Earticle

사물인터넷(IoT)은 4차 산업혁명의 핵심 기술로 확산되며, 개인과 기업이 방대한 데이터를 수집·활용하는 환경을 형성하고 있다. 이러한 변화는 산업 효율성과 생활 편의성을 높이는 동시에, 네트워크에 상시 연결된 기기의 특성으로 인해 개인정보 유출과 기업 정보 침해 등 사이버 침해사고의 위험을 확대시키고 있다. 이에 따라 IoT 보안을 체계적으로 관리하기 위한 법적·제도적 대응의 중요성이 커지고 있다. 해외 주요국은 IoT 보안 강화를 위해 제도 정비를 적극 추진하고 있다. 미국은 ｢연방 사이버보안 개선법｣을 통해 IoT 기기의 보안 기준을 명확히 하고, 유럽연합은 ｢사이버복원력법｣을 통해 디지털 제품 전반에 최소 보안 요건을 부과하고 있다. 또한 ‘사이버 트러스트 마크’와 같은 인증·라벨링 제도를 도입하여 소비자의 보안 인식을 제고하고 있다. 반면 국내는 ｢정보통신망법｣, ｢주택법｣, ‘IoT 보안인증제’ 등 일부 제도가 존재하나, IoT 기기를 종합적으로 규율하는 법적 기반은 미흡한 실정이다. 이로 인해 보안 책임이 명확히 정립되지 못하고, 개인정보와 기업 정보가 지속적으로 보안 위협에 노출되고 있다. 이에 본 연구는 국내외 IoT 보안 관련 법제와 제도 운영 사례를 비교·분석하여, 국내 IoT 보안 정책의 한계를 진단하고 이를 보완하기 위한 실질적인 제도적 개선 방안을 제시하고자 한다.

The Internet of Things (IoT) has expanded as a core technology of the Fourth Industrial Revolution, creating an environment in which individuals and enterprises collect and utilize vast amounts of data. While this transformation enhances industrial efficiency and everyday convenience, it also increases the risk of cyber incidents—such as personal data breaches and corporate information leakage—due to the characteristics of devices that are continuously connected to networks. Accordingly, the importance of legal and institutional responses for the systematic management of IoT security has continued to grow. Major countries have actively pursued institutional reforms to strengthen IoT security. The United States has clarified security standards for IoT devices through the Federal Cybersecurity Improvement Act, while the European Union has imposed minimum security requirements on digital products through the Cyber Resilience Act. In addition, certification and labeling schemes such as the Cyber Trust Mark have been introduced to enhance consumer awareness of security. By contrast, although Korea has certain measures in place—including the Act on Promotion of Information and Communications Network Utilization and Information Protection, the Housing Act, and the IoT Security Certification Scheme—the legal foundation for comprehensively regulating IoT devices remains insufficient. As a result, security responsibilities are not clearly defined, and personal data as well as corporate information continue to be exposed to security threats. Accordingly, this study aims to diagnose the limitations of Korea’s IoT security policy and propose practical institutional improvement measures by conducting a comparative analysis of domestic and international IoT security-related legal frameworks and policy practices.

