<30382D B9DAC0CFC7FCB4D42E687770>

Similar documents
저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

G Power

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

공공기관임금프리미엄추계 연구책임자정진호 ( 한국노동연구원선임연구위원 ) 연구원오호영 ( 한국직업능력개발원연구위원 ) 연구보조원강승복 ( 한국노동연구원책임연구원 ) 이연구는국회예산정책처의정책연구용역사업으로 수행된것으로서, 본연구에서제시된의견이나대안등은

CR hwp

외국인투자유치성과평가기준개발

조사연구 권 호 연구논문 한국노동패널조사자료의분석을위한패널가중치산출및사용방안사례연구 A Case Study on Construction and Use of Longitudinal Weights for Korea Labor Income Panel Survey 2)3) a

자료의 이해 및 분석


- 2 -

보도자료 2014 년국내총 R&D 투자는 63 조 7,341 억원, 전년대비 7.48% 증가 - GDP 대비 4.29% 세계최고수준 연구개발투자강국입증 - (, ) ( ) 16. OECD (Frascati Manual) 48,381 (,, ), 20

저작자표시 - 비영리 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 이차적저작물을작성할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물

한국정책학회학회보

278 경찰학연구제 12 권제 3 호 ( 통권제 31 호 )

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할




동아시아국가들의실질환율, 순수출및 경제성장간의상호관계비교연구 : 시계열및패널자료인과관계분석

CC hwp

암호내지

본연구는교육부특별교부금사업으로서울산광역시교육청으로부터예산이지원된정책연구과제임


부서: 감사담당관 정책: 행정의 투명성 제고 단위: 민원발생사전예방 1)민원심의위원 수당 70,000원*9명*3회 1, 업무추진비 5,800 5, 시책추진업무추진비 5,800 5, )민원심의 업무추진 250,000원*4회 1,000

<B3EDB4DC28B1E8BCAEC7F6292E687770>


저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

viii 본 연구는 이러한 사회변동에 따른 고등직업교육기관으로서 전문대 학의 역할 변화와 지원 정책 및 기능 변화를 살펴보고, 새로운 수요와 요구에 대응하기 위한 전략으로 전문대학의 기능 확충 방안을 모색하 였다. 연구의 주요 방법과 절차 첫째, 기존 선행 연구 검토


그린홈이용실태및만족도조사

행정학석사학위논문 사회에대한공정성인식도가 행복에미치는영향 서울시주민을중심으로 년 월 서울대학교대학원 행정학과행정학전공 정영아

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

고객관계를 리드하는 서비스 리더십 전략

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

R t-..

ANOVA 란? ANalysis Of VAriance Ø 3개이상의모집단의평균의차이를검정하는방법 Ø 3개의모집단일경우 H0 : μ1 = μ2 = μ3 H0기각 : μ1 μ2 = μ3 or μ1 = μ2 μ3 or μ1 μ2 μ3 àpost hoc test 수행

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

exp

_1.hwp

A Time Series and Spatial Analysis of Factors Affecting Housing Prices in Seoul Ha Yeon Hong* Joo Hyung Lee** 요약 주제어 ABSTRACT:This study recognizes th

소준섭

°í¼®ÁÖ Ãâ·Â

슬라이드 1

목차 제1절서론 1 1. 연구배경및목적 1 2. 이론적고찰 2 3. 연구내용및방법 10 제 2 절인구이동의요인분석 전국총이동규모의변동요인 지역별인구이동요인분석 22 제 3 절결론 요약 연구의한계 42 < 부록 > 45


2017 치안정책연구제 31 권제 1 호 Police Science Institute

자연채무에대한재검토 1. 서론 2. 선행연구 9 Journal of Digital Convergence 214 May; 12(5): 89-99

2015 년 SW 개발보안교육과정안내

유선종 문희명 정희남 - 베이비붐세대 소유 부동산의 강제매각 결정요인 분석.hwp

국가기술자격 재위탁 효율성 평가

슬라이드 1

생존분석의 추정과 비교 : 보충자료 이용희 December 12, 2018 Contents 1 생존함수와 위험함수 생존함수와 위험함수 예제: 지수분포

Journal of Educational Innovation Research 2019, Vol. 29, No. 1, pp DOI: (LiD) - - * Way to


À±½Â¿í Ãâ·Â

제 1 절 two way ANOVA 제1절 1 two way ANOVA 두 요인(factor)의 각 요인의 평균비교와 교호작용(interaction)을 검정하는 것을 이 원배치 분산분석(two way ANalysis Of VAriance; two way ANOVA)이라

..1,2,3,

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: 3 * The Effect of H

KDI정책포럼제221호 ( ) ( ) 내용문의 : 이재준 ( ) 구독문의 : 발간자료담당자 ( ) 본정책포럼의내용은 KDI 홈페이지를 통해서도보실수있습니다. 우리나라경

이용석 박환용 - 베이비부머의 특성에 따른 주택유형 선택 변화 연구.hwp

서론 34 2

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

경상북도와시 군간인사교류활성화방안

장애인건강관리사업

에너지경제연구 Korean Energy Economic Review Volume 11, Number 2, September 2012 : pp. 1~26 실물옵션을이용한해상풍력실증단지 사업의경제성평가 1

untitled

Cloud Friendly System Architecture


untitled

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp


Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

임정연 이영민 1) 주저자, 숙명여자대학교인력개발정책학박사과정, 2) 교신저자, 숙명여자대학교여성 HRD 대학원부교수,

<C0FCB9AEB1E2BCFA20BFDCB1B9C0CEB7C220B3EBB5BFBDC3C0E520BAD0BCAE2E687770>

statistics

농림축산식품부장관귀하 본보고서를 미생물을활용한친환경작물보호제및비료의제형화와현장적용매뉴 얼개발 ( 개발기간 : ~ ) 과제의최종보고서로제출합니다 주관연구기관명 : 고려바이오주식회사 ( 대표자 ) 김영권 (

<31352E20C0B1BCAEBFF5B4D42E687770>

´ëÇа¨»ç¹é¼Ł Á¦3ºÎ

2013_1_14_GM작물실용화사업단_소식지_내지_인쇄_앙코르130.indd

수도권과비수도권근로자의임금격차에영향을미치는 집적경제의미시적메커니즘에관한실증연구 I. 서론

Microsoft PowerPoint - IPYYUIHNPGFU

에듀데이터_자료집_완성본.hwp

조사보고서 구조화금융관점에서본금융위기 분석및시사점

서론

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

ad hwp

이다. 즉 μ μ μ : 가아니다. 이러한검정을하기위하여분산분석은다음과같은가정을두고있다. 분산분석의가정 (1) r개모집단분포는모두정규분포를이루고있다. (2) r개모집단의평균은다를수있으나분산은모두같다. (3) r개모집단에서추출한표본은서로독립적이다. 분산분석은집단을구분하는

F1-1(수정).ppt

학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의시설 설비및교구기준적정성연구 A Study on the Curriculum, Facilities, and Equipment Analysis in Private Academy and It's Developmental Ta

성인지통계

untitled

1-1) 아직까지도우리나라는 resilience' 이라는용어가적응유연성 ( 권태철, 2002; 김미승, 2002; 박현선, 1998, 1999a, 1999b; 양국선, 2001; 유성경, 2000; 이선아, 2004; 윤미경, 2002; 조혜정, 2002; 장순정, 2

2002report hwp

<C1DF3320BCF6BEF7B0E8C8B9BCAD2E687770>

폐기물 소각시설 에너지 회수실태 조사 및 모니터링시스템 구축방안 연구.hwp

Microsoft PowerPoint - 6.pptx

6) 송승종길병옥, ' 군용무인기개발의역사와그전략적함의에대한연구,' 군사 제 97 호, ) 최근공개된자료에따르면주한미군은기간중 268 회의무인기비행을수행한것으로알려졌다.

Transcription:

情報保護學會論文誌第 20 卷第 2 號, 2010. 4 보안인지및실천현황분석을통한대학연구정보보안수준제고방안 * 박일형, 김성우, 서승우 서울대학교전기ㆍ컴퓨터공학부 Improving Research Information Security in Academic Institutes through the Analysis of Security Awareness and Activities Il-hyung Park, Seong-woo Kim, Seung-woo Seo School of Electrical Engineering and Computer Science, Seoul National University 요 약 대학은국가적으로연구개발비및연구인력측면에서큰비중을차지하고있는핵심연구기관임에도불구하고연구정보보안에대한투자가소홀하여연구정보유출이우려되고있는것이현실이다. 이와관련, 본논문에서는연구정보유출을예방하기위한노력의일환으로대학구성원의보안인지수준과실천수준을분석하고대학내연구정보보안수준제고를위한구체적방안을제시한다. 이를위해먼저대학구성원을대상으로실시한설문조사결과를분석하여연구정보보안및보안의식에관련된현황을파악한다. 이를바탕으로상관관계분석, 일원배치분산분석, 다중회귀분석등통계분석을실시하여정보보안의식및보안실천수준, 전임교원보안수준, 연구실정보보안관리절차와같은문제점들이존재함을보인다. 마지막으로분석결과를기반으로교육ㆍ홍보를통한보안지식및의식개선, 연구책임자의무사항을포함하는연구실보안관리규정제정, 정보유출방지ㆍ출입자통제솔루션등의보안수준향상을위한대책들을제시한다. ABSTRACT Universities are one of leading R&D institutes, however, their scarce security investment allows research information to leak outside. This paper proposes methods for improving security level of academic institutes to protect research information by analyzing security awareness and activities. To do that, we verified the current status of information security and awareness level by analyzing the survey which was conducted for a member of Seoul National University. As a result of statistical analysis using correlation, analysis of variance, multi regression and so on, we concluded that it is essential to improve security awareness, activities, professor's security level and management process for research labs. Thus, we suggest the following methods, security awareness and knowledge development through education, security management for research labs through provision, introduction of data protection softwares and physical control of visitors which are to be adopted to improve security level. Keywords: Academic Security, Research Information Protection, Security Awareness, Security Level, Survey I. 서론 IT 기술의발전및정보화의진전에따라정보를저 접수일 (2009 년 9 월 12 일 ), 수정일 (2009 년 12 월 21 일 ), 게재확정일 (2010 년 1 월 3 일 ) 주저자, ihpark@cnslab.snu.ac.kr 교신저자, sseo@snu.ac.kr 장하거나공유하는수단이다양화ㆍ보편화되었다. 대용량의파일전송이가능한이메일이나웹하드, P2P 사용이일반화되었으며최근에는크기가수센티미터에불과한 USB 메모리저장장치에수십GB의자료를저장할수있는제품이시판되기도하였다. 그러나내부자료유출에민감한국가기관이나기업의입장에서는자료공유수단이다양화되는현상이결코달갑지

