국가 정보보안 고시체계의 개선을 위한 동적 평가 프레임워크
- 주제(키워드) 국가 정보보안 고시체계
- 주제(DDC) 384
- 발행기관 아주대학교 정보통신대학원
- 지도교수 류기열
- 발행년도 2026
- 학위수여년월 2026. 2
- 학위명 석사
- 학과 및 전공 정보통신대학원 정보통신
- 실제URI http://www.dcollection.net/handler/ajou/000000035475
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
초록(Abstract) 본 연구는 현재 정보보안 인증제도가 문서 기반의 정성적 평가에 치우쳐 있어 실제 보안 역량을 충분히 반영하지 못하는 한계를 극복하고자, 정성·정량·동적 평가 요소를 통합한 인증 평가 프레임워크를 설계하고 이를 실증적으로 검증하였다. 본 프레임워크는 단순 요건 충족 여부가 아닌, 실제 사고 대응력과 복원 능력 등 운영 기반 보안 역량을 평가할 수 있도록 설계되었다. 우선, 정보보안 인증제도의 개념과 국내외 주요 제도를 분석하고, 문헌 검토를 통해 정성·정량·동적 요소로 구성된 평가 기준을 도출하였다. 이후 AHP 분석을 통해 각 평가 항목의 상대적 중요도를 수치화하고, 회귀분석을 통해 동적 평가 요소가 보안 사고 예방과의 상관관계를 갖는다는 점을 통계적으로 입증하였다. 이러한 실증 분석 결과를 바탕으로, 본 연구는 침투 테스트, 이상행위 탐지 시뮬레이션, 복구 시나리오 테스트 등을 포함한 동적 평가 중심의 통합 인증 프레임워크를 제안하였다. 더불어, 대한항공과 Pfizer 사례를 분석하여 실제 사고 발생 시 본 프레임워크가 예방 수단으로 기능할 수 있음을 설명하고, 기존 인증제도와의 병행 운영 및 법제도 정비 방향 등 정책 연계 방안도 함께 제시하였다. 본 연구는 정보보안 인증제도의 실효성, 객관성, 정합성을 동시에 확보할 수 있는 대안을 제시하였으며, 정책 수립자 및 인증기관이 향후 보안 평가제도 개선 시 실무적으로 활용 가능한 이론적·정량적 근거를 제공한다. 향후에는 실제 인증 데이터 기반의 회귀 분석, 프레임워크 자동화 구현, 조직 규모별 맞춤형 평가 설계 등 후속 연구를 통해 본 프레임워크의 적용 가능성을 더욱 고도화할 수 있을 것이다
more목차
제1장 서론 1
제1절 연구 배경: 동적 평가 프레임워크의 필요성 1
제2절 관련연구 고찰 및 문제 인식 3
제3절 연구 질문 4
제4절 연구 목적 5
제5절 연구 범위 및 구성 5
1. 연구 방법 5
가. 문헌 분석 5
나. AHP 분석 방법론 5
2. 논문 구성 6
3. 주요 용어 정의 6
가. 정보보안 거버넌스 6
나. 정보보호 관리체계(ISMS) 6
다. 정성 평가 7
라. 정량 평가 7
마. 정적 평가 7
바. 동적 평가 7
사. 위험 기반 접근법(Risk-Based Approach) 7
제2장 정보보안 인증제도의 개념 및 선행연구 8
제1절 정보보안 인증제도의 개념 및 운영 구조 8
제2절 국내 주요 정보보안 인증제도 및 문제점 8
1. 국내 주요 인증제도 8
가. ISMS-P [2] 9
나. CSAP(Cloud Security Assurance Program) [8] 9
다. 사고사례 연관 분석 9
제3절 해외 정보보안 인증제도의 주요 사례와 특징 10
1. 해외 정보보안 인증제도의 특정 10
2. 해외 정보보안 인증제도 10
가. NIST SP 800-53 Rev. 10
나. ISO/IEC 27001 10
다. FedRAMP 10
라. ISO/IEC 23053 10
마. GDPR 11
바. ENISA 11
3. 시사점 및 비교 분석 정리 11
제4절 관련 연구 요약 및 시사점 12
1. 선행연구 요약 12
2. 기존 연구의 한계점 13
제3장 정보보안 인증제도 비교 기준 14
제1절 평가 요소의 분류 체계 14
1. 정성적 평가 요소 14
2. 정량적 평가 요소 15
3. 동적 평가 요소 15
제2절 인증제도 비교 분석 16
1. 국내 인증제도별 평가요소 정리 16
2. 국제 인증제도별 평가요소 정리 17
가. 평가 기준 산정 방식 평가 기준 18
나. 비교 기준 기반 종합 분석 19
제4장 동적 평가 기반 통합 평가 프레임워크 필요성 분석 20
제1절 AHP 기반 전문가 의견 분석 20
1. AHP 기반 전문가 평가 방법론 20
2. 전문가 패널 구성 및 설문 설계 20
3. 분석 방법 및 절차 21
가. 평균 쌍대비교 행렬 도출 21
