본 연구는 최근의 내부 보안위협 추세를 고려하여 인원보안 관리 수준을 효과적으로 측정할 수 있는 인원보안 관리 지표를 개발하는 목적으로 수행되었으며 이론적인 고찰과 기존의 보안관리 체계와 연구 자료를 분석하여 문제점을 도출하고 개선방향을 설정하였다. 연구할 관리항목 지표는 보안 전문가들의 예비 조사를 거쳐 연구 관리지표를 선정하고, 타당성 검증을 위하여 설문조사를 실시하였다. 도출된 관리항목 지표는 인원 보증(Personnel Assurance), 개인 역량(Personnel Competence), 보안 환경(Security Environment)으로 분류하였으며, 지표별 타당성, 중요성, 보안위험 수준에 대한 설문 조사결과를 분석하였다. 조사 결과, 대부분의 관리 지표들이 바람직한 것으로 나타났다. 향후 관련 항목 간의 요인분석 등을 통하여 보다 발전된 인원 보안 관리의 계량화 연구가 필요하다.
본 연구는 최근의 내부 보안위협 추세를 고려하여 인원보안 관리 수준을 효과적으로 측정할 수 있는 인원보안 관리 지표를 개발하는 목적으로 수행되었으며 이론적인 고찰과 기존의 보안관리 체계와 연구 자료를 분석하여 문제점을 도출하고 개선방향을 설정하였다. 연구할 관리항목 지표는 보안 전문가들의 예비 조사를 거쳐 연구 관리지표를 선정하고, 타당성 검증을 위하여 설문조사를 실시하였다. 도출된 관리항목 지표는 인원 보증(Personnel Assurance), 개인 역량(Personnel Competence), 보안 환경(Security Environment)으로 분류하였으며, 지표별 타당성, 중요성, 보안위험 수준에 대한 설문 조사결과를 분석하였다. 조사 결과, 대부분의 관리 지표들이 바람직한 것으로 나타났다. 향후 관련 항목 간의 요인분석 등을 통하여 보다 발전된 인원 보안 관리의 계량화 연구가 필요하다.
Insider threat is becoming a very serious issue in most organizations and management is responsible for security implementation. This study is to develop a personnel security management indicators in the areas of Personnel Assurance, Personnel Competence, and Security Environment and protection agai...
Insider threat is becoming a very serious issue in most organizations and management is responsible for security implementation. This study is to develop a personnel security management indicators in the areas of Personnel Assurance, Personnel Competence, and Security Environment and protection against insider threats. In this study, the information security management system and related papers are examined by reviewing the existing researches and cases. Proposed indicators are verified by pilot test, empirically analyzed to expose experts' perception and the validity, importance, and risk level of each indicators through a questionnaire. Result were encouraging, but additional study focused on personnel security management using factor analysis is needed in the future.
Insider threat is becoming a very serious issue in most organizations and management is responsible for security implementation. This study is to develop a personnel security management indicators in the areas of Personnel Assurance, Personnel Competence, and Security Environment and protection against insider threats. In this study, the information security management system and related papers are examined by reviewing the existing researches and cases. Proposed indicators are verified by pilot test, empirically analyzed to expose experts' perception and the validity, importance, and risk level of each indicators through a questionnaire. Result were encouraging, but additional study focused on personnel security management using factor analysis is needed in the future.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구는 최근의 내부 위협의 양상을 고려하고 효율적으로 내부 위협에 대응하기 위하여 인적 자원 요인을 대상으로 인원보안 관리 지표를 개발하는 목적으로 연구되었다. 연구를 위하여 이론적인 고찰과 기존의 연구 자료와 지표를 분석하였으며 최근의 내부 위협 보안사례와 양상을 분석하여 내부위협과 인원보안 관리를 연계하여 연구하고 개선 방향을 설정하였다.
그러나 내부위협의 심각성에 대비한 내부위협 추세 및 행태에 대한 평가와 인원보안 관리를 연계한 포괄적인 인원 보안관리에 대한기준이나 연구는 미흡한 실정이다. 이 연구는 내부위협의 추세와 양상을 고려하고 조직의 인원보안 관리 수준 향상을 위한 방안과 보안관리 항목별 지표를 작성하기 위하여 인원보안 관리지표의 개념을 정립하고 관리 지표를 도출하여 연구 조사 및 분석을 실시하였다.
파일럿 테스트를 거쳐서 완성된 연구 항목지표는 항목 요소로서 타당성과 상대적 중요성을 조사하고 항목별로 보안위협에 대한 위험 수준의 정도를 조사하였으며 이는 관리 항목의 지표들이 제대로 수행되지 않으면 어느 정도의 보안위험이 유발되는지를 조사하는 목표로 이루어졌다.