92 보안인지및실천현황분석을통한대학연구정보보안수준제고방안 않은것이사실이다. 내부직원이중요한자료를손쉽게외부로유출할수있기때문이다. 2008 년 9월 GS 칼텍스직원은개인정보판매를목적으로 1,125 만명의고객정보를 DVD에저장해외부로유출하기도하였다 [1]. 첨단기술역시동일한위험에직면에있다. 정보소통이용이해지면서막대한예산과인력, 시간이투입된산업기술역시정보보안대책이부재할경우언제든지외부로유출될가능성이존재한다. 2008 년기준 5년동안해외유출시도중적발된산업기술의경제적가치를환산하면 254조원에달한다는통계도내부자료유출의위험성을입증하고있다 [2]. 이와같이국가, 기업을막론하고산업기술유출로인한피해가막대하고그규모도급증하는추세이기때문에기술유출방지를위한노력이절실히요구된다. 실제로국내ㆍ외대기업의경우관리적, 기술적, 물리적보안관리방안을다양하게활용하며산업기술유출방지를위한투자를아끼지않고있다. 반면, 대학은국가연구개발비의 1/4이투자되고있고석박사급인력의절반이상이연구에종사하고있는핵심연구기관임에도불구하고구성원의연구정보보안의식이부재하고아직까지연구정보보안관리체계가확립되어있지않아연구정보유출이우려되고있는것이현실이다 [3]. 이와관련, 본논문은대학연구정보보안수준을향상시키기위한노력의일환으로실증적인측면에서당면문제에접근하였다. 첫째, 학내구성원의정보보안의식및보안실천수준을파악하기위해서울대교직원, 연구원, 대학원생등 1,913 명을대상으로설문조사를실시하였다. 둘째, 통계분석을통해정보보안전문성에비해연구정보보안필요성에대한인식이낮고학내구성원들이인식하고있는연구정보보안수준과보안실천수준사이에괴리가존재한다는사실을확인하였다. 또한, 전임교원의보안수준에개선이필요하며연구실연구정보관리절차가부재한것으로나타났다. 셋째, 대학이직면하고있는연구정보보안취약점을개선하기위해관리적, 기술적, 물리적분야로세분화되는개선방안을제시하였다. 보안의식및보안지식개선, 보안생활화를위한교육과연구책임자의의무사항을포함하는연구실보안규정제정, 보안실천수준및연구정보보안수준향상을위한보안솔루션도입과 CCTV ㆍ전자적잠금장치등출입자통제를위한투자가필요하다. 본논문의순서는다음과같다. 2장에서는설문및 연구모형구성을위한이론적배경을소개하고 3장에서는연구정보보안수준에영향을미치는요인을파악하기위해연구모형과연구가설을설정한다. 4장에서는구성원의정보보안전문성, 연구정보보안의식, 개인정보보안실천수준, 연구정보보안수준을측정하기위해교직원, 연구원, 대학원생등을대상으로설문조사를시행한후, 상관관계분석, 일원배치분산분석, 다중회귀분석등을통해연구가설검증및통계분석을실시한다. 5장에서는분석결과가함의하고있는개선필요사항과그에따른연구정보보안향상방안을제안하며 6장에서는결론으로시사점및향후연구방향을도출한다. II. 이론적배경 2.1 정보보안전문성보안지식및경험등으로대변되는정보보안전문성은정보시스템이용과성과에영향을주는정보보호와관련된지식의정도로정의할수있으며정보보안관련배경지식이풍부한사람은그렇지않은사람에비해더높은보안수준을가질수있다 [4]. 또한, 정기적인훈련을통해조직구성원의정보보안전문성을향상시킬수있으며이는전반적인정보보안수준개선에기여한다 [5]. Lee et al.[6] 는사용자능력이보안측면의정보시스템이용성과에영향을주는중요한요인이라고하였다. 따라서, 정보보안전문성은연구정보보안의식, 개인정보보안실천수준에긍정적인영향을미치며궁극적으로연구정보보안수준향상에기여하는주요요소라고할수있다. 2.2 연구정보보안의식 Post & Kagan[4] 은컴퓨터보안지식과보안의식수준은다르다고강조하고있다. 즉, 보안지식과보안의식을같은개념으로생각할수없으며보안지식개선이반드시보안의식향상으로직결되는것은아니라는것이다. Goodhue & Straub[7] 는사용자가잠재적인보안위험을더많이인식하고있을경우정보시스템보안에더높은관심을나타낼것이라고하였다. ISACA[5] 에서는정보보안관리의핵심요소로보안인식및교육을언급하고있다. 조직의정책및규정을통해보안이차지하는중요성에대한교육을강조하며보안요구사항, 법적인책임, 경영통제

情報保護學會論文誌 (2010. 4) 93 등을포함한교육과그에따른의식개선이이루어져야한다고하였다. 임채호 [8] 는정보보호인식제고프로그램을통해정보보호수준개선이가능하다고하였다. 08년정보보호실태조사결과에서는인터넷이용자의 98.2% 가정보보호에대하여중요하다고인식하고있으며매우중요하다고응답한비율도 59.9% 로정보화역기능에대한두려움이정보보호에대한실질적인관심으로나타나고있다 [9]. 그러므로대학구성원의연구정보보안의식은연구정보보안수준및연구정보유출예방과밀접한관련이있다. 2.3 개인별침해빈도 08년인터넷이용자및기업의침해사고로인한경제적피해발생률이전년에비해크게증가하였으며이에따른정보화역기능대응활동역시함께증가하고있는것으로나타났다. 08년인터넷이용자의백신 S/W 이용률은 07년에비해 15.2% 증가하여침해사고증가에따른정보보호 S/W 이용증가추세를반영하고있다. 방송통신위원회에서도점증하고있는인터넷침해사고에대한대응력강화를위해정보보호관련제도개선, 보안기술개발ㆍ보급, 홍보활동등이요구된다고강조하고있다 [9, 10]. 그러므로개인이보안위협또는침해에노출되는정도는보안의식제고에긍정적인영향을미칠수있으며이는궁극적으로보안수준향상으로이어질것이다. 2.4 개인정보보안실천수준방송통신위원회및 ISO[11, 12] 는정보보호시스템관리체계평가등급의기준으로비밀번호관리, 보안시스템운영, 매체취급및보관, 악성소프트웨어통제, 장비의안전한폐기및재사용등의항목을제시하고있다. 또한, 한국정보화진흥원 [13] 및국가사이버안전센터 [14] 는비밀번호설정, 화면보호기사용, 백신 S/W 활용, PC 개인방화벽사용, 보안업데이트, 보조기억매체관리를통해개인및조직의정보보안수준을개선할수있다고하였다. 따라서이러한기준을활용하여개인정보보안실천수준을설명할수있다. 2.5 연구정보보안수준 ISACA[5] 는정보보안향상을위해번호조합또는 카드키잠금장치, 출입용신분증, CCTV 등의물리적시설접근통제가필요하다고하였다. Harris[15] 는기업의생존과지속성을위해재난에대비한백업계획이필수적으로요구되며비상계획에자료백업절차가포함되어야한다고강조하였다. 또한, 조직의정보보안관리를위해보안관리자가필요하며구성원에대한정기적ㆍ주기적보안교육과논리적접근통제를위한방화벽, 침입탐지시스템, 자료암호화기술, 바이러스및웜통제소프트웨어등이구축되어야한다고하였다. 김종기 [16] 역시정보보안수준제고를위해정보보안조직에요구되는새로운보안대책을기존시스템에설치하고, 보안대책을효과적으로운영하기위해서사용자와관리자에대한보안교육이실시되어야한다고하였다. 대학연구실역시장기간에걸쳐축적된연구자료가재난, 분실, 도난등으로사라졌을때복구가불가능하다면크나큰어려움에직면할것이며보안교육및보안관리자지정, 보안솔루션등을활용해연구정보유출위험을감소시킬수있다. III. 연구모형및연구가설 3.1 연구모형본연구에서는정보보안전문성, 연구정보보안의식, 개인별침해빈도, 개인정보보안실천수준, 연구정보보안수준등의상호관계와소속단과대학및계층 ( 직책 ) 등의요소들이정보보안수준에미치는영향을실증적으로규명하고자 [ 그림 1] 과같이연구모형을설정하였다. 3.2 연구가설 3.2.1 정보보안전문성과연구정보보안의식연구가설1(H1) 은정보보안전문성이연구정보보안의식에영향을미치는인과관계에대한가설이다. 정보보안전문성은정보보안 S/W 제작능력, 전문기술및용어이해, 상용 S/W 사용능력, 해킹사고시대처능력등을의미한다. 구성원의정보보안전문지식이높을수록정보보안위협의심각성을이해할뿐만아니라해킹에따른연구정보유출위협에대한경각심을갖고있다고할수있기때문에정보보안전문성향상이연구정보보안의식에긍정적인영향을미칠것이라는가설을도출하였다.

