흥원에서제공한 VoIP 정보보호가이드라인에서는 VoIP 서비스환경에서발생가능한보안위협을 [ 표 1] 과같이제시하고있다 [1]. 2.2 VoIP 정보보호점검항목 VoIP 보안위협에대응하기위해서는무엇보다도 VoIP 사업자가보안정책을세우고보안정책에따라보안활동을지속적으로해야한다. 이를위해서는 VoIP 사업자스스로자사의정보보호수준을점검할수있는항목이마련되어야하고. 이를기반으로주기적으로서비스를점검하여문제가발생할부분을사전에발견하여제거하는것이무엇보다도중요하다. 이를위해방송통신위원회와한국인터넷진흥원은 2006 년부터산 학 연 관전문가로구성된작업반을통해 VoIP 정보보호가이드라인 (2007.10) 을개발하였고, 총 130개의기술적 관리적 물리적점검사항을마련하였다. 그러나 2009 년부터 VoIP 서비스대상침해사고가현실화됨에따라 VoIP 침해사고가발생했을경우피해최소화를위한대응방안마련이필요하게되었고 2010년다시산 학 연 관전문가들이모여 VoIP

情報保護學會論文誌 (2012. 10) 1117 침해사고대응안내서 (2010.12) 를발간하게되었다. VoIP 침해사고대응안내서에는침해사고의예방측면에서 VoIP 사업자들이반드시점검해야할 50개의항목을마련하였다. 50개의점검항목은기술, 관리, 물리 3개의대분류로구성되어있으며, 기술적대분류 안에는 4개의중분류와 23개의점검항목으로구성되어있다. 관리적대분류안에는 7개의중분류및 21개의점검항목으로구성되어있으며, 물리적대분류에는 3개의중분류및 6개의점검항목으로구성되어있으며상세한내용은 [ 표 2] 와같다. 이중에서기술적, [ 표 2] 계층도별평가항목에대한정의 1. 기술적보안 2. 관리적보안 3. 물리적보안 구분 점검항목 참고 1-1-1. VoIP 트래픽모니터링시스템운영 1-1-2. VoIP 보안장비들에대한통합관리시스템운영 1-1-3. VoIP 네트워크에악의적공격탐지기술적용 1-1-4. 장애에대비한우회경로확보 1-1 네트워크보안 1-1-5. DoS/DDoS 공격대응기술적용 1-1-6. 음성망과데이터망분리 1-1-7. VoIP 단말및장비접근제어 1-1-8. 도청방지를위한기술적대책적용 1-1-9 VoIP 스팸대응시스템운영 1-2-1. 단말펌웨어및전용어플리케이션의주기적으로갱신 1-2 단말보안 1-2-2. 사용자가단말의 ID/PW 변경 1-2-3. 제어메시지및통화내용암호화 VoIP 정보보호 1-2-4. 원격접속시, 암호화혹은접속채널보호기술적용가이드라인 [1] 1-2-5. 단말내스팸차단을위한 Blacklist 관리기능제공 1-3-1. 백도어및불필요한서비스가활성화여부점검 1-3-2. VoIP 교환장비의전용사용 1-3-3. 사용자및단말을인증할수있는인증매커니즘적용 1-3 VoIP 설비보안 1-3-4. 관리자계정의 default password 변경 1-3-5. 운영자, 시스템, 이상징후등에대한로그관리 1-3-6. 장비의주기적인보안패치 1-3-7. 제어메시지및음성데이터암호화기능 1-4 사용자정보보호 1-4-1. 개인정보저장및전송시암호화 1-4-2. 개인정보 DB 접근통제 2.1 정보보호조직의구성 운영 2.2 정보보호계획등의수립및관리 2.3 인적보안 2-1-1. 정보보호조직운영 2-1-2. 정보보호총괄책임자지정 2-1-3. 인터넷전화정보보호책임자지정 2-1-4. 인터넷전화정보보호관리자지정 2-1-5. 인터넷전화정보보호실무담당자지정 2-2-1. 정보보호방침 (policy) 수립 2-2-2. 최고경영층 ( 임원급이상 ) 승인 2-2-3. 정보보호방침을토대로당해연도의정보보호실행계획수립 2-2-4. 정보보호책임자의정보보호실행계획점검 2-2-5. 정보보호실무지침마련 2-2-6. 정보보호책임자가실무지침을승인및관리 2-3-1. 전보또는퇴직자의계정제거 2-3-2. 정보보호인식제고활동 2-3-3. 정기적인정보보호교육실시 2-3-4. 외부직원에대한보안서약징구 2-3-5. 전산업무외부위탁방침마련 2.4 이용자보호 2-4-1. 정보보호관련정보의지속적인제공 2.5 침해사고대응 2-5-1. 침해사고대응계획마련 시행 2.6 정보보호조치점검 2-6-1. 자체적인정보보호현황점검 2.7 정보자산관리 2-7-1. VoIP 망구성도보완 관리 2-7-2. VoIP 설비및시설의목록관리 3.1 출입및접근보안 3-1-1. 잠금장치설치 3-1-2. 출입기록 1개월이상유지ㆍ보관 3.2 부대설비및시설운영 관리 3-2-1. 백업설비및시설설치 운영 3-3-1. VoIP 시스템보안대책마련 3.3 기타 3-3-2. 매체폐기시, 저장된정보의안전한삭제 3-3-3. 개인정보 DB 폐기시, 물리적파괴 정보보호안전진단해설서 [10] VoIP 정보보호가이드라인 [1]

