사이버 의료보안 강화를 위한 개선방안

소민 강릉원주대학교 경영·정책과학대학원 2023 국내석사

사이버 의료보안 강화를 위한 개선방안 소 민 안보전략학과 강릉원주대학교 경영정책과학대학원 코로나19의 발생은 남녀노소를 불문하고 인터넷 네트워크를 사용하게 되었고 그로 인해 인터넷으로 원격수업, 재택근무, 회의, 쇼핑, 금융거래, 음악과 영화 감상에 이르기까지 거의 모든 것을 인터넷상에서 할 수 있게 되었다. 코로나19와 같은 주기적으로 찾아오는 감염병의 발생과 증가하는 노인인구로 병원 이용자가 증가함에 따라 원격진료나 언택트의 불편함 해소를 위한 스마트 의료에 대한 도입에 대한 요구가 가속화 되어 인공지능(AI)의료, 원격의료, 사물인터넷(loT)과 정보통신기술(ICT)등이 최첨단 기술을 접목해 미래 의료산업의 변화를 이끌고 있다. 본 논문은 의료기관 종사자 및 이용자들의 보안의식 및 의료기관 보안체계를 분석하여 의료 정보 보안 강화를 위한 개선방안을 알아보고자 한다. 스마트의료 ICBM(Internet, Cloud, Big Data, Mobile) 시스템의 도입은 의료인력 부족에 의해 일어나는 환자안전사고에 대한 대안과 의료기관을 이용하는 사용자의 편리함등을 기대할 수 있다. 스마트 의료를 위해 우선 환자의 정확하고 다량의 정보가 빅데이터화 되고 실시간으로 수집되어야 한다. 이러한 정보들은 사이버범죄에 표적이 되어 환자의 생명을 담보로 하는 거래의 수단이 될 수 있다. 미국과 캐나다는 의료 정보 보호법이라는 제도가 따로 존재하고 있어 의료 정보를 보호하고 있다. 우리나라는 2020년 8월 일명 데이터 3법이라고 칭하는 ‘개인정보보호법’,‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’,‘신용 정보의 이용 및 보호에 관한 법률’이 개정되었다. 이들 법 내용은 데이터를 사용하기 위해 가명 정보를 쓰고자 할 때는 공익적 기록, 연구 통계 작성 등을 처리할 때만 사용 가능하며, 가명 정보가 다른 정보와 결합이 되었을 때 개인 식별이 되지 않도록 해야 하며, 가명 정보 역시 개인 정보이므로 개인 정보처럼 취급하여 보호를 해야 한다는 내용이지만 법적 구속력이 없는 가이드라인만을 제시하고 있어 개인의료 정보의 보호가 제대로 되지 않고 있다. 의료 개인정보가 금전적 이득과 결부되고 있는 한 의료기관의 사이버 공격은 계속될 것이다. 의료기관들의 규모와 수준 격차가 심한 우리나라의 의료환경 특성을 고려하지 않고 있는 점 역시 문제점 해결해야 할 부분으로 사이버 보안을 하기 위한 강력하고 구체적인 법제화와 정부의 경제적, 제도적 지원이 절실히 필요하다. IT 강국인 우리나라는 스마트 의료에 대한 기대와 스마트 의료시장의 빠른 성장과 편리함을 원하고 있다. 반면 개인 의료 정보 유출과 같은 보안의 위협 또한 느끼고 있다. 의료 정보보호에 대한 의료법, 개인정보 보호법, 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 등 다양한 법제들의 규정의 범위가 서로 일치하지 않는 점과 각 법률의 해석이 달라 앞으로 조속히 추가적인 ‘의료 정보 보호법’을 법제화해야 한다. 또한 의료기관이나 관련 공공기관에서도 출입 보안 시스템 강화로 외부보안을 강화시키고 의료접근 등의 등급 관리를 철저히 해야 하며, 정보 보안 시스템이나 정보 보안 프로그램 개발 등의 예산에 집중해야 한다. 세계적으로 앞선 있는 K-의료시스템은 정보 보안 유지와 관리가 필요하여 주기적인 보안 교육과 각종 사이버테러에 준비하여 해커나 사이버 테러에 준비하여야 한다. 또한 대형병원 및 병원 기관들은 의료진료 자료나 환자의 건강보험심사평가원 빅데이터 자료들은 철저히 감독 및 감시 보안을 해야 한다. 막대한 의료 자료는 지적재산이기도 하지만 대한민국의 전체 인구의 질병상태나 추적 질병 등의 질병관리나 연령별 질병 트렌드를 알 수 있으며, 그래서 제약회사의 필요하거나 적정한 의약품이 결정되기도 한다. 의료 정보는 양날의 칼과 같아서 활용도에 따라 인간의 질병 치료에 도움이 되지만 관리 소홀이나 유출 시에는 많은 사이버테러나 세균전 등의 무기산업에도 관련될 수 있다. 현대의 의료 정보는 국가의 생존과도 밀접하며, 각 국가의 경쟁력과도 관련 있다. 우리는 COVID-19 사태로 세계의 의료체계와 의료 정보의 중요성을 이해했다. 향후, 국가경쟁력을 위해 우리는 의료 정보산업으로 육성 발전시켜야 한다.

