정보화의 역기능 및 위험요소는 분절적으로 우연히 발생하는 사건 또는 사고라기 보다는 정보화의 편익과 함께 불가피하게 공존하는 사회적 비용이라고 생각할 수 있다. 특히 정보 자원 및 정보사회에 내재한 특성을 고려한다면 접근의 광범위성과 위험에 대한 노출가능성 ...

정보화의 역기능 및 위험요소는 분절적으로 우연히 발생하는 사건 또는 사고라기 보다는 정보화의 편익과 함께 불가피하게 공존하는 사회적 비용이라고 생각할 수 있다. 특히 정보 자원 및 정보사회에 내재한 특성을 고려한다면 접근의 광범위성과 위험에 대한 노출가능성이 상존 하고 있다. 정보화의 편익에 상응하는 비용을 당연시하거나 무기력하게 받아들일 수는 없다. 하지만 미래의 불확실성을 배경으로 발생하는 정보화의 역기능과 위험요소를 완벽하게 차단하려는 노력은 이성의 남용이다. 그러면 정보화에 따른 위험요소에 대한 논의와 대응방안은 어떻게 마련되어야 할 것인가 본 연구는 이러한 기본적인 의문에서 출발한다. 최근 정보보호 및 시스템 안전에 대한 정책적 관심은 엄청나게 증가하고 있다. 정보화의 역기능과 안전문제에 대한 지금까지의 많은 연구는 기술적 시각을 통해서 접근하여 새로운 기술개발이나 시스템구축에 의한 하드웨어 차원에서 해결책을 찾고자 했으며, 과거에 발생한 문제점과 대응방안을 서술적으로 정리하는 수준에서 이루어졌다. 정보화에 따른 위험요소를 논하고 해결하는데 이에 상응하는 정보통신기술개발이 필요조건인 것만은 분명하지만 충분조건이라고 할 수는 없다. 따라서 정보화의 위험요소에 대한 정책적 논의는 대응 차원 뿐 아니라 예방적 차원에서 이루어져야 하며, 기술적 내용과 함께 관리적 요소를 포함한 종합적인 접근이 절실히 요구된다.
본 연구의 목표는 외국의 정책전문가와 협력연구를 통하여 예측 가능한 위험요소를 파악하고 이에 대한 대처방안을 분석, 정리함으로써 국내의 정보화정책을 추진하는 과정에서 발생 가능한 문제점을 최소화할 수 있는 정책지침을 마련하는 것이다. 특히 사회 전반적인 정보화가 급속하게 진전됨에 따라 발생하는 역기능과 위험요소를 외국의 경험과 실례를 통하여 탐구함으로써 우리 나라의 정보선진국 진입과 국가경쟁력 향상을 위한 정책기반자료를 마련하고자 한다.
정보화의 역기능과 위험요소, 특히 정보보호 및 시스템 안전을 위한 정책을 탐색하는데 다음과 같은 시각을 갖고 접근하는 것이 요구된다. 첫째, 동태적 환경을 염두에 두고 정보보호와 안전성을 분석한다. 정보보호와 시스템 안전과 관련된 문제는 일상적인 표현으로는 사건, 사고라고 할 수 있지만 정책적 시각에서는 일종의 risk라고 표현할 수 있다. 위험과 관련된 모든 논의는 불확실성에서 출발하고 이를 항상 포함한다. 따라서 정보보호 및 안전성과 관련된 정책은 결국 불확실성을 어떻게 관리하고 최소화할 것인가라는 주제로 귀착된다. risk와 uncertainty는 미래를 상정하고 있고 미래는 본질적으로 예측이 불가능하기 때문에 사후적 대응을 통한 피해의 최소화 전략에 의존하는 경우가 많다. 그리고 과거에 발생했던 문제 뿐 아니라 현재 진행되고 있는 문제에서 출발하여 정보보안 사건/사고의 scenario를 개발하여 전문가의 반응과 대응 전략을 수집, 분석하였다.
정보보호 및 안전과 관련된 논의가 Hardware 중심의 기술개발이나 획기적인 Software의 개발을 통해서 가능하다는 시각이 지배적이다. 만일 기술적 논리에 근거하여 정보보호 및 안전 문제를 다루려 한다면 만병통치약적인 기술개발과 반복되는 기술혁신의 끝없는 연속과정만 존재하고 "정책"이 자리 매김을 할 공간은 없다. 대부분의 보안사고가 기존의 기술에 내재한 취약점에서 출발하거나 관리적 차원 또는 조직적 차원의 비기술적 요인에 의해서 발생한다는 점을 고려한다면 소위 "정책"의 가치가 새롭게 부각되어야 한다. 이처럼 정보보호 연구의 "동태성"의 연장선상에서 정보보호에 대한 정책 논의는 기술적 요소뿐만 아니라 관리적, 정치적 요소를 고려한 다차원적 내용을 고려하여 이루어져야 한다. 정보시스템의 구성요소를 Hardware, Software, 그리고 Orgaware로 구분하여 설명하는 시각이 있다. 이러한 구분에 기초한 기존의 연구 결과에 따르면, 성공적인 정보보안 시스템을 위해서는 재정적인 자원이 hw, sw, ow에 각각 5:10:85 비율로 투입되어야 하며, 시스템의 안전성과 보안을 위해서도 이와 유사한 비율의 정책 자원과 관심이 투입되어야 한다는 주장이 있다. 그만큼 orgaware로 대변되는 관리적, 조직적 요소의 중요성이 부각된다는 결론이다.
본 연구에서는 이러한 정책적, orgaware적 활동에 요구되는 정책기반 자료라고 할 수 있는 정보보안 사고의 발생 추세분석, 정보보안 사고의 유형화, 위협요소의 분류 및 개념지도 분석, 시나리오에 근거한 긴급대응활동을 정리하였다.

