군수정보체계의 보안평가지표에 관한 연구

Abstract

본 연구는 최근 국방정보화사업의 일환으로 개선작업과 시스템 개발을 추진하고 있는 군수정보체계를 중심으로, 군수정보체계를 보안의 관점에서 효과적으로 사용하기 위하여 군 조직의 정보보호 수준을 정확히 평가하고 이를 개선시킬 방향을 제시하는 기준 및 평가모델을 구축하는데 목적을 두고 있다. 또한 이를 위해 부문별 정보보호 수준을 평가하고 개선할 수 있는 평가지표나 기준으로서 우리 군에 적용 가능한 군수정보체계 보안평가 방법론을 제시하고자 하였다. 이에, 군수정보체계가 가지고 있는 유/무형 정보자산의 취약성을 식별하고, 그것에 따라서 학문적으로 타당하고, 실제적으로 적용 가능한 보안지표를 개발하고, 개발된 군수정보체계 보안지표가 평가지표로서 활용될 수 있도록, 정보보호수준 평가체계의 각 평가영역에 적용하여, 지표의 타당성을 입증하며, 개발된 군수정보체계 보안지표를 통하여 군 조직 내 군수정보체계 사용자를 대상으로 정보보호 수준을 조사하여 시사점을 얻고 보안지표의 발전 방향을 제시하였다. 본 연구는 실제적으로 적용 가능한 군수정보체계 보안평가지표를 개발하는 데 초점을 맞추고, 현재 군수정보체계의 운영실태와 보안상 취약점을 파악하여 평가지표를 추출해내며, 선행연구의 정보보호수준 평가체계에 mapping하여 각 평가 영역별 보안평가지표 항목에 대한 실증분석을 한다. 보안평가지표의 검증은 1차 개발된 보안수준 평가지표의 평가영역별로 신뢰성과 타당성 검증을 통계적인 방법으로 수행하고, 최종 개발된 보안평가지표를 군 조직 내 군수정보체계 사용자를 대상으로 설문조사하여 이들의 개인적 특성에 따른 정보보호수준의 차이를 파악하였다. 개발된 평가지표의 검증을 통해서 예비추출된 보안평가지표 52개 중 16개의 평가지표가 신뢰성 및 타당성의 문제로 제거되었고, 36개의 지표항목이 보안평가지표로서 최종 확정이 되었다. 또한 요인분석을 통해 묶여진 요인들의 특성에 따라 기존에 제시된 8개 측정항목은 13개 측정항목으로 개선이 되었다. 따라서 최종적으로 정보보호 기획수준, 정보보호 환경수준, 정보보호 지원수준, 정보보호 기술수준의 4개 평가영역과 하위 평가측정항목으로 보안정책, 보안계획, 환경보안, 장비보안, 사용자보안, 인사보안, 보안조직, 보안교육, 위험관리, 자료보안, 보안기술, 시스템관리, 네트워크관리의 13개 항목이 도출되었다.