[논문]정보보안체계 운영경험 진단을 통한 국가 사이버보안 거버넌스 모델 연구 방법

방기천

doi:10.14400/jdc.2018.16.6.205

정보보안체계 운영경험 진단을 통한 국가 사이버보안 거버넌스 모델 연구 방법
A Building Method of Designing National Cyber Security Governance Model Through Diagnosis of Operational Experience 원문보기

디지털융복합연구 = Journal of digital convergence, v.16 no.6, 2018년, pp.205 - 212

방기천 (남서울대학교 멀티미디어학과)

초록
AI-Helper

본 연구에서는 국가 전략적 차원에서 보안 거버넌스를 효율화시키기 위한 새로운 개념의 정보보안 거버넌스 모델 설계 방법을 제안한다. 이를 위해 우리의 운영 경험을 진단하고, 새로운 모델 설계 방법을 도출하였다. 그동안 국가 정보보안 활동은 지식 전달 위주로 인식되었고 활동의 동기 부여와 실행력 확보가 취약하였다. 결과적으로 보안 사각 지대가 늘어나고 대형 보안 사고가 빈발하여 해결이 필요한 과제로 대두되었다. 국가 사이버보안 거버넌스는 국가 리더의 책임하에 상단의 정책에서 하단의 실행까지 총체적으로 시스템화되어야 한다. 본 연구는 이같은 접근 방법에 기반하여 한국형 보안 거버넌스 모델의 종합 프레임워크를 제시하고 이를 비전, 목표, 과정, 수행 등 4개의 아키텍처 설계로 구체화시킴으로써 국가 거버넌스 모델 설계의 기반을 도출하였다. 라이프 사이클 흐름상의 문제점 진단, 환경변화에 기초한 보안 정책, 모든 주체의 참여가 반영되는 새로운 틀에 대하여는 계속적인 연구가 필요하다.

Abstract ▼ AI-Helper

This Study aims to propose a new information security governance model design method for streamlining security governance at national strategic level. The research method of this study is to diagnose our operational experience and to derive a new model design method. In the meantime, national information security activities were perceived to be focused on knowledge transfer, and motivation of activities and securing of executive power were weak. As a result, security blind spots and frequent occurrence of large security incidents have become unresolved challenges. National cyber security governance should be grouped together as a whole systematically from the upper policy to the lower level of performance under the responsibility of the national leader. Based on this approach, this study presented the comprehensive framework of Korean security governance model and embodied it into four architectural designs such as vision, goal, process, and performance, thus deriving the foundation for future national governance model design. Further research is needed to diagnose problems in life cycle flow, security policies based on environmental changes, and new frameworks in which all subjects participate.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

국가 리더의 책임하에 전 조직이 상단의 정책에서 하단의 수행 활동까지를 총체적으로 하나로 전략화가 필요하다. 본 연구는 이같은 사상을 반영하는 새로운 개념의 정보보안 거버넌스 모델 설계 방법을 제안한다. 기술 순서는 서론, 관련 연구, 우리의 보안 거버넌스 제도 운영 경험, 새로운 보안 거버넌스 모델 설계 방법, 결론의 순서이다.

제안 방법

운용 측면에서 거버넌스 운용 효율성 방안, 최종 목표 달성을 위한 연구단계 정립, 라이프사이클 흐름의 운용상 문제점 진단 도출, 환경 변화에 기초한 보안 정책 도입, 민간 부문 보안강화와 모든 주체의 참여 노력이 반영되는 새로운 틀의 거버넌스가 되어야 한다. 국가 사이버보안 거버넌스 라이프사이클을 설계, 체계, 전략, 범위, 운용, 법규, 경영, 의식, 피드백의 9개 단계로 구분하여 문제점을 진단한다. 진단 결과를 토대로 개선해야할 분야를 도출하고 새로운 설계를 진행한다[7,8].
보안 거버넌스의 효과적인 달성을 도모하기 위한 보안 공학적 원칙들이 얼마나 잘 반영되었는지를 평가하기 위한 방법론으로 진단 항목 발굴, 서브 항목 발굴, 진단매트릭스 발굴, 평가 가중치 적용방법 발굴 4개 분야로 구성된다.
또한, 위험 관리의 하나로 인식해도 되며, 보안성 구현은 조직의 비즈니스 목적에 알맞는 보안 통제의 구현이 조직의 목적에 부합되는지 지속적인 모니터링이 중요하다. 본 연구에서 제안하는 한국형 보안 거버넌스 모델의 종합 프레임워크는 비전, 목표, 과정, 수행 등 4개의 아키텍처로 구성된다. 비전은 통합 체계 프레임워크 개발이며 비전 목표와 함께 비전 창출 과정이 필요하다.
연방정부 비상대응팀(CERT-Bund)을 구축하고, 이를 민간 비상대응팀과 연계하는 노력을 진행해 왔다. 연방범죄수사청 내에 설치된 연방테러 대책 합동 본부(GTAZ)를 기초로 국가 사이버 방어센터를 구축하였다[3].
따라서 우리의 거버넌스 체제에 대한 경험을 운용상 문제점 도출 작업을 소재로 정리하였다. 우리의 경험은 보안 관리의 실태를 참조하고 한국의 보안실태를 진단한 각종 연구 보고서와 시사 자료, 보도 자료를 참조하여 조사하였다.
또한, 위험 관리의 하나로 인식해도 되며, 보안성 구현은 조직의 비즈니스 목적에 알맞는 보안 통제의 구현이 조직의 목적에 부합되는지 지속적인 모니터링이 중요하다. 본 연구에서 제안하는 한국형 보안 거버넌스 모델의 종합 프레임워크는 비전, 목표, 과정, 수행 등 4개의 아키텍처로 구성된다. 비전은 통합 체계 프레임워크 개발이며 비전 목표와 함께 비전 창출 과정이 필요하다.

