I. 서론
1.1 연구의 배경
금융기관의 인터넷 및 모바일 뱅킹의 성장, 간편결제 등 핀테크의 발전에 따라 최근 금융기관을 상대로 한 해킹, 악성코드 배포 등 사이버 침해사고 또한 급증하고 있다. 이에 적절히 대응하기 위해 각 금융기관들은 정보보호조직의 규모 및 예산을 확대하고 최신 보안인프라를 마련하는 등 최선의 대응을 하고 있지만 정보보호인력 확보에는 어려움을 겪고 있다.
금융당국은 금융기관의 정보보호인력 및 예산에 대한 가이드라인을 제시하고 있으나, 이는 금융기관의 특성 및 규모를 고려하지 않은 일괄적인 가이드라인 으로 많은 부작용을 낳고 있다.
또한 정보보호인력의 자격 기준 부재와 정보보호인력의 공급 부족으로 금융기관에서는 정보보호 분야의 경험 및 전문성이 확보되지 않은 인력을 활용하는 경우가 많이 발생하고 있다. 이런 사유로 돌발 상황 발생 시 업무처리 미숙으로 인한 피해 규모가 확대되고 있으며, 일례로 2014년 아웃소싱 인력에 의한 신용카드 3사의 대규모 고객정보 유출사고 역시 정보보호 인력 수와 전문성 부족에 따른 결과라고 볼 수 있다. 대규모 은행권 이외 중 소규모의 금융기관의 경우에는 정보보호업무 수행을 위한 인력 수급이 더욱 힘들어 한 사람이 여러 정보보호업무를 겸직함에 따른 리스크가 확대되고 있다.
최근 공공기관과 기업의 개인정보보호 및 보안담당자 911명을 대상으로 조사한 결과에서 “개인정보보호·보안담당자로서 업무수행 중 가장 큰 애로사항은?” 이라는 질문에 1위는 367명(40.3%)이 답한 “보안전문인력 부족”이며, 2위는 248명(27.3%)이 답한 “보안사고시 책임부담”으로 파악되었다[1].
Table 1. Security officer's complaint ranking
(Source : http://www.boannews.com)
보안업무 담당자들이 업무수행에 있어서 겪는 가장 큰 애로사항은 악성코드 유포 및 개인정보 유출사건이 증가하고 핀테크 등 지급결제 신기술이 급증하면서, 보안인력이 대응해야 되는 업무 범위는 넓어졌음에도 불구하고, 대부분의 기업 보안인력은 IT 인력에 대비하여 소수에 불과하다는 것이다.
또한 KT 개인정보 유출사고로 보안담당자가 불구속 입건됐다는 언론보도가 전해지면서 보안전문가들의 보안사고에 대한 부담감도 높아진 상황이다.
근무태만에 의한 보안사고는 당연히 보안담당자가 책임져야 하겠지만, 인력부족으로 업무가 과중한 상태였거나 보안인프라에 대한 투자가 제대로 이뤄지지 않아 발생한 사고에 대해서까지 보안담당자에게 책임을 전가하는 현 상황은, 기업의 보안업무가 기피대상 업무로 되고 있는 주된 이유이다.
결국 이러한 상황에서 보안전문 인력이 지속적으로 공급되지 않은 채, 전문화 되지 않은 한정된 인력이 여러 보안업무를 겸직함에 따른 보안사고 발생이 가장 근본적인 보안리스크이다.
따라서 기업의 보안업무를 효율적이고 안정적으로 수행할 수 있도록 해당 분야의 적정인력을 산정, 확보하고 충분한 보안인프라를 갖추는 것이, 이러한 보안리스크에 대응하는 최적의 방법이라고 해석할 수 있다.
최근 금융기관의 정보보호 유출사고 현황을 살펴보면, 대형 금융회사도 해킹이나 내부직원의 정보유출, 외주인력에 의한 정보유출 등으로 많은 피해를 입은 것을 알 수 있다[2].
Table 2. Key information security accident types of domestic financial companies
(Source : http://www.nexpert.net)
사고 원인으로는 기본적으로 담당 업무의 절차 미 준수, 내부통제 소홀 등 여러 가지 원인이 있겠으나, 앞서 언급한 충분하고 전문성 있는 정보보호인력의 미확보도 중요 요인이다.
1.2 연구의 목적
본 연구에서는 현 정보보호조직 구성 관련 법규현황과 금융기관 별 정보보호조직 운영 현황을 검토하고 문제점을 파악하여, 각 정보보호업무별 적정인력을, 최종적으로는 정보보호조직에 대한 적정인원을 산정해 보고자 한다.
기존 정보보호업무의 적정인력 산정의 선행연구 사례는 정보보호업무의 특성을 고려하지 않고, 정보보호조직 전체의 필요인력을 설문조사 결과나 글로벌 금융회사의 운영현황을 참고하여 연구해왔다.
따라서 본 연구에서는 금융회사 규모 및 각 정보보 호업무의 특성을 고려한 업무별 필요 인력 산정모델을 제시하고자 한다.
금융회사의 규모를 실효적으로 측정할 수 있는 다양한 요소를 적용하고, 개별업무의 특성을 반영할 수 있는 측정지표를 반영하여, 금융회사에서 실질적으로 필요한 정보보호인력을 보다 정교하게 산정해 보도록 한다.
본 산정모델이 비록 금융회사를 대상으로 한 모델이나, 큰 틀에서 산정방법의 방향성은 금융회사뿐만 아니라, 각 산업계의 정보보호업무에도 적용될 수 있을 것이다.
향후 본 산정모델이 각 산업계의 정보보호 분야에 적용되어, 전문성 있는 정보보호인력의 충분한 공급으로 해킹 및 고객정보 유출 등 보안사고 리스크에 효율적으로 대응할 수 있기를 바란다. 아울러, 이러한 선순환 구조를 통하여 정보보호 산업 전체에 대한 활력을 불어넣을 수 있을 것을 기대한다.
