[국내논문]정보보안체계 운영경험 진단을 통한 국가 사이버보안 거버넌스 모델 연구 방법 A Building Method of Designing National Cyber Security Governance Model Through Diagnosis of Operational Experience원문보기
본 연구에서는 국가 전략적 차원에서 보안 거버넌스를 효율화시키기 위한 새로운 개념의 정보보안 거버넌스 모델 설계 방법을 제안한다. 이를 위해 우리의 운영 경험을 진단하고, 새로운 모델 설계 방법을 도출하였다. 그동안 국가 정보보안 활동은 지식 전달 위주로 인식되었고 활동의 동기 부여와 실행력 확보가 취약하였다. 결과적으로 보안 사각 지대가 늘어나고 대형 보안 사고가 빈발하여 해결이 필요한 과제로 대두되었다. 국가 사이버보안 거버넌스는 국가 리더의 책임하에 상단의 정책에서 하단의 실행까지 총체적으로 시스템화되어야 한다. 본 연구는 이같은 접근 방법에 기반하여 한국형 보안 거버넌스 모델의 종합 프레임워크를 제시하고 이를 비전, 목표, 과정, 수행 등 4개의 아키텍처 설계로 구체화시킴으로써 국가 거버넌스 모델 설계의 기반을 도출하였다. 라이프 사이클 흐름상의 문제점 진단, 환경변화에 기초한 보안 정책, 모든 주체의 참여가 반영되는 새로운 틀에 대하여는 계속적인 연구가 필요하다.
본 연구에서는 국가 전략적 차원에서 보안 거버넌스를 효율화시키기 위한 새로운 개념의 정보보안 거버넌스 모델 설계 방법을 제안한다. 이를 위해 우리의 운영 경험을 진단하고, 새로운 모델 설계 방법을 도출하였다. 그동안 국가 정보보안 활동은 지식 전달 위주로 인식되었고 활동의 동기 부여와 실행력 확보가 취약하였다. 결과적으로 보안 사각 지대가 늘어나고 대형 보안 사고가 빈발하여 해결이 필요한 과제로 대두되었다. 국가 사이버보안 거버넌스는 국가 리더의 책임하에 상단의 정책에서 하단의 실행까지 총체적으로 시스템화되어야 한다. 본 연구는 이같은 접근 방법에 기반하여 한국형 보안 거버넌스 모델의 종합 프레임워크를 제시하고 이를 비전, 목표, 과정, 수행 등 4개의 아키텍처 설계로 구체화시킴으로써 국가 거버넌스 모델 설계의 기반을 도출하였다. 라이프 사이클 흐름상의 문제점 진단, 환경변화에 기초한 보안 정책, 모든 주체의 참여가 반영되는 새로운 틀에 대하여는 계속적인 연구가 필요하다.
This Study aims to propose a new information security governance model design method for streamlining security governance at national strategic level. The research method of this study is to diagnose our operational experience and to derive a new model design method. In the meantime, national inform...
This Study aims to propose a new information security governance model design method for streamlining security governance at national strategic level. The research method of this study is to diagnose our operational experience and to derive a new model design method. In the meantime, national information security activities were perceived to be focused on knowledge transfer, and motivation of activities and securing of executive power were weak. As a result, security blind spots and frequent occurrence of large security incidents have become unresolved challenges. National cyber security governance should be grouped together as a whole systematically from the upper policy to the lower level of performance under the responsibility of the national leader. Based on this approach, this study presented the comprehensive framework of Korean security governance model and embodied it into four architectural designs such as vision, goal, process, and performance, thus deriving the foundation for future national governance model design. Further research is needed to diagnose problems in life cycle flow, security policies based on environmental changes, and new frameworks in which all subjects participate.
