프라이버시 보호를 위한 합리적 사이버보안법제 마련의 쟁점과제와 입법방향

김법연 ( Beop-yeon Kim ),권헌영 ( Hun-yeong Kwon ) 연세대학교 법학연구원 2018 法學硏究 Vol.28 No.4

우리나라는 그간 사이버안보 혹은 사이버보안에 대하여 다양한 노력을 해왔으나, 사이버 보안의 중요성에 대한 인식이 날로 고취되고 있는 것에 비해 실질적인 국가 사이버안보 강화로 이어지지 못하고 있다. 여러 이유가 있을 것이나 사이버안보의 국가적 대응체계를 수립함에 있어 근본이 되는 법제도의 기본 사항에 대한 사회적 합의가 이루어지지 못하고 있다는 점이 주요한 이유일 것이다. 국가 사이버보안 강화와 안전유지는 체계적·합리적인 법제도와 정책에 기반함에도 아직 우리의 사이버보안법제는 국가사이버보안의 추진체계와 추진체계별 기능과 역할, 정보공유의 체계정립방안, 인권 및 프라이버시 침해에의 이슈 등 풀어야할 과제들이 산적한 상황이다. 이에 본 연구는 이미 국가차원의 사이버보안전략과 법률체계의 구축을 시도한 해외 주요국의 사이버보안 법제의 주요내용을 중심으로 시사점을 도출하고 실질적인 국가 사이버보안법제의 마련에 필요한 쟁점과제들을 살펴봄으로써 합리적 사이버보안법제의 설계뱡항을 제시하고자 한다. 특히 본 논문은 프라이버시 침해에 대한 우려를 해소할 수 있는 통제방안으로서의 제도적 사항과 내용들을 중심으로 살펴볼 예정이다. 국가 차원의 사이버보안 강화를 위해서는 민간분야와의 정보공유가 핵심이라는 점에서 프라이버시의 이슈는 사이버보안법제가 반드시 풀어야 할 과업이라 할 수 있다. 따라서 미국에서 사이버보안법률 체계를 구축함에 있어 제기된 프라이버시 이슈에 대하여 합의의 과정과 입법사항 등에 대하여 살펴본 후, 우리의 상황에 있어 사회적 합의를 이룰 수 있는 합리적 수준의 사이버보안법제의 입법 방향을 제시하고자 한다. South Korea has been making various efforts in cybersecurity, but its recognition of the importance of cybersecurity has not resulted in substantial enhancement of national cybersecurity. There may be several reasons, but the main reason is that social consensus is not being reached on the basis of the legal system underlying the establishment of the national response system of cybersecurity. Although strengthening and maintaining the national cybersecurity are based on systematic and reasonable legal system and policy, our cybersecurity legislation has a number of problems to be solved, such as the implementation system of national cybersecurity, functions and roles of each system, information sharing system, and human rights and privacy violation issues. Thus, this paper focuses on the cybersecurity legislation of major foreign countries that have already tried to establish cybersecurity strategy and legal system at the national level. Moreover, The paper will propose the design of the rational cybersecurity law by looking at the issues that are necessary for the actual national cyber security law. In particular, this paper will focus on institutional issues and contents as a control measure to address concerns about privacy infringement. Privacy issues are a task that cybersecurity law must address in that information sharing with the private sector is key to strengthening cybersecurity at the national level; Therefore, the paper is going to present a reasonable legislative direction for cybersecurity law to achieve social consensus by reviewing the process of consensus, legislative matters, and subsequent effects on the privacy issues raised in establishing the cybersecurity legal system in United States of America.