II. 금융기관의 정보보호조직 구성 및 인력운영 현황
2.1 금융기관 정보보호인력 산정 관련 법규 현황
금융위원회 고시 전자금융감독규정 제8조(인력, 조 직 및 예산) 제2항 및 제3항에 따르면 금융회사의 정보기술부문 인력은 총 임직원수의 100분의 5 이상, 정보보호인력은 정보기술부문 인력의 100분의 5 이상이 되도록 하고, 이를 이행하지 못하는 금융기관은 그 사유 및 이용자보호에 미치는 영향을 홈페이지에 공시토록 하고 있다.
<전자금융감독규정>
제8조(인력, 조직 및 예산) ① 금융회사 또는 전자 금융업자는 인력 및 조직의 운용에 관하여 다음 각 호의 사항을 준수하여야 한다.
~ 중략 ~
② 금융회사 또는 전자금융업자는 인력 및 예산에 관하여 다음 각 호의 사항을 준수하도록 노력하여야 한다. 1. 정보기술부문 인력은 총 임직원수의 100분 의 5 이상, 정보보호인력은 정보기술부문 인력의 100분의 5 이상이 되도록 할 것 2. 정보보호예산을 정보기술부문 예산의 100분의 7 이상이 되도록 할 것
③ 제2항 각 호의 사항을 이행하지 못하는 금융회사 또는 전자금융업자는 그 사유 및 이용자 보호에 미치는 영향 등을 설명한 자료를 해당 금융회사 또는 전자금융업자가 운영하는 홈페이지 등을 통해 매 사업연도 종료 후 1개월 이내에 공시하여야 한다.
~ 이하 생략 ~
그러나 이러한 제도는 금융기관의 업무특성 및 규모를 반영하지 않은 일률적 제도로 많은 부작용을 낳고 있다. 금융기관들은 많은 사이버침해 및 개인정보 유출 사고 이후 보안인력 및 인프라를 확충하는 방향으로 나아가고는 있으나, 여전히 정보보호조직 및 인력 규모에는 전자금융감독규정의 산정 기준만을 준수한 채 유지되고 있는 것이 현실이다.
2.2 국내 금융기관별 정보보호인력 현황
국내 은행권 정보보호 예산 및 인력 현황을 살펴보면, 국민, 신한, 농협, 우리, 하나 등 대형 금융기관 이외 일부 지방 중소 은행들은 5명 이내의 매우 적은 인력으로 정보보호업무를 수행하고 있음을 알 수 있다[3].
Table 3. Budget and workforce status of information security area of domestic bank
(Source : http://m.ceoscoredaily.com)
Table 4.는 국내 비 은행권 정보보호 예산 및 인력 현황이다[4]. 증권, 보험사의 정보보호인력은 전체 인력의 0.5% 미만인 7명 이내로, 금융회사의 정보보호업무의 중요성을 고려할 때 매우 적은 인력이 정보보호업무를 수행하고 있음을 알 수 있다.
Table 4. Budget and workforce status of information security area of domestic non-bank
(Source : http://m.ceoscoredaily.com)
2.3 국내 정보보호 업체별 인력 현황
Table 5.는 2013년도 말 기준 국내 정보보호인력 현황이다.
Table 5. Status of information security workforce by each domestic industry division
(Source : Korea Internet & Security Agency)
총 94,224명으로, 보안업체 12,473명(13.2%), 공공기관 8,531명(9.1%), 일반기업 73,220명 (77.7%)으로 추정된다[5].
보안업체는 기업의 주력 업종이 “정보보안” 인 업체, 공공기관은 통계청의 산업 대분류 구분 상 “공공 행정 및 국방, 사회보장 행정”에 해당하는 업체, 일반 기업은 공공기관 및 보안업체를 제외한 업체를 말한다.
III. 적정인력 산정에 대한 문헌연구
3.1 선행연구 분석
적정 인력이란 조직이 추진하고 있는 목표 및 전략을 달성하는데 요구되는 인원의 규모를 의미한다. 직무 만족도에 관한 연구나 업무운영 효율성 분석에 관한 연구는 다수 있었으나, 적정인력 산정에 관한 연구는 상대적으로 적다. 그 중에서도 정보보호 분야에 대한 적정인력 산정 연구는 매우 적다. 선행연구 사례를 보면, 방준용 등[6]은 관할인구, 교통안전 시설 수, 도로연장, 자동차 수 등을 고려하여 AHP 분석방법으로 교통경찰의 적정인력을 산정하였고, 조옥경 등[7]은 세종특별자치시 교육청 지방공무원의 적정 인력규모를 산정함에 있어 세종특별자치시가 타 시도 교육청의 행정수요 요인(학생수, 학급수, 교원수) 등의 규모와 큰 격차가 있다고 보고 18개 시도 중 가장 규모가 유사한 제주특별자치도 교육청 인력을 토대로 산정하였다. 김종만 등[8]은 연구개발 부문의 적정인력을 산정함에 있어서 기존의 확정적 모형이 아닌 확률적 모형 설계를 바탕으로 하였다. 강찬우 등[9]은 지방자치단체 정보보호 적정인력을 업무별 총 수행시간을 분석하여 산출하였다.
또한 임정환 등[10]은 협동 조합형 금융회사의 중앙회를 위한 정보보호인력 및 예산의 적정성에 관한 연구에서 정보보호인력 및 예산은 글로벌 평균을 반영하여 정보보호 적정인력은 IT인력의 8%, 정보보호 예산은 IT예산의 9%로 반영해야 한다고 하였다. 임종인 등[11]은 공기업 정보보안 인력의 적정선 연구에서 42개 공기업과 9개 외국계 기업을 대상으로 한 심층적인 설문조사를 통해 IT인력은 총 임직원의 1% 이상, 정보보호인력은 IT인력의 6% 이상을 유지하는 것이 바람직하며, IT보안사고에 대한 제재 수준을 강화해야 한다고 하였다.
