정보보안 산업은 지난 수십 년간 매우 다양한 성장을 거듭해왔다. 특히 기술적, 관리적, 제도적 측면에서 다양한 해법을 제시해왔다. 그럼에도 불구하고 매년 보안사고는 지속해서 발생하고 있는데 주목해야 한다. 이는기존의 보안이 지나치게 기술 중심, 예방 중심의 정책으로 추진되고 있어서 디지털 시대의 다양한 비즈니스 변화에 한계가 있음을 증명하고 있다. 따라서 최근에 전통적인 보안 접근 방식의 한계를 벗어나고자 인간중심 보안(PCS:People-Centric Security)이 화두가 되고 있다. 본 연구에서는 정보보안 위반의 개념, PCS 전략적원칙, 전문가 인터뷰를 통해 인간이 유발할 수 있는 취약점을 크게 5가지로 구분하고 21개의 세부 구성요소로 분류함으로써 근본적인 보안 사고 대응 방안을 제시하고자 한다.
정보보안 산업은 지난 수십 년간 매우 다양한 성장을 거듭해왔다. 특히 기술적, 관리적, 제도적 측면에서 다양한 해법을 제시해왔다. 그럼에도 불구하고 매년 보안사고는 지속해서 발생하고 있는데 주목해야 한다. 이는기존의 보안이 지나치게 기술 중심, 예방 중심의 정책으로 추진되고 있어서 디지털 시대의 다양한 비즈니스 변화에 한계가 있음을 증명하고 있다. 따라서 최근에 전통적인 보안 접근 방식의 한계를 벗어나고자 인간중심 보안(PCS:People-Centric Security)이 화두가 되고 있다. 본 연구에서는 정보보안 위반의 개념, PCS 전략적원칙, 전문가 인터뷰를 통해 인간이 유발할 수 있는 취약점을 크게 5가지로 구분하고 21개의 세부 구성요소로 분류함으로써 근본적인 보안 사고 대응 방안을 제시하고자 한다.
The information security industry has seen a wide variety of growth over the past few decades. In particular, various solutions have been proposed in terms of technology, management, and institutional aspects. Nevertheless, it should be notedthat security accidents continue to occur every year. This...
The information security industry has seen a wide variety of growth over the past few decades. In particular, various solutions have been proposed in terms of technology, management, and institutional aspects. Nevertheless, it should be notedthat security accidents continue to occur every year. This proves that there are limitations to various business changes in the digital era as existing security is being promoted with technology-oriented and prevention-oriented policies. Thus, people-centric security (PCS) has recently become a hot topic in order to escape the limitations of traditional securityapproaches. Through the concept of information security violations, PCS strategic principles, and expert interviews, this studyaims to present a fundamental security incident response plan by classifying human-caused vulnerabilities into 5 categories and classifying them into 21 detailed components.
The information security industry has seen a wide variety of growth over the past few decades. In particular, various solutions have been proposed in terms of technology, management, and institutional aspects. Nevertheless, it should be notedthat security accidents continue to occur every year. This proves that there are limitations to various business changes in the digital era as existing security is being promoted with technology-oriented and prevention-oriented policies. Thus, people-centric security (PCS) has recently become a hot topic in order to escape the limitations of traditional securityapproaches. Through the concept of information security violations, PCS strategic principles, and expert interviews, this studyaims to present a fundamental security incident response plan by classifying human-caused vulnerabilities into 5 categories and classifying them into 21 detailed components.
인적 취약점 분류체계를 연구하기 위하여 국내외 보안 정책, 연구자료 및 학위 논문, 학술지 등을 바탕으로 인적 보안에 대한 개념, 쟁점 등을 분석하였다. 자료 분석을 통하여 정리된 다양한 인적 취약점 분류 요소들을 중심으로 8명의 보안 전문가와 심층면접(FGI)을 3차에 걸쳐 진행했으며, 기간은 2021년 8월 30일부터 9월 30일까지 약 한 달간 진행했다.
인적 취약점 분류체계를 연구하기 위하여 국내외 보안 정책, 연구자료 및 학위 논문, 학술지 등을 바탕으로 인적 보안에 대한 개념, 쟁점 등을 분석하였다. 자료 분석을 통하여 정리된 다양한 인적 취약점 분류 요소들을 중심으로 8명의 보안 전문가와 심층면접(FGI)을 3차에 걸쳐 진행했으며, 기간은 2021년 8월 30일부터 9월 30일까지 약 한 달간 진행했다. 진행 도구는 마인드맵(Mind Map), 엑셀.