This Study aims to propose a new information security governance model design method for streamlining security governance at national strategic level. The research method of this study is to diagnose our operational experience and to derive a new model design method. In the meantime, national information security activities were perceived to be focused on knowledge transfer, and motivation of activities and securing of executive power were weak. As a result, security blind spots and frequent occurrence of large security incidents have become unresolved challenges. National cyber security governance should be grouped together as a whole systematically from the upper policy to the lower level of performance under the responsibility of the national leader. Based on this approach, this study presented the comprehensive framework of Korean security governance model and embodied it into four architectural designs such as vision, goal, process, and performance, thus deriving the foundation for future national governance model design. Further research is needed to diagnose problems in life cycle flow, security policies based on environmental changes, and new frameworks in which all subjects participate.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
국가 리더의 책임하에 전 조직이 상단의 정책에서 하단의 수행 활동까지를 총체적으로 하나로 전략화가 필요하다. 본 연구는 이같은 사상을 반영하는 새로운 개념의 정보보안 거버넌스 모델 설계 방법을 제안한다. 기술 순서는 서론, 관련 연구, 우리의 보안 거버넌스 제도 운영 경험, 새로운 보안 거버넌스 모델 설계 방법, 결론의 순서이다.
제안 방법
연방정부 비상대응팀(CERT-Bund)을 구축하고, 이를 민간 비상대응팀과 연계하는 노력을 진행해 왔다. 연방범죄수사청 내에 설치된 연방테러 대책 합동 본부(GTAZ)를 기초로 국가 사이버 방어센터를 구축하였다[3].
따라서 우리의 거버넌스 체제에 대한 경험을 운용상 문제점 도출 작업을 소재로 정리하였다. 우리의 경험은 보안 관리의 실태를 참조하고 한국의 보안실태를 진단한 각종 연구 보고서와 시사 자료, 보도 자료를 참조하여 조사하였다.
운용 측면에서 거버넌스 운용 효율성 방안, 최종 목표 달성을 위한 연구단계 정립, 라이프사이클 흐름의 운용상 문제점 진단 도출, 환경 변화에 기초한 보안 정책 도입, 민간 부문 보안강화와 모든 주체의 참여 노력이 반영되는 새로운 틀의 거버넌스가 되어야 한다. 국가 사이버보안 거버넌스 라이프사이클을 설계, 체계, 전략, 범위, 운용, 법규, 경영, 의식, 피드백의 9개 단계로 구분하여 문제점을 진단한다. 진단 결과를 토대로 개선해야할 분야를 도출하고 새로운 설계를 진행한다[7,8].
보안 거버넌스의 효과적인 달성을 도모하기 위한 보안 공학적 원칙들이 얼마나 잘 반영되었는지를 평가하기 위한 방법론으로 진단 항목 발굴, 서브 항목 발굴, 진단매트릭스 발굴, 평가 가중치 적용방법 발굴 4개 분야로 구성된다.
또한, 위험 관리의 하나로 인식해도 되며, 보안성 구현은 조직의 비즈니스 목적에 알맞는 보안 통제의 구현이 조직의 목적에 부합되는지 지속적인 모니터링이 중요하다. 본 연구에서 제안하는 한국형 보안 거버넌스 모델의 종합 프레임워크는 비전, 목표, 과정, 수행 등 4개의 아키텍처로 구성된다. 비전은 통합 체계 프레임워크 개발이며 비전 목표와 함께 비전 창출 과정이 필요하다.
또한, 위험 관리의 하나로 인식해도 되며, 보안성 구현은 조직의 비즈니스 목적에 알맞는 보안 통제의 구현이 조직의 목적에 부합되는지 지속적인 모니터링이 중요하다. 본 연구에서 제안하는 한국형 보안 거버넌스 모델의 종합 프레임워크는 비전, 목표, 과정, 수행 등 4개의 아키텍처로 구성된다. 비전은 통합 체계 프레임워크 개발이며 비전 목표와 함께 비전 창출 과정이 필요하다.
성능/효과
보안 활동은 지식 전달 위주로 인식되었고 보안 활동의 동기 부여, 실행력 확보가 취약하였다. 결과적으로 보안 사각 지대의 존재와 대형 보안사고 빈발이라는 결과가 초래되었다. 어느 국가나 진단을 실시한다면 같은 현상이 노출되겠지만 국내의 사회 전반을 고려해보면 보안활동 취약 계층, 기업이 존재한다.
