국문초록
1. 연구배경 및 필요성
□ 연구의 배경
○ 현대는 지식정보사회로서 고도로 발전한 기술을 기반으로 급격한 변화와 발전을 거듭
(이하 원문확인)
○ 세계 각국은 정보보안의 중요성을 일찍부터 인식하고 관련 법률, 조직, 정책 등을 체계적으로 수립하여 운영
○ 우리 정부도 정보보안 관련 법률 및 추진체계를 마련하여 대응
○ 그러나 전문가들은 정보보안제도의 많은 문제점을 지적
- 법률의 경우 부처별로 필요에 따라 법률을 제정하여 유관 법률간 불균형, 일관성 미흡, 규정 중복, 공백 등의 문제가 발생
- 조직의 경우 보안사고발생시 총괄·조정할 수 있는 컨트롤타워 관련 문제가 발생
- 정책의 경우 침해기술 대비 보안기술의 발전 미흡, 전문인력 부족, 보안산업 낙후 등의 문제가 발생
- 그 결과 지난 3년간 수많은 보안사고가 발생
○ 이러한 문제들을 해결하지 못한다면 지속적으로 보안사고가 발생하여 사회적 혼란과 갈등을 초래하고, 국가발전을 저해할 것으로 예상
□ 연구의 필요성
○ 본 연구는 상술한 정보보안 관련 문제들을 해결하기 위해 법률, 조직, 정책 등 세 가지 측면을 중심으로 문제를 살펴보고 개선방안을 모색
○ 선행연구와의 차별성
(이하 원문 확인)
2. 이론적 배경
□ 정보보안의 이론적 고찰
○ 정보의 정의
(이하 원문 확인)
○ 정보보안과 정보보호
- 정보보안은 사람에 의하여 고의적으로 발생하는 정보의 유출, 파괴 및 변조에 대한 대응을 강조
- 정보보호는 고의적인 침해 뿐 아니라 우연히 발생하는 자연재해나 사람의 실수에 의한 침해에 대한 대응까지도 포함하는 포괄적인 용어 그러나 우리 정부는 그동안 정보보호와 정보보안을 혼동하여 사용
○ 정보보안은 기술적, 행정적, 물리적 보안으로 분류
○ 정보보안위협
- 사이버테러리즘, 불법적인 접근 및 사용, 악성코드에 의한 자료변조 및 파괴, 악성코드에 의한 공격기법 등 보안위협의 종류는 방대
○ 정보보안정책
- 정보보안과 관련된 연구의 동향은 기술적·물리적 보안 설계 및 구축, 정보시스템 보안을 위한 투자의 효과 및 투자 결정, 정보보안지표 개발 및 계량화 연구, 정보보안정책의 역할 및 성숙도, 정보보안 및 위험 관리 등 다양
- 그러나 최종 사용자 행동에서의 정보보안 수립 및 검토는 여전히 부족
- 정보보안정책 연구는 보안사고를 막기 위한 기술의 적극적인 활용, 기술을 다루는 사람과 행정적 절차, 조직의 정보보안정책 및 규칙을 효과적으로 만들기 위한 연구, 내부 조직원을 효과적으로 통제함으로서 정보를 보호하기 위한 연구 등이 진행되고 있는 상황
□ 정보보안제도 선행연구 검토
○ 법률
- 법률체계의 조정 필요성
(이하 원문 확인)
- ·사이버보안법·제정 필요성
(이하 원문 확인)
- 기반 법률의 제정 필요
·사이버보안 법률 제정 필요
- 귀속의 책임과 법제도 정비 필요
- 개별 법률의 문제점
··방송통신위원회설치법·문제
·다양한 사이버 침해 대응을 위해 법률 개정 필요
○ 조직
- 추진(조직)체계의 조정 필요성
(이하 원문 확인)
- 통합된 추진체계의 필요성
(이하 원문 확인)
- 기능배분의 명확성 문제
(이하 원문 확인)
- 협력체계 구축 필요
(이하 원문 확인)
○ 정책