헌법의 관점에서 본 사이버보안 컨트롤타워 제도 구축에 관한 고찰

김지현 高麗大學校 情報保護大學院 2014 국내석사

우리나라의 적합한 사이버 보안정책의 수립과 실행에의 의무는 국가의 국민의 기본권을 보호하고 국가의 안보를 유지해야 할 헌법적 의무에서 유래된다. 효과적인 사이버보안 컨트롤타워 제도 구축을 해야 할 의무 또한 이와 마찬가지이다. 우리나라는 2013.3.20 금융기관, 방송사 사이버테러, 2013.6.25.청와대, 새누리당 해킹사건 등 잇따른 해킹사고로 국가의 최고 사이버보안 컨트롤타워의 부재의 문제점을 깨닫고, 2013년 7월 4일 박근혜 정부가 ‘국가 사이버안보 종합대책’을 발표하면서 청와대, 국가정보원을 각각 국가 최고 사이버보안 컨트롤타워, 국가 사이버보안 실무총괄로 결정한 내용을 공표하였다. 이에 따라 우리나라의 모든 관련 법과 제도 또한 재정비가 불가피하게 되었다. 이와 같이 우리나라는 정보보호와 정보보호의 사이버보안 컨트롤타워 제도 등이 본격적으로 논의되기 시작된 역사가 외국에 비해 얼마 되지 않았고, 따라서 상대적으로 미흡한 부분이 많은 것이 사실이다. 헌법은 한국의 법규범의 구조에서 최고, 최상의 지위에 있는 최고법으로서의 특성을 가지며, 이에 따라 행정부, 입법부, 사법부가 하는 모든 통치작용 또한 헌법(법조항, 법의 원리)에 위배되거나 헌법을 부정할 수 없으며 언제나 헌법에 기속된다. 본 논문에서는 사이버보안 컨트롤타워도 국가기관의 작용이기 때문에 모든 국가 통치작용의 근간인 헌법의 관점에서 우리나라의 사이버보안 컨트롤타워가 어느 방향으로 가는 것이 더 바람직한지 고민해 보고자 하였다. 본 논문에서는 이를 위한 제대로 된 사이버보안 컨트롤타워 제도 및 사이버보안 컨트롤타워가 수립, 시행하는 제도 구축을 위해서 우리나라와 유사하게 정보통신 기술과 그 인프라가 발달해 있고, 우리나라보다 정보보호의 역사가 오래된 미국의 관련 정책에 대해 살펴보고 그 시사점을 판단하며, 사이버보안 컨트롤타워 제도 및 사이버보안 컨트롤타워가 수립, 시행하는 정책이 우리나라의 국가설립의 기본이념과 국민의 기본권 보호사상 등을 담은 헌법(법조항, 법의 원리)의 관점에서 어떤 문제점이 있는지 분석하고, 이의 개선방안을 제안하며 더 나아가 앞에서 분석했던 문제점에 대한 개선방안을 반영한 새로운 사이버보안 컨트롤타워 제도 및 관련 제도를 제안하겠다.

국가 사이버 보안에 대한 거버넌스 혁신 방안에 대한 연구

정강채 아주대학교 정보통신대학원 2024 국내석사

본 연구는 사이버 전쟁의 심각성과 현실적 위협에 대비하기 위한 국가 사이버 보안 거버넌스의 혁신적인 방안을 분석하고 제시하는 것을 목적으로 한다. 전통적 전쟁에서부터 최근의 사이버 전쟁까지, 국제 정세는 계속해서 변화하고 있으며 특히 사이버 능력은 국가 간 갈등의 중심으로 떠오르고 있다. 최근의 우크라이나와 러시아 간 전쟁에서 미국을 중심으로 유럽 서방과 러시아, 중국 등의 적대 관계가 고조되는 가운데, 사이버 전은 신냉전의 전쟁터로 발전하고 있다. 우리나라는 북한과의 대치 상황에서 사이버 공간에서의 안보를 중요하게 생각해야 하며, 현재까지의 평가에서 국내의 사이버 보안 및 거버넌스 수준이 열악하게 나타났다. 북한은 탄도미사일과 무인기를 통한 테러를 지속하고 있으며, 사이버 전략에서는 세계 수준의 역량을 보유하고 있다. 이에 비해 한국은 국가 및 민간의 사이버 보안 수준이 낮아 군사적으로도 북한에 비해 우위를 보이지 못하고 있다. 따라서, 이 연구는 첫째로, 사이버 안보에 대한 새로운 인식과 제도의 보완이 필요한 시점임을 강조한다. 사이버 전이 전쟁 시작 전에 벌어지며, 이에 대응하기 위해서는 국가적 차원에서 사이버 보안 인재를 확충하고 군사적, 민간적 지원 체제를 강화해야 한다. 둘째로, 사이버 테러에 대응하고 정보우위를 확보하기 위한 사이버 훈련이 필수적이다. 현재 진행 중인 국제적인 전쟁에서 얻은 아이디어를 토대로 우리나라도 민·관·군이 합동으로 사이버 테러 대응 훈련을 실시해야 하며, 국민들도 사이버 테러 시 대응 방법을 명확하게 이해해야 한다. 종합하면, 이 연구는 국가 사이버 보안에 대한 경쟁력 강화를 위한 대책으로, 사이버 안보와 훈련, 그리고 거버넌스 측면에서의 혁신적 방안을 도출하고자 하며, 국가의 안보와 방위에 기여하고 사이버 전쟁의 위협으로부터 안전한 사이버 공간을 유지하는데 기여할 것으로 기대된다.

