정보기술의 급속한 발달에는 다양한 혜택과 정보유출 등과 같은 위협이 공존하고 있으며, 이에 따라 정보보호의 중요성에 대한 인식이 증가하고 있다. 기술적인 솔루션도 중요하지만 점차 고도화되는 보안위협에 대응하기 위해서는 무엇보다도 보안역량을 강화할 필요가 있다. 정보보호 교육은 보안역량 강화를 위한 대표적인 방법 중의 하나로, 국가, 기업, 학계에서 다양한 노력들이 이루어지고 있다. 하지만 거시적인 측면에서의 발전방향을 도출하기 위해서는 현재까지 수행된 연구들을 분석하는 것이 필요하다. 본 논문은 국내외 정보보호 교육에 대한 연구 동향을 분석하여 개선사항을 도출하는 탐색적 연구로서, 해외 4개의 저널, 국내 2개의 저널에서 수집한 정보보호 교육, 훈련, 인식관련 177개의 논문을 대상으로 게재현황에 대한 기본 분석을 수행하였다. 또한 이 중에서 정보보호 교육 관련 70개 논문을 대상으로 상세 분석을 수행하였다. 연구 결과, 국내의 경우 교육과정 분석에 대한 연구가 대다수이며, 향후 교육 분야의 다변화와 실험연구 등을 통한 교육 효과성 측정관련 연구가 수행될 필요가 있다.
정보기술의 급속한 발달에는 다양한 혜택과 정보유출 등과 같은 위협이 공존하고 있으며, 이에 따라 정보보호의 중요성에 대한 인식이 증가하고 있다. 기술적인 솔루션도 중요하지만 점차 고도화되는 보안위협에 대응하기 위해서는 무엇보다도 보안역량을 강화할 필요가 있다. 정보보호 교육은 보안역량 강화를 위한 대표적인 방법 중의 하나로, 국가, 기업, 학계에서 다양한 노력들이 이루어지고 있다. 하지만 거시적인 측면에서의 발전방향을 도출하기 위해서는 현재까지 수행된 연구들을 분석하는 것이 필요하다. 본 논문은 국내외 정보보호 교육에 대한 연구 동향을 분석하여 개선사항을 도출하는 탐색적 연구로서, 해외 4개의 저널, 국내 2개의 저널에서 수집한 정보보호 교육, 훈련, 인식관련 177개의 논문을 대상으로 게재현황에 대한 기본 분석을 수행하였다. 또한 이 중에서 정보보호 교육 관련 70개 논문을 대상으로 상세 분석을 수행하였다. 연구 결과, 국내의 경우 교육과정 분석에 대한 연구가 대다수이며, 향후 교육 분야의 다변화와 실험연구 등을 통한 교육 효과성 측정관련 연구가 수행될 필요가 있다.
Nowadays the importance of information security has been increased because there are many benefits and threats like information leakage caused by rapid growth of information technology. It is important to apply technical solution, however enhancing security capability is more important to respond ev...
Nowadays the importance of information security has been increased because there are many benefits and threats like information leakage caused by rapid growth of information technology. It is important to apply technical solution, however enhancing security capability is more important to respond evolving security threats. Information security education is one of typical way to enhance security capability and there are various efforts at the dimension of nation, company and academic community. However it is required to analyze previous research until now and derive future research direction for long-term development plan. In this study, we analyzed a publication status about 177 papers related to information security, training and awareness from 4 foreign journals and 2 Korean journals. Additionally, we analyzed in detail about 70 papers related to information security education. As a result, the most part of study is about curriculum, and in the future, it is required to expand educational area as well as study about effectiveness measurement of information security education by experimental research.
Nowadays the importance of information security has been increased because there are many benefits and threats like information leakage caused by rapid growth of information technology. It is important to apply technical solution, however enhancing security capability is more important to respond evolving security threats. Information security education is one of typical way to enhance security capability and there are various efforts at the dimension of nation, company and academic community. However it is required to analyze previous research until now and derive future research direction for long-term development plan. In this study, we analyzed a publication status about 177 papers related to information security, training and awareness from 4 foreign journals and 2 Korean journals. Additionally, we analyzed in detail about 70 papers related to information security education. As a result, the most part of study is about curriculum, and in the future, it is required to expand educational area as well as study about effectiveness measurement of information security education by experimental research.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 현재까지 수행된 국내외 정보보호 교육 관련 연구를 분석하여 시사점을 도출하고, 향후 국내 정보보호 교육 연구의 발전방향을 제시하고자 한다. 2장에서는 연구 논문의 수집 및 분석 방법을 설명하고, 3장에서는 국내외 연구를 비교 분석한다.