영국의 사이버 금융 보안 대책에 관한 연구

이창규 한국지급결제학회 2019 지급결제학회지 Vol.11 No.1

The Internet use of the people is universalized, and the Internet in economic activity has become a necessity. However, the security problems that occur in cyberspace have become very serious. In particular, hacking crimes for financial institutions that occur in cyberspace are causing a great deal of damage. Cyber-attacks are not something that can happen in one country, but they can cause damage via other countries. It is not easy to respond to cyber attacks at individual country level in advance. In addition, since the emergence of new cyber attacks is a problem that can not afford to take measures to maintain conventional cyber security, it is necessary to take a state-level first-hand countermeasure. In the UK, EU countries also have systematic strategy development and specialists related to cyber financial security. In addition, after developing a national-level cyber financial security plan, the results of the promotion process are confirmed each year and reflected in the implementation plan of the cyber financial security strategy for the next fiscal year. These UK cyber financial security policies are highly regarded for their ability to respond to cyber threats and their stability. Specifically, it has improved the security competitiveness of the private sector, including the implementation of the UK government's cybersecurity certification system and the management of information sharing partnership programs among companies. It analyzes the UK's cyber financial security strategy, which is focusing on strengthening the security capabilities of national level cyber financial research. 국민들의 인터넷 이용이 보편화되면서 경제 및 사회적 활동에 있어서 인터넷은 필요적 사항이 되었다. 그러나 동전의 양면처럼 사이버 공간에서 발생하는 보안 이슈는 사회 안정 및 국가 안위로 직결되는 중요한 요인이 되고 있다. 특히 사이버 공간에서의 행해지는 금융기관에 대한 해킹 범죄를 조직적으로 행하는 범죄집단이 출현하여 많은 피해를 주고 있는 상황이다. 사이버 공격은 하나의 국가에서 발생할 수 있는 것이 아니라 다른 국가를 경유하여 피해를 줄 수 있다. 이에 개별 국가 차원에서 사이버 공격에 대하여 사전 대응하기가 쉽지 않다. 또한 새로운 사이버 공격의 등장은 기존의 사이버 보안 유지를 위한 대책들로 감당할 수 없는 문제이기 때문에 국가 차원의 선제적 대응 방안이 필요한 실정이다. 영국은 EU 국가 내에서도 사이버 금융 보안과 관련하여 체계적인 전략 수립과 함께 전문 인력을 갖추고 있다. 또한 국가차원의 사이버 금융 보안의 계획을 수립한 이후에 매해 추진 과정에서의 성과를 면밀히 검토하여 다음연도의 사이버 금융 보안 전략의 실행계획에 반영하는 등 사이버 금융 보안 전략에 대한 실제 효과가 발휘되는지 고민하고 있다. 이러한 영국의 사이버 금융 보안 정책은 사이버 위협에 대한 대응력과 안정성 측면에서 좋은 평가를 받고 있다. 구체적으로 영국 정부의 사이버 보안 인증 제도의 실시, 기업 간 정보 공유 파트너십 프로그램 운영 등 민간의 보안 경쟁력 제고하고 있다. 이에 이 연구는 국가 차원의 사이버 금융 보안 역량 강화에 힘쓰고 있는 영국의 사이버 금융 보안 전략을 분석하고 우리나라의 시사점을 도출하였다.