성능/효과

보안 활동은 지식 전달 위주로 인식되었고 보안 활동의 동기 부여, 실행력 확보가 취약하였다. 결과적으로 보안 사각 지대의 존재와 대형 보안사고 빈발이라는 결과가 초래되었다. 어느 국가나 진단을 실시한다면 같은 현상이 노출되겠지만 국내의 사회 전반을 고려해보면 보안활동 취약 계층, 기업이 존재한다.

후속연구

비전은 통합 체계 프레임워크 개발이며 비전 목표와 함께 비전 창출 과정이 필요하다. 앞으로 라이프 사이클 흐름상의 문제점 진단, 환경변화에 기초한 보안 정책, 모든 주체의 참여가 반영되는 새로운 틀에 대하여는 계속적인 연구가 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	보안 거버넌스란 무엇인가?	보안 거버넌스는 정보의 기밀성(Confidentiality), 무결성(Integrity), 연속성(Availability)을 위한 ‘이사회와 고위 경영진의 책임’으로 정의된다. 정보보호 거버넌스의 뿌리는 기업 거버넌스(Corporate Governance)이다.
	보안 거버넌스는 어떻게 구성되는가?	IT 거버넌스의 한 부분이던 정보보호가 시간이 지나면서 정보보호 거버넌스로 발전되어 지금은 IT 거버넌스와 상관관계를 갖게 되었다. 보안 거버넌스는 리더십, 조직 구조, 프로세스들로 구성되는데 전체 기능의 흐름이 라이프 사이클을 기반으로 시스템화 되어야 한다. 우리나라는 국가보안 거버넌스 운영 경험에서 몇 가지 개선 필요성이 노출되었다.
	보안 활동의 동기 부여, 실행력 확보가 취약하여 발생한 문제점은 무엇인가?	보안 활동은 지식 전달 위주로 인식되었고 보안 활동의 동기 부여, 실행력 확보가 취약하였다. 결과적으로 보안 사각 지대의 존재와 대형 보안사고 빈발이라는 결과가 초래되었다. 어느 국가나 진단을 실시한다면 같은 현상이 노출되겠지 만국내의 사회 전반을 고려해보면 보안활동 취약 계층, 기업이 존재한다.

참고문헌 (16)

YSC Research and Business Foundation. (2015). A Comparative Law Study on the Cybersecurity Response System. Naju:KISA.
E. H. Kim & J. I. Lee. (2011. 8). Net Focus - US Obama Government's Cyber Security Key Policies and Measure. Internet & Security Issue, Naju:KISA, 5-30.
S. C. Kim. (2014). Cyber Security Law of Germany. The Journal of Cyber Security Law, 1, 1-22.
J. Miller, L. Candler & H. Wald. (2009. 11). Information Security Government., Technology, 5.
K. T. Hwang. (2005). Basic concept of IT governance. Local Informatization, 32, 106-109.
D. H. Kim. (2017). The Study on Corporate Information Security Governance Model for CEO. Jouranl of Information and Security, 17(1), 39-44.
S. K. Kang, H. S. Yoon, Y. W. Park, M. H. Kim, H. Y. Kwan, D. S. Kim & K. B .Kim. (2010). A Study on the Construction, Korean Institute of Criminology.
Korea Communications & Commission. (2011. 8. 8). Government, Establishment of "National Cyber Security Master Plan" - Establishment of blueprints for the protection of national cyber space. Seoul:KCC.
ISACA. (2012). COBIT 5, 14.
Information Week. (2014. 6. 13). FCC Wants More Cybersecurity Collaboration. Less Regulation.
Media & Future Institute. (2012). International cyber space forum strategy study, Seoul:KCC.
TechCrunch. (2014. 6. 12). FCC Chairman Tom Wheeler Outlines New Cybersecurity Paradigm Led By Private Sector.
National Intelligence Service, Ministry of Science, ICT and Future Planning, Korea Communications Commission &, Ministry of Government Administration and Home Affairs. (2015). 2015 National Informatization White Paper.
National Information Society Agency. (2014. 7). ICT Issues Weekly, 463, 1-5.
Wall Street Cheat Sheet. (2014. 6. 12). What the FCC's 'New Regulatory Paradigm' Means for Network Providers.
Office for Government Policy Coordination. (2015. 3. 17). Strengthen National Cyber Security Stance Capacity.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증