94 보안인지및실천현황분석을통한대학연구정보보안수준제고방안 (+) 의영향을미칠것이다. 3.2.4 연구정보보안의식과개인정보보안실천수준 [ 그림 1] 연구모형 H1 : 정보보안전문성은연구정보보안의식에정 (+) 의영향을미칠것이다. 3.2.2 정보보안전문성과개인정보보안실천수준연구가설2(H2) 는정보보안전문성이개인정보보안실천수준에영향을미치는인과관계에대한가설이다. 정보보호 S/W 사용능력, 해킹사고시대처능력, 정보보안을위한필수지식등으로구성되는정보보안전문성이높을수록비밀번호설정, 보안업데이트, 보안프로그램활용등개인정보보안을위한노력이증대될것이라는예상이가능하다. 즉, 정보보안전문성이높은사람은조직의정보보안수준유지를위해요구되는보안기준에대한이해도가높기때문에정보보안실천수준역시높게나타날것이다. 따라서정보보안전문성의향상은개인정보보안실천수준향상에긍정적인영향을미칠것이라는가설을도출하였다. H2 : 정보보안전문성은개인정보보안실천수준에정 (+) 의영향을미칠것이다. 3.2.3 정보보안전문성과연구정보보안수준연구가설3(H3) 은정보보안전문성과연구정보보안수준의관계에대한가설이다. 연구관리자및연구실구성원의정보보안전문성향상은연구보안개선필요사항을자각하게하고연구실연구정보보안수준개선을위한투자를유도한다. 보안프로그램활용등기술적투자와더불어자체보안관리지침시행, 보안관리자지정, 연구정보백업관리강조, 주기적인보안교육등의관리적투자는전반적인연구정보보안수준향상으로직결된다. 따라서정보보안전문성은연구정보보안수준에긍정적인영향을미친다는가설을도출하였다. H3 : 정보보안전문성은연구정보보안수준에정 연구가설4(H4) 는연구정보보안의식이개인정보보안실천수준에영향을미치는인과관계에대한가설이다. 연구실구성원이소속연구실에서관리하고있는연구자료의중요도를높게생각하고연구자료는반드시임의로외부에유출되지않도록보호되어야한다고생각한다면연구정보보안을위해보안요구사항들을수행하고자하는의지역시강해질것이다. 즉, 비밀번호설정, 화면보호기설정, 보조기억매체자료보호대책, 보안패치및백신 S/W 활용, PC 개인방화벽사용등개인정보보안실천수준역시향상될것이라는가설을도출하였다. H4 : 연구정보보안의식은개인정보보안실천수준에정 (+) 의영향을미칠것이다. 3.2.5 연구정보보안의식과연구정보보안수준연구가설5(H5) 는연구정보보안의식이연구정보보안수준에영향을미치는인과관계에대한가설이다. 연구실구성원이소속연구실에서관리하고있는연구자료를중요하게생각하고연구정보보호를위해정보보안관리를위한방안이필요하다고인식한다면연구정보보안향상을위한투자가증가할것이고연구정보보안수준이향상될것이라고기대할수있다. 그러므로연구정보보안의식수준은연구정보보안수준향상에긍정적인영향을미친다는가설이도출되었다. H5 : 연구정보보안의식은연구정보보안수준에정 (+) 의영향을미칠것이다. 3.2.6 개인별침해빈도와개인정보보안실천수준연구가설6(H6) 은해킹피해, 바이러스감염, 개인정보유출등개인이경험한침해빈도가개인정보보안실천수준에영향을미치는인과관계에대한가설이다. 개인별로해킹사고에대한노출빈도가높을수록이에대한경각심을갖게되고해킹피해예방을위해정보보안요구사항에대한관심이증가한다. 따라서비밀번호설정및변경, 보안프로그램활용, 보안업데이트생활화등개인정보보안실천수준이향상될것이므로개인별침해빈도가개인정보보안실천수준향상에긍정적인영향을미칠것이라는가설을도출하였다.

情報保護學會論文誌 (2010. 4) 95 H6 : 개인별침해빈도는개인정보보안실천수준에정 (+) 의영향을미칠것이다. 3.2.7 개인별침해빈도와연구정보보안수준연구가설7(H7) 은해킹피해, 바이러스감염, 개인연구정보유출등개인이경험한정보보안침해빈도가연구정보보안수준에영향을미치는인과관계에대한가설이다. 개인별침해빈도가높을수록보안경각심이높아지며따라서침해가능성을예방하기위해연구정보백업, 외부인출입통제, 연구자료보안관리방안등연구정보보안수준에대한투자가향상될것이므로개인별침해빈도가연구정보보안수준향상에긍정적인영향을미칠것이라는가설을도출하였다. H7 : 개인별침해빈도는연구정보보안수준에정 (+) 의영향을미칠것이다. 3.2.8 개인정보보안실천수준과연구정보보안수준연구가설8(H8) 은개인정보보안실천수준과연구실별로수행되고있는연구정보보안수준간의관계에대한가설이다. 비밀번호설정, 보조기억매체관리, 보안업데이트및보안 S/W 활용등연구실원개인의평소정보보안실천수준이높을수록자연스럽게연구실내에서의연구정보보안수준도향상될것이다. 개인정보보안실천수준이생활화되어보안의식및보안수준이높아진다면연구실보안관리자운영, 주기적인보안교육, 정보보안시스템운영등연구정보보안수준을구성하는요소에긍정적인영향을미칠것이라는가설을도출할수있다. H8 : 개인정보보안실천수준은연구정보보안수준에정 (+) 의영향을미칠것이다. 3.2.9 소속단과대학과정보보안수준연구가설9(H9) 는소속단과대학 ( 대학원 ) 과정보보안수준과의인과관계를나타내는가설이다. 동일한대학내에서도단과대학별로환경및구성원특성이다르기때문에보안수준역시차이가존재한다는가정이가능하다. 특히, 연구정보보안의주요한대상이되는이공계대학과비이공계대학의보안수준을비교하고가설검증결과를바탕으로단과대학에따라차별화된정보보안방안을마련하는데중요한자료로활용할수있을것이다. 따라서소속단과대학별로정보보안수 준에차이가있다는가설을도출하였다. H9 : 소속단과대학별로정보보안수준에차이가있을것이다. 3.2.10 계층 ( 직책 ) 과정보보안수준연구가설10(H10) 은대학구성계층과정보보안수준간의인과관계를설명하는가설이다. 본논문은연구정보보안을주제로하고있기때문에대학구성원을연구기능을기준으로교직원, 대학원생, 연구원, 직원으로분류한다. 만약 4개의계층이차별화된정보보안수준을보인다면연구정보보안향상방안역시정보보안수준이낮은계층에집중되어야할것이다. 특히, 조직관리자의정보보안수준이매우중요한데연구관리를책임지는관리자의정보보안수준이높아야정보보안향상을위한관리적, 기술적, 물리적투자가뒷받침될수있기때문이다 [15]. 따라서구성원계층별로정보보안수준의관계를파악하고이에상응하는대책을세우는것이매우중요하므로계층별로정보보안수준에차이가있다는가설을도출하였다. H10 : 구성원계층별로정보보안수준에차이가있을것이다. 3.3 연구변수의조작적정의및측정항목정보보안전문성, 연구정보보안의식, 개인별침해빈도, 개인정보보안실천수준요인들로연구정보보안수준을검정하기위해수립한연구개념들을 [ 표 1] 과같이정의하였다. 정보보안전문성은정보보안과관련된개인지식과능력이라고정의하였다. 정보보안전문성을측정하기위한변수로는정보보안기술및용어이해, 보안소프트웨어사용능력등을사용하였다. 연구정보보안의식은연구정보의중요도, 연구정보보안필요성에대해인지하는수준이라고정의하였으며본인및본인의연구실에서보유하고있는연구정보의중요도에대한평가와해당연구정보를보호하기위해요구되는보안수준체감도를측정변수로하였다. 개인별침해빈도는웜바이러스감염, 개인정보유출등의해킹피해경험정도라고정의하였으며응답자가최근 3년동안경험한해킹, 바이러스감염, 연구정보유출등의보안사고횟수를측정변수로하였다. 개인정보보안실천수준은개인적인차원에서정보보안을위해실천하고있는기술적보안관리방안이라고정의하였으며측정변수로는 PCㆍ학내포털ㆍ인터넷사용시비밀

96 보안인지및실천현황분석을통한대학연구정보보안수준제고방안 연구변수조작적정의측정항목관련문헌 정보보안전문성 (KNW) 연구정보보안의식 (AWN) 개인별침해빈도 (HAC) 개인정보보안실천수준 (ACT) 연구정보보안수준 (LAB) 정보보안과관련된개인지식및능력 연구정보의중요도, 연구정보보안필요성에대해인지하는수준 웜바이러스감염, 개인정보유출등의해킹피해경험정도 개인적인차원에서정보보안을위해실천하고있는기술적보안관리방안 연구실소속원및연구실의연구정보보안수준 [ 표 1] 변수의조작적정의및측정항목 KNW1 정보보안이해도 AWN1 연구정보중요도와보안필요성에대한인식 ISACA(2008) A. Kagan(2007) Lee et al.(1995) A. Kagan(2007) Goodhue et al.(1991) 임채호 (2006) HAC1 해킹사고경험횟수방송통신위원회 (2009) ACT1 비밀번호변경주기 ACT2 화면보호기설정 ACT3 PC 비밀번호설정 ACT4 보조기억매체자료보호대책 ACT5 하드디스크폐기방법 ACT6 사용중인보안솔루션 ACT7 보안패치및백신 S/W 활용도 ACT8 PC 개인방화벽사용 LAB1 연구정보백업 LAB2 연구실물리적보안 LAB3 연구실자료유출방지대책 LAB4 연구실정보보안수준인지도 한국정보화진흥원 (2003) 방송통신위원회 (2008) NCSC(2008) ISO(2004) ISACA(2008) Harris(2005) 방송통신위원회 (2008) 김종기 (2008) 번호변경주기, PC 화면보호기동작시간과비밀번호설정여부, 부팅비밀번호및윈도우비밀번호설정여부, 비밀번호설정시문자ㆍ숫자ㆍ특수문자조합여부, 보안기능이있는보조기억매체를사용하거나또는보조기억매체사용시자료암호화저장여부, 하드디스크폐기시물리적파손ㆍ여러번덮어쓰기등자료완전소거대책시행여부, 보안프로그램활용도, 보안패치및백신프로그램업데이트설정상태, PC 개인방화벽활용도등을측정변수로하였다. 연구정보보안수준은연구실소속원및연구실의연구정보보안수준으로정의하였으며중요연구정보에대한백업방법과백업주기, CCTV 운영및 ID카드또는출입증발급등연구실외부인출입통제방안, 연구실보안관리자지정, 정기ㆍ수시보안교육여부, 본인이보유하고있는연구정보를보호하기위해현재수행하고있는정보보안수준평가등을측정변수로하였다. IV. 실증분석 4.1 자료수집및분석대학구성원의정보보안수준을조사하기위해서울대학교교직원, 연구원, 대학원생 1,913명을대상으로 2009 년 5월 11일부터 5월 25일까지온라인및오 프라인설문조사를실시하였다 [17]. 온라인설문의경우, 서울대인터넷포털의설문조사시스템을이용하여교직원, 연구원, 대학원생대상 26,723 명에게설문메일을발송하였으며 1,610 명이응답하였다. 오프라인조사는교원 ( 조교포함 ) 2,430 명에게설문지를배포하여 303부를회수하였고온ㆍ오프라인설문을모두종합하여 1,913 명 ( 응답률 6.5%) 의설문지가분석에사용되었다. 설문조사를통해수집된자료는 SPSS 12.0을이용하여분석하였다. 인구통계변수를파악하기위해빈도분석을하였고, 신뢰도검증을통해각변수들에대한설문문항의내적일관성을조사하였다. 또한, 개인정보보안실천수준, 연구정보보안수준등각변수들의구성개념타당성을검증하기위해요인분석을하였다. 연구가설을검증하기위해피어슨의상관관계분석, 크루스칼-왈리스검정 (Kruskal-Wallis Test) 및일원배치분산분석을하였고연구변수및측정항목과의관계를추가로분석하기위해상관관계분석및다중회귀분석을실시하였다. 4.2 표본의특성계층별설문응답자분포는 [ 그림 2] 와같다. 대학원생이 47%(888명 ) 로가장많았으며교원 ( 전임, 비