사이버보안과 내부통제

김경석(Kim, Gyung Seok) 중앙법학회 2018 中央法學 Vol.20 No.3

사이버보안 위험과 사건에 관한 공시의무는 법적인 의무는 아니며 사이버보안지침은 사이버보안 위험과 사고에 관한 공개회사의 공시의무에 대한 SEC의 입장을 나타낸 것으로 사이버 보안 위험 및 사고와 관련된 문제와 관련하여 기존 법률에 따른 공개회사의 공시의무에 대한 SEC의 견해를 표명한 것에 불과하다고도 할 수 있다. 따라서 SEC의 규제를 받는 기업들이 즉시 사이버보안지침의 내용에 따라야 하는 것은 아니며 회사들에게 직접적인 영향을 미치는 것은 아니다. 그렇지만 사이버보안지침은 회사의 내부통제제도를 구성하는 중요한 요소중 하나인 위험관리의 측면에서 새롭게 문제로 부상할 수 있는 사이버보안에 관해 구체적인 위험요소와 대응방안을 제시하고 있다. 그리고 이러한 구체적인 내용은 회사가 위험의 형태에 따라 구체적으로 어떠한 대응방안을 마련해야 하는가에 대한 지침을 제공하고 있다는 점에서 의미를 찾을 수 있을 것이다. 위험관리는 사전적인 대응방안으로 매우 중요한 의미를 갖고 있다. 사이버보안에 관한 위험은 새롭게 등장하고 있는 위험으로 이에 대한 관리를 위해서는 위험에 대한 평가가 출발점이 될 것이며, 평가결과에 따라 구체적인 대응방안을 마련하는 것이 매우 중요할 것이며 이에 대한 중요한 기준 내지 참고자료로서 사이버보안지침은 의미를 갖는다고 할 수 있다. Every part of our lives is connected through the Internet, and this high degree of networking provides us with various conveniences. However, such a society connected to the Internet is constantly exposed to the risk of illegal external invasion, which is a threat to cybersecurity. In addition to traditional risk factors, companies are also responding to risks to cybersecurity And the response to cybersecurity is recognized as an important factor in evaluating the company. In response to these changes, On February 21, 2018, the Securities and Exchange Commission issued an interpretive release(the “cybersecurity guidance”) that reinforces and expands the guidance on reporting and disclosing cybersecurity risks and incidents that was previously issued in 2011 by the Division of Corporation Finance. In response to the increasing significance of cybersecurity incidents, the Commission issued this release, which outlines its views with respect to cybersecurity disclosure requirements under the federal securities laws as they apply to public operating companies. In addition this release addresses the importance of cybersecurity policies and procedures and the application of insider trading prohibitions in the cybersecurity context. The cybersecurity guidance represent the views of the SEC on cybersecurity risks and accidents and do not constitute legal obligations. Therefore, companies regulated by the SEC do not immediately follow the contents of the cyber security guidelines and do not directly affect the companies. However, the cybersecurity guidance presents specific risk factors and countermeasures against cyber security that can become a new problem in terms of risk management, which is one of the important elements of the company`s internal control system. In addition, the specific details of this information can be found in the sense that it provides guidance on how the company should prepare specific countermeasures according to the type of risk.

미국 사이버보안 입법의 신경향 연구

박상돈,박현동,홍순좌 한국융합보안학회 2011 융합보안 논문지 Vol.11 No.4

2009년 미국에서 정권 교체가 일어나고 오바마 대통령이 취임한 이후 이전과 차별화되는 사이버보안 정책을 정립하려는 노력이 있었다. 그러한 변화를 잘 보여주는 것이 바로 의회의 사이버보안 입법동향이다. 부시 정권 시기와 오바마 정권 시기의 사이버보안 입법동향을 확인하고 양자를 비교ㆍ분석한 결과 미국의 사이버보안 입법의 주안점은 처벌 강화에서 근본적인 체계 개선으로 변화되고 있으며 국제협력과 같은 새로운 방안이 모색되고 있음이 파악된다. 이러한 미국의 입법동향에서 우리나라에 적용될 부분과 대응방안을 도출하면 사이버보안을 전국가적 문제라는 인식하에 안보문제로서 다루고 미국 중심의 사이버보안 세계질서에 대비하는 한편 국민의 기본권 보장을 부당하게 침해하지 않아야 한다는 점이 제시된다. After a change of government and the inauguration of President Barack Obama in 2009, there are various effort to set up a cybersecurity policy which is better than its predecessor. The legislative trend of cybersecurity is the one aspect of that. So we compare the legislative trend of cybersecurity in the Obama era to one in the Bush era and analyze that and find items which is helpful to Korea. It seems that the point of cybersecurity legislation of U.S.A. changes from tougheners of penalties to improvements to implementation system. We can find the implications for Korea From that. Cybersecurity is covered as a problem all over the nation and a security problem. It is necessary for Korea to get ready for new Pax Americana in cybersecurity in advance and to guarantee fundamental human rights.