선행 연구를 분석해보면 정보보호업무의 적정인력 산정은 주로 정보보호업무의 특성과 상관없이 정보보호조직 전체의 적정인력에 대한 설문조사 결과나, 글로벌 금융회사의 정보보호조직 인력운영 규모의 평균값 또는 각 직무별 업무 수행시간을 분석하여 인력 산정을 연구해 왔다. 그러나 이러한 연구방법은 금융 회사의 규모와 특성, 또는 정보보호 상세 업무의 특성을 고려하지 않고 일률적으로 산정함에 따라 실 적정 인력과 많은 괴리가 발생하여 대부분 금융기관에서 참고 정보로 활용할 뿐, 인력을 투입하기 위한 산정 기준으로 적용되기는 어려운 실정이다. 또한 직무별 업무 수행시간 분석을 통한 인력산정 방법도 금융 회사의 특성 및 개별 업무 환경이 서로 상이하기 때문에 각 직무의 업무 수행시간을 산출한다는 것은 상당히 주관적이고 많은 오차가 발생할 것이라고 판단한다. 그럼에도 불구하고 현재 적정인력을 산정할 수 있는 명확하고 뚜렷한 방법이 존재하지 않아 적정인력을 산정한다는 것은 매우 어려운 일임에 틀림없다.
본 연구에서는 기존의 연구 분석 방법인 설문조사 방법을 활용하되, 금융회사의 규모를 산정하는 요소를 기존 전자금융감독규정의 총 인원으로만 정의하지 않고, 회사의 규모를 측정할 수 있는 다양한 요소를 적용해 보기로 한다.
또한 회사의 규모 이외 각 직무의 특성을 반영하는 인력 산정을 위해 직무별 업무 수행시간이 아닌, 직무별 업무중요도 및 업무난이도, 업무중요도와 업무난이도 간 상관관계에 따른 조정계수 등 여러 요소를 고려한 정보보호인력 산정 모델을 제시하고자 한다.
3.2 적정인력 산정 방법론
3.2.1 회귀분석법
회귀분석법은 통계적인 분석을 통해 인력의 규모와 여러 가지 다른 변수들 사이에 역사적인 관계(예를 들어, 매출액과 영업 인력의 수 사이의 관계식)를 도출한다. 회귀분석법을 실시하려면 매출액, 생산되는 제품의 수, 고객 수 등과 같은 독립변수와 인력 규모나 정규직 인원수 등과 같은 종족변수에 대한 과거 데이터가 필요하다[12].
3.2.2 스태핑 비율
업무량 또는 성과물의 크기와 그 업무를 수행하는 인력 수 사이의 정량 관계를 스태핑 비율이라고 부른다. 보통 이러한 비율들은 ‘1인당 얼마’ 의 형태로 표현된다. 스태핑 비율이 결정되면 업무량이나 성과물 크기 등을 추정하여 요구되는 인력 규모를 구할 수 있다[12].
3.2.3 스태핑 프로파일
조직의 크기 및 형태 등에 따라 표준적으로 얼마의 인력이 필요한지를 정의한 프로파일을 적용하는 것이 유용할 때가 있다. 프로파일은 독특한 특성 값들의 조합에 의해 만들어지는데, 각기 다른 프로파일들을 종합하여 정리하면 필요한 인력을 정의하기 위한 ‘참조 라이브러리’를 구성할 수 있다[12].
3.2.4 업무프로세스 기반 업무량 분석
단위 업무간의 실제 흐름을 고려하지 못하는 직무 분류 기반 업무량 분석의 한계를 극복하기 위하여 적용되는 기법인 업무프로세스 기반 업무량 분석은 단위업무의 세부 활동법(Lead Time, Cycle Time, Man Hour) 등의 비교 분석을 통해 설정된 표준시간을 기반으로 업무량을 분석한다.
3.2.5 AHP 방법
계층화분석법(Analytic Hierarchy Process: AHP)은 의사결정의 목표, 혹은 평가기준이 다수이며 복합적인 경우, 상호 배타적인 대안들의 체계적인평가를 지원하는 의사결정지원기법의 하나이다. 계층화분석법의 특징은 복잡한 문제를 계층화하고, 계층 구조를 구성하고 있는 요소간의 이원비교(pairwise comparison)를 통해 중요도를 도출하는 데 있다. 이 기법은 모형을 이용하여 상대적 중요도 혹은 선호도를 체계적으로 비율척도(ratio scale)화하여 정량적인 형태의 결과를 얻을 수 있다는 점에서 그 유용성을 인정받고 있다. 뿐만 아니라 간결한 적용절차에도 불구하고 척도 선정, 가중치 선정절차, 민감도 분석 등에 사용되는 각종 기법이 실증분석과 엄밀한 수리적 검증과정을 거쳐 채택된 방법을 활용한다는 점에서 이론적으로 높이 평가되고 있는 의사결정기법이다[13].
첫째, 정량적 요소와 정성적 요소를 모두 고려한 합리적인 의사결정을 가능하게 해준다. AHP는 가격, 비용, 수익, 시간 등과 달리 계량화하기 어려운 요소 들, 예를 들어 심각성, 중요성 등을 설득력 있게 의사 결정 과정에 반영해 줄 수 있다.
둘째, 계량단위나 측정단위가 서로 다른 경우에도 비교가 가능하다. AHP에서는 기준들의 측정 단위를 화폐, 미터 등의 표준단위(절대척도)로의 변환이 필요 없는 상대척도(두 요소간의 의사결정자간의 주관적 선호도)를 이용하므로 각 요소를 절대 척도화 하는 어려움이 없다.
셋째, 문제 해결과 관련된 소수의 전문가들의 참여에 의해서도 상대적 중요도의 측정이나 우선순위 결정이 가능하다. 일반적으로 설문조사의 경우, 분석결과의 신뢰성 확보나 유의성 확보를 위해서 일정 수 이상의 표본이 필요하다. 하지만 AHP는 전문성과 논리일관성이 전제되는 경우에는 표본의 크기에 구애 받지 않는다.
넷째, 그동안 정보보호 분야에서도 AHP방법론을 많이 활용해 왔다.
