Earticle

본 연구는 중소기업의 사이버보안 관리에 영향을 미치는 외부 요인을 분석하였다. 기존 연구들은 주로 내부 요인에 집중하여 외부 환경의 영향에 대한 실증적 논의가 부족하였다. 본 연구는 중소기업 종사자 등을 대상으로 반구조화 인터뷰를 실시하고, 주제분석 절차를 통해 데이터를 분석하였다. 분석 결과, 중소기업의 사이버보안 관리에 영향을 미치는 세 가지 핵심 주제가 도출되었다. 첫째, 정책적 분절성으로서, 공공기관 간 협력 부족과 이중적 접근이 확인되었다. 둘째, 기관 간 상호의존 적 생태계로서, 공공기관과 중소기업 모두 민간 IT 벤더에 높은 수준의 의존성을 보이며, 이는 효율성 을 제공하는 동시에 잠재적 보안 위험을 내포하였다. 셋째, 시장 및 제도 환경의 구조적 영향으로서, 치열한 경쟁 환경, 비효과적인 제재 제도, 고객사 주도형 계약 구조가 중소기업의 보안투자 결정에 영향을 미쳤다. 본 연구는 중소기업의 사이버보안이 독립적 통제의 결과가 아니라 외부 환경 속에서 형성되는 위험관리 거버넌스(Risk management governance)의 산물임을 보여준다. 이는 공공기 관, 민간 IT 기업, 하도급 네트워크 등 다층적 행위자 간의 경쟁과 의존이 교차하는 복합적 구조로 이해될 수 있다. 연구 결과는 중소기업 보안정책 설계 시 외부적 제도 요인과 네트워크 관계의 중요성을 강조하며, 향후 중소기업 대상 보안지원정책의 체계화와 공공–민간 협력모델 정립에 실질적 함의를 제공한다.

This study analyzed external factors influencing the cybersecurity management of small and medium-sized enterprises(SMEs). Previous research has primarily focused on internal factors, resulting in a lack of empirical discussion on the impact of external environments. This study conducted semi-structured interviews with SME employees and analyzed the data using thematic analysis. The analysis identified three key themes. First, policy fragmentation was observed, characterized by a lack of cooperation among public institutions and dual approaches to cybersecurity. Second, an interdependent institutional ecosystem emerged, in which both public institutions and SMEs showed a high level of reliance on IT vendors. While this reliance improved efficiency, it also introduced potential security vulnerabilities. Third, structural influences of the market and institutional environment were identified, where intense market competition, ineffective penalty systems, and client-driven contractual structures affected SMEs’ security investment decisions. This study demonstrates that SMEs’ cybersecurity is not merely the result of independent control but rather a product of risk management governance shaped by external environmental conditions. It can be understood as a complex structure in which competition and dependence intersect among multiple actors —public agencies, private IT companies, and subcontracting networks. The findings highlight the importance of external institutional factors and network relationships in designing SME cybersecurity policies and provide practical implications for developing systematic support policies and establishing public–private cooperation models.

21세기 기업 환경에서 ESG(환경·사회·지배구조) 경영과 컴플라이언스의 중요성이 증가함에 따라, 사내 비위행위에 대한 효과적인 조사 역량은 기업의 연속성 및 지속 가능한 성장을 위한 필수 요소로 변화하고 있다. 최근 공정거래위원회의 대기업 집단 내부거래 조사 강화와 감사원 의 공공기관 감사 확대, 각종 사내 성희롱·갑질 사건 등으로 인해 기업의 자체적인 비위조사 능 력의 필요성이 어느 때보다 중요해지고 있다. 본 연구는 사내 비위조사 교육의 현황을 분석하고, 효과적인 교육 체계에 대한 방안을 제시하는 것을 목적으로 한다. 이를 위해 국내외 선행연구 분 석, 기업 사례 조사 등을 통해 현행 교육프로그램의 문제점을 도출하였다. 연구 결과, 현재 국내 기업들의 사내 비위조사 교육은 법적 요구사항 충족에 치중되어 있어 실무적 조사기법과 체계적 인 교육과정이 부족한 것으로 나타났다. 선행연구에서 지적했듯이 기업 내부감사 조직의 전문성 제고를 위해서는 문제 기반 학습(PBL) 방식의 실무형 교육이 필요하나, 대부분 기업에서는 여전 히 이론 중심의 교육에 머물러 있는 현실이다. 이에 본 연구에서는 효과적인 사내 비위조사 교육 체계로서 ① 사내 비위조사 교육과정 설계 원칙, ② 사내 비위조사 교육내용 및 방법론 설계, ③ 사내 비위조사 교육 운영 및 평가 시스템 구축을 제안하였다. 본 연구는 사내 비위조사 교육에 관한 체계적인 연구로서 학술적 의의가 있으며, 기업의 컴플라이언스 역량 강화를 위한 실무적 가이드라인을 제시한다는 점에서 실용적 가치를 지닌다.

