[논문]기업 정보보안 전략 수립을 위한 보안 사고 유형 분류에 관한 연구

김희올; 백동현

doi:10.11627/jkise.2015.38.4.193

기업 정보보안 전략 수립을 위한 보안 사고 유형 분류에 관한 연구
A Study on Categorization of Accident Pattern for Organization's Information Security Strategy Establish 원문보기

Journal of Korean Society of Industrial and Systems Engineering = 한국산업경영시스템학회지, v.38 no.4, 2015년, pp.193 - 201

김희올 (한양대학교 일반대학원 경영컨설팅학과) , 백동현 (한양대학교 경상대학 경영학부)

Abstract ▼ AI-Helper

Corporation's valuable intelligent asset is being threatened from the skills of threatening subject that has been evolved along with the growth of the information system and the amount of the information asset. Domestically, attempts of various private information attacks, important information extortion, and information damage have been detected, and some of them have abused the vulnerability of security of information system, and have become a severe social problem that generates security incident. When accessing to the security, most of companies used to establish a strategy with a consistent manner and a solution plan. However, this is not a proper way. The order of priorities vary depending on the types of business. Also, the scale of damage varies significantly depending on the types of security incidents. And method of reaction and critical control point vary depending on the types of business and security incidents. In this study, I will define the security incidents by their types and preponderantly examine how one should react to those security incidents. In this study, analyzed many types of security accidents that can occur within a corporation and an organization considering various factors. Through this analysis, thought about factors that has to be considered by corporations and organizations when they intend to access to the information security. This study focuses on the response methodology based on the analysis of the case analysis of the leakage of industrial secret and private secret other than the conceptual response methodology that examines the way to prevent the leakage of the industry security systems and the industry information activities. And based on these factors, want to be of help for corporations to apply a reasonable approach when they establish a strategy to information security.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

그렇다면 보안 사고를 일으키는 주체는 어떤 이들인지 알아보았다. [Table 3]을 보면 해커에 의한 해킹 피해가 가장 많을 것이라는 예상과는 달리 가장 높은 비율을 차지한 것은 내부 직원에 의한 사고였다.
지금까지 2010년 1월부터 2015년 9월까지 최근 5년간 발생하여 기사화 되었던 정보보안 피해 사고 사례 131건을 몇 가지 분류 기준에 따라 분류하였고, 각각의 분류별로 어떤 특징을 보이는지 살펴보았다. 그렇다면 사고가 가장 많이 발생했었던 상위 4개 산업분야(제조업, 정보 서비스업, 금융 및 보험업, 도매 및 소매업)에 대한 사고의 유형을 종합적으로 알아보고자 한다.
따라서 본 연구에서는 우선 2010년 1월부터 2015년 9월까지 최근 5년간 발생하여 기사화 되었던 정보보안 피해 사고 사례 131건을 수집하여 몇 가지의 분류 기준에 따라 분류하였고, 각각의 분류별로 어떤 특징을 보이는지 살펴보는 사례연구를 진행하였다. 그리고 사례 연구를 통해 도출한 결과를 바탕으로 정보보안에 접근하고자 하는 기업의 상황에 맞는 전략 유형 틀을 제시하고자 하였다. 그리하여 기업들이 자사의 정보보안 전략을 수립할 때 의사결정을 지원할 수 있는 기반이 될 결과를 산출하는데 궁극적인 목적이 있다.
그리고 사례 연구를 통해 도출한 결과를 바탕으로 정보보안에 접근하고자 하는 기업의 상황에 맞는 전략 유형 틀을 제시하고자 하였다. 그리하여 기업들이 자사의 정보보안 전략을 수립할 때 의사결정을 지원할 수 있는 기반이 될 결과를 산출하는데 궁극적인 목적이 있다.
정보보안이라고 해서 모든 기업들이 일관된 접근 방법을 사용하는 것은 효율적이지 않으며, 기본적으로 보안에 대한 인식자체가 턱없이 낮은 기업들이 대부분인 우리나라 기업 현실에서 개별 기업의 특성을 고려한 접근 방식과 해결 방안을 찾기 위한 이론적인 연구가 필요하다고 판단된다. 따라서 본 연구에서는 우선 2010년 1월부터 2015년 9월까지 최근 5년간 발생하여 기사화 되었던 정보보안 피해 사고 사례 131건을 수집하여 몇 가지의 분류 기준에 따라 분류하였고, 각각의 분류별로 어떤 특징을 보이는지 살펴보는 사례연구를 진행하였다. 그리고 사례 연구를 통해 도출한 결과를 바탕으로 정보보안에 접근하고자 하는 기업의 상황에 맞는 전략 유형 틀을 제시하고자 하였다.
본 연구는 기업 및 조직 내에서 발생할 수 있는 보안사고 유형에 대해 여러 가지 요인들을 고려하여 사고 사례를 분석하였다. 서두에 밝혔듯 정보보안에 대해 모든 기업들이 일관적인 접근 방법과 해결 방안을 가지고 전략을 세우는 것은 올바른 방법이 아니다.