성욱준 등[14]은 정보보호 정책에 대한 우선순위를 연구하기 위해 AHP 방법론을 활용하였으며, 연구결과 정보보호 관련 법제의 정비가 가장 높은 우선순위로 분석되었다. 안선옥 등[15]은 ROI를 활용한 정보보호의 투자성과 분석을 위해 AHP 방법론을 이용하였고, 성기훈 등[16]은 AHP 방법론을 활용하여 SNS 정보보호 위협요인을 분석하였으며, 연구결과 ‘개인프로파일 위조 및 명예훼손’과 ‘산업스파이가’ 정보보호의 중요 위협요인으로 분석되었다. 공희경 등 [17]도 AHP 방법론을 이용하여 정보보호투자 의사 결정에 대한 연구를 하였으며, 연구결과 기업에서 정보보호의 목적을 달성하기 위해 투자하는 경우 기술적 측면의 시스템 무결성을 가장 중요한 기준으로 인식하는 것으로 나타났다. 김동욱 등[18]은 정보통신 기술의 발전과 스마트시대 전환에 따른 정보보호 문제에 대한 정책대응 방안을 모색하는 연구를 진행하였으며, AHP 분석을 통해 우리나라의 정보보호 정책 및 전략에 관한 우선순위를 제시하였다. 신상필 등[19]은 AHP를 활용한 모바일오피스 시스템의 구현방식 선정에 관한 연구를 진행하였으며, 연구결과 ‘업무생산성’, ‘보안성’이 모바일오피스 시스템 구현방식 선정 시 가장 중요한 요인으로 도출되었다. 이렇듯 정보보호 분야에서도 상대적 중요도를 산정하기 위해서 AHP 방법론을 많이 활용해 오고 있다. 따라서 본 연구에서도 정보보호업무별 인력산정의 각 지표별 상대중요도 및 우선순위를 산출하기 위해 AHP 분석방법을 활용하기로 한다. AHP 분석방법의 적용 절차는 Fig. 1.과 같은 단계로 구성된다[20].
Fig. 1. AHP analysis technique procedure
단계 1 : 문제를 정의하고 찾는 지식의 종류를 정의한다.
단계 2 : 문제와 관련된 모든 요소들을 검토하여, 최고 단계인 문제의 목표부터 중간 수준의 평가항목 선정 및 배치를 거쳐 최하위 수준인 대안들의 비교까지를 포괄하는 계층구조를 구성한다.
단계 3 : 상위수준의 평가항목을 기준으로 하위 수준에 있는 종속 평가항목들이 어느 정도 중요한가를 판단하기 위해 평가항목 간의 이원비교를 해당 종속 평가항목 전부에 대해 실시하여 상위수준에 있는 평가항목에 대한 종속 평가항목들의 상대적 중요도를 비교행렬로 작성한다.
단계 4 : 비교행렬로부터 평가항목 간 상대적 추정 가중치를 구한 후, 단계 2에서 설정한 계층구조에 속한 모든 수준의 평가항목들에 대하여 전 단계 과정을 반복하여, 어떤 수준에 있는 평가기준의 상대적인 가중치를 하위수준에 있는 종속 평가기준의 상대적 가중치와 곱하는 과정을 상위수준부터 순차적으로 최하위 수준까지 실시한 후, 평가 기준별로 구한 대안들의 상대적 가중치를 대안별로 합산한다.
IV. 금융기관의 정보보호조직 구성 및 인력산정 개선방안
4.1 금융정보보호 분야별 업무범위
한국인터넷진흥원의 2014년 정보보호 인력수급 실태조사 및 분석전망 결과보고서[5]에서는 정보보호 직무를 ① 전략 및 기획, ② 정보보호 컨설팅, ③ 마케팅 및 영업, ④ 연구개발 및 구현, ⑤ 교육 및 훈련, ⑥ 관리 및 운영, ⑦ 사고대응, ⑧ 평가 및 인증, 8개 직무군으로 분류하고 있다.
그러나 이는 국내 K금융그룹의 11개 계열사 보안 담당자 인터뷰 결과 마케팅 및 영업, 연구개발 및 구현, 평가 및 인증 등 금융기관이 수행하고 있지 않은 영역이 있어 다음과 같이 재조정하였다. 금융기관의 정보보호업무는 금융기관별 고유 업무에 따라 다소 차이가 있겠지만, ① 정보보호기획, ② 정보보호운영, ③ 개인정보보호, ④ 기타업무(신기술 대응, 사고대응, 감사)로 크게 나눌 수 있으며, 주요 업무별 상세 내용은 Table 6.과 같다.
Table 6. Information security scope of work category
이렇게 여러 분야의 정보보호업무를 수행하기 위해서는 각 업무별로 전문성 있는 충분한 인력이 필수적이나, 대부분 금융기관들은 각 정보보호업무에 대한 인력 산정을 정성적인 평가에 의해 실시하고 있으며, 업무별 인력 산정 기준은 부재한 상태이다. 이는 우리나라의 금융기관뿐만 아니라, 각별한 정보보호가 요구되는 산업계 전반에 걸쳐 비슷한 상황이다.
이러한 실정이다 보니 자본적 여유나 경영진의 높은 정보보호 인식으로 훌륭한 인적, 시스템적 보안 인프라를 갖춘 금융기관도 있지만, 반대로 회사의 매출 및 이윤과의 직접적인 연관관계가 부족하다는 이유로, 정보보호 인프라에 대한 투자비용을 아끼고 금융감독기관의 최소한의 가이드라인만 준수하는 금융 기관도 비일비재한 상황이다. 열악한 정보보호 인프라는 곧 금융기관의 정보유출 사고로 이어져 많은 피해를 초래한 후 정보보호 인프라를 다시 확충하는 계기가 되고 있다.
4.2 금융정보보호인력 산정방식 개선안
정보보호 각 업무별 인력 산정을 위해 AHP 분석 기법을 활용하였으며, 이를 위해 Fig. 2.와 같은 계층구조를 만들었다.
