I. 서론
1.1 연구 배경
사회적 현상을 예측하고 설명함에 있어 ‘신뢰’는 성과변수로서 또는 선행변수로서 중요한 역할을 담당하고 있다[1]. 따라서 신뢰에 대한 고찰은 마케팅, 경영학은 물론이고 사회과학 분야에서도 고루 전개되고 있다[2]. Putnam[3]에 의하면 ‘신뢰’는 사회자본을 구성하는 가장 기본적인 요소로 개인과 단체생활, 공공활동에 있어서의 행태, 태도, 성향에 기초가 되는 통합된 개념이며, 우리 사회에는 대통령과 국민간의 신뢰는 물론이고, 기업과 국민간의 신뢰, 기업과 임직원간 신뢰 등 다양한 신뢰관계가 있고 서로 다른 신뢰수준(STI, Social Trust Index)이 형성 되어 있다.
또한 이러한 사회 신뢰수준은 국가마다 상이하며, 국민의 의식수준, 소득수준과도 연관이 있다. 사회적으로 형성되어 있는 신뢰수준은 계속 변화하고 있다. 과거 신뢰수준이 낮았던 대한민국에서는 사무실에 있는 사무용품, 화장실에 있는 휴지, 세면도구 등을 집에 가져가는 일이 있어서, 기업 입장에서는 해당 자산을 보호하기 위해 통제를 수행했지만, 지금은 그 누구도 고의로 화장실에 있는 휴지를 집에 가져가지 않기 때문에 기업에서도 해당 부분에는 별다른 통제를 하지 않고 있다. 만일 사회의 신뢰수준이 높아졌음에도 이를 반영하지 않고 계속적으로 임직원 통제 강도만 높인다면 이는 곧 업무생산성 저하 및 임직원 불만으로 나타날 것이다.
최근 세계적인 기업인 A기업에서는 PC 반출입을 통제하지 않고 자택에서도 업무PC를 가져가서 근무할 수 있게 허용하고 있고, USB 등 이동식 저장장 치도 별도 통제 없이 사용을 허용하고 있다. 그렇다고 우리나라 기업에서도 동일하게 해당 보안정책을 그대로 적용하는 것이 타당한 방법인지는 검토할 필요가 있다.
따라서 본 연구에서는 국가별로 상이하게 형성되어 있는 신뢰 수준에 맞춰 기업이 어느 수준까지 보안통제를 수행해야하는지 미국 기업의 보안통제 현황을 전직, 현직 임직원의 인터뷰와 글로벌 보안컨설턴트 인터뷰 등을 통해 조사하여 미국 글로벌 기업의 보안통제 Best Practice을 제시하며, 이를 국내기업과 검증하여 미국과 한국의 사회 신뢰수준에 따른 보안통제 수준을 비교, 검증하도록 한다. 또한 해당 과정에서 보안통제 평가항목 및 모델도 제시하고자 한다.
1.2 연구방법 및 구성
본 연구에서는 글로벌 기업의 보안통제 현황에 대한 자료 수집을 위해 글로벌 12개 기업의 관련 데이터를 수집한다.
조사대상 기업의 경우 보안통제 Best Practice를 제시할 수 있는 수준의 기업인 2016년 Fortune 500에 들어가는 글로벌 기업 중 16년 매출이 $ 10 Billion 이상인 기업을 선정하였으며, SW업종 4개사, 금융업종 4개사, 제조업종 4개사 등 다양한 업종을 선정하여 조사의 신뢰도를 높인다.
정확한 데이터 수집을 위해 3단계의 방법으로 조사를 진행한다. 1단계로 해당 기업에 근무하였던 전직 임직원 대상으로 인터뷰를 진행하였으며, 2단계로 데이터 추가 수집 및 현행화를 위해 현재 해당 기업에 재직 중인 임직원을 대상으로 데이터를 수집, 검증하였으며, 3단계로 해당기업에 보안컨설팅을 수행한 컨설턴트들과 인터뷰를 통해 최종적으로 데이터를 수집, 검증한다.
조사항목은 PC, 모바일, 이메일, 인터넷 등 4개 영역을 대상으로 어느 수준까지 통제를 하고 있는지 여부를 조사하며, 조사항목의 객관성 확보 및 신뢰도를 높이기 위해 보안담당자 21명을 대상으로 다기준 의사결정(MCDM : Multiple Criteria Decision Making)시 널리 사용되는 AHP 모델을 사용하여, 그 결과를 분석한다.
또한 국가 간 신뢰도를 비교 분석하기 위해 Michael Porter가 제시한 국가 경쟁력 분석 모델인 다이아몬드 모델을 근거로 정보보호 관련 신뢰도 4대 결정요소 및 하위요인을 도출하여 분석한다.
본 연구의 구성은 다음과 같다. 제Ⅰ장 서론에서는 연구배경/목적, 연구방법/구성에 대해서 기술한다. 제Ⅱ장에서는 선행연구로서 Security Control 연구, Porter의 Diamond Model 연구, AHP Model 연구를 기술한다. 제Ⅲ장에서는 Diamond Model을 활용하여 한국과 미국의 신뢰수준 비교 및 시사점을 도출하고, 미국 주요기업의 보안통제 수준을 조사한다. 제Ⅳ장에서는 기업의 보안통제 수준의 의사결정 모델과 공식을 제시하고 국내기업 사례를 통해 검증한다. 제Ⅴ장 결론에서는 본 연구의 시사점에 대해서 기술한다.
