선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 따라서 본 연구에서는 국가별로 상이하게 형성되어 있는 신뢰 수준에 맞춰 기업이 어느 수준까지 보안통제를 수행해야하는지 미국 기업의 보안통제 현황을 전직, 현직 임직원의 인터뷰와 글로벌 보안컨설턴트 인터뷰 등을 통해 조사하여 미국 글로벌 기업의 보안통제 Best Practice을 제시하며, 이를 국내기업과 검증하여 미국과 한국의 사회 신뢰수준에 따른 보안통제 수준을 비교, 검증하도록 한다. 또한 해당 과정에서 보안통제 평가항목 및 모델도 제시하고자 한다.
- 따라서 본 연구에서는 국가별로 상이하게 형성되어 있는 신뢰 수준에 맞춰 기업이 어느 수준까지 보안통제를 수행해야하는지 미국 기업의 보안통제 현황을 전직, 현직 임직원의 인터뷰와 글로벌 보안컨설턴트 인터뷰 등을 통해 조사하여 미국 글로벌 기업의 보안통제 Best Practice을 제시하며, 이를 국내기업과 검증하여 미국과 한국의 사회 신뢰수준에 따른 보안통제 수준을 비교, 검증하도록 한다. 또한 해당 과정에서 보안통제 평가항목 및 모델도 제시하고자 한다.
- 보안통제 수준을 벤치마킹하여 분석한 사례로는 한근희[8]가 미국, 일본, EU의 정보보호 수준을 벤치마킹하여 우리나라의 전자정부 정보보호관리체계 (ISMS) 적용 정책에 벤치마킹 결과를 효과적으로 활용할 수 있는 방안에 대해 연구하였다. 이국희 등[9]은 Best Practice 사례가 축척한 수년간의 노하우와 검증된 가이드라인을 통해 정보화 투자 사전 평가 방법론을 연구하였다.
제안 방법
- 정확한 데이터 수집을 위해 3단계의 방법으로 조사를 진행한다. 1단계로 해당 기업에 근무하였던 전직 임직원 대상으로 인터뷰를 진행하였으며, 2단계로 데이터 추가 수집 및 현행화를 위해 현재 해당 기업에 재직 중인 임직원을 대상으로 데이터를 수집, 검증하였으며, 3단계로 해당기업에 보안컨설팅을 수행한 컨설턴트들과 인터뷰를 통해 최종적으로 데이터를 수집, 검증한다.
- AHP 사용을 위해 첫 번째로 보안통제 수준을 결정하는 평가요인을 선정하였다. 평가요인 선정은 보안컨설턴트 및 상기 업종에 종사하고 있는 보안 담당자 21명이 FGI를 통해 선정하였다.
- Fig 5.에서 제시된 Control Hierarchy Structure를 바탕으로 설문지를 구성하고, 쌍대비교를 수행하였다. 쌍대비교를 통해 도출된 가중치가 논리적으로 일관성을 유지하는지 검증하기 위해 Tomas L.
- 는 SW개발업종의 보안통제 현황을 보여주고 있다. SW개발업종의 보안통제 현황을 조사하기 위해 4개 회사에 각각 15개 질의를 하였으며, 총 60개 통제항목에 대해 조사가 이루어졌다.
- 따라서 실제 기업들의 보안통제 수준을 파악하기 위해서는 기업에서 현재 적용하고 있는 보안통제를 벤치마킹하여 현황을 조사하는 것이 가장 적합한 선택이다. 그러므로 본 연구에서는 특정 보안 통제 모델을 선택하는 것보다 보안통제를 가장 잘 수행하고 있는 기업들의 Best Practice 사례를 분석, 비교하는 방법을 활용한다.
- 는 금융업종의 보안통제 현황을 보여주고 있다. 금융업종의 보안통제 현황을 조사하기 위해 4개 회사에 각각 15개 질의를 하였으며, 총 60개 통제항목 중 답변불가 14개 항목을 제외한 46개 항목에 대해 조사를 진행했다.
- 넷째, 기업전략, 구조 및 경쟁과 관련하여 한미 정보보호산업의 국제경쟁력 분석(2012) 지표를 참고하여 경영요건과 경쟁을 하위요소로 선정하고 측정지 표로 정보보안 법적대응지수, GDP 대비 기업 연구 개발 비중, 정보보안 국제협력지수를 선정한다.
