<머리말>
현재 우리가 살아가고 있는 4차 산업혁명 시대에는 거의 대부분의 정보를 디지털화하고 사물(시설·장치)이 네트워크로 연결돼 있기에 기본적으로 모든 정보와 모든 사물이 해킹에 노출돼 있는 실정이다. 만약 연결된 정보망에 사이버 공격이나 침입을 통해 정보를 탈취한다면 안전과 안보 위협은 물론 다양한 문제를 야기할 수 있는 바, 성공적인 4차 산업혁명 시대를 이끌어 가기 위해 정보보안이 가장 중요한 요소로 등장하고 있다.
따라서, 초연결 사회에서 공공부문과 민간부문 모두 정보보안의 중요성은 아무리 강조해도 지나치지 않다. 특히, 공공부문의 경우 각종 정보보안 관련 법·제도를 마련하고 조정하며 집행하는 역할을 하기에 4차 산업혁명 시대에 그 역할이 더 중요하게 떠오르는 것이 현실이다. 또한, 효과적인 정보보안 체계를 구축하고 유지하기 위해서는 공공부문과 민간부문 모두 구성 기관들 및 구성원 간 긴밀한 협치(governance)가 필수적이다.
2000년대 이후 각 학문 분야에서 거버넌스의 중요성이 부각돼 왔고, 정보보안의 경우에도 지금보다 더 효과적이고 효율적인 거버넌스의 체계의 구축과 유지가 필수적인 시대다. 그럼에도 불구하고 아직 정보보안과 공공부문 정보보안 거버넌스를 소개한 체계적인 입문서가 존재하지 않기에, 이 책은 그 역할이 중요한 공공부문 정보보안 거버넌스 입문서로서 도움을 주는 데 일차적 목적이 있다.
연구 목적을 달성하기 위해 1장에서는 정보보안과 정보보안 거버넌스 개념을 소개하고, 아직 체계가 잡히지 않은 이 분야의 선행연구들을 간단히 소개한다. 2장에서는 공공부문의 구성과 공공부문의 정보보안 거버넌스 중요성을 기술한다. 3장에서는 우리나라 정보보안 관련 법체계와 현황을 소개하고, 4장에서는 정보보안 관련 주요 기관과 역할을 설명한다. 5장에서는 우리나라 정보보호 관리체계 및 정보보안 진단 현황과 실태를 소개한다. 6장에서는 미국을 비롯한 주요국의 정보보안 현황 및 실태를 고찰하고, 7장에서는 주요 공공부문 분야별 정보보안 현황과 실태를 짚어본다. 8장에서는 공공부문 주요 정보보안 유출 및 침해 사례를 소개하고, 9장에서는 공공부문 정보보안 법·제도와 거버넌스 문제점을 지적하고 개선 방안을 제시한다.
과학기술의 눈부신 발전과 함께 해킹 등 정보 침입 및 침해 기술도 급속히 발전하고 있는데, 공공부문의 정보보안 거버넌스 구축을 위한 현황, 문제점, 개선 방안을 도출한 이 책은 공공부문과 민간부문 정보보안을 공부하는 연구자들과 학생들에게 중요한 입문서 역할을 할 것으로 기대한다.
공공부문의 보안과 보안 거버넌스가 다소 생소한 현재, 인하대학교 대학원 산업보안거버넌스학과에서 공공부문 정보보안 거버넌스론 강의를 준비하면서 틈틈이 모은 자료들을 함께 정리하고 집필한 윤대현, 노성철 씨에게도 감사하며, 아직은 불모지인 이 분야에 이 책이 향후 주춧돌과 같은 역할을 할 수 있기를 소망한다.