1118 AHP 를이용한 VoIP 정보보호점검항목의중요도분석 물리적점검항목은 VoIP 가이드라인에언급되어있는항목들중사업자의설문을거쳐우선순위가높은항목을선별하였으며, 관리적점검항목은 " 정보통신망이용촉진및정보보호등에관한법률 " 제46조의3( 정보보호안전진단 ) 에서명시하고있는항목을준용하였다. 이는사업자가법으로정한최소한의보호조치를이행함으로써 VoIP 침해사고를예방하려는데그목적이있다. 2.3 계층분석기법 (AHP) Saaty 에의해서 1970 년대초반에개발된 AHP기법은의사결정과정을단순화시킴으로써복잡한문제에대하여효과적인의사결정을할수있도록도와준다 [6]. AHP의특성은기준에대한절대평가가아니라쌍비교 (pairwise comparison) 를통한평가자의일관성있는판단을근거로정량적인요소와정성적인요소를동시에고려함으로써의사결정문제의해결을위한포괄적인틀을제공해준다는점이다 [7]. 이러한장점으로인해다양한정보보호지표의중요도를판별하는데널리활용되고있으며, 본논문에서도가중치를결정하는방법으로사용하였다 [8-9]. AHP 기법의절차를보면첫째, 측정하고자하는사항을계층제적구조하에배열한다. 대체적으로목표, 영역또는기준, 그리고요소나대안등을계층화시킨다. 이때, 목표-영역-요소로계층을구성함에있어서점차작은요소로분해한다. 둘째, 계층별상대비교를수행한다. 셋째, 상대비교행렬로부터고유치방법 (Eigenvalues Method) 을사용하여각계층내의의사결정요소의상대적중요도를추정한다. 마지막으로일관성검증을수행한다. 본연구에서쌍대비교를위한설문항목의예시는 [ 표 3] 과같다. III. AHP 모형설계 AHP 적용절차의첫단계는평가하고자하는요인과그와관련된항목을설정하고평가항목에대한기준을확실히규정하는것이다 [11]. 본연구에서는 VoIP 정보보호가이드라인에수록된점검항목을기반으로 VoIP 사업자및정보보호전문가와의토론을통해 VoIP 정보보호점검항목을도출하였다. VoIP 정보보호점검항목은기술적 관리적 물리적으로구분되며총 50개의항목이존재한다. 이에대한 AHP 모형은 [ 그림 1] 과같다. 가중치설문항목은 VoIP 정보보호점검항목들의계층구조에맞게끔대분류, 중분류로구분하여평가항목을쌍대비교 (Pairwise) 방식으로구성하였다. 1문항에서는응답자의신원정보를, 2문항에서는 VoIP 정검항목의대분류인기술적 관리적 물리적요인에 [ 그림 1] VoIP 정보보호점검항목중요도산출을위한 AHP 모형 순번 조사영역 A 극히중요 [ 표 3] VoIP 정보보호점검항목에대한쌍대비교설문항목예시 > (A 가 B 보다중요 ) 매우중요 중요 약간중요 평가척도 = 동등 약간중요 < (B 가 A 보다중요 ) 중요 매우중요 극히중요 조사영역 B 1 기술적보안 9 8 7 6 5 4 3 2 1 2 3 4 5 6 7 8 9 관리적보안 2 기술적보안 9 8 7 6 5 4 3 2 1 2 3 4 5 6 7 8 9 물리적보안 3 관리적보안 9 8 7 6 5 4 3 2 1 2 3 4 5 6 7 8 9 물리적보안