- 셋째, 관련 및 지원산업과 관련하여 Michael Porter는 관련 및 지원산업의 경쟁력이 높을수록 해당 산업의 경쟁력도 함께 높아진다고 강조한다. 따라서 군산업(Military)이 이러한 주장에 부합되는 것으로 판단하여 측정 지표로 선정하며, 사회 성숙도가 사회의 신뢰도와 직간접적인 관계가 있는 것으로 판단하여 측정 지표로 선정한다. 특히 사회 성숙도에서는 해당 국가의 신뢰도를 측정할 수 있는 범죄율, 법치수준, 신뢰지수, 부패지수를 지표로 선정한다.
- 따라서 본 연구에서는 국가의 산업, 환경, 문화, 사회 수준의 경쟁력 등을 종합적으로 비교하고 분석하는데 적용[11]하고 있는 Diamond Model을 한국과 미국의 사회 신뢰수준 비교에 적용하였으며, 적용 방법과 결과는 제Ⅲ장에서 확인할 수 있다.
- 또한 국가 간 신뢰도를 비교 분석하기 위해 Michael Porter가 제시한 국가 경쟁력 분석 모델인 다이아몬드 모델을 근거로 정보보호 관련 신뢰도 4대 결정요소 및 하위요인을 도출하여 분석한다.
- 또한 보안수준을 합리적으로 측정할 수 있도록 10개의 평가요인을 선정하였으며, AHP를 사용하여 해당 평가요인의 가중치를 도출하여 합리적으로 보안수준을 평가할 수 있는 의사결정 모델을 제시하고 이를 기반으로 공식을 도출하였다. 실제 한국기업 사례를 바탕으로 제시된 의사결정 모델과 공식을 검증하였으 며, 미국기업과 비교를 통해 한국기업과 미국기업의 보안통제 수준을 비교, 분석하였다.
- 먼저 생산요소의 측정을 위해 IPS 지수를 활용한 정보통신산업 경쟁력 분석(2010) 및 한미 정보보호 산업의 국제경쟁력 분석(2012)의 연구 논문을 참조 하여 자본, 노동, 연구개발의 하위요인을 결정하고 자본의 측정 지표로는 정부의 정보보호 예산 규모와 금융기관 국내신용 비중(GDP 대비)을 활용한다. 아울러 노동 하위지표의 측정 지표로는 정보기술 숙련도 지수, 정보보안 기술대응 지수, 정보보안 조직대응 지수를 측정 지표로 결정한다.
- 데이터의 특성에 따라 표준화하는 방법은 여러 가지가 있는데, WEF(2009)의 경우 모든 데이터를 7점 척도로 전환하였고, IPS(2007)의 경우 모든 데이터를 100점 척도로 전환하여 국가별 비율에 따라 점수를 계산한다. 본 연구에서는 IPS(2007), WEF(2009)의 표준화 방법을 응용하여 각 요소를 10점 척도로 표준화 한다. 먼저 미국 결정요인을 10점 척도로 환산한 후 한국의 점수는 미국과의 비율에 따라 부여한다.
- 본 연구에서는 미국 글로벌 기업 3개 업종 총 12개사의 정보보호 통제 수준 4개 분야 15개 항목으로 조사를 진행하였다.
- 또한 보안수준을 합리적으로 측정할 수 있도록 10개의 평가요인을 선정하였으며, AHP를 사용하여 해당 평가요인의 가중치를 도출하여 합리적으로 보안수준을 평가할 수 있는 의사결정 모델을 제시하고 이를 기반으로 공식을 도출하였다. 실제 한국기업 사례를 바탕으로 제시된 의사결정 모델과 공식을 검증하였으 며, 미국기업과 비교를 통해 한국기업과 미국기업의 보안통제 수준을 비교, 분석하였다.
- 이상에서 보는 바와 같이 한국과 미국의 정보보호 관련 사회 신뢰수준을 측정해 보았다. 17개의 동일한 측정지표 하에서 한국은 미국에 비해 신뢰수준이 낮은 것으로 확인되었다.