II. 선행연구
2.1 Security Control 연구
정보시스템과 조직의 보안통제 선택 및 구현은 직원과 국가의 안전뿐만 아니라 조직의 자산과 운영에큰 영향을 미칠 수 있는 중요한 업무이다[4][5]. 미국의 경우 주요 사회기반시설의 사이버보안 중요성을 인식하여, 2013년에 오바마 대통령의 지시[6]로 NIST에서 사이버보안 프레임워크[7]를 구축하고, 기초가 되는 정보가 NIST SP 800-53의 보안통제 이다. 또한 ISO/IEC 27001에서는 계획, 실행, 점검, 개선활동에 대한 요구사항과 11개 분야의 39개 통제목표와 통제목표 달성을 위한 133개 통제항목으로 구성된 통제 프레임워크를 제시하고 있다.
이와 같이 보안통제 수준을 측정하고 비교하기 위한 방법은 여러 가지 접근 방법이 존재하며, 수많은 기업에서는 앞서 언급한 NIST, ISO/IEC 등에서 제시한 통제 수준을 참고해서 기업의 자산을 보호하기 위해 해당 기업에 맞는 보안통제 방법을 개발하여 사용하고 있다. 따라서 실제 기업들의 보안통제 수준을 파악하기 위해서는 기업에서 현재 적용하고 있는 보안통제를 벤치마킹하여 현황을 조사하는 것이 가장 적합한 선택이다. 그러므로 본 연구에서는 특정 보안 통제 모델을 선택하는 것보다 보안통제를 가장 잘 수행하고 있는 기업들의 Best Practice 사례를 분석, 비교하는 방법을 활용한다.
보안통제 수준을 벤치마킹하여 분석한 사례로는 한근희[8]가 미국, 일본, EU의 정보보호 수준을 벤치마킹하여 우리나라의 전자정부 정보보호관리체계 (ISMS) 적용 정책에 벤치마킹 결과를 효과적으로 활용할 수 있는 방안에 대해 연구하였다. 이국희 등[9]은 Best Practice 사례가 축척한 수년간의 노하우와 검증된 가이드라인을 통해 정보화 투자 사전 평가 방법론을 연구하였다.
2.2 Diamond Model 연구
본 연구에서는 한국과 미국의 정보보호 관련 신뢰 수준을 비교하기 위해 Michael E. Porter[10]에 의해 개발된 Diamond Model을 활용한다. 1990 년대 현대 경영전략 분야의 세계적 권위자로 손꼽히는 Michael Porter 교수는 국가경쟁력을 결정하는 모형을 Fig1.과 같이 Diamond 형태로 제시하면서 생산요소 조건(Factor Conditions), 시장수요조건 (Demand Conditions), 관련 및 지원 산업 (Related and Supporting Industries), 기업의 전략, 구조 및 경쟁관계(Firm Strategy, Structure and Rivalry)를 국가 경쟁력을 결정하는 4가지 근본요소로 제시한다. 또한 정부 (Government)와 기회(Chance)를 경쟁력에 간접적으로 영향을 미치는 외생변수로 들고 있다.
Fig. 1. Porter's Diamond Model
Diamond Model은 본래 국가의 경쟁력 분석을 위해 개발되었다. 그러나 국가의 경쟁력 외에도 산업, 기업, 개인의 경쟁력을 종합적으로 비교하고 분석하는 데에도 적용될 수 있어 다양하게 활용되고 있다[11].
국가 경쟁력 평가와 관련하여 World Economic Form(세계 경제 포럼, WEF)은 스위스에 본사를 둔 비영리 재단체로 전 세계 각국의 상태를 개선하기 위해 노력하고 있으며 주로 Michael Porter의 다이아몬드 모델에 이론적 근거를 두고 국가 경쟁력을 측정하고 있다. 2016년 GCI(Growth Competitiveness Index)는 전 세계 138개국을 다루고 있으며, 결정요인은 Technology, Macroeconomics, Environment, Public Institution이다. 또한 한국 산업정책연구원의 National Competitiveness Research에서는 Michael Porter의 다이아몬드 확장 모델인 9-Factors 모델을 사용하고 있으며, 국가 규모와 발전단계에 따라 그룹화하고 있다.
Michael Porter의 다이아몬드 모델을 국가 보안 경쟁력 비교에 적용한 사례로는 원종성 등[12]이 한미 정보보호산업의 국제경쟁력 분석 연구를 진행하였다. 해당 연구에서는 4개의 결정요인에 13개의 하위 요인을 도출하고 31개 측정지표를 선정하여 한미 정보보호 국가 경쟁력을 비교하였다.
박지민 등[13]은 다이아몬드 모델의 접근법을 활용하여 경영인의 리더십 원천에 대한 고찰을 통해 현대그룹의 정주영 회장과 삼성그룹의 이병철 회장에 대한 사례 연구를 진행하였다.
