$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

인간중심보안을 위한 인적취약점 분류체계에 관한 연구
A Study on the Human Vulnerability Classification System for People-Centric Security 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.33 no.3, 2023년, pp.561 - 575  

박정준 (성균관대학교) ,  안성진 (성균관대학교)

초록
AI-Helper 아이콘AI-Helper

정보보안 산업은 지난 수십 년간 매우 다양한 성장을 거듭해왔다. 특히 기술적, 관리적, 제도적 측면에서 다양한 해법을 제시해왔다. 그럼에도 불구하고 매년 보안사고는 지속해서 발생하고 있는데 주목해야 한다. 이는기존의 보안이 지나치게 기술 중심, 예방 중심의 정책으로 추진되고 있어서 디지털 시대의 다양한 비즈니스 변화에 한계가 있음을 증명하고 있다. 따라서 최근에 전통적인 보안 접근 방식의 한계를 벗어나고자 인간중심 보안(PCS:People-Centric Security)이 화두가 되고 있다. 본 연구에서는 정보보안 위반의 개념, PCS 전략적원칙, 전문가 인터뷰를 통해 인간이 유발할 수 있는 취약점을 크게 5가지로 구분하고 21개의 세부 구성요소로 분류함으로써 근본적인 보안 사고 대응 방안을 제시하고자 한다.

Abstract AI-Helper 아이콘AI-Helper

The information security industry has seen a wide variety of growth over the past few decades. In particular, various solutions have been proposed in terms of technology, management, and institutional aspects. Nevertheless, it should be notedthat security accidents continue to occur every year. This...

주제어

#PCS   #Human Vulnerability Classification   #Human Vulnerability Components   #Security  

표/그림 (11)

