Research on ways to improve major learning through analysis of domestic and international information security education courses

국내외 정보보안 교육과정 분석을 통한 전공학습 개선방안에 관한연구

Abstract

In the era of the Fourth Industrial Revolution (4IR), in the rapidly changing knowledge information society with cloud computing, big data, and smart platforms based on existing information and communication technology, security threats are also developing in an intelligent form using social engineering technology. Security threats, such as information infringement and continuous failure of information systems, have emerged as serious problems that affect individuals, companies, society, and even nations, and fundamental countermeasures to deal with them are urgently needed. Technical approaches to deal with such security threats include the construction of information security systems, security control, and infringement incident analysis, and it is necessary to secure global competitiveness through the training of professional human resources for information protection through a social approach. Therefore, this study proposes theoretical and practical major learning curriculum for training security professionals at universities in response to the importance of information security in the era of the Fourth Industrial Revolution.

4차 산업혁명(4IR; Fourth Industrial Revolution) 시대 기존의 정보통신기술을 바탕으로 Cloud Computing, Bic Data, Smart Platform 등 급변하는 지식정보사회에서 보안 위협의 형태도 사회공학적 기법 등을 활용한 지능적 형태로 발전하고 있다. 보안 위협은 정보에 대한 침해, 정보 시스템의 지속적 장애 등으로 개인, 기업, 사회 더 나아가 국가로 확장되는 심각한 문제로 대두되면서 이를 대응하기 위한 근본적 대책 마련이 시급한 실정이다. 이러한 보안 위협을 대응하기 위한 기술적 접근으로 정보보안 시스템의 구축, 보안 관제, 침해사고 분석 등이 있고, 사회적 접근으로 정보보호를 위한 전문인력양성을 통한 글로벌 경쟁력을 확보할 필요가 있다. 따라서 본 연구에서는 4차 산업혁명시대 정보보안의 중요성에 대한 대학의 보안 전문 인력양성을 위한 이론 및 실무적 전공학습 교육과정 개선방안에 대하여 제안한다.

1. 서론

4차 산업혁명(4IR; Fourth Industrial Revolution) 시대 기존의 정보통신기술을 바탕으로 Cloud Computing, Bic Data, Smart Platform 등 급변하는 지식정보사회에서 보안 위협의 형태도 사회공학적 기법 등을 활용한 지능적 형태로 발전하고 있다.

보안 위협은 정보에 대한 침해, 정보 시스템의 지속적 장애 등으로 개인, 기업, 사회 더 나아가 국가로 확장되는 심각한 문제로 대두되면서 이를 대응하기 위한 근본적 대책 마련이 시급한 실정이다.

정보에 대한 침해의 경우 시장경제의 지속적인 발전 및 IT(Information Technology) 기술의 급격한 발달 등으로 인해 개인정보 침해로 인한 피해가 확산되고 규모도 대형화되고 있는 실정이다. 개인 침해는 나아가 기업의 정보 또는 서비스에 대한 신뢰도 및 기업의 이미지를 훼손하고 집단적 손해배상 시 기업 경영에 큰 타격을 미치게 된다. 국가적 측면에서는 IT 산업의 걸림돌이 되며 전자정부의 신뢰도 및 국가 브랜드 하락을 야기하게 된다[1].

정보 시스템의 지속적 장애의 대표적 보안 위협인 DDoS(Distributes Denial of Service) 공격은 분산 서비스 거부 공격으로 웹 사이트나 어플리케이션과 같은 대상 시스템의 가용성에 악영향을 미치도록 대량의 비정상 트래픽을 전송하는 공격으로 해당 공격을 미리 탐지하고 예방하는 기술이 명확하지 않아 그 피해가 심각한 실정이다[2].

이러한 보안 위협을 대응하기 위한 기술적 접근으로 정보보안 시스템의 구축, 보안 관제, 침해사고 분석 등이 있고, 사회적 접근으로 정보보호를 위한 전문 인력양성을 통한 글로벌 경쟁력을 확보할 필요가 있다.