｢인공지능 발전과 신뢰 기반 조성 등에 관한 기본법｣(인공지능기본법)은 복수의 조항에서 '안전'이라는 용어를 사용하고 있으나, 제2조(정의)에 '안전'에 대한 독립적 정의를 두고 있지 않다. 이로 인해 안전성 확보 의무의 이행 범위와 위반 여부의 판단 기준이 모호해져, 규제 적용과 법적 예측 가능성에 실질적 어려움이 초래될 수 있다. 본 연구는 인공지능기본법상 '안전' 개념의 규범적 의미와 한계를 분석하고, EU·미국·일본의 비교법적 고찰을 통해 안전 개념의 규범적 재구성 방안을 제시하는 것을 목적으로 한다. 이를 위해 먼저 안전 개념의 사전적 의미와 Safety·Security의 개념적 구분, 분야별 안전 개념의 차이를 고찰하고, AI Safety(정렬·견고성·해석가능성·통제가능성)와 AI Security(적대적 공격·데이터 오염·모델 탈취 방어)의 기술적 개념을 분석하였다. 나아가 EU AI Act의 위험 정량적 정의 및 Safety·Security 이원적 규율 구조, 미국 SB 53의 AI 고유 위험 유형의 법적 포섭과 정량적 임계값 설정, 일본 AI 촉진법의 비강제적 지도·조언 방식을 비교법적으로 검토하였다. 분석 결과, 인공지능기본법은 '안전' 정의의 부재, '위험' 개념의 확률·심각성 측정 기준 결여, AI Safety와 AI Security의 미분화라는 구조적 한계를 가지는 것으로 확인되었다. 이에 본 연구는 제2조에 '인공지능안전'과 '위험'의 독립적 정의 신설, 보호법익의 계층적 체계화, 현행 제32조의 AI Safety와 AI Security 이원적 구분을통한 안전 체계의 규범적 재구성을 제안한다.

The Framework Act on the Development of Artificial Intelligence and the Establishment of Trust (hereinafter "AI Framework Act") employs the term "safety" across multiple provisions, yet Article 2 (Definitions) does not provide an independent definition of the concept. This definitional lacuna renders the scope of safety assurance obligations and the criteria for determining regulatory non-compliance ambiguous, thereby creating practical difficulties in regulatory enforcement and legal predictability. This study aims to analyze the normative meaning and limitations of the "safety" concept under the AI Framework Act and to propose a normative reconstruction through a comparative legal examination of the European Union, the United States, and Japan. To this end, the study first examines the lexical meaning of "safety," the conceptual distinction between Safety and Security, and sector-specific variations in the safety concept, followed by a technical analysis of AI Safety and AI Security. Furthermore, the study conducts a comparative legal review of the EU AI Act's quantitative definition of risk and its dual regulatory structure for Safety and Security, California's SB 53 and its legal incorporation of AI-specific risk types with quantitative thresholds, and Japan's AI Promotion Act with its non-coercive guidance-based approach. The analysis reveals that the AI Framework Act exhibits structural limitations, including the absence of a statutory definition of "safety," the lack of probability-severity measurement criteria for the concept of "risk," and the failure to differentiate between AI Safety and AI Security. Accordingly, this study proposes a normative reconstruction of the safety framework through the introduction of independent definitions of "AI safety" and "risk" in Article 2, the hierarchical systematization of protected legal interests and the explicit bifurcation of AI Safety and AI Security within the current Article 32.

업무형 그리드 환경에서 제로 트러스트 통제 강도와 사용자 행동 및 시스템 성과 간 구조적 트레이드오프를 정량화하기 위해 시뮬레이션 플랫폼을 제안하였다. 인증 절차 강도, 인증 시간 비용, 권한 분리 수준, 규범 압박, 준수 보상, 공격자 보상 등의 변수를 단일요인 스윕 방식으로 조정하고, step-level JSONL 로그와 episode summary를 기반으로 우회율, 절차 생략률, 평균 업무 완료시간, 제출률, 기밀 유출률을 비교하였다. 분석 결과 인증 단계와 시간비용이 증가할수록 우회행동과 업무 지연이 함께 확대되었으며, 낮은 기본 권한 수준과 강한 성과압박 규범은 절차 생략과 우회를 더욱 증가시키는 경향을 보였다. 반면 준수 보상은 환경 마찰 수준에 따라 효과가 제한적이었으며, 공격자 보상이 일정 임계 구간을 넘는 경우 의도적 유출이 발생하였다. 이는 보안성과를 높이더라도 과도한 통제 마찰은 역으로 비정상 경로 선택을 유발할 수 있음을 보여주며, 산업안보 환경에서 통제 강화 자체보다 마찰 관리와 임계값 기반 정책 설계가 병행되어야 함을 시사한다.

