사이버 위협이 고도화 및 지능화됨에 따라 사이버 보안 사고를 사전에 완벽하게 예방하는 것은 한계가 있다. 따라서 보안사고 발생을 가정하고 이를 신속하게 탐지하고, 복구할 수 있는 역량이 필요해지고 있다. 이러한 필요성으로 인해 최근 사이버 레질리언스는 중요한 개념으로 부각되고 있으며, 이에 대한 수준을 평가하는 것은 중요하다. 그럼에도 불구하고, 현재 사이버 레질리언스와 관련 평가에 관한 연구는 미흡한 실정이다. 따라서 본 연구에서는 사이버 레질리언스에 대한 이론적 고찰과 전문가 회의를 통해 사이버 레질리언스를 평가할 수 있는 총 22개의 지표를 개발하였다. 개발된 지표는 포커스 그룹 인터뷰를 통해 제안된 지표의 중요도와 실현가능성을 평가하였다. 본 연구는 사이버 레질리언스를 평가함에 있어 의미 있고 유용한 지표를 도출하였다. 이는 향후 사이버 레질리언스 연구의 기반 자료로 활용될 것으로 기대되며, 향후 연구로는 실무적 활용 및 객관화를 위한 정량적 연구를 제안한다.
사이버 위협이 고도화 및 지능화됨에 따라 사이버 보안 사고를 사전에 완벽하게 예방하는 것은 한계가 있다. 따라서 보안사고 발생을 가정하고 이를 신속하게 탐지하고, 복구할 수 있는 역량이 필요해지고 있다. 이러한 필요성으로 인해 최근 사이버 레질리언스는 중요한 개념으로 부각되고 있으며, 이에 대한 수준을 평가하는 것은 중요하다. 그럼에도 불구하고, 현재 사이버 레질리언스와 관련 평가에 관한 연구는 미흡한 실정이다. 따라서 본 연구에서는 사이버 레질리언스에 대한 이론적 고찰과 전문가 회의를 통해 사이버 레질리언스를 평가할 수 있는 총 22개의 지표를 개발하였다. 개발된 지표는 포커스 그룹 인터뷰를 통해 제안된 지표의 중요도와 실현가능성을 평가하였다. 본 연구는 사이버 레질리언스를 평가함에 있어 의미 있고 유용한 지표를 도출하였다. 이는 향후 사이버 레질리언스 연구의 기반 자료로 활용될 것으로 기대되며, 향후 연구로는 실무적 활용 및 객관화를 위한 정량적 연구를 제안한다.
Recently, cyber resilience has emerged as an important concept, recognizing that there is no perfect security. However, domestic researches on cyber resilience are insufficient. In this study, the 22 indicators for cyber resilience assessment were initially developed by the literature survey and dis...
Recently, cyber resilience has emerged as an important concept, recognizing that there is no perfect security. However, domestic researches on cyber resilience are insufficient. In this study, the 22 indicators for cyber resilience assessment were initially developed by the literature survey and discussions with security experts. The developed indicators are reviewed using the Focus Group Interview method in terms of materiality and feasibility of the indicators. This study derived meaningful and useful indicators for the assessment of cyber resilience, and it is expected to be used as a foundation for the future cyber resilience studies. In order to generalize and apply the results of this study in practice, it is necessary to carry out quantitative researches in the future.
Recently, cyber resilience has emerged as an important concept, recognizing that there is no perfect security. However, domestic researches on cyber resilience are insufficient. In this study, the 22 indicators for cyber resilience assessment were initially developed by the literature survey and discussions with security experts. The developed indicators are reviewed using the Focus Group Interview method in terms of materiality and feasibility of the indicators. This study derived meaningful and useful indicators for the assessment of cyber resilience, and it is expected to be used as a foundation for the future cyber resilience studies. In order to generalize and apply the results of this study in practice, it is necessary to carry out quantitative researches in the future.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 본 연구에서는 사이버 레질리언스의 등장배경과 개념, 원칙 및 구성요소 등에 대해 조사·분석하고, 보안지표 개발 시 필요 속성을 고려한 전문가 회의를 통해 사이버 레질리언스 평가지표를 개발하였다.
본 연구는 디지털 융·복합적인 환경에서 필수적인 사이버 레질리언스에 대한 10개의 영역과 22개 평가 지표를 개발하였다.