사이버보안을 위한 소프트웨어 자재명세서(SBOM)의 도입의도에 영향을 미치는 요인에 관한 연구

이형동 숭실대학교 일반대학원 2023 국내박사

With the recent experience of COVID-19, the world has witnessed a deepening of connectivity through the internet and an increased reliance on digital systems, leading to an increased importance of cyber security. However, the software that supports the digital infrastructure is mostly developed as a composition of open-source components and third-party libraries, which has made supply chains more intricate and increased the vulnerability of the supply chain to cyber attacks. In particular, software supply chain attacks that hacked SolarWinds and Microsoft servers have inflicted significant damage on over 18,000 administrative organizations and businesses, including the U.S. Department of Defense. As a result, Software Bill of Materials (SBOM), which represents the information and relationships among the components that make up software, has emerged as a crucial means to enhance supply chain security. In May 2021, the United States mandated that suppliers submit SBOMs for software being adopted by government agencies through Executive Order 14028, and they are actively expanding the foundation for SBOM utilization. While the Korean government began research on SBOM and its related technologies and policies in October 2022, it is lagging behind compared to other major countries like the United States. Meanwhile, for SBOM to effectively mitigate vulnerabilities in the software supply chain, it is crucial to expand the adoption of SBOM not only in the public sector but also in the private sector. Moreover, for the government and private enterprises to institutionalize the adoption of SBOM, it is important to identify in advance the factors that influence the adoption intentions of the entities involved in creating and utilizing SBOM and incorporate them into policies to facilitate the rapid expansion of SBOM utilization. However, most previous studies have only focused on introducing the concept and tools of SBOM and discussing the need for its adoption. Accordingly, this study explored factors that affect the intention to adopt SBOM for cybersecurity of IT professionals in private companies and public institutions, verified structural relations, and presented policy implications to spread the adoption of SBOM. Through literature review, variables such as SBOM factors, organizational factors, environmental factors, and information security technology factors were explored. Based on the TOE framework, UTAUT, Planned Behavior Theory, and Protection Motivation Theory, research model that categorizes SBOM attributes into information technology and information security technology were designed. Empirical analysis were conducted by using data collected through online surveys from 450 IT professionals in private companies and public institutions. The results of the analysis showed that out of the 18 hypotheses, excluding moderation effects, 14 were accepted and 4 were rejected. Firstly, in terms of the information technology attributes of SBOM, software transparency and license management, relative advantage, and top management support, excluding security management, had a significant positive impact on performance expectations. In terms of effort expectations, software transparency, security management, relative advantage, and top management support, excluding license management, had a significant positive impact. Subjective norms and mediating variables such as performance expectations and effort expectations had a significant positive impact on adoption intentions, while institutional support did not have a significant impact. Meanwhile, in terms of the information security technology attributes of SBOM, subjective