- 정확한 데이터 수집을 위해 3단계의 방법으로 조사를 진행한다. 1단계로 해당 기업에 근무하였던 전직 임직원 대상으로 인터뷰를 진행하였으며, 2단계로 데이터 추가 수집 및 현행화를 위해 현재 해당 기업에 재직 중인 임직원을 대상으로 데이터를 수집, 검증하였으며, 3단계로 해당기업에 보안컨설팅을 수행한 컨설턴트들과 인터뷰를 통해 최종적으로 데이터를 수집, 검증한다.
- 에서는 제조업종의 보안통제 현황을 보여주고 있다. 제조업종의 보안통제 현황을 조사하기 위해 4개 회사에 각각 15개 질의를 하였으며, 총 60 개 통제항목 중 답변불가 6개 항목을 제외한 54개 항목에 대해 조사가 이루어졌다.
- 조사항목은 PC, 모바일, 이메일, 인터넷 등 4개 영역을 대상으로 어느 수준까지 통제를 하고 있는지 여부를 조사하며, 조사항목의 객관성 확보 및 신뢰도를 높이기 위해 보안담당자 21명을 대상으로 다기준 의사결정(MCDM : Multiple Criteria Decision Making)시 널리 사용되는 AHP 모델을 사용하여, 그 결과를 분석한다.
- 통합기하평균 행렬 분석은 우선 5점 척도의 설문조사 문항을 통해 얻은 응답에 각각 3, 2, 1, 1/2, 1/3점의 점수를 부여하여 상대적 중요도를 계량화 하였으며, 이를 바탕으로 AHP 분석을 수행하기 위해 개인별 쌍대 비교 행렬을 구성하였다. 수집된 자료에 대한 분석은 스프레드시트 Microsoft Excel 2013으로 이루어졌으며, 쌍대비교 행렬을 통해 개인 차원의 요인별 상대적 중요도를 계산하고, 이후 그 결과를 종합하여 요인별 상대적 중요도를 산정하였다.
- Michael Porter의 다이아몬드 모델을 국가 보안 경쟁력 비교에 적용한 사례로는 원종성 등[12]이 한미 정보보호산업의 국제경쟁력 분석 연구를 진행하였다. 해당 연구에서는 4개의 결정요인에 13개의 하위 요인을 도출하고 31개 측정지표를 선정하여 한미 정보보호 국가 경쟁력을 비교하였다.
대상 데이터
- 본 연구에서는 4개 분야 15개 항목에 대해 미국 글로벌 기업 대상으로 보안통제 현황을 조사하였으며, 분석결과는 Table 8과 같다.
- 본 연구에서는 글로벌 기업의 보안통제 현황에 대한 자료 수집을 위해 글로벌 12개 기업의 관련 데이터를 수집한다.
- 본 연구에서는 설문조사를 이용한 지표의 측정방법이 아닌 세계 통계기관과 사회기관 및 연구소의 공개된 통계자료를 이용하여 한국과 미국의 정보보호 신뢰도 분석을 위해 Table 1과 같이 총 9개 하위요소에 따른 17개 측정 지표를 선정한다.
- 업종별로 보안통제 수준이 상이할 수 있음을 감안하여 금융업종, 제조업종, IT(SW)업종 각각 4개사를 선정하여 연구를 진행하였다. 분석을 위해 선정한 업종은 16년 미국 매출 상위 3,000개 회사의 업종을 분석하여 가장 많은 회사가 분포한 업종인 금융(705개, 24%), 제조(542개, 18%), IT(406개, 14%) 업종으로 선정하였다.
- 미국 기업의 정보보호 통제 수준 현황은 현장에서 Best Practice로 활용할 수 있는 수준이 되는 2016 Fortune500에 선정된 글로벌한 회사이면서 ‘16년 매출이 10조원 이상인 미국기업 12개사를 대상으로 현황을 파악한다. 업종별로 보안통제 수준이 상이할 수 있음을 감안하여 금융업종, 제조업종, IT(SW)업종 각각 4개사를 선정하여 연구를 진행하였다. 분석을 위해 선정한 업종은 16년 미국 매출 상위 3,000개 회사의 업종을 분석하여 가장 많은 회사가 분포한 업종인 금융(705개, 24%), 제조(542개, 18%), IT(406개, 14%) 업종으로 선정하였다.
- 아울러 노동 하위지표의 측정 지표로는 정보기술 숙련도 지수, 정보보안 기술대응 지수, 정보보안 조직대응 지수를 측정 지표로 결정한다. 연구개발의 측정 지표로는 정보보안 역량강화 지수를 선정한다.