Fig. 2. Hierarchy for proper information security workforce calculation
산정기준이 되는 지표는 ① 금융회사의 규모를 판단하는 공통지표(H-1), ② 각 정보보호 개별업무가 공통지표의 증감정도에 따른 업무량 연관도를 측정하는 공통지표 연관도 지표(H-2), ③ 각 정보보호업무 개별특성을 판단하는 개별지표(H-3)로 구성하였다. 공통지표 내 하위지표는 정보보호예산(H-1-1), 대고객서비스 채널 수(H-1-2), 고객정보 보유 수 (H-1-3), 총 임직원 수(H-1-4), 총 외주인력 수 (H-1-5), 총 정보시스템 수(H-1-6)로 정의하였다. 공통지표 연관도 지표의 하위지표는 공통지표와 동일하다. 개별지표 내 하위지표는 컴플라이언스 강도(H-3-1), 업무중요도(H-3-2), 업무난이도(H-3-3)로 정의하였다.
각 상위지표 내 하위지표의 증가량은 업무량의 증가와 이에 따른 인력산정의 증가로 이어진다고 가정하였고, 각 지표별 우선순위는 AHP 분석기법1)을 사용하여 정하기로 하였다.
또한 AHP 분석을 위한 설문 조사표를 작성하였으며, 설문 문항은 상위지표 상호간 우선순위를 정하는 3문항, 상위지표 내 하위지표 상호간 우선순위를 정하는 33문항, 하위지표의 범위 설정(“High”, “Medium”, “Low” 3단계 범위)을 정하는 7문항으로 하여 총 43문항으로 구성하였다. 설문조사는 국내 대표 금융그룹 K금융그룹의 11개 계열사의 정보보호 실무책임자 11명을 대상으로 실시하였다. 이들은 각 계열사의 정보보호 실무를 담당하는 책임자로서, 현행 정보보호인력 운영에 대해 많은 문제점을 인식하고 있으며, 수년간 정보보호 분야에 종사한 전문가들이다. 이렇게 서로 다른 11개 금융회사의 정보보호 전문가들을 설문에 참여시켜, 표본의 다양성을 극대화 하였다.
Table 7. Detailed description of each index in the hierarchy
11명의 설문 표본이 부족해 보일 수도 있으나, AHP 분석의 가장 큰 장점은 소수의 응답자를 대상으로, 과학적인 방법에 의해 선호도를 산출할 수 있다는 것이다. 한국개발연구원은 그동안 AHP 분석을 사용함에 있어 3~4명 내외의 전문가를 평가에 참여시켰으며, 참여자의 수가 전문가 3명 이상일 경우 일반인을 대상으로 하는 설문과 달리 결과를 신뢰할 수 있다고 밝히고 있다. 그러나 평가자 수가 적어 일부 평가자의 동기적 편향에 의해 전체적인 의사결정이 왜곡될 수 있다는 문제점이 제기되자 7~8명으로 확대하고 있다(한국개발연구원, 2004). 즉, AHP 분석의 이용은 유효 표본 수에 집중하기보다는 어떤 분야의 전문가 집단을 선정하는지와 응답자가 얼마나 성실하고 일관성 있게 응답을 했는지가 중요한 요인이 될 수 있다는 것이다[21].
AHP 기법에서는 설문 자료의 신뢰도를 판단하기 위해 각 설문자의 오차 정도를 측정할 수 있는 일관성 비율(Consistency Ratio: CR)2)을 산출한다. Saaty[22]에 따르면 일관성비율이 0.1 이하일 때 쌍대비교 행렬은 일관성이 있다고 제시하였다.
따라서 본 연구에서도 설문결과의 일관성 확보(CR 값 0.1 이하)를 위해 사전 설문자에게 설문의 취지와 방법, 그리고 유의사항을 충분히 설명하여 설문을 진행하였다.
다수의 평가에 대한 결과를 종합하기 위해 행렬의 역수성을 Saaty[22]가 검증한 행렬의 역수성을 유지하는 기하평균(geometric mean)을 이용하였다[19].
Table 8.은 정보보호업무 인력산정 계층구조의 상위지표 우선순위 설문결과이다. 11명 각각의 설문결과 CR 값은 모두 0.1 이하로 나왔고, 그들의 평균(기하평균) CR 값은 0.000으로 산정되었다.
Table 8. Result of the weighting calculation in high level index
산정결과 1위는 공통지표(H-1,0.511), 2위는 개별지표(H-3,0.362), 3위는 공통지표 연관도 지표 (H-2,0.127)로 산정되었다. 결국 각 계열사 정보보호 담당자들은 정보보호업무별 인력산정에 있어서 금융회사의 규모가 제일 중요하다고 판단한 것이다.
Table 9.는 공통지표 내 하위지표 상호 간 설문조사에 따른 우선순위 산정 결과이다.
Table 9. Result of weighting calculation of the sub level in common index
11명 각각의 설문결과 CR 값은 모두 0.1 이하로 나왔고, 그들의 평균(기하평균) CR 값은 0.003으로 산정되었다. 산정결과 1위는 총 정보시스템 수(H-1-6, 0.315), 2위는 고객정보 보유수(H-1-3, 0.280), 3위는 정보보호예산(H-1-1, 17.1%), 4위는 대고객 서비스 채널수(H-1-2, 0.084), 5위는 총 외주인력 수(H-1-5, 0.079), 6위는 총 임직원 수(H-1-1, 0.071)로 산정되었다.
설문대상자들은 총 정보시스템 수(H-1-6)를 실질적인 정보보호 업무량과 가장 직접적인 연관관계가 있는 지표로 선정하였고, 최근 금융기관의 고객정보 유출 사건이 빈번히 일어나고 고객정보 유출이 회사의 존폐 위기와 직접적인 연관성을 가짐에 따라, 고객정보 보유 수(H-1-3)를 공통지표 내 차 순위로 중요한 하위지표로 선정한 것이다.