제안 방법

앞서 언급한 해킹과 같은 방법으로 기업 내의 데이터베이스 혹은 네트워크 서버를 공격한 방법이 있을 것이고, 보조기억장치(USB, 외장하드 등)를 이용하는 방법, 이메일로 전송하거나 웹하드에 업로드 하는 방법 등이 있다. 본 연구에서는 [Figure 3], [Figure 4]와 같이 이것을 크게 기술적인 방법(Technical method)과 물리적인 방법(Physical method)으로 구분하였다. 기술적인 방법이라 하는 것은 기업 외부에서 내부로 연결된 망을 통해 기업 내 응용 시스템, 서버, 네트워크, 데이터베이스 등을 공격하여 정보에 대한 위협을 가하는 것을 의미하고, 물리적인 방법이란 정보 시스템을 물리적인 방법, 즉 절도, 파괴, 화재 등과 같은 방법으로 정보에 위협을 가하는 것을 의미한다[16].
본 연구에서는 이것을 [Figure 2]와 같이 크게 개인정보, 영업비밀(산업기밀)의 2가지로 사례들을 분류하였다.
지금까지 2010년 1월부터 2015년 9월까지 최근 5년간 발생하여 기사화 되었던 정보보안 피해 사고 사례 131건을 몇 가지 분류 기준에 따라 분류하였고, 각각의 분류별로 어떤 특징을 보이는지 살펴보았다. 그렇다면 사고가 가장 많이 발생했었던 상위 4개 산업분야(제조업, 정보 서비스업, 금융 및 보험업, 도매 및 소매업)에 대한 사고의 유형을 종합적으로 알아보고자 한다.

대상 데이터

2010년 1월부터 2015년 9월까지 수집된 131건의 정보보안 사고 관련 신문기사는 우리나라 최대 뉴스 포털인 네이버 뉴스에 기사화 되어있는 자료를 사용하였으며, 국가정보원 산업기밀보호센터의 통계 자료와 안랩, SK인포섹, 이글루시큐리티 등 IT정보보안 업체들의 리포트도 참고하였다.

이론/모형

다음으로 표본이 된 131건의 보안 사고는 어떤 산업 분야에서 발생했는지 [Table 2]와 같이 분석해 보았다. 산업 분야 분류를 위한 기준은 통계청에서 발표한 제9차 한국표준산업분류(KSIC)에 근거하여 대분류 항목을 기준으로 살펴보았다. 가장 많은 정보보안 사고가 발생한 분야는 제조업으로, 50건의 보안 사고를 당한 것으로 나타났다.