- 조사대상 기업의 경우 보안통제 Best Practice를 제시할 수 있는 수준의 기업인 2016년 Fortune 500에 들어가는 글로벌 기업 중 16년 매출이 $ 10 Billion 이상인 기업을 선정하였으며, SW업종 4개사, 금융업종 4개사, 제조업종 4개사 등 다양한 업종을 선정하여 조사의 신뢰도를 높인다.
- 3단계에서는 가중치 종합화를 위하여 개인별 쌍대비교 행렬을 기하평균으로 통합하여 통합기하평균 행렬을 산출하며, 4단계에서 종합적인 평가기준별 가중치를 산출하여 해당 요인의 상대적 중요도에 대한 우선순위를 도출하였다. 최종적으로 AHP를 통해 선정된 보안통제 수준 의사결정 모델을 한국기업을 대상으로 검증을 진행하였다.
- AHP 사용을 위해 첫 번째로 보안통제 수준을 결정하는 평가요인을 선정하였다. 평가요인 선정은 보안컨설턴트 및 상기 업종에 종사하고 있는 보안 담당자 21명이 FGI를 통해 선정하였다. AHP 계층 모델은 Fig 5.
- 평가항목은 보안컨설턴트 및 상기 업종에 종사하고 있는 보안 담당자 21명이 선정한 4개 분야 15개 항목에 대해 조사를 진행하였다. 기업의 보안통제 수준을 평가한 항목은 Table 7과 같다.
데이터처리
- 통합기하평균 행렬 분석은 우선 5점 척도의 설문조사 문항을 통해 얻은 응답에 각각 3, 2, 1, 1/2, 1/3점의 점수를 부여하여 상대적 중요도를 계량화 하였으며, 이를 바탕으로 AHP 분석을 수행하기 위해 개인별 쌍대 비교 행렬을 구성하였다. 수집된 자료에 대한 분석은 스프레드시트 Microsoft Excel 2013으로 이루어졌으며, 쌍대비교 행렬을 통해 개인 차원의 요인별 상대적 중요도를 계산하고, 이후 그 결과를 종합하여 요인별 상대적 중요도를 산정하였다. AHP 결과 값은 Fig 6.
이론/모형
- 둘째, 수요조건의 측정을 위해서는 소비자, 내수 시장의 하위요인을 결정하며, IPS 지수를 활용한 정보통신산업 경쟁력 분석(2010) 및 한미 정보보호산 업의 국제경쟁력 분석(2012)을 참고한다. 소비자의 측정 지표로는 지식재산권 존중도와 세계 언론 자유 지수를 활용한다.
- 본 연구에서는 보안통제 수준 Best Practice를 선정하기 위해 AHP(Analytic Hierarchic Process)를 활용한다. Tomas L.
- 본 연구에서는 한국과 미국의 정보보호 관련 신뢰 수준을 비교하기 위해 Michael E. Porter[10]에 의해 개발된 Diamond Model을 활용한다. 1990 년대 현대 경영전략 분야의 세계적 권위자로 손꼽히는 Michael Porter 교수는 국가경쟁력을 결정하는 모형을 Fig1.
- 본 연구에서는 한국과 미국의 정보보호와 관련된 신뢰수준을 측정하고 비교하기 위해 Michael Porter의 Diamond Model을 활용하여 조사를 수행한다.
- 에서 제시된 Control Hierarchy Structure를 바탕으로 설문지를 구성하고, 쌍대비교를 수행하였다. 쌍대비교를 통해 도출된 가중치가 논리적으로 일관성을 유지하는지 검증하기 위해 Tomas L. Saaty[16]가 개발한 일관성비율 CR(Consistency Ratio)을 사용한다. Saaty[16] 에 따르면 일관성 비율이 0.
성능/효과
- 이상에서 보는 바와 같이 한국과 미국의 정보보호 관련 사회 신뢰수준을 측정해 보았다. 17개의 동일한 측정지표 하에서 한국은 미국에 비해 신뢰수준이 낮은 것으로 확인되었다. 10점 척도의 4개 주요 Factor에서 미국 40.