제안 방법
1단계에서 제시된 지표 항목을 토대로 최종 지표 항목을 도출하기 위하여 인원보안의 계층적 구조를 발전시켜 활용할 필요가 있고 정보보안 요소, 서비스, 역량의 보안지표 고려사항을 참조하여 상호 연계성과 구현 가능성을 예상하여 계층적 수준을 대분류, 중분류, 소분류로 구분하고 미시적 차원의 개념을 적용하여 조직의 프로세스 차원에서 인원보안 관리 지표를 도출하였으며 지표의 분류는 인원보증(인가된 사람이), 개인 역량(인가된 활동을), 보안환경(인가된 환경 내에서)으로 분류한 후 중분류와 소분류로 구분하였다.
본 연구에서 인원보안 관리 지표는 6단계를 걸쳐 개발되었으며, 1단계에서 기존의 연구와 참고자료 등을 분석하여 포괄적인 지표 후보를 도출하였으며 2단계에서는 1단계에서 도출된 후보요소들에 대한 개념을 정의하고, 3단계에서는 한미 국방 전문가로 구성된 전문가 그룹 토의를 통하여 후보지표에 대한 파일럿 테스트를 실시하였다. 4단계에서는 한미연합사 장병 중 보안 경험이 있거나 업무를 수행하거나 IT 보안과 연관이 있는 대상자 50명을 엄선하여 지표의 타당성 등 연구와 관련된 의견을 수집하고 5단계에서 지표 항목의 타당성과 가중치, 중요성, 사고의 충격 등에 대한 통계 분석을 실시하였으며 마지막 6단계에서는 바람직한 인원보안 관리지표를 제시하였다.
본 연구에서 인원보안 관리 지표는 6단계를 걸쳐 개발되었으며, 1단계에서 기존의 연구와 참고자료 등을 분석하여 포괄적인 지표 후보를 도출하였으며 2단계에서는 1단계에서 도출된 후보요소들에 대한 개념을 정의하고, 3단계에서는 한미 국방 전문가로 구성된 전문가 그룹 토의를 통하여 후보지표에 대한 파일럿 테스트를 실시하였다. 4단계에서는 한미연합사 장병 중 보안 경험이 있거나 업무를 수행하거나 IT 보안과 연관이 있는 대상자 50명을 엄선하여 지표의 타당성 등 연구와 관련된 의견을 수집하고 5단계에서 지표 항목의 타당성과 가중치, 중요성, 사고의 충격 등에 대한 통계 분석을 실시하였으며 마지막 6단계에서는 바람직한 인원보안 관리지표를 제시하였다.
본 연구에서 인원보안 관리 항목 지표로 도출된 인원 인증, 개인 역량, 보안 환경 관리 항목에 대한 지표로서의 타당성과 상대적 중요성 그리고 위협에 관련된 위험의 수준을 조사하였고 척도는 5점 척도를 사용하였으며, 5점이 가장 높거나 가장 바람직한 수준이고, 1점이 가장 낮거나 가장 바람직하지 않은 수준으로 나타내고 있으며 지표에 대한 통계 분석은 표 3과 같다.
본 연구에서는 이와 같은 기존 정보보안 관리의 문제점을 인식하여 보안위협과 인원보안의 상관관계를 목적 지향적으로 문제를 분석하고 관련 참조 이론을 이용하여 탐색적 연구를 수행하였으며 보안 이론과 아키텍처, 모형과 선행 연구자료를 참조하고 정보화 수준 측정하기 위하여 활용되는 정보화 지표 접근 방법(거시경제적 접근, 사회경제 지표적 접근, 정보 유통량 측정 방법 등)과 정보화 수준을 측정하는 정보 인프라 지수의 평가 방법(미시적 차원과 거시적 차원, 기술적 차원과 비즈니스 차원, 내부적 차원과 외부적 차원 등), BSC 방법(혁신 및 학습 관점, 재무관점, 내부사업 관점, 고객관점)을 포괄적으로 참조하고, 부합성 평가를 고려하여 Hatry(1980)와 Rosen(1993)의 시의 적절성, 신뢰성, 이해성, 통제성, 정확성, 통제성 등의 요소와 정보보안 지표 선정과 관련된 김정덕(2003)의 정확성, 객관성, 미래 예측성, 현실 적용성 등의 요소를 고려하고 김현수(1999)의 타당성, 상대적 중요성, 보안사고의 심각성, 사고 발생 확률에 관한 고려사항을 포괄적으로 참조하여 지표를 개발하였으며 포괄적인 지표 후보를 비교하면 표 1에서 보는 바와 같다[5].
