[국내논문]교육기관 정보보호 담당자의 정보보호 교육수요와 정보보호 교육센터의 교육과정과의 차이 Difference between Information Security Education Demand of Information Security Employees and Curriculum of Information Security Education Center원문보기
교육기관이 보유한 개인정보 파일의 상당수는 개인의 학사정보, 건강정보 등 민감한 정보를 포함한다. 따라서 교육기관의 개인정보유출 사건이 발생할 경우 그 피해가 클 것으로 예상된다. 이러한 피해를 막기 위해 교육부는 2012년부터 교육기관의 (개인)정보보호 담당자를 대상으로 보안인식제고 및 보안기술능력 향상을 목표로 하는 정보보호 교육센터를 설립하여 운영하는 등 다양한 노력을 하고 있지만 여전히 공공기관에서 발생한 개인정보유출 사건의 상당수는 교육기관에서 발생하고 있다. 본 연구는 정보보호 교육센터의 교육과정이 교육대상의 교육수요에 적합하게 운영되고 있는지 확인하기 위해 다음과 같이 진행하였다. 대학의 정보보호 관련 전공 커리큘럼을 조사하여 정보보호 분야의 지식 및 기술 11개를 도출하였고, 정보보호 교육센터의 교육대상인 교육기관의 (개인)정보보호 담당자를 대상으로 정보보호 분야의 지식 및 기술 11개에 대한 교육수요를 조사하였다. 또한, 정보보호 교육센터의 교육과정을 조사하였으며, 이를 교육대상의 교육수요와 비교해보았다.
교육기관이 보유한 개인정보 파일의 상당수는 개인의 학사정보, 건강정보 등 민감한 정보를 포함한다. 따라서 교육기관의 개인정보유출 사건이 발생할 경우 그 피해가 클 것으로 예상된다. 이러한 피해를 막기 위해 교육부는 2012년부터 교육기관의 (개인)정보보호 담당자를 대상으로 보안인식제고 및 보안기술능력 향상을 목표로 하는 정보보호 교육센터를 설립하여 운영하는 등 다양한 노력을 하고 있지만 여전히 공공기관에서 발생한 개인정보유출 사건의 상당수는 교육기관에서 발생하고 있다. 본 연구는 정보보호 교육센터의 교육과정이 교육대상의 교육수요에 적합하게 운영되고 있는지 확인하기 위해 다음과 같이 진행하였다. 대학의 정보보호 관련 전공 커리큘럼을 조사하여 정보보호 분야의 지식 및 기술 11개를 도출하였고, 정보보호 교육센터의 교육대상인 교육기관의 (개인)정보보호 담당자를 대상으로 정보보호 분야의 지식 및 기술 11개에 대한 교육수요를 조사하였다. 또한, 정보보호 교육센터의 교육과정을 조사하였으며, 이를 교육대상의 교육수요와 비교해보았다.
Because personal information files held by educational institutions include sensitive information such as personal school affairs information or health information, damages resulted from personal information leakage of educational institutions are expected to be serious. In order to respond to this ...
Because personal information files held by educational institutions include sensitive information such as personal school affairs information or health information, damages resulted from personal information leakage of educational institutions are expected to be serious. In order to respond to this problem, the Ministry of Education has expanded information security education targeting (personal) information security officers in educational institutions. However, a number of personal information leakage cases of public institutions occurred at educational institutions. Thus, this study, targeting information security education centers, through an empirical research, tries to confirm whether information security education supply is being properly provided for (personal) information security officers in educational institutions, and suggest the appropriate balance between education supply and education demand as the implication for the educational direction of information security education centers.
