검색 상세

글로벌 사이버보안 성숙도 지수모델 개발과 활용에 관한 연구

Development and Application of Global Cybersecurity Maturity Index Model

  • 윤재석 (YUN, Jaesuk, 정보보호대학원 정보보호학과 정보보호전공)

초록/요약

사물인터넷, 클라우드, 빅데이터, 그리고 최근 급격히 부상하고 있는 인공지능(AI) 등 인터넷과 디지털 경제가 발전하면서 이를 악용한 사이버범죄로 인해 경제적, 사회적 피해도 급증하고 있다. IT 시장 조사기관인 쥬니퍼(Juniper Research)에 따르면 사이버범죄로 인한 피해가 2019년경에 이르면 전 세계적으로 2조 달러에 달할 것으로 예측되는 등 개인과 사회는 물론, 주요 기반시설에 대한 사이버공격으로 국가 안보 차원의 위험도 증가하고 있다. 이에 세계 많은 국가들은 사이버위협을 사전에 대비하고, 대응 수준을 높이기 위해 사이버보안 전략을 수립하여 이행하고 있다. 국제전기통신연합(ITU)의 조사에 따르면 회원국 193개 국가 중 72개 국가에서 사이버보안 전략을 수립하였고, 북대서양조약기구(NATO)에 의하면 해당 국가는 65개에 이른다. 조사에 따라 편차가 있기는 하지만 대략적으로 전 세계에서 50여개에서 70여개에 이르는 국가가 사이버보안 전략을 수립한 것으로 파악된다. 그러나 사이버보안 위협에 대한 실제 대응은 전략 수립만으로는 충분하지 않다. 사이버위협으로 인한 피해가 비단 한 개별 국가에 국한되지 않고 순식간에 전 세계로 파급된다는 점에서 사이버보안 전략 수립과 더불어 개별 국가의 현황을 정확히 진단하고 위협에 대한 대응 수준을 높이는 구체적인 노력이 수반되어야 한다. 실제로 국가마다 처한 환경과 필요에 따라 사이버보안 수준은 상당한 편차를 보이고 있다. 국제기구를 비롯한 여러 관련 기관들이 국가별 사이버보안 수준과 격차를 분석하고 국가적 역량과 준비도, 그리고 성숙도를 높이기 위해 다양한 측정모델을 개발하고 있다. 호주전략정책연구소의 아시아태평양 사이버 성숙도 조사, 포토맥연구소의 사이버 준비도 지수, 옥스퍼드 대학의 사이버보안 역량 성숙도 모델, 그리고 ITU의 글로벌 사이버보안 지수 등이 대표적인 사례라고 할 수 있다. 개별 국가의 사이버보안 역량을 평가하는 것은 여러 면에서 어려운 일이다. 국가마다 사이버보안을 통해 궁극적으로 달성하려는 목표에 대한 합의가 부족하고, 목표가 있다 하더라도 그것을 평가하는 방법과 지표의 개발, 그리고 조사가 쉽지 않은 까닭이다. 특히 국가를 대상으로 하는 사이버보안 역량 평가는 각국의 정치‧사회 등 상황적 맥락에 따라 다양하기 때문에 보편적인 평가 지표를 개발하는 것이 어렵고, 국가 안보와도 연관되어 상황을 정확히 진단할 수 있는 데이터 수집과 분석이 용이하지 않기 때문이다. 그럼에도 불구하고 개별 국가의 사이버보안 역량 수준 평가는 정책 추진 상황을 객관적으로 진단하고 평가하여 관련 정책 추진 과정에서 자원 투입의 합리성을 제고하는데 기여할 수 있다. 또한 개별 추진 주체의 책임성을 확보하기 위한 노력을 촉진할 수 있다는 점에서 유용하다. 다양한 사이버보안위협 대응 실전 경험과 기술력을 겸비하고 있는 우리나라의 입장에서는 양자, 다자간 협력과 국내 보안 산업 해외진출 지원 차원에서 사이버보안 역량 분석을 통해 개발도상국가와의 협력 가능 분야를 판별하고 효과적인 지원책을 마련함으로써 해당 시장에 진출하는데도 도움이 될 수 있다. 이를 위해 본 논문에서는 호주전략정책연구소에서 개발한 아시아태평양 성숙도 모델, 포토맥 연구소의 사이버 준비도 지수, 이코노미스트 인텔리전스 유닛(Economist Intelligence Unit: EIU)의 사이버 파워지수, EU 회원국을 대상으로 한 사이버보안 대쉬보드, 옥스퍼드 대학의 사이버보안 역량 성숙도 모델, ITU에서 개발한 글로벌 사이버보안 지수 등 기존에 발표된 국가 사이버보안 역량, 성숙도, 준비도 평가 지수 모델에 대한 비교‧분석을 통해 보다 개선된 성숙도 지수모델을 제안하였다. 제안된 성숙도 지수모델은 디지털 경제와 정보화를 추가한 지표항목의 개선, 데이터 수집과 조사‧평가방법의 개선, 그리고 역량 성숙도 통합 모델(Capability Maturity Model Integration: CMMI)을 원용한 성숙도 단계별 수준 정의와 이에 따른 측정, 국가 프로필 마련과 세부 권고 제시 등으로 요약할 수 있다. 아울러 오만과 르완다를 대상으로 이를 적용한 성숙도 조사와 분석을 실시하였다. 개선 모델은 ITU 글로벌 사이버보안 지수 모델의 수정 제안 등을 통해 개도국의 사이버보안 수준 파악과 역량확보를 지원할 수 있고, 국내 정보보호 기업의 해외진출 도구로 활용할 수 있다. 아울러 개도국을 비롯한 여러 국가들은 사이버보안 역량 제고를 위해 자체적인 노력을 기울일 수 있는 진단 도구로 활용할 수 있고, 국제기구 등 여러 기관들이 필요한 부분에 적절한 도움을 줄 수도 있다. 또한 우리나라에 지원을 요청하는 개도국과의 협력방안을 보다 상세하게 마련함으로써 국내 정보보호 기업의 해외진출에 유용한 도구로 활용할 수 있을 것으로 기대된다.