AI 본문요약
AI-Helper 아이콘 AI-Helper

제안 방법

  • FGI는 3차까지 진행하였으며, 3차 FGI는 인적 취약점 분류체계를 구성하기 위한 최종인터뷰로 진행하였다. 마인드맵을 활용하여 그동안 도출되었던 인적 취약점 구성요소를 정리하고, 항목별 정의를 진행하였다.
  • 1의 참고 자료와 FGI를 통해 권한 위반 및 접근제어 등 4건의 위반행위와 정보시스템 자원 오용, 자기 과시 및 자기만족 등 8건의 정보보안 일탈행동, 그리고 보안 프로그램 업데이트 및 암호 변경 등 17건의 보안 의식 부족 행위(게으른 보안 행동), 마지막으로 업무 부주의 및 보안 관리 등 13건의 잠재적인 위반행위, 악의적 목적의 위반 및 금전적 이익을 목적으로 한 위반 등 24건의 직접적인 위반행위까지 총 5가지 대분류에 66건의 점검 항목을 도출했고 이를 토대로 FGI를 통해 중복되거나 불필요한 부분을 제거해가면서 Review를 진행했다. FGI를 수행하면서 충분한 의견을 수렴했고 자유롭게 토론하면서 전문가들의 지식과 경험, 인사이트(insight)를 기반으로 내용을 정리한 후에 마인드맵을 활용하여 연관된 내용을 그룹화하고 최종 그룹화된 내용에 대해서 재차 FGI를 수행하면서 분류체계 모델을 구현하기 위한 핵심 키워드를 도출하였다.
  • FGI의 전문가 그룹은 총 8명이었으며, 총 3차에 거쳐 전문가 그룹의 의견을 수렴하고 그룹화하여 분류체계 모형을 구체화하였다. FGI에 참여한 전문가들의 직무는 금융권 CSO 1명, 일반 IT 소프트웨어개발 업체 CEO 1명, 보안 consultant 2명, SI 보안 PM 그룹 2명, 보안솔루션 엔지니어 2명으로 구성하였다.
  • 두 번째, 개인의 우발적인 상황에서 벗어나 다른 사람과의 관계로부터 유발될 수 있는 인적 취약점인 관계성(relationship) 영역에서는 인맥, 연결성, 갈등, 청탁을 구성요소로 도출하였으며, 세 번째, 조직, 사회 전반적인 측면에서 유발될수 있는 인적 취약점 유발 요인을 잠재성(potentiality)이라 정의하고 업무환경, 조직성, 규칙성, 사회성을 핵심 구성요소로 도출하였다. 네 번째, 인적 취약점을 유발하는 심리학적인 접근을 심리학적(psychological) 영역으로 정의하고 심리학의 5대 관점인 생물적, 인지적, 행동적, 정신분석적, 인본주의적 관점을 핵심 구성요소로 도출하였다. 즉, 인간의 심리학적인 측면에서 유발될 수 있는 요소에 초점을 맞추었다.
  • 즉, NIST SP 800-53, ISO/IEC 27001, 인터넷 보안 센터(Center for Internet Security), 국가 인텔리전스 보안 센터(National Counter intelligence and Security Center) 등을 참조하여 접근제어(Access control), 인증(Authentication), 권한 부여(Authorization), 취약점(Vulnerability), 위협(Threat), 인적 보안 검증(Personnel security vetting), 비인가 접근(Unauthorized access), 불법 복제(Unauthorized duplication), 데이터 누출(Data leakage), 인적 보안 교육(Personnel security awareness training) 등의 인적 보안 관련 용어를 정리했다. 더불어 2.1에서 언급된 인적 취약점 관련 보안 사고사례와 통계를 참조했고, 정보보호 관리체계(ISMS), 개인정보보호법, 개인정보보호지침, 정보보호산업협회, 정보보호지식서, 정보보호 교육용 교재 등을 참고해서 FGI를 진행하였다.
  • 마지막으로 윤리적인 측면에서는 사회 공통적인 시각으로 적용될 수 있는 윤리적인 요인 등이 도출되었다. 따라서 3.1의 참고 자료와 FGI를 통해 권한 위반 및 접근제어 등 4건의 위반행위와 정보시스템 자원 오용, 자기 과시 및 자기만족 등 8건의 정보보안 일탈행동, 그리고 보안 프로그램 업데이트 및 암호 변경 등 17건의 보안 의식 부족 행위(게으른 보안 행동), 마지막으로 업무 부주의 및 보안 관리 등 13건의 잠재적인 위반행위, 악의적 목적의 위반 및 금전적 이익을 목적으로 한 위반 등 24건의 직접적인 위반행위까지 총 5가지 대분류에 66건의 점검 항목을 도출했고 이를 토대로 FGI를 통해 중복되거나 불필요한 부분을 제거해가면서 Review를 진행했다. FGI를 수행하면서 충분한 의견을 수렴했고 자유롭게 토론하면서 전문가들의 지식과 경험, 인사이트(insight)를 기반으로 내용을 정리한 후에 마인드맵을 활용하여 연관된 내용을 그룹화하고 최종 그룹화된 내용에 대해서 재차 FGI를 수행하면서 분류체계 모델을 구현하기 위한 핵심 키워드를 도출하였다.
  • 874보다 낮게 나타났기 때문에 항목을 제거하면 신뢰수준이 낮아지므로 인적 취약점에 대한 5가지 각 항목은 신뢰수준을 저해하는 항목이 없다고 볼 수 있다. 따라서 선행 연구가 없었던 분류체계 모형이고 보안사고 예방을 위한 인적 취약점 분류에 대해 매우 중요한 특성을 표현하고 있어서 제시된 바와 같이 신뢰성 측정 결과를 통해 검증을 진행했다.
  • FGI는 3차까지 진행하였으며, 3차 FGI는 인적 취약점 분류체계를 구성하기 위한 최종인터뷰로 진행하였다. 마인드맵을 활용하여 그동안 도출되었던 인적 취약점 구성요소를 정리하고, 항목별 정의를 진행하였다. 2차 FGI에서 도출한 핵심 키워드로 7개의 대분류와 30여 개의 구성요소 중 의미를 부여하기 어려운 항목을 제외한 5개의 대분류와 21개 항목의 구성요소로 압축하여 최종적으로 선정하였다.