In the 21st-century corporate environment, as the importance of ESG (Environmental, Social, Governance) management and compliance increases, the capacity for effective in-house misconduct investigation has become an essential element for corporate continuity and sustainable growth. The necessity for companies' in-house investigation capabilities is now more critical than ever, driven by recent factors such as the Fair Trade Commission's increased scrutiny of large business groups' internal transactions, the expansion of public institution audits by the Board of Audit and Inspection, and various in-house sexual harassment and power abuse cases. This study aims to analyze the current status of in-house misconduct investigation education and propose measures for establishing an effective training system. To this end, the study identified problems in existing training programs through a literature review and corporate case studies. The findings indicate that current in-house misconduct investigation training in Korean companies primarily focuses on meeting legal requirements, resulting in a shortage of practical investigation techniques and systematic curricula. Although practical training methods, such as Problem-Based Learning (PBL), are necessary—as previous studies suggest—to enhance the professionalism of internal audit organizations, most companies still rely on theory-centered education. Accordingly, this study proposed the following elements for an effective in-house misconduct investigation training system: ① Principles for designing the in-house misconduct investigation training curriculum, ② Design of the training content and methodology for in-house misconduct investigations, ③ Establishment of the operating and evaluation system for the in-house misconduct investigation training. This research holds academic significance as a systematic study on in-house misconduct investigation training, and it offers practical value by presenting guidelines for strengthening corporate compliance capabilities.

이 연구는 디지털 전환이 가속되는 제조 산업에서 확대되는 스마트팩토리 공급망을 대상으로, 자동차 산업 사례에 3차원 분석 프레임워크(공급망 단위(Unit), OT/IT 계층(Layer), 공격 흐름 (Flow))를 적용해 OT 보안 구조를 진단하고 보완 방향을 제시한다. 분석 결과, 공급망 보안 침해 는 주로 Tier 1의 Level 4에서 시작해 권한 상승과 전파를 거쳐 OEM의 생산 중단과 대규모 데이 터 유출로 이어지며, Tier 2+의 낮은 보안 역량 또한 OEM의 운영 연속성과 규제 리스크를 증폭 시키는 약한 고리로 작동하는 것으로 나타났다. 이러한 결과는 국제표준을 준수하는 OEM과 달 리 하위 협력사가 예산·인력·기술 격차로 요구 수준의 보안 역량을 확보하지 못하면서도, 사 고의 최종 피해와 책임은 상위 단위에 집중되는 구조적 책임 불균형이 존재함을 보여준다. 이에 따라 OT 보안은 공급망 전 계층에 산업·조직별 특성이 반영된 맞춤형 체계로 설계되어야 하며, Tier 1에 대한 강제 규제, Tier 2+에 대한 지원 중심 정책, Level 4 최소 보안 기준의 법제화, IT– OT 계층 간 보안 경계 강화 등을 통해 전사적 공급망 보안 거버넌스를 확립하는 것이 필수적이다.

This study investigates operational technology (OT) security in the expanding smart factory supply chain of the manufacturing sector under rapid digital transformation, applying a three-dimensional framework – supply chain unit (Unit), OT/IT layer (Layer), and attack flow (Flow) – to empirical cases from the automotive industry. The analysis shows that most supply chain breaches originate in Tier 1 at Level 4, escalate through privilege abuse and lateral movement, and ultimately result in production shutdowns and large-scale data leakage at the OEM level, while the comparatively weak security posture of Tier 2+ functions as an additional weak link that amplifies risks to OEM operational continuity and regulatory exposure. These findings indicate a structural imbalance of responsibility in which lower-tier suppliers, constrained by gaps in budget, personnel, and technical capability, fail to meet required security levels, yet the ultimate impact and accountability for incidents are disproportionately concentrated at the upper tiers. Accordingly, OT security must be designed as a context-aware system spanning all tiers of the supply chain, incorporating sector- and organization-specific characteristics, and supported by a governance model that combines mandatory requirements for Tier 1, support-focused measures for Tier 2+, statutory minimum controls for Level 4, and reinforced security boundaries between IT and OT to establish organization-wide supply chain security governance.

기존의 포렌식 도구들은 고성능 분석용 하드웨어 의존성과 높은 초기 투자비용, 공간적 제약, 기능 확장 한계 등의 문제를 갖고 있다. 더욱이 빠르게 변화하는 디지털 포렌식 환경 대응, 수사 ㆍ공공기관의 분석기술 격차해소, 부족한 장비 및 인력 확보, 분석결과 표준화 등은 해결해야할 주요 과제이다. 이에 본 연구에서는 이러한 문제를 해결하기 위한 새로운 방안으로 SaaS 기반의 디지털 포렌식 증거분석 통합 플랫폼을 제안한다. 이를 위해 클라우드 기반 포렌식 시스템과 기 존 포렌식 도구의 구조와 특징을 분석하고, 각 시스템의 장단점 및 한계점을 도출하였다. 이를 바탕으로, 클라우드 컴퓨팅 기술과 상용 포렌식 도구를 결합하여 신뢰성과 확장성을 확보한 분 석 환경을 설계하였다. 제안한 플랫폼을 사용하면 소규모 기관이나 지방자치단체에서도 저예산 ㆍ저성능 환경에서 신속하고 표준화된 포렌식 분석이 가능하다. 또한 파일 단위 분석 지향, 고성 능 시스템 지양, 유지보수 용이성, 국가융합망 활용 등 공공기관에서의 실질적인 적용 가능성을 고려하여 실무적 장점을 갖추었으며, 초기 진입장벽을 낮추고, 기술 평준화 및 결과 신뢰성 향상 에 기여할 것으로 기대된다.