2021년 3월
저자 일동
<차례>
제1장 정보보안과 정보보안 거버넌스······································19
제1절 정보보안·················································20
1. 보안의 개념 / 20
2. 정보의 개념 / 22
3. 정보보안의 개념 / 22
4. 정보보안의 필요성 / 26
제2절 정보보안 거버넌스· ··········································27
1. 정보보안 거버넌스의 개념 / 27
2. 정보보안 거버넌스 프레임워크 / 28
3. 정보보안 거버넌스 구현 요건 / 30
4. 정보보안 거버넌스 구축 필요성 / 32
제3절 정보보안 거버넌스 관련 연구·····································34
1. 해외 연구 / 34
2. 국내 연구 / 36
제4절 이 책의 특징 및 내용··········································39
제2장 공공부문 현황 및 공공부문 정보보안의 중요성···························41
제1절 공공부문의 정의·············································41
1. 국민경제의 구성 / 42
2. 공공부문의 개념 / 42
3. 우리나라 공공부문 현황 / 47
4. 준정부조직 / 52
제2절 우리나라 공공부문 인력 및 예산 현황·······························55
1. 정부 / 55
2. 중앙정부 공공기관 / 59
3. 지방 공공기관 / 61
4. 우리나라 공공부문 규모 / 64
제3절 공공부문의 정보보안 중요성· ····································67
1. 시장실패와 정부 / 67
2. 정부실패와 바람직한 정부의 역할 / 67
3. 국가 존립과 국민 보호를 위한 공공부문 정보보안 거버넌스의 중요성 / 68
제3장 정보보안 관련 법체계 및 현황· ·····································71
제1절 국내 정보보안 관련 법체계 개요 및 발전 과정·························· 71
1. 국내 정보보안 관련 법체계 개요 / 71
2. 우리나라 정보보호 법제도 발전 과정 / 73
제2절 정보보호 추진체계 관련 법령·····································82
1. 국가사이버안전관리규정(공공부문 정보보호 추진체계) / 82
2. 정보통신망 이용 촉진 및 정보보호 등에 관한 법률(민간부문 정보보호 추진체계) / 84
3. 정보통신기반보호법(주요 정보통신기반 정보보호 추진체계) / 86
4. 정보보호산업의 진흥에 관한 법률 / 87
5. 전자정부법 / 89
6. 전자금융거래법 / 90
7. 중소기업기술 보호 지원에 관한 법률 / 91
8. 의료법 / 92
제3절 정보보호 관련 법·제도의 제정 목적 및 기능별 분류· ·····················92
1. 정보통신망 및 정보 시스템의 안전한 이용 관련 법령 / 93
2. 침해행위의 처벌 관련 법령 / 93
3. 국가기밀 보호 및 중요 정보 해외 유출 방지 관련 법령 / 94
4. 정보보호 여건 구축 관련 법 / 94
5. 개인정보 보호 관련 법령 / 95
제4장 정보보안 관련 주요 기관과 역할···································· 97
제1절 국가기관·················································97
1. 청와대 국가안보실 / 98
2. 국가정보원 / 99
3. 과학기술정보통신부 / 101
4. 행정안전부 / 104
5. 방송통신위원회 / 106
6. 금융위원회 / 107
7. 개인정보보호위원회 / 110
8. 외교부 / 111
제2절 전문기관· ··············································· 111
1. 한국인터넷진흥원 / 112
2. 국가보안기술연구소 / 114
3. 금융보안원 / 116
4. 한국지역정보개발원 / 118
5. 한국전자통신연구원 / 120
제3절 민간단체· ··············································· 123
1. 협회 / 123
2. 학회 / 126
제5장 우리나라 정보보호 관리체계 및 정보보안 진단 현황 및 실태················129
제1절 정보보호 관리체계 개요· ······································ 130
1. ISMS와 PDCA(Plan, Do, Check, Act) 모델 / 131
2. ISO 27000 시리즈 / 132
3. 국내 표준 / 133
제2절 우리나라 정보보호 및 개인정보 보호 관리체계의 변천사··················· 133
1. 국내 정보보호 관리체계 변천사 / 135
2. 현행 ‘정보보호 및 개인정보 보호 관리체계(ISMS-P)’ 개요 / 138
3. 정보보호 등급제 / 143
제3절 민간부문 정보보호 인증체계 및 공공부문 정보보호 안전진단제도· ············ 147
1. 민간부문 정보보호 인증제도: 정보보호 및 개인정보 보호 관리체계(ISMS-P) / 147
2. 공공부문 정보보호 안전진단제도: ‘정보보안 관리실태 평가’ / 160
제6장 주요국의 공공부문 정보보안 현황, 실태 및 법체계· ······················ 167
제1절 미국· ·················································· 168
1. 미국의 사이버보안 추진체계 / 168
2. 미국의 사이버보안 전략 / 172
3. 미국의 정보보안 법체계 / 175
4. 시사점 / 178
제2절 영국· ·················································· 179
1. 영국의 사이버보안 추진체계 / 179
2. 영국의 사이버보안 전략 / 184
3. 영국의 정보보안 법체계 / 186
4. 시사점 / 187
제3절 일본· ·················································· 189
1. 일본의 사이버보안 추진체계 / 189
2. 일본의 사이버보안 전략 / 192
3. 일본의 정보보안 법체계 / 193
4. 시사점 / 195
제4절 중국· ·················································· 196