情報保護學會論文誌 (2010. 4) 97 [ 그림 2] 설문응답자분포전임, 조교포함 ) 28%(539 명 ), 직원 ( 자체직원포함 ) 20%(384 명 ) 순이었다. 대학별응답률은공과대 28%(544 명 ), 자연대 13%(244 명 ), 의과대 10%(195 명 ), 농생대 6%(114 명 ), 사범대 5%(88 명 ), 인문대 4%(84 명 ), 사회대 3%(63명 ) 순으로상대적으로이공계대학의응답률이높았다. 연구정보보안의대상이되는대부분의연구가이공계대학연구실에서이루어지고있음을감안한다면, 위응답률은연구정보보안실태파악과개선방안을도출하는데있어모집단에대한표본이적절하게분포되어있음을보이고있다. 4.3 설문결과분석 4.3.1 설문구성설문응답자의정보보안수준을조사하기위해설문문항을주제별로분류하였다. 설문은정보보안전문성, 연구정보보안의식, 개인별침해빈도, 개인정보보안실천수준, 연구정보보안수준을파악하기위한문항으로구성된다. 측정항목은총 15문항으로정보보안전문성및연구정보보안의식수준관련 2문항, 개인별침해빈도관련 1문항, 개인정보보안실천수준관련 8문항, 연구자료정보보안수준관련 4문항으로구성되어있다. 복수응답이가능한문항을제외하고설문응답자가각문항별로 (1) 매우높다, (2) 높다, (3) 보통, (4) 낮다, (5) 매우낮다를선택하는 5점척도방식을택하였다. 4.3.2 설문결과요약 [ 표 2] 는설문응답내용을종합한결과이다. 문항1 ~ 7, 9 ~ 15의항목 1 ~ 5는각각매우높다, 높다, 보통, 낮다, 매우낮다를의미하며문항8은복수응답을허용하였다. 설문응답을종합한결과, 대학구성원의연구정보보안필요성에대한인식은낮은반면, 정보보안전문성수준은비교적높은것으로나타났다. 대부분이비밀번호를한번설정한이후에는주기적으로변경하지않는경향이뚜렷했다. 화면보호기 를설정하지않는경우도 1/3 가량되었고 PC BIOS 비밀번호를설정하지않는경우도다수였다. 보조기억매체에저장하는자료를암호화하거나비밀번호를설정하는등보조기억매체분실시연구정보유출에대비하기위한보안조치를하는경우도드물었다. 하드디스크에잔존하는데이터를완전히소거하기위한대책역시미흡한수준으로보완대책이미비할경우향후연구정보유출이우려된다 [18, 19]. 백신ㆍ방화벽사용률은타보안솔루션에비해월등히높은수준이나보안패치수동업데이트수준이 19% 로비교적높게나타나업데이트가자동적용되도록하기위한방안이요구된다. 연구정보백업은월1회주기로수동백업하거나전혀백업하지않는경우가많아현실적으로연구정보백업이이루어지지않고있음을알수있다. 또한, 외부인출입통제를위한물리적보안이적절하지않은것으로나타났으며연구실별보안관리절차가부재하여관련내용을규정에반영해의무사항으로적용하는방안이요구된다. 마지막으로, 응답자의 89% 가본인이수행하는연구정보보안수준이낮다고평가한점은연구정보보안이매우미흡한수준임을나타낸다. 특기할만한사항으로백신 S/W와 PC 개인방화벽사용률은높은반면, 학내정보보안센터에서제공하고있는 PMS(Patch Management System) 사용률은낮은것으로확인되었는데 PC 개인방화벽은사용률이높은백신 S/W 또는윈도우에포함되어있어높은사용률을보이고있는것으로조사된만큼, 보안 S/W 사용률제고를위해서는홍보와더불어보안솔루션을백신 S/W와패키지형식으로함께묶어배포하는방안이요구된다. 4.4 측정도구의신뢰성및타당성검증 4.4.1 측정도구의신뢰성검증측정도구의신뢰성을검증하기위해크론바흐알파계수 (Cronbach's α) 를사용하였다. 크론바흐알파검증은동일한개념을묻는문항들에대한내적일치도를측정하는방법으로일반적으로알파계수가 0.6이상이면신뢰할만한측정이라고본다. [ 표 3] 은개인정보보안실천수준과연구정보보안수준관련변수들에대한크론바흐알파검증결과이다. 개인정보보안실천수준관련문항의신뢰도분석결과크론바흐알파계수가 0.664 로나타나신뢰할만한수준으로나타났

98 보안인지및실천현황분석을통한대학연구정보보안수준제고방안 [ 표 2] 설문조사결과 문항 설문내용 항목 응답자수 백분율 (%) 문항 설문내용 항목 응답자수 백분율 (%) 1 29 2 1 980 51 문항1 2 636 39 보안패치및 2 532 28 정보보안에대한 3 578 36 문항9 백신 S/W 3 202 11 이해수준 4 302 19 활용도 4 158 8 5 65 4 5 41 2 1 327 17 1 222 14 문항2 연구정보중요도와 2 1054 56 2 566 35 PC 개인방화벽보안필요성에대한 3 303 16 문항10 3 178 11 사용인식 4 134 7 4 476 30 5 76 4 5 168 10 1 10 0 1 892 47 문항3 비밀번호변경주기 2 87 5 2 712 37 해킹사고 3 248 13 문항11 3 241 12 경험횟수 4 450 24 4 30 2 5 1118 58 5 38 2 1 535 33 1 294 16 문항4 화면보호기설정 2 155 10 2 65 3 연구정보백업 3 160 10 문항12 3 145 8 여부 4 56 3 4 777 41 5 704 44 5 610 32 1 281 17 1 270 14 2 398 25 출입통제등 2 393 21 문항5 PC 비밀번호설정 3 493 31 문항13 연구실물리적 3 383 20 4 87 5 보안 4 272 14 5 351 22 5 591 31 1 64 3 1 98 5 문항6 2 70 4 2 165 9 USB 등보조기억연구실내부자료 3 80 4 문항14 3 294 15 매체자료보호대책유출방지대책 4 253 13 4 471 25 5 1446 76 5 881 46 1 282 15 1 19 1 문항7 2 203 11 2 187 10 하드디스크폐기연구실정보보안 3 745 39 문항15 3 768 40 방법수준평가 4 469 24 4 656 34 5 213 11 5 279 15 문항 설문내용 항목 응답자수 백분율 (%) 백신 S/W 1806 94 개인용방화벽 S/W 693 36 자료완전삭제 S/W 227 12 문항8 개인용침입방지 S/W 144 8 사용중인보안패치관리 S/W 621 32 보안소프트웨어안전한운영체제 S/W 220 12 자료암호화 S/W 106 6 내부문서유출방지 S/W 34 2 기타 28 1 으며연구정보보안수준관련문항은크론바흐알파계수가 0.579이나표준화된크론바흐알파계수가 0.614이므로신뢰성이보장되는것으로판단하였다. 4.4.2 측정도구의타당성검증측정도구의구성개념타당성을검증하기위해요인분석을실시하였다. 하나의특성을측정하기위해여러개의측정항목을사용했을경우이항목들이요인

