I. 서론
정보화의 발달은 일상생활에 편리성을 제공하고 조직의 업무 효율성 제고에 긍정적인 영향을 미치고 있다. 반면에 7.7 DDoS, 3.20 대란과 같은 사이버 위협의 증가, 기업의 크고 작은 정보유출 사고 등 급속한 정보화의 발달에 따른 위협도 존재한다. 이에 따라 정보보호의 중요성에 대한 인식이 증가하고 있으며, 정보보호 수준 향상을 위한 다양한 노력들을 기울이고 있다. 하지만 ‘보안은 결국 사람이다’라는 말은 누구나 인지하고 있지만 여전히 기술적인 솔루션에 의존하고 있는 것이 사실이다.
해외 정보보호 연구동향 분석 결과에 따르면 인적 보안에 대한 연구는 5.4% 수준으로 나타났다[1]. 또한 시장조사 기관인 Gartner의 조사에 의하면, 정보보호 산업 규모는 지속적으로 증가하고 있지만 기술적인 솔루션에 대한 의존도가 높은 것으로 나타났다[2]. 한편, 최근 이슈화되고 있는 보안 위협인 APT(Advanced Persistent Threat)는 사회공학적 공격을 동반하기 때문에 기술적인 솔루션도 요구되어지지만 개개인의 보안역량 강화가 무엇보다도 중요하다고 할 수 있다.
보안역량 강화를 위한 다양한 방법이 존재하지만 정보보호 교육, 훈련, 그리고 캠페인, 홍보 등과 같은 인식제고 프로그램이 대표적이라 할 수 있다. 특히 정보보호 교육의 경우 KISA 아카데미와 같은 교육센터를 국가차원에서 운영하여 전문 인력을 양성하고 있으며, 기업에서도 임직원에 대한 정기적인 정보 보호 교육을 실시하고 있다. 그리고 대학에서는 정보보호 관련학과가 지속적으로 신설되고 있고, 고용 계약형 지원 사업 등 산학연계가 활발히 이루어지고 있다. 하지만 이러한 노력에 그치지 않고 장기적인 측면에서의 발전방향을 제시하기 위해서는 정보보호 교육 관련 연구동향을 살펴보고 향후 개선사항을 도출할 필요가 있다.
본 논문에서는 현재까지 수행된 국내외 정보보호 교육 관련 연구를 분석하여 시사점을 도출하고, 향후 국내 정보보호 교육 연구의 발전방향을 제시하고자 한다. 2장에서는 연구 논문의 수집 및 분석 방법을 설명하고, 3장에서는 국내외 연구를 비교 분석한다. 4장에서는 연구결과를 정리하여 시사점을 도출하고 5장에서는 결론 및 향후 발전방향을 논의한다.
II. 연구 방법
본 연구를 수행하기 위해 M.T. Dlamini 외[3]의 연구 방법에 따라 해외 4개의 저널 - Computer Fraud & Security, Computers & Security, Information Management & Computer Security, IEEE Security & Privacy를 선정하였다. 또한 국내외 연구 동향의 비교를 위해 국내 정보보호 분야의 대표적인 저널인 한국정보보호학회 논문지(Journal of the Korea Institute of Information Security and Cryptology)와 학회지(Review of KIISC)를 선정하였다.
선정된 저널에서 연구 논문을 수집하기 위하여 논문 제목과 키워드에 각각 교육(Education), 훈련(Training), 인식(Awareness)을 입력하여 연구 논문을 수집하였다. 제목과 키워드로 연구 논문을 검색한 이유는 제목에는 교육이 포함되어 있지 않으나 연구 내용이 정보보호 교육이거나 키워드에 교육이 포함되어 있는 경우가 존재하기 때문이다. 또한, 교육, 훈련, 인식으로 검색한 이유는 제목에 교육이 포함되어 있으나 연구 내용이 훈련 또는 인식제고인 경우, 제목에 교육과 훈련 또는 인식이 함께 포함되어 있는 경우, 키워드에는 교육이 포함되어 있으나 연구 내용을 뒷받침하기 위한 수단으로 일부 교육을 언급한 경우 등을 구분하기 위해서이다. 실제로 미국국립 표준기술연구소의 NIST SP 800-12에서는 교육, 훈련, 인식을 명확히 구분하고 있다[4]. 교육은 특정 현상이 왜(Why) 중요한지 이해시키는 것, 훈련은 문제를 해결하는 방법(How)과 관련된 스킬을 함양하는 것이고, 인식은 무엇을(What) 해야 하는지를 인지시키기 위한 정보전달이 목적이다. 이러한 개념의 차이에 따라 교육 및 평가 방법, 효과의 지속기간도 상이하다.