- 25%도 C&C서버 차단 여부에 대한 질의로 악성코드를 유포하는 등 해커서버(C&C서버) 통제여부를 제외하면 SW개발업종에 서는 인터넷을 전혀 통제하고 있지 않고 자유롭게 사용할 수 있는 환경을 제공하고 있음을 확인하였다.
- 반면, 연구개발 관련요소인 정보보안 역량대응 지수는 한국이 미국보다 높은 것으로 평가되었다. ITU에서 평가한 정보기술 역량 강화지수는 Standardization development, Manpower development, Professional certification, Agency certification을 종합한 결과로 미국 1.67점, 한국이 2.08점으로 한국이 25% 높은 점수를 획득하였다.
- 가중치 산출 및 우선순위 도출에 앞서 우선적으로, 평가요인별 상대적 중요도 합을 살펴보면 PC통제 합은 0.423 모바일통제는 0.133이며, 전자메일 관련 통제 합은 0.188, 인터넷 통제 관련 합은 0.257로 기업의 보안통제 수준 비교 시 PC통제가 가장 상대적 중요성을 지니며 다음으로 인터넷 통제, 메일통제 순서로 중요성을 지니고, 모바일통제가 상대적으로 가장 덜 중요한 요인인 것으로 나타났다.
- 네 번째로 기업전략, 구조 및 경쟁 부문의 경우 3가지 측면으로 평가하였으며, ITU에서 2015년에 발표한 자료인 Global Cybersecurity Index & Cyberwellness profiles에 따르면 정보보안 법적 대응지수 및 정보보안 국제협력지수는 한국과 미국 모두 만점을 기록하여 동일한 수준으로 평가받았으며, IMD에서 발표한 GDP 대비 기업의 연구개발 비중의 경우 한국은 3.35점, 미국은 1.94점으로 한국이 미국에 대비 우위를 보였다.
- 7% 수준으로 보안통제를 수행하고 있었으며, 3개 업종 중 보안통제 수준이 가장 높은 것을 확인하였다. 다음으로 제조업종이 66.7%로 중간 수준의 통제를 수행하고 있었고, SW개발 업종이 38.3%로 가장 자유로운 보안통제 문화를 보유하고 있었다. 각각 업종별 상세 현황은 아래와 같다.
- 다음으로, 세부적인 상대적 중요도를 비교하여 기업의 보안통제 수준 비교 시 가장 중요하게 고려되는 요인은 PC에서 USB 등 저장매체의 통제여부 (0.123)임을 확인할 수 있었으며, 이후 PC의 파일 암호화 여부(0.116), 웹하드 등을 통한 자료 외부 업로드여부(0.105), 모바일의 카메라 촬영차단여부 (0.088), PC에서 자동SW 패치관리여부(0.082), 인터넷의 암호화사이트(https) 통제여부(0.081), PC의 HDD암호화여부(0.076), 첨부파일의 모바일 저장 통제여부(0.056), 모바일메일의 조회기간 통제 여부(0.046), 모바일에 저장된 데이터의 원격 삭제여부(0.046), PC메일 저장기간 통제여부(0.046), 외부 웹메일 허용여부(0.042), 모바일메일 내용 복사여부(0.041), 해커서버 통제여부(0.029), 백신 SW 설치여부(0.026)의 순서로 중요한 요인인 것으로 나타났다.
- 2점의 통제 수준이 도출되었다. 동일한 기준 으로 미국기업을 대상으로 통제수준을 평가한 결과는 37.8점 통제 수준으로 AHP를 적용하기 전 통제 수준인 53.8보다 보안통제 수준이 완화된 보정결과를 확인할 수 있었다.
- 두 번째로, 수요조건의 종합결과는 미국 10점 기준일 때 한국은 8.76점으로 분석되었다. 특히 RSF(Reporters without Borders, 국경 없는 기자회)에서 매년 발표하는 언론 자유지수(World Press Freedom Index)의 경우 한국은 15년 73.
- 이는 제조라인, 설계도 등이 제조업종의 중요한 자산이며, 이를 스마트폰 카메라 등으로 촬영시 회사에 피해가 가기 때문에 MDM 등을 통해 모바일 통제가 이뤄진 것으로 판단된다. 또한 금융업종보다는 낮지만 PC통제를 84.2% 수준으로 강력하게 수행하고 있음을 확인하였다.