Conventional digital forensic tools face several challenges, including dependence on high-performance hardware, high operational costs, spatial limitations, and restricted scalability. In addition, the rapidly evolving domestic digital forensic environment reveals critical issues such as technological disparities among investigative and public institutions, shortages in equipment and skilled personnel, and lack of standardization in analysis results. To address these challenges, this study proposes a SaaS-based integrated digital forensic evidence analysis platform. We analyze the architectures and characteristics of both cloud-based forensic systems and existing forensic tools, identifying their respective strengths, weaknesses, and limitations. By integrating cloud computing technologies with commercial forensic tools, the proposed platform ensures a reliable and scalable forensic analysis environment. Designed with small-scale institutions and local governments in mind, the platform supports cost-effective and standardized analysis, even in low-performance environments. Emphasizing file-level analysis, avoiding reliance on high-end systems, ensuring easy maintenance, and utilizing national integrated networks, the platform demonstrates practical applicability for public institutions. It is expected to lower initial barriers to entry, contribute to technological standardization, and enhance the reliability of forensic results.

중소조선소는 높은 협력사 의존도로 인해 랜섬웨어 위협에 취약하나, 기존 연구들은 자원이 제약된 현장에서 거버넌스가 작동하지 않는 구조적 원인을 규명하는 데 한계가 있었다. 이에 본 연구는 중소조선소 보안 실무자와 외부 전문가를 대상으로 포커스 그룹 인터뷰(FGI)를 수행하여 랜섬웨어 대응 복원력을 저해하는 요인을 심층 진단하였다. 분석 결과, 복원력 저하의 근본 원인 은 단순한 기술 부족이 아닌 ‘역할과 책임(R&R)의 부재’, ‘공급망 리스크 관리 공백’, ‘복구 중심 의사결정 미비’ 등 5대 거버넌스 실패 요인에 기인함을 실증적으로 확인하였다. 이를 바탕으로 본 연구는 ‘내부 복원력 강화’와 ‘공급망 연계 복원력 강화’를 핵심 축으로 하는 통합 거버넌스 프 레임워크를 설계하였다. 본 프레임워크는 단기적인 계약 기반 관리에서 중장기적인 공동 거버넌 스 생태계로 발전하는 단계별 이행 방안을 포함한다. 본 연구는 랜섬웨어 대응을 중심으로 설계 된 거버넌스가 다양한 위협에 대한 강건성(Robustness)을 제공하며, 개별 기업의 방어를 넘어 산업 생태계 차원의 집합적 복원력(Collective Resilience)을 확보하는 실천적 모델임을 제시하였다.

Small and medium-sized shipbuilders are highly vulnerable to ransomware threats due to their heavy reliance on external partners. However, existing research has failed to adequately identify the structural causes of governance failure in these resource-constrained environments. To address this gap, this study conducted Focus Group Interviews (FGI) with security practitioners from shipbuilders and external experts to deeply diagnose the factors hindering ransomware response resilience. The analysis empirically confirmed that the root cause of diminished resilience is not a mere lack of technology, but rather five key governance failure factors, including the ‘absence of Roles and Responsibilities (R&R)’, ‘gaps in supply chain risk management’, and ‘inadequate recovery-centered decision-making’. Based on these findings, this study designed an integrated governance framework centered on two core pillars: ‘enhancing internal resilience’ and ‘enhancing supply chain-linked resilience’. The framework includes a phased implementation strategy that evolves from short-term contract-based management to a mid-to-long-term collective governance ecosystem. This study demonstrates that a governance model designed around ransomware response provides robustness against a wide range of threats and offers a practical model for securing collective resilience at the industrial ecosystem level, transcending individual defense.

공공부문에서 국가안보를 위해 실시되는 신원조사 제도는 국가기밀을 취급하게 될 피조사자 의 과거 이력이나 성향, 주변인과의 관계 등 정보를 토대로 국가에 대한 충성심과 신뢰성 등 인 적 보안성을 검증하는 선행적 보안성 확보 절차이다. 그러나 이 제도는 개인정보 자기결정권, 사 생활의 자유, 공무담임권 등 기본권 제한을 수반하기 때문에, 조사 대상자들의 인권 침해 우려와 공공갈등(민원 제기, 소송 등)이 지속되어 왔다. 이 연구는 기존 학위논문의 내용을 토대로 신원 조사 제도의 인간중심 보안(Human-Centric Security) 개념 도입 가능성을 탐색하고, 이를 통해 제도를 개선함으로써 공공갈등을 예방할 수 있는 방안을 제시한다. 이를 위해 신원조사 제도의 현황과 관련 법·정책을 검토하고, 경찰 신원조사관과 중앙행정기관 보안담당자 등 전문가 10명 을 대상으로 포커스 그룹 인터뷰(FGI)를 실시하여 의견을 수집·분석하였다. 연구 결과, 법적 근 거의 명확화, 조사 대상·항목의 합리적 조정 및 제한, 투명한 절차와 소명 기회 보장, 개인정보 보호 강화 등이 핵심 개선과제로 도출되었다. 이러한 인간 중심적 전환은 신뢰 기반의 보안 환경 을 조성하여 피조사자의 수용성을 높이고 갈등을 예방하는 동시에, 실질적 보안성 강화에도 기 여할 것으로 기대된다. 이 연구는 공공 보안정책에 인간중심 보안 패러다임을 적용한 최초의 시 도로서, 향후 신원조사 기본법 제정 등 제도 설계에 대한 정책적 함의를 제공한다.