따라서 본 연구에서는 4차 산업혁명시대 정보보안의 중요성에 대한 대학의 보안 전문 인력양성을 위한 이론 및 실무적 전공학습 교육과정 개선방안에 대하여 제안한다.

2. 관련 연구

2.1 국내 정보보안 관련 분류체계

국내 정보보안 분류체계는 산업현장의 직무를 바탕으로 산업체에서 필요로 하는 직무역량을 바탕으로 한국정보보호산업협회의 정보보안 제품 및 서비스 분류, 인터넷진흥원의 정보보안 직무체계, 국가직무능력표준(NCS)을 조사하였다.

2.1.1 한국정보보호산업협회

한국정보보호산업협회의 정보보안 제품 및 서비스 분류는 <표 1>과 같다.

<표 1> 2022년 정보보안 제품 및 서비스 분류[3]

정보보안 제품(솔루션)에 대한 중분류의 세부내용은 다음과 같다.

가. 네트워크보안 솔루션은 인가되지 않은 노출, 변경, 파괴로부터 네트워크, 네트워크 서비스, 네트워크상의 정보보호를 의미하며 암호화, 전자서명, 접근 통제, 데이터 무결성, 인증 교환 등의 보안 메커니즘을 활용한 정보보안 시스템으로 (웹) 방화벽, 침입 방지시스템, DDoS 대응, 가상사설망, 네트워크 접근제어, 무선 네트워크 보안 네트워크 위협 탐지 및 대응, 망분리, 데스크톱 가상화 등이 해당된다.

나. 엔드포인트보안 소류선은 네트워크와 연결된 최종적 IT기기 및 단말의 보안성을 유지하여 외부 공격에 대응하기 위한 솔루션으로 컨텐츠 악성코드 무해화 기술, 엔드포인트 위협 탐지 및 대응, 악성코드/랜섬웨어 대응, ATP 대응, 모바일 단말 보안 등이 해당된다.

다. 플랫폼보안/보안관리 솔루션은 여러 위협을 분석 및 대응할 수 있도록 다양한 보안 솔루션을 하나의 플랫폼으로 운영하여 보안성을 유지하기 위한 솔류션으로 서버 접근 통제, 취약점분석시스템, 위협관리시스템, 패치관리시스템, 디지털포렌식시스템, SOAR (Security Orchestration, Automation and Response), XDR(eXtended Detection and Response), TI(Threat Intelligence) 등이 해당된다.

라. 클라우드보안 솔류션은 클라우드 시스템을 보호하기 위한 각종 기술 및 관리적 수단, 솔루션 등을 포함한 시스템으로 클라우드 워크로드 보안, 클라우드 보안 형상관리, CASB (Cloud Access Security Broker), SASE (SD-WAN), 가상화 관리 등이 해당된다.

마. 컨텐츠/데이터 보안 솔류션은 디지털콘텐츠 불법 복제 및 유통 방지를 위한 기술적 관리적 수단이나 내부 기밀 정보의 유출 탐지 및 차단 기능을 제공하는 시스템으로 네트워크 DLP, 디지털저작권관리, 보안USB, DB보안(접근통제)/ DB암호, 인쇄물 보안, 메일 보안 솔루션, 개인정보 비식별화 솔루션, 문서중앙화 솔류션, 완전삭제 솔류션 등이 해당된다.

바. 공통인프라보안 솔류션은 암호, 인증, 접근제어, 로그관리, 백업 등을 포괄하는 보안 솔루션을 말하며 사용자 인증, 통하계정관리, 싱글사인온, 통합접근관리, 공개키기반 구조, 차세대 인증, 통합보안관제스템, 로그관리 및 분석시스템, 백업 및 복구관리시스템, 이상거래탐지시스템, 키관리 시스템 등이 해당된다.

또한 정보보안 관련 서비스에 대한 중분류 세부내용은 다음과 같다.

가. 보안 컨설팅은 조직의 목적을 달성하는데 전산시스템과 네트워크 등 IT 자산과 조직에 일어날 수 있는 위험을 분석하고 대책을 수립하는 서비스로 정보보호 평가/인증, 정보감사, 개인정보보보호컨설팅, 진단 및 모의해킹, 기반시설보호컨설팅, 보안SI(System Integration), 기타 보안컨설팅 등이 해당된다.