情報保護學會論文誌 (2010. 4) 99 복합지표 개인정보보안실천수준연구정보보안수준 [ 표 3] 크론바흐알파검증결과 크론바흐알파계수 표준화된크론바흐알파계수 항목수 0.664 0.697 8 0.579 0.614 4 분석을통해동일한요인으로묶여진다면그측정도구가타당하다고볼수있다. 또한, 각변수들에대한요인분석가능여부를검증하기위해 KMO(Kiaser-Meyer-Olkin) 측도및바틀렛 (Bartlett) 의구형성 (Sphericity) 검정을사용하였다. KMO 측도는변수들간의상관성을나타내는측도인데이값이 0.6이상이면요인분석의변수로적당하다고할수있다. 또한바틀렛의구형성검정은변수들의상관행렬이단위행렬이라는귀무가설을검정하는데 p값이유의수준에포함되면귀무가설을기각하고요인분석이가능하다. [ 표 4] 개인정보보안실천수준관련변수들의 KMO 측도와바틀렛의구형성검정결과에서 KMO 측도가 0.752 이고구형성검정결과 p값이 0.000 으로상관행렬이단위행렬이라는귀무가설이기각되기때문에요인분석이가능함을알수있다. 또한, 표본화적합성측도가모두 0.68이상이므로모든변수를포함시켜도무방하며주축요인추출법에의한공통성 (communality) 의초기추정값과최종추정값은상호큰편차없이안정됨을보이고있어최종적으로개인정보보안실천수준관련변수로요인분석을하는데문제가없다. [ 표 5] 는개인정보보안실천수준관련변수들을이용한요인분석결과이다. 고유값이 1이상인요인이 2 개가있으며전체변이의 31.104% 를설명하고있다. 회전된요인행렬에서요인1, 2가차례로각변수들과높은상관관계를보이고있음을알수있다. 따라서 2 개의요인이추출되었으므로개인정보보안실천수준복합지수를측정하기위한측정도구의타당성이검증되었다. [ 표 6] 은연구정보보안수준관련변수들의 KMO 측도와바틀렛의구형성검정결과이다. 여기서 KMO 측도가 0.672 이고구형성검정결과 p값이 0.000으로상관행렬이단위행렬이라는귀무가설이기각되기때문에요인분석이가능하다. 또한, 표본화적합성측도가모두 0.63이상이므로모든변수를포함 [ 표 4] 개인정보보안실천수준요인분석가능여부검정 복합지수변수 KMO 측도 개인정보보안실천수준 요인 구형성검정 p 값 표본화 공통성 적합성측도 초기 추출 0.799 0.098 0.109 ACT1 ACT2 0.687 0.270 0.532 ACT3 0.701 0.293 0.464 ACT4 0.752 0.000 0.807 0.167 0.197 ACT5 0.771 0.225 0.338 ACT6 0.755 0.239 0.416 ACT7 0.791 0.149 0.171 ACT8 0.785 0.196 0.262 [ 표 5] 개인정보보안실천수준요인분석 회전제곱합초기고유값적재값전체 % 누적전체 % 누적변수 ( 문항 ) 회전된요인행렬 요인 1 2 1 2.582 32.281 1.374 17.171 ACT1 0.282 0.171 2 1.117 46.246 1.115 31.104 ACT2 0.143 0.715 3 0.975 58.429 ACT3 0.229 0.642 4 0.886 69.506 ACT4 0.351 0.272 5 0.699 78.239 ACT5 0.565 0.135 6 0.675 86.674 ACT6 0.640 0.078 7 0.568 93.768 ACT7 0.367 0.191 8 0.499 100.00 ACT8 0.484 0.167 [ 표 6] 연구정보보안수준요인분석가능여부검정 복합지수변수 KMO 측도 연구정보보안수준 요인 구형성검정 p 값 표본화 공통성 적합성측도 초기 추출 0.729 0.090 0.121 LAB1 LAB2 0.731 0.138 0.199 0.672 0.000 LAB3 0.662 0.240 0.387 LAB4 0.636 0.284 0.565 [ 표 7] 연구정보보안수준요인분석 추출제곱합초기고유값적재값전체 % 누적전체 % 누적변수 ( 문항 ) 적재된요인행렬 요인 1 1 1.881 47.032 1.271 31.785 LAB1 0.347 2 0.886 69.189 LAB2 0.446 3 0.703 86.753 LAB3 0.622 4 0.530 100.00 LAB4 0.751 시켜도무방하며주축요인추출법에의한공통성의초기추정값과최종추정값은상호큰편차없이안정되어있으므로연구정보보안수준변수로요인분석을하는데문제가없다. [ 표 7] 은연구정보보안수준관련변수들을이용한

100 보안인지및실천현황분석을통한대학연구정보보안수준제고방안 요인분석결과이다. 고유값이 1이상인요인이 1개이며전체변이의 31.785% 를설명하고있다. 따라서여러개의변수들이한개의요인으로묶여지므로연구정보보안수준관련측정도구의타당성이검증되었다. 4.5 연구가설검증및분석 4.5.1 상관관계분석연구가설1(H1) ~ 연구가설8(H8) 을검증하기위하여피어슨의상관관계분석을사용하였다. [ 표 8] 은연구변수의평균및표준편차이고 [ 표 9] 는각연구변수간의상관관계분석결과이다. 정보보안전문성이연구정보보안의식에미치는영향을평가하기위한가설1(H1) 은변수간의상관계수가 0.181 이고유의수준 0.01에서통계적으로유의한것으로나타나가설을채택한다. 정보보안전문성이개인정보보안실천수준에영향을미친다는가설 2(H2) 는상관계수가 0.373 이고유의수준 0.01에서통계적으로유의하여가설을채택한다. 정보보안전문성이연구정보보안수준에영향을미친다는가설 3(H3) 은변수간의상관계수가 0.201 이고유의수준 0.01에서통계적으로유의하여가설을채택한다. 연구정보보안의식이개인정보보안실천수준에영향을미친다는가설4(H4) 는상관계수가 0.238 이고유의수준 0.01에서통계적으로유의하여가설을채택한다. 연구정보보안의식이연구정보보안수준에영향을미친다는가설5(H5) 는상관계수가 0.285 이고유의수준 0.01에서통계적으로유의한것으로나타나가설을채택한다. 개인별침해빈도의개인정보보안수준에대한영향을평가하기위한가설6(H6) 은변수간의상관계수가 0.068이고유의수준 0.01에서통계적으로유의한것으로나타났으나상관계수가낮아영향이없는것으로본다. 개인별침해빈도가연구정보보안수준에미치는영향을평가하기위한가설7(H7) 은유의수준 0.01에서유의하지않은것으로나타나기각한다. 개인정보보안실천수준이연구정보보안수준에미치는영향을평가하기위해설정한가설 8(H8) 은변수간의상관계수가비교적높은 0.434이고유의수준 0.01에서통계적으로유의한것으로나타나가설을채택한다. 4.5.2 집단간평균비교이번에는가설9(H9), 가설10(H10) 을검증하기 구분 평균 표준편차 정보보안전문성 2.84 0.89 연구정보보안의식 2.26 0.96 개인정보보안실천수준 2.91 0.63 연구정보보안수준 3.62 0.82 전체보안수준 2.91 0.56 연구변수정보보안전문성 정보보안전문성 연구정보보안의식 개인별침해빈도 개인정보보안수준 연구정보보안수준 [ 표 8] 연구변수간평균, 표준편차비교 1 0.181 ** (0.000) 0.019 (0.437) 0.373 ** (0.000) 0.201 ** (0.000) (** : 유의수준 0.01) [ 표 9] 변수간의상관관계 연구정보보안의식 1-0.039 (0.088) 0.238 ** (0.000) 0.285 ** (0.000) 개인정보개인별보안침해빈도수준 1 0.068 ** (0.003) 0.019 (0.396) 1 0.434 ** (0.000) 연구정보보안수준 위해각각비모수적검정방법인크루스칼-왈리스검정방법과모수적검정방법인일원배치분산분석을이용하여집단간평균을비교하였다. 집단간평균비교를위한사전작업으로소속단과대학별설문응답자수를분석한결과, 간호대, 미술대, 음악대등의표본수가정규성 ( 일반적으로 30 이상 ) 만족기준을충족하지않아소속단과대학별보안수준비교를위한통계분석방법으로비모수적검정방법인크루스칼-왈리스방법을사용하였다. 또한, 정확한검정으로몬테카를로 (Monte Carlo) 검정 ( 신뢰수준 99%, 표본수 10,000) 을사용하였다. 크루스칼-왈리스검정결과 [ 표 10], 근사유의확률, 몬테카를로유의확률이모두유의수준 0.01에서통계적으로유의한것으로나타났다. 따라서소속단과대학별로보안수준에차이가존재한다고가정하는가설9(H9) 를채택한다. [ 표 11] 은크루스칼-왈리스검정결과계산된평균순위값을단과대학 ( 대학원 ) 별보안수준순위로변환한자료이다. 단과대학별순위의민감도를고려하여단과대학명은표기하지않고단과대학및대학원으로만분류하였다. 연구소의정보보안수준이모든측면에서가장높았고전체평균을소속대학별로비교하면 1