본 연구의 사이버 레질리언스 평가지표는 사이버 레질리언스에 대한 선행연구의 참고문헌과 전문가 토의를 통해 개발되었다. 전문가 토의는 사이버 레질리언스 관련 연구 및 프로젝트를 진행한 경험이 있거나, 지표를 활용하여 보안평가를 진행한 경험이 있는 보안 전문가들로 구성하였다.
세계경제포럼(WEF)은 사이버 레질리언스의 가장 중요한 이슈로 리더십과 보안 책임의식을 강조하며, 이를 포함한 사이버 레질리언스 성숙도 모델을 제시하였다[13]. 이 모델은 증가하는 사이버 위험에 대항하기 위한 사이버 레질리언스 프로그램 가이드를 제공하는 목적으로 개발되었다. 이는 3개의 평가분야(거버넌스, 프로그램, 네트워크)와 19개의 평가항목으로 구성되어 있다.
제안 방법
따라서 본 연구에서는 사이버 레질리언스의 등장배경과 개념, 원칙 및 구성요소 등에 대해 조사·분석하고, 보안지표 개발 시 필요 속성을 고려한 전문가 회의를 통해 사이버 레질리언스 평가지표를 개발하였다. 개발된 지표는 전문가 그룹을 대상으로 구성된 포커스 그룹 인터뷰를 통해 지표에 대한 타당성을 검토하였다.
이는 기존 정보보호 평가체계와는 차별화 된 사이버 레질리언스의 속성을 반영함에 있어 중요한 의미를 지닐 것으로 사료된다. 개발된 지표들은 모두 사이버 레질리언스의 속성과 원칙 등에 대한 이론적 고찰을 통해 개발되었다. 이에 향후 사이버 레질리언스 연구의 기반이 될 수 있을 것으로 기대된다.
또한 도출된 사이버 레질리언스의 주요영역들과 국내 정보보호 평가체계의 비교·분석을 통해, 기존 평가영역들이 사이버 레질리언스를 평가할 수 있는지에 대해 분석하였다.
본 연구는 사이버 레질리언스의 이론적 고찰과 전문가 회의를 통해 총 10개의 영역과 22개의 지표를 개발하였다. 사이버 레질리언스에 대한 국내 연구 현황을 고려해 보았을 때, 정량적인 방법으로는 깊이 있는 결과를 도출하기 어렵다고 판단하였다.
본 장에서는 사이버 레질리언스의 등장배경과 개념, 사이버 레질리언스의 원칙 및 구성요소 등에 대한 조사·분석을 실시하였다.
사이버 레질리언스에 대한 이론적 고찰을 통해 도출된 주요 도메인들을 국내 대표적인 정보보호 평가체계인 K-ISMS, 정보보호 준비도 평가와 비교분석 하였다. 이를 통해 국내 기존의 정보보호 평가 체계가 사이버 레질리언스를 평가할 수 있는지에 대해 [Table 3]과 같이 분석하였다.
우선 설문지는 개발된 평가지표의 중요성(materiality)과 실현가능성(feasibility)을 리커드 5점 척도를 사용하여 조사하였으며, 추가적으로 개발된 지표에 대한 개선사항 또는 개발된 지표 이외에 필요사항에 대하여 작성하도록 하였다. 설문이 끝난 후 60분에 걸쳐 참여자 간 의견 교환 및 토론을 진행하여 개발된 지표의 타당성을 검토하였다.
포커스 그룹 인터뷰는 설문지 작성 및 심층면접을 진행하였다. 우선 설문지는 개발된 평가지표의 중요성(materiality)과 실현가능성(feasibility)을 리커드 5점 척도를 사용하여 조사하였으며, 추가적으로 개발된 지표에 대한 개선사항 또는 개발된 지표 이외에 필요사항에 대하여 작성하도록 하였다. 설문이 끝난 후 60분에 걸쳐 참여자 간 의견 교환 및 토론을 진행하여 개발된 지표의 타당성을 검토하였다.
이에 따라 본 절에서는 국내·외 사이버 레질리언스에 대한 연구들을 조사하여, 사이버 레질리언스의 공통된 주요 속성들을 분석하였다.
포커스 그룹 인터뷰는 설문지 작성 및 심층면접을 진행하였다. 우선 설문지는 개발된 평가지표의 중요성(materiality)과 실현가능성(feasibility)을 리커드 5점 척도를 사용하여 조사하였으며, 추가적으로 개발된 지표에 대한 개선사항 또는 개발된 지표 이외에 필요사항에 대하여 작성하도록 하였다.
