Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

Designing Readiness Requirements for Cyber Resilience in Critical Information Infrastructure Protection

주요정보통신기반시설 대상의 사이버 회복력 준비도 요건 설계 연구

  • 이상태 (중앙대학교 일반대학원 융합보안학과 ) ;
  • 박지혜 (중앙대학교 일반대학원 융합보안학과 ) ;
  • 장항배 (중앙대학교 산업보안학과 ) ;
  • 지윤석 (중앙대학교 일반대학원 융합보안학과)
  • Received : 2025.01.21
  • Accepted : 2025.03.10
  • Published : 2025.03.31
Download PDF
⟨ Previous Next ⟩

Abstract

As digital transformation and the Fourth Industrial Revolution accelerate, Critical Information Infrastructure Protection (CIIP) faces increasingly sophisticated cyber threats, highlighting the need for Cyber Resilience. This study designs readiness requirements tailored to the nation's CIIP by integrating international standards with local environmental factors. It systematically structures key elements based on the cyber resilience life cycle (anticipate, withstand, recover, adapt) and defines governance, threat detection, recovery, and continuous operation requirements. Expert focus group interviews (FGI) qualitatively validate the applicability of these requirements, particularly incorporating availability-centered strategies to address complex threats. The findings confirm that the designed framework enhances proactive prevention, rapid recovery, sustainable operations, and adaptability to evolving threats. This research provides a structured model for strengthening cyber resilience, contributing to both policymaking and practical implementation for protecting CIIP.

디지털 전환과 4차 산업혁명의 가속화로 주요정보통신기반시설이 점점 더 정교하고 복합적인 사이버 위협에 직면함에 따라, 이에 효과적으로 대응할 수 있는 사이버 회복력(Cyber Resilience)의 중요성이 강조되고 있다. 본 연구는 국내 주요정보통신기반시설에 적합한 사이버 회복력 준비도 요건(Readiness Requirements)을 설계하고, 국제적 표준과 국내 환경을 종합적으로 반영하여 실질적인 적용 모델을 설계하는 것을 목표로 한다. 이를 위해 사이버 회복력 생명주기(예측, 지속, 복구, 적응)를 기반으로 핵심 요소를 체계화하였으며, 주요정보통신기반시설의 특수성을 고려한 거버넌스, 위협 탐지, 복구 및 지속 운영 등의 요건을 설계하였다. 또한, 전문가 심층 인터뷰(FGI)를 통해 정성적 방법으로 설계된 준비도 요건의 적용 가능성을 확인하였으며, 특히 가용성을 중심으로 한 복합적 위협 대응 방안을 포함하여 주요정보통신기반시설의 연속성과 복원력을 강화하는 방향으로 연구를 수행하였다. 연구 결과, 설계된 준비도 요건은 사이버 위협에 대한 사전 예방, 신속한 복구, 지속 가능한 운영, 그리고 변화하는 환경에 대한 적응 역량을 향상시킬 수 있다는 점이 확인되었다. 본 연구는 사이버 회복력 강화를 위한 체계적 모델을 설계함으로써, 국내 주요정보통신기반시설 보호 정책 수립과 실무적 적용에 기여할 수 있을 것으로 기대된다.

Keywords

1. 서론

1.1 연구 배경

디지털 전환이 가속화되면서 4차 산업혁명은 디지털 기술을 산업과 사회의 핵심 동력으로 자리 잡게 하였으며, 이에 따라 국가 기반 시설에서도 디지털 기술의 활용이 필수적으로 요구되고 있다. 그러나 디지털 기술의 확산은 동시에 새로운 보안 위협을 초래하고 있으며, 특히 주요정보통신기반시설을 대상으로 한 사이버 공격은 점차 지능화되고 다양화되는 양상을 보이고 있다 [1]. 이에 따라, 단순한 보안 대응을 넘어 사이버 위협에 효과적으로 대응하고 빠르게 복구할 수 있는 사이버 회복력(Cyber Resilience)의 개념이 점점 더 중요해지고 있다.

국제적으로는 ISO/IEC 27001 및 NIST(National Institute of Standards and Technology)의 사이버보안 프레임워크(Cybersecurity Framework, CSF)를 비롯하여 다양한 사이버 회복력 관련 규정과 표준이 마련되어 있다. 그러나 국내의 경우, 사이버 회복력에 대한 명확한 기준과 표준이 아직 확립되지 않은 초기 단계에 머물러 있으며, 이에 대한 연구가 미흡한 실정이다 [2]. 일부, 한국인터넷진흥원(KISA) 등 주요 기관에서는 사이버 회복력의 중요성을 인식하고, 표준 마련을 위한 기초 연구와 정책 개발을 활발히 추진하고 있으나, 이러한 노력에도 불구하고 아직까지 체계적인 가이드라인과 실질적인 적용 사례는 부족한 상황이다 [3].

이러한 배경에서 본 연구는 국내 주요정보통신기반시설을 대상으로 사이버 회복력의 개념을 정립하고, 사이버 회복력 강화를 위한 준비도 요건(Readiness Requirements)을 설계하는 데 초점을 둔다. 이를 통해 국가 주요시설의 보안 체계를 보다 공고히 하고, 지속 가능한 사이버 환경을 구축하는 데 기여하고자 한다.