norms (redundancy), perceived security threats, self-efficacy, and information security attitudes had a significant positive impact on adoption intentions, while coping effectiveness did not have a significant impact. The organizational form of the respondents did not have a significant moderating effect, while the experience of being a victim of hacking showed a significant moderating effect on self-efficacy. This paper holds significance as it is the first empirical study to clarify the factors that affect the intention of IT professionals in private companies and public institutions to adopt SBOM in South Korea, where the policy for the adoption of SBOM is still in the preparation stage. Moreover, this study carries academic importance in proposing a novel research methodology that designs a research model by considering the attributes of information technology and information security technology inherent in SBOM, and empirically integrates the factors influencing adoption intention. On the other hand, practical implications derived from this study, such as the needs of improving usability of SBOM, promoting private sector-driven policy implementation, and the necessity of disclosing the risks of supply chain attacks, are expected to be used by governments or private companies in establishing and implementing SBOM adoption policies. This study is expected to contribute to the rapid expansion of the adoption and use of SBOM throughout the society, which is essential for strengthening Korea’s cyber security, serving as an opportunity to trigger various empirical studies on SBOM in the future. 최근 코로나19를 거치면서 전 세계는 인터넷을 통한 연결성과 디지털 의존성이 심화됨에 따라 사이버보안의 중요성이 더욱 커지고 있다. 그러나 디지털 기반을 지탱하는 소프트웨어는 대부분 오픈소스나 제3자 라이브러리들이 혼합된 컴포넌트 형태로 개발되면서 공급망이 복잡해지고, 사이버공격에 취약한 공급망 면적도 함께 증가하고 있다. 특히 솔라윈즈와 마이크로소프트 서버를 해킹한 소프트웨어 공급망 공격은 미국 국방부를 비롯한 18,000곳 이상의 행정기관과 기업에 막대한 피해를 안겼다. 이를 계기로, 소프트웨어를 구성하는 요소들의 정보와 상호관계를 나타내는 소프트웨어 자재명세서(SBOM)가 공급망 보안을 강화하는 데 필요한 핵심 수단으로 부상하였다. 미국은 2021년 5월 행정명령(EO 14028)을 통해 정부 기관에 도입하는 소프트웨어에 대해 공급업체가 SBOM을 제출하도록 의무화하고, SBOM의 활용 기반을 확충해 나가고 있다. 한국 정부도 2022년 10월부터 본격적으로 SBOM의 기술 및 정책과 관련한 연구에 들어갔으나 미국 등 주요국에 비해 뒤늦은 상황이다. 한편, SBOM이 소프트웨어의 공급망 보안을 강화하는 데 효과를 발휘하기 위해서는 공공부문뿐 아니라 민간 부문에 SBOM의 도입을 확대하는 것이 무엇보다 중요하다. 또한 정부나 민간기업이 SBOM의 도입을 제도화하기 위해서는 SBOM을 생성·활용하는 주체들의 도입의도에 영향을 미치는 요인을 사전 파악하여 정책에 반영하는 것이 SBOM의 조속한 활용 확대를 위해 중요하다. 그러나 선행연구는 대부분 SBOM의 개념과 도구 소개, 도입 필요성 등에 머물러 있다. 이에, 본 연구에서는 민간기업과 공공기관의 IT 업무 담당자들의 사이버보안을 위한 SBOM의 도입의도에 영향을 미치는 요인들을 탐색하고 구조적 관계를 검증하여 도입 확산을 위한 정책적 시사점을 제시하였다. 문헌 연구를 통해 SBOM 요인, 조직적 요인, 환경적 요인, 정보보안기술 요인 등 변인을 탐색하고, TOE 프레임워크와 통합기술수용모델(UTAUT), 계획된 행동이론, 보호동기이론을 토대로 SBOM의 속성을 정보기술과 정보보안기술로 구분하여 연구모형을 설계하였다. 민간기업과 공공기관의 IT 업무 담당자를 대상으로 온라인 설문조사를 통해 수집된 450부 모두를 표본 데이터로 활용하여 실증분석을 진행하였다. 검증한 결과, 조절 효과를 제외한 18개의 가설 중에서 14개가 채택되고 4개가 기각되었다. 먼저, SBOM의 정보기술 속성에서는 보안 관리를 제외한 소프트웨어 투명성과 라이선스 관리, 상대적인 이점, 경영층 지원이 성과기대에 긍정의 유의한 영향을 미쳤다. 노력기대에는 라이선스 관리를 제외하고 소프트웨어 투명성, 보안 관리, 상대적 이점, 경영층 지원이 노력기대에 긍정의 유의한 영향을 미쳤다. 주관적 규범 그리고 매개변수인 성과기대와 노력기대는 종속변수인 도입의도에 긍정의 유의한 영향을 미치지만, 제도적 지원은 도입의도에 유의한 영향을 미치지 못하였다. 한편, SBOM의 정보보안기술 속성에서는 주관적 규범(중복), 지각된 보안위협, 자기 효능감, 정보보안 태도가 도입의도에 긍정의 유의한 영향을 미쳤다. 그러나 대처 효능감은 유의한 영향을 미치지 못하였다. 응답자 소속 조직의 형태별로는 유의한 조절 효과가 없는 반면, 해킹 피해의 경험 유무에서는 자기 효능감이 유의한 조절 효과를 나타냈다. 본 논문은 현재 SBOM 도입이 정책 준비 단계에 머물러 있는 한국의 상황에서, SBOM을 도입하고 활용할 민간기업과 공공기관의 IT 담당 조직원들의 도입의도에 영향을 미치는 요인을 실증적으로 최초로 규명하였다는 데 의미가 있다. 또한 SBOM에 내재한 정보기술과 정보보안기술의 속성을 고려하여 연구모형을 설계하고, 도입의도에 대한 영향 요인을 통합하여 실증하는 새로운 연구 방법을 제시하였다는 점에서 학술적인 의의가 있다. 한편, 본 연구 결과로부터 도출된 SBOM의 사용 편의성 제고, 민간 중심의 정책추진 및 공급망 공격의 위험 실태 공개의 필요성 등 실무적 시사점은 정부나 민간기업이 SBOM의 도입정책을 수립하고 시행하는 데 활용될 수 있을 것이다. 본 연구가 한국의 사이버보안 강화에 긴요한 SBOM의 도입과 활용이 사회 전반으로 조속히 확대되는 데 보탬이 되고, 향후 SBOM에 대한 다양한 실증적 연구를 촉발하는 계기가 되기를 기대한다.