제안 방법
본 연구가 정보보호 교육에 대한 연구 동향 분석이지만 앞서 교육, 훈련, 인식의 차이를 살펴보았듯이 이와 관련된 연구 현황의 차이를 비교하는 하는 것은 의미 있는 분석이라고 할 수 있다. 다음으로, 정보보호 교육 관련 연구 동향을 상세히 분석하기 위하여 연구방법론, 연구 주제, 교육 대상 및 분야를 비교하였으며 연구주제별 교육 대상, 연구주제별 교육 분야, 대상별 교육 분야를 분석하여 시사점을 도출하였다.
선정된 저널에서 연구 논문을 수집하기 위하여 논문 제목과 키워드에 각각 교육(Education), 훈련(Training), 인식(Awareness)을 입력하여 연구 논문을 수집하였다. 제목과 키워드로 연구 논문을 검색한 이유는 제목에는 교육이 포함되어 있지 않으나 연구 내용이 정보보호 교육이거나 키워드에 교육이 포함되어 있는 경우가 존재하기 때문이다.
수집된 연구 논문을 교육, 훈련, 인식으로 분류하여 연도별 게재현황, 저널별 게재현황을 기본적으로 분석하였다. 본 연구가 정보보호 교육에 대한 연구 동향 분석이지만 앞서 교육, 훈련, 인식의 차이를 살펴보았듯이 이와 관련된 연구 현황의 차이를 비교하는 하는 것은 의미 있는 분석이라고 할 수 있다.
정보보호 교육에 대한 동향 분석 연구가 부족한 실정이고, 참고 가능한 연구 주제의 분류기준이 명확하지 않아, 본 연구에서는 연구 주제를 교육과정 분석, 교육체계 제안과 같이 연구의 목적에 따라 분류하였다. 왜냐하면 논문의 제목과 키워드에 연구 주제가 명확히 표현되지 않은 사례가 존재하며, 교육과 훈련 또는 인식제고가 연구 내용에 모두 포함된 경우가 존재하기 때문이다.
정보보호 교육에 대한 연구에서 다루어진 교육 분야를 분류하기 위하여 김민정 외[5]의 분류기준을 참고하여 프로그래밍 및 컴퓨터보안, 통신·네트워크 보안, 데이터베이스 보안, 공격(해킹, 악성코드 등), 보안관제, 사이버보안(사이버전 등), 포렌식, 정보보호이론, 수학 및 암호, 보안 경영, 보안 법·제도 및 정책, 기타로 분류하였다. 여기에서 교육 분야를 포괄적으로 정보보호를 언급하여 세부 분류가 어려운 경우, 정보보증(Information Assurance), 프라이버시, 보안 행동공학(Behavior Science)과 같이 상기의 분류기준에 해당되지 않는 경우를 기타로 분류하였다.
이러한 상황에서 정보보호 수준향상을 위해서는 개개인의 보안역량 향상이 무엇보다 중요하다고 할 수 있다. 정보보호 교육은 보안역량 향상의 대표적인 방법 중의 하나로, 본 연구는 해외 4개, 국내 2개의 저널에 게재된 논문들을 대상으로 국내외 정보보호 교육관련 연구 동향을 파악하고 시사점을 도출하였다.
대상 데이터
해외 4 개의 저널을 대상으로 3 가지 검색어로 수집한 184개 논문 중에서 상황인식 기반 악성코드 탐지 등 제목에 검색어가 포함되어 있지만 교육, 훈련, 인식제고와 관련성이 없는 논문, 이상 징후 탐지시스템 분석을 위한 IDS Training data 사용 등 키워드에는 검색어가 있지만 실제 연구 주제가 관련성이 없는 25개의 논문을 제외하고 총 159개 논문을 기반으로 기본적인 해외 연구 동향을 분석하였다. 국내의 경우에도 마찬가지로 일차적으로 수집된 59개 논문 중에서 제목과 키워드에 인식이라는 단어를 포함하고 있지만, 생체 인식, 이상징후 상황 인식 등 본 연구 주제와 관련성이 없는 41개 논문을 제외하고 18개 논문을 기반으로 기본적인 연구 동향을 분석하였다. 국내외 저널에서 수집된 총 177개 연구 논문의 게재현황은 Table 1.