- 보안기술 연구 및 개발 필요
·보안에 대한 투자 미흡 및 개발 제안
- 전문인력 양성 필요
·보안전문인력 부족
(이하 원문 확인)
·조직 내부자 통제 및 관리 문제
·외부 위탁관리에 의존 문제
- 사이버보안의 합리적 예산 편성 및 운영 필요
- 예방조치에만 머무르는 위협측정체계, 관리문제
3. 정책 및 사례분석
□ 연구설계 및 연구분석틀
○ 이전단계에서 발견된 문제와 대안의 경험적 타당성을 검증하기 위하여 전문가 인터뷰 조사를 채택
○ 정보보안제도를 법률, 조직, 정책 등 세 가지 측면으로 나누어 분석
□ 연구대상
○ 인터뷰조사는 정보보안 전문가를 대상
- 정보보안 제도를 운영하고 있는 정부 각 부처의 담당 공무원, 학계의 교수, 연구기관 연구위원
□ 연구방법
○ 질적연구
(이하 원문 확인)
□ 인터뷰 조사 분석결과
○ 법률
- 정보보안 관련 법률 간 불균형, 중복, 분산의 문제
(이하 원문 확인)
- ·국가사이버안전관리규정·이 법률이 아닌 대통령훈령이라 문제 발생
(이하 원문 확인)
- ·국가사이버안전관리규정·제3조와 ·정보통신기반보호법·제8조 중복으로 유관 부처간 역할 및 책임 불분명 문제가 발생한다는 점에 대해 전문가 일부 동의, 일부 반대
- 국가사이버안전전략회의가 법률이 아닌 ·국가사이버안전관리규정·제6조에 근거한다는 점에 대해 법률 근거의 필요성을 제안
- 일관성 및 통일성 있는 기본법 제정 필요
- 정보보안 관련 법률 통합 필요성에 대해 전문가 일부 동의, 일부 반대
- ·국가사이버테러방지법(안)·기능 및 역할 문제에 대해 대부분의 전문가가 동의하지 않았으며 국가정보원의 지위 확대를 우려
- 수사기관 관련 법률 및 규정에 기관의 역할을 명시할 필요가 있음에 대부분의 전문가가 동의
- 정보보안 관련 개별법과 고유영역의 문제로 민관협력의 어려움에 대부분의 전문가가 동의
- ·방송통신위원회설치법·에 방송통신위원회의 민간 방송통신사업자 정보보안규제 관련 근거 조항이 없어 문제라는 점에 대해 전문가 일부 동의, 일부 반대
- ·정보통신망법·, ·정보통신기반보호법·개정 필요성에 대해 전문가 일부 동의, 일부 반대
○ 조직
- 컨트롤타워 문제와 설립방안
(이하 원문 확인)
- 각 부처에 분산된 정보보안부서 통합은 현실적 불가능
- 정보보안 부처 간 역할과 책임이 불분명하여 대응의 어려움, 부처간 업무 중복, 책임 불분명 등의 문제 존재
- 민간과 정부의 교류 및 소통 활성화 필요
- 정부간 협력 체계 구축 필요
○ 정책
- 침해기술은 급속히 발전하는 반면 보안기술은 이를 따라가지 못하고 있어 국가적 차원의 보안 기술 연구 및 개발 필요
- 정보보안 전문인력 양성 필요
- 보안전담 부서 및 전담인력 배치 의무화 필요
- 체계적인 보안실태 평가지표 운영 필요
- 소홀한 내부 관리를 위한 관리툴, 보안의식 강화 등의 노력 필요
- 보안예산의 적정규모에 대한 연구를 통해 보안예산 증액 설정 필요
4. 결론 및 정책제안
□ 법률
○ ·정보보안기본법·제정 필요
- 조직 간 역할 및 기능을 명확히 정립할 필요
- 법의 제정을 통해 각 법률간 중복 및 공백 등의 문제를 해결
○ ·국가사이버안전관리규정·에 대한 대안
