디지털 기술의 발전으로 지능화 및 융합화가 가속화됨에 따라, 비즈니스 모델 및 인프라, 기술 등 여러 측면에서 기존 방식을 초월한 변화가 요구되고 있다. 변화된 비즈니스 환경에서는 다양한 보안 위험이 점증하고 있으며, 보안 위험관리의 중요성이 더욱 커지고 있다. 기존의 정보자산 기반의 위험관리에서 벗어나 비즈니스 중심의 위험관리가 대두되고 있는 시점에서 이를 위해서는 비즈니스 목표 달성을 위한 위험성향(Risk Appetite)을 파악하는 것이 필수적이며, 이는 추후 프로세스에서 발생하는 제반 의사결정 과정에 있어 판단 기준을 제공한다. 따라서 본 논문에서는 기존 위험성향 선행연구 분석 및 보호동기이론을 분석하여, 보안 위험성향 수준을 파악할 수 있는 프레임워크를 개발하였다. 또한 개발된 위험성향 프레임워크의 실무적 타당성을 검토하기 위해, 보안 위험관리 실무 전문가들로 구성된 자문위원회를 통해 적용가능성과 중요성을 검토하였다. 검토 결과, 재무, 운영, 기술, 평판, 컴플라이언스, 문화 6개의 보안 위험성향 고려 위험분야와 인지된 심각성, 인지된 취약성, 자기효능감, 반응효능감 4개의 요인이 보안 위험성향 측정을 위한 프레임워크 구성요소로서 타당한 것으로 검토되었다.
디지털 기술의 발전으로 지능화 및 융합화가 가속화됨에 따라, 비즈니스 모델 및 인프라, 기술 등 여러 측면에서 기존 방식을 초월한 변화가 요구되고 있다. 변화된 비즈니스 환경에서는 다양한 보안 위험이 점증하고 있으며, 보안 위험관리의 중요성이 더욱 커지고 있다. 기존의 정보자산 기반의 위험관리에서 벗어나 비즈니스 중심의 위험관리가 대두되고 있는 시점에서 이를 위해서는 비즈니스 목표 달성을 위한 위험성향(Risk Appetite)을 파악하는 것이 필수적이며, 이는 추후 프로세스에서 발생하는 제반 의사결정 과정에 있어 판단 기준을 제공한다. 따라서 본 논문에서는 기존 위험성향 선행연구 분석 및 보호동기이론을 분석하여, 보안 위험성향 수준을 파악할 수 있는 프레임워크를 개발하였다. 또한 개발된 위험성향 프레임워크의 실무적 타당성을 검토하기 위해, 보안 위험관리 실무 전문가들로 구성된 자문위원회를 통해 적용가능성과 중요성을 검토하였다. 검토 결과, 재무, 운영, 기술, 평판, 컴플라이언스, 문화 6개의 보안 위험성향 고려 위험분야와 인지된 심각성, 인지된 취약성, 자기효능감, 반응효능감 4개의 요인이 보안 위험성향 측정을 위한 프레임워크 구성요소로서 타당한 것으로 검토되었다.
The advancement of digital technology accelerates intelligence, convergence, and demands better change beyond traditional methods in all aspects of business models and technologies, infrastructure, processes, and platforms. Risk management is becoming more important because of various security risks...
The advancement of digital technology accelerates intelligence, convergence, and demands better change beyond traditional methods in all aspects of business models and technologies, infrastructure, processes, and platforms. Risk management is becoming more important because of various security risks, depending on the changing business environment and aligned to business goals is emerging from the existing information asset based risk management. For business aligned risk management, it is essential to understand the risk appetite for achieving business goals, which provides a basis for decision-making in subsequent risk management processes. In this paper, we propose a framework for analyzing the risk management framework, pre - existing risk analysis, and protection motivation theory that influences decisions on security risk management. To examine the practical feasibility of the developed risk appetite framework, we reviewed the applicability and significance of the proposed risk appetite framework through an advisory committee composed of security risk management specialists.