대상 데이터
또한 지표를 개발함에 있어, 차인환(2009)의 보안지표 개발 시 고려사항에 대한 연구결과에 따른, 보안지표의 주요 속성인 타당성, 용이성, 신뢰성을 기준으로 지표를 개발하였다[21]. 본 연구에서 개발한 평가지표는 10개의 분야, 22개의 지표로 구성되어 있으며 [Table 4]와 같다.
본 연구의 사이버 레질리언스 평가지표는 사이버 레질리언스에 대한 선행연구의 참고문헌과 전문가 토의를 통해 개발되었다. 전문가 토의는 사이버 레질리언스 관련 연구 및 프로젝트를 진행한 경험이 있거나, 지표를 활용하여 보안평가를 진행한 경험이 있는 보안 전문가들로 구성하였다. 또한 지표를 개발함에 있어, 차인환(2009)의 보안지표 개발 시 고려사항에 대한 연구결과에 따른, 보안지표의 주요 속성인 타당성, 용이성, 신뢰성을 기준으로 지표를 개발하였다[21].
이론/모형
사이버 레질리언스에 대한 국내 연구 현황을 고려해 보았을 때, 정량적인 방법으로는 깊이 있는 결과를 도출하기 어렵다고 판단하였다. 따라서 개발된 지표들에 대한 타당성 검토를 위해 포커스 그룹 인터뷰(FGI) 방법을 선정하였다. 포커스 그룹은 [Table 5]와 같이, 보안 지표를 활용한 평가 경험이 있는 참여자, 사이버 레질리언스 관련 연구 및 프로젝트를 진행한 경험이 있는 참여자, 일반 기업의 보안 전문가로 구성하였으며, 참여 대상자는 모두 최소 10년 이상의 경력을 보유하였다.
후속연구
따라서 향후 더 많은 표본을 통해 다변량 분석 등을 포함한 정량적인 연구가 필요하다. 둘째, 개발된 지표는 대부분이 정성적 지표이며, 이에 대한 구체적인 데이터 수집 종류와 수집 방법이 필요할 것으로 보인다. 이에 따라 향후 연구에서는 정성적 지표에 대한 데이터를 객관화하여 이를 평가할 수 있는 구체적인 방법이 필요할 것으로 보인다.
첫째, 본 연구는 국내 사이버 레질리언스의 연구가 미흡한 실정임에 따라, 포커스 그룹 인터뷰로 타당성을 검토하여 일반화에 어려움이 존재한다. 따라서 향후 더 많은 표본을 통해 다변량 분석 등을 포함한 정량적인 연구가 필요하다. 둘째, 개발된 지표는 대부분이 정성적 지표이며, 이에 대한 구체적인 데이터 수집 종류와 수집 방법이 필요할 것으로 보인다.
둘째, 개발된 지표는 대부분이 정성적 지표이며, 이에 대한 구체적인 데이터 수집 종류와 수집 방법이 필요할 것으로 보인다. 이에 따라 향후 연구에서는 정성적 지표에 대한 데이터를 객관화하여 이를 평가할 수 있는 구체적인 방법이 필요할 것으로 보인다.
개발된 지표들은 모두 사이버 레질리언스의 속성과 원칙 등에 대한 이론적 고찰을 통해 개발되었다. 이에 향후 사이버 레질리언스 연구의 기반이 될 수 있을 것으로 기대된다.
본 연구의 한계점은 다음과 같다. 첫째, 본 연구는 국내 사이버 레질리언스의 연구가 미흡한 실정임에 따라, 포커스 그룹 인터뷰로 타당성을 검토하여 일반화에 어려움이 존재한다. 따라서 향후 더 많은 표본을 통해 다변량 분석 등을 포함한 정량적인 연구가 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
메리엄-웹스터 사전에 따른 레질리언스란?
메리엄-웹스터 사전(Merriam-Webster)에 따르면 레질리언스란 ‘스트레스로 인한 압박감을 회복하는 능력 또는, 불행한 사고 및 변화에 쉽게 적응하거나 회복하는 능력’으로 정의하고 있다. 국립방재연구원(현 재난안전연구원)의 레질리언스에 대한 선행연구 조사 및 분석에 따르면, 레질리언스란 ‘개인, 그룹 또는 조직이 위험에 직면하거나, 자원의 고갈 또는 물리적인 위협에서도 지속적으로 생존하고, 안정성을 유지하는 역량’으로 레질리언스의 공통된 개념을 정립하였다[5].
국립방재연구원에 따른 레질리언스란?