헌법의 관점에서 본 사이버 보안컨트롤 타워 제도 구축에 관한 고찰

김지현 보안공학연구지원센터 2014 보안공학연구논문지 Vol.11 No.1

우리나라는 2013.3.20 금융기관, 방송사 사이버테러, 2013.6.25.청와대, 새누리당 해킹사건 등 잇따른 해킹사고로 국가의 최고 사이버보안 컨트롤타워의 부재의 문제점을 깨닫고, 2013년 7월 4일 박근혜 정부가 ‘국가 사이버안보 종합대책’을 발표하면서 청와대, 국가정보원을 각각 국가 최고 사이버보안 컨트롤타워, 국가 사이버보안 실무총괄로 결정한 내용을 공표하였다. 헌법은 우리나라의 최고 규범으로 헌법의 규범력을 보장함에 있어 제1차적인 의무를 지고 그 역할을 수행하는 것은 국가이다. 헌법상 법치주의 원리는 국가가 국가권력을 자의로 행사할 수 없게 하는 데서 출발한 것으로 이에 의하면 우리나라의 모든 국가작용은 법(헌법, 법령, 법의 원리)에 근거하여 이뤄져야 한다. 본 논문에서는 한국의 현행 사이버 보안 컨트롤 타워 관련 제도와 현재 사이버보안 컨트롤타워가 수립, 시행하는 사이버 보안정책에 대해 헌법적 관점에서 어떤 문제점이 있는지 분석하고 이의 개선방안을 제안하며 더 나아가 앞에서 분석했던 문제점에 대한 개선방안을 반영한 새로운 사이버보안 컨트롤타워 제도 및 관련 제도를 제안하겠다.

러시아 사이버 보안관리 추진체계 및 관계기관들의 역할과 책임에 관한 연구

윤민우 한국테러학회 2019 한국테러학회보 Vol.12 No.4

This study focuses on the Russian cyber security system and the roles and responsibilities of the relevant agencies. It is said that the capability of the Russian cyber security reaches up to the very high level. Russia shows the considerable capacity building and development in cyber security and the development of the cyber security strategy. The Russian cyber security system and the roles and responsibilities of the relevant agencies is based on Russia’s unique perceptions and mind-sets. Such unique perceptions and mind-sets interacts and jointly affect on the construction and operation of the Russian cyber security system in general. FSB(Federal Security Service)is the critical control tower and hub of the distributed defense of Russian cyber security system. The agency is a critical leading agency, the control tower, an important coordinator, or a major participant in all seven cyber security related components of the nation, including CERT, surveillance and intelligence, investigation or law enforcement, regulation and license, protection of infrastructure, digital economic development, RuNet 2020, and training and research, and development. In this context, FSB is the crucial implementation center of cyber security policies which are based on the strategic decisions of the President and the National Security Council. Other governmental agencies and public institutions are connected to FSB. The essence of the defense against the future violence is the distributed defense. The Russian cyber security system seems to respond to this principle. This article provides the understanding of the Russian cyber security system and proposes lessons from it. 이 연구는 러시아 국가·공공기관의 사이버 보안 관리와 관련된 추진체계와 관계기관들의 역할과 책임에 초점을 맞춘다. 러시아의 사이버 보안능력은 매우 높은 수준에 도달해 있는 것으로 평가된다. 러시아는 사이버 보안과 관련된 전략개발에서도 상당한 역량축적과 발전을 보여주고 있다. 러시아의 국가·공공기관의 사이버 보안 관리와 관련된 추진체계와 관계기관들의 역할과 책임은 러시아의 독특한 인식(perception)과 생각(mind-set)을 기반으로 한다. 이러한 독특한 일련의 인식과 생각들은 복합적으로 작용하여 오늘날 러시아의 국가·공공기관의 사이버 보안 관리 추진체계와 관계기관들의 역할과 책임을 형성하고 작동하는데 영향을 미친다. 분산되고 다변화된 러시아의 사이버 보안, 보안관리 네트워크 시스템에서 FSB는 핵심적인 컨트롤 타워이자 허브(hub)로서 기능한다. 사이버 보안과 관련된 ➀ 컴퓨터 침해사건 대응(CERT), ➁ 감시와 정보(surveillance and intelligence), ➂ 수사 또는 법집행(investigation or law enforcement), ➃ 규제와 면허(regulation and license), ➄ 기반시설보호(protection of infrastructure), ➄ 디지털 경제발전(digital economic development), ➅ RuNet 2020, 그리고 ➆ 교육·연구·개발(training and research, and development) 등의 7개 분야 거의 모든 부분에서 핵심 선도기관이거나 컨트롤 타워이거나 핵심 코디네이터 이거나 또는 주요 참여기관이다. 이런 맥락에서 러시아 사이버 보안, 보안관리 네트워크는 대통령과 국가안보회의의 정책판단과 전략결정의 수행기관으로 FSB가 중심이 되어 여타 정부기관들과 공공기관들을 연결한 방식으로 구성되어 있다고 볼 수 있다. 미래 폭력에 대한 방어는 분산된 방어(distributed defense)를 특징으로 한다. 이 연구의 조사 내용들은 주요한 사이버 보안부문 선도국가 가운데 하나인 러시아의 사이버 보안관리 운용에 대한 이해를 제공하고 이로부터 우리의 사이버 보안관리 발전을 위한 시사점을 제시한다.

