Earticle

본 연구는 국내 중소기업이 사이버 침해사고에 유연하게 대응하기 위하여 보안체계의 보안 활 동이 사이버 침해사고 대응에 미치는 영향을 파악하여 효과적인 사이버 침해사고 대응체계를 구 축하는 방안을 제시하는 데 목적이 있다. 중소기업에서 보안역량 강화를 위해 수행하는 보안 활 동(보안정책 품질, 보안인력 품질, 보안인프라 품질, 보안프로세스 품질)이 사이버 침해사고 대응 을 위한 관리체계 구축에 미치는 영향을 분석하고 중소기업의 관리방식에 따른 조절효과를 검증 하였다. 국내 중소기업을 대상으로 한 2019년도 중소기업 기술보호 수준 실태조사의 데이터를 SPSS 23.0과 AMOS 22.0.0을 이용하여 분석하였다. 연구모형과 연구가설 검증을 위하여 신뢰도 분석, 타당성 검증, 구조방정식 모형 분석, 조절변수 효과를 분석하였다. 연구결과 중소기업의 사이버 침해사고 대응체계 구축에 영향도가 높은 보안 활동은 자산관리, IT관리 프로세스와 시스템관리 프로세스 순으로 나타났고, 보안정책이 기술보호 수준에 가장 큰 영향을 미친다는 선행연구들과 다르게 보안 인프라와 보안 프로세스 측면에서 더욱 영향이 큰 것으로 나타났다. 본 연구에서 지지된 가설 특히 영향도가 높은 순으로 보안 활동을 수행하고, 선행연구에서 의미 있다고 제시된 보안 정책이나 보안 인식에 대한 투자를 장기적인 계획으로 수립한다면, 장·단기적으로 의미 있는 사이버 침해사고 대응체계를 구축할 수 있을 것이다. 연 구분석 결과가 효과적인 중소기업 맞춤형 사이버 침해사고 대응체계에 대한 기준을 수립하는 것 에 도움을 줄 수 있기를 기대한다.

This study aims to propose an effective cyber incident response system for SMEs by understanding the impact of each security activity on cyber incident response. To investigate the impact of security activities on the establishment of a cyber incident management system, structural equation model is used with the 2019 SME technology protection level survey data set. In this research model, four independent variables presenting security activities (Govennance, People, Technology, Process for security) were selected and the level of cyber incident management system establishment was selected as a dependent variable. In addition, the moderating effect according to the management style of SMEs was analyzed. As a result of the study, the security activities that have a high impact on the establishment of a cyber incident response system for SMEs were in the order of ‘asset management’, ‘IT management process’, and ‘system management process’. It is important that security infrastructure and security processes have a greater impact than security policies in terms of SME‘s cyber security activities that is a result contrary to previous studies that security policy has the greatest impact on the level of technology protection. The results from this study can contribute to establish standards for an effective cyber incident response system to SMEs in the future.

인공지능 기술이 급속한 발전과 도입 확장에 따라 사회‧경제적 파급효과도 증가하고 있다. 반 면, 챗봇 ‘이루다’, MIT의 ‘사이코패스 AI’, 딥페이크 등 인공지능의 오남용, 사회적 역기능 문제가 발생하며 신뢰 가능한 인공지능 시스템 개발의 필요성이 대두되고 있다. 이에, 세계 주요 기관에 서 발표한 ‘신뢰할 수 있는 인공지능을 위한 윤리기준’ 등을 기초로 인공지능 신뢰성 감리의 필요 성이 제시되고 있으나, 시스템 관점에서 구체적이고, 적용 가능한 인공지능 신뢰성 감리 기준 개 발은 현재 매우 미흡한 실정이다. 본 연구에서는 인공지능 신뢰성 개념의 확립과 함께 인공지능 시스템 개발 사업에 적용할 수 있는 프레임워크와 점검항목을 개발하고자 하였다. 기존 문헌분석을 통해 도출한 인공지능 신뢰 성에 대한 5개의 주요 속성과 이를 평가할 수 있는 3개의 인공지능 감리 관점으로 인공지능 시스템 신뢰성 감리 프레임워크를 구성하여 제시하였다. 또한, 인공지능 시스템 신뢰성 감리 프레 임워크에 기반한 인공지능 시스템 신뢰성 감리 점검항목을 개발하였다. 최종적으로 FGI 기법을 사용하여 개발한 점검항목에 대한 감리 중요도와 적용 가능성을 검토 및 평가하여 실효성을 검토하였다.