주요 선진국의 사이버보안정책 비교분석을 통한 한국 사이버보안정책의 개선 방안에 관한 연구 : .

김영준 숭실대학교 정보과학대학원 2010 국내석사

공격·방어 모의훈련 시스템을 활용한 사이버보안 방어팀 역량 평가모델

이윤수 숭실대학교 대학원 2016 국내박사

글로벌 사이버보안 성숙도 지수모델 개발과 활용에 관한 연구

윤재석 고려대학교 정보보호대학원 2017 국내박사

사물인터넷, 클라우드, 빅데이터, 그리고 최근 급격히 부상하고 있는 인공지능(AI) 등 인터넷과 디지털 경제가 발전하면서 이를 악용한 사이버범죄로 인해 경제적, 사회적 피해도 급증하고 있다. IT 시장 조사기관인 쥬니퍼(Juniper Research)에 따르면 사이버범죄로 인한 피해가 2019년경에 이르면 전 세계적으로 2조 달러에 달할 것으로 예측되는 등 개인과 사회는 물론, 주요 기반시설에 대한 사이버공격으로 국가 안보 차원의 위험도 증가하고 있다. 이에 세계 많은 국가들은 사이버위협을 사전에 대비하고, 대응 수준을 높이기 위해 사이버보안 전략을 수립하여 이행하고 있다. 국제전기통신연합(ITU)의 조사에 따르면 회원국 193개 국가 중 72개 국가에서 사이버보안 전략을 수립하였고, 북대서양조약기구(NATO)에 의하면 해당 국가는 65개에 이른다. 조사에 따라 편차가 있기는 하지만 대략적으로 전 세계에서 50여개에서 70여개에 이르는 국가가 사이버보안 전략을 수립한 것으로 파악된다. 그러나 사이버보안 위협에 대한 실제 대응은 전략 수립만으로는 충분하지 않다. 사이버위협으로 인한 피해가 비단 한 개별 국가에 국한되지 않고 순식간에 전 세계로 파급된다는 점에서 사이버보안 전략 수립과 더불어 개별 국가의 현황을 정확히 진단하고 위협에 대한 대응 수준을 높이는 구체적인 노력이 수반되어야 한다. 실제로 국가마다 처한 환경과 필요에 따라 사이버보안 수준은 상당한 편차를 보이고 있다. 국제기구를 비롯한 여러 관련 기관들이 국가별 사이버보안 수준과 격차를 분석하고 국가적 역량과 준비도, 그리고 성숙도를 높이기 위해 다양한 측정모델을 개발하고 있다. 호주전략정책연구소의 아시아태평양 사이버 성숙도 조사, 포토맥연구소의 사이버 준비도 지수, 옥스퍼드 대학의 사이버보안 역량 성숙도 모델, 그리고 ITU의 글로벌 사이버보안 지수 등이 대표적인 사례라고 할 수 있다. 개별 국가의 사이버보안 역량을 평가하는 것은 여러 면에서 어려운 일이다. 국가마다 사이버보안을 통해 궁극적으로 달성하려는 목표에 대한 합의가 부족하고, 목표가 있다 하더라도 그것을 평가하는 방법과 지표의 개발, 그리고 조사가 쉽지 않은 까닭이다. 특히 국가를 대상으로 하는 사이버보안 역량 평가는 각국의 정치‧사회 등 상황적 맥락에 따라 다양하기 때문에 보편적인 평가 지표를 개발하는 것이 어렵고, 국가 안보와도 연관되어 상황을 정확히 진단할 수 있는 데이터 수집과 분석이 용이하지 않기 때문이다. 그럼에도 불구하고 개별 국가의 사이버보안 역량 수준 평가는 정책 추진 상황을 객관적으로 진단하고 평가하여 관련 정책 추진 과정에서 자원 투입의 합리성을 제고하는데 기여할 수 있다. 또한 개별 추진 주체의 책임성을 확보하기 위한 노력을 촉진할 수 있다는 점에서 유용하다. 다양한 사이버보안위협 대응 실전 경험과 기술력을 겸비하고 있는 우리나라의 입장에서는 양자, 다자간 협력과 국내 보안 산업 해외진출 지원 차원에서 사이버보안 역량 분석을 통해 개발도상국가와의 협력 가능 분야를 판별하고 효과적인 지원책을 마련함으로써 해당 시장에 진출하는데도 도움이 될 수 있다. 이를 위해 본 논문에서는 호주전략정책연구소에서 개발한 아시아태평양 성숙도 모델, 포토맥 연구소의 사이버 준비도 지수, 이코노미스트 인텔리전스 유닛(Economist Intelligence Unit: EIU)의 사이버 파워지수, EU 회원국을 대상으로 한 사이버보안 대쉬보드, 옥스퍼드 대학의 사이버보안 역량 성숙도 모델, ITU에서 개발한 글로벌 사이버보안 지수 등 기존에 발표된 국가 사이버보안 역량, 성숙도, 준비도 평가 지수 모델에 대한 비교‧분석을 통해 보다 개선된 성숙도 지수모델을 제안하였다. 제안된 성숙도 지수모델은 디지털 경제와 정보화를 추가한 지표항목의 개선, 데이터 수집과 조사‧평가방법의 개선, 그리고 역량 성숙도 통합 모델(Capability Maturity Model Integration: CMMI)을 원용한 성숙도 단계별 수준 정의와 이에 따른 측정, 국가 프로필 마련과 세부 권고 제시 등으로 요약할 수 있다. 아울러 오만과 르완다를 대상으로 이를 적용한 성숙도 조사와 분석을 실시하였다. 개선 모델은 ITU 글로벌 사이버보안 지수 모델의 수정 제안 등을 통해 개도국의 사이버보안 수준 파악과 역량확보를 지원할 수 있고, 국내 정보보호 기업의 해외진출 도구로 활용할 수 있다. 아울러 개도국을 비롯한 여러 국가들은 사이버보안 역량 제고를 위해 자체적인 노력을 기울일 수 있는 진단 도구로 활용할 수 있고, 국제기구 등 여러 기관들이 필요한 부분에 적절한 도움을 줄 수도 있다. 또한 우리나라에 지원을 요청하는 개도국과의 협력방안을 보다 상세하게 마련함으로써 국내 정보보호 기업의 해외진출에 유용한 도구로 활용할 수 있을 것으로 기대된다.