This study explores how a human-centered security paradigm can reform Korea’s background and security vetting regime to prevent public conflict while preserving national security. Building on a review of the legal–institutional framework and prior scholarship, we conducted a qualitative focus group inquiry with ten practitioners—five police investigators who conduct delegated vetting and five security officers from central administrative agencies (May 19–July 30, 2025). Using thematic analysis, we identified persistent shortcomings that generate distrust and disputes: limited statutory grounding, overly broad targets and items, opaque procedures, weak rights of notice and rebuttal, and insufficient data governance. We then derive design principles for a human-centered turn: (1) strengthen legitimacy through an explicit statutory basis; (2) apply necessity and proportionality via risk-tiering of positions and item minimization; (3) ensure transparency and participation through prior notice, interim notification, and opportunities to explain and appeal; (4) enhance accountability and privacy with strict access controls, logging, and retention/destruction rules; and (5) support usable processes with a citizen-facing digital portal and operator training. We argue that these measures increase acceptance and reduce grievances, creating a virtuous cycle of trust and compliance that ultimately improves security efficacy. The article contributes a practical framework for translating humancentered security into concrete statutory and procedural safeguards in personnel vetting.

메타버스는 블록체인, NFT, VR/AR 등의 기술을 기반으로 한 현실과 가상의 융합 공간이다. 새로운 디지털 생태계의 출현은 콘텐츠의 생성, 유통, 소비에 큰 변화를 일으키고 있으며, 이로 인하여 현실의 상표, 저작물, 인물 이미지 등이 가상 자산의 형태로 복제·활용되며, 그에 따른 권리 침해 문제가 발생하고 있다. 메타버스에서 발생하는 지식재산권 침해 문제를 중심으로, 특 히 상표권 침해판단 기준을 고찰하고 이에 대응하기 위한 법적·기술적·정책적 방안을 종합적 으로 분석하였다. 2023년 미국의 Hermès 대 MetaBirkins 사건은 메타버스 내 상표권 침해판단 기준을 정립하는 전환점이 된 사례로 평가받는다. 이 사건에서 법원은 가상 제품이라고 하더라 도 소비자에게 상표의 출처에 대한 혼동을 초래한다면 침해가 성립된다고 판단하였다. 이는 실 물과 가상 세계를 구분하던 전통적 법리가 수정될 필요가 있음을 시사하며, 지식재산권 보호 체 계의 새로운 패러다임 전환을 요구한다. 이 연구는 첫째, 메타버스 내에서 실물 상표 등록만으로 도 디지털 자산에 대한 권리 보호가 가능한지에 대해 검토하였으며, 둘째, NFT 메타데이터와 연 동된 창작물의 권리 귀속과 저작권 보호 적용 여부를 분석하였다. 셋째, 유럽연합 지식재산청 (EUIPO)과 세계지식재산기구(WIPO)의 메타버스 관련 정책 동향을 검토함으로써 국제적 대응의 흐름을 조망하였다. 또한, 국내외 플랫폼에서의 상표·저작권·퍼블리시티권 침해 사례를 비교 분석하고, 현실 법제의 적용상 한계 및 개정 방향을 모색하였다. 결론적으로, 메타버스 환경에서 지식재산권을 효과적으로 보호하기 위해서는 지정상품 체계의 유연한 재구성이 필요하며, 플랫 폼 사업자의 책임 명확화, AI 기반 침해 탐지 시스템 도입, 국제 협력을 통한 통일적 규범 정비가 병행되어야 한다. 나아가 창작자, 기업, 소비자 간의 균형 있는 권리 보호를 위해 현행 법제의 해 석 원칙을 디지털 환경에 적합하게 조정할 필요가 있다.

The metaverse is an integrated digital space that merges reality and virtuality, built on technologies such as blockchain, NFTs, and VR/AR. The emergence of this new digital ecosystem has significantly transformed the creation, distribution, and consumption of content, leading to the replication and utilization of real-world trademarks, copyrighted works, and personal images as virtual assets—thus raising critical issues of intellectual property (IP) infringement. Focusing on trademark infringement in the metaverse, this study comprehensively examines the legal, technological, and policy-based responses to these emerging challenges. The 2023 U.S. case of Hermès v. MetaBirkins is regarded as a landmark in establishing criteria for trademark infringement in virtual spaces. In this case, the court ruled that even virtual products could constitute infringement if they cause consumer confusion about the source of the trademark, signaling the need to revise traditional legal doctrines that have strictly separated physical and virtual domains, and calling for a paradigm shift in IP protection systems. This study first investigates whether registration of physical trademarks can extend to the protection of digital assets in the metaverse. Second, it analyzes the applicability of copyright protection and ownership attribution to NFT-linked digital creations. Third, it reviews the policy developments of the European Union Intellectual Property Office (EUIPO) and the World Intellectual Property Organization (WIPO) regarding IP protection in the metaverse. It also compares domestic and international cases involving trademark, copyright, and publicity rights violations, and explores limitations in existing legal frameworks and directions for reform. In conclusion, effective protection of intellectual property in the metaverse requires a flexible restructuring of designated goods classifications, clear delineation of platform operators' responsibilities, deployment of AI-based infringement detection systems, and harmonization of international IP norms. Furthermore, legal interpretation and legislative frameworks must be adapted to ensure a balanced protection of rights among creators, businesses, and consumers in digital environments.