Because personal information files held by educational institutions include sensitive information such as personal school affairs information or health information, damages resulted from personal information leakage of educational institutions are expected to be serious. In order to respond to this problem, the Ministry of Education has expanded information security education targeting (personal) information security officers in educational institutions. However, a number of personal information leakage cases of public institutions occurred at educational institutions. Thus, this study, targeting information security education centers, through an empirical research, tries to confirm whether information security education supply is being properly provided for (personal) information security officers in educational institutions, and suggest the appropriate balance between education supply and education demand as the implication for the educational direction of information security education centers.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
교육부가 2012년부터 교육기관의 (개인)정보보호 담당자의 보안인식제고 및 보안기술능력 향상을 위해 정보보호 교육센터를 설립하여 운영하고 있지만, 여전히 공공기관에서 발생한 개인정보유출 사건의 상당수는 교육기관에서 발생하고 있다. 본 연구는 정보보호 교육센터의 교육과정이 교육대상의 교육수요에 적합하게 운영되고 있는지 확인하기 위해 교육기관의 (개인)정보보호 담당자를 대상으로 정보보호 교육수요를 설문조사하고 이를 정보보호 교육센터의 교육과정과 비교하였다.
본 연구에서는 기술적인 측면보다는 관리적인 측면이 더 요구되는 교육기관의 (개인)정보보호 담당자를 대상으로 하고 있음을 고려하여 관리적 측면의 정보보호가 가장 많이 적용되어 온 정보시스템 분야의 교육과정 관련 연구들도 살펴보았다(전효정 등, 2008). 특히, 실무자 관점을 고려하여 업계와 학계의 요구 사이의 차이를 확인한 연구들을 중심으로 살펴보았다.
본 연구에서는 정보보호 분야의 교육과정 관련 연구 중에서 실무자 관점을 고려한 연구들을 중심으로 살펴보았다. Bogolea and Wijekumar(2004)은 전문가 대상의 설문조사 및 인터뷰, 실무자 대상의 설문조사 등 다양한 접근방식을 사용하여 정보보호 교육과정의 포괄적인 목록을 제시하였다.
본 연구에서는 기술적인 측면보다는 관리적인 측면이 더 요구되는 교육기관의 (개인)정보보호 담당자를 대상으로 하고 있음을 고려하여 관리적 측면의 정보보호가 가장 많이 적용되어 온 정보시스템 분야의 교육과정 관련 연구들도 살펴보았다(전효정 등, 2008). 특히, 실무자 관점을 고려하여 업계와 학계의 요구 사이의 차이를 확인한 연구들을 중심으로 살펴보았다. Trauth 등(1993)은 정보시스템 관리자, 최종사용자 관리자, 정보시스템 컨설턴트, 정보시스템 교수를 대상으로 설문조사를 실시하여 대학에서 제공되는 교육과정과 산업에서 실무자에게 요구되는 내용의 차이를 확인하였다.
제안 방법
11개의 정보보호 분야 지식 및 기술 중에 유사한 속성을 가진 것들이 있는지 확인하기 위해 필요수준과 보유수준을 각각 요인 분석하였다. 요인분석을 통해서 11개의 정보보호 분야 지식 및 기술들을 범주화할 수 있다면, 범주 간의 차이를 확인해볼 수 있다.
정보보호 교육센터의 집합교육을 수강한 경험이 있는 담당자만을 대상으로 설문조사하였으며, 이들은 교육자, 교육직 공무원 등으로 구성되어 있어서 대부분이 정보보호 분야의 비전공자일 것이라고 예상된다. 11개의 정보보호 분야 지식 및 기술에 대해 개인별로 업무처리 시에 느꼈던 필요수준과 보유수준에 대해 5점 척도를 기준으로 응답하도록 하였다(1: 매우낮음, 3: 보통, 5: 매우높음). 필요수준은 업무를 성공적으로 수행하기 위해 필요한 정도를 의미하며, 보유수준은 실제로 보유하고 있는 숙련된 정도를 의미한다.
교육에 대한 상세한 설명이 제공되지 않는 8개를 제외한 270개의 집합교육과정을 11개의 정보보호 분야 지식 및 기술을 기준으로 분류하였다. 그 결과 물리적 보안, 프로그래밍 언어, 정보보호 거버넌스를 제외한 총 8개의 정보보호 분야 지식 및 기술로 분류되었다(<표 13> 참조).
요인추출 방법은 주성분 분석, 회전 방법은 Kaiser 정규화가 있는 베리멕스를 사용하였다. 그 결과 통신 및 네트워크 보안, 정보보호 거버넌스는 필요수준과 보유수준이 서로 다른 속성으로 분류되어서 제외하고 9개의 항목에 대해 다시 요인 분석하였다. 그 결과 5회 반복계산에서 요인회전이 수렴되었으며, 2개의 속성으로 분류되었다.