The advancement of digital technology accelerates intelligence, convergence, and demands better change beyond traditional methods in all aspects of business models and technologies, infrastructure, processes, and platforms. Risk management is becoming more important because of various security risks, depending on the changing business environment and aligned to business goals is emerging from the existing information asset based risk management. For business aligned risk management, it is essential to understand the risk appetite for achieving business goals, which provides a basis for decision-making in subsequent risk management processes. In this paper, we propose a framework for analyzing the risk management framework, pre - existing risk analysis, and protection motivation theory that influences decisions on security risk management. To examine the practical feasibility of the developed risk appetite framework, we reviewed the applicability and significance of the proposed risk appetite framework through an advisory committee composed of security risk management specialists.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
때문에 기존 위험관리 프레임 워크와 기존 위험성향 선행연구 분석, 보안 위험관리 의사결정에 영향을 미치는 보호동기 이론을 분석하여 보안 위험성향 수준을 파악할 수 있는 프레임워크 개발의 필요성이 크다고 할 수가 있다. 따라서 본 연구에서는 선행 연구를 통해서 보안위험성향 측정 프레임워크 구성요소를 도출하고, 보안 위험관리 실무 전문가들로 구성된 자문위원회를 통해 적용가능성과 중요성을 검토하였다.
본 연구는 비즈니스 목표 달성을 위한 위험관리 방안의 초기 활동 및 미비한 위험 수용 수준 측정 기준에 있어서의 보완점을 제시해줄 수 있는 위험성향 측정 프레임워크를 개발하였다. 기존 위험성향에 대한 연구는 개인의 투자 위험 성향에 대한 연구로서 논의가 이루어졌었으며, 조직의 전사적인 관점에서의 위험성향에 대한 연구는 포괄적으로 방향성을 제시해줄 뿐 측정요인에 대한 구체적인 연구가 부족한 실정이며, 보안위험 특성에 적합한 고려요소를 제시하지 못했다.
제안 방법
본 연구는 위험관리 및 위험성향 프레임워크, 위험성향 선행연구를 분석하여, 6개의 보안 위험성향 고려분야와 4개의 측정요인을 개발하였다. 6개의 보안 위험성향 고려 분야는 ISO/IEC 27005의 위험수용 고려 기준을 기반으로 도출하였으며, 4개의 측정요인은 보호동기이론의 가장 기본 요인이라고 할 수 있는 요인을 기반으로하여 측정요인을 도출하였다. 보안 위험성향 및 위험관리에 대한 국내 연구 현황을 고려하였을 때, 정량적인 방법으로는 심도 있는 결과를 도출하기 어렵다고 판단하였다.
위험성향 측정에 대한 구체적인 연구가 미흡하고 부족한 실정이기 때문에, 앞서 이론적 배경 및 선행연구를 통해 제시한 ISO/IEC 27005의 위험수용 고려 기준을 기반으로 하여, ISACA, PwC, Deloitte, The British Library 위험성향 프레임워크 관련 연구에서 제시하고 있는 위험성향 고려분야를 매핑하여, 보안 위험성향 측정 시 필요한 재무, 운영, 기술, 문화, 평판, 컴플라이언스 6가지 위험분야를 도출하였다. 또한 보호동기이론, 기타 보안 위험관리 의사결정에 영향을 미치는 요인을 분석 및 매핑 하여, 각 위험분야 마다 측정해야하는 인지된 심각성(Severity), 인지된 취약성(Vulnerability), 자기 효능 감(Self Efficacy), 반응 효능감(Response Efficacy)의 4 가지 요인을 도출하였다. 도출한 주요 분야 및 요인은 다음 Table 2와 같다.
설문지는 개발된 프레임워크의 중요성과 실현가능성을 리커드 5점 척도를 사용해, 조사했으며, 추가로 개선사항 또는 제언에 대해 작성하도록 하였다. 또한 설문 후에는 약 60분에 걸쳐 토론 및 의견교환의 시간을 진행하여 프레임워크의 타당성을 검토했다.
1차 검토에서는 위험관리 프레임워크 선행 연구 분석을 기반으로 위험 수용 고려 분야에 대해 의견 수렴 절차를 진행하고, 2차 검토에서는 각 위험분야에 대한 측정요인 검토를 진행하였다. 마지막 3차 검토에서는 개발되어진 프레임워크에 대하여 설문지 작성 및 심층면접을 수행하였다. 설문지는 개발된 프레임워크의 중요성과 실현가능성을 리커드 5점 척도를 사용해, 조사했으며, 추가로 개선사항 또는 제언에 대해 작성하도록 하였다.