情報保護學會論文誌 (2010. 4) 101 구분 [ 표 10] 크루스칼 - 왈리스검정결과 정보보안전문성 연구정보보안의식 개인정보보안실천수준 연구정보보안수준 전체보안수준 카이제곱 62.75 65.24 76.59 147.46 114.52 자유도 22 22 22 22 22 근사유의확률 0.000 0.000 0.000 0.000 0.000 Monte Carlo 유의확률 0.000 0.000 0.000 0.000 0.000 단과대1( 이공계 ), 대학원1( 이공계 ), 단과대2( 이공계 ), 단과대3( 이공계 ), 단과대4( 이공계 ), 단과대5( 이공계 ), 단과대6( 이공계 ) 등의순으로높게나타나고있다. 전체평균을낮은순으로비교하면단과대16( 비이공계 ), 대학원5( 비이공계 ), 단과대15( 비이공계 ), 단과대14( 이공계 ), 단과대13( 비이공계 ), 단과대12 ( 비이공계 ) 등의순으로분포되어있다. 따라서전반적으로이공계대학의정보보안수준은높은반면, 비이공계대학의정보보안수준은하위권에분포되어있는것으로나타났다. 이번에는일원배치분산분석을통해구성원의계층별정보보안수준에차이가있는지를평가하기위해가설10(H10) 을검증한다. [ 그림 1] 에서전임교원 (539명), 연구원 (96명), 대학원생 (888명), 직원 (384 명 ) 모두표본수가 30 이상이므로정규성을만족하는것으로간주한다. 레벤 (Levene) 의등분산검정결과, 등분산이가정되지않는것으로나타나등분산이가정되지않을때 F통계량보다선호되는브라운- 포시 (Brown-Forsythe) 통계량을이용하여집단평균이동일한지검정하였고연구변수별로유의한차이를갖는계층이어느것인가를파악하기위해던넷 (Dunnett) 의 T3를이용하여다중비교를하였다. [ 표 12] 일원배치분산분석결과, p값이유의수준 0.05 이하로정보보안전문성, 연구정보보안의식, 개인정보보안실천수준, 연구정보보안수준, 전체보안수준등모든연구변수에서계층간평균차가존재하는것으로나타났다. 따라서연구가설10(H10) 은통계적으로유의하므로채택된다. [ 표 13] 다중비교결과는유의수준 0.05에서평균차가존재하는연구변수ㆍ계층을나타내고있다. 정보보안전문성은전임교원-직원, 연구원-직원, 대학원생 -직원간유의한평균차가존재하며연구정보보안의식은대학원생-직원간유의한평균차가존재한다. 또한, 소속 [ 표 11] 소속별보안수준순위 전체보안수준 정보보안전문성 연구변수별순위 연구정보보안의식 개인정보보안실천수준 연구정보보안 연구소 1 5 2 1 1 단과대1* 2 3 6 6 4 대학원1* 3 17 1 17 7 단과대2* 4 4 4 5 9 단과대3* 5 19 10 7 2 단과대4* 6 14 5 8 5 단과대5* 7 7 3 4 11 단과대6* 8 10 7 10 6 대학원2* 9 2 11 2 20 대학원3* 10 1 21 3 14 대학원4* 11 15 13 12 8 단과대7* 12 11 12 13 12 단과대8** 13 18 17 11 3 단과대9** 14 9 19 9 17 단과대 10** 15 16 8 19 16 단과대11** 16 6 18 14 15 단과대 12** 17 13 16 18 19 단과대 13** 18 12 20 16 18 단과대14* 19 22 9 22 13 단과대 15** 20 8 15 21 22 대학원5** 21 20 22 15 10 단과대16** 22 21 14 20 21 (* : 이공계대학, ** : 비이공계대학 ) 개인정보보안실천수준은전임교원-연구원, 전임교원 -직원, 대학원생-직원간유의한평균차가존재하고연구정보보안수준은전임교원-연구원, 전임교원-직원, 연구원-대학원생, 대학원생-직원간유의한평균차가존재한다. 마지막으로전체보안수준은전임교원-연구원, 전임교원-대학원생간에유의한평균차가존재하는것으로나타났다. 이를해석하면직원이전임교원, 연구원, 대학원생보다정보보안전문성이낮고연구정보보안의식측면에서는대학원생보다낮은것으로나타났다. 반면에전임교원은연구원, 교원보다개인정보보안실천수준이낮고연구정보보안수준에있어서는연구원, 직원보다낮은것으로나타났으며전체보안수준은연구원, 대학원생보다낮다. 추가적으로응답평균을기준으로계층별보안수준을비교하였다 [ 표 14][ 그림 3]. 다중비교결과와동일하게전반적으로전임교원의보안수준이가장낮고다음으로대학원생, 직원, 연구원순으로나타났다. 4.5.3 검증결과분석 연구변수및측정항목간관계를추가적으로분석하

102 보안인지및실천현황분석을통한대학연구정보보안수준제고방안 [ 표 12] 일원배치분산분석결과 구분 통계량 (a) 자유도1 자유도2 p값 정보보안전문성 12.615 4 96.663 0.000 연구정보보안의식 4.647 4 244.817 0.001 개인정보보안실천수준 24.514 4 99.279 0.000 연구정보보안수준 12.404 4 187.407 0.000 전체보안수준 6.389 4 292.765 0.000 종속변수 (I) 계층 (J) 계층평균차표준 (I-J) 오차 p값전임교원직원 -0.240 0.071 0.008 정보보안연구원직원 -0.336 0.109 0.024 전문성대학원생직원 -0.371 0.054 0.000 연구정보대학원생직원 -0.222 0.066 0.008 보안의식 개인정보보안실천 연구정보보안수준 전체보안수준 계층 [ 표 13] 다중비교결과 전임교원 연구원 0.203 0.067 0.030 전임교원 직원 0.376 0.043 0.000 대학원생 직원 0.289 0.039 0.000 전임교원 연구원 0.396 0.093 0.000 전임교원 직원 0.299 0.059 0.000 연구원 대학원생 -0.342 0.899 0.002 대학원생 직원 0.244 0.054 0.000 전임교원연구원 0.222 0.062 0.005 전임교원대학원생 0.115 0.030 0.001 [ 표 14] 계층별보안수준비교 정보보안전문성 연구정보보안의식 개인정보보안수준 연구정보보안수준 전체보안수준 전임교원 2.86 2.29 3.04 3.72 3.00 연구원 2.76 2.18 2.84 3.33 2.77 대학원생 2.73 2.18 2.95 3.66 2.88 직원 3.10 2.41 2.66 3.42 2.89 [ 그림 3] 계층별보안수준비교 기위해연구가설검증결과를종합하고연구가설검증결과를바탕으로상관관계분석및다중회귀분석을실시하였다. [ 표 15] 연구가설검증결과요약 연구가설 상관계수 검증결과 [H1] 정보보안전문성은연구정보보안의식에정 (+) 의영향을미칠것이다. 0.181 채택 [H2] 정보보안전문성은개인정보보안실천수준에정 (+) 의영향을미칠것이다. [H3] 정보보안전문성은연구정보보안수준에정 (+) 의영향을미칠것이다. [H4] 연구정보보안의식은개인정보보안실천수준에정 (+) 의영향을미칠것이다. [H5] 연구정보보안의식은연구정보보안수준에정 (+) 의영향을미칠것이다. [H6] 개인별침해빈도는개인정보보안실천수준에정 (+) 의영향을미칠것이다. [H7] 개인별침해빈도는연구정보보안수준에정 (+) 의영향을미칠것이다. [H8] 개인정보보안실천수준은연구정보보안수준에정 (+) 의영향을미칠것이다. [H9] 소속단과대학별로정보보안수준에차이가있을것이다. [H10] 구성원계층별정보보안수준에차이가있을것이다. 4.5.3.1 연구가설검증결과 0.373 채택 0.201 채택 0.238 채택 0.285 채택 0.068 불채택 ( 영향없음 ) 기각 0.434 채택 - 채택 - 채택 연구가설검증결과는 [ 표 15] 와같다. 가설1(H1) ~ 가설5(H5), 가설8(H8) ~ 가설10(H10) 은채택되었으며가설6(H6) 은통계적으로유의하나상관관계가거의존재하지않는것으로나타났다. 가설 7(H7) 은통계적으로유의하지않아기각되었다. 따라서, 정보보안전문성은연구정보보안의식, 개인정보보안실천수준, 연구정보보안수준에정의영향을미치고연구정보보안의식은개인정보보안실천수준, 연구정보보안수준에정의영향을미친다는사실을확인하였다. 또한, 소속단과대학및구성원계층별로도정보보안수준차가존재한다. 반면, 개인별침해빈도는정보보안수준향상과관계가없는것으로나타났다.

情報保護學會論文誌 (2010. 4) 103 4.5.3.2 연구변수및측정항목상관관계분석학내구성원의연구정보보안향상을위한구체적문제점을분석하고개선방안을마련하기위해정보보안전문성 (KNW), 연구정보보안의식 (AWN), 그리고개인정보보안실천수준의기준이되는측정항목 (ACT1 ~ ACT8) 과연구정보보안수준의기준이되는측정항목 (LAB1 ~ LAB4) 의상관관계를분석하였다 [ 표 16]. 연구정보보안수준인지도또는연구정보보안수준평가 (LAB4) 와개인정보보안실천수준의상관계수는 0.2 ~ 0.3 사이로유의미한상관관계가있는것으로나타났다. 그러나높은수준의상관관계가있는것은아니어서보안인지수준과보안실천수준사이에괴리가존재한다는분석이가능하다. 이번에는정보보안전문성과개인정보보안실천수준을비교하기위해상관계수를분석하였다. [ 표 17] 에서비밀번호변경주기, 화면보호기설정, 보조기억매체자료보호대책, 중요연구정보백업주기는정보보안전문성과상관관계가매우낮고 PC 비밀번호설정, 개인 PC 방화벽사용은유의수준 0.01에서기각되어정보보안전문성과관련성이없는것으로나타났다. 그리고하드디스크폐기방법, 보안패치및백신업데이트는상관계수가각각 0.289, 0.311로정보보안전문성과상관관계가있는것으로분석되었다. 따라서하드디스크폐기방법, 보안패치및백신업데이트수준향상을위해서는정보보안지식향상을위한보안기술교육이요구되고기타실천수준항목은정보보안생활화를위한보안인식교육이필요한것으로풀이된다. [ 표 18] 은연구정보보안의식과연구정보보안수준사이의상관계수를구한결과이다. 각문항별상관계수는 0.1 ~ 0.2 사이로높은상관관계가존재하는것은아니지만낮은수준이나마연구정보보안의식이높을수록연구정보보안실천수준에긍정적인영향을미친다고볼수있다. 연구정보백업여부, 연구실물리적보안은개인차원의보안실천보다는대학차원의보안솔루션도입과투자에영향을많이받기때문에상관계수가낮은것으로분석된다. 또한, 연구정보보안의식과연구정보보안수준평가의상관계수는 0.250 으로비교문항중가장높은수치를보이고있다. 그러므로연구정보보안중요도와보안필요성에대한인식이개선될수록연구정보보안수준이개선되는경향도큰것을알수있다. [ 표 19] 는정보보안전문성과연구정보보안수준의 상관계수분석결과이다. 정보보안전문성과연구정보보안의식, 연구정보백업여부, 물리적보안, 내부자료유출방지대책의상관계수는낮게나타났고정보보안전문성과본인연구정보보안수준평가사이의상관계수는 0.265 로좀더의미있는것으로나타났다. 그러므로, 정보보안전문성개선은개인의연구정보보 [ 표 16] 연구정보보안수준평가와개인정보보안실천수준의상관계수 기준연구정보보안실천수준수준평가 p값 비밀번호변경주기 0.236 0.000 화면보호기설정 0.289 0.000 PC 비밀번호설정 0.314 0.000 보조기억매체자료보호대책 0.321 0.000 하드디스크폐기방법 0.295 0.000 보안패치및백신업데이트 0.226 0.000 개인 PC 방화벽사용 0.303 0.000 중요연구정보백업주기 0.287 0.000 ( 유의수준 : 0.01) [ 표 17] 정보보안전문성과개인정보보안실천수준의상관계수 기준정보보안실천수준전문성 p값 비밀번호변경주기 0.174 0.000 화면보호기설정 0.169 0.000 PC 비밀번호설정 0.174 0.129 보조기억매체자료보호대책 0.128 0.000 하드디스크폐기방법 0.289 0.000 보안패치및백신업데이트 0.311 0.000 개인 PC 방화벽사용 0.270 0.233 중요연구정보백업주기 0.122 0.000 ( 유의수준 : 0.01) [ 표 18] 연구정보보안의식과연구정보보안수준의상관계수 기준연구정보실천수준보안의식 p값 연구정보백업여부 0.164 0.000 연구실물리적보안 0.169 0.000 연구실내부자료유출방지대책 0.207 0.000 연구정보보안수준평가 0.250 0.000 ( 유의수준 : 0.01) [ 표 19] 정보보안전문성과연구정보보안수준의상관계수 실천수준 기준정보보안전문성 p-value 연구정보보안의식 0.181 0.000 연구정보백업여부 0.122 0.000 출입통제등연구실물리적보안 0.089 0.000 연구실내부자료유출방지대책 0.114 0.000 연구정보보안수준평가 0.265 0.000 ( 유의수준 : 0.01)