情報保護學會論文誌 (2012. 10) 1119 대한상대비교문항을배열하였으며, 3문항에서 4문항까지는중분류및점검항목에대한상대비교문항을배열하였다. IV. 분석결과 대분류 [ 표 5] 일관성비율 구분 CR값 전체 0.018 기술적 0.015 관리적 0.091 물리적 0.046 3장에서제시한 AHP 모형을기반으로 2012 년 2 월 15일부터 29일까지약 2주일간온라인을통해 10 명을대상으로 1차설문조사를수행하였으며, 표본집단의크기를객관성을확보할수있도록 7월말에약 1주일간온라인을통해 5명을추가하여 2차설문조사를수행하였다. 따라서총 15명 (VoIP 사업자 10명, 정보보호전문가 5명 ) 을대상으로설문조사를실시하였으며, 응답의신뢰성을높이기위해인터넷전화와관련된전문적지식을보유한인터넷전화사업자의보안담당자및인터넷전화관련보안컨설팅을수행한경험이있는전문가로한정하였다, 직급별로살펴보면부장급 3명, 과장급 8명, 대리급 4명이다. AHP기법적용이필요한문제에있어서실무지식과전문적경험이있을경우표본크기가 10명 ~15명내외인것으로알려졌다 [11]. 4.1 AHP 일관성검증 AHP에서사용되는데이터는설문응답자의이해부족, 무성의등의이유로일관성이결여될수있기때문에일관성검증을수행해야한다. 일관성검증은일관성지수 (Consistency Index: C.I.) 를경험적자료로얻어진난수지수 (Random Index) 로나눈일관성비율 (Consistency Ratio: C.R.) 로설문응답에대한일관성을검증하며, C.R. 0.1 일때만신뢰성이있다고판단한다 [12-13]. VoIP 점검항목의각계층별 CR값은 [ 표 5] 와같이 Saaty가제시한 0.1보다낮은수치로, 높은일관성을가지고있는 성별 직종 직급 [ 표 4] 조사대상자집단 구분 빈도인원 ( 명 ) 백분율 (%) 남 15 100 여 0 0 VoIP 사업자 10 66.7 보안전문가 5 33.3 부장 3 20 과장 8 53.3 대리 4 26.7 것으로나타났다. 4.2 가중치분석본연구에서는중요도평가를 15명의전문가가개별적으로중요도를평가한후통합하는방법을사용하였으며, 15 명의전문가의의견을기하평균 (Geometric mean) 을사용하여중요도를산출하였다 [14]. VoIP 정보보호점검항목의상대적중요도및우선순위는 [ 표 6] 과같다. VoIP 점검항목의대분류에서상대적중요도는기술적보안 (0.424), 관리적보안 (0.376), 물리적보안 (0.200) 순으로나타났다. 기술적보안의세부요인에대한상대적중요도는네트워크보안 (0.304), VoIP 설비보안 (0.269), 사용자정보보호 (0.231), 단말보안 (0.196) 으로나타났다. 각중분류별가장중요한우선순위를갖는점검항목을살펴보면네트워크보안에서는 VoIP 트래픽모니터링시스템운영, VoIP 단말및장비접근제어 가, VoIP 설비보안에서는 관리자계정의 default password 변경 이, 사용자정보보호에서는 개인정보저장및전송시암호화 가마지막단말보안에서는 원격접속시, 암호화혹은접속채널보호기술적용 이다. 이는최근언론상에서자주소개되었던취약한 VoIP 사업자의교환기를통해발생했던국제전화과금사고를방지할수있는항목이기때문에이와같은결과가나온것으로판단된다. 아울러우선순위가가장낮은항목들을살펴보면 VoIP 스팸같이보안위협이아직현실화되지않았거나투자비용대비효과가미비하여상대적으로중요도가낮은것으로판단된다. 관리적보안의세부요인에대한상대적중요도및가장중요한우선순위를갖는점검항목을살펴보면침해사고대응 (0.156)- 침해사고대응계획마련 시행, 정보보호계획등의수립및관리 (0.148)- 정보보호방침 (policy) 수립, 인적보안 (0.145)- 전보또는퇴직자의계정제거, 정보보호조치점검 (0.142)- 자체적인정보보호현황점검, 정보보호조직의구성

1120 AHP 를이용한 VoIP 정보보호점검항목의중요도분석 대분류 상대적중요도 중분류 상대적중요도 평가항목 상대적중요도 1-1-1 0.132 (1) 1-1-2 0.098 (7) 1-1-3 0.108 (5) 1-1-4 0.106 (6) 네트워크보안 0.304(1) 1-1-5 0.124 (3) 1-1-6 0.098 (7) 1-1-7 0.132 (1) 1-1-8 0.119 (4) 1-1-9 0.083 (9) 기술적보안 관리적보안 물리적보안 0.424 (1) 0.376 (2) 0.200 (3) [ 표 6] VoIP 점검항목별상대적중요도와우선순위 1-2-1 0.198 (3) 1-2-2 0.202 (2) 단말보안 0.196 (4) 1-2-3 0.191 (4) 1-2-4 0.218 (1) 1-2-5 0.191 (4) 