고속도로 지능형교통체계 사이버보안 시험평가 방안 연구

김지석 아주대학교 2021 국내석사

고속도로 지능형교통체계(ITS, Intelligent Transport System)는 첨단 ICT 기술을 활용하여 실시간으로 교통정보를 수집하고, 가종·제공함으로써 도로 이용 효율과 교통 편의, 안전도 향상 및 에너지 절감이 가능한 환경친화적 교통체계를 구현하는 지속가능형 교통체계이다. 최근에는 자율주행자동차 및 관련 기술의 발전과 더불어 협력형 ITS(Cooperative ITS)에 대한 실증사업이 추진되고 있으며, 지능형교통체계 기술이 고도화되고 발전될수록 사이버보안 위협과 피해 규모는 커지게 된다. 고속도로 ITS는 이용자의 안전과 편의와 직결되는 만큼 사이버보안에 대한 체계적인 관리 방법에 관한 연구가 요구된다. 본 연구는 자동차·도로교통분야 국가 중요시설인 고속도로 지능형교통체계(ITS)를 사이버보안 위협으로부터 안전하게 관리하는 데 필요한 사이버보안 시험평가 방안을 도출하는 것으로 연구의 방향성 수립, 국내 관련 법·제도 및 사이버보안 시험평가·인증 체계 조사, 선행 연구 고찰 등을 통해 사이버보안 시험평가 대상을 고속도로 현장 ITS 제어기 9종으로 선정하였고, 사이버보안 침해로 인한 교통안전 위협 및 사회적 혼란 정도를 고려하여 사이버보안 위험도를 3개 등급으로 분류하였다. 연구 결과로, 5개 보안 요구사항 23개의 시험평가 항목을 도출하였고, 신규 시험평가 항목으로 제시한 “외부 함체 접근제어”에 대해서는 고속도로 ITS 제어기 9종을 대상으로 현장 실증을 수행하였으며, 결과는 “양호”로 평가되었다. 향후 연구과제로 본 연구에서 도출된 「고속도로 ITS 사이버보안 시험평가 방안」을 기초로 사이버보안 시험평가 절차 표준화 및 적합기준을 연구하고, 이를 바탕으로 시험평가 도구 개발 및 제도화 방안 연구가 가능하다.