Fainshmidt, S 등[14]은 90개 선진국과 개발 도상국을 대상으로 다이아몬드 모델을 활용하여 공공 거버넌스의 수준과 국가 경쟁력의 연관관계에 대한 연구를 진행하였다.
이문행 등[15]은 다이아몬드 모델에 연계하여 한국 드라마의 국가 경쟁력에 대한 연구를 진행하였다.
따라서 본 연구에서는 국가의 산업, 환경, 문화, 사회 수준의 경쟁력 등을 종합적으로 비교하고 분석하는데 적용[11]하고 있는 Diamond Model을 한국과 미국의 사회 신뢰수준 비교에 적용하였으며, 적용 방법과 결과는 제Ⅲ장에서 확인할 수 있다.
2.3 AHP Model 연구
본 연구에서는 보안통제 수준 Best Practice를 선정하기 위해 AHP(Analytic Hierarchic Process)를 활용한다. Tomas L. Saaty[16]에 의해 개발된 AHP는 복수의 대안에 대한 복수의 평가기준이 존재하는 다기준의 의사결정 문제를 해결하기 위한 대표적인 기법으로 다양한 유형의 의사결정 문제에 활용되어 왔다[17].
AHP는 주어진 의사결정 문제를 목표, 평가요인, 대안으로 구성되는 계층(Hierarchy)으로 Fig 2.와 같이 모형화하고 각 계층 내 의사결정 요소들 간의 쌍대비교(Pairwise Comparison)를 수행하여 최종 우선순위를 도출한다.
Fig. 2. Example of AHP Layered Model
AHP 기법은 의사결정 요소들 간에 상대적 가중치를 추정하여 사용한다. A·w = ƛmax·w. 여기서 A는 쌍대비교로 얻어진 정방행렬식으로부터 고유벡터 값을 구한 후 고유벡터 W의 각 요소를 ∑Wi로 나눔으로써 표준화된 가중치를 구한다. 일관성 지수 (Consistency Index, C.I)는 C.I=(ƛ-N)/(N-1)를 통해 산출하며, 여기서 N은 쌍대비교의 대상수이다.
일관성 정도(Consistency Ration, C.R.)는 C.R.=C.I/R.I로 산출한다. 또한 무작위 지수 (Random Index, R.I.)는 경험적 자료로 얻어진 행렬의 차원별 평균무작위 지수이다[18].
AHP 기법은 다양한 유형의 MCDM 문제해결에 효과적으로 연구되고 있으며, 이석원 등[19]은 AHP 기법을 사용하여 금융회사 서버 Privilege 계정 운영방식 결정 모델을 분석하고 Windows Privilege 계정 관리강화를 위한 4가지 개선방안을 제시하는 연구를 진행하였다. 성기훈 등[20]은 AHP를 기반으로 SNS 제공환경에서 정보보호의 중요 위협요인을 분석하고, 정보보호 투자 결정 기준을 도출하는 연구를 진행하였다. 연구결과 SNS 제공환 경에서 개인프로파일 위조 및 명예훼손과 산업 스파 이가 정보보호의 중요 위협으로 분석되었으며, 서비스 이미지가 정보보호 투자 결정기준에서 가장 중요한 요인으로 도출되었다. 따라서 본 연구에서는 다양한 연구에서 활용되고 있는 AHP를 모델에 적용하 였으며, 적용방법과 결과는 제Ⅳ장에서 확인할 수 있다.
III. 연구대상 및 가설설정
3.1 한미 정보보호 관련 신뢰도 비교
본 연구에서는 한국과 미국의 정보보호와 관련된 신뢰수준을 측정하고 비교하기 위해 Michael Porter의 Diamond Model을 활용하여 조사를 수행한다.
3.1.1 분석지표
본 연구에서는 설문조사를 이용한 지표의 측정방법이 아닌 세계 통계기관과 사회기관 및 연구소의 공개된 통계자료를 이용하여 한국과 미국의 정보보호 신뢰도 분석을 위해 Table 1과 같이 총 9개 하위요소에 따른 17개 측정 지표를 선정한다.
Table 1. Social Trust Level KPIs
먼저 생산요소의 측정을 위해 IPS 지수를 활용한 정보통신산업 경쟁력 분석(2010) 및 한미 정보보호 산업의 국제경쟁력 분석(2012)의 연구 논문을 참조 하여 자본, 노동, 연구개발의 하위요인을 결정하고 자본의 측정 지표로는 정부의 정보보호 예산 규모와 금융기관 국내신용 비중(GDP 대비)을 활용한다. 아울러 노동 하위지표의 측정 지표로는 정보기술 숙련도 지수, 정보보안 기술대응 지수, 정보보안 조직대응 지수를 측정 지표로 결정한다. 연구개발의 측정 지표로는 정보보안 역량강화 지수를 선정한다.
둘째, 수요조건의 측정을 위해서는 소비자, 내수 시장의 하위요인을 결정하며, IPS 지수를 활용한 정보통신산업 경쟁력 분석(2010) 및 한미 정보보호산 업의 국제경쟁력 분석(2012)을 참고한다. 소비자의 측정 지표로는 지식재산권 존중도와 세계 언론 자유 지수를 활용한다. 내수시장의 측정지표는 1인당 GDP를 선정한다.