1.2 연구 목적 및 방법

본 연구는 주요정보통신기반시설의 사이버 회복력(Cyber Resilience) 강화를 위해 준비도 요건을 설계하고, 실질적인 적용 모델을 제시하는 것을 목표로 한다. 국내에서는 통합적 사이버 회복력 표준이 부재하여 산업별 개별 대응이 이루어지고 있으며, 이에 따라 주요정보통신기반시설을 포괄하는 체계적인 준비도 요건이 요구된다. 이를 위해 본 연구는 국제 표준과 국내 환경을 반영하여 거버넌스, 위협 탐지, 복구 및 지속 운영 등의 핵심 요소를 포함한 준비도 요건을 설계하고, 전문가 검토를 통해 실효성을 평가하여 최적화된 모델을 제시한다.

연구 방법은 문헌 분석, 국내외 사이버 회복력 가이드라인 및 평가지표 분석, 준비도 구성 요소 설계, 전문가 검증으로 구성된다. 먼저, 사이버 회복력 관련 개념과 국제적 지침(ISO/IEC 27001, NIST CSF, PFMI 등)을 분석하여 핵심 요소를 도출한다. 이후, 이를 기반으로 국내 주요정보통신기반시설에 적합한 준비도 요건을 체계적으로 설계하고, 정보보안 연구자 및 실무 전문가를 대상으로 심층 인터뷰(FGI)를 실시하여 현실적 적용 가능성을 평가한다. 최종적으로 전문가 피드백을 반영하여 준비도 요건을 최적화하고, 국내 주요정보통신기반시설의 사이버 회복력 강화를 위한 실질적인 프레임워크를 제시한다.

SOBTCQ_2025_v25n1_69_2_f0001.png 이미지

(그림 1) 연구 절차

2. 이론적 배경

2.1 주요정보통신기반시설

주요정보통신기반시설(Critical Information Infrastructure Protection, CIIP)은 2000년대 이후 정보통신기술의 급격한 발전으로 인해 행정, 금융, 에너지, 방송통신 등 주요 국가 기반시설이 정보통신 인프라에 대한 의존도가 크게 증가한 상황에서 대두된 개념이다. 이러한 의존도의 심화와 함께 해킹, 악성코드 유포, 분산 서비스 거부 공격(Distributed Denial of Service, DDoS) 등 전자적 침해 행위가 새로운 위협 요소로 부각되면서, 이에 대응하기 위한 범정부적 체계의 필요성이 강조되었다. 이에 따라 2001년 제정된 「정보통신기반 보호법」은 주요정보통신기반시설을 국가적 차원에서 보호하기 위한 제도적 기반을 마련하였다 [4].

<표 1> 관계 법령: 정보통신기반 보호법 제2조(정의)

SOBTCQ_2025_v25n1_69_3_t0001.png 이미지

국가적 차원에서 정보자산과 인프라를 보호하기 위해 업무 중요성, 국가적 의존도, 시설 간 연계성, 그리고 침해사고 발생 시 예상 피해 규모 등을 기준으로 주요정보통신기반시설이 지정된다 [5]. 이러한 지정은 사이버 안보와 회복력 강화를 통해 정교화되는 사이버 위협 환경에서 국가와 경제사회의 안정성을 유지하고, 지속 가능한 복원력을 확보하기 위한 핵심적인 관리체계의 일환으로 이루어진다. 특히, 최근 공공 및 민간 부문에서 지정된 시설 수의 지속적인 증가는 전자적 침해 행위로 인한 위협의 확산과 주요정보통신 기반시설이 사이버 회복력 및 안보 체계의 중심으로 자리 잡고 있음을 시사한다.

<표 2> 연도별(5개년) 주요정보통신기반시설 지정 현황

SOBTCQ_2025_v25n1_69_3_t0002.png 이미지

이러한 주요정보통신기반시설의 보호는 정보통신기술 발전 시대에서 국가적 안전과 지속 가능한 경제사회를 보장하는 핵심적 요소로 평가되고 있다.

2.2 사이버 회복력

사이버 회복력(Cyber Resilience)은 고도화된 사이버 위협 환경에서도 시스템과 서비스의 핵심 기능을 유지하고, 공격이나 사고 발생 시 피해를 최소화하며 신속히 정상 상태로 복구하는 능력을 의미한다. 이는 단순한 방어적 접근을 넘어 지속 가능한 운영 환경을 보장하고, 미래의 위협에 대비해 적응하는 능력까지 포함하는 개념으로 발전해왔다. 특히 조직 차원에서 사이버 위협을 효과적으로 수용하고 대응 전략을 수립함으로써 시스템과 서비스의 연속성을 유지하는 것이 핵심이며, 이를 통해 궁극적으로 조직의 전략적 발전을 도모하는 필수 요소로 자리 잡고 있다. 이러한 중요성이 부각되면서 국내에서는 한국인터넷진흥원을 중심으로 사이버 회복력의 체계적 정립을 위한 연구와 정책 개발이 활발히 이루어지고 있으며, 특히 한국인터넷진흥원에서는 ‘사이버 복원력 정책 이슈 분석 및 시사점’ 보고서를 통해 국가 핵심 기반시설의 복원력을 강화하고, 국내 환경에 적합한 사이버 회복력 준비도 요건을 설계하며 법적·제도적 기반 마련의 필요성을 강조하고 있다 [3].