104 보안인지및실천현황분석을통한대학연구정보보안수준제고방안 안수준향상에영향을미친다고분석된다. 정보보안전문성과연구정보보안의식은낮은상관관계가존재하므로전문성이높다고해서연구정보보안의식도비례하여향상되는것은아님을알수있다. 특히, [ 표 2] 문항1에서응답자의 89% 가본인의정보보안전문성이보통이상이라고평가하였음을감안하면정보보안전문성에비해정보보안의식수준이낮은상태로분석된다. 따라서전문지식이외에보안의식자체를향상시킬수있는방안이필요하다고할수있다. 연구정보백업, 물리적보안, 내부자료유출방지대책분야에서상관관계가낮은것으로나타났는데이는개인의정보보안전문성향상이이들요인의보안수준개선에큰영향이없음을의미한다. 1 2 모형 [ 표 20] 연구정보보안수준회귀분석결과 1 계수분산분석비표준화 t p값 F p값 ( 표준화 ) ( 상수 ) 1.911 22.270 0.000 개인정보 0.577 398.975 0.000 0.199 19.974 0.000 보안수준 (0.446) ( 상수 ) 1.714 19.716 0.000 개인정보보안수준 연구정보보안의식 0.515 17.688 0.000 (0.398) 0.166 8.614 0.000 (0.194) [ 표 21] 연구정보보안수준회귀분석결과 2 R 2 245.664 0.000 0.234 4.5.3.3 연구변수및측정항목다중회귀분석 모형 계수분산분석비표준화 t p값 F p값 R 2 각연구변수및측정항목이연구정보보안수준에미치는상대적인영향을파악하기위해정보보안전문성, 연구정보보안의식, 개인정보보안실천수준을독립변수로하고연구정보보안수준을종속변수로하여다중회귀분석을실시하였다. [ 표 20] 은단계선택 (stepwise) 방법을이용한다중회귀분석결과이다. 분산분석에서모든모형이 0.000 의유의확률을가지기때문에데이터에적합하다고할수있으며 2가지의회귀모형 ( 모형1, 모형2) 이제시되었다. 정보보안전문성은회귀식에진입하지못하여정보보안전문성이연구정보보안수준에영향을미치지못하고있음을알수있다. 이러한결과는 4.5.3.2 연구변수및측정항목상관관계분석에서정보보안전문성과연구정보보안수준의상관계수분석결과와일치한다. 이에대한해석으로는정보보안전문성향상이연구정보보안수준향상에미치는영향자체가없다기보다는전문성이있다하더라도연구정보보안수준향상을위한보안요구사항들을실천하지않고있다고해석해야옳을것이다. 다음으로개인정보보안실천수준측정항목 (ACT1 ~ ACT8) 을독립변수로하고연구정보보안수준을종속변수로하여회귀분석을실시하였다 [ 표 21]. 분산분석에서모든모형이 0.000 의유의확률을가지므로데이터에적합하다. 회귀모형에서 ACT6( 사용중인보안솔루션 ) 은탈락하였고 7개의모형이선택되었다. 모형1 ~ 7까지 R 2 값이낮은수준이기는하나모형을가장잘설명하는순으로측정항목을나열하면 ACT4( 보조기억매체자료보호대책 ), ACT8(PC 개인방화벽사용 ), ACT2( 화면보호기설정 ), ACT5 1 2 3 4 5 6 7 ( 상수 ) 2.342 26.381 0.000 205.4840.0000.113 ACT4 0.275 14.335 0.000 ( 상수 ) 2.090 22.984 0.000 ACT4 0.242 12.700 0.000 149.1530.0000.157 ACT8 0.139 9.078 0.000 ( 상수 ) 2.023 22.418 0.000 ACT4 0.216 11.205 0.000 117.4900.0000.180 ACT8 0.123 8.068 0.000 ACT2 0.074 6.770 0.000 ( 상수 ) 1.901 20.697 0.000 ACT4 0.192 9.823 0.000 ACT8 0.108 6.984 0.000 98.050 0.0000.196 ACT2 0.069 6.299 0.000 ACT5 0.097 5.723 0.000 ( 상수 ) 1.853 20.055 0.000 ACT4 0.193 9.954 0.000 ACT8 0.093 5.918 0.000 ACT2 0.063 5.782 0.000 81.850 0.0000.203 ACT5 0.086 5.055 0.000 ACT7 0.071 3.728 0.000 ( 상수 ) 1.613 14.259 0.000 ACT4 0.183 9.333 0.000 ACT8 0.085 5.332 0.000 ACT2 0.060 5.455 0.000 70.950 0.0000.210 ACT5 0.082 4.791 0.000 ACT7 0.070 3.713 0.000 ACT1 0.078 3.648 0.000 ( 상수 ) 1.592 14.078 0.000 ACT4 0.174 8.821 0.000 ACT8 0.082 5.178 0.000 ACT2 0.044 3.616 0.000 ACT5 0.077 4.512 0.000 62.521 0.0000.215 ACT7 0.064 3.386 0.000 ACT1 0.078 3.657 0.000 ACT3 0.050 3.106 0.000

情報保護學會論文誌 (2010. 4) 105 ( 하드디스크폐기방법 ) 등의순이다. ACT7( 보안패치및백신 S/W 활용도 ), ACT1( 비밀번호변경주기 ), ACT3(PC 비밀번호설정 ) 는회귀식에진입하였으나모형을설명하는데있어기여도가매우낮다. 그러므로연구정보보안수준은보조기억매체자료보호대책, PC 개인방화벽사용, 화면보호기설정과더큰인과관계가있다고할수있다. 특히, 보조기억매체를통한연구자료외부유출을예방하는것이연구정보보안향상에대한상대적기여도가높은것으로분석되었다. V. 연구정보보안향상방안 5장에서는 4장설문결과및연구가설검증ㆍ분석 결과를바탕으로도출된문제점에대한관리적, 기술적, 물리적측면의연구정보보안향상방안을제안한다 [ 표 22]. 5.1 연구정보보안의식과관리적방안설문및상관관계ㆍ다중회귀분석결과, 정보보안전문성에비해연구정보보안의식이낮은것으로나타나정보보안전문성향상을위한보안지식교육과는별개로보안의식개선을위한방안이요구된다. 또한, 설문응답자의 89% 는소속연구실및본인의연구정보가중요하다고평가하면서도 73% 는기본적인보안관리만필요하거나보안관리가전혀필요없다는상반된반응을나타냈다. 그러므로연구정보를보호하기 [ 표 22] 연구정보보안향상방안 문제점 정보보안전문성대비연구정보보안의식수준낮음 인지수준대비보안실천수준낮음 전임교원의보안수준낮음 연구실연구정보관리절차부재함 교육 보안의식개선 - 연구정보보안필요성 - 정보보안인식제고프로그램 정보보안생활화교육 - 비밀번호설정 - 비밀번호주기적변경 - 화면보호기설정 - 보안패치 - 백신업데이트 - 연구정보백업 보안지식개선 - 하드디스크폐기 - 보조기억매체자료보호 전임교원교육프로그램 - 역할과책임 - 연구정보관리 - 연구원관리 전임교원교육 - 책임및의무 - 연구정보관리절차 보안관리자교육 - 책임및의무 - 연구정보관리절차 관리적방안 규정 개선방안 연구실보안규정 - 정보보안책임과위반시처벌규정 - 대학보안부서차원의연구실보안감사, 보안점검 연구책임자의의무사항 - 연구실및연구원관리책임 연구실보안규정과보안가이드라인 - 보안관리자지정 - 연구정보관리 - 출입자통제 - PC 관리 - 보조기억매체관리 - 이메일ㆍ메신저관리 - 연구정보백업 - 퇴직자관리 - 인쇄물관리 기술적방안 보안솔루션도입 - 하드디스크폐기 - 보조기억매체자료보호 - 연구정보백업 - 보안 USB - 보안 S/W 패키지화 - 보안 S/W 자동설치 연구실보안솔루션 - 문서유출방지체계중심의보안솔루션구축 - 문서파쇄기활용 물리적방안 물리적보안강화 - CCTV, 전자적잠금장치등출입자통제장치설치