This study proposes a work-oriented grid simulation platform to quantify the structural trade-offs between zero trust control intensity, user behavior, and system performance in industrial security environments. The experiment manipulates authentication strength, segmentation intensity, normative pressure, compliance rewards, and attacker rewards through one-factor sweeps and analyzes workaround rate, procedure skip rate, average task completion time, compliance rate, and leakage rate based on step-level logs and episode summaries. The results show that stronger authentication procedures, especially increased steps and time costs, tend to increase both workaround behavior and task delay. Lower default access levels and stronger performance-oriented normative pressure also raise the likelihood of procedure skipping and workaround actions. In contrast, compliance rewards show limited effectiveness under high-friction conditions. Intentional leakage emerges when attacker rewards exceed a certain threshold, indicating a threshold effect. These findings suggest that zero trust should be designed not only around stronger controls but also around friction management and threshold-based policy tuning.

최근 산업 현장에서 기술 유출 사고가 지속적으로 발생하며, 산업보안 전반에 대한 경각심이 높아지고 있다. 산업통상자원부(2024)에 따르면 최근 3년간 기술 유출 피해를 경험한 기업은 전체의 13.9%에 달하며, 건당 평균 피해액은 약 24억 원으로 대검찰청(2023b) 또한 산업기술보호법 위반 사건의 증가 가능성을 경고하였다. 그러나 기존 산업보안 관리체계는 예방, 탐지, 대응 단계에 집중되어 있어, 사고 이후 복구체계와 업무 연속성 확보 측면에서는 구조적 한계를 드러내고 있다. 따라서 회복력(Resilience) 확보가 산업보안의 핵심 과제로 부상하고 있지만 국내 산업보안 체계와 선행연구는 미비한 실정이다. 이에 본 연구는 산업기술 유출, 사이버 침해 등 복합 위협 환경에서 사고 이전부터 이후까지 지속적 회복력을 체계적으로 확보할 수 있도록 설계된 ISO 22313의 PDCA(Plan–Do–Check–Act) 모델을 이론적 기반으로 하여, 산업보안 사고의 전주기를 포괄하는 회복력 프레임워크를 제안하고자 한다. 이를 위해 ISO/TC 262 및 ISO/TC 292의 주요 국제표준을 분석하여 산업보안 회복력 표준 체계도를 구상하고, ISO 22313의 PDCA 모델에 따라 산업보안 회복력 표준을 재구성함으로써, 리스크 관리, 업무 연속성, 비상대응, 정보보호, 공급망 보안을 아우르는 다차원적 산업보안 회복력 프레임워크를 도출하였다. 본 프레임워크는 ISO 국제표준 회복력 기반의 구조적 정합성과 실무 적용 가능성을 바탕으로 산업보안 사고에 대한 전략적 대응 기반 구축 및 실행 가능한 산업보안 관리체계 수립을 위한 기초자료가 될 것으로 기대된다.

Technology leakage incidents continue to occur in industrial settings, heightening concerns over industrial security. According to the Ministry of Trade, Industry and Energy (2024), 13.9% of firms experienced technology leakage damage during the past three years, with an average loss of approximately KRW 2.4 billion per case. The Supreme Prosecutors’ Office (2023) also warned of a possible increase in violations of the Industrial Technology Protection Act. However, existing industrial security management systems remain largely focused on prevention, detection, and response, revealing structural limitations in post-incident recovery and business continuity. Although resilience has emerged as a critical issue in industrial security, both the domestic industrial security system and prior research on this topic remain limited. To address this gap, this study proposes a resilience framework for industrial security based on the PDCA (Plan–Do–Check–Act) model of ISO 22313, which is designed to support the systematic management of resilience across the entire lifecycle of industrial security incidents, from pre-incident preparedness to post-incident recovery and improvement. To this end, major international standards under ISO/TC 262 and ISO/TC 292 were analyzed to develop an industrial security resilience standards architecture. The relevant standards were then reconfigured according to the PDCA structure of ISO 22313, resulting in a multidimensional resilience framework that integrates risk management, business continuity, emergency response, protective security, and supply chain security. The proposed framework is expected to serve as a foundational reference for establishing a strategic and actionable industrial security management system by providing structural coherence and practical applicability grounded in ISO-based resilience standards.