As artificial intelligence (AI) technology rapidly develops and expands, its societal and economic effects also increase. However, issues of AI misuse, social dysfunction, and deepfakes have arisen, highlighting the need for developing trustworthy AI systems. While ethical standards for trustworthy AI have been proposed by major global institutions, the development of specific and applicable AI reliability audit criteria from a system perspective remains highly inadequate. This study aims to establish the concept of AI reliability and develop a framework and checklist for AI system development projects. Through a literature review, we identified five key attributes of AI reliability and proposed an AI system reliability audit framework consisting of three perspectives that can evaluate them. Furthermore, we developed an AI system reliability audit checklist based on the framework and evaluated its importance and applicability using the FGI analysis.

중앙 집중식 신원인증의 보안 취약점 극복 수단인 분산ID의 등장 이후, 정부는 공공분야에서 분산ID를 적용한 온․오프라인 공용의 모바일 신분증 서비스를 제공하기 시작하였다. 분산ID는 국내 한국정보통신기술협회 ‘분산ID를 활용한 신원 관리 프레임워크’ 표준 및 국제 W3C ‘Decentralized Identifiers’과 ‘Verifiable Credentials Data Model’ 표준이 존재한다. 그러나 국내 표준이 도입된 시기를 기준으로, 이후 국외 표준의 개정이 이루어졌음에도 국내 표준은 제정일 이후로 추가적인 보완이 이루어지지 않고 있다. 본 논문에서는 모바일 신분증 앱 포렌식을 통해 아티팩트 분석을 수행하고, 이를 바탕으로 국내외 표준의 비교 분석을 통해 서비스 개선방안을 모색하고자 한다. 포렌식 분석으로 구조 아티팩트 및 보안 아티팩트를 도출하여 자기주권신원 원칙을 바탕으로 평가하 였으며, 국내 표준과 국외 표준을 비교하여 국내 표준의 안전성 측면의 미비점을 분석하고 개선방안 을 도출하였다. 본 연구를 바탕으로 다양한 산업에서 활성화 되고 있는 분산ID 활용 신원인증 서비스 안전성과 이용자 편의성을 보장하여 서비스 이용자가 안심하고 이용할 수 있기를 기대한다.

After the emergence of decentralized identity (DID) as a means to overcome security vulnerabilities of centralized identity verification, the government has begun to offer mobile ID services that utilize DID for both online and offline public sectors. Standards for DID include the "Framework for Identity Management Using Decentralized Identifiers" by the Korea Information and Communications Technology Association, and the international standards "Decentralized Identifiers" and "Verifiable Credentials Data Model" by W3C. However, despite the introduction of domestic standards, no further improvements have been made since their establishment, despite the revision of international standards. This paper aims to explore ways to improve the service by performing artifact analysis through mobile ID app forensics, and comparing and analyzing domestic and international standards. The structural and security artifacts were evaluated based on the principles of self-sovereign identity. The shortcomings in terms of safety aspects of domestic standards were analyzed and improvement measures were derived by comparing them with international standards. Based on this research, we hope to ensure the safety and convenience of DID-based identity verification services, which are being activated in various industries, so that service users can use them with confidence.

우리나라 방위산업은 1970년대 자주국방을 위해 국방과학연구소가 창설 이후 급속하게 성장 하여 2021년에는 국방과학기술력이 9위 수준이며, 전 세계 무기 수출 점유율도 2.7%를 차지하고 있다. 이러한 기술을 탈취하기 위하여 국내 ․ 외 경쟁 방산업체의 정보탐지는 물론 해킹에 의한 기술 유출이 증가되고 있다. 방산업체의 경우 관련법령에 의거 정부기관으로부터 보안지원은 물론 통합실태조사 등으로 기술보호 수준이 높은 반면, 방산관련업체의 경우 중소기업으로 기술보 호 수준이 상대적으로 저조하여 보안에 취약하다. 이러한 방산관련업체에 대한 보안 수준 향상 을 위해 원청업체에 의한 실태조사, 산업기술보호협회에 의한 일부 방산관련업체 실태조사를 실시하고 있으나 각 원청업체마다 실태조사 평가항목이 모두 상이하고, 산업기술보호협회의 평가 항목도 상이하는 등 일관성 있는 보안 수준 관리에 어려움이 있다. 이에 원청업체의 실태조사 평 가항목, 산업기술보호협회의 실태조사 평가항목은 물론 방산보안업무훈령에 의해 방산관련업체 보안측정 평가항목, 중소기업 기술보호 수준 진단지표의 평가항목을 분석하여 방산관련업체 보안 수준 평가 지표 개선방안을 제안하였으며, 본 연구 결과를 토대로 방산관련업체에 대한 보안 수준을 표준화된 지표를 통해 일관성 있게 평가함으로써 방산관련업체의 보안 수준을 향상시키는데 기여할 것으로 기대된다