  • FGI에 의하여 최종적으로 인적 취약점의 5가지 대분류와 21개의 구성요소로 도출되었고, 이에 대한 신뢰성을 검증하기 위해 134명의 IT 및 보안 업계 이해관계자를 대상으로 약 3주간 설문조사를 진행하였다. 설문조사 결과로 인적 취약점 분류체계 대분류와 구성요소 간 기술 통계량 분석 및 신뢰도 분석(Reliability analysis) 결과에 따라 인적 취약점 분류체계 모형을 검증하고, 검증된 인적 취약점 분류체계를 제시하고자 한다.
  • 설문지 문항은 FGI에 따른 의견들과 자료를 기반으로 한 연구자 의견을 정리해서 인적 취약점 분류체계 및 세부 구성요소를 검증할 수 있도록 진행하였다. 즉 인적 취약점 5개 대분류에 따른 세부 구성요소를 질문 문항으로 작성하였으며, 측정용 도구의 척도는 5점 척도 (매우 적합하지 않다, 적합하지 않다, 보통이다, 적합하다, 매우 적합하다)로 구성하였다.
  • 즉 인적 취약점 5개 대분류에 따른 세부 구성요소를 질문 문항으로 작성하였으며, 측정용 도구의 척도는 5점 척도 (매우 적합하지 않다, 적합하지 않다, 보통이다, 적합하다, 매우 적합하다)로 구성하였다. 설문지 설계는 인적 취약점 분류체계에 포함된 구성요소 간의 관계가 성립되는지 검증할 수 있도록 설계되었다. 즉 대분류별 구성요소를 변수로 하여 구성요소별 기술 통계량과 신뢰도를 분석할 수 있도록 진행하였다.
  • 이처럼 전문가 그룹의 의견을 정리하여 도출된 5개의 인적 취약점 분류체계는 우발성, 관계성, 잠재성, 심리학적, 윤리성으로 분류하여 Table 5.과 같이 정의하였고, 각각의 인적 취약점 분류체계와 이에 따른 항목별 구성요소는 Table 6.과 같이 정의하여 인적 취약점 분류체계를 제시하였다.
  • 인적 보안에 관련된 용어와 보안사고 사례, 인적 보안 지침 및 정책, 법·제도 등을 토대로 정보시스템 자원 오용, 정보보안 일탈행동, 보안 의식 부족 행위(게으른 보안 행동), 잠재적인 위반행위(Low Risk), 직접적인 위반행위(High Risk) 등 총 5가지 분류와 이에 따른 세부적인 취약점 체크리스트를 FGI 참석자들에게 제시하였다
  • 인적 취약점 분류체계를 연구하기 위하여 국내외 보안 정책, 연구자료 및 학위 논문, 학술지 등을 바탕으로 인적 보안에 대한 개념, 쟁점 등을 분석하였다. 자료 분석을 통하여 정리된 다양한 인적 취약점 분류 요소들을 중심으로 8명의 보안 전문가와 심층면접(FGI)을 3차에 걸쳐 진행했으며, 기간은 2021년 8월 30일부터 9월 30일까지 약 한 달간 진행했다.
  • 인적 취약점 분류체계를 연구하기 위하여 국내외 보안 정책, 연구자료 및 학위 논문, 학술지 등을 바탕으로 인적 보안에 대한 개념, 쟁점 등을 분석하였다. 자료 분석을 통하여 정리된 다양한 인적 취약점 분류 요소들을 중심으로 8명의 보안 전문가와 심층면접(FGI)을 3차에 걸쳐 진행했으며, 기간은 2021년 8월 30일부터 9월 30일까지 약 한 달간 진행했다. 진행 도구는 마인드맵(Mind Map), 엑셀.
  • 설문지 문항은 FGI에 따른 의견들과 자료를 기반으로 한 연구자 의견을 정리해서 인적 취약점 분류체계 및 세부 구성요소를 검증할 수 있도록 진행하였다. 즉 인적 취약점 5개 대분류에 따른 세부 구성요소를 질문 문항으로 작성하였으며, 측정용 도구의 척도는 5점 척도 (매우 적합하지 않다, 적합하지 않다, 보통이다, 적합하다, 매우 적합하다)로 구성하였다. 설문지 설계는 인적 취약점 분류체계에 포함된 구성요소 간의 관계가 성립되는지 검증할 수 있도록 설계되었다.
  • 인적 보안에 관련된 용어와 보안사고 사례, 인적 보안 지침 및 정책, 법·제도 등을 토대로 정보시스템 자원 오용, 정보보안 일탈행동, 보안 의식 부족 행위(게으른 보안 행동), 잠재적인 위반행위(Low Risk), 직접적인 위반행위(High Risk) 등 총 5가지 분류와 이에 따른 세부적인 취약점 체크리스트를 FGI 참석자들에게 제시하였다. 즉, NIST SP 800-53, ISO/IEC 27001, 인터넷 보안 센터(Center for Internet Security), 국가 인텔리전스 보안 센터(National Counter intelligence and Security Center) 등을 참조하여 접근제어(Access control), 인증(Authentication), 권한 부여(Authorization), 취약점(Vulnerability), 위협(Threat), 인적 보안 검증(Personnel security vetting), 비인가 접근(Unauthorized access), 불법 복제(Unauthorized duplication), 데이터 누출(Data leakage), 인적 보안 교육(Personnel security awareness training) 등의 인적 보안 관련 용어를 정리했다. 더불어 2.
  • 와 같이 검증 항목을 도출하였다. 즉, 인적 취약점 중심의 보안사고 패러다임 전환 여부와 제시된 인적 취약점 분류체계의 구체적인 실행방안 등을 주제로 토론하였다.
  • 마인드맵 정리는 10차에 걸쳐 내용이 수정되면서 인적 취약점 유발 요인에 대한 다양한 경우를 설정하고 이에 따른 그룹화 작업을 통해 인적 취약점 분류 체계의 기반이 되는 작업으로 선행되었다. 즉, 해킹 모의 훈련을 통해 사람의 어떤 심리를 이용하여 취약점을 예방하고자 했는지, 보호하고자 하는 자산 유형에는 어떠한 것이 우선 순위가 있는지, 계획적, 의도적인 사고는 어떠한 유형이 있을 수 있는지 심리적인 요인으로는 어떠한 부분들이 작용하는지 등을 정리하여 정보보안 분야의 전문가 인터뷰를 통해 확인하고 구체화하는 작업을 진행했다.