또한, 국내에서는 산업별 특성을 반영한 사이버 회복력 지침이 적용되고 있으며, 금융 분야에서는 PFMI 기반 한국은행의 「사이버 복원력 평가지침서」이, 선박 및 해양 분야에서는 국제선급협회(IACS) 규정을 반영한 한국선급(KR)의 「선박 및 시스템의 사이버 복원력 지침」을 통해 시스템 회복 계획과 보안 요건을 규정하고 있다 [6, 7].

그러나 이러한 지침이 특정 산업에 국한되어 있다는 점에서, 국내 주요시설 전반의 사이버 회복력을 높이기 위한 통합적이고 범용적인 사이버 회복력 표준의 정립이 시급한 과제로 남아 있다.

2.3 준비도 요건

준비도(Readiness)는 특정 행동이나 과업을 성공적으로 수행할 수 있는 상태를 의미하며, 이는 개인적, 환경적, 제도적 요인들의 복합적 준비를 포함하는 개념이다. 연구 문헌에서는 준비도가 학습 성과와 환경 적응에 미치는 중요성을 강조하며, 이를 구성하는 언어적, 인지적, 사회적·정서적, 신체적 요인 등 다양한 하위 요소를 정의하고 있다 [8]. 이러한 준비도는 새로운 환경에서의 원활한 적응과 성공적인 전이를 지원하는 데 중추적인 역할을 한다. 이러한 전통적 준비도 개념은 사이버 회복력 도입을 위한 준비도 설계에서도 중요한 기반이 되며, 기술적 요인과 관리적 요인의 균형 있는 통합이 필요하다.

사이버 회복력을 정착시키기 위한 준비도는 기술적 요인과 관리적 요인의 체계적 분석과 설계가 요구된다. 본 연구는 이러한 사이버 회복력의 효과적인 정착을 위해 준비도 요건을 식별하고, 국내 사이버 환경에 적합한 준비도 설계 방안을 제시하고자 한다. 이를 통해 국가적 차원의 사이버 안보 체계를 더욱 체계적이고 지속 가능하게 발전시키는 데 기여하고자 한다.

3. 사이버 회복력 구축을 위한 준비도 요건 설계

3.1 사이버 회복력 구성 요소 분석

주요정보통신기반시설 기반의 사이버 회복력 준비도 설계를 위해, 본 연구는 국제 및 국내 주요 표준과 지침에서 사용되는 구성 요소들을 분석하였다. 또한, 포괄적 프레임워크, 법적·정책적 규제, 평가 체계 및 진단 도구, 인프라 회복력 중심 지침, 특정 산업 지침으로 분류하고, 각 지침에서 정의된 핵심 요소를 정리하였다.

<표 3> 사이버 회복력 핵심 구성 요소

SOBTCQ_2025_v25n1_69_4_t0001.png 이미지

3.1.1 포괄적 사이버 회복력 프레임워크

NIST CSF 2.0은 조직의 사이버보안 관리를 위한 포괄적 프레임워크를 제시하며, 주요 기능으로 "Govern(지배구조), Identify(식별), Protect(보호), Detect(탐지), Respond(대응), Recover(복구)"의 6가지 영역으로 구성된다 [9].

NIST SP 800-160 Volume 2는 사이버 회복력을 "Anticipate(예측), Withstand(지속), Recover(복구), Adapt(적응)"이라는 4가지 주요 원칙으로 정의하며, 시스템 보안 공학 관점에서 지속 가능하고 진화 가능한 시스템 설계 요건을 제시한다 [10].

3.1.2 국제적 법적·정책적 규제

CRA는 디지털 제품 및 서비스 보안 강화를 목적으로 하며, 주요 인프라 회복력 증대와 제조업체 및 서비스 제공자의 책임 명확화를 통해 사이버보안 환경을 강화한다 [11].

PFMI는 금융시장 인프라의 안정성과 복원력을 지원하기 위해 "Governance(거버넌스), Identification(식별), Protection(보호), Detection(탐지), Recovery(복구), Testing(테스트), Situational Awareness(상황인지), Learning and Evolving(학습 및 발전)"의 다각적인 요소를 포함한 프레임워크를 제공한다 [12].

IACS의 UR E26, E27은 국제해사기구(IMO)의 규제 및 지침을 기반으로 한 선박과 시스템의 사이버 회복력으로, 선박의 안전성과 데이터 보호를 보장하기 위해 기술적, 조직적, 절차적 조치를 통합적으로 고려하며, 식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)의 전 주기를 포함하는 접근 방식을 채택하고 있다 [13].

3.1.3 평가 체계와 자발적 진단 도구

CRR은 미국 CISA가 제공하는 자발적 평가 도구로, 조직의 사이버보안 상태를 "Asset Management(자산 관리), Controls Management(통제 관리), Configuration and Change Management(구성 및 변경 관리), Vulnerability Management(취약점 관리), Incident Management(사고 관리), Service Continuity Management(서비스 연속성 관리)"의 10가지 평가 항목을 통해 강점과 약점을 분석한다 [14].