Korea's defense industry has grown rapidly since the establishment of Agency for Defense Development for self-defense in the 1970s, ranking ninth in defense science and technology in 2021, and accounting for 2.7 percent of global arms exports. In order to steal these technologies, information detection by domestic and foreign competitors as well as technology leakage by hacking are increasing. In the case of defense companies, the level of technology protection is high due to security support from government agencies as well as integrated survey under related laws, while in the case of defense-related companies, the level of technology protection is relatively low. In order to improve the security level of defense-related companies, some defense-related companies are surveyed by the Korea Industrial Technology Protection Association, but each company has different evaluation items and the Korea Industrial Technology Protection Association's evaluation items are difficult to improve the security level. Accordingly, it analyzed the evaluation items of the original company's survey and the evaluation items of the Korea Industrial Technology Protection Association, as well as the evaluation items of the defense-related company's security measurement and SME technology protection level, Based on the results of this study, it is expected to improve the security level of defense-related companies by analyzing the security measurement items of the original contractor, the Industrial Security Association, and the technical protection level diagnostic index of small and medium-sized companies.

경제안보의 중심인 기술경쟁력은 국제 관계에서 국가의 주도권 및 협상력의 핵심 원천이다. 산업경쟁력 유지 및 안보 확보를 위해 미국은 이미 1996년 제정된 경제스파이법을 중심으로 자 국의 기술유출 방지 및 산업보호를 위해 노력해왔다. 경제스파이법을 통한 기술보호는 트럼프 행정부 시절 시작된 차이나 이니셔티브 정책으로 더 욱 강력한 사법조치로 구체화되었는데, 이는 이후 바이든 행정부하에서 차이나 이니셔티브 정책 이 종식된 이후에도 이어지고 있다. 기술유출 사범에 대한 솜방망이 처벌로 지적을 받는 우리나 라와 달리 미국의 처벌 사례는 적극적인 수사와 엄중한 처벌이 이루어짐을 알 수 있는데, 이는 차이나 이니셔티브 이전 경제스파이법 위반 처벌 사례 4건과 차이나 이니셔티브 정책 하에서 이 루어진 사례 7건을 통해 입증된다. 미국에서 우리와 달리 기술유출사범에 대하여 엄중한 처벌이 가능한 요인으로는 기술유출의 심각성을 인지함도 있겠지만 기술유출 범죄의 양형 기준이 매우 세분화되어 피해액을 처벌에 연 동하도록 하였기에 피해가 크거나 클 것으로 예상되는 범죄의 경우 처벌 가중 요소로 작용한다 는 점을 들 수 있다. 또한 미국의 사례는 영업비밀절도범의 재산이나 이익을 몰수할 수 있도록 두는 것도 범죄에 사용된 물건만을 몰수의 대상으로 두는 우리법과 다른 점이다. 우리법제 또한 기술유출의 심각성을 인지하고 기술경쟁력을 담보하기 위하여 산업스파이에 대한 엄벌이 필요할 것이고, 이를 위해서는 지식재산범죄군 양형기준 상향, 피해 배상 책임 부 여, 피해액을 처벌에 연동하여 처벌가중요소로 반영, 그리고 기술유출 대가인 이득을 몰수의 대 상으로 확대하는 방안 등을 고려해야 할 것이다.

Central to economic security, technological competitiveness is a key source of national leadership and bargaining power in international relations. In order to maintain industrial competitiveness and security, the United States has already been working to prevent technology leakage and protect its industries through the Economic Espionage Act, enacted in 1996. Technology protection through the Economic Espionage Act was further embodied in stronger enforcement measures under the China Initiative, which began under the Trump administration and ended with the Biden administration. Even after the official declaration of the end of the China Initiative, the Department of Justice confirmed that investigation already initiated will be carried on, and the policy goal achieving protection of technology remains the same as the top priority. Unlike South Korea, which is often criticized for its soft punishment of technology theft offenders, the U.S. prosecution record shows vigorous investigations and severe penalties, as evidenced by the four prosecutions for violations of the Economic Espionage Act prior to the China Initiative and the seven prosecutions under the China Initiative policy. In the U.S., the harsher penalties for technology theft offenders may be due to the common understanding of the importance in protecting industrial technologies, but also to the fact that the sentencing guidelines for technology theft offenses are very granular and link the amount of damage to the punishment, which is an aggravating factor for crimes where the damage is large or expected to be large. The U.S. case also allows for the forfeiture of the trade secret theft offender's property or profits, which is different from our law, which only allows for the confiscation of the items used in the crime. In order to recognize the seriousness of technology theft and ensure technological competitiveness, the Korean legal system should consider raising the sentencing standards for intellectual property crimes, imposing liability for damages, linking the amount of damages to the punishment and reflecting it as an aggravating factor in the punishment, and expanding the target of confiscation to include profits that are the price of technology theft.