[논문]쌍대비교를 활용한 기업 유형 분류에 따른 보안 전략 우선순위 결정

김희올; 백동현

doi:10.11627/jkise.2016.39.4.097

쌍대비교를 활용한 기업 유형 분류에 따른 보안 전략 우선순위 결정
Prioritize Security Strategy based on Enterprise Type Classification Using Pair Comparison 원문보기

Journal of Korean Society of Industrial and Systems Engineering = 한국산업경영시스템학회지, v.39 no.4, 2016년, pp.97 - 105

김희올 (한양대학교 일반대학원 경영컨설팅학과) , 백동현 (한양대학교 경상대학 경영학부)

Abstract ▼ AI-Helper

As information system is getting higher and amount of information assets is increasing, skills of threatening subjects are more advanced, so that it threatens precious information assets of ours. The purpose of this study is to present a strategic direction for the types of companies seeking access to information security. The framework classifies companies into eight types so company can receive help in making decisions for the development of information security strategy depending on the type of company it belongs to. Paired comparison method survey conducted by a group of information security experts to determine the priority and the relative importance of information security management elements. The factors used in the security response strategy are the combination of the information security international certification standard ISO 27001, domestic information protection management system certification K-ISMS, and personal information security management system certification PIMS. Paired comparison method was then used to determine strategy alternative priorities for each type. Paired comparisons were conducted to select the most applicable factors among the 12 strategic factors. Paired comparison method questionnaire was conducted through e-mail and direct questionnaire survey of 18 experts who were engaged in security related tasks such as security control, architect, security consulting. This study is based on the idea that it is important not to use a consistent approach for effective implementation of information security but to change security strategy alternatives according to the type of company. The results of this study are expected to help the decision makers to produce results that will serve as the basis for companies seeking access to information security first or companies seeking to establish new information security strategies.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구는 정보보안 전략을 수립하는데 있어서 기업의 유형을 분류하고 분류된 기업들의 특성을 파악하여 사용될 보안 전략의 우선순위를 전문가 집단과의 설문을 통해 검증하였다. 분석 결과 각각의 유형 마다 각기 다른 보안 대응 전략이 도출되었으며 이는 각 유형별 기업들이 가지고 있는 특성과 과거 유사한 기업들의 사고 사례를 기반으로 도출되었다는데 그 의의가 있다.
그 후 쌍대비교 방법을 사용하여 각 유형별 전략 대안 우선순위를 결정하였다. 본 연구는 정보보안의 효과적인 구현을 위해서 일관적인 접근 방법이 아닌, 기업의 유형에 따라 보안 전략 대안을 달리하는 것이 중요하다고 보고 연구를 진행하였다. 연구의 결과는 처음 정보보안에 접근하고자 하는 기업이나 새롭게 정보보안 전략을 수립하고자 하는 기업에 기초가 될 자료로써 의사결정을 지원해줄 결과를 산출하는데 도움을 줄 것으로 기대한다.
자신의 기업의 특성과 보호해야할 자산을 명확하게 분류하여 정보보안 도입 시 유연하고 탄력적으로 받아들일 필요가 있는 것이다. 본 연구의 결과는 그러한 고민을 하고 있는 기업들의 의사결정 시에 도움을 주고자 한다.
정보보안에 대한 전략을 수립할 때에는 기업이 처한 상황이나 환경, 보호해야 할 정보의 형태, ICT 인프라 등 전반적인 내용들을 모두 고려하여 효과적으로 수립되어야 한다. 본 연구의 목적은 정보보안에 접근하고자 하는 기업의 유형에 맞는 전략 방향을 제시하는데 있다. 이를 위해 선행 연구에서 제시되었던 정보보호 관점의 기업 유형 분류 프레임워크를 활용하여 8가지의 기업 유형별로 각각 전략 우선순위를 정리하였다.
본 연구의 목적은 정보보안을 도입하고자 하는 기업들을 8가지 유형으로 분류한 기업 유형 분류 프레임워크를 가지고, 분류된 유형마다 전략의 우선순위로 두어야 할 요인들을 산출하는 것이다. 이에 따른 연구의 방법은[Figure 3]과 같다.
본 연구의 목적인 기업 유형별 보안 대응 전략 도출에 앞서, 선행 연구에서 다루었던 정보보호 관점 기업 유형 분류 프레임워크에 대해 살펴보고자 한다[9]. 사람들이 서로 다른 체형과 성격을 지니고 있듯이 조직이나 기업들도 규모나 구조 등이 서로 다르며 지향하는 목적에도 차이가 있다.
이를 위해 선행 연구에서 제시되었던 정보보호 관점의 기업 유형 분류 프레임워크를 활용하여 8가지의 기업 유형별로 각각 전략 우선순위를 정리하였다. 전략 우선순위를 제시하기에 앞서 8가지 기업 유형별로 주요 해당 기업과 규모, 주요 사고 발생 원인을 상세하게 추가하여 보다 객관적인 보안 대응 전략을 도출해내고자 하였다. 보안 대응 전략에 사용된 요인들은 정보보안 국제 인증 표준 ISO 27001과 국내 정보보호 관리체계 인증 ISMS, 그리고 개인정보보호 관리체계 인증 PIMS의 통제 항목들을 혼합하여 사용하였다.