Table 10.은 공통지표의 증감 정도에 따른 각 정보보호 개별 업무의 업무량 연관도인 공통지표 연관도 지표 내 하위지표 상호 간 우선순위 산정 결과이다. 11명 각각의 설문결과 CR 값은 모두 0.1 이하로 나왔고, 그들의 평균(기하평균) CR 값은 0.012로 산정되었다. 산정결과 1위는 고객정보 보유수(H-2-3, 0.282), 2위는 총 정보시스템 수(H-2-6, 0.262), 3위는 정보보호예산(H-2-5, 0.140), 4위는 대고객 서비스 채널 수(H-2-2, 0.120), 5위는 총 외주인력 수(H-2-5, 0.116), 6위는 총 임직원수(H-2-4, 0.080)로 산정되었다. 공통지표 연관도 지표 내 하위지표 우선순위는 1위와 2위의 순위 변경을 제외하고 공통지표 내 하위지표 우선순위와 동일하게 측정되었다.
Table 10. Result of weighting calculation of the sub level in common association index
Table 11.은 개별지표 내 하위지표 상호간 설문 조사 결과에 따른 우선순위 산정 결과이다.
Table 11. Result of weighting calculation of the sub level in individual index
11명 각각의 설문결과 CR 값은 모두 0.1 이하로 나왔고, 그들의 평균(기하평균) CR 값은 0.009로 산정되었다. 산정결과 1위는 업무중요도(H-3-2, 0.490), 2위는 업무난이도(H-3-3, 0.332), 3위는 컴플라이언스 강도(H-3-1, 0.178)로 나타났다.
AHP 분석 결과를 토대로, 최종 상위지표 및 하위 지표 별 가중치 산정 결과는 Table 12.와 같다. 최종 가중치는 상위지표의 가중치 결과와 하위지표 상호간 가중치 결과를 곱하여 산출하였다.
Table 12. Final weight analysis results for each index
최종 가중치 분석 결과를 보면 1위는 개별지표 내 업무중요도(H-3-2,0.1774), 2위는 공통지표 내 총 정보시스템 수(H-1-6,0.1609), 3위는 공통지표 내 고객정보보유 수(H-1-3,0.1433), 4위는 개별지표 내 업무난이도(H-3-3,0.1202), 5위는 공통지표 내 정보보호예산(H-1-1,0.0873) 순으로 도출되었다.
Table 13.은 공통지표 내 하위지표 범위 설정 결과이다. 공통지표 내 하위지표의 범위 설정은 3단계 측정(“High”, “Medium”, “Low”)으로 11명의 설문조사 결과 평균값이 아닌, 11명의 설문조사 최빈값을 설정하였다. 평균값은 설문자 모두의 의견을 수렴하기에는 왜곡이 심하기 때문에 최빈값으로 산정하는 것이 타당하다고 판단하였다.
Table 13. Result of measurement range in common index
각 정보보호 개별업무와 공통지표의 증감에 따른 업무량 증감을 파악하는 공통지표 연관도 지표의 상관관계 측정 방법은 공통지표 내 하위지표 범위 설정과 동일하게 3단계 측정 및 설문조사의 최빈값으로 산정하였다. 연관 관계가 “High”라는 것은 공통지표 연관도 지표의 하위지표 증가정도와 개별 업무량의 증가가 매우 밀접한 연관 관계가 있다는 뜻이며, “Low”는 그 반대로, 공통지표 연관도 지표의 하위지표 증가와 개별 업무량의 증가의 상관관계가 희박하다는 뜻이다. 개별지표 내 컴플라이언스 강도 및 업무 중요도의 측정은 위의 3단계 방법과 동일하게 수행하였다.
그러나 업무난이도는 앞의 3단계 측정 방법과 달리 ① 전략적 강화업무(A), ② 전략업무(B), ③ 보조업무(C), ④ 관리적 유지업무(D) 4단계로 분류하여 설문을 실시하였다.
Table 14. Adjustment coefficient according to the relation between importance and difficulty of work
전략적 강화 업무(A)는 향후 중점적으로 추진해야 하거나 발전·강화시켜야 할 업무로서 상당한 난이도를 가진 업무, 전략업무(B)는 현 상황에서 중요하고 운영 및 유지의 난이도가 있는 업무, 관리유지 업무(C)는 고유 업무 수행에 있어 최소한으로 유지시키거나 업무 환경의 변화로 점차 소멸될 업무로서 쉬운 난이도를 가진 업무, 보조업무(D)는 기본업무 수행 상 부가적으로 필요하거나 서비스적 성향의 업무로 정의한다.
업무난이도 측정값에 따른 배점 기준으로, ① 전략적 강화업무(A)는 본 지표 가중치의 100%, ② 전략업무(B)는 본 지표 가중치의 75%, ③ 보조업무(C)는 본 지표 가중치의 50%, ④ 관리적 유지업무(D)는 본 지표 가중치의 25%로 적용하기로 한다. 업무 중요도와 업무난이도의 최종 산출점수는 최종 두 항목 간의 관계에 따라 기존 연구 자료의 조정계수를 활용하기로 한다[9].
그 외 지표의 측정값에 따른 배점 기준은 100점 기준 3단계 균등 점수 분할 방법으로 “High”일 경우 본 지표 가중치의 100%, “Medium”일 경우 본 지표가중치의 66.6%, “Low”일 경우 본 지표 가중치의 33.3%로 산정한다. 최종적으로 각 정보보호업무별 공통지표 연관도 지표의 상관관계 결과와 개별지표의 측정값은 Table 15.와 같다.
Table 15. Result of measurement value in common association index and individual index by each information security work
지금까지의 연구 결과를 바탕으로 최종 정보보호업 무별 적정인력 산정점수는 다음과 같다.