연구논문 : 보안기관의 사이버 보안 활동 강화에 대한 법적 고찰

오일석 ( Il Seok Oh ) 한남대학교 과학기술법연구원 2014 과학기술법연구 Vol.20 No.3

과학기술의 발전이 의도하지 않았던 현대적 위험인 사이버 위험은 그 결과를 즉시 알 수 없는 경우가 대부분이고 원인규명도 명확하게 할 수 없는 경우가 대부분이다. 이러한 사이버 위험은 개인이나 특정 기관에 의해서 대응할 수 없기 때문에, 기술적 우위를 바탕으로 그 위험을 조정하고 통합할 수 있는 기관을 중심으로 국가차원의 대응 체계가 구축되어 운영되어야 한다. 각국의 보안기관들은 사이버 공간에서의 기술적 우위를 바탕으로 사이버 보안에 있어 핵심적인 역할을 수행하고 있다. 특히 각국의 보안기관들은 사이버 보안에 대한 국가적 정책이나 계획의 수립에 참여함은 물론 사이버 보안과 관련된 원천기술의 개발에 참여하거나 적극적으로 관여하고 있다. 나아가 암호기술에 기반하여 국가 암호체계를 수호함은 물론, 암호를 이용한 정보보호제품에 대해 직접 평가·인증을 담당하거나, 조달 절차를 통해 안전한 암호제품이 도입되도록 관여하고 있다. 또한 각국 보안기관들은 기술적 우위를 바탕으로 정부부처에 대하여 사이버 보안과 관련한 기술적 지원을 수행하고 있다. 나아가 이들 기관들은 국가의 핵심기능 유지와 관리를 위하여 정보통신기반보호와 관련된 국가적 과제의 실현을 위해서도 중요한 역할을 수행하고 있다. 이러한 각국 보안기관의 활동을 고려할 때, 우리 보안기관의 사이버 보안 활동을 강화할 필요가 있다. 우리의 경우 국가정보원이 중심이 되어 사이버 위험에 대한 대응을 국가안보 활동의 하나로 지속적으로 수행해 왔다. 특히 국가 및 공공부문에서 발생할 수 있는 사이버 위험에 대응하기 위해 기술적 우위를 바탕으로 관련 정책을 조정하고 운영해 왔다. 그러나 우리 보안기관의 과거의 잘못에 대한 고정된 관념에 기초하여, 국가 안보 문제인 사이버 위험 대응 활동에 대한 회의적인 시각이 많은 것도 사실이다. 그런데 국가정보원은 보안업무 조정 권한을 가지고 있는바, 사이버 위험과 관련된 안보 위기 상황에서 관련 정부부처 등에 대한 신속한 조정으로 보다 탄력적으로 사이버 위험에 대해 대응할 수 있다. 아울러, 보안기관의 사이버 보안 활동은 내부적 통제는 물론 외부 기관에 의한 합리적 통제의 가능성에 더욱 노출되는 결과 그 투명성과 신뢰성을 담보할 수도 있다. 그러므로 국가정보원으로 하여금 다른 국가의 보안기관들과 마찬가지로 사이버 보안 활동을 더욱 적극적으로 수행할 수 있도록 하여야 한다. 다만 국가정보원의 사이버 보안 활동에 대하여 국회의 보고와 승인 등의 민주적 통제절차를 더욱 강화함으로써, 사이버 보안 활동이 국민적지지 하에 중요한 국가적 과제로서 보안기관에 의하여 지속적으로 추진되도록 하여야 한다. Cyber risks, such as cyber attacks and electronic intrusions, shall have many features of modern risks. Modern risks, which include cyber risks and others arising from nuclear power, GMOs, and Chemical medicines, shall happen unexpectedly in diverse areas then they are rapidly and simultaneously distributed. It is very difficult to find out the causes and results of risks and to respond against the risks properly. These modern risks including cyber risks shall not only threaten individual lives but also sustainability of a state. Therefore a state shall design appropriate structures and national plans to react against cyber risks using Security Authorities`` advanced information and technologies and cumulated practices. Security Authorities in advanced countries, such as NSA of U.S.A, MI5 and GCSQ of the UK, BSI of Germany and CES of Canada, shall have great interests and play key roles in cyber security. They have established national cyber security plans, developed source security technologies and assess the information assurance equipments used in their state``s agencies and institutions. They have also put their best efforts in order to protect critical information infrastructures. As a Security Authority of Korea, National Intelligence Service(NIS), has also played a key roles in cyber security activities in Korea. Moreover, NIS has elaborated national cyber security plans, protected critical information infrastructures, assisted technical supports to other governmental ministries and agencies, developed security technologies, and compromising inter ministry and agency activities. However, due to the dismally experienced under the dictatorships in 1970s and 1980s, Koreans have been cold towards NIS`` cyber security activities even though they protect and support Koreans and Korean government against cyber risks. In responding cyber risks, compromised efforts of ministry and agency activities and effective and timely actions shall be the most important. As a Security Authority, NIS has developed advanced technologies and great hot channels with other agencies through its authority on negotiating interests between ministries and agencies on the security matters. Compared with cyber security activities operated by other ministries and agencies, NIS has strengthened competitiveness in cyber security activities with its advanced cyber security technologies, experimental practices and rapid decision making processes. Therefore NIS``s cyber security activities shall be advanced and depicted in laws and regulations. As a way of enhanced interests of NIS in cyber security activities, I have offered to amend the article 7 of the Act on Critical Information Infrastructure Protection to allow NIS to make a technical assistance. However, enhanced interests of NIS in cyber security activities would bring a big brother in cyber space of Korea, I have also suggested that National Assembly should control over the NIS with the rights in terms of monitoring and approving on the NIS`` cyber security activities. National Assembly‘s control over NIS shall guarantee transparency and trust on the NIS`` cyber security activities.