셋째, 관련 및 지원산업과 관련하여 Michael Porter는 관련 및 지원산업의 경쟁력이 높을수록 해당 산업의 경쟁력도 함께 높아진다고 강조한다. 따라서 군산업(Military)이 이러한 주장에 부합되는 것으로 판단하여 측정 지표로 선정하며, 사회 성숙도가 사회의 신뢰도와 직간접적인 관계가 있는 것으로 판단하여 측정 지표로 선정한다. 특히 사회 성숙도에서는 해당 국가의 신뢰도를 측정할 수 있는 범죄율, 법치수준, 신뢰지수, 부패지수를 지표로 선정한다.
넷째, 기업전략, 구조 및 경쟁과 관련하여 한미 정보보호산업의 국제경쟁력 분석(2012) 지표를 참고하여 경영요건과 경쟁을 하위요소로 선정하고 측정지 표로 정보보안 법적대응지수, GDP 대비 기업 연구 개발 비중, 정보보안 국제협력지수를 선정한다.
3.1.2 분석방법
국가 간 신뢰도 수준을 산출하는데 있어서 가장 중요한 것은 각각의 지표를 어떠한 방법으로 표준화 하는가이다. 데이터의 특성에 따라 표준화하는 방법은 여러 가지가 있는데, WEF(2009)의 경우 모든 데이터를 7점 척도로 전환하였고, IPS(2007)의 경우 모든 데이터를 100점 척도로 전환하여 국가별 비율에 따라 점수를 계산한다. 본 연구에서는 IPS(2007), WEF(2009)의 표준화 방법을 응용하여 각 요소를 10점 척도로 표준화 한다. 먼저 미국 결정요인을 10점 척도로 환산한 후 한국의 점수는 미국과의 비율에 따라 부여한다. Table 2는 이러한 방법에 따라 표준화 변환의 예시를 제시한 것이며 하위요소가 4개 지표이므로 각각 0.25의 가중치를 적용한다.
Table 2. Standardization conversion example
3.1.3 분석결과
한국과 미국의 정보보호 관련 사회 신뢰수준 결과를 보면 Fig 3과 같이 한국이 미국에 비해 신뢰수준이 낮은 것으로 분석되었다.
Fig. 3. Social Trust Level Result
한국은 미국이 기준점수를 40점으로 부여했을 때 33.4점의 결과가 도출되었다. 즉, 한국을 1로 환산 시 미국은 1.2 수준으로 신뢰도가 높은 것으로 분석되었다. 특히 부패지수, 신뢰지수, 범죄율 등 사회성숙도 지표가 속해있는 연관 및 지원산업 요소가 가장 큰 차이를 보였다.
먼저 생산요소 측면에서는 정부의 정보보호 예산, 금융기관 국내신용 비중, 정보기술 숙련도 등 자본, 노동 관련 하위요인에서는 미국이 한국에 비해 평가 점수가 높게 측정되었다. 반면, 연구개발 관련요소인 정보보안 역량대응 지수는 한국이 미국보다 높은 것으로 평가되었다. ITU에서 평가한 정보기술 역량 강화지수는 Standardization development, Manpower development, Professional certification, Agency certification을 종합한 결과로 미국 1.67점, 한국이 2.08점으로 한국이 25% 높은 점수를 획득하였다.
Table 3. Factor Conditions
생산요소의 종합 결과는 미국 10점 한국이 7.62 점으로 분석되었다.
두 번째로, 수요조건의 종합결과는 미국 10점 기준일 때 한국은 8.76점으로 분석되었다. 특히 RSF(Reporters without Borders, 국경 없는 기자회)에서 매년 발표하는 언론 자유지수(World Press Freedom Index)의 경우 한국은 15년 73.45 대비 16년 71.42로 오히려 전년대비 역성장하는 등 신뢰수준이 낮게 평가되었다. (미국의 경우 15년 75.59, 16년 77.51로 개선)
수요조건에서 중요한 내수시장을 판단할 수 있는 1인당 GDP의 경우 한국은 최근 3년(‘14~’16년) 평균이 $ 27,705로 미국의 $ 55,856 대비 절반 수준에 머물렀다.
Table 4. Demand Conditions
세 번째로 관련 및 지원산업의 경우 미국 10점 기준 대비 한국은 5.37점을 기록하였다. 정보보호와 가장 관련있는 산업인 군산업의 경우 GDP 대비 국방예산으로 평가하였으며, CIA에서 발표한 지표를 활용하였다. 평가결과 한국은 3년 평균 2.38%로 미국은 4.62%의 절반 수준에 머물렀다. 사회성숙도 측면에서는 우선, Worldbank에서 발표하는 법치수 준의 경우 법죄발생율 인지, 사법부 예측성가능성에 대해 평가하며 한국은 최근 3년간 79.7점, 미국은 90.6점을 기록하였다. 또한 World Values Survey에서 국민들간 신뢰정도를 평가한 신뢰지수는 한국은 4점으로 미국 10점 대비 40% 수준이었 다. 또한 국제투명성기구에서 조사한 국가지도층(정치인, 공무원 등)의 부정부패정도를 평가하는 부패지 수는 한국은 3년 평균 55.3점으로 미국 74.3점 대비 낮은 점수를 기록하였다. 즉 미국에 비해 사회성숙도가 전반적으로 낮게 평가되었다.