대상 데이터

  • FGI에 의하여 최종적으로 인적 취약점의 5가지 대분류와 21개의 구성요소로 도출되었고, 이에 대한 신뢰성을 검증하기 위해 134명의 IT 및 보안 업계 이해관계자를 대상으로 약 3주간 설문조사를 진행하였다. 설문조사 결과로 인적 취약점 분류체계 대분류와 구성요소 간 기술 통계량 분석 및 신뢰도 분석(Reliability analysis) 결과에 따라 인적 취약점 분류체계 모형을 검증하고, 검증된 인적 취약점 분류체계를 제시하고자 한다.
  • 본 연구에 참여한 응답자는 총 134명이며, 남성 101명, 75.4%이며, 여성 33명, 24.6%가 설문에 응답하였다. 전체 참여자의 인구통계학적 특성은 Table 7.
  • 즉 대분류별 구성요소를 변수로 하여 구성요소별 기술 통계량과 신뢰도를 분석할 수 있도록 진행하였다. 설문조사 대상은 정보보안 관련 분야에서 보안 Consultant 및 SI PMGroup 그리고, 보안분야에 종사하는 전문가(보안업무 담당자, 보안솔루션 개발책임자, 개발자, 일반 업무관리자와 실무자,영업담당자 등)와 일반적인 조직 내 보안과 관련된 업무를 경험해볼 수 있는 이용자를선정하여 설문하였다.