항공기사이버보안(Aircraft Cyber Security)에 있어서 불법방해행위에 대한 법적 고찰

정대영 한국항공경영학회 2019 한국항공경영학회 춘계학술대회 Vol.2019 No.-

우리나라는 IT기술이 발전한 만큼, 전 산업 영역에서 사이버 위협이 증가하고 있다. 국내 일반적인 전산망에 대한 사이버보안 기술은 발전하고 있고, 관련 사이버 보안 법규에 개정 소요는 계속 제기되고 있다. 그러나 국내 사이버보안 법규는 일반적인 전산망 보호에 치중하고 있어, 항공 산업의 특징을 반영하지 못하는 것이 현실이다. 항공기 네트워크 해킹에 대한 연구와 사례들이 점차 언론보도 되자, 항공기를 이용하는 승객들은 항공기 해킹에 대해 불안감을 느낀다. 그러나 관계기관과 항공사들은 일반적인 공항 또는 회사 전산망 등 일반적인 전산망에 대한 사이버 보안에 치중하고, 항공기 네트워크에 대한 사이버 보안 활동은 없는 것이 국내 현실이다. 사이버 위협이 항공 산업에까지 미치고 있는 것을 현 상황을 고려한다면, 항공 산업의 보안과 안전을 규정하고 있는 항공보안법에 사이버 보안 분야도 포함되어야 필요성이 제기된다. 현행 항공보안법은 물리적인 보안에 치중하고, 사이버 위협과 대응에 대한 내용은 없다. 이것은 항공보안법 개정에 영향을 미치는 ICAO Annex 17(항공보안)에도 물리적인 보안에 대해서만 규율하고 있기 때문이다. ICAO와 EASA에서 항공보안 규정에 사이버보안 영역을 포함하겠다고 발표하였는데, 그 동안 국내 법규의 공백으로 인해 항공기 사이버 위협에 대응하지 못한다는 것은 문제가 있다. 국내에서는 항공기사이버보안에 대한 개념도 정립되어 있지 않아, 보안 대상이 어떻게 되는지 보안조치를 어떻게 해야 하는지 규정되지 않은 것이 현실이다. 이에, 항공기사이버보안 개념과 보안조치 대상을 정립하고, 항공 산업의 보안과 안전을 규정하고 있는 항공보안법에 항공기사이버 보안 분야를 포함하는 것으로 검토하였다. 항공보안법상 불법방해행위가 물리적인 보안에 대해서만 규정되고 있는데, 항공기 사이버 위협을 포함하는 것으로 범위를 확장하는 것이 대안이 될 것 같다.

사이버보안 정규교육화를 위한 주요국 교육체계 비교분석 연구

유지연 국제문화기술진흥원 2021 The Journal of the Convergence on Culture Technolo Vol.7 No.1

최근 지능정보사회로의 진입으로 인해, 사이버보안 패러다임이 변화하기 시작하였다. 특히 지능정보사회의 상호연결성 등 의 증가는 사이버위협으로 인한 피해 범위를 실제 세계까지 확대하였으며, 개개인에 대한 위험이 곧 공공 안전·국가 안보 등의 위기로 연결되고 있다. 특히 디지털 네이티브(Digital Native)세대인 청소년의 경우는 사이버 활동이 많고 보안 및 안전의식이 충 분치 않아 사이버위협에 그대로 노출 될 가능성이 더욱 크다. 이에 사이버위협으로부터 개인 스스로를 지키고 사이버활동을 관 리할 수 있는 사이버보안 역량 강화가 필요하다. 따라서 본 논문에서는 사이버보안 역량을 강화할 수 있는 사이버보안 정규교육 화에 대해 검토하고 대응방안을 제시하고자 한다. 초연결사회 특성에 따른 보안 패러다임 변화와 사이버보안 교육의 필요성에 대해 검토하고 국내외 사이버보안 교육 추진 현황에 대한 분석을 통해 사이버보안 교육 방향 및 기본 체계를 제시하고자 한다. 이에 본 연구는 지능정보사회에서 요구되는 사이버보안역량을 정의하고 사이버보안역량 함양에 관한 주요국 교육체계를 비교․ 분석하여 사이버보안역량 강화를 위한 정규교육과정을 제안하고자 하였다. 이에 디지털시민으로서의 사이버역량 체계 모델인 C3-Matrix를 반영하여 사이버보안역량 체계를 사이버인식(cyber ethics awareness), 사이버행동(cyber ethics behavior), 사이버 보안(cyber security), 사이버안전(cyber safety)로 구성하였다. 