네 번째로 기업전략, 구조 및 경쟁 부문의 경우 3가지 측면으로 평가하였으며, ITU에서 2015년에 발표한 자료인 Global Cybersecurity Index & Cyberwellness profiles에 따르면 정보보안 법적 대응지수 및 정보보안 국제협력지수는 한국과 미국 모두 만점을 기록하여 동일한 수준으로 평가받았으며, IMD에서 발표한 GDP 대비 기업의 연구개발 비중의 경우 한국은 3.35점, 미국은 1.94점으로 한국이 미국에 대비 우위를 보였다. 참고로 GDP 대비 기업의 연구개발 비중 지표의 경우 한국이 2012년부터 2016년까지 5년간 이스라엘 다음으로 세계 2위를 유지하고 있다.
이상에서 보는 바와 같이 한국과 미국의 정보보호 관련 사회 신뢰수준을 측정해 보았다. 17개의 동일한 측정지표 하에서 한국은 미국에 비해 신뢰수준이 낮은 것으로 확인되었다. 10점 척도의 4개 주요 Factor에서 미국 40.0점을 기준으로 한국은 33.4점의 결과가 도출되었다.
Table 5. Related&Supporting Industries
Table 6. Firm Strategy, Structure & Rivalry
3.2 미국 기업의 보안통제 현황
본 연구에서는 미국 글로벌 기업 3개 업종 총 12개사의 정보보호 통제 수준 4개 분야 15개 항목으로 조사를 진행하였다.
3.2.1 분석지표 및 분석방법
미국 기업의 정보보호 통제 수준 현황은 현장에서 Best Practice로 활용할 수 있는 수준이 되는 2016 Fortune500에 선정된 글로벌한 회사이면서 ‘16년 매출이 10조원 이상인 미국기업 12개사를 대상으로 현황을 파악한다. 업종별로 보안통제 수준이 상이할 수 있음을 감안하여 금융업종, 제조업종, IT(SW)업종 각각 4개사를 선정하여 연구를 진행하였다. 분석을 위해 선정한 업종은 16년 미국 매출 상위 3,000개 회사의 업종을 분석하여 가장 많은 회사가 분포한 업종인 금융(705개, 24%), 제조(542개, 18%), IT(406개, 14%) 업종으로 선정하였다.
평가항목은 보안컨설턴트 및 상기 업종에 종사하고 있는 보안 담당자 21명이 선정한 4개 분야 15개 항목에 대해 조사를 진행하였다. 기업의 보안통제 수준을 평가한 항목은 Table 7과 같다.
Table 7. Security Control Items
3.2.2 분석결과
본 연구에서는 4개 분야 15개 항목에 대해 미국 글로벌 기업 대상으로 보안통제 현황을 조사하였으며, 분석결과는 Table 8과 같다.
Table 8. Security Control Result
총 180개 질의항목 중 회사 보안 정책상 확인이 불가한 20개 질의항목을 제외한 160개 항목에 대해 조사가 진행되었으며, 조사결과 통제수준은 86개(53.8%)로 분석되었다.
특히 PC영역의 경우 모바일영역, 이메일영역, 인터넷영역 대비 통제 수준이 높게 나타났다. 세부 데이터 분석결과, 미국기업의 경우 PC에 Anti-Virus SW 설치, Patch Management System 설치 등 보안 소프트웨어를 설치하여 보안 통제를 수행하고 있음을 확인할 수 있었다. 상대적으로 이메일 사용 및 인터넷 사용은 각각 28.9%, 34.9%로 통제보다는 허용하는 보안정책을 사용하고 있었다.
Fig. 4는 업종별 보안통제 수준을 비교한 결과이다. 미국기업의 경우 평균 53.8%의 보안통제 수준을 보이고 있으며, 금융업종, 제조업종, SW업종 순으로 보안통제 수준이 높음을 확인하였다.
Fig. 4. Security Control Result (Sectors)
Table 9.와 같이 금융업종에서는 71.7% 수준으로 보안통제를 수행하고 있었으며, 3개 업종 중 보안통제 수준이 가장 높은 것을 확인하였다. 다음으로 제조업종이 66.7%로 중간 수준의 통제를 수행하고 있었고, SW개발 업종이 38.3%로 가장 자유로운 보안통제 문화를 보유하고 있었다. 각각 업종별 상세 현황은 아래와 같다.
Table 9. Security Control Result (Sectors)
3.2.3 금융업종의 보안통제 현황
Table 10.는 금융업종의 보안통제 현황을 보여주고 있다. 금융업종의 보안통제 현황을 조사하기 위해 4개 회사에 각각 15개 질의를 하였으며, 총 60개 통제항목 중 답변불가 14개 항목을 제외한 46개 항목에 대해 조사를 진행했다.