나. 정규화 행렬 및 가중치 계산 23
다. 일관성 검정 24
라. 최종 가중치 및 우선순위 25
4. 로지스틱 회귀분석을 통한 동적평가 효과 검증 26
가. 분석 데이터·변수 정의 27
나. 회귀 계수 및 통계량 27
다. 모형 적합도 요약 28
라. 사고율 구간별 비교 29
5. 시사점 30
가. 핵심 평가 요소 간 균형의 필요성 30
나. 동적평가의 실증적 효과성 30
다. 통합 평가 프레임워크 설계 방향성 30
제5장 동적평가 기반 통합 평가 프레임워크 32
제1절 프레임워크 설계 원칙 및 근거 32
1. 균형적 가중치 설계의 이론적 근거 32
제2절 프레임워크 설계 핵심 원칙 34
1. 균형성(Balance) 원칙 34
2. 실효성(Effectiveness) 원칙 34
3. 객관성(Objectivity) 원칙 35
4. 호환성(Compatibility) 원칙 35
5. 점진성(Gradualism) 원칙 36
제3절 동적 평가의 시간 프레임 고려 37
1. 실시간 평가: 침투 테스트, 이상 탐지 37
2. 단기 평가: 사고 대응 시뮬레이션, 복구 시간 측정 38
3. 중기 평가: 위협 동향 분석, 보안 정책 적응성 39
4. 장기 평가: 보안 성숙도 발전, 전략적 보안 계획 40
제4절 동적 평가의 이론적 기반 및 필요성 42
1. 동적 보안 평가의 필요성 42
가. 지속성 42
나. 현재성 42
다. 비파괴성 42
라. 자동화 42
2. 실시간 모니터링의 중요성 42
3. 통합적 시간 프레임 접근법의 중요성 43
4. 구성 요소 및 절차 46
5. 평가 지표·점수 산정 및 타당성 46
가. 점수 공식·통계 타당성 47
나. 점수 공식 47
제5절 기대 효과 분석 48
1. 실효성 확보 48
2. 정성·정량·동적 평가 요소 통합 48
3. 인증 신뢰도 48
4. 정책 피드백 루프 생성 48
제6절 정책 연계 및 도입 방안 49
1. 기존 제도와의 병행 운영 방안 49
2. 운영기관의 역할 재정의 49
3. 법제도 정비 방향 49
제6장 실증 적용 시나리오 50
제1절 통합 평가 프레임워크 적용 절차 50
1. 단계 Baseline 파악 50
2. 사례 시나리오 선정 50
제2절 사례별 프레임워크 평가 결과 51
가. 단계별 평가 결과 51
나. 종합 점수·등급 변동 51
다. 주요 감점 지표 51
제3절 사례 딥‑다이브 분석 52
1. 대한항공 개인정보 유출(2020) 52
2. 공공기관 APT 랜섬웨어(2023) 52
제4절 한계 및 후속 과제 52
가. 실제 데이터 제약 52
나. 표본 다양성 부족 52
다. 비용·시간 복합도 53
2. 정책 파급효과 53
제7장 결론 및 향후 연구 54
제1절 연구 요약 54
제2절 연구 기여 55
1. 이론적 기여: 정량·정성·동적 요소 통합 구조 제시 55
2. 실증적 기여: AHP 및 회귀분석을 통한 정당성 확보 55
3. 정책적 기여: 법제도 및 인증 운영 개선 방향 제시 55
4. 실무적 기여: 사고 예방 기반 동적 평가 기반 통합 평가 프레임워크 제시 55
제3절 연구의 한계 56
1. 데이터 한계 56
2. 표본 구성 제한 56
3. 제도 도입 검증 부족 56
제4절 향후 연구 방향 56
1. 동적 요소의 기술 세부 기준 정립 56
2. 조직 특성 반영 맞춤형 평가 지표 개발 57
3. 제도 적용을 위한 시범 운영 및 정책 피드백 구조 실증 57
제5절 결론 57
제8장 참고문헌 정리 58
제1절 국내 문헌 58
1. 정책 및 법령 자료 58
2. 학술 논문 58
제2절 국제 문헌 58
1. 국제 표준 및 가이드라인 58
2. 기관 보고서 58
제3절 사례 분석 자료 59
1. 보안 사고 사례 59
제9장 부록 60
제1절 AHP 설문지 및 원시자료 60
1. 설문 목적 60
2. 전문가 패널 60
가. 설문 문항 구조(4개 평가 요소 → 6개 쌍대 비교(1↔9 척도) 60
나. 전문가 응답 결과 61
다. 평균 쌍대비교행렬 62
라. 정규화행렬 및 가중치 62
마. 가중치 및 일관성 63
3. 해석 및 활용 63
가. 점수체계 변환 63
나. 정책 시사점 63
다. 동적 통제(침투테스트, 로그 상시 모니터링) 63
라. 일관성 확보 63
4. 계수 방향성 63
5. 통계적 유의성 64
6. 해석 시 유의점 64
제2절 C 인증제도별 평가항목 매핑 65
1. 동적 평가 비중 65
2. 정성·정량 불균형 65
3. 정적 평가의 지배 65
4. 시사점 66
제10장 영문 초록 67