106 보안인지및실천현황분석을통한대학연구정보보안수준제고방안 위해보안은언제나필수불가결하다는인식을제고시킬필요가있으며이를위해보안대책부재로인한연구정보유출위험을강조하고연구정보보안의필요성을지각할수있도록정보보안인식제고프로그램을시행하는방안이요구된다. 5.2 보안실천수준개선과관리적ㆍ기술적ㆍ물리적방안응답자의정보보안인지수준과보안실천수준사이에괴리가발견되었다. 즉, 응답자가인지하는연구정보보안수준은상대적으로높은반면, 연구정보보안실천수준은낮은것으로분석되었다. 보안실천수준을향상시키기위해관리적, 기술적, 물리적방안이요구되며관리적방안으로는첫째, 정보보안을생활화ㆍ습관화하여보안실천수준을개선해야한다. 비밀번호설정및주기적변경, 화면보호기설정등은대부분의응답자가해야한다는사실을알고있으면서도하지않는사항이므로정기ㆍ수시보안교육, 전자메일홍보, 보안포스터등반복교육을통해습관화되도록해야한다. 이외에도관련전문지식이부족해서실천하지않는경우를고려할수있다. 하드디스크폐기, 보조기억매체자료보호미흡등이대표적인경우인데이러한경우는잔존데이터를완전히삭제하지않을경우하드디스크에저장되어있는자료가유출되거나보조기억매체자료보호대책이부재하여발생하는위험을이해하고자발적인실천을유도하기위해보안기술교육에주력해야한다. 다음으로연구실보안규정을정비해야한다. 연구정보보안실천수준이낮은이유는강제하는규정또는지침이없기때문이기도하다. 정보보안책임, 위반시처벌규정을구체화하고보안규정이조기에정착될수있도록필요시대학차원에서보안감사나보안지도를시행한다면실천수준이향상될것이다. 기술적방안역시연구정보보안향상을위해필수적인사항이다. 하드디스크폐기, 보조기억매체자료보호대책, 보안업데이트, 연구정보백업등은교육을통해서도효과가있으나자기소거장치, 보안 USB, PMS, 백업솔루션등보안솔루션을연구실에지원하면더욱효과적이다. 연구정보백업에대한설문문항에서연구정보를백업한다는응답자 68% 중수동백업하는경우가 52% 로조사되었는데자동화된백업솔루션이지원된다면실천수준이큰폭으로향상될것이다. 보조기억매체자료보호대책에관한질문에서보안 USB 사용률이 7% 밖에되지않았는데보 안담당부서에서보안 USB 사용을확대하는정책을시행한다면보조기억매체자료보호수준향상이가능하다. 또한, 백신 S/W나윈도우처럼사용률이높은 S/W에함께포함되어있는 PC 개인방화벽의사용률이높았는데백신 S/W에보안프로그램을패키지화해서제공하거나백신 S/W 설치또는대학인터넷포털접속시필수보안 S/W가 PC에자동으로설치되도록한다면사용률을높일수있다. 이외에도물리적보안분야역시개선이필요한분야로나타났음은주지의사실이다. 특히, 외부인출입이빈번한대학시설은물리적보안강화가반드시필요하므로연구실ㆍ연구소출입통제를위한전자적출입통제장치와 CCTV 설치ㆍ운영에관심을갖고투자해야한다. 5.3 전임교원의보안수준개선과관리적방안직원, 연구원, 대학원생에비해전임교원의보안수준이낮은것으로나타났다. 대학연구정보를관리하는최종책임자인전임교원의보안수준이가장낮은것은매우심각한문제이다. 연구실, 연구소등의전반적인관리자역할을수행하고있는전임교원의보안수준이낮다면연구원, 대학원생, 직원등의보안수준역시적절히관리되지않을수있기때문이다. 전임교원을대상으로하는별도의보안교육프로그램이요구되는데특히, 연구실정보보안업무, 연구정보및연구원관리등에대한역할과책임등의보안교육이수반되어야하며이와더불어연구책임자의의무사항이규정에반영되어강제성이부과되어야한다. 5.4 연구실연구정보관리절차개선과관리적ㆍ기술적방안대학정보보안의주대상이되는연구실다수가연구정보관리절차가부재한것이가장큰문제였다. 연구실연구정보관리에관한규정이부재하기때문에그어떠한통제도없이연구원개별적으로연구정보를관리하고있어임의로자료유출이가능한것으로조사되었다. 89% 가본인의연구정보보안수준이보통이하이고 71% 가연구실에보안담당자가없으며연구원에대한주기적인보안교육이없다고응답하였다. 그러므로보안담당자지정, 연구정보관리, 출입자통제, PCㆍ보조기억매체관리, 이메일ㆍ메신저관리, 연구정보백업, 퇴직자관리, 인쇄물관리등에대한

情報保護學會論文誌 (2010. 4) 107 사항을연구정보관리규정에반영하고연구실에공통으로적용할수있는보안가이드라인을제시해야한다. 또한, 연구실의최종책임자인전임교원과연구실보안관리자를대상으로연구정보보안책임및의무, 연구정보보안관리절차를교육하여연구실보안규정, 보안가이드라인을준수하도록유도해야한다. 마지막으로대학차원에서연구실내부자료유출을통제할수있는보안솔루션도입이검토되어야할것이다. VI. 결론대학은과학기술연구의핵심기관으로연구정보보안을위한체계적인노력이요구되나정보보안측면에서적지않은문제점이발견되어보안수준향상을위한투자가시급히요구되는것으로나타났다. 특히, 연구실보안관리절차가부재하고전임교원의보안수준이낮다는점은대학이국가연구개발을이끌어가는전초기지이면서도연구정보보안투자에는얼마나무관심한가를여실히보여주고있다. 이제부터라도대학차원에서연구정보보안의중요성을인식하고연구정보보안향상을위한투자에집중해야할때다. 다만, 본연구는특정대학교의구성원을대상으로설문조사가이루어졌기때문에타대학과는조사결과에있어일정부분차이가발생할수있다. 따라서연구결과를전체대학으로일반화하는데다소무리가있을수있으나타대학의경우에도대학연구정보보안정책을수립하는데있어본연구결과를참고한다면많은도움이되리라생각한다. 또한, 본논문에서는단과대학별연구정보보안수준을비교하고순위를평가하여이공계대학에비해비이공계대학의연구정보보안수준이낮다는결론을도출하였으나각대학별ㆍ구성원별로세분화된연구정보보안실태분석이이루어지지는않았다. 따라서향후연구과제로각대학별구성원의보안수준을분석하고해당대학의실정에맞는맞춤형보안지원방안에대한연구가필요할것이다. 추가로, 본논문에서제시한연구정보보안향상방안을적용한후대학구성원의보안의식및보안실천수준을재분석하여보안수준개선추이를파악하거나타종합대학과도연계하여대학별정보보안수준을상호비교할수있도록설문조사결과를지수화하고공통설문조사를시행한다면보다일반화된연구결과를얻을수있을것이다. 참고문헌 [1] 연합뉴스, 1천만명정보유출돈노린내부자소행, 2008년 9월. [2] 연합뉴스, < 연합시론 > 기술유출범국가적대응필요하다, 2008년 8월. [3] 국가정보원, 대학산업기술보호매뉴얼, 2007 년 8월. [4] G.V. Post and A. Kagan, Evaluating information security tradeoff: restricting access can interfere with user tasks, Computers & Security, vol. 26, no. 3, pp. 229-237, May. 2007. [5] ISACA, CISA review manual, Dec. 2008. [6] S.M. Lee and Y.R. Kim, An empirical study of the relationships among end-user information systems acceptance, training, and effectiveness, Journal of Management Information Systems, vol. 12, no. 2, pp. 189-202, Jan. 1995. [7] D.L. Goodhue and D.W. Straub, Security concerns of system users: a study of perception of the adequacy of security, Information & Management, vol. 20, no. 1, pp. 13-27, Jan. 1991. [8] 임채호, 효과적인정보보호인식제고방안, 정보보호학회지, 16(2), pp. 30-36, 2006년 4월. [9] 방송통신위원회, 2008년정보보호실태조사결과, 2009년 2월. [10] 국가정보원, 2009 국가정보보호백서, 2009년 4월. [11] 방송통신위원회, 방송통신위원회고시제2008-11호정보보호관리체계인증등에관한고시, 2008년 5월. [12] ISO, ISO/IEC 13335-1:2004, 2004. [13] 한국정보화진흥원, 정보보호가이드북, 2003 년 4월. [14] 국가사이버안전센터, 정보보호생활수칙, 2008 년. [15] S. Harris, CISSP certification all-in-one exam guide, McGraw-Hill Osborne Media, Nov. 2007. [16] 김종기, 강다연, 패스워드의정보시스템보안효과에영향을미치는요인에관한연구, 경영정보학연구, 18(4), pp. 1-26, 2008년 12월.

108 보안인지및실천현황분석을통한대학연구정보보안수준제고방안 [17] 서울대학교중앙전산원, 서울대학교정보보안현황및대책에관한연구, pp. 102-139, 2009년 6월. [18] P. Gutmann, Secure deletion of data from magnetic and solid-state memory, 6th USENIX Security Symposium, pp. 77-90, July. 1996. [19] S. Garfinkel and A. Shelat, Remembrance of data passed: a study of disk sanitization practices, IEEE Security & Privacy, pp. 17-27, Feb. 2003. [20] 서의훈, SPSS 12.0 한글판을이용한 SPSS 통계분석, 자유아카데미, 2005년 9월. [21] 최현철, 사회통계방법론 (SPSS/PC WINDOWS 12.0), 나남, 2007년 7월. < 著者紹介 > 박일형 (Il-hyung Park) 학생회원 2001 년 3 월 : 공군사관학교전산과학과졸업 2009 년 3 월 ~ 현재 : 서울대학교전기ㆍ컴퓨터공학부석사과정 < 관심분야 > 정보보호기술, 컴퓨터ㆍ네트워크보안 김성우 (Seong-woo Kim) 학생회원 2005 년 8 월 : 고려대학교전자공학과졸업 2007 년 8 월 : 고려대학교전자컴퓨터공학부석사 2007 년 9 월 ~ 현재 : 서울대학교전기ㆍ컴퓨터공학부박사과정 < 관심분야 > 내부자보안, 자원최적화, 제어통신망 서승우 (Seung-woo Seo) 정회원 1987 년 2 월 : 서울대학교전기공학과졸업 1989 년 2 월 : 서울대학교전기공학과석사 1993 년 12 월 : 미국펜실베니아주립대학전기공학박사 1993 년 ~1994 년 : 미국펜실베니아주립대학컴퓨터공학과조교수 1996 년 ~ 현재 : 서울대학교전기ㆍ컴퓨터공학부교수 < 관심분야 > 컴퓨터ㆍ네트워크보안, 무선ㆍ센서네트워크, 보안경제학

2024 © docsplayer.org 개인정보보호 | 약관 | 지원