제안 방법

보안 대응 전략에 사용된 요인들은 정보보안 국제 인증 표준 ISO 27001과 국내 정보보호 관리체계 인증 ISMS, 그리고 개인정보보호 관리체계 인증 PIMS의 통제 항목들을 혼합하여 사용하였다. 그 후 쌍대비교 방법을 사용하여 각 유형별 전략 대안 우선순위를 결정하였다. 본 연구는 정보보안의 효과적인 구현을 위해서 일관적인 접근 방법이 아닌, 기업의 유형에 따라 보안 전략 대안을 달리하는 것이 중요하다고 보고 연구를 진행하였다.
유형별 보안 대응 전략을 수립하기 위하여 FGI(Focus Group Interview)를 통해 앞서 살펴본 주요 정보보호 관리체계 3가지(ISO/IEC 27001, K-ISMS, PIMS) 항목을 상호 비교하여 비슷한 항목끼리 통합하는 과정을 거쳐 총 12개의 통제영역이 도출되었다. 그 후 항목들을 설문으로 변환하여 쌍대비교 분석을 실시하였다. 쌍대비교 설문은 보안관제, 아키텍트, 보안컨설팅 등 보안과 관련된 업무에 종사하며 해당 분야 경력 5년 이상, 팀장급 이상으로 구성된 18명의 전문가들을 대상으로 전자우편과 직접 설문 방식을 통해 진행하였다.
전략 우선순위를 제시하기에 앞서 8가지 기업 유형별로 주요 해당 기업과 규모, 주요 사고 발생 원인을 상세하게 추가하여 보다 객관적인 보안 대응 전략을 도출해내고자 하였다. 보안 대응 전략에 사용된 요인들은 정보보안 국제 인증 표준 ISO 27001과 국내 정보보호 관리체계 인증 ISMS, 그리고 개인정보보호 관리체계 인증 PIMS의 통제 항목들을 혼합하여 사용하였다. 그 후 쌍대비교 방법을 사용하여 각 유형별 전략 대안 우선순위를 결정하였다.
그 후 항목들을 설문으로 변환하여 쌍대비교 분석을 실시하였다. 쌍대비교 설문은 보안관제, 아키텍트, 보안컨설팅 등 보안과 관련된 업무에 종사하며 해당 분야 경력 5년 이상, 팀장급 이상으로 구성된 18명의 전문가들을 대상으로 전자우편과 직접 설문 방식을 통해 진행하였다.
유형별 보안 대응 전략을 수립하기 위하여 FGI(Focus Group Interview)를 통해 앞서 살펴본 주요 정보보호 관리체계 3가지(ISO/IEC 27001, K-ISMS, PIMS) 항목을 상호 비교하여 비슷한 항목끼리 통합하는 과정을 거쳐 총 12개의 통제영역이 도출되었다. 그 후 항목들을 설문으로 변환하여 쌍대비교 분석을 실시하였다.
본 연구의 목적은 정보보안에 접근하고자 하는 기업의 유형에 맞는 전략 방향을 제시하는데 있다. 이를 위해 선행 연구에서 제시되었던 정보보호 관점의 기업 유형 분류 프레임워크를 활용하여 8가지의 기업 유형별로 각각 전략 우선순위를 정리하였다. 전략 우선순위를 제시하기에 앞서 8가지 기업 유형별로 주요 해당 기업과 규모, 주요 사고 발생 원인을 상세하게 추가하여 보다 객관적인 보안 대응 전략을 도출해내고자 하였다.
ISO/ISE 27001이나 KISA-ISMS에 비해 PIMS는 개인정보보호의 법적 요구사항과 개인정보의 생명주기를 반영하고 있다는 점에 차별성이 있다. 총 9개의 통제영역(개인정보보호 정책, 개인정보보호 조직, 개인정보 분류, 교육 및 훈련, 인적 보안, 침해사고 처리 및 대응 절차, 기술적 보호조치, 물리적 보호조치, 내부 검토 및 감사), 79개 세부 통제사항으로 구성되어 있다.
즉, 기업 간에 다른 기업과는 구별되는 고유한 특성이 존재한다는 이야기인데, 기업의 특성은 기업이 추구하는 목적이나 수행하는 기능, 처한 상황이나 환경, 경영진의 성향 등에 영향을 받아 형성된다[15, 17]. 해당 연구에서는 기업을 분류하는 지표로써 [Figure 1]과 같이 주요 정보 자산의 형태, 정보시스템 규모와 활용 정도, 현재 정보보안 수행 정도를 선정하였고 그에 따른 하부 평가지표들을 도출하였다.