CRI는 세계경제포럼에서 제시한 지수로, "Cultivate a Culture of Resilience(회복력 문화 조성), Regularly Assess and Prioritize Cyber Risk(사이버 위험의 정기적 평가 및 우선순위 지정), Establish and Maintain Core Security Fundamentals(핵심 보안 기본 요소 수립 및 유지), Incorporate Cyber-Resilience Governance into Business Strategy(사이버 회복력 거버넌스를 비즈니스 전략에 통합), Encourage Systemic Resilience and Collaboration(시스템적 회복력과 협력 장려)"의 5가지 평가지표를 활용하여 조직의 사이버 회복력 문화를 조성하고, 위험 평가 및 보안 기본 요소 수립을 통해 사이버 회복력을 지원한다 [15].

3.1.4 인프라 회복력 중심 지침

IRPF는 미국 CISA에서 제공하는 지침으로, "Lay the Foundation(기초 마련), Identify Critical Infrastructure(중요 인프라 식별), Assess Risk(위험 평가), Develop Actions(조치 개발), Implement & Evaluate(실행 및 평가)"의 5단계를 중심으로 인프라 회복력을 강화한다 [16].

3.1.5 특정 산업 초점 국내 지침

한국은행 사이버복원력 평가지침서는 금융 시스템의 회복력을 평가하기 위해 "지배구조, 식별, 보호, 탐지, 대응 및 복구, 테스트, 상황인지, 학습 및 발전"의 8가지 항목을 제시하여 국내 금융권의 복원력을 강화하고 있다 [6].

한국선급 선박 및 시스템 사이버복원력 지침은 국제선급협회(IACS)가 제정한 "선박 사이버 복원력 공통 규칙(UR E26, E27)"을 기반으로 2024년 설계되었으며, 해운 및 조선업 분야에 특화된 사이버 복원력 지침을 제공한다. 특히, 선박 시스템의 복구 계획과 보안 요건을 "식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)"라는 5가지 핵심 요소로 정의하고 있으며, 선박 및 관련 시스템이 사이버 위협에 효과적으로 대응하고, 안정성을 유지할 수 있도록 설계되었다 [7].

3.1.6 정리 및 분석

본 연구에서 분석한 주요 국제 및 국내 사이버 회복력 지침과 표준은 식별(Identification), 보호(Protection), 탐지(Detection), 대응(Response), 복구(Recovery)라는 핵심 사이클을 중심으로, 대부분의 지침이 이러한 기본 요소를 공통적으로 포함하며, 그 구조와 접근 방식에서 높은 유사성을 보인다. 여기에 거버넌스(Governance), 상황인지(Situational Awareness), 테스트(Testing), 학습 및 발전(Learning and Evolving)과 같은 관리 및 개선 요소가 추가되어, 지속적인 보안 강화와 체계적인 사이버 위협 대응을 지원하는 공통적인 구조를 보인다.

지침마다 산업 및 환경별 차이가 존재하지만, 기본적인 접근 방식에는 유사성이 확인된다. NIST CSF 2.0과 SP 800-160은 포괄적인 프레임워크를 제공하며, PFMI는 금융 인프라의 복원력 강화를 위한 구체적 지침을 제시한다. CRA는 디지털 제품과 서비스의 보안 강화를 목표로 하며, IRPF는 공공 및 민간 부문 협력을 통한 인프라 보호와 회복력 강화에 초점을 맞춘다. CRR은 조직의 사이버보안 역량을 진단하고 개선하는 평가 도구로 활용되며, IACS UR E26과 E27은 해운 및 조선 산업을 위한 특화된 사이버 회복력 기준을 제시한다.

이러한 지침들은 공통적으로 사이버 위협 발생 시 피해를 최소화하고, 시스템 및 서비스의 연속성을 유지하며, 복구 후 지속적인 개선을 유도하는 체계를 제공한다. 따라서 사이버 회복력을 효과적으로 구축하기 위해서는 산업별 특성을 반영하면서도 공통된 핵심 요소를 기반으로 한 유연한 프레임워크가 필요하다. 또한, 최신 사이버 위협 환경의 복잡성을 반영하여 조직이 거버넌스, 위협 대응, 복구, 학습 및 개선을 통합적으로 관리할 수 있는 체계적 접근 방식을 채택해야 함을 확인할 수 있다.

3.2 준비도 요건 설계

주요정보통신기반시설은 국가와 경제의 근간을 이루는 중요한 자산으로, 이러한 시설의 안정성과 연속성을 보장하기 위해 실질적인 준비도 요건의 수립이 요구된다. 본 장에서는 이러한 주요정보통신기반시설의 특성을 반영하여 사이버 위협 대응 및 회복력을 강화하기 위한 준비도 요건을 설계하는 데 중점을 둔다.

본 연구에서 설계하는 준비도 요건은 국제 표준과 국내 지침을 통합한 체계적 접근 방식으로, 다양한 사이버 회복력 지침의 기반이 된 PFMI에서, 주요 구성요소인 거버넌스(Governance), 식별(Identification), 보호(Protection), 탐지(Detection), 복구(Recovery), 테스트(Testing), 상황인지(Situational Awareness), 학습 및 발전(Learning and Evolving)을 반영하여 준비도 요건의 기본 틀을 설정하였다.

