초록 ▼

1. 연구배경 및 필요성
□ 연구의 배경
○ 현대는 지식정보사회로서 고도로 발전한 기술을 기반으로 급격한 변화와 발전을 거듭
- 정보화는 긍정적인 결과와 함께 부정적인 결과도 초래
- 부정적인 결과 중에서 중요한 문제 중 하나는 정보보안
○ 세계 각국은 정보보안의 중요성을 일찍부터 인식하고 관련 법률, 조직, 정책 등을 체계적으로 수립하여 운영
○ 우리 정부도 정보보안 관련 법률 및 추진체계를 마련하여 대응
○ 그러나 전문가들은 정보보안제도의 많은 문제점을 지적
- 법률의 경우 부처별로 필

1. 연구배경 및 필요성
□ 연구의 배경
○ 현대는 지식정보사회로서 고도로 발전한 기술을 기반으로 급격한 변화와 발전을 거듭
- 정보화는 긍정적인 결과와 함께 부정적인 결과도 초래
- 부정적인 결과 중에서 중요한 문제 중 하나는 정보보안
○ 세계 각국은 정보보안의 중요성을 일찍부터 인식하고 관련 법률, 조직, 정책 등을 체계적으로 수립하여 운영
○ 우리 정부도 정보보안 관련 법률 및 추진체계를 마련하여 대응
○ 그러나 전문가들은 정보보안제도의 많은 문제점을 지적
- 법률의 경우 부처별로 필요에 따라 법률을 제정하여 유관 법률간 불균형, 일관성 미흡, 규정 중복, 공백 등의 문제가 발생
- 조직의 경우 보안사고발생시 총괄·조정할 수 있는 컨트롤타워 관련 문제가 발생
- 정책의 경우 침해기술 대비 보안기술의 발전 미흡, 전문인력 부족, 보안산업 낙후 등의 문제가 발생
- 그 결과 지난 3년간 수많은 보안사고가 발생
○ 이러한 문제들을 해결하지 못한다면 지속적으로 보안사고가 발생하여 사회적 혼란과 갈등을 초래하고, 국가발전을 저해할 것으로 예상
□ 연구의 필요성
○ 본 연구는 상술한 정보보안 관련 문제들을 해결하기 위해 법률, 조직, 정책 등 세가지 측면을 중심으로 문제를 살펴보고 개선방안을 모색
○ 선행연구와의 차별성
- 정보보안에 관한 선행연구는 존재하나 매우 부족한 상황
- 최근 발생한 새로운 보안문제들을 다루고 있는 연구가 거의 없음
- 선행연구에서 제시하고 있는 문제나 정책대안의 객관적 타당성을 검증한 연구가 거의 없는 상황
- 본 연구는 이러한 점을 보완할 것으로 기대
2. 이론적 배경
□ 정보보안의 이론적 고찰
○ 정보의 정의
- Stair & Reynolds (2003)는 “정보란 사실 자체만의 가치를 넘어서서 추가적인 가치를 가질 수 있는 방식으로 조직화한 사실의 집합체”라고 정의
- Whitten et al (2001)은 “정보란 처리(Processing)와 의도적 지성(Purposeful Intelligence)에 의해 정제되고 조직화된 자료”라고 정의
- ｢국가정보화기본법｣ 제3조 제1항은 “정보란 특정 목적을 위하여 광(光) 또는 전자적 방식으로 처리되어 부호, 문자, 음성, 음향 및 영상 등으로 표현된 모든 종류의 자료 또는 지식을 말한다”고 정의
○ 정보보안과 정보보호
- 정보보안은 사람에 의하여 고의적으로 발생하는 정보의 유출, 파괴 및 변조에 대한 대응을 강조
- 정보보호는 고의적인 침해 뿐 아니라 우연히 발생하는 자연재해나 사람의 실수에 의한 침해에 대한 대응까지도 포함하는 포괄적인 용어
- 그러나 우리 정부는 그동안 정보보호와 정보보안을 혼동하여 사용
○ 정보보안은 기술적, 행정적, 물리적 보안으로 분류
○ 정보보안위협
- 사이버테러리즘, 불법적인 접근 및 사용, 악성코드에 의한 자료변조 및 파괴, 악성코드에 의한 공격기법 등 보안위협의 종류는 방대
○ 정보보안정책
- 정보보안과 관련된 연구의 동향은 기술적･물리적 보안 설계 및 구축, 정보시스템 보안을 위한 투자의 효과 및 투자 결정, 정보보안지표 개발 및 계량화 연구, 정보보안정책의 역할 및 성숙도, 정보보안 및 위험 관리 등 다양
- 그러나 최종 사용자 행동에서의 정보보안 수립 및 검토는 여전히 부족