정보보호업무별 적정인력 산정점수
= ① 공통지표 점수 + ② 공통지표 연관도 지표 점수 + ③ 개별지표 점수
① 공통지표 점수 계산
∑ (공통지표 AHP 분석결과 가중치 * 공통지표 측정결과 배점비율)
② 공통지표 연관도지표 점수 계산
∑ (공통지표 연관도지표 AHP 분석결과 가중치 * 공통지표 연관도지표 측정결과 배점비율)
③ 개별지표 점수 계산
(컴플라이언스 강도 AHP 분석결과 가중치 * 컴플라이언스 강도 측정결과 배점비율) + ∂(조정계수) * [(업무중요도 AHP 분석결과 가중치 * 업무중요도 측정결과 배점비율) + (업무난이도 AHP 분석결과 가중치 * 업무난이도 측정결과 배점비율)]
적정인력 산정점수 값에 따른 인력투입 수는 다음과 같다. 각 지표 내 하위지표 측정값 “Medium”의 배점 비율 66.6%와 근접한 65점을 투입인력 1명으로 가정(평가 등급이 “Medium”인 업무는 1명 투입이 적정 인력으로 가정)하고 5점 단위로 0.15명이 가감되도록 설정하였다. 업무별 최고 투입인력과 최저 투입인력의 차이는 약 2명(1.8명)으로 정의하였다.
Table 16. The number of required workforce according to the final score
이는 정보보호 각 업무의 최소 인력 수를 보장함과 동시에, 규모가 큰 대형 금융회사와 상대적으로 규모가 작은 중, 소형 금융회사 정보보호조직의 규모 차이를 현 운영 현황보다 줄이기 위함이다.
본 산정모델을 A금융사에 예로 적용해 보기로 한다. K금융그룹 내 A금융사는 업계 시장점유율 국내 2위인 신용카드사로, 지난 2014년 1월 보안사고를 경험하고 정보보안 인프라를 강화하고 있는 회사이다.
Table 17. A financial company information security appropriate workforce
A금융사의 공통지표는 다음과 같다.
① 정보보호예산 : 80억원
② 대고객서비스 채널수 : 30개
③ 고객정보 보유수 : 1,200만명
④ 총 임직원 수 : 1,500명
⑤ 총 외주인력 수 : 3,000명
⑥ 총 시스템 수 : 500대 (서버 기준)
본 산정모델로 계산된 A금융사의 정보보호조직의 적정 인력은 26.65명으로 산정되었다. 이는 전자금융 감독규정의 산정기준 결과인 3.75명 보다 22.9명이 더 많은 것이다.
실제로 A금융사는 외주인력 포함 30명으로 정보보호조직을 운영 중이다[Table 18].
Table 18. Information security workforce calculation result by company
동일한 방법으로 K금융그룹의 B금융사(은행), C금융사(증권사), D금융사(신용정보사), E금융사(부동산신탁사)의 공통지표를 알아보고, 현 운영인력과 법규상 필요인력, 그리고 본 산정모델로 인력을 산정하여 비교해 보기로 한다. B금융사는 국내 최대 규모의 은행이며, C금융사는 업계 5위 내에 드는 대형 증권사이다. D금융사와 E금융사는 업계에서 상대적으로 시장 점유율이 낮고 소규모로 운영 중인 회사이다. Table 18.의 산정결과를 보면 중·소규모의 회사에서는 현 운영인력보다 높게 인력산정이 되었으며, 대규모의 금융회사에서는 현 운영인력과 비슷한 수준으로 약간 낮게 측정되었다.
본 산정모델에서는 총 임직원 수가 적더라도 정보 시스템 수, 고객정보보유 수 등 기타 금융기관의 규모를 측정하는 지표의 값이 크면, 많은 정보보호인력이 필요함을 알 수 있다. 이는 정보보호인력 산정에서 기업의 규모를 총 임직원 수로 한정하여 총 임직원 수가 증가할수록 정보보호인력이 증가하는 전자금융감독규정의 내용과는 대조되는 부분이다.
또한, 금융기관의 규모가 클수록 무한정 정보보호인력의 수가 증가하는 것이 아니라, 일정규모 이상(공통지표 내 하위지표의 모든 항목이 “High”로 측정된 경우)이 되면 금융기관의 정보보호인력이 더 이상 증가하지 않고 일정 수준을 유지하는 것도 본 산정모델의 특징이다. 이것은 기업의 규모가 크다고 정보보호인력의 수도 한정 없이 이에 비례하는 것이 아니라, 일정 규모의 정보보호조직이 되면 더 이상 기업의 규모와 비례하지 않고도 효율적으로 운영될 수 있을 것으로 판단한 것이다. 하지만 이 산정모델 또한 전자금융감독규정과 같이 최소한의 인력운영 가이드라인이다. 인력과 자본에 여유가 있어 보다 많고 좋은 인프라가 있다면 각 금융기관이 자체적으로 상황을 판단하여 유연하게 운영해도 될 것이다.
V. 결론
그동안 적정인력 산정에 대한 연구가 지속적으로 수행되었음에도 불구하고, 많은 기관과 기업에서는 적정인력 산정에 대한 확실한 해답을 여전히 못 찾고 있다. 그것은 각 기업들의 고유한 특성 및 정형화되지 않은 특수사항을 고르게 반영하지 못하기 때문이며, 특히 정보보호 부문에 대한 적정인력 산정은 타 업무 분야와 비교해 볼 때 기존 연구사례가 거의 전무한 상태라 인력의 적정성을 판단하기에는 더 어려웠던 것 같다.
그럼에도 불구하고 본 연구에서는 금융기관의 규모를 반영한 공통지수와 정보보호 개별업무가 공통지수와의 관계로 가지는 연관도, 개별업무의 중요도와 난이도를 고려한 인력산정 모델을 제시한 바, 현행 전자금융감독규정의 일률적 정보보호인력 산정방법보다는 타당성과 현실성이 있는 결과가 도출된 것으로 판단한다.
본 연구는 이러한 의의와 결과에도 불구하고 몇 가지 한계점을 지니고 있다.