대상 데이터

유형 2(PMP : Personal data, Main activities, Passive)는 [Figure 6]과 같이 개인정보를 주로 취급하며 기업 내에서 정보시스템이 없어서는 안 될 정도로 차지하는 역할이 상당하지만, 현재 보안 투자 및 노력에는 소극적인 유형이다. 응답한 기업들 중 병원과 학교, 소규모 공공기관(구청, 동사무소 등), 숙박, 소규모 온라인 쇼핑몰, 소규모 금융사, 예약 전문 사이트 등이 포함된다.

데이터처리

[Figure 5]를 보면 유형 1에 대한 적절한 보안 대응 전략을 쌍대비교 방법을 통해 나타내었다. 12개의 하위기준 중 5점 리커트 척도를 이용하여 각 항목에 대한 필요성(1 = 매우 낮음, 5 = 매우 높음)을 평가하고 평균 3.0이상을 나타낸 지표만을 따로 분류하여 쌍대비교 방법으로 2차 분석을 실시하였다. 정보보안 전문가들이 유형 1에서 가장 중요한 보안 전략 항목으로 꼽은 것은 내부 보안 모니터링 및 보안 감사 항목이었다.
유형 2에 대한 적절한 보안 대응 전략 역시 마찬가지로 12개의 하위 기준 중 5점 리커트 척도를 이용하여 각 항목에 대한 필요성(1 = 매우 낮음, 5 = 매우 높음)을 평가하고 평균 3.0 이상을 나타낸 지표만을 따로 분류하여 쌍대비교 방법으로 2차 분석을 실시하였다. [Figure 7]을 보면 유형 2에서 가장 중요한 항목은 정보보호 정책 수립과 정보보호 조직 구성이다.

이론/모형

기업 유형별 보안 대응 전략 수립을 위해 활용할 지표들은 현재 우리나라에서 가장 광범위하게 활용되고 있는 3가지의 정보보호 관리체계 프레임워크, 즉 정보보호 국제표준(ISO/IEC 27001)과 국내 정보보호 관리체계(K-ISMS), 그리고 개인정보 관리체계(PIMS)를 참고하였다. 이에 대해 간략하게 알아보도록 한다.