해외투자를 매개로 한 산업기술 유출은 기존의 수출통제 중심 보안 체계로는 대응하기 어려운 새로운 안보 위협으로 부상하고 있다. 이에 주요국은 자국 기업의 해외 투자를 규제하거나 감시하는 아웃바운드 투자 심사 제도를 새롭게 제도화하고 있다. 본 연구는 미국, EU, 대만 사례를비교 분석하여 각국 제도의 분화 양상을 설명하고, 이를 바탕으로 한국에 적용 가능한 제도 설계원칙과 제약 요인을 도출하는 것을 목적으로 한다. 이론적으로는 무기화된 상호의존 개념을 핵심 분석틀로 활용하여, 글로벌 기술 네트워크상 허브 국가 또는 전략 자산 보유국이 자본과 기술의 흐름을 어떻게 통제하거나 보호하는지를 분석하였다. 비교 분석 결과, 글로벌 기술 네트워크상의 위치, 대중 경제의존도, 동맹 결속 강도라는 세 변수가 각국 규제 유형의 분화를 설명하는 중요한 요인임을 확인하였다. 미국은 OISP를 통해 금지 및 신고 의무를 포괄하는 금지형 접근을 채택하였고, 대만은 양안관계의 특수성을 반영한 사전허가형 체계를 운영해 왔으며, EU는 회원국 간 이해관계를 조율하는 감시형 메커니즘을 채택하였다. 한국은 미국, EU, 대만의 제도를 그대로 채택하기 어려운 딜레마형 국가로 규정된다. 수출통제와 외환관리로 이원화된 현행 체계는 자본과 기술이 결합된 전략적 투자를 통합 심사할 법적 근거가 부재하며, 동시에 한국은 제한적인 초크포인트 능력을 보유하면서도 높은 대중 경제의존도와 미국 주도의 제도 정합성 요구에 직면해 있기 때문이다. 이에 본 연구는 한국에 적용 가능한 아웃바운드 투자 심사 제도의 완결된 모델을 제안하기보다, 비교 사례 분석을 바탕으로 핵심 안보 기술 중심의 규제 범위 설정, 위험 기반·단계적 접근, 국가중립적 문언, 투자 유형별 차등 심사, 국제 협력과 규제 주권의 병행이라는 제도 설계 원칙을 도출하고, 이를 규제 대상과 방식, 국제 협력과 외교적 균형, 투자 유형별차등 심사의 세 차원에서 제한적으로 검토하였다. 아울러 이러한 논의는 중국의 경제보복 가능성과 미국의 제도 정합성 요구 강화라는 대외적 제약 속에서 검토되어야 함을 지적하였다. 이는 한국의 아웃바운드 투자 심사 논의를 위한 비교분석의 기준과 제도 설계의 출발점을 제시한다는 점에서 의의를 갖는다.