그리고 사이버보안역량 체계 기본구성틀에 기반하여 미국, 호주, 일본, 한국에서 수행되는 관련 교육을 비교분석하고 한국 교육과정에 도입되어야 하는 사이버보안역량 교과체계를 제시하였다. With the recent phenomenon of the Intelligence Information Society, the cyber security paradigm has begun to change. In particular, the increase of the interconnectedness of the hyperlinked society has extended the scope of damage that can be caused by cyber threats to the real world. In addition to that, it can also be a risk to any given individual who could accompany a crisis that has to do with public safety or national security. Adolescents who are digital natives are more likely to be exposed to cyber threats, which is mainly due to the fact that they are significantly more involved in cyber activities and they also possess insufficient security comprehension and safety awareness. Therefore, it is necessary to strengthen cyber security capabilities of every young individual, so that they can effectively protect themselves against cyber threats and better manage their cyber activities. It examines the changes of the security paradigm and the necessity for cyber security education, which is in direct accordance to the characteristics of a connected society that further suggests directions and a basic system of cyber security education, through a detailed analysis of the current state of Domestic and Overseas Cyber Security Education. The purpose of this study was to define cybersecurity competencies that are necessary within an intelligent information society, and to propose a regular curriculum for strengthening cybersecurity competencies, through the comparison and meticulous analysis of both domestic and overseas educational systems that are pertinent to cybersecurity competencies. Accordingly, a cybersecurity competency system was constructed, by reflecting C3-Matrix, which is a cyber competency system model of digital citizens. The cybersecurity competency system consists of cyber ethics awareness, cyber ethics behavior, cyber security and cyber safety. In addition to this, based on the basic framework of the cybersecurity competency system, the relevant education that is currently being implemented in the United States, Australia, Japan and Korea were all compared and analyzed. From the insight gained through the analysis, the domestic curriculum was finally presented. The main objective of this new unified understanding, was to create a comprehensive and effective cyber security competency curriculum.