한국의 국가 사이버보안 수준의 제도적 영향요인에 관한 연구

박재형 고려대학교 행정대학원 2013 국내석사

본 연구는 전통적인 국가안보의 대상인 영토, 영공, 영해와 같은 물리적 공간에 이어, 정보통신기술의 발전과 급속한 확산으로 우리 생활 전체에 투영되고 있는 새로운 국가안보의 대상인 사이버공간에 대해 국가 사이버보안 수준에 영향을 미치고 있는 영향요인들을 알아보고, 검증하는 것을 목적으로 한다. 선행연구를 통하여 알아본 국가 사이버보안 수준에 영향을 미치는 요인으로는 전략 차원에서의 국가차원의 포괄적 사이버보안전략의 유무, 기관․조직․기능 차원에서의 국가 사이버보안 총괄 전담기관의 존재 및 총괄조정기능의 유무, 법규 차원에서의 통합법제의 유무, 민관․국제간의 대외 협력도 수준, 사이버보안 인식도 수준, 법률기반의 전문 연구개발기관의 유무 등 6가지를 도출하였다. 이 6가지 요인을 국가 사이버보안 수준에 영향을 미치는 영향요인으로 보고 영향을 미치는 유무, 수준 및 영향요인들 간의 중요도 등을 식별하고자 하였다. 이를 위해 본 연구에서는 초점집단인터뷰(Focus Group Interview: FGI) 방법을 준용하여 자료를 수집 및 분석하였다. 조사대상은 국가 사이버보안체계와 관련이 있는 중앙행정기관, 소관공공기관, 전문연구기관 및 학계 전문가 등 총 30명을 대상으로 하였다. 자료의 수집 및 분석 결과 영향요인으로 설정한 6가지 요인은 모두 국가 사이버보안 수준에 영향을 미치는 요인으로 확인되었다. 다만, 그 영향의 수준은 서로 차이가 나는 것으로 나타났는데, 영향의 수준은 사이버보안에 대한 인식도가 가장 큰 것으로 나타났으며 그 다음으로는 총괄전담기관․총괄조정기능의 유무, 통합법제의 유무, 포괄적 전략의 유무, 대외협력도 순으로 나타났으며, 법적근거를 가진 전문연구개발기관의 유무는 6가지 영향요인 중 가장 영향의 정도가 낮은 것으로 나타났다. 연구결과 도출된 정책적 제언으로는 첫째, 사이버보안 관련 법 국가차원의 기본원칙이 될 수 있는 포괄적 전략의 수립을 제안하였고, 둘째, 국가 사이버보안을 총괄할 수 있는 총괄전담기관의 지정으로 전․평시 대응은 물론 사이버보안에 대한 정책수립 및 시행도 단일화하며, 셋째, 법제의 정비가 필요하며, 방법은 통합법제의 제정이라는 방법이 효과적일 것으로 제안한다. 넷째, 대외협력을 증진하기 위한 방안으로서 실질적이고 상시적으로 작동하는 정부․공공기관․민간사업자와의 효율적 정보공유 및 협력체제가 필요하며, 국제협력에서는 특히 중국과의 협력을 적극적으로 추진할 것을 제안한다. 다섯째, 사이버보안 인식도의 증진을 위하여 전국민 대상 모의 훈련을, 여섯째 사이버보안 관련 연구개발에 적극 나서되, 특히 공격기술의 연구개발 필요성이 요구된다.