본 논문은 제조 산업의 운영 기술(OT) 환경에 최적화된 보안 프레임워크를 제안한다. 최근 IT 와 OT 시스템의 융합이 가속화됨에 따라 제조 산업은 사이버 위협에 취약해지고 있으며, 이는 생산 중단, 설비 손상, 물리적 사고로 이어질 수 있다. ISO/IEC 27001:2022, ISA/IEC 62443-3- 3, NIST CSF 2.0과 같은 국제 표준은 일정 수준의 보안 지침을 제공하지만, 실시간성과 물리적 제약이 존재하는 OT 환경에 그대로 적용하기에는 한계가 있다. 이에 본 연구는 세 가지 보안 표 준을 통합하여 위험 기반 보안 관리, 공급망 보안, 운영 연속성 확보, 성숙도 기반 개선을 핵심 구성요소로 하는 통합 OT 보안 표준을 제안 하였다. 문헌 조사, 사례 분석, 전문가 자문을 통해 공통 통제 항목을 도출하고, 해당 분야의 전문가들을 통한 설문조사 와 AHP 기법을 통해 프레임 워크의 타당성과 통제 항목의 우선순위를 검증하였다. 본 연구에서 제시하는 프레임워크는 OT 보안의 체계적 접근을 가능하게 하며, 제조 산업의 보안 수준 향상 및 글로벌 규제 준수에 기여 할 수 있다. 다만, 실질적인 산업 적용을 위한 추가 실증 연구가 필요하다.

As IT/OT convergence accelerates, cyber threats to the manufacturing industry are increasing. However, existing standards like ISO/IEC 27001 and ISA/IEC 62443 have limited applicability due to the real-time requirements and physical constraints of OT environments. To address this issue, this study designs an integrated OT security framework that combines these three standards, focusing on risk-based management, supply chain security, and operational continuity. Common control elements, derived from literature reviews and expert consultation, were validated for their effectiveness and priority using the Delphi method and the Analytic Hierarchy Process (AHP). The proposed framework supports systematic security enhancement and regulatory compliance, but further research is needed to verify its practicality in real-world industrial settings.

국가첨단전략기술은 반도체, 이차전지, 방위산업, 첨단소재 등 국가 경쟁력과 직결되는 자산 으로, 기술 유출 위협이 심화됨에 따라 보안성 검증의 중요성이 높아지고 있다. 그러나 기존 대 응은 제도적 규제 중심에 머물러 실제 보안시스템 소프트웨어의 사전 검증 체계는 미흡하다. 본 연구는 이러한 한계를 극복하기 위해 보안시스템 소프트웨어 테스트 시나리오의 평가체계를 구 축하고, 델파이(Delphi)와 계층적분석기법(AHP)을 활용해 항목의 타당성과 상대적 중요도를 검 증하였다. 연구 결과, 상위 영역에서는 ‘시나리오 구조 타당성’과 ‘위협 기반 대응성’이 높은 중요 도를 보였으며, 세부 항목에서는 ‘시나리오 단계구성의 논리성’과 ‘위협 시나리오 구성의 현실성’ 이 핵심 요인으로 도출되었다. 이는 구조적 완성도와 위협 대응 현실성이 보안성 평가의 핵심 기 준임을 시사한다. 본 연구는 정량화된 평가체계를 제시함으로써 학술적 토대를 확장하고, 실무 적 활용 가능성과 정책적 기여 가능성을 동시에 확보한 점에서 실무적 의의가 있다.

National core strategic technologies, such as semiconductors, secondary batteries, defense systems, and advanced materials, face increasing risks of technology leakage, highlighting the need for reliable security verification. However, current measures remain regulationcentered and lack systematic pre-verification of protective software. This study proposes an evaluation framework for security system software test scenarios and validates its indicators using the Delphi method and Analytic Hierarchy Process (AHP). The results show that “Scenario Structural Validity” and “Threat-Response Effectiveness” are the most critical domains, while “Logical Structure of Scenario Phases” and “Realism of Threat Scenarios” emerged as key factors. These findings suggest that structural completeness and realistic threat modeling are essential criteria in security evaluations. By presenting a quantitative, weight-based framework, this study provides both academic contributions and practical implications for technology protection policy and practice.