Technology leakage through outbound investment has emerged as a security challenge that traditional export controls cannot adequately address. In response, the United States and other advanced economies have introduced outbound investment screening mechanisms. This study compares the United States, the European Union, and Taiwan to explain the divergence of their institutional models and to derive design principles and constraints relevant to Korea. Using weaponized interdependence as its analytical framework, it shows that three variables—position in global technology networks, economic dependence on China, and degree of alliance cohesion—help explain variation in regulatory types. The United States adopted a prohibition-type model through the OISP, Taiwan has long maintained a prior-approval system shaped by cross-strait relations, and the EU has pursued a monitoring-based approach coordinating divergent member-state interests. Korea is characterized as a “dilemma-type” country that cannot readily adopt any of these models. Its current framework lacks a legal basis for integrated screening of strategic investments combining capital and technology, while Korea also faces limited chokepoint capabilities, high economic dependence on China, and U.S.-led demands for regulatory alignment. Rather than proposing a full Korean model, this study derives design principles from comparative analysis: limiting technological linkage to core security technologies, adopting a risk-based and gradual approach, using nationally neutral legal language, differentiating screening by investment type, ensuring enforceability, and pursuing international cooperation alongside regulatory autonomy. It argues that such discussions must also consider external constraints, including the risk of Chinese economic retaliation and intensifying U.S.-led alignment pressures. The study thus offers a comparative benchmark and a starting point for future institutional design discussions in Korea.

정보보호 요구가 고도화되는 금융산업 환경에서, 기존 정보보호 공시제도의 정보 비대칭성과 정성 중심의 공시구조로 인해 기업 간 보안 수준을 객관적으로 비교하기 어렵다는 한계를 지닌다. 또한 정보보호 공시제도는 금융권의 특수성을 충분히 반영하지 못한다. 이에 본 논문에서 금융권을 기반으로 기존 정보보호 공시제도의 구조적 문제를 규범적으로 분석하고, 금융권에 적합한 정보보호 공시항목의 표준화, 보안 공시 등급체계, 인센티브 구조를 결합하여 이러한 한계를 보완하기 위한 제도적 개선안을 제시한다. 이를 구현하기 위한 방법으로, 공시정보의 위·변조를 방지하고 이력의 신뢰성을 확보하기 위한 블록체인 기반 무결성 보장기술과, 공시항목의 이상징후를 탐지하고 점검의 효율성을 높이기 위한 인공지능 기반 이상탐지기법을 결합한 새로운 공시체계 모델을 제안한다. 이러한 공시 모델은 정보의 접근성을 높여 모든 이해관계자에게 동등하게 알 권리를 보장함으로써, 정보의 공공성과 투명성을 한층 강화하는 데 기여할 수 있다. 이를 통해 정보보호 공시제도의 실효성을 제고하고 참여자 간 신뢰를 체계화함으로써 국내 금융 생태계의 신뢰 기반 형성에 기여하고자 한다.

As information security requirements in the financial sector become increasingly sophisticated, the existing information security disclosure system faces significant limitations. In particular, information asymmetry and a qualitative-oriented disclosure structure make it difficult to objectively compare security levels across firms. Furthermore, the current system fails to sufficiently reflect the unique characteristics and regulatory environment of the financial sector. Accordingly, this study conducts a normative analysis of the structural limitations of the existing information security disclosure system and proposes institutional improvements tailored to the financial industry. These improvements include the standardization of disclosure items, a security disclosure rating system, and an incentive-based framework. To support implementation, this study further proposes a new disclosure system model that integrates blockchain-based integrity assurance technology—to prevent tampering and ensure the reliability of historical records—with AI-based anomaly detection techniques to identify irregularities and improve audit efficiency. This model enhances information accessibility by ensuring equal access for all stakeholders, thereby strengthening the public nature and transparency of disclosed information. Ultimately, this study aims to improve the effectiveness of the information security disclosure system, foster trust among participants, and contribute to the establishment of a robust, trust-based domestic financial ecosystem.