- 국가안보 등 국가정보원 고유의 기능을 뺀 나머지 규정을 새롭게 제정되는 기본법에 편입
- ·국가사이버안전관리규정·의 중요한 규정은 기본법으로 이관, 나머지 내용은 축소 또는 폐기
□ 조직
○ 컨트롤타워 설립
- 실질적인 컨트롤타워로 청와대를 제안
- 국가정보원은 타 부처와 함께 정보보안 기능 담당 부서 중 하나로 그 역할을 한정
- 그러나 제시된 컨트롤타워 설치와 관련된 대안의 장·단점을 비교한 자료를 통해 정부가 직접 대안을 선택
□ 정책
○ 보안기술 연구 및 개발정책
- 보안산업의 육성 필요
- 위협측정체계 구축 및 보상시스템 도입 필요
- 정부의 예산과 정책지원이 필요
○ 중장기적 관점으로 보안전문인력을 육성
○ 예산정책 강화
- 적정한 규모의 보안예산을 산정하기 위한 연구 수행을 제안
- 예산집행을 위한 세부항목의 체계적 수립 작업이 필요
- 중장기적 관점에 따른 보안예산의 증액 필요
○ 보안실태평가, 감사, 내부관리 정책 필요
- 효과적인 지표개발을 위한 연구 수행을 제안
- 정기적인 보안점검과 감독, 감사의 필요성 제시
5. 기대효과
□ 법률
○ 정보보안 관련 법률 및 훈령의 문제점과 개선방안을 제시함으로써 제도의 개선에 기여
□ 조직
○ 정보보안 기능을 수행하는 정부기관의 문제점과 개선방안을 제시함으로써 제도운영의 효율성 향상에 기여
□ 정책
○ 정보보안정책의 문제점과 개선방안을 제시함으로써 정책의 효과적 추진에 기여
목차
제1장 서 론
제1절 연구의 필요성과 목적
1. 연구의 배경 및 필요성
2. 연구의 목적과 내용
제2절 연구의 범위와 방법
1. 연구범위 및 대상
2. 연구방법
3. 연구흐름도(Research Flow Chart)
제3절 기대효과 및 연구결과의 활용
1. 기대효과
2. 연구결과의 활용
제2장 정보보안제도의 이론적 논의 및 선행연구분석
제1절 정보보안의 의의
1. 자료 및 정보
2. 정보의 가치
3. 정보보안의 정의 및 정보보호와의 구분, 대상, 종류
4. 정보보안에 대한 위협
5. 정보보안정책
제2절 정보보안제도에 대한 선행연구 분석
1. 법률
2. 조직
3. 정책
제3절 연구분석의 틀
제3장 우리나라 정보보안제도의 현황분석
제1절 정보보안 관련 법률
1. 개요
2. 주요 개별 법령
3. 국회 제출되어 심의 중 또는 제출 예정 법률안
4. 정부의 국가사이버안보 종합대책 발표
제2절 정보보안제도 추진체계
1. 국가정보원
2. 안전행정부
3. 한국인터넷진흥원
4. 미래창조과학부
제3절 정보보안제도 문제점 분석
1. 법률
2. 조직
3. 정책
제4장 연구설계
제1절 연구설계 및 연구의 분석틀
1. 법률
2. 조직
3. 정책
제2절 연구대상
제3절 연구방법
제4절 자료수집
1. 모집단
2. 자료수집과정
제5장 분석결과
제1절 인터뷰조사 결과
1. 개요
2. 분석내용
3. 조사결과
제6장 정책제언
제1절 연구결과의 요약
1. 개요
제2절 법률부문 정책제언
1. 「정보보안기본법」 제정
2. 「국가사이버안전관리규정」 개정
제3절 조직부문 정책제언
1. 컨트롤타워 설립
제4절 정책부문 정책제언
1. 보안기술 연구 및 개발정책
2. 보안전문인력 육성
3. 예산정책 강화
4. 보안실태평가, 감사, 내부관리정책
참고문헌
부 록