Table 10. Security Control Result (Finance)
금융업종에서는 답변불가 14개 항목을 제외한 나머지 46개 항목 중 33개 항목인 71.7%에서 보안통제를 수행하고 있었다. 특히 PC부분 통제는 90% 수준으로 파일암호화 솔루션 등 일부를 제외한 대부분이 임직원 PC에 보안통제를 수행하고 있음을 확인하였다. PC 보안통제 다음으로는 모바일 통제를 71.4% 수행하고 있었고 메일 관련 통제를 83.3% 실시하고 있었다. 반면 인터넷 관련 통제는 13개 항목 중 5개 항목인 38.5%만 통제를 수행하고 있는 특징을 확인하였다.
3.2.4 제조업종의 보안통제 현황
Table 11.에서는 제조업종의 보안통제 현황을 보여주고 있다. 제조업종의 보안통제 현황을 조사하기 위해 4개 회사에 각각 15개 질의를 하였으며, 총 60 개 통제항목 중 답변불가 6개 항목을 제외한 54개 항목에 대해 조사가 이루어졌다.
Table 11. Security Control Result (Manufacture)
제조업종 보안통제 조사결과, 54개 항목 중 30개 항목인 55.6%의 통제를 수행하고 있음을 확인하였다. 제조업종의 경우 3개 업종 중 모바일 분야 보안 통제가 71.4%로 가장 높게 나타났다. 이는 제조라인, 설계도 등이 제조업종의 중요한 자산이며, 이를 스마트폰 카메라 등으로 촬영시 회사에 피해가 가기 때문에 MDM 등을 통해 모바일 통제가 이뤄진 것으로 판단된다. 또한 금융업종보다는 낮지만 PC통제를 84.2% 수준으로 강력하게 수행하고 있음을 확인하였다.
3.2.5 SW개발 업종의 보안통제 현황
Table 12.는 SW개발업종의 보안통제 현황을 보여주고 있다. SW개발업종의 보안통제 현황을 조사하기 위해 4개 회사에 각각 15개 질의를 하였으며, 총 60개 통제항목에 대해 조사가 이루어졌다.
Table 12. Security Control Result (SW)
SW개발업종에서는 60개 항목 중 23개 항목인 38.3%에서 보안통제를 수행하고 있었다. 3개 업종 중 가장 자유로운 근무환경을 제공하고 있었다. SW 프로그램의 경우 핵심 모듈을 제외한 대부분이 오픈소스를 활용하고 있었으며, 최근 개발자들은 클라우드 기반 인터넷 사이트를 통해 개발환경, 소스파일을 공유하는 문화로 보안통제를 완화해서 적용하고 있는 것을 알 수 있었다. 이번 조사에서도 메일은 12.5% 만 통제를 수행하고 있었고 인터넷의 경우도 25%만이 통제를 수행하고 있었다. 25%도 C&C서버 차단 여부에 대한 질의로 악성코드를 유포하는 등 해커서버(C&C서버) 통제여부를 제외하면 SW개발업종에 서는 인터넷을 전혀 통제하고 있지 않고 자유롭게 사용할 수 있는 환경을 제공하고 있음을 확인하였다.
IV. 보안통제 수준 의사결정 모델
4.1 AHP를 사용한 의사결정 모델과 공식 도출 절차 구성
AHP를 사용한 의사결정 모델과 공식 도출 절차는 다음과 같이 4단계로 진행하였다. 1단계에서는 보안통제 수준의 의사결정을 위한 평가요인 선정과 AHP 계층 모델을 설계하였다. 2단계에서는 1단계에서 선정된 의사결정 요인들 간의 쌍대비교를 통해 얻어진 가중치가 논리적인 일관성을 유지하는지 알아보기 위해 유효성 평가를 실시하였다. 3단계에서는 가중치 종합화를 위하여 개인별 쌍대비교 행렬을 기하평균으로 통합하여 통합기하평균 행렬을 산출하며, 4단계에서 종합적인 평가기준별 가중치를 산출하여 해당 요인의 상대적 중요도에 대한 우선순위를 도출하였다. 최종적으로 AHP를 통해 선정된 보안통제 수준 의사결정 모델을 한국기업을 대상으로 검증을 진행하였다.
4.2 1단계 : 평가요인 선정 및 AHP 계층 모델 구현
AHP 사용을 위해 첫 번째로 보안통제 수준을 결정하는 평가요인을 선정하였다. 평가요인 선정은 보안컨설턴트 및 상기 업종에 종사하고 있는 보안 담당자 21명이 FGI를 통해 선정하였다. AHP 계층 모델은 Fig 5.와 같다.
Fig. 5. Control Hierarchy Structure
4.3 2단계 : 논리적 유효성 평가
Fig 5.에서 제시된 Control Hierarchy Structure를 바탕으로 설문지를 구성하고, 쌍대비교를 수행하였다. 쌍대비교를 통해 도출된 가중치가 논리적으로 일관성을 유지하는지 검증하기 위해 Tomas L. Saaty[16]가 개발한 일관성비율 CR(Consistency Ratio)을 사용한다. Saaty[16] 에 따르면 일관성 비율이 0.1 이하일 때 쌍대 비교 행렬은 일관성이 있다고 제시하였다. 따라서 일관성 비율이 0.1 미만일 경우 일관성을 유지한다고 평가하여 분석대상에 포함하고 일관성이 없는 0.1이상인 설문지의 경우 비합리적이라 평가하여 분석대상에서 제외하였다.