성능/효과

본 연구는 정보보안 전략을 수립하는데 있어서 기업의 유형을 분류하고 분류된 기업들의 특성을 파악하여 사용될 보안 전략의 우선순위를 전문가 집단과의 설문을 통해 검증하였다. 분석 결과 각각의 유형 마다 각기 다른 보안 대응 전략이 도출되었으며 이는 각 유형별 기업들이 가지고 있는 특성과 과거 유사한 기업들의 사고 사례를 기반으로 도출되었다는데 그 의의가 있다. 이미 의무 인증 규제에 따른 정보보안을 도입한 기업들 이외에 수많은 기업들이 정보보안을 도입하려 할 때 망설이곤 한다.

후속연구

본 연구는 정보보안의 효과적인 구현을 위해서 일관적인 접근 방법이 아닌, 기업의 유형에 따라 보안 전략 대안을 달리하는 것이 중요하다고 보고 연구를 진행하였다. 연구의 결과는 처음 정보보안에 접근하고자 하는 기업이나 새롭게 정보보안 전략을 수립하고자 하는 기업에 기초가 될 자료로써 의사결정을 지원해줄 결과를 산출하는데 도움을 줄 것으로 기대한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	ISO/ISE 27001 프레임워크란 무엇인가?	ISO/ISE 27001 프레임워크는 정보보호 관리체계에 대한 국제 표준으로서 PDGA 모델을 기반으로 한 정보보호 관리체계의 수립, 이행, 운영, 감시, 검토, 유지 및 향상을 위한 정보보안 경영 인증체계이다[6]. 총 11개의 통제영역(정보보안 정책, 정보보호 조직, 자산관리, 인적자원 보안, 물리 및 환경적 보안, 의사소통 및 운영관리, 접근통제, 정보시스템 도입 및 개발 유지보수, 정보보호 사고 관리, 업무연속성 관리, 준거성)과 39개 통제목적, 133개 통제사항으로 구성되어 있다.
	우리나라 기업들의 정보보안 실태는 어떠한가?	현대 기업 환경에서 기업 내 중요한 자산으로 분류되는 정보를 내·외부의 위협으로부터 보호하기 위한 노력은 경쟁 우위 확보와 안정적인 경영 활동을 위해 필수적인 요소가 되었고, 이에 따라 기업들은 다양한 방법으로 정보보안에 관심을 기울이고 있다. 이를 반영하듯 2015년 한국인터넷진흥원에서 실시한 정보보호 실태조사에 따르면 정보보호 관련 분야에 투자를 늘리는 기업은 해마다 증가하고 있는 것으로 나타났다. 하지만 투자와는 별개로, 같은 조사에서 피해사고를 경험한 기업 역시 마찬가지로 꾸준히 증가하고 있는 것으로 나타난 것으로 보아 보안 사고는 지속적으로 발생하고 있으며 그 빈도나 피해 규모 역시 줄어들지 않고 있음을 알 수 있다[14]. 기업의 중요한 정보를 위협하는 기술이나 방법들이 하루가 다르게 지능화 되고 있는 것에 반해 대기업 등 일부 기업을 제외하면 대부분 내부적으로 정보보호 정책조차 수립되어 있지 않은 기업이 대부분이며, 자체적으로 보안 역량을 쌓기 보다는 단순히 외부의 보안업체 혹은 보안 솔루션 제공 업체에 심각한 의존을 하고 있는 현실이다[4]. 2015년 한국 침해사고 대응 팀 협의회(CONCERT)는 기업들의 보안 투자가 일반적인 마케팅 활동 투자와는 다르게 기업 수익과의 직접적인 관계가 미흡하여 투자가 합리적으로 이행되지 않는다고 하였고, 또한 보안 투자가 이루어지더라도 적극적인 보안 대책을 수립하는 것이 아닌 피해로 인한 부정적 이미지 탈피를 위한 투자에 급급하다고 밝히기도 하였다. 이렇듯 기업들이 가지고 있는 보안에 대한 기본적인 개념은 투자가 아닌 비용으로 생각하는 것이 일반적이다.
	기업이 보안을 투자가 아닌 비용으로 보는 개념을 바꾸려면 무엇에 대한 분석이 필요한가?	이렇듯 기업들이 가지고 있는 보안에 대한 기본적인 개념은 투자가 아닌 비용으로 생각하는 것이 일반적이다. 이러한 개념을 바꾸고자 한다면 기업이 왜 보안에 투자를 해야 하고, 누가 집행할 것이며, 어느 곳에 어느 정도의 투자를 해야 그에 따른 효과를 극대화 할 수 있는지 등에 대한 분석이 필요한데 이에 대한 연구는 거의 진행되지 않았을 뿐더러 개별 기업의 특성을 고려하지 않은 것들이 대부분이다[2, 3, 5, 7, 18, 21, 22]. 2015년 정보보호 실태조사에 따르면 조사에 응답한 7,089개의 기업들 중 약 18%에 해당하는 1,270여개 기업에서 정보보호 예산을 편성하지 않은 이유로 ‘정보보호를 어떻게 해야 하는지 모름’이라고 답변하였다.