마인드맵 정리는 10차에 걸쳐 내용이 수정되면서 인적 취약점 유발 요인에 대한 다양한 경우를 설정하고 이에 따른 그룹화 작업을 통해 인적 취약점 분류 체계의 기반이 되는 작업으로 선행되었다. 즉, 해킹 모의 훈련을 통해 사람의 어떤 심리를 이용하여 취약점을 예방하고자 했는지, 보호하고자 하는 자산 유형에는 어떠한 것이 우선 순위가 있는지, 계획적, 의도적인 사고는 어떠한 유형이 있을 수 있는지 심리적인 요인으로는 어떠한 부분들이 작용하는지 등을 정리하여 정보보안 분야의 전문가 인터뷰를 통해 확인하고 구체화하는 작업을 진행했다.
FGI에 의하여 최종적으로 인적 취약점의 5가지 대분류와 21개의 구성요소로 도출되었고, 이에 대한 신뢰성을 검증하기 위해 134명의 IT 및 보안 업계 이해관계자를 대상으로 약 3주간 설문조사를 진행하였다. 설문조사 결과로 인적 취약점 분류체계 대분류와 구성요소 간 기술 통계량 분석 및 신뢰도 분석(Reliability analysis) 결과에 따라 인적 취약점 분류체계 모형을 검증하고, 검증된 인적 취약점 분류체계를 제시하고자 한다.
인적 보안에 관련된 용어와 보안사고 사례, 인적 보안 지침 및 정책, 법·제도 등을 토대로 정보시스템 자원 오용, 정보보안 일탈행동, 보안 의식 부족 행위(게으른 보안 행동), 잠재적인 위반행위(Low Risk), 직접적인 위반행위(High Risk) 등 총 5가지 분류와 이에 따른 세부적인 취약점 체크리스트를 FGI 참석자들에게 제시하였다
FGI의 전문가 그룹은 총 8명이었으며, 총 3차에 거쳐 전문가 그룹의 의견을 수렴하고 그룹화하여 분류체계 모형을 구체화하였다. FGI에 참여한 전문가들의 직무는 금융권 CSO 1명, 일반 IT 소프트웨어개발 업체 CEO 1명, 보안 consultant 2명, SI 보안 PM 그룹 2명, 보안솔루션 엔지니어 2명으로 구성하였다.
인적 보안에 관련된 용어와 보안사고 사례, 인적 보안 지침 및 정책, 법·제도 등을 토대로 정보시스템 자원 오용, 정보보안 일탈행동, 보안 의식 부족 행위(게으른 보안 행동), 잠재적인 위반행위(Low Risk), 직접적인 위반행위(High Risk) 등 총 5가지 분류와 이에 따른 세부적인 취약점 체크리스트를 FGI 참석자들에게 제시하였다. 즉, NIST SP 800-53, ISO/IEC 27001, 인터넷 보안 센터(Center for Internet Security), 국가 인텔리전스 보안 센터(National Counter intelligence and Security Center) 등을 참조하여 접근제어(Access control), 인증(Authentication), 권한 부여(Authorization), 취약점(Vulnerability), 위협(Threat), 인적 보안 검증(Personnel security vetting), 비인가 접근(Unauthorized access), 불법 복제(Unauthorized duplication), 데이터 누출(Data leakage), 인적 보안 교육(Personnel security awareness training) 등의 인적 보안 관련 용어를 정리했다. 더불어 2.
즉, NIST SP 800-53, ISO/IEC 27001, 인터넷 보안 센터(Center for Internet Security), 국가 인텔리전스 보안 센터(National Counter intelligence and Security Center) 등을 참조하여 접근제어(Access control), 인증(Authentication), 권한 부여(Authorization), 취약점(Vulnerability), 위협(Threat), 인적 보안 검증(Personnel security vetting), 비인가 접근(Unauthorized access), 불법 복제(Unauthorized duplication), 데이터 누출(Data leakage), 인적 보안 교육(Personnel security awareness training) 등의 인적 보안 관련 용어를 정리했다. 더불어 2.1에서 언급된 인적 취약점 관련 보안 사고사례와 통계를 참조했고, 정보보호 관리체계(ISMS), 개인정보보호법, 개인정보보호지침, 정보보호산업협회, 정보보호지식서, 정보보호 교육용 교재 등을 참고해서 FGI를 진행하였다.