성능/효과

산업 분야 분류를 위한 기준은 통계청에서 발표한 제9차 한국표준산업분류(KSIC)에 근거하여 대분류 항목을 기준으로 살펴보았다. 가장 많은 정보보안 사고가 발생한 분야는 제조업으로, 50건의 보안 사고를 당한 것으로 나타났다. 특히 많이 알려진 대기업 보다는 중소기업에서 많은 피해가 발생한 것을 확인할 수 있었다.
본 연구에서 수행한 보안사고 분석에서 나타난 특징을 고려하여 정보보안을 위한 다양한 대응 전략과 방안을 지속적으로 탐구하는 것이 요구된다. 분석 결과 대부분의 기업들은 기업 내의 중요한 정보들을 보호하기 위해 많은 노력을 기울이지 않는 모습을 보였다. 또한 정부의 규제만을 피해서 최소한의 보안에만 신경을 쓰고 피해가 발생할 경우 피해를 축소시키기에만 급급한 모습이었다.
정보보안 사고가 가장 많이 발생했던 4개 분야에 대해 종합적으로 알아본 결과 각각의 산업별로 발생 유형에서 조금씩 차이를 보이는 것을 확인할 수 있었다. 제조업의 경우 개인정보 보다는 영업비밀 혹은 산업기밀이 주요 타깃이 된다는 특징을 보였고, 나머지 3개 분야는 개인 정보가 유출되는 유형이 가장 많았지만 유출되는 방법이나 주체가 각각 다르다는 특징이 나타났다.
제조업의 경우 개인정보 보다는 영업비밀 혹은 산업기밀이 주요 타깃이 된다는 특징을 보였고, 나머지 3개 분야는 개인 정보가 유출되는 유형이 가장 많았지만 유출되는 방법이나 주체가 각각 다르다는 특징이 나타났다. 종합한 결과로 보아, 기업 혹은 크게 봐서 산업별로 정보보안에 대한 전략을 수립하고자 할 때 각기 다른 전략을 가지고 접근해야 효과를 극대화 할 수 있음을 확인할 수 있었다.
또한 최초 피해를 당한 이후에 제대로 대비를 하지 않아 악성코드 등에 의한 2차 피해를 입은 기업들도 상당수 존재했다. 최근들어 금융 및 보험업계나 인터넷 정보통신 서비스 관련 기업들이 정보보호를 위해 기술적으로 많은 투자를 하고 있지만 해킹 기술 또한 나날이 발전하고 있기 때문에 정부와 기업 입장에서 좀 더 신중한 자세로 접근하는 것이 필요하다는 것을 확인할 수 있었다. 나머지 84건의 사고는 물리적인 방법에 의해서 사고가 발생한 경우였다.
가장 많은 정보보안 사고가 발생한 분야는 제조업으로, 50건의 보안 사고를 당한 것으로 나타났다. 특히 많이 알려진 대기업 보다는 중소기업에서 많은 피해가 발생한 것을 확인할 수 있었다. 대기업의 경우 기업 내 정보보안을 관리하는 부서가 별도로 존재하거나, 적어도 보안 시스템을 구축함에 있어서 예산을 책정하는데 중소기업보다 수월하다는 각종 분석을 통해 위와 같은 결과가 나온 것이 아닌가 예상해볼 수 있었다.

후속연구

다양하고 지능화 되고 있는 각종 공격을 기술적인 방법으로만 막아내기에는 한계가 분명 존재하므로 향후에는 피해를 막아낼 수 있는 현실적인 대응 역량을 높이는 데 집중할 필요가 있다. 본 연구에서 수행한 보안사고 분석에서 나타난 특징을 고려하여 정보보안을 위한 다양한 대응 전략과 방안을 지속적으로 탐구하는 것이 요구된다. 분석 결과 대부분의 기업들은 기업 내의 중요한 정보들을 보호하기 위해 많은 노력을 기울이지 않는 모습을 보였다.
정보보안이라고 해서 모든 기업들이 일관된 접근 방법을 사용하는 것은 효율적이지 않으며, 기본적으로 보안에 대한 인식자체가 턱없이 낮은 기업들이 대부분인 우리나라 기업 현실에서 개별 기업의 특성을 고려한 접근 방식과 해결 방안을 찾기 위한 이론적인 연구가 필요하다고 판단된다. 따라서 본 연구에서는 우선 2010년 1월부터 2015년 9월까지 최근 5년간 발생하여 기사화 되었던 정보보안 피해 사고 사례 131건을 수집하여 몇 가지의 분류 기준에 따라 분류하였고, 각각의 분류별로 어떤 특징을 보이는지 살펴보는 사례연구를 진행하였다.
기업이 경제적인 활동을 계속하고 보호하고자 하는 자산이 존재하는 한 정보보안에 대한 이슈는 끊임없이 지속될 것이다. 향후 연구에서는 본 연구에서 분류한 보안사고 유형에 따라 최적의 대응 방법을 연구하여 정보보안에 접근하고자 하는 기업이 가장 효율적인 전략을 세울 수 있도록 도움을 주고자 한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	현직 직원들의 경우 정보를 유출하는 목적은 무엇이었는가?	또한 경쟁사로 이직한 후에 전 직장동료였던 현직 직원들과 수시로 접촉하면서 직․간접적으로 기업 내 정보에 접근이 가능했기 때문에 고의적이든 무의식적이든 보안 사고를 일으키는 경우가 많았다. 현직 직원들의 경우에도 정보를 유출하는 방법은 비슷했는데, 대부분의 경우가 금전적인 유혹과 같은 개인의 영리를 목적으로 이루어졌다. 이것은 기본적으로 임직원들의 보안에 대한 인식이 낮기 때문에 일어나는 것이라고 예상할 수 있었다.
	개인정보란 무엇인가?	여기서 개인정보(Personal Data)라 함은 생존하는 개인에 관한 정보로서 성명․주민 등록 번호 등에 의하여 개인을 식별할 수 있는 정보(해당하는 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함)를 이야기 한다[27]. 영업 비밀(Trade Secret)은 공유된 공공의 정보를 기반으로 하지 않은 제조법, 도안, 데이터 수집방법 등 비즈니스에 사용되는 지적 생산품을 의미하는데, 일반적으로 알려지지 않았고 비밀로서 유지하기 위한 합리적인 노력의 대상이 되는 것을 의미한다[43].
	조직의 정보는 보호되어야 하고 알맞게 관리되어야 하는 배경은 무엇인가?	갈수록 경쟁이 격화되는 오늘날 기업 환경 하에서 정보는 많은 조직들의 생명선과 같다. 그렇기 때문에 조직의 정보는 보호되어야 하고 알맞게 관리되어야 한다[4, 11, 32, 38].

