정보보호 관리체계를 활용한 사용자보안 관리시스템 구축 방안에 대한 연구

정보보안이란 공급자 측면에서는 내외부의 위협요인들로부터 네트워크, 시스템 등의 하드웨어와 데이터베이스, 통신 및 전산시설 등 정보자산을 안전하게 보호 및 운영하기 위한 일련의 행위를 의미하며 사용자 측면에서는 개인정보의 유출 및 남용 등을 방지하기 위한 일련의 행위를 의미한다. 여기서 사용자 측면에서의 정보보안을 사용자보안이라 하고, 즉 사용자보안이란 사용자 측면에서의 End-point인 PC와 노트북, 모바일 장치 등에서 네트워크, 시스템, 데이터베이스 등에 접근을 시도할 때 발생하는 각종 보안위협에 대한 잠재적인 취약점을 보호하기 위한 일련의 행위를 의미한다. 지금까지 기업을 향한 사이버 공격은 고도로 전문화된 컴퓨터 기술을 바탕으로한 악의적이고 의도적인 공격자에 의해 발생되어 왔고, 이와 관련하여 기업의 사이버 사고대응 시스템은 외부의 위협을 방어하는 쪽으로 최적화되어 구축되었다. 이러한 흐름에 발맞춰 기술도 고도화·첨단화되며 필수적인 정보시스템의 구성요소로써 함께 발전해왔다. 반면에 최근 기업의 정보유출사고는 재직자 및 퇴직자, 외주용역, 계약직 등 기업의 내부자에 의해서 많이 발생하고 있으며 이러한 내부의 위협은 외부의 위협보다 식별이 힘들고, 피해의 파급력이 더욱 크며, 현존하는 기업의 방어시스템으로는 대응하는 데 한계가 있다. 그러므로 기존의 정보보안 또는 보안이라는 큰 틀의 보안시스템으로는 내부의 위협에 대한 적절한 대응이 힘들기 때문에 보다 안전한 사용자 보안을 위한 적절한 기술적 해결방안이 마련되고, 표준화되고 체계적인 사용자 보안 시스템이 구축되어야 한다. 이를 위해서는 다양한 사용자 보안시스템의 보안 요구사항과 특성을 분류 및 연구하고, 보안시스템을 지속적으로 운영 및 고도화 할 수 있는 관리적인 기반체계를 도입해야 한다. 이에 대하여 본 논문은 사용자보안 솔루션의 정의 및 기능을 도출하고, ISO27001, ISMS, PIMS 등 정보보호 관리체계를 활용하여 사용자보안에서 고려해야 하는 보안요구사항을 도출하여 다음과 같이 제안한다.