와 같이 검증 항목을 도출하였다. 즉, 인적 취약점 중심의 보안사고 패러다임 전환 여부와 제시된 인적 취약점 분류체계의 구체적인 실행방안 등을 주제로 토론하였다.
마지막으로 윤리적인 측면에서는 사회 공통적인 시각으로 적용될 수 있는 윤리적인 요인 등이 도출되었다. 따라서 3.1의 참고 자료와 FGI를 통해 권한 위반 및 접근제어 등 4건의 위반행위와 정보시스템 자원 오용, 자기 과시 및 자기만족 등 8건의 정보보안 일탈행동, 그리고 보안 프로그램 업데이트 및 암호 변경 등 17건의 보안 의식 부족 행위(게으른 보안 행동), 마지막으로 업무 부주의 및 보안 관리 등 13건의 잠재적인 위반행위, 악의적 목적의 위반 및 금전적 이익을 목적으로 한 위반 등 24건의 직접적인 위반행위까지 총 5가지 대분류에 66건의 점검 항목을 도출했고 이를 토대로 FGI를 통해 중복되거나 불필요한 부분을 제거해가면서 Review를 진행했다. FGI를 수행하면서 충분한 의견을 수렴했고 자유롭게 토론하면서 전문가들의 지식과 경험, 인사이트(insight)를 기반으로 내용을 정리한 후에 마인드맵을 활용하여 연관된 내용을 그룹화하고 최종 그룹화된 내용에 대해서 재차 FGI를 수행하면서 분류체계 모델을 구현하기 위한 핵심 키워드를 도출하였다.
1의 참고 자료와 FGI를 통해 권한 위반 및 접근제어 등 4건의 위반행위와 정보시스템 자원 오용, 자기 과시 및 자기만족 등 8건의 정보보안 일탈행동, 그리고 보안 프로그램 업데이트 및 암호 변경 등 17건의 보안 의식 부족 행위(게으른 보안 행동), 마지막으로 업무 부주의 및 보안 관리 등 13건의 잠재적인 위반행위, 악의적 목적의 위반 및 금전적 이익을 목적으로 한 위반 등 24건의 직접적인 위반행위까지 총 5가지 대분류에 66건의 점검 항목을 도출했고 이를 토대로 FGI를 통해 중복되거나 불필요한 부분을 제거해가면서 Review를 진행했다. FGI를 수행하면서 충분한 의견을 수렴했고 자유롭게 토론하면서 전문가들의 지식과 경험, 인사이트(insight)를 기반으로 내용을 정리한 후에 마인드맵을 활용하여 연관된 내용을 그룹화하고 최종 그룹화된 내용에 대해서 재차 FGI를 수행하면서 분류체계 모델을 구현하기 위한 핵심 키워드를 도출하였다.
FGI는 3차까지 진행하였으며, 3차 FGI는 인적 취약점 분류체계를 구성하기 위한 최종인터뷰로 진행하였다. 마인드맵을 활용하여 그동안 도출되었던 인적 취약점 구성요소를 정리하고, 항목별 정의를 진행하였다.
FGI는 3차까지 진행하였으며, 3차 FGI는 인적 취약점 분류체계를 구성하기 위한 최종인터뷰로 진행하였다. 마인드맵을 활용하여 그동안 도출되었던 인적 취약점 구성요소를 정리하고, 항목별 정의를 진행하였다. 2차 FGI에서 도출한 핵심 키워드로 7개의 대분류와 30여 개의 구성요소 중 의미를 부여하기 어려운 항목을 제외한 5개의 대분류와 21개 항목의 구성요소로 압축하여 최종적으로 선정하였다.