본 연구는 정보보호 교육센터의 교육과정이 교육대상의 교육수요에 적합하게 운영되고 있는지 확인하기 위해 다음과 같이 진행하였다. 대학의 정보보호 관련 전공 커리큘럼을 조사하여 정보보호 분야의 지식 및 기술 11개를 도출하였고, 정보보호 교육센터의 교육대상인 교육기관의 (개인)정보보호 담당자를 대상으로 정보보호 분야의 지식 및 기술 11개에 대한 교육수요를 조사하였다. 또한, 정보보호 교육센터의 교육과정을 조사하였으며, 이를 교육기관의 (개인)정보보호 담당자의 교육수요와 비교해보았다.
대학의 정보보호 관련 전공 커리큘럼을 조사하여 정보보호 분야의 지식 및 기술 11개를 도출하였고, 정보보호 교육센터의 교육대상인 교육기관의 (개인)정보보호 담당자를 대상으로 정보보호 분야의 지식 및 기술 11개에 대한 교육수요를 조사하였다. 또한, 정보보호 교육센터의 교육과정을 조사하였으며, 이를 교육기관의 (개인)정보보호 담당자의 교육수요와 비교해보았다.
본 연구는 교육을 직접 받고 있는 수강생을 대상으로 교육수요를 조사하고, 이를 교육과정과 비교하였다는 점에서 관련 연구들과 차별점을 가진다.
본 연구에서는 정보보호 교육수요의 우선순위를 파악하기 위해 필요수준평균(A)과 보유수준평균(B)의 차(A-B)를 구하였고, 이를 교육수요의 크기로 보았다. 즉, 차(A-B)가 클수록 교육수요가 크고, 작을수록 교육수요가 작다.
어떠한 차이가 있는지 확인해보기 위해 그룹별 평균을 살펴보았다( 참조).
정보보호 분야의 지식 및 기술을 도출하기 위하여 2013년 9월 기준으로 국내의 4년제 대학에 개설된 정보보호 관련 커리큘럼을 전수 조사하였다. 대학알리미에 따르면 총 19개 대학이 정보보호 관련 학과를 운영하고 있는 것으로 파악되었다(http://academyinfo.
대상 데이터
그 중에서도 대학의 홈페이지를 통해 커리큘럼을 공개하고 있는 17개 대학의 커리큘럼을 대상으로 분석하였다( 참조).
설문조사 결과, 총 120부를 회수하였으며, 이 중 유효한 설문지는 112부이다. SPSS(Statistical Package for the Social Sciences) v18.
설문조사로 확인한 정보보호 교육센터의 교육 대상인 교육기관의 (개인)정보보호 담당자의 교육수요와 비교하기 위해 2014년 5월 기준으로 정보보호 교육센터에 개설된 교육과정을 전수 조사하였다(http://sec.keris.or.kr/).
정보보호 교육센터의 교육수요를 조사하기 위하여 2013년 10월에 교육기관의 (개인)정보보호 담당자를 대상으로 설문조사를 실시하였다. 정보보호 교육센터의 집합교육을 수강한 경험이 있는 담당자만을 대상으로 설문조사하였으며, 이들은 교육자, 교육직 공무원 등으로 구성되어 있어서 대부분이 정보보호 분야의 비전공자일 것이라고 예상된다.
다변량 검정 결과는 <표 8>과 같다. 통계적 유의성을 검증하기 위하여 Pillai의 트레이스, Wilks의 람다, Hotelling의 트레이스, Roy의 최대근 등총 4개 다변량 통계치를 사용하였다. 유의확률(p-value)이 0.
데이터처리
설문조사 결과, 총 120부를 회수하였으며, 이 중 유효한 설문지는 112부이다. SPSS(Statistical Package for the Social Sciences) v18.0을 사용하여 설문조사의 결과를 분석하였다. 응답자의 기본정보는 <표 4>와 같다.