- 정보보안정책 연구는 보안사고를 막기 위한 기술의 적극적인 활용, 기술을 다루는 사람과 행정적 절차, 조직의 정보보안정책 및 규칙을 효과적으로 만들기 위한 연구, 내부 조직원을 효과적으로 통제함으로서 정보를 보호하기 위한 연구 등이 진행되고 있는 상황
□ 정보보안제도 선행연구 검토
○ 법률
- 법률체계의 조정 필요성
∙ 다수의 유사한 규정이 여러 법률에 산재
∙ ｢국가사이버안전관리규정｣의 법형식 문제
∙ 보안관련 규정 보완이 필요
- ｢사이버보안법｣ 제정 필요성
∙ ｢국회에 제출된 사이버위기관리법(안)｣ 문제
∙ ｢사이버테러 관련 특별법｣ 제정 필요
∙ ｢사이버테러기본법｣ 제정 필요
- 기반 법률의 제정 필요
∙ 사이버보안 법률 제정 필요
- 귀속의 책임과 법제도 정비 필요
- 개별 법률의 문제점
∙ ｢방송통신위원회설치법｣ 문제
∙ 다양한 사이버 침해 대응을 위해 법률 개정 필요
○ 조직
- 추진(조직)체계의 조정 필요성
∙ ｢국가사이버안전관리규정(대통령훈령 제222호)｣ 문제
∙ 기구의 부재 및 신설 제안
∙ 컨트롤타워 문제
∙ 협력체계 구축 필요
- 통합된 추진체계의 필요성
∙ 정보통신기반 시설 보안 문제
∙ 정보통신기반 보안 문제
∙ 사이버 위기관리체계의 통합･단일화된 구성 부재
∙ 정보보안 핵심부서 불명확
∙ 사이버보안청 신설 제안
- 기능배분의 명확성 문제
∙ 업무의 중복에 의한 비효율성 문제
∙ 정보통신시설 관할경계의 불명확
∙ 정보보안 관련 부처 책임과 권한 불분명
- 협력체계 구축 필요
∙ 정보기관의 정보보안관련 정책집행 참여 문제
∙ 정보기관과 수사기관 간의 분리 문제
∙ 민관 공조체계의 문제
○ 정책
- 보안기술 연구 및 개발 필요
∙ 보안에 대한 투자 미흡 및 개발 제안
- 전문인력 양성 필요
∙ 보안전문인력 부족
- 긴급대응체계의 구축 필요
- 보안관리실태 평가제도의 부재
- 소홀한 내부관리 문제
∙ 조직 내부자 통제 및 관리 문제
∙ 외부 위탁관리에 의존 문제
- 사이버보안의 합리적 예산 편성 및 운영 필요
- 예방조치에만 머무르는 위협측정체계, 관리문제
3. 정책 및 사례분석
□ 연구설계 및 연구분석틀
○ 이전단계에서 발견된 문제와 대안의 경험적 타당성을 검증하기 위하여 전문가 인터뷰 조사를 채택
○ 정보보안제도를 법률, 조직, 정책 등 세 가지 측면으로 나누어 분석
□ 연구대상
○ 인터뷰조사는 정보보안 전문가를 대상
- 정보보안 제도를 운영하고 있는 정부 각 부처의 담당 공무원, 학계의 교수, 연구기관 연구위원
□ 연구방법
○ 질적연구
- 문헌조사에서 얻을 수 없는 보다 상세하고 정확한 연구결과를 얻기 위하여 인터뷰조사를 채택
- 인터뷰 조사는 사전에 설계된 질문지에 따라 진행하는 조직화 면접법으로 진행
- 인터뷰 대상자의 성향, 지식 및 경험 축적 수준에 따라 반조직화 면접법도 병행
- 응답자의 개인적인 상황에 따라 서면으로 진행
□ 인터뷰 조사 분석결과
○ 법률
- 정보보안 관련 법률 간 불균형, 중복, 분산의 문제
∙ 유관 법률 정비 필요성에 대해 전문가 대부분 동의
∙ 부처간 책임 소재 불분명, 체계적 대응 불가능 문제가 있음에 동의하고 법제정의 필요성을 제안
- ｢국가사이버안전관리규정｣이 법률이 아닌 대통령훈령이라 문제 발생
∙ ｢국가사이버안전관리규정｣의 법형식 변경 문제에 대해 전문가 일부 동의, 일부 반대
∙ ｢국가사이버안전관리규정｣ 법률화 문제에 대해 격상시 또 다른 문제에 봉착등의 문제가 발생하기 때문에 대부분의 전문가 반대
- ｢국가사이버안전관리규정｣ 제3조와 ｢정보통신기반보호법｣ 제8조 중복으로 유관 부처간 역할 및 책임 불분명 문제가 발생한다는 점에 대해 전문가 일부 동의, 일부 반대
- 국가사이버안전전략회의가 법률이 아닌 ｢국가사이버안전관리규정｣ 제6조에 근거한다는 점에 대해 법률 근거의 필요성을 제안
- 일관성 및 통일성 있는 기본법 제정 필요