두 번째, 개인의 우발적인 상황에서 벗어나 다른 사람과의 관계로부터 유발될 수 있는 인적 취약점인 관계성(relationship) 영역에서는 인맥, 연결성, 갈등, 청탁을 구성요소로 도출하였으며, 세 번째, 조직, 사회 전반적인 측면에서 유발될수 있는 인적 취약점 유발 요인을 잠재성(potentiality)이라 정의하고 업무환경, 조직성, 규칙성, 사회성을 핵심 구성요소로 도출하였다. 네 번째, 인적 취약점을 유발하는 심리학적인 접근을 심리학적(psychological) 영역으로 정의하고 심리학의 5대 관점인 생물적, 인지적, 행동적, 정신분석적, 인본주의적 관점을 핵심 구성요소로 도출하였다. 즉, 인간의 심리학적인 측면에서 유발될 수 있는 요소에 초점을 맞추었다.
이처럼 전문가 그룹의 의견을 정리하여 도출된 5개의 인적 취약점 분류체계는 우발성, 관계성, 잠재성, 심리학적, 윤리성으로 분류하여 Table 5.과 같이 정의하였고, 각각의 인적 취약점 분류체계와 이에 따른 항목별 구성요소는 Table 6.과 같이 정의하여 인적 취약점 분류체계를 제시하였다.
설문지 문항은 FGI에 따른 의견들과 자료를 기반으로 한 연구자 의견을 정리해서 인적 취약점 분류체계 및 세부 구성요소를 검증할 수 있도록 진행하였다. 즉 인적 취약점 5개 대분류에 따른 세부 구성요소를 질문 문항으로 작성하였으며, 측정용 도구의 척도는 5점 척도 (매우 적합하지 않다, 적합하지 않다, 보통이다, 적합하다, 매우 적합하다)로 구성하였다.
설문지 문항은 FGI에 따른 의견들과 자료를 기반으로 한 연구자 의견을 정리해서 인적 취약점 분류체계 및 세부 구성요소를 검증할 수 있도록 진행하였다. 즉 인적 취약점 5개 대분류에 따른 세부 구성요소를 질문 문항으로 작성하였으며, 측정용 도구의 척도는 5점 척도 (매우 적합하지 않다, 적합하지 않다, 보통이다, 적합하다, 매우 적합하다)로 구성하였다. 설문지 설계는 인적 취약점 분류체계에 포함된 구성요소 간의 관계가 성립되는지 검증할 수 있도록 설계되었다.
즉 인적 취약점 5개 대분류에 따른 세부 구성요소를 질문 문항으로 작성하였으며, 측정용 도구의 척도는 5점 척도 (매우 적합하지 않다, 적합하지 않다, 보통이다, 적합하다, 매우 적합하다)로 구성하였다. 설문지 설계는 인적 취약점 분류체계에 포함된 구성요소 간의 관계가 성립되는지 검증할 수 있도록 설계되었다. 즉 대분류별 구성요소를 변수로 하여 구성요소별 기술 통계량과 신뢰도를 분석할 수 있도록 진행하였다.
874보다 낮게 나타났기 때문에 항목을 제거하면 신뢰수준이 낮아지므로 인적 취약점에 대한 5가지 각 항목은 신뢰수준을 저해하는 항목이 없다고 볼 수 있다. 따라서 선행 연구가 없었던 분류체계 모형이고 보안사고 예방을 위한 인적 취약점 분류에 대해 매우 중요한 특성을 표현하고 있어서 제시된 바와 같이 신뢰성 측정 결과를 통해 검증을 진행했다.
대상 데이터
FGI에 의하여 최종적으로 인적 취약점의 5가지 대분류와 21개의 구성요소로 도출되었고, 이에 대한 신뢰성을 검증하기 위해 134명의 IT 및 보안 업계 이해관계자를 대상으로 약 3주간 설문조사를 진행하였다. 설문조사 결과로 인적 취약점 분류체계 대분류와 구성요소 간 기술 통계량 분석 및 신뢰도 분석(Reliability analysis) 결과에 따라 인적 취약점 분류체계 모형을 검증하고, 검증된 인적 취약점 분류체계를 제시하고자 한다.
즉 대분류별 구성요소를 변수로 하여 구성요소별 기술 통계량과 신뢰도를 분석할 수 있도록 진행하였다. 설문조사 대상은 정보보안 관련 분야에서 보안 Consultant 및 SI PMGroup 그리고, 보안분야에 종사하는 전문가(보안업무 담당자, 보안솔루션 개발책임자, 개발자, 일반 업무관리자와 실무자,영업담당자 등)와 일반적인 조직 내 보안과 관련된 업무를 경험해볼 수 있는 이용자를선정하여 설문하였다.