최근 AI를 악용한 사회공학적 공격은 사람의 인지 가능 범위를 뛰어넘을 만큼 고도화되어 국 내 산업 발전을 저해하는 요인으로 고착되고 있다. 반면, 현행 보안 훈련 체계는 이론적·형식적 훈련을 반복하는 수준에 그친다는 한계를 가진다. 본 연구는 정책·제도적 관점에서 지능화된 사회공학적 기법에 효과적으로 대응하기 위한 생성형 AI 기반의 산업보안 훈련 체계를 제안한다. 연구는 훈련 효과의 실증적 검증보다는 기술적 개념검증(Proof-of-Concept, PoC)을 통해 시스 템의 구성과 구현 가능성을 확인하는 데 초점을 둔다. 또한 자원 제약으로 보안 훈련 수행이 어 려운 중소기업 등을 고려한 정책적·제도적 개선 방안을 종합적으로 제시한다. 본 연구는 생성 형 AI를 악용한 사회공학적 위협에 대응하기 위한 기술적 개념설계와 정책·제도적 제언을 통합 적으로 제시하는 정책·제도형 연구라는 점에서 의의가 있다. 이를 통해 산업보안 훈련 체계의 제도화 및 확산을 위한 기초 프레임을 제공하고, 향후 구체적인 정책 설계 및 후속 실증 연구를 위한 시사점을 제공하고자 한다.

Recently, social engineering attacks exploiting generative AI have become increasingly sophisticated, surpassing human cognitive capabilities and emerging as a persistent threat that undermines industrial development. In contrast, existing corporate security training systems remain largely limited to repetitive, theoretical, and formalized training practices, revealing structural limitations in addressing advanced AI-driven threats. From a policy and institutional perspective, this study proposes a generative AI-based industrial security training framework designed to respond to intelligent social engineering techniques. Rather than empirically validating training effectiveness through human-subject experiments, the study focuses on a technical proof-of-concept(PoC) to examine the system architecture and its technical feasibility. In addition, considering the resource constraints faced by small and medium-sized enterprises(SMEs), the study presents policy and institutional measures to facilitate the adoption of the proposed training framework. This study integrates technical conceptual design with policy and institutional recommendations to address AI-enabled social engineering threats, providing a foundational framework for future policy design and empirical research.

AI를 중심으로 한 기술혁신 시대에 인공지능(AI), 사물인터넷(IoT), 반도체 등의 신기술은 국가 경제를 선도하는 핵심 동력으로 자리매김하고 있다. 이러한 기술혁신의 중심에는 중소·벤처기 업이 있으며, 이들은 기술집약적 산업 구조 속에서 새로운 가치를 창출하고 있다. 그러나, 이들 이 보유한 핵심 기술은 대부분 영업비밀의 형태로 존재하여 기술 보호에 공백이 발생하고 있다. 현행 ｢부정경쟁방지 및 영업비밀보호에 관한 법률｣은 전통적인 산업 환경을 전제로 설계되어, 신기술의 특성과 중소·벤처기업의 현실을 충분히 반영하지 못하는 한계를 지닌다. 이에 본 연 구는 신기술 기반 중소·벤처기업의 기술 보호를 중심으로 현행 법령의 문제점을 분석하고, 이 를 바탕으로 △영업비밀 요건 기준의 합리화, △법률 지원 확대 및 소송 접근성 강화, △디지털 증거 확보 체계 개선, △대기업 및 해외 기업에 대한 규제 강화, △AI, IoT, 반도체 등 신기술 특 화 규제 도입이라는 실효성 있는 개선 방안을 제시하였다. 이를 통해 신기술 기반 중소·벤처기 업의 기술 보호 실효성을 제고하고 보호 역량을 강화하여, 공정한 경쟁 환경 조성과 국가 기술 경쟁력 확보에 기여하기를 기대한다.

In the era of technological innovation, technologies such as AI, IoT, and semiconductors have become key drivers of national economic growth. Small and Medium-sized Enterprises(SMEs) and Startups, positioned at the core of this innovation, play a vital role in creating new value in technology-intensive industries. However, their key technologies are often protected as trade secrets, leaving them vulnerable to technology protection. The current ｢Unfair Competition Prevention and Trade Secret Protection Act｣ was designed for the traditional industry and fails to adequately address the characteristics of new technologies or the realities faced by SMEs and Startups. Therefore, this study analyzes these challenges and proposes practical improvements, including: ① easing trade secret requirements, ② expanding legal and institutional support, ③ enhancing digital evidence collection, ④ strengthening oversight of large and foreign corporations, and ⑤ introducing technologyspecific regulations for AI, IoT, and semiconductors. These measures aim to enhance the effectiveness of protection and ensure fair competition.