수집된 연구 논문을 교육, 훈련, 인식으로 분류하여 연도별 게재현황, 저널별 게재현황을 기본적으로 분석하였다. 본 연구가 정보보호 교육에 대한 연구 동향 분석이지만 앞서 교육, 훈련, 인식의 차이를 살펴보았듯이 이와 관련된 연구 현황의 차이를 비교하는 하는 것은 의미 있는 분석이라고 할 수 있다. 다음으로, 정보보호 교육 관련 연구 동향을 상세히 분석하기 위하여 연구방법론, 연구 주제, 교육 대상 및 분야를 비교하였으며 연구주제별 교육 대상, 연구주제별 교육 분야, 대상별 교육 분야를 분석하여 시사점을 도출하였다.
III. 연구 동향 분석
3.1 기본 분석
해외 4 개의 저널을 대상으로 3 가지 검색어로 수집한 184개 논문 중에서 상황인식 기반 악성코드 탐지 등 제목에 검색어가 포함되어 있지만 교육, 훈련, 인식제고와 관련성이 없는 논문, 이상 징후 탐지시스템 분석을 위한 IDS Training data 사용 등 키워드에는 검색어가 있지만 실제 연구 주제가 관련성이 없는 25개의 논문을 제외하고 총 159개 논문을 기반으로 기본적인 해외 연구 동향을 분석하였다. 국내의 경우에도 마찬가지로 일차적으로 수집된 59개 논문 중에서 제목과 키워드에 인식이라는 단어를 포함하고 있지만, 생체 인식, 이상징후 상황 인식 등 본 연구 주제와 관련성이 없는 41개 논문을 제외하고 18개 논문을 기반으로 기본적인 연구 동향을 분석하였다. 국내외 저널에서 수집된 총 177개 연구 논문의 게재현황은 Table 1.과 같다.
Table 1. Publication Status
Table 1.에서 알 수 있듯이 국내의 정보보호 교육, 훈련, 인식관련 연구는 해외에 비하여 다소 부족한 것을 알 수 있으며, 교육 관련 연구가 가장 많이 수행된 것을 알 수 있다. 또한, 국내에서는 정보보호 훈련에 대한 연구가 없는 것을 알 수 있는데, 2 건의 논문 제목에 교육과 훈련이 모두 포함되어 있지만 포괄적인 교육체계 내에서의 훈련을 언급하여 이를 교육 연구로 분류하였다. 한편, IEEE Security & Privacy에 정보보호 교육 및 훈련 관련 연구가 상대적으로 많이 게재되었으며, 이것은 주기적으로 저널 내 별도의 교육 및 훈련 세션을 구성하였기 때문이다.
다음으로 검색 연도를 별도로 지정하지 않고 수집된 논문 중 해외는 1982년 훈련관련 논문, 국내는 2001년에 교육관련 논문을 시작으로 2015년까지의 연도별 논문의 게재 추세를 살펴보았다. 해외의 경우 국내보다 약 20년 전부터 정보보호 교육에 대한 연구가 시작되었으며, 2000년 초반부터 이에 대한 연구가 증가하고 있다. 또한 2010년부터 사이버보안에 대한 관심이 급증하면서 2015년까지 10건의 사이버 보안을 위한 교육 연구가 수행되었다. Fig. 1.에서 알 수 있듯이 증감을 반복하고 있지만 해외는 증가, 국내는 감소 추세임을 확인할 수 있다.
Fig. 1. Publication Trend
3.2 상세 분석
정보보호 교육에 대한 개선사항을 도출하기 위하여 전체 177개의 연구 논문 중에서 정보보호 훈련관련 논문 45개 및 인식관련 논문 62개를 제외한 해외 54개, 국내 16개의 총 70개 정보보호 교육관련 논문에 대해 상세 분석을 수행하였다. 여기에는 연구에 사용된 연구방법론, 연구 주제, 교육 분야, 교육 대상에 대한 분석과 국내외 비교가 포함된다.