Dlamini 외[3]의 연구 방법에 따라 해외 4개의 저널 - Computer Fraud & Security, Computers & Security, Information Management & Computer Security, IEEE Security & Privacy를 선정하였다. 또한 국내외 연구 동향의 비교를 위해 국내 정보보호 분야의 대표적인 저널인 한국정보보호학회 논문지(Journal of the Korea Institute of Information Security and Cryptology)와 학회지(Review of KIISC)를 선정하였다.
정보보호 교육에 대한 개선사항을 도출하기 위하여 전체 177개의 연구 논문 중에서 정보보호 훈련관련 논문 45개 및 인식관련 논문 62개를 제외한 해외 54개, 국내 16개의 총 70개 정보보호 교육관련 논문에 대해 상세 분석을 수행하였다. 여기에는 연구에 사용된 연구방법론, 연구 주제, 교육 분야, 교육 대상에 대한 분석과 국내외 비교가 포함된다.
해외 4 개의 저널을 대상으로 3 가지 검색어로 수집한 184개 논문 중에서 상황인식 기반 악성코드 탐지 등 제목에 검색어가 포함되어 있지만 교육, 훈련, 인식제고와 관련성이 없는 논문, 이상 징후 탐지시스템 분석을 위한 IDS Training data 사용 등 키워드에는 검색어가 있지만 실제 연구 주제가 관련성이 없는 25개의 논문을 제외하고 총 159개 논문을 기반으로 기본적인 해외 연구 동향을 분석하였다. 국내의 경우에도 마찬가지로 일차적으로 수집된 59개 논문 중에서 제목과 키워드에 인식이라는 단어를 포함하고 있지만, 생체 인식, 이상징후 상황 인식 등 본 연구 주제와 관련성이 없는 41개 논문을 제외하고 18개 논문을 기반으로 기본적인 연구 동향을 분석하였다.
이론/모형
T. Dlamini 외[3]의 연구 방법에 따라 해외 4개의 저널 - Computer Fraud & Security, Computers & Security, Information Management & Computer Security, IEEE Security & Privacy를 선정하였다. 또한 국내외 연구 동향의 비교를 위해 국내 정보보호 분야의 대표적인 저널인 한국정보보호학회 논문지(Journal of the Korea Institute of Information Security and Cryptology)와 학회지(Review of KIISC)를 선정하였다.
각 논문에서 사용된 연구방법론을 Mario Silic와 Andrea Back의 분류를 참고하여 구분하였으며[1], 본 논문에서는 문헌연구, 인터뷰, 사례연구, 서베이, 실험연구가 해당된다. 국내외 정보보호 교육 연구에서 사용된 연구 방법론은 아래의 Table 2.
성능/효과
한편 고등학교 이하 학생 및 유소년을 대상으로 한 교육 연구와 관련하여, 해외의 경우 유소년을 위한 해킹 예방 교육에 대한 연구가 수행되었으며, 국내의 경우에는 초등학교 등 정규교육기관에서의 정보 보호 교육에 대한 연구가 존재하였다. 국내 정규교육기관에서는 대부분 도덕, 실과, 컴퓨터 과목에서 바이러스 및 해킹 예방, 인터넷 윤리 등에 대한 교육이 이루어지고 있으나, 정보보호에 대한 개념 형성을 위한 기본 교육은 부족한 것으로 나타났다.
연구의 결과, 국내의 경우 정보보호 교육 관련 연구가 해외에 비하여 다소 부족한 것으로 나타났으며, 대학교 및 대학원에서의 정보보호 교육과정에 대한 연구가 가장 많이 수행되었다. 또한 사례분석을 통한 연구가 대부분을 차지하였으며, 해외의 경우 세분화된 분야에 대한 교육 연구가 수행된 반면, 국내에서는 포괄적인 정보보호 분야에 대한 연구가 가장 많은 비중을 차지하였다.