메리엄-웹스터 사전(Merriam-Webster)에 따르면 레질리언스란 ‘스트레스로 인한 압박감을 회복하는 능력 또는, 불행한 사고 및 변화에 쉽게 적응하거나 회복하는 능력’으로 정의하고 있다. 국립방재연구원(현 재난안전연구원)의 레질리언스에 대한 선행연구 조사 및 분석에 따르면, 레질리언스란 ‘개인, 그룹 또는 조직이 위험에 직면하거나, 자원의 고갈 또는 물리적인 위협에서도 지속적으로 생존하고, 안정성을 유지하는 역량’으로 레질리언스의 공통된 개념을 정립하였다[5]. 이와 같이 기존 연구들은 레질리언스의 개념을 그동안 대부분 생태·생물학적 관점 또는 재난 연구 등에 집중적으로 적용하였다.
보안사고 발생을 가정하고 이를 신속하게 탐지하고, 복구할 수 있는 역량이 필요해지고 있는 이유는?
사이버 위협이 고도화 및 지능화됨에 따라 사이버 보안 사고를 사전에 완벽하게 예방하는 것은 한계가 있다. 따라서 보안사고 발생을 가정하고 이를 신속하게 탐지하고, 복구할 수 있는 역량이 필요해지고 있다.
참고문헌 (21)
J. D. Kim and C. G. Jin, "International Standardization Trends and Issues of Cyber Resilience", Review of KIISC, Vol. 26, No. 4, pp. 11-15, 2016.
Gartner, "Gartner Says Worldwide Information Security Spending Will Grow Almost 8 Percent in 2014 as Organizations Become More Threat-Aware", 2014.
World Economy Forum, "Collaboration with Deloitte, Risk and Responsibility in a Hyper connected World: Pathways to Global Cyber Resilience", Geneva: World Economic Forum, 2012.
Gartner, "Prevention is Futile in 2020: Protect Information via Pervasive Monitoring and Collective Intelligence", 2013.
Korea National Disaster Management Institute, "Development of Community Resilience Framework", 2013.
H. S. Lyu, "A Study on Cyber Security Policy and Governance in the ICT Convergence Environment: Focused on "Authentication", Korea Institute of Public Administration, pp.58-89, 2015.
Ernst&Young, "Achieving Resilience in the cyber ecosystem", 2014.
S. A. Merrell, A. P. Moore and J. F. Stevens, "Goal-based assessment for the cyber security of critical infrastructure", IEEE International Conference on Technologies for Homeland Security, pp.84-88, 2010.
Deborah B. and Graubart R. "Cyber Resiliency Engineering Framework", MITRE Report, 2011.
Fredrik Bjorck, Martin Henkel, Janis Stirna and Jelena Zdravkovic, "Advances in Intelligent Systems and Computing", Springer, Vol.353, pp.311-317, 2015.
Symantec, "The Cyber Resilience Blueprint-A New Perspective on Security", 2014.
World Economic Forum, "Advancing Cyber Resilience principles tool", 2017.
Bank for International Settlements and International Organization of Securities Commission, "2016 Guidance on cyber resilience for financial market infrastructures", 2016.
H. S. Lyu, H. J. Cho and H. A. Lee, "A Study on Priorities of Cyber Security Policy and Governance", Crisisnomy, Vol. 12, No. 8, pp.86-103, 2016.
S. K Hong, "Megatrend: Digital Future and Cyber Security Service of Accounting Corporation", Ernst&Young Eyesight, Vol. 13, pp.37-42, 2017.
Gartner, "Use Six Principles of Resilience to Address Digital Business Risk and Security", 2015.
The Scottish Government, "Consultation on proposal for a Cyber Resilience Strategy for Scotland. Glasgow: Cyber Resilience Policy Team", 2015.
PricewaterhouseCoopers, "Insurance 2020 & beyond: Reaping the dividends of cyber resilience. New york: PricewaterhouseCoopers LLP", 2015.
M. Choras, M. P. T. Bruna, A. Churchill, I. Eguinoa, R. Kozik, A. Yautsikhin, I. Maciejewska and A. Jomni, "Comprehensive Approach to Increase Cyber Security and Resilience: CAMINO Roadmap and Research Agenda", Availability, Reliability and Security 2015 10th International Conference on, pp. 686-692, 2015.
I. H. Cha, "An Empirical Research on Developing Personnel Security Management Indicators in Information Security", Ph.D. dissertation, p.123, Quarterly Resource, Kwangwoon University, 2009.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.