참고문헌 (22)

CONCERT, Corporate Information Security Issues Forecast, 2015.
Doherty, N.F. and Fulford, H., Do Information Security Policies Reduce the Incidence of Security Breaches : An Exploratory Analysis, Information Resources Management Journal, 2005, Vol. 18, No. 4, pp. 21-39.

상세보기
Flint, D.J., Woodruff, R.B., and Gardial, S.F., Exploring the Phenomenon of Customers Desired Value Change in a Business to Business Context, Journal of Marketing, 2002, Vol. 66, No. 4, pp. 102-117.
Hawkins, S. and Yen, D.C., Awareness and Challenges of Internet Security, Information Management and Computer Security, 2000, Vol. 8, No. 3, pp. 131-143.

상세보기
Hu, Q., Hart, P., and Cooke, D., The Role of External and Internal Influences on Information Systems Security Practices : An Institutional Perspective, The Journal of Strategic Information Systems Archive, 2006, Vol. 16, No. 2, pp. 153-172.
Introduction to privacy and personal information management framework, Financial Security Institute, 2011.
Karyda, M., Kiountouzis, E., and Kokolakis, S., Information security policies : a contextual perspective, Computers and Security, 2005, pp. 246-260.
Kim, H.O. and Baek, D.H., A Study on Categorization of Accident Pattern for Organization's Information Security Strategy Establish, Journal of the Society of Korea Industrial and Systems Engineering, 2015, Vol. 38, No. 4, pp. 193-201.

원문보기 상세보기
Kim, H.O. and Baek, D.H., Study on Development of Framework of Company Classification in Information Security Perspective, Journal of the Society of Korea Industrial and Systems Engineering, 2016, Vol. 39, No. 3, pp. 18-29.

원문보기 상세보기
Korea Communications Commission, KCS.KO-12.0001 PIMS, 2011.
Korea Information Security Agency, Information Security Survey, 2015.
Korea Information Security Agency, ISMS Controls Guide, 2004.
Maria Adriana Giusti, Temi di Restauro, Celid, 1988, p. 147.
Mintzberg, H., The design school : Reconsidering the basic premises of strategic management, Strategic Management Journal, 1990, Vol. 11, No. 3, pp. 171-195.

상세보기
Morgan, R.T., Image of organization, Sage Publications, 1986.
NISC, Industry Secret Management Survey Report, 2015.
Rich, P., The Organizational Taxionomy : Definition and Design, Academy of Management Review, 1992, Vol. 17, No. 4, pp. 758-781.

상세보기
Sarker, S., Lau, F., and Sahay, S., Using an Adapted Grounded Theory Approach for Inductive Theory Building About Virtual Team Development, DATA BASE for Advances in Information Systems, 2001, Vol. 2, No. 1, pp. 38-56.
Seo, J.H., Ko, B.S., and Bae, S.M., Extracting Priorities of Strategic Components of Product Liability Response System using AHP, Journal of the Korean Society for Quality Management, 2014, Vol. 42, No. 2, pp. 235-251.

원문보기 상세보기
Serio, M., Progetto di Restauro : La Basilica di San Francesco in Assisii e Primi Avanzamenti, Utet, 2003.
Spears, J.L. and Barki, H., User Participation in Information Systems Security Risk Management, MIS Quarterly, 2010, Vol. 34, No. 3, pp. 503-522.

상세보기
Survey of personal information, Ministry of Science, ICT and Future Planning, 2015.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증