1-3-1 0.142 (4) 1-3-2 0.154 (2) 1-3-3 0.143 (3) VoIP 설비보안 0.269 (2) 1-3-4 0.165 (1) 1-3-5 0.126 (7) 1-3-6 0.128 (6) 1-3-7 0.142 (4) 사용자정보보호 0.231 (3) 1-4-1 0.504 (1) 1-4-2 0.496 (2) 2-1-1 0.196 (3) 2-1-2 0.190 (5) 정보보호조직의구성 운영 0.140 (5) 2-1-3 0.202 (2) 2-1-4 0.220 (1) 2-1-5 0.192 (4) 2-2-1 0.183 (1) 2-2-2 0.181 (2) 정보보호계획등의수립및관리 0.148 (2) 2-2-3 0.164 (3) 2-2-4 0.163 (4) 2-2-5 0.162 (5) 2-2-6 0.147 (6) 2-3-1 0.222 (1) 2-3-2 0.186 (4) 인적보안 0.145 (3) 2-3-3 0.176 (5) 2-3-4 0.209 (2) 2-3-5 0.207 (3) 이용자보호 0.136 (6) 2-4-1 1.000 침해사고대응 0.156 (1) 2-5-1 1.000 정보보호조치점검 0.142 (4) 2-6-1 1.000 정보자산관리 0.133 (7) 2-7-1 0.518 (1) 2-7-2 0.482 (2) 출입및접근보안 0.387 (1) 3-1-1 0.528 (1) 3-1-2 0.472 (2) 부대설비및시설운영 관리 0.280 (3) 3-2-1 1.000 3-3-1 0.324 (2) 기타 0.333 (2) 3-3-2 0.321 (3) 3-3-3 0.355 (1)

情報保護學會論文誌 (2012. 10) 1121 운영 (0.140)- 인터넷전화정보보호관리자지정, 인적보안 (0.145)- 전보또는퇴직자의계정제거, 이용자보호 (0.136)- 정보보호관련정보의지속적인제공, 정보자산관리 (0.133)- VoIP 망구성도보완 관리 로나타났다. 이는각항목들이침해사고를예방할수있는관리적예방활동의핵심이고, 전사보안정책수립시가장우선시되어야하는항목들이기때문에위와같은결과가나온것으로판단된다. 우선순위가가장낮은항목들을살펴보면사업자의경우정보보호책임자가최고책임자를겸직하는경우가많아서라고판단된다. 마지막으로물리적보안의세부요인에대한상대적중요도및가장중요한우선순위를갖는점검항목을살펴보면출입및접근보안 (0.387)- 잠금장치설치, 기타 (0.333)- 개인정보 DB 폐기시, 물리적파괴, 부대설비및시설운영 관리 (0.280)- 백업설비및시설설치 운영 으로나타났다. 이는 VoIP 설비를외부의침입으로부터보호하고장애발생시신속하게대응할수있는항목들이기때문에이와같은결과가나온것으로판단된다. V. 결론본연구는 VoIP 침해사고대응안내서 (2010) 에서제시하고있는 VoIP 정보보호점검항목에대한우선순위를살펴보았다. 인터넷전화는국내에서이미 1,100 만명을넘어선보편적인서비스이며, 4G 활성화와더불어향후에도성장이예상되는서비스이다. 하지만인터넷전화는상대적으로취약한 IP를기반으로하고있어지속적으로보안위협에대한우려가제기되고있다. 이러한위협에대응하기위해서는사업자스스로보안정책을설정하고이에따라주기적으로서비스를점검하여침해사고를예방하는활동이무엇보다도중요하다. VoIP 정보보호점검항목의우선순위를살펴보기위해최근가장널리사용하고있는 AHP기법을사용하였으며총 15명의인터넷전화사업자의보안담당자및인터넷전화보안컨설팅업무를현재수행하고있는보안전문가들에게설문조사를실시하여결과를분석하였다. 결과를살펴보면기술적인측면에서는국제전화과금사고를예방할수있는 VoIP 단말및장비의접근제어설정및디폴트패스워드변경등이중요하며관리적인측면에서는정보보호방침을수립하고이에따라정보보호관리자를지정하여주기적인점검을 하는것이중요한것으로나타났다. 마지막으로물리적인측면에서는사업자내부의 VoIP 설비를외부의침입으로부터보호하고 VoIP 가입자의정보를저장하고있는 DB 관리가중요하다고나타났다. 아직까지국내외적으로 VoIP 점검항목에대한연구가이루어지지않는점을감안하면이러한연구결과는 VoIP 사업자가정보보호점검항목을우선순위에따라분류하여일간, 월간, 분기별로점검하는데크게활용될것으로생각된다. 