본 연구에서 도출된 일관성 비율 값은 모두 0.1 이하로 모두 유의하며, 평균은 0.0455로 응답의 논리적 일관성이 높게 측정되었음을 확인할 수 있었다. 따라서 기업의 보안통제 수준 비교요인의 중요도를 산정함에 있어 전문가 집단이 제시된 요인들을 잘 이해하고 있으며 일관된 관점에서 설문에 응답하였다고 추론할 수 있다.
4.4 3단계 : 통합기하평균 행렬 산출
통합기하평균 행렬 분석은 우선 5점 척도의 설문조사 문항을 통해 얻은 응답에 각각 3, 2, 1, 1/2, 1/3점의 점수를 부여하여 상대적 중요도를 계량화하였으며, 이를 바탕으로 AHP 분석을 수행하기 위해 개인별 쌍대 비교 행렬을 구성하였다. 수집된 자료에 대한 분석은 스프레드시트 Microsoft Excel 2013으로 이루어졌으며, 쌍대비교 행렬을 통해 개인 차원의 요인별 상대적 중요도를 계산하고, 이후 그 결과를 종합하여 요인별 상대적 중요도를 산정하였다. AHP 결과 값은 Fig 6.의 쌍대 비교 행렬이며, 순서는 AHP 계층모델의 차례와 동일하며 P1부터 P4까지는 PC, M1부터 M2까지는 모바일, E1에서 E4까지는 이메일, I1에서 I4까지는 인터넷 순서로 총 15개 항목에 대한 Matrix이다.
Fig. 6. AHP Result (Matrix)
4.5 4단계 : 가중치 산출 및 우선순위 도출
가중치 산출 및 우선순위 도출에 앞서 우선적으로, 평가요인별 상대적 중요도 합을 살펴보면 PC통제 합은 0.423 모바일통제는 0.133이며, 전자메일 관련 통제 합은 0.188, 인터넷 통제 관련 합은 0.257로 기업의 보안통제 수준 비교 시 PC통제가 가장 상대적 중요성을 지니며 다음으로 인터넷 통제, 메일통제 순서로 중요성을 지니고, 모바일통제가 상대적으로 가장 덜 중요한 요인인 것으로 나타났다.
다음으로, 세부적인 상대적 중요도를 비교하여 기업의 보안통제 수준 비교 시 가장 중요하게 고려되는 요인은 PC에서 USB 등 저장매체의 통제여부 (0.123)임을 확인할 수 있었으며, 이후 PC의 파일 암호화 여부(0.116), 웹하드 등을 통한 자료 외부 업로드여부(0.105), 모바일의 카메라 촬영차단여부 (0.088), PC에서 자동SW 패치관리여부(0.082), 인터넷의 암호화사이트(https) 통제여부(0.081), PC의 HDD암호화여부(0.076), 첨부파일의 모바일 저장 통제여부(0.056), 모바일메일의 조회기간 통제 여부(0.046), 모바일에 저장된 데이터의 원격 삭제여부(0.046), PC메일 저장기간 통제여부(0.046), 외부 웹메일 허용여부(0.042), 모바일메일 내용 복사여부(0.041), 해커서버 통제여부(0.029), 백신 SW 설치여부(0.026)의 순서로 중요한 요인인 것으로 나타났다.
Table 13. AHP Result (Weight & Priority)
4.6 사례를 통한 의사결정 모델과 공식 검증
상기 연구 결과를 통해, 기업의 보안통제 수준을 측정할 때 가장 중요하게 고려해야 하는 평가요소는 PC에서 USB 등 저장매체의 통제여부임이 드러났다. 이후 PC의 파일 암호화 여부, 웹하드 등을 통한 자료 외부 업로드 여부, 모바일 카메라 촬영여부 등의 순서인 것으로 드러났다. AHP 결과를 바탕으로 우선순위 상위 10개 평가항목 및 가중치를 부여한 최종 보안통제 수준을 측정하는 공식은 Table 14와 같다.
Table 14. Security Control Decision Model
해당 공식을 통해 한국기업 대상으로 보안통제 수준을 측정한 결과는 Table 15에서 확인할 수 있듯이 63.2점의 통제 수준이 도출되었다. 동일한 기준 으로 미국기업을 대상으로 통제수준을 평가한 결과는 37.8점 통제 수준으로 AHP를 적용하기 전 통제 수준인 53.8보다 보안통제 수준이 완화된 보정결과를 확인할 수 있었다.