에너지 분야 주요기반시설 사이버보안 강화방안에 관한 연구

정나영 상명대학교 경영대학원 2018 국내석사

With the recent convergence of IT technologies, the environment surrounding the Critical infrastructure is changing from the existing independent and closed environment to the open environment. Also, As cyber attacks increase, the stable and continuous operation of the main infrastructure It is in danger. In particular, in the energy sector, cyber threats may not only result in an end to systems and critical services, but may lead to economic and financial turmoil, Therefore, there is a need for a cybersecurity capability enhancement plan that can cope with this. This paper, first, analyzes the security threats according to the characteristics of the Critical infrastructure of the energy sector and environment, and analyzes the necessity and importance of protection. Then, compared the strategies and policies established in Korea and abroad, the system for responding to cyber risk, and the organization for continuous communication and information sharing. Lastly, This paper emphasize the necessity of management evaluation system, in order to continuously respond to cyber threats at the national level. The basic direction for the construction of the energy management evaluation system was set to reflect the characteristics of the energy sector and the elements for responding to security threats, based on the items of the management evaluation system currently being implemented in Korea . The international standard used in this process is ISO / IEC27019, NERC CIP002-009, which is an international standard that is mainly used for building cybersecurity regulation and management evaluation of Critical infrastructure of energy sector. Finally, the elements are 13 items in five areas(information security organization, human security, physical and environmental security, communication and operation management, and business continuity). In addition in order to strengthening cybersecurity, It is also necessary to establish an integrated policy as a support plan to implementing effective measures and continuously monitoring and managing cybersecurity. Also, It is necessary to provide a plan to cultivate professional manpower by establishing a human resources framework so that appropriate manpower can be provided for the protection of major infrastructure. keyword: Critical Infrastructure Protection, Cybersecurity, Energy Sector, Policy Direction 최근 주요기반시설에 IT 기술이 융합됨에 따라 주요기반시설을 둘러싼 환경이 기존의 독립적·폐쇄적 환경에서 개방적인 환경으로 변화하고 있으며, 목적성 있는 사이버 공격이 증가함에 따라 주요기반시설의 안정적이고 지속적인 운영이 위험을 받고 있다. 특히 에너지 분야의 경우 사이버 위협이 발생할 시 단순히 주요기반시설의 시스템 및 주요 서비스가 중단되는 것으로 끝나는 것이 아니라 경제적 및 재정적인 혼란을 초래할 수 있으며, 심지어 원자력의 붕괴는 인명 피해 및 막대한 환경 피해가 발생할 수 있기 때문에 이에 대응 할 수 있는 사이버보안 역량 강화방안이 요구된다. 본 논문은 먼저 에너지 분야 주요기반시설의 특성 및 환경의 변화에 따른 보안 위협을 분석하고, 보호의 필요성 및 중요성을 분석하였다. 이어서 에너지 분야 주요기반시설의 사이버보안 강화를 위해 국내·외에서 수립하고 있는 전략 및 정책을 비롯하여 사이버 위험에 대응하기 위한 체계, 지속적인 커뮤니케이션과 정보 공유를 위한 조직 등을 비교·분석 하였다. 그 결과 국내는 미국, EU, 영국에 비해 에너지 분야 주요기반시설을 둘러싼 다양한 보안 위협 상황에 대응 할 수 있는 정책 체계를 갖추지 못하고 있으며, 보호 대책의 효과성 및 지속적인 운영 현황을 점검 할 수 있는 관리평가 체계가 에너지 분야의 특수성을 반영하지 못하다는 한계점이 도출되었다. 따라서 본 논문에서는 에너지 분야 주요기반시설의 보호 필요성을 강조하고 지속적으로 사이버 위협에 대응하기 위해서는 국가 차원에서 위험관리 차원의 관리평가체계를 구축하고, 지속적으로 관리하는 것이 중요하다고 판단하였으며 국제표준을 활용하여 관리평가체계 구축 시 필요한 항목을 도출하였다. 본격적인 분석 이전에 에너지 분야 관리평가체계의 구축을 위한 기본 방향은 현재 국내에서 수행하고 있는 관리평가 체계의 항목을 기본으로, 에너지 분야의 특성 및 보안 위협 요소에 대응하기 위한 요소를 반영하는 것으로 설정하였다. 이와 같은 과정에서 사용된 국제 표준은 에너지 분야 주요기반시설의 사이버보안 규정 및 관리평가 구축에 주로 활용되는 국제 표준인 ISO/IEC27019, NERC CIP002-009 으로 두 표준의 비교를 통해 에너지 분야 사이버보안 강화에 필요한 요소로 11개 분야, 29항목, 62개 항목을 도출하였다. 이후 국내 주요기반시설의 관리평가체계로 활용되는 ISMS 항목과의 비교를 통해 에너지 분야의 특수성 및 주요기반시설 환경의 변화를 모두 반영하지 못하는 한계점이 있음을 도출하였으며, 마지막으로 기존의 국내 관리평가체계 항목에는 포함되어 있지 않은 항목을 중심으로 에너지 분야 관리평가체계 구축 시 새롭게 추가되어야 할 항목을 도출하였다. 최종적으로 도출된 요소는 5개 분야(정보보안 조직, 인적보안, 물리 및 환경보안, 통신 및 운영관리, 비즈니스 연속성)의 13항목이며, 이러한 항목을 반영한 관리평가 체계를 구축하여 에너지 분야 주요기반시설의 사이버보안의 강화를 위해서 요구되는 대책을 수립 및 구현뿐만 아니라 지속적으로 점검·관리하기 위한 평가 항목의 부족 문제 해소에 기여하고자 한다. 또한 관리평가체계 구축 외 사이버보안 강화를 위한 지원 방안으로 통합적인 정책을 수립하여 효과적인 대책 구현과 함께 이를 지속적으로 점검 및 관리하기 위한 관리평가체계의 수립 기반을 마련하여야 하며, 국가 차원에서의 사이버보안 인력 프레임워크 수립 등을 통한 전문 인력 양성 방안을 제시하여 주요기반시설 보호에 알맞은 인력이 수급될 수 있도록 해야 한다. 주요어: 주요기반시설, 에너지 영역, 사이버보안, 정책 방안