지방자치단체의 정보보호서비스 대가 산정 모델 적용 성과 분석 및 개선 방안

Abstract

초연결 ICT융합기술과 서비스가 발전하면서 보안위협의 양상이 기존 개인을 대상으로 한 개인정보 유출이나 단순한 금전 탈취 수준을 넘어 국가나 지방자치 단체, 공공기관 등을 대상으로 한 사이버 공격이 늘어나고 있다. 국내외적으로 많은 기관에서는 각종 침해사고를 능동적이고 선제적으로 예방하기 위해 다양한 정보보호 관리체계 제도를 도입하여 운영하고 있다. 하지만, 시군구 단위의 지방 자치단체인 경우 정보보호를 위한 자발적인 관심과 노력이 낮고 침해사고가 발 생할 당시에만 정보보호에 관심을 갖고 그에 따른 예산을 편성하기에 급급하여 속출하는 사이버 공격의 위협에 효과적으로 대응하지 못하고 있는 실정이다. 이 러한 산업 전반에 뿌리박힌 정보보호에 대한 낮은 인식과 적용, 전문 인력 부족 등의 고질적인 정보보호 생태계에 대한 체질을 개선하고 선순환 구조를 조성하 고자 과학기술정보통신부가 2015년에 정보보호 산업 진흥에 관한 법률을 제정하 였다. 이 법률에는 정보보호업체가 공공기관이 도입한 정보보호제품 및 정보보호 서비스에 대한 품질 향상을 위하여 정보보호서비스 대가 산정체계를 도입하였고, 이들 기관에서는 제공받고 있는 정보보호서비스에 대해 적정한 대가를 지불할 수 있도록 하였지만, 이 제도를 도입한 기관은 그리 많지 않다. 본 논문은 정보보호서비스 대가 산정체계를 도입하여 운영 중인 기관의 사례 분석 및 이용자 대상으로 정보보호서비스 제공과 관련하여 적정한 정보보호서비 스 대가 산정 모델 적용에 대해 세밀하게 분석하여 조직의 정보보호성과에 어떠 한 영향을 미치는지 실증을 위해 기존 문헌을 중심으로 선행연구 조사와 도입기 관의 사례분석을 통해 연구모형과 연구가설을 도출하였고, 가설검증을 위한 자료 를 수집하기 위하여 설문조사를 실시하였다. 설문조사는 정보보호서비스 대가 산 정 모델 도입 기관의 정보보호 및 정보화담당자를 비롯한 정보화담당부서 공무 원들과 이 기관을 대상으로 한 정보화 및 정보보호 관련 프로젝트를 수행하거나 수행한 경험이 있는 제주지역 ICT업체를 대상으로 실시하였으며, 수집된 자료를 바탕으로 다중회귀분석방법을 이용하여 가설검증을 하였다. 정보보호서비스 대 가 산정 모델과 정보보호성과에 미치는 영향에 대한 실증 분석결과를 살펴보면, 정보보호서비스 품질은 정보보호성과에 긍정적인 영향을 부분적으로 미치고 있 음이 확인되었으며, 정보보호서비스에 대한 적정한 비용 산정을 위한 정보보호서 비스 대가 산정 모델 적용은 정보보호서비스 품질 향상에 긍정적인 영향을 부분 적으로 미치고 있음이 확인되었다. 또한, 정보보호서비스 대가 산정 모델을 기 관에 도입하여 이에 따른 적용이 정보보호성과에 긍정적인 영향을 부분적으로 미치고 있음이 확인되었다. 정보보호서비스 대가 산정 모델이 국가 및 공공기관 에 정착되려면, 현재 정보보호 산업 진흥에 관한 법률에 정보보호서비스 대가 산 정 체계를 도입할 수 있다고 권고수준에서 명시한 조항을 '국가 및 공공기관에서 는 반드시 반영하여야 한다.'고 강제성을 부여하도록 개정할 필요가 있으며, 국가 및 공공기관이 정보보호서비스 대가 산정 모델 도입을 자발적으로 유도하기 위 한 '정보보호 적용 인센티브'를 마련할 필요가 있다. 본 논문은 지방자치단체의 정보보호서비스 대가 산정 모델 도입이 정보보호성 과에 미치는 영향에 관해서 실증연구와 현행 정보보호서비스 대가 산정 모델의 문제점과 개선방안을 도출했다는 점에서 기존 연구와 다른 관점에서의 연구이며, 향후 정보보호서비스 대가 산정 모델 도입을 검토하는 국가 및 공공기관이나 공 공과 정보보안 산업과의 상생할 수 있는 건전한 정보보호 산업의 생태계 조성과 관련된 정책 수립 시 유용한 참고자료로서 활용될 수 있는데 의미를 갖게 될 것 으로 기대된다.