나. 보안시스템 유지관리/보안성 지속 서비스는 보안시스템 유지관리, 보안성 지속 서비스가 해당된다.

다. 보안관제 서비스는 MSS(Managed Security Service)로 IT자원 및 보아시스템에 대한 운영 및 관리를 전문적인 아웃소싱하여 각종 침해위협으로부터 실시간 감시 및 분석, 대응하는 서비스로, 원격관제 서비스, 파견관제 서비스가 해당된다.

라. 보안교육 및 훈련 서비스는 정보보안에 대한 다양한 교육훈련 프로그램을 통해 전문성을 강화시키는 서비스를 말한다.

마. 보안인증 서비스는 통신망을 통하여 컨퓨터에 접속하는 사용자가 등록되어 있는 정당한 사용자인지의 여부를 신뢰할 수 있는 방법으로 보안인증하는 서비스를 말한다.

2.1.2 한국인터넷진흥원

인터넷 진흥원의 정보보안 분류체계는 <표 2>와 같이 정보보안 분류체계는 전략 및 계획, 마케팅 및 여업, 연구개발 및 구현, 교육 및 훈련, 관리 및 운영, 사고 대응, 평가 및 인증 7개의 직무군을 기준으로 17개의 세부 직무로 분류하였다.

<표 2> 인터넷진흥원 정보보안 분류체계[4]

2.1.3 국가직무능력표준

국가직무능력표준의 정보보안 분야의 분류기준은 <표 3> 과 같다.

<표 3> 국가직무능력 표준 정보보안 분류[5]

국가직무능력표준의 대분류 기준 정보통신 하위 정보기술 이외에 통신기술의 능력단위 중에서도 정보보안 기본 선수과목으로 활용되는 내용들이 포함되어 있으며, 본 연구에서는 정보 기술 하위 소분류 및 세분류 기준의 능력단위를 참조하였다.

2.2 국외 정보보안 분류 체계

국외 정보보안 분류 체계를 조사하기 위해 신뢰성 있는 미국의 NICE(National Initiative for Cybersecurity Education의 Workforce Framework의 기준을 참조하였다. Workforce Framework의 분류는 사이버보안 업무와 관련 기술을 분류하였고 요구되는 직무 역량별로 체계화 하였다.

Workforce Framework의 분류는 7개 분야 31개의 세부적인 전문 영역으로 제시하고 있으며 공격 및 대응적 관점에서 기술되어 있다[6][7].

<표 4> Education Classification System in NICE Cyber Security[6]

3. 제안하는 방법

3.1 ADDIE 모형

교육 과정 개발의 모델 중 ADDIE 모형은 (그림 1)과 같이 분석(Analysis), 설계(Design), 개발(Development), 실행(Implementation), 평가(Evaluation)의 단계로 구성된다.

(그림 1) ADDIE 모델

분석 단계에서는 기존의 정보보안 교육과정과 정보보안 분류체계 등을 기반으로 4차 산업혁명시대에 요구되는 실무적 직무를 기반으로 설계 및 개발 후 전문가들의 의견 수렴을 통한 실행과정을 거쳐 최종적으로 개선된 전공학습의 효과를 평가하게 된다.

3.2 분석 단계

분석 단계에서는 2장 관련연구를 통해 정보보안 분류체계를 한국정보보호산업협회의 정보보안 제품 및 서비스 분류, 인터넷진흥원의 정보보안 직무체계, 국가직무능력표준(NCS)과 <표 5>의 정보보안 전문인력 양성을 위한 교육과정을 바탕으로 분석하였다.

<표 5> 정보보안 전문인력 양성 교육과정

3.3 설계 단계

설계단계는 <표 6>과 같이 전공학습에 대한 직무 목표를 설정하고 수행 목표를 기반으로 수행 준거를 설계하고 질적 관리를 위한 방안과 수행 준거 기반의 평가도구(사전 검사, 학습증진도 검사, 사후검사)를 개발하게 된다.