본 연구는 위험관리 및 위험성향 프레임워크, 위험성향 선행연구를 분석하여, 6개의 보안 위험성향 고려분야와 4개의 측정요인을 개발하였다. 6개의 보안 위험성향 고려 분야는 ISO/IEC 27005의 위험수용 고려 기준을 기반으로 도출하였으며, 4개의 측정요인은 보호동기이론의 가장 기본 요인이라고 할 수 있는 요인을 기반으로하여 측정요인을 도출하였다.
마지막 3차 검토에서는 개발되어진 프레임워크에 대하여 설문지 작성 및 심층면접을 수행하였다. 설문지는 개발된 프레임워크의 중요성과 실현가능성을 리커드 5점 척도를 사용해, 조사했으며, 추가로 개선사항 또는 제언에 대해 작성하도록 하였다. 또한 설문 후에는 약 60분에 걸쳐 토론 및 의견교환의 시간을 진행하여 프레임워크의 타당성을 검토했다.
위험성향 측정에 대한 구체적인 연구가 미흡하고 부족한 실정이기 때문에, 앞서 이론적 배경 및 선행연구를 통해 제시한 ISO/IEC 27005의 위험수용 고려 기준을 기반으로 하여, ISACA, PwC, Deloitte, The British Library 위험성향 프레임워크 관련 연구에서 제시하고 있는 위험성향 고려분야를 매핑하여, 보안 위험성향 측정 시 필요한 재무, 운영, 기술, 문화, 평판, 컴플라이언스 6가지 위험분야를 도출하였다. 또한 보호동기이론, 기타 보안 위험관리 의사결정에 영향을 미치는 요인을 분석 및 매핑 하여, 각 위험분야 마다 측정해야하는 인지된 심각성(Severity), 인지된 취약성(Vulnerability), 자기 효능 감(Self Efficacy), 반응 효능감(Response Efficacy)의 4 가지 요인을 도출하였다.
대상 데이터
포커스 그룹은 주제와 관련하여 공통된 특성을 가진 전문가들 간의 상호작용을 통해서, 연구주제에 관하여 자료를 수집하는 방식이다[22]. Table 3과 같이 위험관리 관련 프로젝트 경험이 있는 컨설턴트, 보안 위험 관리 전문가들로 구성했으며, 참여자는 모두 10년 이상의 경력을 보유했다.
이론/모형
보안 위험성향 및 위험관리에 대한 국내 연구 현황을 고려하였을 때, 정량적인 방법으로는 심도 있는 결과를 도출하기 어렵다고 판단하였다. 따라서 개발되어진 프레임워크에 대해 중요성과 실현가능성을 검토하는 포커스 그룹 인터뷰(FGI) 방법을 사용하였다. 포커스 그룹은 주제와 관련하여 공통된 특성을 가진 전문가들 간의 상호작용을 통해서, 연구주제에 관하여 자료를 수집하는 방식이다[22].
보안 위험성향 측정 프레임워크의 기각 및 채택 기준은 카프레라(Cabrera)의 연구를 참고하여 실현가능성과 중요성 모두 2.5 이상인 경우는 채택, 하나의 항목만 2.5 이하인 경우에는 기각 및 채택의 여부를 전문가 검토 및 의견 수렴 후에 결정하였다[23].
성능/효과
또한 기타의견으로 보안사고 경험이 나왔으나, 보안사고 경험은 2017년 정보보호실태조사의 통계자료를 예로 들면서, 침해사고를 경험한 응답자의 54.6%는 사용 중인 비밀번호 변경, 보안 소프트웨어 설치, 개인정보 공개중단, 서비스 공급업체 변경 등 구체적인 대응활동을 수행하고 있지 않으며, 침해사고 경험 이후에 기관이나 업체에 상담이나 문의를 받지 않은 경우는 52.6%로 보안사고의 경험이 위험성향을 파악할 수 있는 중요한 근거가 될 수 있는지는 추가적 연구가 필요해 보인다는 검토결과가 있었다.
후속연구
따라서 향후 요인분석, 다변량 분석 등 정량적인 연구가 필요할 것으로 보이며, 향후 위험성향 프레임워크를 활용하여 측정지표를 개발하고, 위험성향의 유형을 가시적으로 분류할 수 있는 활용방안에 대한 연구가 필요할 것으로 보인다.