향후연구에서는 VoIP 점검항목을침해사고예방및대응으로구분하여계층화하고다중회귀분석을이용하여 VoIP 사업자의정보보호지수를도출하는데활용할예정이다. 참고문헌 [1] 방송통신위원회, 한국인터넷진흥원, VoIP 정보보호가이드라인, 2007년 [2] 방송통신위원회, 한국인터넷진흥원, 인터넷전화 (VoIP) 침해사고대응안내서, 2010년 [3] 곽병호, AHP 의사결정방법에서양방향순위도출방법을이용한쌍대비교의일관성검정, 석사학위논문, 한양대학교, 2007년 2월 [4] 주영도, 인터넷전화 (VoIP) 서비스의보안기술에관한연구, 산한기술연구소논문집제 25호, pp.129-146, 2008년 9월 [5] 윤상희, 모바일인터넷전화서비스를위한보안위협대응방안연구, 석사학위논문, 건국대학교, 2011년 8월 [6] T.L. Saaty, The Analytic Hierarchy Process, McGraw Hill, New York, 1980. [7] 정형철, 개인정보보호수준진단지표의중요도에대한 AHP 및비모수검정연구, J Korean Data Anal Soc vol.12 no.3(b) pp.1499-1510, 2010년 6월 [8] 이강수, 김기윤, 나관식, 정보보호를위한다속성위협지수 : 시뮬레이션과 AHP 접근방법, 한국IT 서비스학회지, 제7권제1호 pp.117-130, 2008 년 3월 [9] 이미숙, 이태환, 김진수, AHP 를활용한기술이전측정항목중요도에관한연구 : 국공립연구소및국립대학기술을도입한기업을대상으로, 한국산하기술학회논문지, 제11권제8 호 pp.2758-2765, 2010년 8월 [10] 방송통신위원회, 한국인터넷진흥원, 정보보호안

1122 AHP 를이용한 VoIP 정보보호점검항목의중요도분석 전진단해설서, 2011년 [11] 이창효, 집단의사결정론, 세종출판사, 2000 년 [12] T.L. Saaty, How to Make a Decision: The Analytic Hierarchy Process, European Journal of Operation Research, Vol. 48, pp.9-26, 1990. [13] T.L. Saaty and G.V. Luis, Diagnosis with Dependent Symptoms: Bayes Theorem and the Analytic Hierarchy Process, Operation Research, Vol. 46, No. 4, pp491-502, 1998. < 著者紹介 > 윤석웅 (Seokung Yoon) 정회원 1998 년 2 월 : 인하대학교자동화공학과졸업 ( 학사 ) 2003 년 2 월 : 인하대학교전자계산공학과 ( 공학석사 ) 2003 년 1 월 ~2006 년 8 월 : 삼성전자무선사업부선임연구원 2006 년 8 월 ~ 현재 : 한국인터넷진흥원 (KISA) 서비스인프라보호팀책임연구원 < 관심분야 > 정보보호, VoIP/ 스마트 TV 등신규 IT 서비스보안 박해룡 (Haeryong Park) 종신회원 1999 년 2 월 : 전남대학교수학과학사 2001 년 2 월 : 서울대학교수학과석사 2006 년 8 월 : 전남대학교정보보호학과박사 2000 년 12 월 ~ 현재 : 한국인터넷진흥원 (KISA) 서비스인프라보호팀장 < 관심분야 > 암호알고리즘설계및분석, 개인정보보호기술개발, Digital ID Management, 정보보호안전진단, 정보보호사전점검, VoIP/IPTV/ 스마트 TV 보안등 유형선 (Hyeong Seon Yoo) 정회원 1974 년 : 인하대학교기계공학과 ( 공학사 ) 1976 년 : 한국과학기술원기계공학 ( 공학석사 ) 1983 년 : Ghent University, Belgium, 기계공학 ( 박사 ) 현재 : 인하대학교컴퓨터공학부정교수관심분야 : Applied Cryptography, Scientific Computation

2024 © docsplayer.org 개인정보보호 | 약관 | 지원