이 연구는 산업보안정책으로 느끼는 역할갈등과 업무장애가 정책위반행동에 미치는 영향을 실증적으로 검증하여, 산업보안정책 위반행동을 촉진하는 위험요인을 밝히는데 목적을 두고 있 다. 이와 같은 실증분석을 위해 2025년 03월 01일부터 04월 30일까지 산업보안정책을 운영하고 있는 국내 소재지를 둔 회사에 소속된 임직원을 대상으로 설문조사를 진행하였다. 설문조사를 통해 회수된 자료는 stata 통계패키지를 이용하여 빈도분석, 탐색적 요인분석, 신뢰도 분석을 실 시하였고, 가설증을 위해 구조방정식 모델분석을 진행하였다. 결과, 산업보안정책에 대한 역할갈 등은 산업보안정책 위반행동에 정(+)적인 영향을 미쳤고, 업무장애에도 정(+)적인 영향을 미쳤 다. 또한, 업무장애는 산업보안정책 위반행동에 정(+)적인 영향을 미쳤으며, 업무장애는 산업보 안정책에 대한 역할갈등과 산업보안정책 위반행동 간에 부분 매개하였다. 이와 같은 결과는 산 업보안정책을 통해 임직원에게 요구되는 행동의 범위가 임직원의 역할과 양립될 수 있도록 설계 될 수 있어야 하며, 직무에 효율성과 생산성 그리고 업무처리 시간에 장애가 되지 않는 범위에서 계획될 수 있어야 한다는 정책적 시사점을 제시하고 있다.

This study aims to empirically examine the effects of role conflict and work interference caused by industrial security policy on policy violation behavior, thereby identifying risk factors that promote such violations. For this empirical analysis, a survey was conducted from March 1 to April 30, 2025, targeting employees working at domestic companies that operate industrial security policies. The collected data were analyzed using the Stata statistical package, including frequency analysis, exploratory factor analysis, and reliability analysis. Structural equation modeling was employed to test the hypotheses. The results showed that role conflict regarding industrial security policy had a positive effect on both policy violation behavior and work interference. Additionally, work interference positively influenced policy violation behavior and partially mediated the relationship between role conflict and policy violation behavior. These findings suggest important policy implications: industrial security policies should be designed to ensure that the behavioral requirements imposed on employees are compatible with their job roles, and should be implemented within a scope that does not interfere with work efficiency, productivity, or task completion time.

인공지능 기술이 빠르게 발전하면서 인공지능 시스템의 안정성과 신뢰성을 확보하기 위한 인 공지능 보안의 중요성이 전 세계적으로 강조되고 있다. 본 연구는 한국, 미국, 일본의 인공지능 보안 연구 동향을 비교·분석하여 국가별 전략적 특성을 실증적으로 규명하고자 하였다. 이를 위해 2020년부터 2025년까지 발표된 학술 논문 초록을 수집하고, BERTopic 기반 토픽 모델링 을 활용하여 각국의 핵심 연구 주제를 도출하였다. 특히 본 연구는 ‘AI for Security’와 ‘Security of AI’라는 이중 관점에서 국가별 연구 특성을 분석하였다. 분석 결과, 미국은 원천 기술의 안전 성과 글로벌 표준 주도 전략에, 일본은 사회 시스템과의 안정적 통합에 초점을 두고 있었다. 한 국은 ICT, 자율주행, 의료 등 주요 산업 분야에서의 실질적인 보안 문제 해결과 인공지능 기술의 신속한 현장 적용에 주력하고 있으며, 이는 산업보안 강화를 지향하는 ‘응용 중심의 산업화’ 전략 의 일환으로 볼 수 있다. 본 연구는 각국의 인공지능 보안 연구 방향을 실증적으로 비교함으로 써, 산업보안 중심의 한국 전략을 구체화하였다는 점에서 학술적, 정책적 의의를 가진다.

As artificial intelligence (AI) technology advances rapidly, ensuring the stability and reliability of AI systems has become a critical global concern. This study compares the AI security research trends of South Korea, the United States, and Japan to identify each country’s strategic focus. Using BERTopic, a topic modeling method, we analyzed academic abstracts published between 2020 and 2025 to extract key research themes. The analysis adopts a dual perspective of “AI for Security” and “Security of AI” to classify research directions. The United States emphasizes securing foundational technologies and leading global standards, while Japan focuses on the safe integration of AI into social systems. South Korea prioritizes addressing practical security challenges in key industries such as ICT, autonomous vehicles, and healthcare, with a strong focus on rapid deployment. This reflects an “application-driven industrialization” strategy aimed at strengthening industrial security based on national technological strengths. By empirically comparing these national approaches, this study provides meaningful academic and policy insights, particularly by clarifying South Korea’s industrial security-oriented strategy.

이 연구는 하이브리드전 환경에서 운영기술(Operational Technology, OT) 기반 국가 기간시 설이 국가안보의 핵심 취약지점으로 부상하고 있다는 문제의식에서 출발한다. 먼저 하이브리드 전 개념과 사이버전의 전략적 특성을 검토하고, OT 시스템의 구조적 특성과 IT–OT 융합에 따른 보안 취약성을 이론적으로 정리하였다. 이어 Stuxnet, 우크라이나 전력망 공격, 콜로니얼 파이프 라인 사태 등 대표적 해외 사례와 한국수력원자력 해킹 사건 등을 분석하여, OT를 겨냥한 사이 버테러가 정보침해를 넘어 물리적 파괴와 사회 혼란을 야기하는 새로운 안보위협임을 확인하였 다. 또한 미국, 유럽연합, 이스라엘 등의 OT 보안 정책과 규제·표준·훈련 체계를 비교함으로 써, OT 보안을 국가안보 전략에 통합하고 민·관·군 협력과 국제 공조를 강화하는 방향이 공통 적인 추세임을 도출하였다. 한국의 경우 고도화된 디지털 인프라와 높은 OT 활용도에도 불구하 고, 노후 제어시스템, 인력·예산 부족, 분절된 거버넌스 등 구조적 취약성이 상존하며, 특히 북 한 등 국가행위자의 지속적 위협에 노출되어 있다. 이에 따라 본 연구는 국가 사이버안보 기본법 제정, OT 특화 규제체계 확립, 자산 가시성·네트워크 세분화·이상행위 탐지 등 기술적 방어역 량 강화, 국가지정 훈련 인프라와 정보공유체계 구축 등의 정책 과제를 제안하며, OT 보안을 한 국형 국가안보 전략의 핵심 축으로 재정립할 필요성을 제기한다.