교육기관의 (개인)정보보호 담당자의 필요수준과 보유수준의 평균 차 순위()와 정보보호 교육센터 집합교육과정의 빈도 순위()를 대상으로 공통된 7개 항목인 일반 정보보호 관리, 정보보호 제도 및 윤리, 개인정보보호, 운영보안, 응용 및 시스템 개발 보안, 암호학, 컴퓨터 포렌식에 대해 SPSS v.18의 Kendall의 tau-b(K)와 Spearman(S)를 사용하여 분석하였다.
담당업무에 따라 필요수준과 보유수준에 차이가 있는지 확인하기 위해 각각 다변량 분산분석(MANOVA, multivariate analysis of variance)을 하였다. 다변량 분산분석의 기본가정을 충족하기 위해 7개의 담당업무를 총 3개의 그룹으로 재분류하였다(양병화, 2006)(<표 7> 참조).
정보보호 교육센터의 교육대상인 교육기관의 (개인)정보보호 담당자의 교육수요와 정보보호 교육센터의 교육과정 간에 차이가 존재하는지 확인하기 위해 비모수 상관분석을 실시하였다. 측정척도가 서로 다른 둘을 비교하기 위해 순위를 이용하였다.
이론/모형
요인추출 방법은 주성분 분석, 회전 방법은 Kaiser 정규화가 있는 베리멕스를 사용하였다. 그 결과 통신 및 네트워크 보안, 정보보호 거버넌스는 필요수준과 보유수준이 서로 다른 속성으로 분류되어서 제외하고 9개의 항목에 대해 다시 요인 분석하였다.
성능/효과
그 결과 통신 및 네트워크 보안, 정보보호 거버넌스는 필요수준과 보유수준이 서로 다른 속성으로 분류되어서 제외하고 9개의 항목에 대해 다시 요인 분석하였다. 그 결과 5회 반복계산에서 요인회전이 수렴되었으며, 2개의 속성으로 분류되었다. 각각의 속성에 포함된 정보보호 분야의 지식 및 기술의 특성을 고려하여 관리 영역과 기술 영역으로 명명하였다(<표 5> 참조).
그 결과 물리적 보안, 프로그래밍 언어, 정보보호 거버넌스를 제외한 총 8개의 정보보호 분야 지식 및 기술로 분류되었다( 참조).
그 결과 총 658개의 과목(중복포함)이 개설되어 대학별로 평균 38.65(표준 편차 7.11)개의 과목이 운영 중인 것으로 파악되었다. 과목명을 기준으로 분류한 결과, 정보보호 영역(90.
교육기관에서 발생한 개인정보유출 사건의 주된 원인이 개인정보 취급자의 부주의이므로 정보보호 교육센터의 교육이 관리 영역을 중심으로 이루어지고 있는 것은 적절하다. 그러나 교육기관의 (개인)정보보호 담당자는 관리 영역보다 기술 영역이 보유수준은 낮고 교육수요의 우선순위는 높은 것으로 나타났다. 따라서 정보보호 교육센터는 기존 교육을 유지하면서 동시에 기술 영역의 교육을 더 필요로 하는 교육대상의 의견을 반영하여 기술 영역의 교육과정을 추가 개설하는 방향으로 교육과정을 개선할 필요가 있다.
필요수준은 개인정보보호, 운영보안, 응용 및 시스템 개발 보안 순으로 높게 나타났고, 암호학, 컴퓨터 포렌식, 프로그래밍 언어 순으로 낮게 나타났다. 보유수준은 일반 정보보호 관리, 개인정보보호, 운영보안 순으로 높게 나타났고, 컴퓨터포렌식, 암호학, 프로그래밍 언어 순으로 낮게 나타났다. 영역별로 살펴본 결과, 필요수준과 보유수준 모두 관리 영역은 높게 나타났고, 기술 영역은 낮게 나타났다.
본 연구의 결과, 정보보호 교육센터 집합교육과정에 개설된 과정은 관리 영역이 94%로 대부분을 차지하고 있다. 교육기관에서 발생한 개인정보유출 사건의 주된 원인이 개인정보 취급자의 부주의이므로 정보보호 교육센터의 교육이 관리 영역을 중심으로 이루어지고 있는 것은 적절하다.