more

목차

국문초록 i

목 차 iv

第 1 章 서론 1
第 1 節 연구의 배경 및 필요성 1
第 2 節 연구의 목적과 개요 4

第 2 章 사이버보안 지수 개발의 이론적 배경 6
第 1 節 사이버보안의 개념 6
第 2 節 지수와 지표의 개념 및 분류 11
第 3 節 사이버보안 지수의 개념과 분류 19
1. 사이버보안 지수의 개념 19
2. 사이버보안 지수의 분류 21
第 4 節 소결 24

第 3 章 글로벌 사이버보안 지수모델 비교‧분석 25
第 1 節 호주전략정책연구소의 아시아태평양 사이버 성숙도 모델 25
1. 개요 25
2. 세부 지표 항목 26
3. 모델수립과 평가방법 27
4. 조사 결과 29
5. 평가 31
第 2 節 포토맥 연구소 사이버 준비도 지수 32
1. 개요 32
2. 조사대상 선정 및 지표 항목 32
3. 평가방법 36
4. 조사 결과 37
5. 평가 39
第 3 節 EIU 사이버 파워 지수 41
1. 개요 41
2. 세부 지표 항목 41
3. 데이터 수집과 평가방법 43
4. 조사결과 44
5. 평가 45
第 4 節 EU 사이버보안 대쉬보드 46
1. 개요 46
2. 대상과 지표 항목 46
3. 평가방법 48
4. 조사결과 48
5. 평가 60
第 5 節 옥스퍼드 대학의 사이버보안 역량 성숙도 모델 62
1. 개요 62
2. 조사대상과 세부 지표 항목 62
3. 평가방법 75
4. 성숙도 조사결과 77
5. 평가 87
第 6 節 ITU 글로벌 사이버보안 지수 89
1. 개요 89
2. 지표항목 91
3. 조사 및 평가방법 95
4. 조사 결과 102
5. 평가 104
第 7 節 글로벌 사이버보안 평가모델 종합 비교‧분석 106

第 4 章 국내 사이버보안 지수 및 성숙도 모델 현황 110
第 1 節 국가 정보보호 수준평가 모델 110
1. 국가 정보보호 지수 110
2. KISA 정보보호 수준평가 112
第 2 節 사이버보안 성숙도 모델 118
1. 기존 사이버보안 성숙도 모델 현황 118
2. 기반시설을 대상으로 한 CMMI 모델 120

第 5 章 글로벌 사이버보안 지수 개선 및 활용 방안 123
第 1 節 글로벌 사이버보안 지수 개선 방안 123
1. 지표항목의 개선 123
2. 지표항목의 검증 127
3. 데이터 수집과 조사 및 평가방법의 개선 129
4. 국가 사이버보안 프로필 마련 및 세부 권고 제시 140
5. 글로벌 사이버보안 성숙도 지수 적용 사례 141
第 2 節 글로벌 사이버보안 성숙도 지수 활용 방안 156
1. ITU 글로벌 사이버보안 성숙도 지수 모델 개선 제안 156
2. 개도국의 자발적인 사이버보안 수준 파악과 개선 157
3. 국내 정보보호 기업의 해외진출 지원 159
4. 개도국 대상 정보보호 공적개발원조(ODA) 활용 161

第 6 章 결론 165
第 1 節 연구결과의 요약 및 정책적 시사점 165
第 2 節 연구의 한계점과 향후 연구방향 170

참 고 문 헌 171

ABSTRACT 189

more
반출 Meta View 목록