1. 중국의 사이버보안 추진체계 / 196
2. 중국의 사이버보안 전략 / 199
3. 중국의 정보보안 법체계 / 201
4. 시사점 / 205
제5절 독일· ··················································206
1. 독일의 사이버보안 체계 / 206
2. 독일의 사이버보안 전략 / 209
3. 독일의 정보보안 법체계 / 211
4. 시사점 / 212
제7장 공공부문 주요 분야별 정보보안 현황 및 실태···························215
제1절 정부 사이버보안············································ 215
1. 정부 사이버보안 개요 / 215
2. 국가 사이버보안 현황 / 217
3. 관련 기관 및 역할 / 218
4. 정부 사이버보안 관련 법·제도 / 222
제2절 방위산업 보안············································· 225
1. 방위산업 보안 개요 / 225
2. 방위산업 보안 현황 / 226
3. 방위산업 기술 보호 / 227
4. 방위산업 보안 관련 기관 및 역할 / 229
5. 방위산업 관련 법·제도 / 231
제3절 원자력 사이버보안· ········································· 232
1. 원자력 사이버보안 개요 / 232
2. 원자력 사이버보안 현황 / 233
3. 원자력 사이버보안 관련 기관 및 역할 / 236
4. 원자력 사이버 보안 관련 법·제도 / 238
제4절 연구개발(R&D) 보안·········································· 239
1. 연구보안 개요 / 239
2. 연구보안 현황 / 241
3. 연구보안 관련 기관 및 역할 / 243
4. 연구보안 관련 법·제도 / 245
제5절 금융보안· ···············································248
1. 금융보안 개요 / 248
2. 금융보안 현황 / 249
3. 금융보안 관련 기관 및 역할 / 251
4. 금융보안 관련 법·제도 / 256
제6절 개인정보 보호· ············································ 258
1. 개인정보 보호 개요 / 258
2. 개인정보 보호 현황 / 259
3. 개인정보 보호 관련 기관 및 역할 / 262
4. 개인정보 보호 관련 법·제도 / 264
제8장 공공부문 정보보안 유출 및 침해 사고 사례· ··························· 271
제1절 공공부문 정보보안 유출 및 침해사고 유형 개요························· 272
1. 정보통신망 침해 및 이용에 관한 범죄 유형별 분류 / 272
2. 사이버 공격 유형별 분류 / 273
3. 국내 주요 사이버 공격 연혁 / 277
제2절 국가 사이버 정보망 전반······································ 278
1. 3·20 공공기관, 금융권, 방송사 전산망 마비 사건 / 278
2. 6·25 청와대 및 공공기관 사이버 테러 사건 / 280
3. 북한 해킹 조직의 국가 공공기관 PC 악성 코드 감염 / 282
제3절 외교/국방···············································284
1. 국방과학연구소 퇴직 연구원 군사 기밀 유출 사건 / 284
2. 국방망(인트라넷) 해킹 사고 / 286
제4절 경제/과학··············································· 288
1. 한국수력원자력 사이버 테러 사건 / 288
2. 한국에너지기술연구원 연구비 송금 계좌 해킹 사건 / 290
제5절 사회/문화··············································· 292
1. 평창동계올림픽 운영위원회 해킹 사건 / 292
2. 서울시 체육회 및 26개 자치구 체육회 홈페이지 해킹 사건 / 293
제6절 기타· ·················································· 295
1. 심재철 의원 한국재정정보원 비인가 자료 유출 사건 / 295
2. 경북하나센터 PC 해킹, 탈북이탈주민 개인정보 유출 / 298
제7절 주요 사이버 공격 사례 요약····································300
제9장 공공부문 정보보안 법·제도와 거버넌스 문제점 및 발전 방안·············· 305
제1절 법·제도적 측면············································ 305
1. 법·제도적 측면의 문제점 / 306
2. 법·제도적 측면의 개선 방안 / 311
제2절 조직적 측면· ············································· 317
1. 조직적 측면의 문제점 / 317
2. 조직적 측면의 개선 방안 / 322
제3절 정책적 측면· ············································· 327
1. 정책적 측면의 문제점 / 327
2. 정책적 측면의 개선 방안 / 338
제4절 거버넌스 측면············································· 347
1. 거버넌스 측면의 문제점 / 347
2. 거버넌스 측면의 개선 방안 / 350
제5절 사회적 측면· ············································· 353
1. 사회적 측면 혹은 기타 문제점 / 353
2. 사회적 측면 혹은 기타 개선 방안 / 355
<저자 소개>
정창훈
미국 조지아대학교(University of Georgia) (행정학 박사)
미국 텍사스대학교(University of Texas as Austin), LBJ School of Public Affairs(행정학 석사)
(현) 인하대학교 행정학과 교수/ 대학원 산업보안거버넌스전공 교수
(전) 미국 어번대학교(Auburn University), Department of Political Science 부교수
(전) 한국정부회계학회 회장
윤대현
계명대학교 경영학과 졸업(학사)
(현) 인하대학교 대학원 산업보안거버넌스전공 석사과정
(전) 수도방위사령부 1방공여단 방공소대장(육군 중위 예편)
노성철
인하대학교 행정학과 졸업(학사)
(현) 인하대학교 대학원 산업보안거버넌스전공 석사과정