또한, PFMI의 구성 요소를 NIST SP 800-160, Volume 2에서 제시하는 사이버 회복력 생명주기 원칙인 예측(Anticipate), 지속(Withstand), 복구(Recover), 적응(Adapt)과 상호 연결하여 생명주기 흐름에 맞게 본 준비도 요건의 기능을 재구성하여 체계를 강화하였다. 생명주기의 흐름은 주요정보통신기반시설이 사이버 위협을 사전에 식별하고, 효과적으로 대응하며, 사고 이후 신속히 복구하고, 변화하는 환경에 적응할 수 있도록 기능과 매핑하였으며, 특히, 생명주기적 접근은 주요 정보통신기반시설의 복잡성과 상호 연계성을 반영하여, 준비도 요건이 각 주요정보통신기반시설의 특수성에 맞게 조정될 수 있는 유연성을 제공한다.

추가적으로, 주요 인프라와 조직의 사이버 회복력을 평가하고, 위험 요소의 우선순위를 설정하기 위한 미국의 사이버 회복력 진단도구인 CRI를 교차분석하여 준비도 요건의 실효성을 강화하였다. 아울러, CRI에서 제시하는 주요 항목을 준비도 요건 설계에 반영함으로써, 국제적 표준과의 정합성을 확보하고 국내 주요정보통신기반시설에도 실질적으로 적용할 수 있는 지침을 제공하고자 하였다.

결론적으로, 본 연구에서 설계하는 준비도 요건은 PFMI의 핵심 구성 요소, NIST SP 800-160의 생명주기적 접근, 그리고 CRI의 실질적 평가지표를 통합하여 설계되었다. 이를 통해 주요정보통신기반시설이 사이버 위협에 대한 사전 대비와 신속한 복구, 지속적 운영 및 환경 변화에 대한 적응 역량을 갖추도록 지원하며, 국내 사이버 안보 체계의 강화와 지속 가능한 국가 기반 시설 운영에 기여할 수 있을 것이다.

<표 4> 주요정보통신기반시설의 사이버 회복력 준비도 요건 구성 설계

SOBTCQ_2025_v25n1_69_6_t0001.png 이미지

4. FGI를 통한 타당성 검토

4.1 심층 인터뷰 개요

본 연구에서는 주요정보통신기반시설의 사이버 회복력 준비도 요건 설계 항목의 타당성을 정성적으로 검증하기 위해 전문가 심층 인터뷰(Focus Group Interview, FGI)를 실시하였다. 사이버 회복력은 조직 관점에서 다양한 요소를 고려하여 종합적으로 평가되어야 하며, 다각적인 접근을 통해 설계된 준비도 요건이 실질적으로 적용 가능하도록 검토하는 것이 중요하다. 이를 위해 본 연구는 체계적인 준비도 요건을 설계한 후, 전문가 인터뷰와 설문조사를 병행하여 각 항목의 타당성을 검증하였다. 인터뷰 결과를 바탕으로 설계 요건의 개선 방안을 도출하였으며, 이를 통해 주요정보통신기반시설의 회복력 수준을 실질적으로 향상시키고자 하였다. 본 연구는 이러한 과정을 통해 사이버 회복력 강화를 위한 실효성 있는 기반을 마련하는 데 주력하였다.

4.2 전문가 구성

연구 수행을 위한 심층 인터뷰 대상자는 주요정보 통신기반시설과 사이버 회복력에 대한 심층적 이해와 풍부한 경험을 보유한 전문가를 대상으로 진행되었다. 선정된 전문가는 해당 분야에서 최소 15년 이상의 실무 및 연구 경력을 갖춘 정보통신 및 사이버보안 분야의 전문가들로, 정보통신기업 임직원, 공공기관 실무자, 그리고 대학교수를 포함한 7명으로 구성되었다. 이들은 주요정보통신기반시설 보호와 사이버 회복력에 대한 이해와 전문성을 기반으로 본 연구에 의견을 전달하였으며, 본 연구에 참여한 전문가에 대한 배경은 <표 5>과 같다.

<표 5> 심층 인터뷰 참여 전문가의 특성

SOBTCQ_2025_v25n1_69_8_t0001.png 이미지

4.3 조사 절차

조사 과정은 2024년 9월 3일부터 9월 8일까지 5일간 대면 방법과 비대면 방법인 전자우편을 병행하여 답변을 취합하였다.

4.4 타당성 검증을 통한 실증분석

본 연구에서는 설계된 주요정보통신기반시설의 사이버 회복력 준비도 구성요소 설계 항목의 타당성을 검증하기 위해 전문가 의견을 기반으로 실증분석을 수행하였다. 이를 위해 관련 분야의 실무자 및 학계 전문가를 대상으로 반구조화된 심층 인터뷰를 진행하였으며, 설계 항목이 주요정보통신기반시설의 특수성과 요구사항에 부합하는지 검토하였다.

인터뷰는 연구자가 사전에 준비한 질문서를 기반으로 구성되었으며, 설계된 구성요소가 사이버 회복력 강화를 위한 실질적인 기준으로 작동할 수 있는지에 대한 평가가 이루어졌다. 전문가들은 설계 항목의 현장 적용 가능성, 적합성, 그리고 구성요소 간 상호 연계성과 체계성의 반영 여부를 중점적으로 분석하였다. 또한, 사이버 회복력 생명주기의 각 단계(예측, 지속, 복구, 적응)에 따른 기능별 적합성을 검토하며, 설계 항목이 현실적인 운영 환경에서 요구되는 기준을 충족하는지 확인하였다. 또한, 인터뷰 과정에서는 현장 적용 시 예상되는 문제점과 장애 요인을 식별하고, 이에 대한 개선 방향을 논의하였다.

