한다.
♣데이터의 정확성
사용자로 하여금 보다 정확한 자료의 입력을 유도하기 위해 시스템 설계 및 개발자는 입력화면의 편리한 설계와 함께 입력 데이터의 오류를 사전에 감식할 수 있는 오류 체크 루틴( error check routine)을 사용해야 한다. 예를 들면, 사용자로 하여금 중복 또는 불필요한 데이터의 입력을 방지하기 위해 날짜, 시간 등과 같은 자료는 시스템에서 직접 산출하여 사용하도록 한다.
♣입력의 완결성
모든 업무에 필요한 입력이 완료되었는지를 확인하는 도구로 일괄처리통제가 있다. 일괄처리 시스템에서 사용되는 업무의 물리적 일괄처리는 컴퓨터에서 생산되는 최종결과와 수작업에 의해 입력된 결과를 비교하는 것이다. 온라인 시스템의 경우 논리적 방법의 일괄 처리가 적용된다. 예를 들면, 사용자가 매번 데이터를 입력할 때마다 항목의 수를 세어 입력되어야 할 항목수의 총합계를 비교한다.
♣데이터의 유효성
데이터 입력절차에서 다양한 유형의 체크(check) 방법들은 데이터가 발생한 오류를 처리되기 전에 수정하는 것인데 양식 체크, 데이터의 타당성 여부, 코드 체크 등이 사용된다. 예를 들면, 고객의 이름목록에 소수점이 있다면 이는 데이터가 양식 (data format)에 맞지 않으므로 데이터 입력에 문제가 있는 것이다. 또한 가격이 특정 한도 범위를 벗어날 경우 데이터에 오류가 발생한 것으로 간주할 수 있다.
2)프로세싱 통제
응용 프로그램은 프로세싱 오류가 처음 발생한 곳에서부터 검색, 수정하여 처리되어야 한다. 프로세싱 통제는 완전하고 정확하게 데이터를 처리하는 통제활동이다. 주요한 프로세싱 통제로는 실행합계통제, 컴퓨터 매칭, 타당성 체크 등이 있다. 실행합계통제(run control totals)는 파일을 갱신한 품목의 합계와 입력된 품목의 합계를 비교하는 방법이고 컴퓨터 매칭(computer matching)은 마스터 파일 (master file)에 있는 정보와 입력된 데이터를 매치 (match) 시키는 방법이다. 타당성 체크는 과거의 기록 또는 기준가치와의 편차와 입력 데이터를 비교하는 것이다. 예를 들면, 수도요금이 과거에 비해 5배 이상 청구되었다면 이는 타당성이 결여된 것으로 재확인할 필요가 있다.
3)데이터베이스 통제
데이터베이스 통제는 시스템 내에 저장된 데이터를 보호하기 위한 통제이다. 데이터베이스 통제에는 백업과 회복, 시스템의 제약적 접근 등이 있다.
♣백업과 복구
시스템에 이상이 생겨 파일과 데이터베이스가 손상되었을 경우 어떻게 원상 복구시켜 나가냐가 가장 큰 문제이다. 이것을 백업과 복구로 해결된다. 즉, 다른 예비의 데이터베이스 시스템을 미리 보유하여 사고발생시 거래처리를 대신하여 처리한다. 개인용 컴퓨터의 경우 백업파일을 항상 만들어 관리함으로써 손상위험에 대비한다.
♣제약적 접근
불법적 접근( illegal access)과 변조에 대한 데이터베이스 통제는 일반적으로 시스템의 접근을 통제함으로써 이루어진다. 제약적 접근은 단순히 시스템에 접근할 때 사용하는 암호(password) 등과 같은 보호막의 차원뿐만 아니라 사용자가 시스템에 접근한 후에도 사용자의 정보사용권한에 따라 필요한 만큼의 정보나 처리권한을 제공하는 것이다. 예를 들면, 사용자는 신상명세서에 관한 파일에서 이름, 부서, 급여, 주소, 실적에 관한 정보만을 읽을 수 있지 그 외의 어떠한 수정이나 편집 등을 할 수 없게 제한하는 것이다. 다만 주소나 부서변경과 같은 보안의 필요성이 없는 것에는 일부 편집을 허용한다.
4)통신통제
통신(telecommunication)은 정보 시스템의 구성요소 중 위협요소에 가장 민감한 요소이다. 전파에 의해 송신되는 무선의 정보가 전문적인 컴퓨터 지식을 소유한 불법침입자 또는 시스템에 연결을 허가받은 사람에 의해 누출될 수 있고 또한 단말기에 연결된 통신망에 침입하여 정보나 메시지를 도청하거나 파괴, 변조하기도 한다. 통신보안은 정보를 디지털을 이용한 메시지 코드체계로 암호화하여 지정함으로써 통제할 수 있다.
5) 출력통제
출력통제는 컴퓨터 프로세싱의 결과가 정확하고 완결하며 필요한 곳에 적절히 배분되게 하는 통제이다. 출력통제는 다음과 같은 사항들을 확실히 이행해야 한다. 첫째, 특정의 전문가에 의해 출력결과를 재검토하게 하여야 한다. 즉, 입력 데이터와 출력결과를 비교 분석하고 출력결과의 프린트 상태, 수치, 형식, 문법 등의 결과의 타당성 및 정확성 등을 자세히 검토해야한다. 둘째, 모든 출력결과는 계획에 의해 예정된 일정 안에 끝마쳐야한다. 셋째, 배분목록, 날짜, 도착예정시각, 그리고 보고과정에서 사용되는 특정의 보안절차 등을 포함한 보고서를 작성해야 한다. 마지막으로 출력결과의 보고 이후에도 특정의 보안체제하의 시스템에 접근하여 결과를 접근할 수 있게 한다.
결론:
위에서 살펴보았듯이 정보란 현재 우리에게 중요한 자산이다. 이러한 핵심 자산을 보호하기 위해 완벽한 통제수단은 없으나 위에서 언급한 통제 수단으로 인해 최소화한다면 우리는 우리가 원하는 정보를 더욱 더 효율적으로 안전하게 사용할 수 있을 것이다. 또한 이는 곧 21세기 우리의 경쟁력을 높이는 무기가 될 것이다.
<정보보안>
김상진,<컴퓨터 환경에서 보안문제>, 한국기술교육대학교
유영일 ,<첨단보안 역해킹과 해커박스>, 삼각형플러스, 2001년 ,p63~65
Robert Lenzner . Nathan Vardi ,< Forbes Korea 2004Vol.20-사이버테러 >
김효석,홍일유공저,< 디지털 경제시대의 경영정보 시스템>,법문사,2000
김태봉,<해킹과 보안>, 문화 전사,1997년,p13,p296~299
주요 해킹 사례 http://pittgirl.hihome.com/jang/jang6.htm
http://kcjeong.cbu.ac.kr/working/mis/19.ppt#0
이상문저,<초인류기업을 위한 경영정보 시스템>, 형설출판사, 1998,p487~494
http://infosec.kut.ac.kr/sangjin/class/compsec/note01_p6.pdf
http://cko.hannam.ac.kr/lecture/mis/chap13.ppt