참고문헌 (51)

Aljifri, H. and Navarro, D.S., International Legal Aspects of Cryptography. Computers and Security, 2003, Vol. 22, No. 3, pp. 196-203.

상세보기
Announcement on National Industrial Security Center, NISC, 2015.
Besnard, D. and Arief, B., Computer security impaired by legitimate user. Computers and Security, 2004, pp. 253-264.
Bharadwaj, A. and Keil, M. and Mahring, M., Effects of Information Technology Failures on the Market Value of Firms. The Journal of Strategic Information Systems archive, 2009, Vol. 18, No. 2, pp. 66-79.

상세보기
Brancheau, J.C., Janz, B.D., and Wetherbe, J.C., Key Issues in Information Systems Management : 1994-95 SIM Delphi Results. MIS Quarterly, 1996, Vol. 20, No. 2, pp. 225-242.

상세보기
Broderick, J.S., Information Security Risk Management- When should it be Managed?. Information Security Technical Report, 2001, Vol. 6, No. 3, pp. 12-18.

상세보기
Calder, A. and Van Bom, J., Implementing Information Security Based on ISO 27001/ISO 17799. Van Haren Publishing, 2006.
Cavusoglu, H. and Raghunathan, S., Economics of IT Security Management : Four Improvements to Current Security Practices. Communications of the Association for Information Systems, 2004, Vol. 14, No. 3.
Deloitte, Touche and Tohmatsu (2005). Global Security Survey, Available at : www.deloitte.com.
Dhillon, G. and Moores, S., Computer Crimes : Theorizing about the Enemy within. Computers and Security, 2001, Vol. 20, No. 8, pp. 715-723.

상세보기
Doherty, N.F. and Fulford, H., Do Information Security Policies Reduce the Incidence of Security Breaches : An Exploratory Analysis. Information Resources Management Journal, 2005, Vol. 4, pp. 21-38.
Ettredge, M. and Richardson, V.J., Information Transfer among Internet Firms: the Case of Hacker Attacks. Journal of Information Systems, 2003, Vol. 17, No. 2, pp. 71-82.

상세보기
Finne, T., Information Systems Risk Management : Key Concepts and Business Processes. Computer and Security; 2000, Vol. 19, No. 3, pp. 234-42.

상세보기
Flint, D.J., Woodruff, R.B. and Gardial, S.F., Exploring the Phenomenon of Customers Desired Value Change in a Business-to-Business Context. Journal of Marketing, 2002, Vol. 66, pp. 102-117.
Hagen, J.M. and Albrechtsen et al., Implementation and Effectiveness of Organizational Information Security Measures. Information Management and Computer Security, 2008, Vol. 16, No. 4, pp. 377-397.

상세보기
Halliday, S., Badenhorst, K., and von Solms, R., A Business Approach to Effective Information Technology Risk Analysis and Management. Information Management and Computer Security, 1996, Vol. 4, No. 1, pp. 19-31.

상세보기
Hawkins, S. and Yen, D.C., Awareness and Challenges of Internet Security. Information Management and Computer Security, 2000, Vol. 8, No. 3, pp. 131-143.

상세보기
Hu, Q., Hart, P., and Cooke, D., The Role of External and Internal Influences on Information Systems Security Practices : An Institutional Perspective. The Journal of Strategic Information Systems Archive, 2006, Vol. 16, No. 2, pp. 153-172.
Information Security Specialist's CISSP Note, 2012.
Jahner, S. and Krcmar, H., Beyond Technical Aspects of Information Security : Risk Culture as a Success Factor for IT Risk Management, AMCIS 2005 Proceedings, 2005, p. 462.
Karyda, M., Kiountouzis, E., and Kokolakis, S., Information security policies : a contextual perspective. Computers and Security, 2005, pp. 246-260.
Kim et al., Implication of Industrial Security Capacity Based on Level Evaluation. Journal of the Korean Society for Quality Management, 2013, Vol. 41, No. 4, pp. 649-658.

원문보기 상세보기
Korea Communications Commission Report, A Fact-Finding on Leak Out of Personal Data, KCC, 2015.
Kotulic, A.J. and J.G. Clark, Why There aren't more Information Security Research Studies. Information and Management, 2004, Vol. 41, No. 5, pp. 597-607.