3.2.1 연구방법론
각 논문에서 사용된 연구방법론을 Mario Silic와 Andrea Back의 분류를 참고하여 구분하였으며[1], 본 논문에서는 문헌연구, 인터뷰, 사례연구, 서베이, 실험연구가 해당된다. 국내외 정보보호 교육 연구에서 사용된 연구 방법론은 아래의 Table 2.와 같다. 국내외 연구방법론을 비교해보면, 사례연구가 해외(약 41%) 22건, 국내(75%) 12건으로 가장 많은 비중을 차지하고 있다. 한편, 해외의 경우 국내와 비교하여 인터뷰, 실험연구가 추가적으로 사용되었다. 실험연구의 경우 교육의 효과성을 측정하기 위한 연구가 8건 존재했는데, 교육 전후의 효과성을 측정한 연구가 4건, 교육을 수행한 집단과 그렇지 않은 집단을 비교한 연구가 3건, 시간차에 따른 교육 후에 두 집단간의 차이를 측정한 연구가 1건 존재하였다.
Table 2. Research Methodology
3.2.2 연구 주제
정보보호 교육에 대한 동향 분석 연구가 부족한 실정이고, 참고 가능한 연구 주제의 분류기준이 명확하지 않아, 본 연구에서는 연구 주제를 교육과정 분석, 교육체계 제안과 같이 연구의 목적에 따라 분류하였다. 왜냐하면 논문의 제목과 키워드에 연구 주제가 명확히 표현되지 않은 사례가 존재하며, 교육과 훈련 또는 인식제고가 연구 내용에 모두 포함된 경우가 존재하기 때문이다. 하지만 연구 목적은 모든 연구에 반드시 포함되어 있으며 그 연구를 가장 명확히 구분할 수 있기 때문에 연구 목적으로 연구의 주제를 분류하였다. 연구 주제는 교육과정, 교육방법, 교육 체계, 역량개발, 교육 컨텐츠, 효과성 측정의 6개로 구분하였다.
교육과정에는 국가 차원 또는 학교의 교육과정을 식별하여 분석하거나 향후 요구되어지는 과정 제안을 포함하고 있다. 교육체계는 미국의 NICE와 같은 국가차원의 교육 프로그램, 정부기관과 교육기관의 관계, 교육 인프라 등 전반적인 체계에 관한 연구를 포함한다. 교육방법에는 이론/실습, 온/오프라인 교육, 컨텐츠 활용법, 교수법 등이 포함된다. 또한, 연구 목적이 정보보호 교육을 통한 인력양성이거나 교육뿐만 아니라 훈련, 인식제고 프로그램이 포함된 경우, 이러한 연구 주제를 포괄적으로 역량개발로 구분하였다. 효과성 측정에는 교육 전후 또는 집단 간의 차이를 분석한 연구가 해당된다. 국내외 정보보호 교육 관련 연구 주제의 현황은 Table 3.과 같다.
Table 3. Research Theme
국내외 정보보호 교육 연구의 주제를 비교해보면, 교육과정에 대한 연구가 해외(약 35%) 19건, 국내(50%) 8건으로 가장 많은 비중을 차지하고 있다. 국내와 해외의 가장 큰 차이점은 해외의 경우 교육의 효과성을 측정하는 방법, 교육 컨텐츠 개발과 같은 연구가 수행되었다는 점이다.
3.2.3 교육 분야
정보보호 교육에 대한 연구에서 다루어진 교육 분야를 분류하기 위하여 김민정 외[5]의 분류기준을 참고하여 프로그래밍 및 컴퓨터보안, 통신·네트워크 보안, 데이터베이스 보안, 공격(해킹, 악성코드 등), 보안관제, 사이버보안(사이버전 등), 포렌식, 정보보호이론, 수학 및 암호, 보안 경영, 보안 법·제도 및 정책, 기타로 분류하였다. 여기에서 교육 분야를 포괄적으로 정보보호를 언급하여 세부 분류가 어려운 경우, 정보보증(Information Assurance), 프라이버시, 보안 행동공학(Behavior Science)과 같이 상기의 분류기준에 해당되지 않는 경우를 기타로 분류하였다. 또한 국내의 경우, 공통평가기준은 보안 평가를 위한 표준으로 이에 대한 교육관련 연구는 보안 법·제도 및 정책 분야로 분류하였다.