본 연구에 참여한 응답자는 총 134명이며, 남성 101명, 75.4%이며, 여성 33명, 24.6%가 설문에 응답하였다. 전체 참여자의 인구통계학적 특성은 Table 7.
이론/모형
1차 인터뷰는 브레인스토밍 방식으로 약 2시간 정도 진행했으며, 브레인스토밍 후 결과에 대한 정리는 마인드맵 도구를 사용하여 정리하였다. 1차 진행 과정에서는 인적 보안에 관한 관심과 중요성에 초점을 맞추고, Table 2.
성능/효과
특히, 2019년 국가 인적자원개발 총괄센터 조사 결과에 따르면 인적 취약점이 발생한 기관 수는 1,382개, 발생 건수는 8,508건, 유형으로는 내부정보 유출 및 외부 침해 사고 사회공학적 공격 등으로 집계됐으며 2020년 한국인터넷진흥원(KISA) 보고서에서도 인적 취약점이 발생한 기관 수는 무려 1,170개, 발생 건수 7,734건으로 그 원인 역시 내부정보 유출 및 외부 침해 사고 그리고 사회공학적 공격 등으로 나타났다. 더불어 2021년 제1차 정보보호 컨설팅 서비스 직무능력 평가 결과 정보보호 관련 직무능력 평가를 받은 1,296명 중 인적 취약점 방어 능력이 부족한 비율이 38.3%, 인적 취약점 방어 능력이 가장 부족한 분야로 사회공학적 공격 방어로 나타났다. 이같이 인적 취약점이 매년 증가하는 추세를 보이고 있으며 이에 대한 대응과 보완이 필요한 상황이다.
특히, 현재 사이버상의 SNS나 채팅 등 다양한 형태의 인적 네트워킹이 복잡하게 얽혀 있는 점도 사람과의 관계에서 매우 중요한 인적 취약점 유발 요인으로 식별할 수 있었다. 잠재적 측면에서의 인적 취약점 유발 요인은 개인, 사람과의 관계보다 더 큰 범위의 조직, 사회 전반의 관계를 의미하는 것으로 업무환경이나 문화, 조직의 특성 그리고, 그 조직의 보안 통제 수준 등이 인적 취약점 유발 요인이 될 수 있는 것으로 나타났다. 그리고 심리학적인 영역에서는 일반적으로 사람이 가질 수 있는 근본적인 인적 취약성 요인을 정의하고 왜 사람이 보안 사고를 유발할 수밖에 없었는지에 대한 생물학적, 정신분석적 관점에서의 근본적인 문제들을 도출하고자 노력했다.
따라서 결론적으로 최종 도출된 인적 취약점 분류체계의 구성요소는 대분류 기준 첫 번째 우발적인 상황에서 유발되는 인적 취약점인 우발성(Accidentality) 영역으로 이에 따른 세부 구성요소로 개인성, 활동성, 위험성, 보안성을 핵심 구성요소로 도출하였다. 두 번째, 개인의 우발적인 상황에서 벗어나 다른 사람과의 관계로부터 유발될 수 있는 인적 취약점인 관계성(relationship) 영역에서는 인맥, 연결성, 갈등, 청탁을 구성요소로 도출하였으며, 세 번째, 조직, 사회 전반적인 측면에서 유발될수 있는 인적 취약점 유발 요인을 잠재성(potentiality)이라 정의하고 업무환경, 조직성, 규칙성, 사회성을 핵심 구성요소로 도출하였다.