분석결과, 모든 상관계수가 -1에 가까운 수치이며 유의확률은 0.05보다 낮은 수치로 나타났다( 참조).
어떠한 차이가 있는지 살펴본 결과, 교육기관의 (개인)정보보호 담당자의 교육수요의 우선순위는 관리 영역보다 기술 영역이 더 높게 나타난 반면 정보보호 교육센터에 개설된 집합교육과정은 관리 영역이 94%로 대부분을 차지하고 있었다. 교육기관에서 발생한 개인정보유출 사건의 주된 원인이 개인정보 취급자의 부주의이므로 정보보호 교육센터의 교육이 관리 영역을 중심으로 이루어지고 있는 것은 적절하다.
보유수준은 일반 정보보호 관리, 개인정보보호, 운영보안 순으로 높게 나타났고, 컴퓨터포렌식, 암호학, 프로그래밍 언어 순으로 낮게 나타났다. 영역별로 살펴본 결과, 필요수준과 보유수준 모두 관리 영역은 높게 나타났고, 기술 영역은 낮게 나타났다.
9개의 정보보호 분야 지식 및 기술의 평균은 <표 6>과 같다. 필요수준은 개인정보보호, 운영보안, 응용 및 시스템 개발 보안 순으로 높게 나타났고, 암호학, 컴퓨터 포렌식, 프로그래밍 언어 순으로 낮게 나타났다. 보유수준은 일반 정보보호 관리, 개인정보보호, 운영보안 순으로 높게 나타났고, 컴퓨터포렌식, 암호학, 프로그래밍 언어 순으로 낮게 나타났다.
후속연구
향후 연구에서는 정보보호 관련 전공자를 대상으로 정보보호 교육수요를 조사하여 이를 비전공자의 정보보호 교육수요 및 정보보호 교육과정과 비교해볼 수 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
교육기관이 보유한 개인정보 파일은 무엇이 있나?
교육기관은 교육행정정보시스템(National Education Information System, NEIS)의 도입으로 개인정보를 전산화하여 보유하게 되었고, 이로 인해 개인정보 유출의 위험이 증가하였다(디지털타임스, 2003). 교육기관이 보유한 개인정보 파일은 개인의 학사정보, 건강정보 등 민감한 정보여서, 교육기관의 개인정보유출 사건에 따른 피해는 클 것으로 예상된다(교육과학기술부, 2010). 특히, 대학 입시 근거자료의 목적으로 대학에 제공되는 개인정보는 성명, 주민등록번호, 세부적인 성적자료 등 학생부 자료의 28개가 포함되어 있어 더 큰 피해가 우려된다(뉴스1코리아, 2014).
개인정보 취급자의 부주의를 해결하기 위한 방안은?
교육부는 교육기관에서 발생한 개인정보유출 사건의 주된 원인을 개인정보 취급자의 부주의라고 밝혔다(교육과학기술부, 2010). 보안 사고가 발생하거나 보안 취약점이 발견될 때의 근본 원인이 되는 것 중에 하나가 인력이며, 인력과 관련된 문제를 해결할 수 있는 방안이 정보보호 교육이다(데일리시큐, 2014). 교육부는 개인정보 보호 순회교육, 개인정보보호․개인정보보호법 사이버연수 등 다양한 방법으로 교육기관의 (개인)정보보호 담당자를 위한 정보보호 교육을 실시하였으나, 정보보호 교육을 위한 교육장소 및 교육과정이 교육기관의 개인정보 취급자를 감당하기에는 부족하였다(교육과학기술부, 2012).
교육기관은 어떤 시스템의 도입으로 개인정보를 전산화하여 보유하게 되었나?
교육기관은 교육행정정보시스템(National Education Information System, NEIS)의 도입으로 개인정보를 전산화하여 보유하게 되었고, 이로 인해 개인정보 유출의 위험이 증가하였다(디지털타임스, 2003). 교육기관이 보유한 개인정보 파일은 개인의 학사정보, 건강정보 등 민감한 정보여서, 교육기관의 개인정보유출 사건에 따른 피해는 클 것으로 예상된다(교육과학기술부, 2010).
※ AI-Helper는 부적절한 답변을 할 수 있습니다.