웹 시스템 환경 내 개인정보보호 메커니즘 분석 및 구현방안

Abstract

인터넷과 정보통신기술 발달에 따라 급변한 현대사회는 새로운 정보 역기능 문제(사이버테러, 개인정보 유출)를 계속 증가시키면서 정보화 사회에 대한 사람들의 우려가 가증되고 있다. 아울러 사이버 범죄가 인터넷 환경뿐만 아니라, 현실세계에 전이되면서 피해규모도 사회적으로 확산되어 가고 있는 실정이다. 개인정보 측면에서도 비즈니스 발전과 더불어 그에 준한 다양한 위험요소(개인정보 오남용, 도용, 불법 사용 등)도 증가되고 있는 추세이다. 이에 국회와 행정부는 개인정보 관련 법안 입법화를 추진하고 있지만, 실제로 개인정보보호의 법규 측면에서 다양한 개별법령으로 흩어져 있어 법규 간에 상충되는 부분이나 보호받지 못하는 부분이 존재하고, 더욱이 기술적 측면에서 개인정보를 보호하기 위한 표준화 대안은 아직 미비한 실정이다. 본 논문에서는 서두에서 제시한 다양한 사이버 위협으로부터 개인정보를 신뢰적으로 관리하고 활용할 수 있는 대안을 소개한다. 이 연구는 개인정보를 체계적으로 관리하기 위해 국내외 표준 및 개인정보보호 법·제도와 표준화 기술에 대한 선행연구 기반으로 개인정보보호 정책을 제안한다. 국내 개인정보보호의 기술적 측면에서 개인정보 표준화기술 언어인 APPEL을 이용해 개인정보보호정책을 표현하고 프라이버시 법 기반의 정책을 활용하여 효과적인 접근제어 및 통제가 가능한 개인정보보호 엔진 시스템을 분석·설계한다. 마지막으로 안전한 시스템 환경 내 체계적인 정보보호 정책 지원 방안 확립과 시스템 구현방안을 소개함으로써 실 적용성 및 응용방안의 가능성을 타진한다.|With the development of the information technology and the internet, new problems of IT re-engineering(e.g., cyber crime, personal information abuse) are increasing ever before, and the concern of overall information society is also rapidly increasing. Further, the cyber crime has moved from the internet environment to the real world, the estimates of damage have become more diffused. As the business related to aspect of personal information is being developed, various risk factors such as personal information abuse, mis-usability, and illegal distribution are getting more important problems in these days. Even though the government continued to promote personal privacy protection law, there is a lack of counterproposal related to secure and privacy. In this thesis work, I introduce how to analysis and implement of the privacy information protection mechanism in web based system environments. I suggested the privacy information protection policy based on preliminary studies of standardization technology, regulations and laws for protection in personal information. The privacy policy in the technology aspect of personal information protection is represented as APPEL(A P3P Preference Exchange Language) which is one of the standardization technologies, and I describe the analysis and design of the PIPS(Privacy Information Protection System) engine that effective access control to support law-based privacy policy. Lastly, I also introduced how to build and design of the policy for systematic information protection in a secure manner, I prototyped the privacy information protection mechanism which provides law-based privacy protection for feasible approach in real system environments.