따라서 결론적으로 최종 도출된 인적 취약점 분류체계의 구성요소는 대분류 기준 첫 번째 우발적인 상황에서 유발되는 인적 취약점인 우발성(Accidentality) 영역으로 이에 따른 세부 구성요소로 개인성, 활동성, 위험성, 보안성을 핵심 구성요소로 도출하였다. 두 번째, 개인의 우발적인 상황에서 벗어나 다른 사람과의 관계로부터 유발될 수 있는 인적 취약점인 관계성(relationship) 영역에서는 인맥, 연결성, 갈등, 청탁을 구성요소로 도출하였으며, 세 번째, 조직, 사회 전반적인 측면에서 유발될수 있는 인적 취약점 유발 요인을 잠재성(potentiality)이라 정의하고 업무환경, 조직성, 규칙성, 사회성을 핵심 구성요소로 도출하였다. 네 번째, 인적 취약점을 유발하는 심리학적인 접근을 심리학적(psychological) 영역으로 정의하고 심리학의 5대 관점인 생물적, 인지적, 행동적, 정신분석적, 인본주의적 관점을 핵심 구성요소로 도출하였다.
결론적으로 평균값(Mean, 이하 'M')이 3.0 이상이므로 인적 취약점 분류에 대한 세부 구성요소가 모두 인정되는 것으로 확인되었다.
즉, 5가지 인적 취약점과 이에 대한 세부 구성요소의 분석 결과가 본 연구에서 유 의미하게 해석되는 이유는 사람의 철저히 개인적인 관점에서 발생할 수 있는 우발적인 인적 취약점에서 출발해서 다른 사람과의 복잡한 관계에 따른 인적 취약점인 관계성 그리고 조직 및 사회 전반적인 관계에서 발생할 수 있는 인적 취약점으로 점진적인 대상의 확장에 따라 분류하고 심리학적인 측면에서의 인적 취약점 유발 가능성과 윤리적인 측면을 포함함으로써 인간이 취약점을 유발할 수 있는 분류의 범주를 크게 5가지가 적합한지의 분석 결과로 볼 수 있다.
연구 결과에서 검증된 바와 같이 5개의 인적 취약점 대분류가 명확하게 완성되었으며, 영역별 구성요소 간 신뢰도 검증은 유의미한 것으로 나타났다. 따라서 본 연구에서 제시하는 인적 취약점 분류체계 및 구성요소를 Fig.
과 같이 정리할 수 있다. 즉, 인간 중심 보안의 취지에 따라 인적 취약점 분류체계를 개인의 특성에서, 다른 사람과의 관계, 조직 및 사회전반의 관계, 일반적인 사람과의 관계 그리고 마지막으로 사회 공통적인 기준의 흐름으로 개인에서 점진적으로 복잡성을 띠는 사회적 관점에서 분류 기준을 수립했다. 이에 따라 대분류로 우발성, 관계성, 잠재성, 심리학적, 윤리성의 다섯까지 큰 틀에서 21개의 세부 구성요소를 구성했다.
2차 인터뷰에서는 1차 인터뷰의 내용을 토대로 작성된 인적 취약점 분류체계 초안에 대해서 반복해서 Review 하였다. 즉, 도출된 주요 내용은 먼저 우발적인 상황에서 발생할 수 있는 개인의 특성에 초점을 맞추어 개인의 성향, 활동성, 위험성, 보안 수준 등을 인적 취약점 요소로 도출하였으며, 개인의 특성을 벗어나 사람의 관계에서 비롯되는 측면에서는 인맥, 갈등, 청탁 등이 중요한 인적 취약점 요소로 도출되었다. 특히, 현재 사이버상의 SNS나 채팅 등 다양한 형태의 인적 네트워킹이 복잡하게 얽혀 있는 점도 사람과의 관계에서 매우 중요한 인적 취약점 유발 요인으로 식별할 수 있었다.
후속연구
본 연구에서는 이러한 취지에서 사람이 유발할 수 있는 근본적인 취약점을 심도 있게 분류해보고 이를 통해서 인간중심 보안을 위한 인적 보안의 새로운 패러다임을 제시함으로써 사이버 위협에 대한 기존 방어 체계와 더불어 충분한 시너지(Synergy)가 될 수 있을 것으로 기대한다.
인적 기반의 취약점은 우발성, 관계성, 잠재성, 심리학적 영역이 모두 포함될 수 있으며 기술적인 취약점에 대한 사람들의 활동은 잠재적인 영역으로 볼 수 있다. 따라서 본 연구에서 제시하고 인적 취약점 분류체계를 바탕으로 구체적인 측정지표와 점검 항목을 도출함으로써 기술적 및 정책적 보안과 함께 고려하면 좀 더 효율적인 보안대책을 마련하고 실효성 있는 보안 교육으로 연계될 수 있을 것으로 기대된다.