선정된 항목의 지표에 대한 실증적 분석을 위하여 보안 경력이 있거나 보안 업무에 종사하는 인원을 대상으로 관리항목 지표의 타당성, 상대적 중요성, 항목이 수행되지 않을시 예상되는 보안 위험 수준에 대한 설문조사 형식으로 분석하고 지표에 대한 타당성을 도출하였다.
본 연구는 최근의 내부 위협의 양상을 고려하고 효율적으로 내부 위협에 대응하기 위하여 인적 자원 요인을 대상으로 인원보안 관리 지표를 개발하는 목적으로 연구되었다. 연구를 위하여 이론적인 고찰과 기존의 연구 자료와 지표를 분석하였으며 최근의 내부 위협 보안사례와 양상을 분석하여 내부위협과 인원보안 관리를 연계하여 연구하고 개선 방향을 설정하였다. 연구지표의 도출을 위하여 한미 국방보안 전문가들에게 예비조사를 실시하여 개선 방향의 타당성을 검증하고 토의 결과를 반영하여 인원보안 관리지표 항목을 선정하였다.
연구를 위하여 이론적인 고찰과 기존의 연구 자료와 지표를 분석하였으며 최근의 내부 위협 보안사례와 양상을 분석하여 내부위협과 인원보안 관리를 연계하여 연구하고 개선 방향을 설정하였다. 연구지표의 도출을 위하여 한미 국방보안 전문가들에게 예비조사를 실시하여 개선 방향의 타당성을 검증하고 토의 결과를 반영하여 인원보안 관리지표 항목을 선정하였다.
위에서 도출된 후보 항목에 대하여 한미 국방분야 보안전문가(한미연합사, 주한 유엔사, 한국 국방부의 보안업무 담당관급 이상)들을 대상으로 항목의 타당성과 중요성에 대하여 1차 검증을 실시하였으며 대부분의 항목에 대하여 대체로 긍정적으로 평가되었으나 중복성이 있는 5개 항목은 탈락하고 1개의 항목은 분류를 변경하였으며, 최종적으로 도출된 항목은 조작적정의에 해당되는 소분류를 포함한 계층별 지표는 표 2와 같다.
본 연구의 조사대상은 한미연합사 근무 장병 중 보안직책을 수행한 경험이 있거나 보안업무를 수행하거나 보안과 관련된 IT 업무를 수행하는 장병을 50명을 엄선하여 국방 행정정보시스템을 이용하여 이메일 설문조사를 실시하였으며, 총 배포된 설문지의 수는 50부이었으며 회수된 설문지는 총 47부로 94%이었다.응답자 분포는 부장급 5명, 과장급 18명, 대리급 24명, 연령대는 50대 7명, 40대 19명.
본 연구의 조사대상은 한미연합사 근무 장병 중 보안직책을 수행한 경험이 있거나 보안업무를 수행하거나 보안과 관련된 IT 업무를 수행하는 장병을 50명을 엄선하여 국방 행정정보시스템을 이용하여 이메일 설문조사를 실시하였으며, 총 배포된 설문지의 수는 50부이었으며 회수된 설문지는 총 47부로 94%이었다.응답자 분포는 부장급 5명, 과장급 18명, 대리급 24명, 연령대는 50대 7명, 40대 19명. 30대 21명, 보안경력으로 실무자 10명, 보안업무 유경험자 28명, IT 보안종사자 8명, 기타 1명, 보안경력으로 1~5년 24명, 6~10년 16명, 10년이상 7명이었다.
성능/효과
통계에서 보는 바와 같이 타당성과 중요성은 서로 유사한 통계치를 나타내고 있으며 타당성 조사에서는 자발적 참여, 서약이나 계약의 동의, 지속적인 교육, 개인의 보안인식, 사용자의 IT 운용 능력, 논리적 통제, 모니터링이 대체로 높은 타당성을 보이고 있고, 중요성 조사에서는 자발적 참여, 서약이나 계약의 동의, 인증의 해지 또는 중지, 지속적인 교육, 개인 보안 인식, 보안위반의 조치, 물리적 통제와 논리적 통제, 모니터링, 시설 및 구역의 통제와 출입인원의 관리 지표는 4.0 이상으로 높은 중요성 요인으로 나타났다.
표에서 보는 바와 같이 후보로 선정된 대부분의 인원보안 관리 지표는 평균치가 3.0이상으로 나타났고 위험 수준의 2개 지표는 3.0 이하로 통계치를 보이고 있으나, 대부분의 항목에서 높은 타당성과 중요성 그리고 항목의 보안관리가 미흡하면 발생되는 보안위험의 심각성을 가지고 있는 것으로 나타났다.