교육 분야의 구성을 살펴보면, 분류가 어려운 기타 분야를 제외하고 해외의 경우, 사이버보안(18.5%)이 10건으로 가장 많은 비중을 차지하였다. 한편 국내의 경우, 대부분의 연구가 정보보호 교육과정 및 교육체계에 대한 연구이기 때문에 특정 교육 분야를 명시하지 않은 기타 분야가 가장 많았고, 공격(해킹, 악성코드 등), 사이버보안, 정보보호이론, 보안 법·제도 및 정책이 각각 1건씩 존재하였다. 이것은 해외의 연구가 국내보다 교육 분야와 관련하여 보다 세분화되어 연구되었다는 것을 의미한다. 교육 분야에 대한 연구 현황은 Table 4.와 같다.
Table 4. Education Area
3.2.4 교육 대상
정보보호 교육 관련 연구 중 교육의 대상을 살펴보면 대학생 및 대학원생, 고등학교 이하 학생, 임직원, 보안 전문가, 개발자로 구분할 수 있으며, 연구에 대상을 명시하지 않은 경우를 기타로 분류하였다. 국내외 교육 대상을 비교해보면, Table 5.와 같이 대학생 및 대학원생이 해외(약 41%) 22건, 국내(약 56%) 9건으로 가장 많은 비중을 차지하고 있다. 국내에서는 교육 대상을 명확히 확인 가능한 연구의 경우, 대학생 및 대학원생(9건), 임직원(2건), 초등학생(1건)을 대상으로 수행된 교육 연구가 존재하였고, 기타 분류에 초등학교부터 대학교까지의 정규학교의 학생을 모두 대상으로 수행한 연구가 1건 존재한다. 국내의 경우 연구의 대상이 대부분 학생인 반면, 해외의 경우 추가적으로 보안전문가와 개발자를 대상으로 한 교육관련 연구가 존재하는 것이 특징이다.
Table 5. Education Target
3.2.5 교차 분석
끝으로 Table 6., 7.과 같이 연구주제별 교육 분야 및 대상, 교육 분야별 대상에 대한 연구동향을 분석하였다. 우선 국내(K)와 해외(F) 모두 정보보호 교육과정 분석에 대한 연구가 가장 많이 수행되었다. 해외의 경우 사이버보안, 프로그래밍 및 컴퓨팅 보안 등 다양한 분야의 교육과정에 대한 연구가 수행된 반면, 국내의 경우 세분화된 분야가 아닌 포괄적인 정보보호 교육과정 분석에 대한 연구가 수행되었다. 또한 국내외 모두 대학교 및 대학원의 정보보호 교육과정에 대한 연구가 가장 많이 수행되었는데, 해외의 경우, 임직원을 위한 보안정책 교육, 개발자를 위한 시큐어코딩 교육, 해킹 대응 기술, 포렌식 등 전문가를 위한 심화 교육에 대한 연구가 추가적으로 수행되었다.
Table 6. Research Theme, Education Area and Target
※ CU(Curriculum), CD(Capability Development), EC(Education Contents), ES(Education System), EM(Effectiveness Measurement), TM(Teaching Method), F(Foreign Journal), K(Korean Journal)
Table 7. Education Area and Target
※ F(Foreign Journal), K(Korean Journal)
한편 고등학교 이하 학생 및 유소년을 대상으로 한 교육 연구와 관련하여, 해외의 경우 유소년을 위한 해킹 예방 교육에 대한 연구가 수행되었으며, 국내의 경우에는 초등학교 등 정규교육기관에서의 정보 보호 교육에 대한 연구가 존재하였다. 국내 정규교육기관에서는 대부분 도덕, 실과, 컴퓨터 과목에서 바이러스 및 해킹 예방, 인터넷 윤리 등에 대한 교육이 이루어지고 있으나, 정보보호에 대한 개념 형성을 위한 기본 교육은 부족한 것으로 나타났다.