<표 6> 설계단계 직무 목표 설정

3.4 개발 단계

전공학습에 대한 설계 단계에서 만들어진 명세서를 기반으로 실무적 전공학습 교육과정을 개발하게 된다.

4차 산업혁명 시대 정보보안 분야의 보안 이슈를 기반으로 실무에서 필요한 수행능력을 행정적, 제도적, 재정적 지원을 고려하여 개발한다.

교육과정 개발 시 (그림 2)와 같은 카테고리를 바탕으로 프로그램을 직무에 맞게 할당하여 균형있는 개발 해야 한다.

(그림 2) 교육과정 개발 구성

교육과정 개발 후 학습 평가는 궁극적으로 교육과정의 효과성과 피드백을 목적으로 수행되며 지필, 관찰, 면접, 포트폴리오 평가 등을 활용하게 된다.

3.5 실행 단계

실행단계는 개발된 교육과정을 실제 수업에 적용하고 질적 관리를 하는 단계로 개발단계에서 고려된 필요한 지원을 바탕으로 수행하게 된다. 실기 교육과 프로젝트 실무 교육의 경우 시설, 기자재, 인적자원 등이 제반되어야 한다.

또한 전문가의 의견을 수렴하여 교육과정에 대한 지속적인 유지관리를 통해 교육의 질을 향상시킬 필요가 있다.

3.6 평가 단계

실제 수업에서 진행된 전공학습 교육과정의 효과성과 효율성을 평가하여 해당 교육과정의 지속적 운영 여부 및 문제점 보완 등을 결정하게 된다.

4. 결론

4차 산업혁명(4IR; Fourth Industrial Revolution) 시대 핵심 기술을 바탕으로 한 지식정보사회에서 보안 위협의 형태도 지능적이면서 첨단화된 형태로 발전하고 있다.

이러한 보안 위협은 개인뿐만 아니라 나아가 국가적 문제로 대두되면서 이를 대응하기 기술적 접근과 사회적 접근을 통한 근본적 대책 마련이 시급한 실정이다. 기술적 접근으로 시스템 인프라 구축을 통한 대응과 보안 전문 인력양성을 위한 사회적 접근으로 본 연구에서는 4차 산업혁명시대 정보보안의 중요성에 대한 대학의 보안 전문 인력양성을 위한 이론 및 실무적 전공학습 교육과정 개선방안에 대하여 연구하였다.

전공학습 개선을 위한 기법으로 ADDIE 모델을 기반으로 분석 단계에서는 기존의 정보보안 교육과정과 정보보안 분류체계 등을 기반으로 4차 산업혁명시대에 요구되는 실무적 직무를 기반으로 설계 및 개발 후 전문가들의 의견 수렴을 통한 실행과정을 거쳐 최종적으로 개선된 전공학습의 효과를 평가하게 된다.

분석 단계에서는 2장 관련연구를 통해 정보보안 전문인력 양성을 위한 교육과정을 바탕으로 분석하고 설계단계는 전공학습에 대한 직무 목표를 설정하고 수행 목표를 기반으로 수행 준거를 설계하고 질적 관리를 위한 방안과 수행 준거 기반의 평가도구를 개발하게 된다. 이후 전공학습에 대한 설계 단계에서 만들어진 명세서를 기반으로 실무적 전공학습 교육과정을 개발하게 된다.

실행단계는 개발된 교육과정을 실제 수업에 적용하고 질적 관리를 하는 단계로 개발단계에서 고려된 필요한 지원을 바탕으로 수행하게 된다. 실기 교육과 프로젝트 실무 교육의 경우 시설, 기자재, 인적자원 등이 제반되어야 한다.

마지막으로 평가단계에서는 전공학습 교육과정의 효과성과 효율성을 평가하여 해당 교육과정의 지속적 운영 여부 및 문제점 보완 등을 결정하게 된다.

따라서 본 연구에서는 정보보안 교육과정 분석을 통한 전공학습 개선방안을 제시하였다. 이를 통해 4차 산업혁명 시대 핵심 기술의 발전에 따른 보안위협에 대응할 수 있는 실무역량을 제고할 수 있다.