- 먼저 생산요소 측면에서는 정부의 정보보호 예산, 금융기관 국내신용 비중, 정보기술 숙련도 등 자본, 노동 관련 하위요인에서는 미국이 한국에 비해 평가 점수가 높게 측정되었다. 반면, 연구개발 관련요소인 정보보안 역량대응 지수는 한국이 미국보다 높은 것으로 평가되었다.
- 4는 업종별 보안통제 수준을 비교한 결과이다. 미국기업의 경우 평균 53.8%의 보안통제 수준을 보이고 있으며, 금융업종, 제조업종, SW업종 순으로 보안통제 수준이 높음을 확인하였다.
- 본 연구를 통해 사회의 신뢰수준과 보안통제가 연관성이 있음을 확인할 수 있었다.
- 본 연구에서 도출된 일관성 비율 값은 모두 0.1 이하로 모두 유의하며, 평균은 0.0455로 응답의 논리적 일관성이 높게 측정되었음을 확인할 수 있었다. 따라서 기업의 보안통제 수준 비교요인의 중요도를 산정함에 있어 전문가 집단이 제시된 요인들을 잘 이해하고 있으며 일관된 관점에서 설문에 응답하였다고 추론할 수 있다.
- 상기 연구 결과를 통해, 기업의 보안통제 수준을 측정할 때 가장 중요하게 고려해야 하는 평가요소는 PC에서 USB 등 저장매체의 통제여부임이 드러났다. 이후 PC의 파일 암호화 여부, 웹하드 등을 통한 자료 외부 업로드 여부, 모바일 카메라 촬영여부 등의 순서인 것으로 드러났다.
- 생산요소의 종합 결과는 미국 10점 한국이 7.62 점으로 분석되었다.
- 세 번째로 관련 및 지원산업의 경우 미국 10점 기준 대비 한국은 5.37점을 기록하였다. 정보보호와 가장 관련있는 산업인 군산업의 경우 GDP 대비 국방예산으로 평가하였으며, CIA에서 발표한 지표를 활용하였다.
- 특히 PC영역의 경우 모바일영역, 이메일영역, 인터넷영역 대비 통제 수준이 높게 나타났다. 세부 데이터 분석결과, 미국기업의 경우 PC에 Anti-Virus SW 설치, Patch Management System 설치 등 보안 소프트웨어를 설치하여 보안 통제를 수행하고 있음을 확인할 수 있었다. 상대적으로 이메일 사용 및 인터넷 사용은 각각 28.
- 셋째, 관련 및 지원산업과 관련하여 Michael Porter는 관련 및 지원산업의 경쟁력이 높을수록 해당 산업의 경쟁력도 함께 높아진다고 강조한다. 따라서 군산업(Military)이 이러한 주장에 부합되는 것으로 판단하여 측정 지표로 선정하며, 사회 성숙도가 사회의 신뢰도와 직간접적인 관계가 있는 것으로 판단하여 측정 지표로 선정한다.
- 성기훈 등[20]은 AHP를 기반으로 SNS 제공환경에서 정보보호의 중요 위협요인을 분석하고, 정보보호 투자 결정 기준을 도출하는 연구를 진행하였다. 연구결과 SNS 제공환 경에서 개인프로파일 위조 및 명예훼손과 산업 스파 이가 정보보호의 중요 위협으로 분석되었으며, 서비스 이미지가 정보보호 투자 결정기준에서 가장 중요한 요인으로 도출되었다. 따라서 본 연구에서는 다양한 연구에서 활용되고 있는 AHP를 모델에 적용하 였으며, 적용방법과 결과는 제Ⅳ장에서 확인할 수 있다.
- 최근 우리나라 기업들이 중국, 베트남 등 해외에 신규로 진출하는 일이 많아지고 있다. 이때 사회 신뢰 수준이 낮은 국가에 국내와 동일수준으로 보안통제를 적용해서는 안 되고 보다 강력한 통제를 적용하는 것이 합리적임을 도출하였다.
- SW 프로그램의 경우 핵심 모듈을 제외한 대부분이 오픈소스를 활용하고 있었으며, 최근 개발자들은 클라우드 기반 인터넷 사이트를 통해 개발환경, 소스파일을 공유하는 문화로 보안통제를 완화해서 적용하고 있는 것을 알 수 있었다. 이번 조사에서도 메일은 12.5% 만 통제를 수행하고 있었고 인터넷의 경우도 25%만이 통제를 수행하고 있었다. 25%도 C&C서버 차단 여부에 대한 질의로 악성코드를 유포하는 등 해커서버(C&C서버) 통제여부를 제외하면 SW개발업종에 서는 인터넷을 전혀 통제하고 있지 않고 자유롭게 사용할 수 있는 환경을 제공하고 있음을 확인하였다.