4.4.1 전문가 심층 인터뷰 결과

# 전문가 A

전문가 A는 연구의 평가 목표와 대상이 국가 수준이 아닌 임의의 조직이 사이버 회복력을 전제로 한다는 점에서, 회복력 점수 측정 방법과 회복력 관점에서만 평가할 수 있는 지표의 제시를 권고하였다. 또한, CIA 3요소(기밀성, 무결성, 가용성) 중 특히 정보통신기반시설에서 가용성이 가장 중요한 요소로 다루어져야 한다고 지적하였으며, 물리적 공격과 사이버 공격이 결합된 하이브리드 전쟁에 대비한 대처 방안과 취약점 수용을 기반으로 한 회복력 구성의 중요성을 강조하였다.

# 전문가 B

전문가 B는 전문가는 본 연구가 사이버 회복력의 개념과 용어를 체계적으로 분석한 점을 긍정적으로 평가하며, 특히 미국의 행정명령 EO 13636(Executive Order)이 연방정부의 사이버 회복력 관련 활동에 큰 영향을 미친다는 점을 지적하며, 이를 추가 분석하여 연구의 국제적 적용 가능성을 강화할 것을 제안하였다. 아울러 본 연구가 주요 기능과 사이버 회복력 목표를 생명주기로 정의하고 이를 확장하여, 세부 항목들이 다양한 관점에서 접근되도록 설계한 점도 높게 평가되었다.

# 전문가 C

전문가 C는 준비도 요건의 평가 대상을 기반시설 운영기관(조직)의 준비도로 한정할 것인지, 국가 회복력 준비도로 확장할 것인지 정의가 필요한 점을 제시하였다. 이에, 평가 대상에 적합한 구성요소와 항목이 유동성 없이 설계될 것을 제안하였다. 또한, 준비도 요건 설계에 그치지 않고, 설계된 방법을 적용하여 평가한 결과를 이후 연구에 반영하여 실증적 근거를 제시를 통해 확장하는 것을 제안하였다.

# 전문가 D

전문가 D는 주요정보통신기반시설의 특수성을 고려하여 사이버 회복력을 강화하기 위해 망 분리의 철저한 준수와 클린PC를 활용한 외부자료 반입 검증, 운용 전 시험을 통한 보안 취약점 제거의 중요성을 강조하였다. 특히, 제어망 프로토콜의 특수성은 제작사와의 협업을 통한 이상징후 조기 발견과 조치 체계를 마련의 필요성을 지적하였으며, 실제 침해사고 발생 시 백업 자료와 신속한 조치를 위한 정기 훈련의 중요성을 언급하였다. 이를 효과적으로 실행하기 위해 법적·제도적 지원과 함께, 공공기관 경영평가에서 기반시설 보호 항목의 비중을 높여 실행력을 강화할 것을 제안하였다.

# 전문가 E

전문가 E는 사이버 회복력 관리체계를 비즈니스 전략에 통합하고 전담 인력을 명확히 규정한 지배구조 항목과 잠재적 리스크 식별 및 최신 위협 분석 절차를 제시한 상황인지 항목이 공공기관의 복잡한 의사결정 구조와 적합하다고 평가하였다. 그러나 외부 협력체계 관리에서 발생할 수 있는 권한 분쟁과 책임 소재 문제를 구체적으로 다룰 필요성을 강조했으며, 테스트 항목에서는 비상사태 대응 훈련의 빈도와 규모에 대한 명확한 지침을 추가함으로써 현장 적용성을 증대시킬 것을 제안하였다.

# 전문가 F

전문가 F는 탐지 및 대응 항목에서 지속적인 모니터링 체계와 계층화된 탐지 능력의 설계가 정교화된 사이버 위협에 대한 실질적인 대안임을 언급하며, 긍정적으로 평가하였다. 또한, 목표복구시간(RTO)과 목표복구시점(RPO)이 기업의 지속적 운영과 신뢰성을 보장하는데 효과적이라고 평가하였다. 아울러, 이해관계자 간 역할과 책임의 구체적 정의를 통해 위기 상황에서의 복구 효율성을 높일 것을 논의하였다. 마지막으로, 중소기업을 위한 간소화된 프레임워크와 훈련 지침도 추가적으로 제안하였다.

# 전문가 G

전문가 G는 학습 및 발전 항목에서 실제 발생된 사건을 기반으로 한 교훈과 개선을 관리체계에 반영하고, 이를 지속적으로 평가하기 위한 측정지표를 포함한 점이 학술적 근거와 체계성을 갖추고 있다고 평가하였다. 또한, 지배구조와 보호 항목에서 체계적 리스크 관리와 조직화된 통제 방안이 이론적으로 적합하며 실질적인 효과를 기대할 수 있다고 평가하였다. 그러나 테스트 항목에서는 산업별 특수성을 반영한 시뮬레이션 모델과 다양한 시나리오 기반 훈련 사례를 추가할 필요성을 강조하며, 교육 항목에서도 사용자별 교육 내용의 정의와 평가 체계를 구체화할 것을 제안하였다.

