Electronic Commerce (EC) is expected to be essential for an organization`s survival and growth in the future. Under EC environment, an organization`s internal systems and processes are no longer operated in isolation from each other, but should be linked together and exchange information and transactions in ways unanticipated under the traditional environment. The strong demand for Internet and EC is surging from the fast changing environment of IT. The data integrity and confidentiality is indispensable for Internet and EC than traditional systems due to its characteristic as open network. However, the level of risk analysis and security control for the Internet and EC lags far behind the demand. The traditional approach to the security of information system was based on the assumption that the security be applied to mainframe computers. However, the new approach to the security is required in the fast changing environment with different requirements for the connectivity to the network. The risk analysis is the process to examine the threats facing the IT assets and the vulnerabilities of these assets to those threats. The risk analysis enables an organization to understand the importance of the value of IT assets to be secured and to find the security holes in a cost effective manner. Despite the benefits of performing the risk analysis, there are several factors, which cause this process to be viewed negatively. The risk analysis is regarded as time consuming and incurring much cost. The traditional process of risk analysis is not about to handle the contingency of organization. A Case Based Reasoning (CBR) system solves new problems by recalling and adapting previous solutions. So, CBR is useful for tasks which use predicates which are ill-defined, lead to inconsistent outcomes, and have incomplete rules to apply. [Morris 94] This study proposes a CBR Methodology designed to evaluate the risk of an organization under EC environment. The methodology integrates the structured procedures of risk analysis and reasoning capability of CBR. We suggest the structured analysis methodology, which is composed of the processes of data input, asset value evaluation, threat & vulnerability evaluation and finally risk analysis result generation. We consider the contingency of the organization such as business environment as well as technology environment in order to generate more specific analysis results. We suggest the system to provide the quantitative results as well as qualitative results in order to support the various decision-makings. We use the case of past risk analyses as well as past security accidents in order to adapt the solution more practically. Also, we propose the indexing, matching and ranking algorithm incorporating the concept of "MSCA" and "nearest-neighbor matching" to select the most similar case in the environment of the risk analysis for EC. We apply "Causal Model Guided Repair Heuristics" to adept the ballpark solution to the new situation. And we use substitution heuristics to get risk amount and the degree of risk in the adaptation process. We propose the case-based substitution method when the past real security accident cases exist in order to get the solutions from the actual situations. We develop the risk analysis system applying our CBR methodologies. This system is hoped to aid the decision of risk analyzers. We propose the system in this study, which provides a fast and cost-effective analysis using the reasoning ability of CBR, which comes from the analogical reasoning of the past cases. We apply our system to two Korean organizations and find some positive implications from the experience of use of the system. Especially, the users of the organizations gave the opinion that the system provides them the insights why they invest on the security system and where they should invest first. And there was an opinion that the user was satisfied with the simple feature of the system and taking answers from other cases even though he has little knowledge about EC security.