후속연구
비전은 통합 체계 프레임워크 개발이며 비전 목표와 함께 비전 창출 과정이 필요하다. 앞으로 라이프 사이클 흐름상의 문제점 진단, 환경변화에 기초한 보안 정책, 모든 주체의 참여가 반영되는 새로운 틀에 대하여는 계속적인 연구가 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
보안 거버넌스란 무엇인가?
보안 거버넌스는 정보의 기밀성(Confidentiality), 무결성(Integrity), 연속성(Availability)을 위한 ‘이사회와 고위 경영진의 책임’으로 정의된다. 정보보호 거버넌스의 뿌리는 기업 거버넌스(Corporate Governance)이다.
보안 거버넌스는 어떻게 구성되는가?
IT 거버넌스의 한 부분이던 정보보호가 시간이 지나면서 정보보호 거버넌스로 발전되어 지금은 IT 거버넌스와 상관관계를 갖게 되었다. 보안 거버넌스는 리더십, 조직 구조, 프로세스들로 구성되는데 전체 기능의 흐름이 라이프 사이클을 기반으로 시스템화 되어야 한다. 우리나라는 국가보안 거버넌스 운영 경험에서 몇 가지 개선 필요성이 노출되었다.
보안 활동의 동기 부여, 실행력 확보가 취약하여 발생한 문제점은 무엇인가?
보안 활동은 지식 전달 위주로 인식되었고 보안 활동의 동기 부여, 실행력 확보가 취약하였다. 결과적으로 보안 사각 지대의 존재와 대형 보안사고 빈발이라는 결과가 초래되었다. 어느 국가나 진단을 실시한다면 같은 현상이 노출되겠지 만국내의 사회 전반을 고려해보면 보안활동 취약 계층, 기업이 존재한다.
참고문헌 (16)
YSC Research and Business Foundation. (2015). A Comparative Law Study on the Cybersecurity Response System. Naju:KISA.
E. H. Kim & J. I. Lee. (2011. 8). Net Focus - US Obama Government's Cyber Security Key Policies and Measure. Internet & Security Issue, Naju:KISA, 5-30.
S. C. Kim. (2014). Cyber Security Law of Germany. The Journal of Cyber Security Law, 1, 1-22.
J. Miller, L. Candler & H. Wald. (2009. 11). Information Security Government., Technology, 5.
K. T. Hwang. (2005). Basic concept of IT governance. Local Informatization, 32, 106-109.
D. H. Kim. (2017). The Study on Corporate Information Security Governance Model for CEO. Jouranl of Information and Security, 17(1), 39-44.
S. K. Kang, H. S. Yoon, Y. W. Park, M. H. Kim, H. Y. Kwan, D. S. Kim & K. B .Kim. (2010). A Study on the Construction, Korean Institute of Criminology.
Korea Communications & Commission. (2011. 8. 8). Government, Establishment of "National Cyber Security Master Plan" - Establishment of blueprints for the protection of national cyber space. Seoul:KCC.
ISACA. (2012). COBIT 5, 14.
Information Week. (2014. 6. 13). FCC Wants More Cybersecurity Collaboration. Less Regulation.
Media & Future Institute. (2012). International cyber space forum strategy study, Seoul:KCC.
TechCrunch. (2014. 6. 12). FCC Chairman Tom Wheeler Outlines New Cybersecurity Paradigm Led By Private Sector.
National Intelligence Service, Ministry of Science, ICT and Future Planning, Korea Communications Commission &, Ministry of Government Administration and Home Affairs. (2015). 2015 National Informatization White Paper.
National Information Society Agency. (2014. 7). ICT Issues Weekly, 463, 1-5.
Wall Street Cheat Sheet. (2014. 6. 12). What the FCC's 'New Regulatory Paradigm' Means for Network Providers.
Office for Government Policy Coordination. (2015. 3. 17). Strengthen National Cyber Security Stance Capacity.
이 논문을 인용한 문헌
활용도 분석정보
상세보기
다운로드
내보내기
활용도 Top5 논문
해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다. 더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.