Table 15. Security Control Result (AHP Result)
해당결과를 종합해서 보면, 한국기업이 미국기업 대비 보안통제를 강력하게 실시하고 있음을 밝혀졌다. 정량적으로 보안통제 완화 수준은 한국기업 : 미국기업은 1:1.67 수준으로 미국기업이 한국기업보다 임직원을 덜 통제하고 있었다. 이는 Diamond Model을 통해 도출한 한국과 미국 사회 신뢰수준인 1:1.24를 생각해보면, 사회의 신뢰도가 높은 경우 보안통제를 상대적으로 낮게 운영하고 있음을 검증하였고, 미국의 높은 신뢰도를 감안하더라도 한국기업은 미국기업대비 보안통제를 강력하게 하고 있는 것으로 나타났다.
V. 결론
5.1 결론
본 연구를 통해 사회의 신뢰수준과 보안통제가 연관성이 있음을 확인할 수 있었다.
최근 우리나라 기업들이 중국, 베트남 등 해외에 신규로 진출하는 일이 많아지고 있다. 이때 사회 신뢰 수준이 낮은 국가에 국내와 동일수준으로 보안통제를 적용해서는 안 되고 보다 강력한 통제를 적용하는 것이 합리적임을 도출하였다.
또한 보안수준을 합리적으로 측정할 수 있도록 10개의 평가요인을 선정하였으며, AHP를 사용하여 해당 평가요인의 가중치를 도출하여 합리적으로 보안수준을 평가할 수 있는 의사결정 모델을 제시하고 이를 기반으로 공식을 도출하였다. 실제 한국기업 사례를 바탕으로 제시된 의사결정 모델과 공식을 검증하였으 며, 미국기업과 비교를 통해 한국기업과 미국기업의 보안통제 수준을 비교, 분석하였다.
추가적으로 업종별 보안통제 수준을 비교한 결과 미국기업은 업종별로 차별화된 보안통제를 적용하고 있음을 확인할 수 있었다. 미국의 금융업종, SW업종, 제조업종의 보안통제 Best Practice를 제시하였으며, 해당 사례는 국내기업에서 보안통제 수준을 정할 때 유용하게 활용될 수 있다.
5.2 한계 및 향후 발전방향
보안수준의 설정 및 통제에 대한 문제는 사회 신뢰수준이라는 한 가지 요소만으로 규정되지 않고 각나라의 법, 소속기관 및 기업의 제도, 규범 등을 고려하는 것이 필요하다. 즉 본 연구에서 제시한 사회 신뢰 수준 외 보안통제와 관련이 있는 다양한 분야, 항목을 발굴하고 수치화, 계량화하여 보안통제 수준을 결정하는 것이 필요하다.
또한 한국과 미국 외 다른 국가의 신뢰 수준을 분석하는 것도 향후 발전방향으로 매우 중요한 의미가 있을 것이다.
References
- Arnott, David C, "Trust - current thinking and future research," 2007
- Fukuyama, Fancis, "Trust, Free Press," 1995
- Robert. D. Putnam, "The Strange Disappearance of Social Capital in America," 1995
- Joint Task Force Transformation Initiative, "NIST 800-53r4, Security and Privacy Controls for Federal Information Systems and Organizations," 2013
- Joint Task Force Transformation Initiative, "NIST 800-53Ar4, Assessing Security and Privacy Controls in Federal Information Systems and Organizations, Building Effective Assessment Plans," 2014
- Department of Homeland Security Integrated Task Force, "Executive Order 13636, Improving Critical Infrastructure Cybersecurity," 2013
- NIST, "Framework for Improving Critical Infrastructure Cybersecurity, " 2014
- Keun-hee Han, "Adaptation Policy of ISO 27001 ISMS (Information Security Management System) for e-Government," 2009
- Kuk-Hie Lee, "Ex Ante Evaluation Methodology for IT Investment Decision Making: Integrating the Current Best Practice Methods and Applications," 2008
- Michael E. Porter, "Competitive Advantage of Nationson," 1990
- Sangmi Cho, "Rethinking Competencies of Social Enterprises as a Way to Create Shared Value : Policy Analyses from a Perspective of Competitive Advantage", 2014
- Jongsung Won, "An Analysis of the Information Protection Industry of Korea and the U.S. Information Protection Industry," 2012
- Jim Myun Park, "A Diamond Model Approach to the Analysis of Leadership: Case Studies on Chung, Ju-yung of Hyundai Group and Lee, Byung-chull of Samsung Group,", 2012
- Fainshmidt, S, "National Competitiveness and Porter's Diamond Model : The Role of MNE Penetration and Governance Quality," 2016
- Moon-Haeng Lee, "Production Environment Factors on Korean competitiveness of Korean Drama," 2006
- Saaty T. L. "The Analytic Hierarchy Process," McGraw-Hill, New York, 1980.
- Sang-Pil Shin, "An analytic hierarchy process (AHP) approach to selection of implementation mode of mobile office system," Seoul National University of Science and Technology, July. 2013.
- Dongwook Kim, "A Study on Information Security Policy in the era of Smart Society," Seoul National University of Science of Public Administration, Aug. 2012.
- Suk-Won Lee, "Decision Making Model for Selecting Financial Company Server Privilege Account Operations," Korea University of Information Security, Dec. 2015
- Kihoon Sung, "A Study on Threat fators of Information Security in Social Network Service by Analytic Hierarchy Process," Journal of The Korea Institute of Information Security & Cryptology, v.20. no.6. pp.261-270, Dec. 2010