- 정보보안 관련 법률 통합 필요성에 대해 전문가 일부 동의, 일부 반대
- ｢국가사이버테러방지법(안)｣ 기능 및 역할 문제에 대해 대부분의 전문가가 동의하지 않았으며 국가정보원의 지위 확대를 우려
- 수사기관 관련 법률 및 규정에 기관의 역할을 명시할 필요가 있음에 대부분의 전문가가 동의
- 정보보안 관련 개별법과 고유영역의 문제로 민관협력의 어려움에 대부분의 전문가가 동의
- ｢방송통신위원회설치법｣에 방송통신위원회의 민간 방송통신사업자 정보보안 규제 관련 근거 조항이 없어 문제라는 점에 대해 전문가 일부 동의, 일부 반대
- ｢정보통신망법｣, ｢정보통신기반보호법｣ 개정 필요성에 대해 전문가 일부 동의, 일부 반대
○ 조직
- 컨트롤타워 문제와 설립방안
∙ 현재 국가정보원이 실질적인 컨트롤타워 역할을 수행하는 것이 문제라는 점에 대해 전문가 일부 동의, 일부 반대
∙ 대부분의 전문가가 컨트롤타워 설립 필요성을 언급하며 청와대, 중앙행정기관 등 컨트롤타워 역할을 수행할 기관 및 기구설립에 대해 다양한 방안을 제안
- 각 부처에 분산된 정보보안부서 통합은 현실적 불가능
- 정보보안 부처 간 역할과 책임이 불분명하여 대응의 어려움, 부처간 업무 중복, 책임 불분명 등의 문제 존재
- 민간과 정부의 교류 및 소통 활성화 필요
- 정부간 협력 체계 구축 필요
○ 정책
- 침해기술은 급속히 발전하는 반면 보안기술은 이를 따라가지 못하고 있어 국가적 차원의 보안 기술 연구 및 개발 필요
- 정보보안 전문인력 양성 필요
- 보안전담 부서 및 전담인력 배치 의무화 필요
- 체계적인 보안실태 평가지표 운영 필요
- 소홀한 내부 관리를 위한 관리툴, 보안의식 강화 등의 노력 필요
- 보안예산의 적정규모에 대한 연구를 통해 보안예산 증액 설정 필요
4. 결론 및 정책제안
□ 법률
○ ｢정보보안기본법｣ 제정 필요
- 조직 간 역할 및 기능을 명확히 정립할 필요
- 법의 제정을 통해 각 법률간 중복 및 공백 등의 문제를 해결
○ ｢국가사이버안전관리규정｣에 대한 대안
- 국가안보 등 국가정보원 고유의 기능을 뺀 나머지 규정을 새롭게 제정되는 기본법에 편입
- ｢국가사이버안전관리규정｣의 중요한 규정은 기본법으로 이관, 나머지 내용은 축소 또는 폐기
□ 조직
○ 컨트롤타워 설립
- 실질적인 컨트롤타워로 청와대를 제안
- 국가정보원은 타 부처와 함께 정보보안 기능 담당 부서 중 하나로 그 역할을 한정
- 그러나 제시된 컨트롤타워 설치와 관련된 대안의 장·단점을 비교한 자료를 통해 정부가 직접 대안을 선택
□ 정책
○ 보안기술 연구 및 개발정책
- 보안산업의 육성 필요
- 위협측정체계 구축 및 보상시스템 도입 필요
- 정부의 예산과 정책지원이 필요
○ 중장기적 관점으로 보안전문인력을 육성
○ 예산정책 강화
- 적정한 규모의 보안예산을 산정하기 위한 연구 수행을 제안
- 예산집행을 위한 세부항목의 체계적 수립 작업이 필요
- 중장기적 관점에 따른 보안예산의 증액 필요
○ 보안실태평가, 감사, 내부관리 정책 필요
- 효과적인 지표개발을 위한 연구 수행을 제안
- 정기적인 보안점검과 감독, 감사의 필요성 제시
5. 기대효과
□ 법률
○ 정보보안 관련 법률 및 훈령의 문제점과 개선방안을 제시함으로써 제도의 개선에 기여
□ 조직
○ 정보보안 기능을 수행하는 정부기관의 문제점과 개선방안을 제시함으로써 제도운영의 효율성 향상에 기여
□ 정책
○ 정보보안정책의 문제점과 개선방안을 제시함으로써 정책의 효과적 추진에 기여

Abstract ▼

The information security system makes a significant contribution to the development of the national economy as well as the stabilization of society. Accordingly, the Korean government has been making various efforts to manage and protect information held by public and private organizations. Such eff

The information security system makes a significant contribution to the development of the national economy as well as the stabilization of society. Accordingly, the Korean government has been making various efforts to manage and protect information held by public and private organizations. Such efforts include government agencies dealing with information security depending upon their own work domain, and laws and statutes regarding information security.
However, critics argue that the Korean information protection system includes various kinds of problems such as inconsistencies among laws, insufficient role of the government control tower, and policy issues in educating security experts and developing technologies.
Thus, this research aims to investigate existing problems in the information security system in public sector, and attempts to develop policy alternatives that can handle those problems.
The Korean information security system was analyzed based on a research framework consisting of three key dimensions: law, organization, and policy. The framework was developed based on the results from a literature review on information security.
In order to test the empirical validity of developed policy alternatives, this study employs a qualitative research method; interviews with experts in information security. The interviewees are government officials, college professors, and research fellows from research centers.
From a legal perspective, it is necessary to establish an basic law that may work as foundation of the system. In addition, information security related laws should be revised based on the basic law to resolve existing problems such as inconsistency and redundancy among provisions.
