금융 웹사이트에서의 고객정보보호를 위한 효과적인 내부통제 구현방안

Abstract

오늘날 우리 사회는 정치, 경제, 행정, 문화든 인류가 더불어 살아가면서 형성된 모든 영역이 정보통신 시스템을 통해 생산과 유통이 이루어지는 지식정보 기반의 사회구조로 급속히 진행되고 있다. 날로 새로움을 더해가는 정보 혁명은 기계에 의존하여 하드웨어적인 생산을 주로 하던 산업 사회 기반을 다양하고 소프트웨어적인 생산을 유도하는 지식 정보사회로 바꿔놓았고 우리의 사고, 제도, 생활양식까지도 변화시키기에 이르렀다. 그러나 이러한 정보화 편익의 이면에는 부정적인 역기능들이 존재하고 있다. 잘 발달된 네트워크와 컴퓨터 기술을 사용하여 개인에 관한 정보를 수집, 가공, 이용한 심각한 개인 프라이버시 침해를 유발하고 있다. 본 논문은 범국가적으로 전자상거래가 일반화 되어가고, 특별히 사이버 금융이 확대되어 가는 과정에서 금융 웹사이트의 고객정보보호를 중심으로 금융감독위, 금융감독원 등 국가기관에서 제시하는 보안 평가기준들을 살펴보고, 안전하고 효율적으로 적용 가능한 여러 가지 방법을 모색하는데 목적이 있다. 특히 어느 정도 체계화된 네트워크 보안 등 외부통제 보다는 보안통제시 무시하기 쉬운 내부통제를 연구대상으로 하였다. 먼저 사이버금융의 동향 및 현황을 살펴보고, 내부통제의 원리 등의 개념을 정리한 후에 대표적 내부통제의 구현사례인 데이터베이스 암호화 구현방법과 테스트결과 등을 검토한다. 구현환경은 자바 웹어플리케이션 서버를 이용하여 웹사이트를 운영중인 환경으로 성능에 영향을 주지 않기 위해서는 적절한 알고리즘 및 구현방법의 선택이 필요하다. 암복호화시 사용되는 키는 소스 내에 관리하거나 파일에 저장하지만 자바의 경우 역컴파일러 문제로 안전하게 키를 관리하는데 어려움이 있다. 이를 해결하기 위하여 Obfuscrator라는 툴을 이용하여 키 보호가 가능하지만 완전한 해결방법은 아니다. 암복호화시 키 관리는 키를 하나로 관리하기보다는 키를 2개로 분리하여 2차키는 외부에 저장하여 관리하는게 바람직하다. 암호화는 자체적인 방법으로 구현을 하되 키 관리 관련한 부분은 운영자들이 안전하고, 쉽게 사용할 수 있도록 자동화되고 중앙 집중적인 키관리 프로토콜 형태로 개발되어져야 할 것이다. ; There have been a rapid changes and developments in Information and Technology since the second half of the 20th century, in various fields of sciences and knowledges, such as politics, economics, administration and culture. Knowledge-based social infra-structure has been so constructed that most of our production, consumption, and distribution are based on information technology network. New Information Technology system has changed our economic system from mechanical-driven society in which hardware products would dominate into information-driven one where software products would be predominant. These new developments have changed our way of thinking and life style. However, there are drawbacks and disadvantages in preserving our private information under the advanced computer network and technology even though the information technology has brought us lot of conveniences in our every day life. That means high risk of invading private information. In processing e-commerce communication and expanding cyber banking and financing, this thesis will look into information security standard that national financing supervisory board has proclaimed and also concentrate to seek for effective secured methods so that these private information can be safely guarded. In this regard, I want to give more priority to internal security safeguard rather than external one since so far external safeguard has been given more priority and internal one was not. Firstly, this thesis will deal with cyber financing practice and tendency, principle of internal security safeguard, such as database encryption method and implementation results with regard to database encryption and key management system. Encryption has been tested under java web application server environment. In order to increase performance effect of the system, an efficient encryption algorithms should be employed. It is also very important to securely manage encryption/decryption key under java web environment due to java language s decompiler problem. To solve this difficulty, we can employ Obfuscrator tool to prevent decompilation of program source. But there is no perfect solution there. Therefore I have concluded that it s more desirable to divide one encryption key into two keys, we make use of first key to encrypt original data, second key to encrypt first key. And then, we also make use of key management system in order to centralize second encryption key, manage it automatically as key protocol.