후속연구
그러나 본 연구는 관리 항목 지표별 타당성, 중요성, 위험 수준을 분석하여 타당한 결과를 도출하였으나, 보안위협 세부적인 요인과 인원보안 관리 요인 간의 상관관계 분석 및 항목 간 관계를 조사하여 보완할 필요가 있으며, 또한 보안수준 평가를 위하여 가중치를 도출하고 수치화하여 기존의 보안관리 체계 및 인원관리 기준과 연계한 연구와 발전이 필요하다.
연구 결과에서 도출된 결과의 대부분은 관리 항목 지표로서 타당하고 바람직한 항목으로 나타났으며, 인원인증의 계약과 서약의 동의, 인증 업무, 개인 역량의 인식과 교육, 보안환경의 보안통제가 특히 중요하고 중점적으로 관리되어 할 요소로 나타났으며 본 연구에서 제시된 인원보안 관리 지표를 활용은 인원보안관리 수준에 향상과 내부 보안위협을 대응에 효율적으로 활용될 것으로 기대된다.
위의 인원보안 관리 지표를 제대로 이행하지 않는다면 보안위협에 대한 보안 위험성이 어느 정도인지 조사한 위험 수준 조사에서 서약 또는 계약의 동의, 인증의 해지 및 중지, 물리적 통제와 논리적 통제가 보안위험을 심각하게 손상할 수 있는 지표로 나타났으며 추천서 또는 평가서에 의한 인원 인증과 개인 교육 이력관리는 3.0 이하로 위험 수준에 크게 영향을 미치지 않는 것으로 나타났으며 연구 결과를 통하여 나타난 내용을 참조하여 조직에서 포괄적 인원보안관리 및 내부위협 대응을 위한 자료로 사용할 수 있으며 조직의 특성을 고려하여 필요한 항목만 선택적으로 활용할 수 있을 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
비의도적 위협이란?
위협은 발생되는 특성에 따라 의도적 위협과 비의도적 위협으로 구분되며 의도적 위협은 외부인과 내부인에 의하여 기술적 위협와 물리적 위협 환경에서 도출된 취약점을 이용하여 표적이 되는 정보 자산을 공격하는 형태이며, 비의도적 위협은 사람, 재해, 시스템의 결함에 의하여 발생되는 위협으로 사람의 실수나 조작 미숙, 자연재해나 설비 장애로 나타나는 위협과 OS 결함이나시스템의 결함으로 나타는 시스템적인 결함에서 비롯되며 위협의 근원지에 따라 내부위협과 외부 위협으로 구분된다[3][4][9][15].
정보보안의 정의란?
정보보안의 정의는 기밀성, 무결성, 가용성이 강구 되어 정보를 보호하는 일체의 행위(ISO 27001,2005)라고 정의하고 국정원(2008)에서는 정보시스템 및 통신망을 통해 수집, 가공, 저장, 검색하거나 송수신 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 물리적, 기술적 일체의 행위라고 정의하고 있으며, 정보보안의 보안목표는 기밀성, 무결성, 가용성으로 구성되어 있으며 관리 항목은 거버넌스, 인원, 정책, 위험관리, 법적 기준, 수행, 기술로 분류되어 있다[5][6][7].
인원보증 중 신원조사란 무엇인가?
인원보증(Personnel Assurance)은 신원조사, 인터뷰, 보안 인증으로 구성되어 있다. 신원조사는 인원의 배경조사에 해당하는 항목이며 신원조사대상에 따른 범위를 선정하고 신원조사 결과를 평가하는 지표로 구성되어 있으며 대부분의 조직에서 목표 달성을 위하여 우수한 자원을 구성원으로 활용하고자 하는 본질적인 인적 자원관리의 목적이기도 하다. 지식과 인성과 바른 가치관 등 제반 요소를 잘 갖춘 사람을 선별하는 것의 첫 번째 단계이며 정책으로 부여된 개인의 권한과 책임을 고려하여 구분하여 수행되어야 한다. 미국방부의 경우 최근 5년 또는 18세 이후의 기간을 대상으로 초기 신원조사를 실시하며 이후 매 5년마다 정기적인 신원조사를 실시하고 있으며 보안인증 등급(극비인원, 중요인원, 일반인원)을 분류하여 부적격 요건 중 하나 이상의 문제가 발생하여도 고용 불가 요인으로 적용토록 조치되고 있으며 핵심인원은 가족, 친구관계, 과거 동료관계, 이혼 등 개인 사생활 등에 대한 현지 탐문 조사를 병행하고 있다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.