<표 6> 전문가 심층 인터뷰 결과 요약

SOBTCQ_2025_v25n1_69_9_t0001.png 이미지

4.4.2 종합 결과

본 연구에서 설계한 주요정보통신기반시설의 사이버 회복력 준비도 요건은 전문가 심층 인터뷰와 함께 종합적으로 분석한 결과, 기존 사이버 회복력 지침에서 미처 다루지 못했던 영역을 효과적으로 보완하며, 다양한 구성요소를 통합한 모델로서 적합성과 타당성을 확인할 수 있었다. 연구에서 설계된 모형은 PFMI, NISTSP 800-160 Volume 2, CRI 등 주요 국제적 지침을 기반으로, 국내외 환경에 실질적으로 적용 가능한 준비도 요건을 제시하였다. 전문가들은 연구의 모형이 기존 지침과의 정합성을 유지하면서도, 주요정보통신기반시설의 특수성과 요구사항을 반영한 점을 긍정적으로 평가하였다.

특히, 연구에서 설계된 지표는 기존 방법론의 한계를 보완한 점에서 주목받았다. 망 분리, 외부 협력체계 관리, 하이브리드 전쟁과 같은 복합적인 위협에 대한 대응 방안 등, 가용성(A)을 중심으로 한 CIA 3요소의 중요성을 강조하였다. 또한, 사이버 회복력 생명주기(예측, 지속, 복구, 적응)와 연계하여 각 구성요소가 논리적으로 설계되었으며, 이러한 접근은 준비도 요건이 현장에서 실질적으로 적용 가능하도록 보완적이고 유연한 구조를 제공하였다.

아울러 전문가 심층 인터뷰를 통해 본 연구가 설계한 요건이 구성요소 간 상호 연계성을 강화하고, 기존의 사이버 회복력 평가 항목들을 충족하면서도 추가적인 기준을 제시한 점이 적합하다고 평가되었다. 특히, 연구에서 제시한 준비도 요건은 주요정보통신기반시설의 특수성과 상호 연계성을 고려하여, 기존 방법론에서 다루지 못한 측면을 체계적으로 보완하였고, 이를 통해 준비도 요건의 실효성을 높이고 현실적 적용 가능성을 확보하였다.

5. 결론 및 한계

본 연구는 주요정보통신기반시설의 사이버 회복력을 강화하기 위해 준비도 요건을 설계하고, 이를 기반으로 체계적이고 실효성 있는 모델을 제시하였다. 연구에서 도출된 사이버 회복력 준비도 요건은 PFMI, NIST SP800-160 Volume 2, CRI 등 국제적 지침과 국내 환경을 통합하여 설계되었으며, 주요정보통신기반시설의 특수성을 반영한 체계적인 접근을 통해 기존 지침에서 다루지 못했던 복합적 위협 요소를 보완하였다. 이러한 요건은 사이버 위협에 대한 사전 대비, 신속한 복구, 지속 가능한 운영 및 환경 변화에 적응할 수 있는 역량을 제공한다는 점에서 의의가 있다.

또한, 거버넌스, 식별, 보호, 탐지, 복구, 테스트, 상황인지, 학습 및 발전과 같은 사이버 회복력의 핵심 구성 요소를 정의하고, 이를 사이버 회복력 생명주기의 주요 단계인 예측, 지속, 복구, 적응에 상호 연결하여 설계하였다. 또한, 준비도 요건의 실효성을 높이기 위해 조직의 사이버 회복력 평가지표인 CRI의 점검 항목을 반영함으로써 국제적 표준과의 정합성을 강화하고, 국내 주요정보통신기반시설 환경에 적용 가능한 지침을 제시하였다.

전문가 심층 인터뷰와 실증분석을 통해 본 연구의 준비도 요건이 주요정보통신기반시설의 사이버 회복력 강화를 위한 적합성과 타당성을 확보하였다는 것을 확인할 수 있었다. 특히, 본 연구는 기존 방법론의 한계를 보완하고, 주요정보통신기반시설의 특수성과 복잡성을 반영한 구체적인 방향성을 제시함으로써, 현장에서의 실질적인 적용 가능성을 높였다는 점에서 긍정적으로 평가되었다.