후속연구
Hagen과 E. Albrechtsen의 연구[9]와 같이, 기업의 정보보호 이러닝을 통한 임직원의 이해도를 측정하는 연구 등 향후에는 국내 현실을 고려하여 정보보호 교육의 효과성을 측정하는 연구가 수행될 필요가 있다.
셋째, 교육 후에는 교육의 효과를 측정하여 미흡한 사항을 지속적으로 개선하는 것이 중요하므로, 정보보호 교육의 효과성 측정과 관련된 연구가 수행될 필요가 있다. 끝으로 정보보호 교육과 함께 캠페인 등 인식제고 프로그램과 훈련이 병행되어야 보다 효율적인 개개인의 보안역량과 전반적인 정보보호 수준 향상이 가능할 것으로 판단된다.
연도별 논문 게재현황을 살펴보면 연구 건수가 증감을 반복하고 있지만 감소하는 추세이다. 따라서 향후 정보보호 교육 관련 연구에 대한 관심을 증대시키고 연구를 장려할 필요가 있다.
또한 사례분석을 통한 연구가 대부분을 차지하였으며, 해외의 경우 세분화된 분야에 대한 교육 연구가 수행된 반면, 국내에서는 포괄적인 정보보호 분야에 대한 연구가 가장 많은 비중을 차지하였다. 본 연구는 연구 주제를 분류함에 있어서 주관적인 기준을 적용하였다는 점, 국내외 연구동향을 비교하기 위해 국내에서 가장 대표적이지만 단일 학회의 저널들을 연구 대상으로 분석하여 현실과 다소 차이가 있을 수 있다는 한계가 있다. 하지만 정보보호 교육 관련 연구가 부족한 상황에서 정량적인 분석을 통해 연구동향을 파악하고 시사점을 도출하였다는 점에서 의의가 있다.
둘째, 교육의 목적은 결국 교육 내용을 인지하고 행동으로 연결되는 것이라 할 수 있으며, 대상에 따라 적절한 컨텐츠와 방법이 적용되어야 할 것이다. 셋째, 교육 후에는 교육의 효과를 측정하여 미흡한 사항을 지속적으로 개선하는 것이 중요하므로, 정보보호 교육의 효과성 측정과 관련된 연구가 수행될 필요가 있다. 끝으로 정보보호 교육과 함께 캠페인 등 인식제고 프로그램과 훈련이 병행되어야 보다 효율적인 개개인의 보안역량과 전반적인 정보보호 수준 향상이 가능할 것으로 판단된다.
국내에서는 정보보호라는 포괄적인 분야에 대한 연구가 대부분이지만, 해외의 경우 보안 전문가나 화이트 해커의 기본 소양이나 필요 역량, 디지털 포렌식 및 정보시스템 취약점 분석을 위한 효과적인 실습 방법, 개발자에게 필요한 시큐어코딩 교육 과정 등 교육대상에 따른 다양한 교육 연구가 수행되었다. 연구 분야가 세분화될 경우 전체를 간과할 수 있는 단점이 존재하지만, 국내의 경우 현재까지 교육 과정, 교육 방법 등 전반적인 교육체계 및 인력양성 방안에 대한 연구가 중점적으로 수행되었으므로, 이러한 연구를 세분화된 분야로 확장하여 적용할 필요가 있다. 또한 현재까지 대부분의 교육과정에 대한 연구가 대학교 및 대학원을 중심으로 이루어 졌으므로, 고등학교 이하 정규고육기관에서의 교육에 대한 연구도 정보보호 개념형성, 영재 발굴 등의 일환으로 수행될 필요가 있다.
하지만 이에 그치지 않고 정보보호 교육 분야의 지속적인 발전을 위하여 본 연구에서 도출된 시사점을 기반으로 다음과 같은 연구방향을 제시하고자 한다. 첫째, 향후에는 기존의 잘 갖춰진 인프라를 기반으로 다양한 정보보호 분야의 교육 연구를 통해 효과적인 교육 컨텐츠와 방법이 개발될 필요가 있다. 둘째, 교육의 목적은 결국 교육 내용을 인지하고 행동으로 연결되는 것이라 할 수 있으며, 대상에 따라 적절한 컨텐츠와 방법이 적용되어야 할 것이다.
