융합 보안관리시스템 구축 활성화 방안 연구

Abstract

현대사회는 IT기술의 급속한 발전으로 인해 새로운 사회현상과 문화가 등장하게 되면서 다양한 분야의 융합이 이루어지고 있다. 이로 인해 정보자산의 가치도 함께 증가하게 되면서 이를 노리는 정보유출 및 보안사고에 따른 피해도 급증하게 되었다. 이러한 시대적 변화에 대응하고자 보안 분야도 더욱 변화된 보호체계가 필요하게 되었다. 과거의 보안위협으로는 비인가자 출입과 차량통제, 화재감시, 중요보안시설통제 등에 의한 물리적 영역이 대부분이었으나 최근에는 해킹과 같은 사이버공격과 중요시설 시스템 마비, 국가핵심기술 소스코드 유출 등의 지능적 범죄 피해가 증가하고 있다. 이처럼 보안에 대한 위협은 날로 커지면서 다양한 보안위협으로부터 정보자산을 보호하기 위해 물리적 보안 중심에서 정보보안 요소가 접목된 융합보안 형태의 보안관제시스템에 대한 도입에 관심이 높아지게 되었다. 그러나 아직까지 정부기관과 보안관제 전문 기업들조차 명확한 정책과 제도를 제시하지 못하고 있으며 보안사고 발생 시에 능동적인 대처가 부족하여 보안위협에 노출될 수밖에 없는 실정이다. 본 연구는 최근 들어 메가트랜드로 자리 잡고 있는 융합 보안관제시스템의 도입에 있어서 공급자 관점이 아닌 수요자 관점에서 접근하기 위해 선행연구를 통한 정부정책과 제도를 분석하였으며, 실제 구축사례를 통한 고객요구사항과 한계점을 파악하고 실제 운영관리자와 관련업계 종사자들의 설문조사를 바탕으로 융합 보안관제시스템의 문제점과 시사점을 도출하였다. 연구대상은 융합 보안관제시스템을 도입한 고객사 중에 공공기관을 대상으로 연구하였으며, 융합 보안관제시스템을 공급하는 관련기업들의 홍보자료와 만족도 조사를 통해서 얻는 고객평가가 다소 상이함을 파악하고 이를 토대로 개선된 융합 보안관제시스템의 구축 및 커스트마이징을 위한 가이드라인을 제시하고자 한다. 본 연구는 지금까지 연구결과로 부족했던 부분인 실증분석을 보완하기 위해 실무 운영자의 인터뷰 및 설문조사를 통한 검증을 실시하였다. 설문대상자는 공공기관 보안관리자 및 관련업계 실무자들로서 인터뷰 및 설문조사를 통해서 시사점을 도출할 수 있었다. 우선 융합 보안관제시스템의 인식제고가 먼저 이루어져야 함을 제시하였으며 융합 보안관제시스템 도입 시에는 가장 우선 고려해야할 사항으로는 관련 법규 및 제도 부합여부가 중요한 이슈사항임을 제시하였다. 또한, 융합 보안관제시스템 제조사와 공급을 받는 기관의 요구사항에 대해 상이한 점을 발견하였으며, 그 이유로 현재 표준화 되어있지 않으며 도입 초기단계인 관계로 다소 시행착오를 겪으면서 문제점들을 도출하는 단계임을 판단할 수 있게 되었다. 본 연구 결과로 향후 융합 보안관제시스템 구축에 있어 좀 더 명확한 기준을 정하고 능동적인 융합보안 체계의 기틀을 마련하기 위한 가이드라인을 제시할 수 있었으며 구축 모범사례를 위해 공공기관이 선도적 역할을 함으로서 명실 공히 세계가 인정하는 IT강국으로서의 위상 제고에 기여하고자 함에 목적을 두고 연구를 하였다.|Due to the rapid development of IT technology in modern times, as new social circumstances and cultures emerge, the integration of various industries is taking place. The value of information assets has seen an accompanied increase with this phenomenon followed by a dramatic increase in damaging cases of information leakage and security related breaches. In order to address such changes in the information age frontier, there is a need for appropriate changes to the security systems in the security industry. Previous security threats were limited to the physical domain such as access by unauthorized personnel and vehicles, monitoring of fires, and the restriction of main security facilities, but recently there has been an increase in damagse from intelligence crimes such as cyber attacks in the form of hacking, the overloading of core security systems, and breaches and leaks of sensitive national intelligence and core technology source code etc. The threat against security grows larger day by day, and in moving away from security implemented through physical measures and to protect against these diverse threats, there is an increase in interest to implement integrated security type security control systems that are dedicated to information security. But governments and specialized security control corporations still have yet to establish clear policies and guidelines, and in the case of a security related accident, due to the lack of active reactionary measures, the reality of the state of security cannot help but leave our systems exposed to security threats. This research takes the perspective not of the supplier for the recently trending implementation of integrated security control systems, but approached this issue from the perspective of the demanding customer, and through analyzing government policies and guidelines through previous research, and by determining the needs of the customer and the limitations of the systems through case studies on actual implementations of security solutions, and finally, based on survey research of hands on system administrator and professionals in related industries, the problematic issues and potential suggestions for integrated security control systems were deduced. The research was conducted towards public organizations that had implemented integrated security control systems, and it was determined that there was a difference between the customer evaluations included in the marketing materials of companies related to supplying the implementations of integrated security control systems and the customer evaluations of satisfaction surveys, and based on this difference, a guideline for the improved implementation of integrated security control systems and their customization is provided. In order to complement previous research with empirical analysis that had not been included, verification based on interviews with hands on systems administrators and research surveys was conducted. The survey targets were systems administrators of public organizations and hands on personnel of related companies, and through the interviews and research surveys new suggestions were able to be deduced. It was first proposed that there needs to be an improvement on the recognition of integrated security control systems, and when implementing integrated security control systems, it was proposed that the most important consideration to make is whether or not the system is compliant with related laws and policies. Differences between the requirements by the organization implementing the integrated security control system and the supplier were discovered, which were caused due to the lack of standardization, and it was possible to determine that the integrated security control system industry was currently in the early stages of implementation and going through a mild trial and error stage. Based on the results of this research, it was possible to present clearer standards for the future implementation of integrated security control systems and also to establish guidelines for an active integrated security system framework, and by having public organizations lead the way as best practice and implementation cases of integrated security control systems, this research has the objective of contributing to improving the status of Korea both in name and practice as a globally recognized Information Technology superpower.