This study tries to provide policy guidelines in our efforts to mitigate information incidents and to minimize the impact from system vulnerabilities by reviewing policy experiences in USA. This study proceeds with information from a survey and interv ...

This study tries to provide policy guidelines in our efforts to mitigate information incidents and to minimize the impact from system vulnerabilities by reviewing policy experiences in USA. This study proceeds with information from a survey and interview with security experts, and the existing data on incidents. Through an analytic lens of social psychology and public policy, this study examines the issues of information security and risk. A special emphasis is on the fact that study on information security requires an inter-disciplinary approach including not only computer engineering, but also social sciences. The objectives of this research are as follows: 1)to articulate policy information which provides managerial insight and direction in making information security policies, 2)to aggregate policy experiences which guide the process of implementing security policies, 3)to investigate a policy framework which facilitates a holistic approach to security incidents and vulnerabilities.
It is no coincidental that most countries in the world are currently undertaking ambitious project to establish advanced information infrastructure. They realize that their prosperities in the 21st century depend on the extend to which their societies are informatized. In spite of deep concern and interest in nation-wide informatization, it is easy to disregard the other side of information policy. The benefit and convenience from utilizing information resource and technology always come with the cost and risks from mis-use of information and uncertainty of technology. Recent experiences prove the society-wide risk and cost caused by such security incidents and system vulnerabilities as Y2K and "I love you" virus.
In pursuit of constructing an information society, it is indispensable to balance the development of IT, the expansion of IT application, and the maximization of information security. Up to now, most research on information security was focused on the "hard" side of the issue. Technological support in mitigating security incidents is one of the critical factors. It must be a necessary condition, not a sufficient one for a safe environment for a knowledge-based society. Legal system, organizational arrangement, managerial framework, individual understanding for information security should go in parallel with technological advances.
Qualitative data were collected by in-depth interviews with security experts. It also utilized quantitative data from public agencies specialized in the area of security management and incident response. The implications of this study can be summarized as follows: 1) In the organizational level, institutional arrangement for information security and emergency response should be set up. Specifically, a formal role of managing security issues should be officialized. ISO in New York state, for instance, provide a successful experience in response to security issues. 2) In the individual level, users awareness on information security should be improved and internalized. 3) In the policy level, the issue of information security can be understood as an issue of risk. Security policy is focused on how to manage and minimize the uncertainty. 4) Information security is a matter of management. IT is an indispensable to informatization, or a necessary condition. Coordinating organizational division and communication network is a sufficient condition for successful policy against security incidents. 5) The performance evaluation is an essential step in the circular process of policy-making. Knowledge from past experiences can reduce future uncertainty, and maximize the potentiality of policy success. Thus, information and data regarding security incidents should be collected and understood for the purpose of future response to unpredictable incidents.

본 연구의 목적은 최근 사회적 우려와 정책적 관심이 급격히 집중되고 있는 정보보안 문제를 기술공학적 시각이 아닌 사회과학 및 정책학적 시각을 통해 접근하여 1) 최근 발생한 정보보안 사고의 내용을 정리, 유형화, 2) 정보보안 위협의 발생요소 파악 및 발생 예측, ...