상세보기
Lebek, B., Degirmenci, K., and Breitner, M.H., Investigating the Influence of Security, Privacy, and Legal Concerns on Employees Intention to Use BYOD Mobile Devices, Proceedings of the Nineteenth Americas Conference on Information Systems, Chicago, Illinois, 2005, pp. 15-17.
Lee, A.S., Retrospect and Prospect : Information Systems Research in the Last and Next Twenty-Five Years. Journal of Information Technology, 2010, Vol. 25, No. 4, pp. 336-348.

상세보기
Lee, J.H., Shin, W.S., and Park, H.J., A Study on Improvement Plans for Technology Protection of SMEs in Korea. Journal of Society of Korea Industrial and Systems Engineering, 2014, Vol. 37, No. 2, pp. 77-84.

원문보기 상세보기
Lewis, A., Time to Elevate IT Security to the Boardroom. e Secure, 2000, Vol. 1, No. 1, p. 28.
Lohmeyer, D.F., McCrory, J., and Pogreb, S., Managing Information Security, The McKinsey Quarterly, Special Edition : Risk and Resilience, 2002, Vol. 2, pp. 12-16.
National Defense Science and Technology Vocabulary, 2011.
National Institute of Standards and Technology, An Introduction to Computer Security : The NIST Handbook, Special Publication, 2000, pp. 800-12.
NIST, Information Security Handbook : A Guide for Managers, 2006.
Peppard, J., The Conundrum of IT Management. European Journal of Information Systems, 2007, pp. 336-345.
Pfhleeger, C.P., Security in Computing, Second edn, Prentice Hall, United States of America, 1997.
Posthumus, S. and Von Solms, R., A Framework for the Governance of Information Security. Computers and Security, 2004, Vol. 23, No. 8, pp. 638-646.

상세보기
Ransbotham, S. and Mitra, S., Choice and Chance : A Conceptual Model of Paths to Information Security Compromise. Information Systems Research, 2009, Vol. 20, No. 1, pp. 121-139.

상세보기
Sarker, S., Lau, F., and Sahay, S., Using an Adapted Grounded Theory Approach for Inductive Theory Building About Virtual Team Development. DATA BASE for Advances in Information Systems, 2001, Vol. 2, No. 1, pp. 38-56.
Smith, E., Kritzinger, E., Oosthuizen, H.J., and Von Solms, S.H., Information Security Education, in Proceedings of the WISE 4 Conference, Moscow, Russia, 2004.
Son, J.Y. and Benbasat, I., Organizational Buyer's Adoption and Use of B2B Electronic Marketplace : Efficiency and Legitimacy-Oriented Perspectives. Journal of Management Information Systems, 2007, Vol. 24, No. 1, pp. 55-99.

상세보기
Spears, J.L. and Barki, H., User Participation in Information Systems Security Risk Management. MIS Quarterly, 2010, pp. 503-522.
Squara, D., LAN Security will become a Priority in the Networks of Tomorrow. Available at: http://itweb.co.za. 29, 2000.
Stiles, P. and Taylor, B., Boards at work : How directors view their roles and responsibilities. Oxford : Oxford University Press, 2001.
Straub, D. and Welke, R., Coping with Systems Risk : Security Planning Models for Management Decision Making. MIS Quarterly, 1998, Vol. 22, No. 4, pp. 441-469.

상세보기
The 9th Korean Standard Industrial Classification, 2007.
Thomson, M.E. and Von Solms, R., Information Security Awareness : Educating Your Users Effectively. Information Management and Computer Security, 1998, Vol. 6, No. 4, pp. 167-173.

상세보기
Unfair Competition Prevention and Business Secret Protection Law, 2007.
Vidgen, R. and Wang, X., Coevolving Systems and the Organization of Agile Software Development. Information Systems Research, 2009, Vol. 20, No. 3, pp. 355-376.

상세보기
Von Solms, R. and Von Solms, S.H., From policies to culture. Computers and Security, 2004, Vol. 23, No. 4, pp. 275-279.

상세보기
Von Solms, S.H., Information Security Management through Measurement, in Prodeedings of the SEC99 conference, Johannesburg, South-Africa, 1999.
Whiteman, W. and Mattord, H.J., Principles of Information Security, Thomson-Course Technology, Canada, 2003.
Wood, C.C., Why Information Security is Now Multi- Disciplinary, Multi-Departmental, and Multi-Organizational in Nature. Computer Fraud and Security, 2004, No. 1, pp. 16-17.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증