본 연구의 한계점은 보안 위험성향에 관한 연구가 미미한 실정에 따라 포커스 그룹 인터뷰로 중요성과 실현 가능성을 검토하였기 때문에 일반화에 대한 어려움이 존재한다. 따라서 향후 요인분석, 다변량 분석 등 정량적인 연구가 필요할 것으로 보이며, 향후 위험성향 프레임워크를 활용하여 측정지표를 개발하고, 위험성향의 유형을 가시적으로 분류할 수 있는 활용방안에 대한 연구가 필요할 것으로 보인다.
위험성향은 전통적으로 개인의 투자 의사결정과 관련 하여 연구가 많이 진행되어져 왔으며, 기존 위험관리 프레임워크의 보안 위험성향 측정 및 조직의 보안 위험성향 관련 연구도 미미한 실정이다. 이에 ISO/IEC 27005에서 제시하고 있는 위험수용 고려 기준과 전사적 위험성향 프레임워크에서 제시하고 있는 재무 및 비재무적 고려사항, 보안 위험관리 의사결정에 영향을 미치는 요인을 분석하여 조직의 보안 위험성향을 파악할 수 있는 프레임워크를 개발할 필요가 있다.
추가로 위험성향 파악을 위해서는 위험성향 측정 프레임워크도 중요하지만 더 나아가 각 위험분야 및 측정 요인에 대한 지표들이 개발될 필요성이 강조되었으며, 측정된 위험성향을 가시적으로 분류하고 전략을 세울 수 있는 위험성향의 활용방안도 개발될 필요가 있다고 검토되었다.
질의응답
핵심어
질문
논문에서 추출한 답변
위험성향 파악을 위해 새로 개정된 위험관리 국제 표준은 무엇을 강조하였는가?
전사적 관점의 위험관리 수행을 위해서는 비즈니스 전략 및 목표와 연계된 위험성향(Risk Appetite)의 파악이 필수적이라고 할 수가 있다. 새롭게 개정된 위험관리 국제 표준 ‘ISO 31000:2018’ 에서는 비즈니스 목표, 운영, 전략 등 비즈니스 모든 측면에서 위험관리와의 통합을 강조했으며, 전사적 위험관리 프레임워크 ‘COSO ERM’ 에서는 비즈니스 목표 달성을 위해 , 위험관리를 전략 및성과와 연계하는 것의 중요성을 부각하기도 하였다. 이렇듯 보안 위험성향을 파악하는 것은 비즈니스와 연계된 전사적 관점의 보안 위험관리의 첫 내딛음으로써 수용이 가능한 위험의 수준(Acceptable Level of Security Risk) 을 결정하는 것이며, 이는 추후 위험관리 프로세스에서 발생하는 의사결정에서 판단 기준을 제공한다[4].
위험이란 무엇인가?
위험은 조직의 자산에 발생하는 이벤트의 결과 또는 가능한 영향으로, 원치 않는 이벤트가 발생하여 손실 또는 부정적 영향을 미칠 가능성을 말한다[5] 이에 보안 위험은 사람의 실수, 또는 잘못된 행위, 지적재산권에 대한 손실, 무단 침입행위 또는 스파이, 정보탈취, 사이버위협, 절도, 소프트웨어 해킹, 자연으로 인한 재해, 서비스 품질 저하, 하드웨어 장애 및 소프트웨어 오류 및 기술적 노후화 등의 위험이 해당한다[6].
기존의 위험관리의 한계는 무엇인가?
하지만 CISCO의 ‘Cyber security as a Growth Advantage’ 설문조사 보고서에 따르면 기업들은 보안 위협에 대한 대비를 IT 자산 관점으로만 대응책을 마련하는 등 경영진의 위험관리에 대한 추진 노력은 크지 않는 실정이며, 대부분 기업에서는 정보시스템에 대한 취약점 점검, 모의해킹 등 취약점 관리 위주의 부분적인 위험관리를 수행하고 있다[2]. 이렇듯 기존의 위험관리는 인프라와 어플리케이션 등 IT자산에 대한 위험평가와 대책 수립에 초점이 맞추어져, 다양하고 복잡해지는 환경 변화에 대응하는데 한계가 존재하였다. 때문에 IT자산뿐만 아니라 조직의 목표, 계약상의 규정 준수 등 비즈니스와 연계된 전사적 관점의 위험관리가 수행될 필요가 있다[3].
※ AI-Helper는 부적절한 답변을 할 수 있습니다.