본 연구의 목적은 최근 사회적 우려와 정책적 관심이 급격히 집중되고 있는 정보보안 문제를 기술공학적 시각이 아닌 사회과학 및 정책학적 시각을 통해 접근하여 1) 최근 발생한 정보보안 사고의 내용을 정리, 유형화, 2) 정보보안 위협의 발생요소 파악 및 발생 예측, 3) 보안 전문가 및 실무담당자들의 정보보안에 인식지도(mental map)를 조사, 4) 정보보안을 위한 대응체제 및 대응전략의 현황을 분석하여 향후 정보사회와 전자정부를 추진하는 과정에서 발생가능한 문제점과 이에 따른 사회적 비용을 최소화할 수 있는 정책지침을 마련하는데 있다. 특히, 정보보안을 정보사회의 위험관리 (risk management)라는 이론적 배경에 근거하여 접근함으로써 정보보안 문제를 시스템 오작동이나 정보통신기술의 결함이 아닌 사회문제 그리고 정책주제로 조명한다. 또한 정보보안에 대한 폭넓은 정책 경험이 누적되어 있는 미국의 전문가와 실무자를 대상으로 정책연구자료를 수집, 분석함으로써 본 연구의 분석적 견실성과 연구결과의 정책적 이용가능성을 높이고자 한다.
정보보안의 문제, 즉 정보화의 역기능 및 위험요소는 분절적으로 우연히 발생하는 사건 또는 사고이기 보다는 정보통신기술을 활용함으로써 유발되는 편익과 함께 불가피하게 공존하는 사회적 비용이라고 생각할 수 있다. 정보화의 편익에 상응하는 비용이라는 이유로 정보보안의 문제를 당연시하거나 무기력하게 받아들일 수는 없다. 하지만 미래의 불확실성을 배경으로 발생하는 정보화의 역기능과 위험요소를 완벽하게 차단하려는 노력은 이성의 남용이다. 그러면 정보보안에 대한 논의와 대응체계는 어떻게 마련되어야 할 것인가 본 연구는 이러한 기본적인 의문에서 출발하여 정보보안에 대한 사회과학적 접근을 시도한다.
미국의 CERT 통계자료에 따르면, 정보보안 문제의 발생빈도는 계속 증가추세를 보이고 있다. 특히 인터넷이 보편적으로 활용되기 시작한 1993년부터 발생빈도가 크게 증가하였으며, 1998년 이후 이러한 추세가 더욱 심화되고 있다. 지난 16년간 보고된 보안사고 가운데 약 92%가 2000년 이후 발생하였다. 이러한 통계가 의미하는 것은 정보통신기술의 발달, 특히 인터넷이 보편화됨에 따라 업무환경이나 생활환경이 더욱 편리해졌다는 것을 부정할 수 없지만 그만큼 새로운 양태의 위험, 즉 보안사고의 발생가능성이 높아지고 있다는 것을 보여주고 있다. 이러한 사고발생 자료를 활용하여 보안사고 추세를 분석한 결과, 보안사고를 잠재적 유형(latent incidents), 지속적 유형(continuous incidents), 그리고 활성적 유형(active incidents)으로 구분하였다. 활성적(active) 유형에 우선적으로 정책적 관심이 집중되어야 하고 정책자원도 배분되어야 하며, 최근 발생빈도와 강도가 높기 때문에 이를 대비한 긴급대응전략이 마련되어야 한다. 지속적 유형은 발생가능성이 상존하므로 소위 "신중한 진행"(proceed cautiously)에 따라 기존의 보안기술이나 대비책을 항상 염두에 두고 시스템을 운영하여 한다. 잠재적(latent) 유형은 최근에 발생빈도가 감소추세를 보이므로 심각하고 즉각적인 정책대응이 필요한 것은 아니지만 항상 발생가능성을 염두에 두고 정기적인 점검(test risks)을 하고 과거의 경험이나 타기관의 경험을 통해서 대응방안을 새롭게 해야 한다. 다차원척도기법을 활용하여 12개 보안 위협요소의 특성을 전문가를 대상으로 조사한 결과, 통제가능성 (controllability)과 위협요소 발생위치 (조직내부와 외부)라는 2차원에 따라 4개의 유형화가 가능하였다.
본 연구를 통해서 밝혀진 내용을 중심으로 정보보안과 시스템보호를 위한 정책 방향을 개인, 조직, 네트워크, 정부, 사회환경 등 5가지 차원에서 정보보안정책을 구분하여 논의하였다. 이처럼 정보보안정책을 다차원적 개념으로 파악하는 것은 정보보안 대응책이 단순히 기술공학적 요소 뿐 아니라 다양한 배경에서 파악되고 개발되어야 한다는 사실을 의미한다.

본 연구결과의 활용방안은 다음과 같은 세 가지 차원에서 요약할 수 있다. 첫째, 미국의 정보보안관련 정책 추진 현황에 대한 기초 자료를 제공하여 향후 정보화 정책의 추진과정에서 발생할 수 있는 정보보호 및 보안 문제에 대응하는 준거로 활용할 수 있다. 둘째, 정보 ...

본 연구결과의 활용방안은 다음과 같은 세 가지 차원에서 요약할 수 있다. 첫째, 미국의 정보보안관련 정책 추진 현황에 대한 기초 자료를 제공하여 향후 정보화 정책의 추진과정에서 발생할 수 있는 정보보호 및 보안 문제에 대응하는 준거로 활용할 수 있다. 둘째, 정보화 관련 정책주체들의 정보보호 및 보안에 관련된 행태적, 조직 관리적 시각을 파악함으로써 앞으로 국내에도 도입되어 정착되리라고 기대되는 정보 보안 제도에 대한 정책적 지침으로 활용할 수 있다. 셋째, 구체적인 현장자료 및 보안사고 데이터에 대한 심층적인 분석은 급속하게 변화하는 인터넷 환경에서 앞으로 발생할 지도 모르는 보안 관련 사고에 대응하는 시나리오를 개발할 수 있게 하고 이를 바탕으로 정보보안 정책을 효율적으로 추진하기 위한 정책 자료로 활용할 수 있다.