금융IT인력의 보안사고 위험도에 기반한 정보접근 통제 정책 연구

Abstract

국내 금융권은 은행창구를 통해 전통적 수신, 여신 상품을 판매하던 구조에서 금융 소비채널의 변화 및 금융상품의 패러다임 변화를 겪으며 무한경쟁시대로 진입하고 있다. 이에 따라, 금융서비스의 개인화는 점점 가속화되고 있으며, 금융 관련 개인정보의 가치는 더욱 높아지고 있다. 2014년 카드사 정보유출사고에서 보았듯이, 대부분의 대형 금융관련 정보유출 사고는 해당 정보에 접근 권한을 가진 인력에 의해 발생한다. 따라서, 이러한 대량의 금융 관련 개인정보에 접근 권한이 있는 인력에 대한 기존의 정보 접근 통제정책 적용기준에 문제는 없는지 확인해 볼 필요가 있으며, 보안사고의 위험도에 영향을 미치는 요인에 따라 정보 접근 통제정책을 보완할 필요가 있다. 본 논문에서는 직무상 대량의 금융 정보에 접근 권한이 필요한 금융IT인력에 대해 직무, 직책 및 접근 정보의 민감도를 기준으로 보안사고의 위험도 측정에 필요한 영향 요인이 무엇인지 양적분석을 수행하고, 분석결과를 반영한 정보 접근 통제정책을 실무적 사례에 적용해 봄으로써 금융IT인력의 보안사고 위험도를 최소화할 수 있는 방안을 제시한다. The financial industry in South Korea has witnessed a paradigm shift from selling traditional loan/deposit products to diversified consumption channels and financial products. Consequently, personification of financial services has accelerated and the value of finance-related personal information has risen rapidly. As seen in the 2014 card company information leakage incident, most of major finance-related information leakage incidents are caused by personnel with authorized access to certain data. Therefore, it is strongly required to confirm whether there are problems in the existing access control policy for personnel who can access a great deal of data, and to complement access control policy by considering risk factors of information security. In this paper, based on information of IT personnel with access to sensitive finance-related data such as job, position, sensitivity of accessible data and on a survey result, we will analyze influence factors for personnel risk measurement and apply data access control policy reflecting the analysis result to an actual case so as to introduce measures to minimize IT personnel risk in financial companies.