IV. 연구 결과 및 시사점
국내외 정보보호 교육 관련 연구 동향의 분석 결과를 종합해보면, 우선 해외에 비하여 국내에 게재된 정보보호 교육 관련 연구가 다소 부족한 편이다. 연도별 논문 게재현황을 살펴보면 연구 건수가 증감을 반복하고 있지만 감소하는 추세이다. 따라서 향후 정보보호 교육 관련 연구에 대한 관심을 증대시키고 연구를 장려할 필요가 있다.
연구의 양도 중요하지만 교육 분야와 연구 방법도 중요하다. 국내에서는 정보보호라는 포괄적인 분야에 대한 연구가 대부분이지만, 해외의 경우 보안 전문가나 화이트 해커의 기본 소양이나 필요 역량, 디지털 포렌식 및 정보시스템 취약점 분석을 위한 효과적인 실습 방법, 개발자에게 필요한 시큐어코딩 교육 과정 등 교육대상에 따른 다양한 교육 연구가 수행되었다. 연구 분야가 세분화될 경우 전체를 간과할 수 있는 단점이 존재하지만, 국내의 경우 현재까지 교육 과정, 교육 방법 등 전반적인 교육체계 및 인력양성 방안에 대한 연구가 중점적으로 수행되었으므로, 이러한 연구를 세분화된 분야로 확장하여 적용할 필요가 있다. 또한 현재까지 대부분의 교육과정에 대한 연구가 대학교 및 대학원을 중심으로 이루어 졌으므로, 고등학교 이하 정규고육기관에서의 교육에 대한 연구도 정보보호 개념형성, 영재 발굴 등의 일환으로 수행될 필요가 있다.
마지막으로 국내외 모두 현재의 정보보호 교육과정 및 체계의 사례를 분석하여 개선사항을 제시하는 연구가 가장 많았지만, 국내의 경우 교육의 효과성 측정에 관한 연구가 부족한 실정이다. 효과성을 측정해야 개선점을 찾을 수 있고 교육을 통해 태도나 행동에 변화가 있어야 효과적인 교육이라 할 수 있다. 실제로 이러한 태도나 행동 변화에 영향을 주는 변수가 많고, 정확한 측정이 어려운 것이 사실이다[6]. 하지만 M.E. Thomson과 R. von Solms의 연구[7]와 같이 정보보호 교육이 태도 및 행동에 영향을 주는 요인을 식별하는 문헌연구나, Melissa Dark와 Jelena Mirkovic의 연구와 같이 교육 평가 이론을 정보보호 교육 분야에 적용시키는 연구도 필요하다[8]. 뿐만 아니라 대학 정보보호 교과목에 대한 만족도조사를 조사를 통해 정보보호 분야의 트렌드 변화를 반영하거나, J. M. Hagen과 E. Albrechtsen의 연구[9]와 같이, 기업의 정보보호 이러닝을 통한 임직원의 이해도를 측정하는 연구 등 향후에는 국내 현실을 고려하여 정보보호 교육의 효과성을 측정하는 연구가 수행될 필요가 있다.
V. 결론
보안 위협이 점차 지능화·고도화되고 크고 작은 보안사고가 지속적으로 발생함에 따라 정보보호의 중요성에 대한 인식이 증가하고 있다. 이러한 상황에서 정보보호 수준향상을 위해서는 개개인의 보안역량 향상이 무엇보다 중요하다고 할 수 있다. 정보보호 교육은 보안역량 향상의 대표적인 방법 중의 하나로, 본 연구는 해외 4개, 국내 2개의 저널에 게재된 논문들을 대상으로 국내외 정보보호 교육관련 연구 동향을 파악하고 시사점을 도출하였다.