빅데이터를 활용한 사이버보안 인식도 분석

류길호(Ryu, Kilho) 한국민간경비학회 2021 한국민간경비학회보 Vol.20 No.2

본 연구는 빅데이터를 활용한 사이버보안에 대한 인식을 규명하고자 한다. 즉, 시기별 사이버 보안 핵심 키워드와 25년간 사이버 보안을 나타내는 핵심 키워드는 무엇이고 사이버 보안 토픽이 어떤 양상을 나타내는지를 분석하고자 한다. 연구방법은 빅데이터를 활용하여 신문기사 및 방송 미디어에 공유된 자료를 중심으로 1996년 1월 1일~ 2020년 12월 31일 까지 약 25년간의 자료를 바탕으로 하였다. 결과는 다음과 같다. 첫째, 시대별 활동중심성 핵심 키워드는 변화되고 있다. 1990년대는 인터넷, 정보, 카드, 업체, 해킹, 거래, 증권사 등이고 2000년대는 정보, 해킹, 인터넷, 공격, 서비스, 업체, 기업 등이다. 2010년대는 정보, 기업, 해킹, 공격, 정부, 강화, 미국 등의 순으로 나타났다. 둘째, 25년간 사이버보안 핵심 토픽은 사이버 해킹, 사이버 보안산업, 사이버 보안강화, 사이버 보안협력, 사이버 보안교육 순으로 높다. 사이버 해킹은 2016년 정점후 감소, 사이버 보안산업은 2012년 이후 큰폭으로 증가, 사이버 보안강화는 2007년 이후 점진적 증가, 사이버 보안협력은 2016년 정점 후 감소, 사이버 보안교육은 2014년 이후 감소하고 있다. This study aims to clarify the awareness of cyber security using big data. In other words, this study intends to analyze the core keywords of cyber security by period and core keywords representing cyber security and the trends in the aspects of topics related to cyber security over the past 25 years. The research method was based on data for about 25 years from January 01, 1996 to December 31, 2020, centering on data shared in newspaper articles and broadcasting media using big data. The result is as follows: First, the core keywords centered on activities by era are changing. In the 1990s, the core keywords appeared in the order of Internet, information, card, company, hacking, transaction, securities company, etc.; in the 2000s, in the order of information, hacking, internet, attack, service, company, and business; and in the 2010s, in the order of information, business, hacking, attack, government, reinforcement, the United States, etc. Second, the order of core topics related to cyber security over the past 25 years is cyber hacking, cyber security industry, cyber security reinforcement, cyber security cooperation, and cyber security education: cyber hacking has been on the decline since peaking in 2016, cyber security industry has increased significantly since 2012, cyber security reinforcement has been gradually increasing since 2007, cyber security cooperation has been on the decline since peaking in 2016, and cyber security education has been on the decline since 2014.