첫째, 본 연구는 연구 참여자를 모집하는 과정에서 이론적 표본 추출에 근거하여 표본을 추출하였고, 국내 최대 금융그룹의 다양한 금융업종 계열사의 정보호호 담당자가 설문에 참여하였으나, 그 결과를 대한민국 전체 금융기관으로 일반화하여 해석하기에는 어려울 수 있다는 제한점을 지니고 있다. 또한, 질적 연구를 중심으로 진행된 관계로 향후 연구에서는 질적 연구뿐만 아니라 양적 연구를 병행함으로써 질적 연구가 지니는 이러한 한계점들을 보완할 수 있을 것이다.
둘째, 총 임직원 100명 미만의 영세한 금융기관의 경우 임직원 수 대비 상대적으로 정보보호인력수가 높게 산정되어 현실적으로 적용하기에 어려움이 있을 것이다. 이 부분은 본 연구에서 기술된 정보보호 개별업무를 각 금융기관 상황에 맞게 조정하여 적용해야 될 것이다.
셋째, 본 연구는 업무분석기반 적정인력 산정방법이나 기존의 업무 수행시간에 기반을 둔 분석방법이 아니라 업무의 성격 및 특성에 따른 분석방법으로, 관리적 유지업무와 같이 업무의 중요도와 난이도가 다소 떨어지는 업무라도 금융기관의 상황에 따라 단순반복 처리건수가 많은 경우에는 적용하기가 어려울 것이다.
본 연구에서 도출된 산정모델이 위와 같은 한계를 가졌어도, 이 모델을 베이스로 각 기관과 기업의 특성에 맞게 수정되어 각 산업분야의 정보보호인력 산정에 활용될 수 있기를 기대한다.
References
- Ji-un Kim, "Security officer difficulty ranking 1st", http://www.boannews.com/media/view.asp?idx=42069, July 2014.
- "After two years of heartbleed bug occurred, what has changed?" UC Column Jan. 2016, http://www. nexpert.net/454
- Ho-jung Lee, "Banks, security frustration serious", ceoscoredaily Feb. 2014, http://m.ceoscoredaily.com/m/ m_article.html?no=4970
- Kyoung-doo Kim, "Financial sector cuts information protection budget by 22% last year", Seoulnews, Jun. 2014, http://www.seoul.co.kr/news/news-View.php?id=20140129004008
- Korea Internet & Security Agency Press Release, "Survey on the supply and demand of information security workforce in 2014", Dec. 2014.
- Joon-yong Bang, "Study on the Optimal Manpower Calculation of Transportation Functions by Traffic Police Workload Analysis", Korea Self-Government Management Evaluation Institute, July 2008.
- Ok-kyung Jo, Joon-sung Hwang, Jun Go, "Study on Estimation of Appropriate Manpower Scale of Sejong Special Self-Governing Province Office of Education", The Journal of Politics of Education, Vol. 19. No. 4, pp. 155-176, Dec. 2012.
- Jong-man Kim, Jung-jin An, Byoung-su Kim, "Design of Probabilistic Model for Optimum Manpower Planning in R&D Department", J Korean Soc Qual Manag, Vol. 41, No. 1, pp. 149-162, March 2013. https://doi.org/10.7469/JKSQM.2013.41.1.149
- Chan-woo Gang, Tae-hyoung Park, "Study on the Local Government Information Security Workforce - Calculating Fair Value through Job Analysis", Journal of Korean Association for Regional Information Society, Vol. 17, No. 3, Sep. 2014, pp. 175-197
- Jung-hwan Lim, In-Seok Kim, "A study on Information Protection Manpower and Budget Adequacy for Cooperative-Type Financial Company's Federation", The Journal of The Institute of Internet, Broadcasting and Communication, Vol. 16, No. 3, pp. 29-38, Jun. 2016. https://doi.org/10.7236/JIIBC.2016.16.3.29
- Jong-in Lim, Dong-hoon Lee, Mi-na Shim, "Study on the Appropriateness of Information Security Staff of Public Institutions", Korea University Cyber Security Department Master's Degree Paper, Jun. 2011.
- Jung-sik Yoo, "How to properly calculate manpower", In Future Consulting Release, April 2010, http://www.infuture.kr/624
- Hyun-woo Park, Jong-taek Lee, Tae-ho Kim, "A Study on Estimation Model of Commercialization Success Rate for Early-stage Technology Evaluation", Korea Technology Innovation Society, pp. 266-283, May 2012.
- Wook-jun Sung, Dong-wook Kim, "A Study on Priority of Information Security Policy Using Analytic Hierarchy Process (AHP)", The Korean Association For Public Administration, pp. 1614-1634, Jun. 2011.
- Sun-ok Ahn, Hee-jo Lee, "Analyzing Information Investment using AHP-based Security ROI", Korea Multimedia Society, pp. 575-578, May 2009.
- Kihoon Sung, Hee-Kyung Kong, Taehan Kim, "A Study on Threat factors of Information Security in Social Network Service by Analytic Hierarchy Process", Journal of the Korea Institute of Information Security & Cryptology, Vol. 20, No. 6, pp. 261-270, Dec. 2010.
- Hee-Kyung Kong, Hyo-Jung Jun, Tae-Sung Kim, "A Study on Information Security Investment by the Analytic Hierarchy Process", Journal of Information Technology Applications & Management, Vol. 15, No. 1, pp. 139-152, March 2008.
- Dong-wook Kim, "A Study on Informa-tion Security Policy in the era of Smart Society," Journal of The Korea Institute of information Security & Cryptology, Vol. 22, No. 4, pp. 883-899, Aug. 2012.
- Sang-Pil Shin, "An analytic hierarchy process (AHP) approach to selection of implementationmode of mobile office system," Seoul National University of Science and Technology, July 2013.
- Thomas L. Saaty, "Decision making with the analytic hierarchy process", Int. J. Services Sciences, Vol. 1, No. 1, 2008.
- D. G. Kim, Y. W. Park and S. M. Lee, "Assessment of tourism resource development by the Analytic Hierarchy Process : Focusing on the Planning Process", Korea Journal of Tourism and Hospitality Research, Vol. 21, No. 4, pp.5-18, 2007.
- Saaty T. L., "The Analytic Hierarchy rocess," McGraw-Hill, New York, 1980.