전자상거래(EC: Electronic Commerce)는 기업의 생존과 성장을 위한 필수요소가 되고 있다.전자상거래 환경에서 기업 내부 시스템과 비즈니스 프로세스는 더 이상 서로 독립적으로 운영되지 않고 다른 조직과 연결되어, 전통적인 환경에서 예측할 수 없는 방법으로 정보와 거래(Transaction)을 교환해야 한다. 빠르게 변화되는 IT환경에서 전자상거래와 인터넷에 대한 강력한 요구가 대두되고 있다. 개방형 네트워크를 기본으로 하는 전자상거래와 인터넷 환경에서, 데이터의 무결성, 기밀성은 전통적인 내부 시스템에 비교할 수 없을 정도로 필수불가결 해졌다. 하지만 인터넷과 전자상거래 환경에서 위험분석 및 보안통제 수준은 요구 수준에 비해 훨씬 떨어져 있다. 전통적인 정보시스템 보안 접근방식은 메인프레임 컴퓨터만 보안이 잘 되어 있으면 된다는 가정을 기본으로 하고 있다. 하지만 다양한 네트워크로 연결되는 빠르게 변화하는 IT환경에서는 새로운 보안 접근방식을 필요로 한다. 위험분석(Risk Analysis)은 IT 자산에 대한 위협(Threat)과, 이 위협에 대한 취약점(Vulnerability)를 파악하는 과정이다. 위험분석을 통해, IT를 활용하는 조직은 보호되어야 할 IT 자산 가치의 중요성 및 보안 허점을 효과적으로 이해할 수 있다. 위험 분석은 이러한 효용가치가 있음에도 불구하고 현실적으로 몇 가지 요인에 의해 부정적으로 인식되고 있다. 즉, 위험분석은 시간과 돈이 많이 들어가는 힘든 작업이고, 위험분석을 수행하는 조직의 상황을 정확하게 반영하지 못한다는 부정적인 요인이 있는 것으로 알려지고 있다. 사례기반 추론 (CBR: Case Based Reasoning) 시스템은 가장 유사한 과거 사례 및 해결방식을 찾아내고, 이를 새로운 문제 상황에 맞게 수정하여 새로운 해결방안을 도출한다. 따라서 사례기반 추론은 문제를 정확하게 정의하기 어렵거나, 명확한 해결 규칙을 찾아내기 어려운 경우 유용하게 사용할 수 있는 방식으로 알려져 있다. 위와 같은 배경을 기반으로, 본 연구에서는 전자상거래 환경에서 위험을 평가할 수 있는 CBR 방법론을 제시했다. 이 방법론에서는 체계적인 위험 분석 절차와 사례기반 추론의 장점이 최적으로 통합되어 있다. 구체적으로, 위험분석 대상 기업에 대한 데이터 입력, 자산 가치 평가, 위협과 취약성 평가 절차를 거쳐 최종적으로 위험분석결과를 도출하는 체계적인 방법론을 제시하였다. 또한 보다 특정 조직 환경에 적합한 위험분석 결과를 도출하기 위해, 기술 환경 뿐만 아니라, 조직의 사업환경 요인도 충분히 고려할 수 있도록 하였다. 또한 다양한 의사결정에 활용할 수 있도록 정량적인 분석 결과와 정성적인 분석결과를 동시에 제공할 수 있도록 하였다. 과거 위험 분석 사례뿐만 아니라 실제 정보 보안 사고에 대한 사례를 활용하여 보다 실질적인 분석결과를 도출할 수 있도록 하였다. 구체적인 사례기반 추론 기법 측면에서, 가장 유사한 과거 위험분석 사례를 찾아내기 위해 Nearest Neighbor Matching과 MSCA(Most Specific Common Abstraction)개념을 응용한 알고리즘을 제안하였다. 과거 위험분석 결과를 새로운 사례 상황에 맞게 수정하기 위해 인과모델 휴리스틱(Causal Model Guided Repair Heuristics)을 적용하였다. 또한 정량적인 위험 금액 및 위험 정도를 도출하기 위한 변환 휴리스틱(Substitution Heuristics)도 적용하였다. 실제 상황에 적합한 분석결과를 제공하기 위해 실제 정보 보안 사고 사례가 존재하는 경우에는 이 사례를 기반으로 위험분석 결과를 도출하는 기법을 제시하였다. 위 방법론들을 적용하여, 위험분석 지원 시스템을 개발하였다. 이 시스템은 위험분석업무를 수행하는 사람들의 의사결정을 지원할 목적으로 만들었다. 이를 위해, 과거 유사 사례를 활용하는 사례기반 추론 기법의 장점을 충분히 활용한 시스템을 제안하였다. 또한 이 시스템을 두개의 한국 회사에 실제로 적용하여 시스템 사용자들로부터 긍정적인 반응을 얻었다. 특별히, 사용자들은 이 시스템 사용을 통해 왜 보안에 투자해야 하는지, 또 어디에 투자해야 할지에 대한 통찰력을 얻었다고 했다. 또한 시스템이 사용하기 간편하고, 전자상거래 보안에 대한 지식이 적어도 다른 사례로부터 답을 얻을 수 있기 때문에 시스템이 만족스럽다는 사용자 의견도 있었다.