From an organizational perspective, it is important to reorganize the existing system in information security. Specially, the Blue House should be able to work as a national control tower for information security since it has mediation power among government agencies.
From a policy perspective, it is urgent to support industries in information security as they are small and have a weak competitive edge. In addition, it is necessary to develop security technologies, foster security experts, and secure an appropriate budget for information security.

목차 Contents

• 표 지 ... 1
• 발 간 사 ... 4
• 목 차 ... 6
• 표목차 ... 9
• 그림목차 ... 10
• 국문요약 ... 11
• 영문요약 ... 20
• 제1장 서 론 ... 22
• 제1절 연구의 필요성과 목적 ... 23
• 1. 연구의 배경 및 필요성 ... 23
• 2. 연구의 목적과 내용 ... 25
• 제2절 연구의 범위와 방법 ... 27
• 1. 연구범위 및 대상 ... 27
• 2. 연구방법 ... 27
• 3. 연구흐름도(Research Flow Chart) ... 28
• 제3절 기대효과 및 연구결과의 활용 ... 30
• 1. 기대효과 ... 31
• 2. 연구결과의 활용 ... 31
• 제2장 정보보안제도의 이론적 논의 및 선행연구분석 ... 34
• 제1절 정보보안의 의의 ... 35
• 1. 자료 및 정보 ... 35
• 2. 정보의 가치 ... 37
• 3. 정보보안의 정의 및 정보보호와의 구분, 대상, 종류 ... 38
• 4. 정보보안에 대한 위협 ... 41
• 5. 정보보안정책 ... 45
• 제2절 정보보안제도에 대한 선행연구 분석 ... 47
• 1. 법률 ... 47
• 2. 조직 ... 55
• 3. 정책 ... 62
• 제3절 연구분석의 틀 ... 69
• 제3장 우리나라 정보보안제도의 현황분석 ... 74
• 제1절 정보보안 관련 법률 ... 75
• 1. 개요 ... 75
• 2. 주요 개별 법령 ... 79
• 3. 국회 제출되어 심의 중 또는 제출 예정 법률안 ... 86
• 4. 정부의 국가사이버안보 종합대책 발표 ... 88
• 제2절 정보보안제도 추진체계 ... 89
• 1. 국가정보원 ... 89
• 2. 안전행정부 ... 91
• 3. 한국인터넷진흥원 ... 94
• 4. 미래창조과학부 ... 101
• 제3절 정보보안제도 문제점 분석 ... 105
• 1. 법률 ... 105
• 2. 조직 ... 107
• 3. 정책 ... 109
• 제4장 연구설계 ... 112
• 제1절 연구설계 및 연구의 분석틀 ... 113
• 1. 법률 ... 113
• 2. 조직 ... 114
• 3. 정책 ... 114
• 제2절 연구대상 ... 115
• 제3절 연구방법 ... 116
• 제4절 자료수집 ... 117
• 1. 모집단 ... 117
• 2. 자료수집과정 ... 117
• 제5장 분석결과 ... 118
• 제1절 인터뷰조사 결과 ... 119
• 1. 개요 ... 119
• 2. 분석내용 ... 119
• 3. 조사결과 ... 135
• 제6장 정책제언 ... 192
• 제1절 연구결과의 요약 ... 193
• 1. 개요 ... 193
• 제2절 법률부문 정책제언 ... 195
• 1. ｢정보보안기본법｣ 제정 ... 195
• 2. ｢국가사이버안전관리규정｣ 개정 ... 197
• 제3절 조직부문 정책제언 ... 199
• 1. 컨트롤타워 설립 ... 199
• 제4절 정책부문 정책제언 ... 207
• 1. 보안기술 연구 및 개발정책 ... 207
• 2. 보안전문인력 육성 ... 209
• 3. 예산정책 강화 ... 210
• 4. 보안실태평가, 감사, 내부관리정책 ... 211
• 참고문헌 ... 214
• 부 록 ... 222
• 끝페이지 ... 235