빠르게 변화하는 정보통신 환경에 적응하고 유연하게 대응하기 위해서 보안의 중요성을 빼놓을 수 없다. 앞서 살펴본 바와 같이 그 동안 정보보안이 기술적, 정책적, 관리적 측면에 집중됐다면 이제는 인간중심 보안의 패러다임에 따라 사람에 초점이 맞춰져야 하고 인적 취약점에는 어떠한 특성들이 있는지 분석해야 한다.
무엇보다도 본 연구에서 제시하는 인적 취약점 분류체계는 철저하게 사람 관점에서의 취약점을 유발할 수 있는 상황을 분류함으로써 기술적, 정책적 보안에 편중되었던 보안의 패러다임을 전환하고 새로운 관점에서 새로운 기술변화에 적응할 수 있는 보안대책을 제시할 수 있을 것으로 기대하고 이를 토대로 향후 인적 보안 연구에 활발한 기폭제가 될 것으로 확신한다.
참고문헌 (19)
Hyeon-Dae Rha and Hyun-soo Chung, "A Theoretical Comparative Study of?Human Resource Security Based on Korean and Int'l Information Security Management Systems," Convergence Society for SMB, 6(3), pp. 14-15, Sep.2016
inistry of Science ICT and Future Planning, "K-ICT Security SAPAR", M, pp. 9-10, Apr. 2015
Economic Review, "Cyber War", https://www.econovill.com/news/articleView.html?idxno289519, 25 May 2016
Cha, In hwa, "An Empirical Research on Developing Personnel Security Management Indicators in Information Security", doctor thesis , Kwangwoon University, pp. 19-20, 40-68, Aug. 2009
T.K. Lee, "Prevention of Industrial?Information Leakage & Methods for Managing Personnel Security", Master Thesis, Sungkyunkwan University, pp.13, Jun. 2011
Jinhyeong Cho, Yongki Chung, Hyeonho Park,"A Study on the Improvement of?Physical and Personnel Security System in Industry Field", Korean Police Studies, 17(2), pp. 7-10, Jun. 2018
Jungduk Kim, "People Centric Security for Digital Financial Innovation and Stability", e-Finance and Financial?Security, Financial Security Institute,25, pp. 8-9 ,3Q. 2021
D.H. Yoo, "Research on People-Centered Security Policy to Strengthen Research?Security", doctor thesis, Myongji?University, pp. 27-29 , Aug. 2021
Shin Min-ju, Baek Dong-hyun, Kim?Dong-san, and Yoon Wan-cheol,?"Development of a framework for?supporting system for human error?analysis", "the Korea Management?Information Society conference",?pp.617-622, 2007
Jeong Hye-in and Kim?Seong-jun,"Influence on Information?Security Behavior of Members of?Organizations: Based on Integration of?Theory of Planned Behavior (TPB) and?Theory of Protection Motivation (TPM)",?"security studies", 56, pp.151-152, 2018
J.H. Lee, H.Y. Kown, "A Study on Human?Vulnerability Factors of Companies :?Through Spam Mail Simulation Training?Experiments", Journal of The Korea?Institute of Information Security &?Cryptology, 29(4), pp. 3-4, Aug. 2019
C.H. Lee, M.S. Shin,"A Study on the?Influence of Security Perception in the?Relationship between Internal and?External Motivation and Security?Behavior in the Organization", Korea?Management Information Society?Conference, pp.437-442, 2010
M.H. Lee, J.H Lee, "Effects of?administrative security activities and expertise of security personnel on technology leakage prevention", Korean Security Administration Review, 12(2),pp. 165-182, 2015
Theguardian, "Facebook-Cambridge Analytica" https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election, Sat 17 Mar 2018
boannews, "Equifax data breach", https://www.boannews.com/media/view.asp?idx85845, 17 January 2020
boannews, "Personal information leakage",https://www.boannews.com/media/view.asp?idx88340, 25 May 2020
boannews, "human-centric", https://www.boannews.com/media/view.asp?idx117091, 13 April 2023
YouTube, "people-centric security". https://www.youtube.com/watch?vzGDN-WKGcDI, 18 March 2022
※ AI-Helper는 부적절한 답변을 할 수 있습니다.