이 연구는 급변하는 국제 안보 환경과 복합위협의 확산 속에서 국가기반시설을 표적으로 하는 테러·교란 위협에 대응하기 위한 한국형 국가 물리보안체계의 발전방향을 도출하는 데 목적이 있다. 현대의 국가기반시설은 전력·통신·교통·금융·공항·원전 등 국가 기능의 연속성과 사회 안정에 직결되는 핵심 자산으로, 상호의존성이 높아 단일 장애가 국가적 위기로 확산될 가능성이 크다. 특히 최근 위협은 상징시설 공격에서 도시형·다중시설형 테러로 확대되고, 나아가 사이버–물리 융합 공격으로 진화하고 있어, 기존의 시설 경비·출입통제 중심 물리보안만으로는 한계가 있다. 이에 본 연구는 하드타깃화, 심층방어, 회복탄력성, 통합지휘·정보융합을 핵심 분석틀로 설정하고, 미국 9·11, 영국 런던 7·7, 프랑스 파리 11·13 사례를 비교하였다. 아울러 국내 대테러 법제와 서울 G20 정상회의, 평창 동계올림픽, 원전·공항·철도 보안 운영 사례를 검토하여 한국 체계의 강점과 한계를 진단하였다. 분석 결과, 국제 사례는 공격 유형의 차이에도 불구하고 표준화, 정보융합, 전주기 관리, 통합지휘 강화라는 공통된 체계 전환을 보여주었다. 반면 한국은 제도적 기반과 기술적 성과를 축적하였음에도 법·제도의 분산성, 상시 통합지휘의 미흡, 데이터 융합 부족, 회복탄력성의 제도화 한계가 존재하는 것으로 나타났다. 이에 본 연구는 한국형 국가기반시설 물리보안체계의 발전방향으로 첫째, 통합지휘와 정보융합의 상설화, 둘째, 예방, 탐지, 지연, 대응, 복구 기반 전주기 회복탄력성의 제도화, 셋째, 시설 유형별 차등화된 방호 철학과 표준의 정착을 제시하였다. 본 연구는 국가기반시설 물리보안을 단순한 시설 방호가 아니라 국가 기능의 지속성과 공공안전을 위한 통합적 보안 거버넌스의 문제로 재정의하였다는 점에서 의의가 있다.

This study aims to identify directions for the development of a Korean national physical security system capable of responding to terrorism and disruptive threats targeting critical infrastructure in the context of a rapidly changing international security environment and the spread of complex threats. Modern critical infrastructure—including power, telecommunications, transportation, finance, airports, and nuclear facilities—constitutes essential assets directly linked to the continuity of state functions and social stability. Because these infrastructures are highly interdependent, the failure of a single sector can escalate into a national-level crisis. In recent years, threats have evolved from attacks on symbolic targets to urban and multi-site terrorism, and further to cyber-physical converged attacks. Under such conditions, conventional physical security centered on facility guarding and access control is no longer sufficient. To address this issue, this study establishes hard targeting, defense in depth, resilience, and integrated command and information fusion as its principal analytical framework, and compares three representative international cases: the September 11 attacks in the United States, the July 7 London bombings in the United Kingdom, and the November 13 Paris attacks in France. In addition, the study examines Korea’s counterterrorism legal framework and selected operational cases, including the Seoul G20 Summit, the PyeongChang Winter Olympics, and security operations at nuclear power plants, airports, and railways, in order to diagnose the strengths and limitations of the Korean system. The findings indicate that, despite differences in attack type and operational context, international cases reveal a common pattern of systemic transition characterized by standardization, information fusion, life-cycle management, and strengthened integrated command. By contrast, although Korea has accumulated institutional foundations and technological capabilities, several structural limitations remain, including fragmented laws and regulations, insufficient institutionalization of permanent integrated command, limited data fusion, and underdeveloped resilience-based governance. Based on these findings, this study proposes three major directions for the advancement of Korea’s physical security system for national critical infrastructure: first, the institutionalization of permanent integrated command and information fusion; second, the establishment of whole-of-cycle resilience based on the PDRDR model of prevention, detection, delay, response, and recovery; and third, the adoption of differentiated protection philosophies and standards, including SOPs and KPIs, according to facility type. This study is meaningful in that it redefines physical security for critical infrastructure not merely as facility protection, but as a matter of integrated security governance for the continuity of national functions and public safety.