This study examines the national security implications of operational technology (OT) security in the era of hybrid warfare, focusing on the cyber-terror vulnerabilities of critical infrastructure in Korea. It first conceptualizes hybrid warfare and the strategic role of cyber operations, and outlines the structural characteristics of OT systems and their security weaknesses, particularly under accelerated IT–OT convergence. The paper then analyzes major OT-related cyber incidents—such as Stuxnet, the Ukrainian power grid attacks, and the Colonial Pipeline ransomware case—alongside the Korea Hydro & Nuclear Power hacking incident, demonstrating that cyber attacks on OT now produce physical disruption and social instability beyond mere data breaches. By comparing OT security policies and regimes in the United States, the European Union, and Israel, the study shows a converging trend toward integrating OT security into national security strategy, strengthening legal and regulatory frameworks, enhancing public–private cooperation, and expanding international collaboration. In contrast, Korea’s OT environment is characterized by high digital dependence and extensive use of industrial control systems, yet also by legacy systems, shortages of specialized personnel and budgets, and fragmented governance, all under persistent threat from state-sponsored actors such as North Korea. Based on this analysis, the study proposes policy priorities including the enactment of a national cybersecurity framework law, OT-specific regulatory standards, improvement of technical defenses such as asset visibility, network segmentation, and anomaly detection, and the development of national testbeds, training pr현석ograms, and information-sharing mechanisms. The paper argues that OT security must be repositioned as a central pillar of Korea’s national security strategy in the context of hybrid warfare.

오늘날 사이버위협은 단순한 기술적 차원을 넘어 국가안보, 경제안보 및 사회 전반의 질서와 직결되는 중대한 법적·정책적 과제로 인식되고 있다. 이에 대응하기 위하여 국제사회는 최초의 사이버범죄 국제조약인 ｢부다페스트 협약｣을 채택하여 사이버범죄의 실체법적 규율, 전자적 증 거의 확보, 국가 간 형사사법 공조 절차 등 기본원칙을 제도화하였다. 일본은 이러한 국제적 규 범을 반영하여 ｢사이버보안기본법｣을 제정하고, 내각 사이버보안센터(NISC)를 설치함으로써 중 앙집중적 거버넌스 체계와 민·관 협력 구조를 제도적으로 정착시켰다. 반면 우리나라는 사이버 위협 대응 시 공공ㆍ민간 영역이 분리된 이원화 구조가 유지됨으로써 권한과 책임의 분산, 협력 체계의 비효율성이 지속적으로 지적된다. 이에 국가 차원의 단일 사이버안보 컨트롤타워를 마련 하고, 권한과 책임을 명확히 규정하는 동시에, 사이버 위협 대응 역량 강화를 위한 ｢사이버안보 기본법(안)｣의 제정 필요성이 제기되고 있다. 따라서 본 연구는 부다페스트 협약의 규범적 시사 점 분석과 일본의 제도적 경험을 검토함으로써, 우리나라의 사이버안보 거버넌스 개선방안을 도 출하는 데 목적을 가지고 국제공조 참여 강화를 위한 ｢형사소송법｣ 개정, 사이버안보 컨트롤타 워 설립, 민·관·군 협력체계의 법제화 방안을 중심으로 논하였다. 이를 통하여 국제공조 체계 를 강화하고, 현재 우리나라가 직면한 사이버 위협에 대응할 수 있는 법적·제도적 기반을 확립 하는 데 기여하고자 한다.

Cyber threats today are recognized not only as technical issues but as significant legal and policy challenges affecting national security, economic stability, and social order. In response, the international community adopted the Budapest Convention on Cybercrime, which establishes principles for regulating cybercrime, securing electronic evidence, and facilitating cross-border judicial cooperation. Japan has implemented these norms through the Basic Act on Cybersecurity and the National Center of Incident Readiness and Strategy for Cybersecurity (NISC), creating a centralized governance system and public–private cooperation framework. In contrast, South Korea’s dual public–private structure disperses authority and hampers collaboration, highlighting the need for a unified national control tower and the draft Basic Act on National Cybersecurity. This study examines the normative implications of the Budapest Convention and Japan’s institutional experience to propose improvements in South Korea’s cybersecurity governance, focusing on legal reforms, a centralized control tower, and a public–private–military collaborative framework. These measures aim to strengthen international cooperation and enhance national capacity to respond to evolving cyber threats.