이론/모형

  • 1차 인터뷰는 브레인스토밍 방식으로 약 2시간 정도 진행했으며, 브레인스토밍 후 결과에 대한 정리는 마인드맵 도구를 사용하여 정리하였다. 1차 진행 과정에서는 인적 보안에 관한 관심과 중요성에 초점을 맞추고, Table 2.
본문요약 정보가 도움이 되었나요?

참고문헌 (19)

  1. Hyeon-Dae Rha and Hyun-soo Chung, "A Theoretical Comparative Study of?Human Resource Security Based on Korean and Int'l Information Security Management Systems," Convergence Society for SMB, 6(3), pp. 14-15, Sep.2016 

  2. inistry of Science ICT and Future Planning, "K-ICT Security SAPAR", M, pp. 9-10, Apr. 2015 

  3. Economic Review, "Cyber War", https://www.econovill.com/news/articleView.html?idxno289519, 25 May 2016 

  4. Etnews, "Cyber incidents", https://www.etnews.com/20220418000218, 18 Apr. 2022 

  5. Cha, In hwa, "An Empirical Research on Developing Personnel Security Management Indicators in Information Security", doctor thesis , Kwangwoon University, pp. 19-20, 40-68, Aug. 2009 

  6. T.K. Lee, "Prevention of Industrial?Information Leakage & Methods for Managing Personnel Security", Master Thesis, Sungkyunkwan University, pp.13, Jun. 2011 

  7. Jinhyeong Cho, Yongki Chung, Hyeonho Park,"A Study on the Improvement of?Physical and Personnel Security System in Industry Field", Korean Police Studies, 17(2), pp. 7-10, Jun. 2018 

  8. Jungduk Kim, "People Centric Security for Digital Financial Innovation and Stability", e-Finance and Financial?Security, Financial Security Institute,25, pp. 8-9 ,3Q. 2021 

  9. D.H. Yoo, "Research on People-Centered Security Policy to Strengthen Research?Security", doctor thesis, Myongji?University, pp. 27-29 , Aug. 2021 

  10. Shin Min-ju, Baek Dong-hyun, Kim?Dong-san, and Yoon Wan-cheol,?"Development of a framework for?supporting system for human error?analysis", "the Korea Management?Information Society conference",?pp.617-622, 2007 

  11. Jeong Hye-in and Kim?Seong-jun,"Influence on Information?Security Behavior of Members of?Organizations: Based on Integration of?Theory of Planned Behavior (TPB) and?Theory of Protection Motivation (TPM)",?"security studies", 56, pp.151-152, 2018 

  12. J.H. Lee, H.Y. Kown, "A Study on Human?Vulnerability Factors of Companies :?Through Spam Mail Simulation Training?Experiments", Journal of The Korea?Institute of Information Security &?Cryptology, 29(4), pp. 3-4, Aug. 2019 

  13. C.H. Lee, M.S. Shin,"A Study on the?Influence of Security Perception in the?Relationship between Internal and?External Motivation and Security?Behavior in the Organization", Korea?Management Information Society?Conference, pp.437-442, 2010 

  14. M.H. Lee, J.H Lee, "Effects of?administrative security activities and expertise of security personnel on technology leakage prevention", Korean Security Administration Review, 12(2),pp. 165-182, 2015 

  15. Theguardian, "Facebook-Cambridge Analytica" https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election, Sat 17 Mar 2018 

  16. boannews, "Equifax data breach", https://www.boannews.com/media/view.asp?idx85845, 17 January 2020 

  17. boannews, "Personal information leakage",https://www.boannews.com/media/view.asp?idx88340, 25 May 2020 

  18. boannews, "human-centric", https://www.boannews.com/media/view.asp?idx117091, 13 April 2023 

  19. YouTube, "people-centric security". https://www.youtube.com/watch?vzGDN-WKGcDI, 18 March 2022 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로