연구의 결과, 국내의 경우 정보보호 교육 관련 연구가 해외에 비하여 다소 부족한 것으로 나타났으며, 대학교 및 대학원에서의 정보보호 교육과정에 대한 연구가 가장 많이 수행되었다. 또한 사례분석을 통한 연구가 대부분을 차지하였으며, 해외의 경우 세분화된 분야에 대한 교육 연구가 수행된 반면, 국내에서는 포괄적인 정보보호 분야에 대한 연구가 가장 많은 비중을 차지하였다. 본 연구는 연구 주제를 분류함에 있어서 주관적인 기준을 적용하였다는 점, 국내외 연구동향을 비교하기 위해 국내에서 가장 대표적이지만 단일 학회의 저널들을 연구 대상으로 분석하여 현실과 다소 차이가 있을 수 있다는 한계가 있다. 하지만 정보보호 교육 관련 연구가 부족한 상황에서 정량적인 분석을 통해 연구동향을 파악하고 시사점을 도출하였다는 점에서 의의가 있다.
기존에 국내에서 수행된 정보보호 교육과정 및 체계 등과 관련된 연구들 덕분에 국내 유수한 대학에 정보보호 관련 학과가 신설되는 등 교육 인프라 구축에 많은 발전이 있었다고 할 수 있다. 하지만 이에 그치지 않고 정보보호 교육 분야의 지속적인 발전을 위하여 본 연구에서 도출된 시사점을 기반으로 다음과 같은 연구방향을 제시하고자 한다. 첫째, 향후에는 기존의 잘 갖춰진 인프라를 기반으로 다양한 정보보호 분야의 교육 연구를 통해 효과적인 교육 컨텐츠와 방법이 개발될 필요가 있다. 둘째, 교육의 목적은 결국 교육 내용을 인지하고 행동으로 연결되는 것이라 할 수 있으며, 대상에 따라 적절한 컨텐츠와 방법이 적용되어야 할 것이다. 셋째, 교육 후에는 교육의 효과를 측정하여 미흡한 사항을 지속적으로 개선하는 것이 중요하므로, 정보보호 교육의 효과성 측정과 관련된 연구가 수행될 필요가 있다. 끝으로 정보보호 교육과 함께 캠페인 등 인식제고 프로그램과 훈련이 병행되어야 보다 효율적인 개개인의 보안역량과 전반적인 정보보호 수준 향상이 가능할 것으로 판단된다.
* 이 논문은 2016년도 중앙대학교 CAU GRS 지원에 의하여 작성되었음.
References
- Mario Silic and Andrea Back, "Information security: Critical review and future directions for research," Information Management & Computer Security, vol. 22, no. 3, pp. 279-308, Jul. 2014. https://doi.org/10.1108/IMCS-05-2013-0041
- Ruggero Contu, Christian Canales, and Lawrence Pingree, "Forecast: information security worldwide 2012-2018, 2Q14 update," G00264279, Gartner, Aug. 2014.
- M.T. Dlamini, J.H.P. Eloff, and M.M. Eloff, "Information security: the moving target," Computers & Security, vol. 28, no. 3-4, pp. 189-198, Jun. 2009. https://doi.org/10.1016/j.cose.2008.11.007
- Barbara Guttman and Edward A. Roback, "An introduction to computer security: the NIST handbook," NIST Special Publication 800-12, National Institute of Standards and Technology, Oct. 1995.
- Min-Jeong Kim, Haeni Lee, Shin-Jeong Song and Jinho Yoo, ""A study on the curriculum of department of information security in domestic universities and graduate schools and comparison with the needs of industry knowledge," Journal of The Korea Institute of Information Security & Cryptology, vol. 24, no. 1, pp. 195-205, Feb. 2014. https://doi.org/10.13089/JKIISC.2014.24.1.195
- Hagen, J., "Human relationships: a never-ending security education challenge?," Security & Privacy, vol. 7, no. 4, pp. 65-67, Aug. 2009.
- M.E. Thomson and R. von Solms, "Information security awareness: educating your users effectively," Information Management & Computer Security, vol. 6, no 4, pp. 167-173, Oct. 1998. https://doi.org/10.1108/09685229810227649
- Melissa Dark and Jelena Mirkovic, "Evaluation theory and practice applied to cybersecurity education," Security & Privacy, vol. 13, no. 2, pp. 75-80, Apr. 2015. https://doi.org/10.1109/MSP.2015.27
- J.M. Hagen and E. Albrechtsen, "Effects on employees' information security abilities by e-learning," Information Management & Computer Security, vol. 17, no. 5, pp. 388-407, Nov. 2009. https://doi.org/10.1108/09685220911006687