다만, 본 연구에는 몇 가지 한계가 존재한다. 첫째, 설계된 준비도 요건의 세부 지표와 평가 항목에 대한 추가적인 실증적 검증이 요구된다. 연구에서 제시한 준비도 요건은 이론적 기반과 전문가 심층 인터뷰를 통해 설계되었으나, 각 기능별 세분류와 평가 항목 간의 상관관계를 통계적으로 검증하고, 요건의 내적 일관성과 신뢰성을 확보할 필요가 있다. 이를 위해, 제시된 구성도 요건에 대한 주요 기능의 타당성을 입증하기 위한 요인분석(Factor Analysis)이 권장된다. 특히, 탐색적 요인분석(Exploratory Factor Analysis, EFA)과 확인적 요인분석(Confirmatory Factor Analysis, CFA)을 통해 주요 기능의 구조적 적합성을 검토하고, 데이터 기반의 타당성 검증을 진행하는 후속 연구가 필요하다. 둘째, 본 연구는 주요정보통신기반시설 전반에 적용 가능한 사이버 회복력 준비도 요건을 설계하였으나, 세부조직의 특수성을 충분히 반영하지 못한 한계가 있다. 각 산업은 고유한 위협 모델과 운영 환경을 내재하고 있는바, 에너지, 통신 및 금융 분야 등 주요 산업군별 맞춤형 평가 모델과 세분화된 지침을 마련할 필요가 있다. 이를 통해 다양한 산업적 특성을 반영한 현실적이고 실효성 높은 준비도 요건을 제시할 수 있을 것으로 기대한다. 셋째, 조직 내 자원 부족, 정책적 제약, 기술적 한계 등 실제 적용 과정에서 나타날 수 있는 예기치 않은 변수와 장애 요인에 대한 다각적인 사전 연구가 요구되며, 이러한 변수를 사전에 식별하고, 이를 완화하거나 극복하기 위한 위험관리 전략과 적응적 실행 계획을 수립하는 데 초점을 맞춰 추가적인 연구가 필요하다. 마지막으로, 준비도 요건의 보편성을 검증하기 위해 국내외 다양한 운영 환경에서 실효성을 평가할 필요가 있다. 이를 통해 준비도 요건이 특정 환경에만 국한되지 않고, 글로벌 표준으로 확장할 수 있다는 가능성을 입증할 수 있을 것으로 판단한다. 따라서 향후 연구에서는 이를 위한 실증 사례 분석과 정량적 평가를 수행하여 국제적 지침으로 자리매김할 수 있는 기반으로 마련할 것을 제안한다.

종합적으로, 본 연구는 주요정보통신기반시설의 사이버 회복력을 강화하기 위한 준비도 요건을 설계하고, 국제 지침과 국내 환경을 통합하여 복합적 위협 요소를 보완한 실효성 있는 모델을 제시하였다. 이러한 점을 통해 본 연구가 갖는 시사점은 다음과 같다. 첫째, 국제적 표준과 국내 주요정보통신기반시설의 특수성을 통합적으로 고려하여 실질적이고 포괄적인 준비도 요건을 제시한 점에서, 사이버보안 연구의 이론적 기반을 확장하고, 복합적 위협 요소를 보완할 수 있는 새로운 접근법을 통해 설계한 점에서 학문적 의의를 갖는다. 둘째, 본 연구를 통해 설계된 준비도 요건은 주요정보 통신기반시설의 복잡성과 특수성을 반영한 실질적인 지침을 제공함으로써 조직이 사이버 위협에 선제적으로 대응하고 회복력을 강화할 수 있는 실질적인 도구로 활용될 수 있다는 점에서 실무적 의의를 갖는다.

References

  1. 한국국방연구원, "데이터 안보 시대의 사이버안보 쟁점과 전환적 특징," 한국국방연구원, pp. 1-92, 2024.
  2. 최재혁, 김완주, 임재성, "국방정보시스템 사이버복원력 수준 평가를 위한 성숙도모델에관한 연구," 정보보호학회논문지, 제29권, 제5호, pp. 1153-1165, 2019. https://doi.org/10.13089/JKIISC.2019.29.5.1153
  3. 한국인터넷진흥원(KISA), "침해사고 등 사이버 공격 대응 관점에서의 사이버 복원력(Cyber Resilience) 정책 이슈 분석 및 시사점," KISA Insight, Vol. 05, 2024.
  4. 한국인터넷진흥원(KISA), "2024 국가정보보호백서," 한국인터넷진흥원, 2024.
  5. 과학기술정보통신부, "정보통신기반보호법 제8조(주요정보통신기반시설의 지정 등)," 과학기술정보통신부, 2024.
  6. 한국은행, "사이버복원력 평가지침서: Cyber Resilience Assessment Methodology for Korean Financial Market Infrastructures," 한국은행, 2018년 1월 23일.
  7. 한국선급, "선박 및 시스템의 사이버복원력지침," 한국선급, 2024.
  8. 박은혜, 한산섬, "영유아기 준비도 개념과 연구동향 분석," 육아지원연구, 제18권, 제2호, pp. 161-183, 2023.
  9. National Institute of Standards and Tech nology (NIST), "Cybersecurity Framework (CSF) 2.0," National Institute of Standards and Technology, February 2024.
  10. R. Ross, V. Pillitteri, R. Graubart, D. Bodeau, and R. McQuaid, "Developing Cyber-Resilient Systems: A Systems Security Engineering Approach," NIST Special Publication 800-160, Volume 2, Revision 1, National Institute of Standards and Technology, Gaithersburg, MD, December 2021.
  11. European Parliamentary Research Service, "EU Cyber Resilience Act: Overview and Legislative Developments," EPRS, December 2024.
  12. CPMI, IOSCO, "Guidance on Cyber Resilience for Financial Market Infrastructures," June 2016.
  13. International Association of Classification Societies (IACS), "Cyber Resilience of Ships," IACS, 2023.
  14. CISA, "Cyber Resilience Review (CRR) Guidance," Cybersecurity and Infrastructure Security Agency, 2020.
  15. WEF, "Cyber Resilience Index 2022," World Economic Forum, 2022.
  16. CISA, "Infrastructure Resilience Planning Frame work," Cybersecurity and Infrastructure Security Agency, 2024.