- 상기 연구 결과를 통해, 기업의 보안통제 수준을 측정할 때 가장 중요하게 고려해야 하는 평가요소는 PC에서 USB 등 저장매체의 통제여부임이 드러났다. 이후 PC의 파일 암호화 여부, 웹하드 등을 통한 자료 외부 업로드 여부, 모바일 카메라 촬영여부 등의 순서인 것으로 드러났다. AHP 결과를 바탕으로 우선순위 상위 10개 평가항목 및 가중치를 부여한 최종 보안통제 수준을 측정하는 공식은 Table 14와 같다.
- 해당결과를 종합해서 보면, 한국기업이 미국기업 대비 보안통제를 강력하게 실시하고 있음을 밝혀졌다. 정량적으로 보안통제 완화 수준은 한국기업 : 미국기업은 1:1.67 수준으로 미국기업이 한국기업보다 임직원을 덜 통제하고 있었다. 이는 Diamond Model을 통해 도출한 한국과 미국 사회 신뢰수준인 1:1.
- 제조업종 보안통제 조사결과, 54개 항목 중 30개 항목인 55.6%의 통제를 수행하고 있음을 확인하였다. 제조업종의 경우 3개 업종 중 모바일 분야 보안 통제가 71.
- 총 180개 질의항목 중 회사 보안 정책상 확인이 불가한 20개 질의항목을 제외한 160개 항목에 대해 조사가 진행되었으며, 조사결과 통제수준은 86개(53.8%)로 분석되었다.
- 추가적으로 업종별 보안통제 수준을 비교한 결과 미국기업은 업종별로 차별화된 보안통제를 적용하고 있음을 확인할 수 있었다. 미국의 금융업종, SW업종, 제조업종의 보안통제 Best Practice를 제시하였으며, 해당 사례는 국내기업에서 보안통제 수준을 정할 때 유용하게 활용될 수 있다.
- 7%에서 보안통제를 수행하고 있었다. 특히 PC부분 통제는 90% 수준으로 파일암호화 솔루션 등 일부를 제외한 대부분이 임직원 PC에 보안통제를 수행하고 있음을 확인하였다. PC 보안통제 다음으로는 모바일 통제를 71.
- 2 수준으로 신뢰도가 높은 것으로 분석되었다. 특히 부패지수, 신뢰지수, 범죄율 등 사회성숙도 지표가 속해있는 연관 및 지원산업 요소가 가장 큰 차이를 보였다.
- 한국과 미국의 정보보호 관련 사회 신뢰수준 결과를 보면 Fig 3과 같이 한국이 미국에 비해 신뢰수준이 낮은 것으로 분석되었다.
- 해당결과를 종합해서 보면, 한국기업이 미국기업 대비 보안통제를 강력하게 실시하고 있음을 밝혀졌다. 정량적으로 보안통제 완화 수준은 한국기업 : 미국기업은 1:1.
후속연구
- 또한 한국과 미국 외 다른 국가의 신뢰 수준을 분석하는 것도 향후 발전방향으로 매우 중요한 의미가 있을 것이다.
- 추가적으로 업종별 보안통제 수준을 비교한 결과 미국기업은 업종별로 차별화된 보안통제를 적용하고 있음을 확인할 수 있었다. 미국의 금융업종, SW업종, 제조업종의 보안통제 Best Practice를 제시하였으며, 해당 사례는 국내기업에서 보안통제 수준을 정할 때 유용하게 활용될 수 있다.
- 보안수준의 설정 및 통제에 대한 문제는 사회 신뢰수준이라는 한 가지 요소만으로 규정되지 않고 각나라의 법, 소속기관 및 기업의 제도, 규범 등을 고려하는 것이 필요하다. 즉 본 연구에서 제시한 사회 신뢰 수준 외 보안통제와 관련이 있는 다양한 분야, 항목을 발굴하고 수치화, 계량화하여 보안통제 수준을 결정하는 것이 필요하다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.