그리고 대학에서는 정보보호 관련학과가 지속적으로 신설되고 있고, 고용 계약형 지원 사업 등 산학연계가 활발히 이루어지고 있다. 하지만 이러한 노력에 그치지 않고 장기적인 측면에서의 발전방향을 제시하기 위해서는 정보보호 교육 관련 연구동향을 살펴보고 향후 개선사항을 도출할 필요가 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
정보보호 교육은 어떻게 이루어지고 있는가?
보안역량 강화를 위한 다양한 방법이 존재하지만 정보보호 교육, 훈련, 그리고 캠페인, 홍보 등과 같은 인식제고 프로그램이 대표적이라 할 수 있다. 특히 정보보호 교육의 경우 KISA 아카데미와 같은 교육센터를 국가차원에서 운영하여 전문 인력을 양성하고 있으며, 기업에서도 임직원에 대한 정기적인 정보 보호 교육을 실시하고 있다. 그리고 대학에서는 정보보호 관련학과가 지속적으로 신설되고 있고, 고용 계약형 지원 사업 등 산학연계가 활발히 이루어지고 있다. 하지만 이러한 노력에 그치지 않고 장기적인 측면에서의 발전방향을 제시하기 위해서는 정보보호 교육 관련 연구동향을 살펴보고 향후 개선사항을 도출할 필요가 있다.
정보화의 발달이 주는 이점은?
정보화의 발달은 일상생활에 편리성을 제공하고 조직의 업무 효율성 제고에 긍정적인 영향을 미치고 있다. 반면에 7.
정보보호의 중요성에 대한 인식이 증가하는 이유는?
정보화의 발달은 일상생활에 편리성을 제공하고 조직의 업무 효율성 제고에 긍정적인 영향을 미치고 있다. 반면에 7.7 DDoS, 3.20 대란과 같은 사이버 위협의 증가, 기업의 크고 작은 정보유출 사고 등 급속한 정보화의 발달에 따른 위협도 존재한다. 이에 따라 정보보호의 중요성에 대한 인식이 증가하고 있으며, 정보보호 수준 향상을 위한 다양한 노력들을 기울이고 있다.
참고문헌 (9)
Mario Silic and Andrea Back, "Information security: Critical review and future directions for research," Information Management & Computer Security, vol. 22, no. 3, pp. 279-308, Jul. 2014.
Ruggero Contu, Christian Canales, and Lawrence Pingree, "Forecast: information security worldwide 2012-2018, 2Q14 update," G00264279, Gartner, Aug. 2014.
M.T. Dlamini, J.H.P. Eloff, and M.M. Eloff, "Information security: the moving target," Computers & Security, vol. 28, no. 3-4, pp. 189-198, Jun. 2009.
Barbara Guttman and Edward A. Roback, "An introduction to computer security: the NIST handbook," NIST Special Publication 800-12, National Institute of Standards and Technology, Oct. 1995.
Min-Jeong Kim, Haeni Lee, Shin-Jeong Song and Jinho Yoo, ""A study on the curriculum of department of information security in domestic universities and graduate schools and comparison with the needs of industry knowledge," Journal of The Korea Institute of Information Security & Cryptology, vol. 24, no. 1, pp. 195-205, Feb. 2014.
Hagen, J., "Human relationships: a never-ending security education challenge?," Security & Privacy, vol. 7, no. 4, pp. 65-67, Aug. 2009.
M.E. Thomson and R. von Solms, "Information security awareness: educating your users effectively," Information Management & Computer Security, vol. 6, no 4, pp. 167-173, Oct. 1998.
Melissa Dark and Jelena Mirkovic, "Evaluation theory and practice applied to cybersecurity education," Security & Privacy, vol. 13, no. 2, pp. 75-80, Apr. 2015.
J.M. Hagen and E. Albrechtsen, "Effects on employees' information security abilities by e-learning," Information Management & Computer Security, vol. 17, no. 5, pp. 388-407, Nov. 2009.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.