해운 항만 시스템의 디지털화와 정보화의 급속한 발전으로 사이버보안에 대 한 위협도 함께 증가시켰으며, 최근에는 그 위협이 점점 더 가속화되어 실질적 인 재산상의 피해를 발생시키고 있다. 이에 따라 전 세계는 경제적 피해와 함 께 안보 위협까지 발생시킬 가능성이 높은 사이버보안 위협을 핵심 과제로 선 정하여 대응하고 있으며, 특히 사이버 위협에 대응하기 위한 기술적, 제도적 요구사항을 법제로 제정하기 위해 노력하고 있다. 최근 세계 주요 선진국과 국제기구 등을 중심으로 사이버보안 강화를 위해 종합적인 법제도 정비를 하고 있다. 그러나 우리나라는 관련 법제의 부재와 사이버보안 전문인력의 부족으로 인해 사이버보안 위협에 효과적인 대응이 어려 운 상황이다. 특히 관련 법제의 부재는 다양한 법률 규제와 상충하거나 통합적 인 집행을 어렵게 한다. 또한 사이버보안 전문인력의 부족은 기술적 대응 능력 을 저해한다. 이 연구는 해운 환경의 특징 및 표준에 부합하는 입법 방안을 제시하는 것을 목적으로 한다. 이를 위해 주요 선진국의 선박 사이버보안 법령과 규정을 비교 분석하여 시사점을 도출하였으며, 법령의 접근성과 규제의 일관성을 중심으로 기술적 및 물리적 수용 방안을 검토하였다. 이러한 결과를 중심으로 우리나라 해사분야 사이버보안 강화를 위한 법률 제정 방안을 제시하였다.

본 연구는 바이든 행정부가 제시한 새로운 경제 협력체인 인도-태평양 경제 프레임워크(IPEF)를 중심으로 그 통상정책의 특징을 살펴봄으로써 한국이 경제안보를 위해 어떠한 통상 외교 전략을 펼쳐야 하는지에 대한 분석을 그 목적으로 한다. 기존 FTA와 달리 관세 철폐와 같은 시장 접 근 문제를 포함하고 있지 않은 새로운 형태의 경제 협력체인 IPEF는 국 제통상질서에서의 미국의 리더십 회복과 동시에 국내 산업의 지지를 확 보할 수 있는 통상정책의 수립이라는 바이든 행정부의 경제안보 전략이 반영된 결과이다. 그 의도와 관계없이 IPEF는 대외적으로 중국을 견제하 기 위한 목적의 경제협력체로 인식되고 있는 상황 아래, 한국의 IPEF 가 입 결정을 둘러싼 논쟁이 지속되고 있다. 본 연구는 이러한 논쟁이 오바 마 행정부 이후 지속되고 있는 미-중 주도의 경제협력체 가입을 둘러싼 논의와 크게 다르지 않다는 점을 기반으로, 중국 주도의 RCEP과 미국 주도의 IPEF가 서로 배타적 관계가 아닌 상호보완적 관계라는 인식 아 래, 양 협력체에 적극적으로 참여하는 것이 대표적 통상국가인 한국의 경제안보를 위한 통상 외교 전략임을 제시한다.

For most organizations, a security infrastructure to protect company’s core information and their technology is becoming increasingly important. So various approaches to information security have been made but many security accidents are still taking place. In fact, for many Korean companies, information security is perceived as an expense, not an asset. In order to change this perception, it is very important to recognize the need for information security and to find a rational approach for information security. The purpose of this study is to present a framework for information security strategies of companies. The framework classifies companies into eight types so company can receive help in making decisions for the development of information security strategy depending on the type of company it belongs to. To develope measures to classify the types of companies, 12 information security professionals have done brainstorming, and based on previous studies, among the factors that have been demonstrated to be able to influence the information security of the enterprise, three factors have been selected. Delphi method was applied to 29 security experts in order to determine sub items for each factor, and then final items for evaluation was determined by verifying the content validity and reliability of the components through the SPSS analysis. Then, this study identified characteristics of each type of eight companies from a security perspective by utilizing the developed sub items, and summarized what kind of actual security accidents happened in the past.

대부분의 조직에서 핵심 자산으로 분류되는 정보와 기술을 보호하기 위한 보안 환경 구축과 이에 대한 운영 업무는 그 어떤 업무보다 중요해지고 있다. 이에 따라 다양한 방법으로 정보 보안에 대한 접근이 이루어지고 있지만, 보안 사고는 지속적으로 발생하고 있으며 그 빈도나 피해 규모 역시 줄어들지 않고 있다. 우리나라의 기업 정서상 정보 보안은 안정성을 유지하기 위한 투자 개념이 아닌 소모성 비용으로 인식되고 있는 것이 사실이다. 이러한 인식을 바꾸기 위해서는 정보 보안의 필요성에 대해 정확히 인지하고 최소한의 비용으로 최대의 효과를 얻을 수 있도록 합리적인 접근 방법을 찾는 것이 무엇보다 중요하다. 본 연구의 목적은 정 보 보안에 접근하고자 하는 기업의 상황에 맞는 전략 유형 틀을 제시하는데 있다. 이 프레임워크는 기업의 유형을 8가지로 분류하는데, 각 기업은 자사가 속한 유형에 따라 정보 보안 전략 수립 의사결정을 지원 받을 수 있다. 본 연구에서는 기업의 유형을 분류하기 위한 척도 개발을 위해 보안 관련 전문가 12명과 브레인스 토밍을 진행하고 선행 연구를 바탕으로 기업의 정보보안에 영향을 미칠 수 있다고 검증된 요인 가운데 양극의 영향 요인 3가지를 선정하였다. 그리고 각각의 요인 별로 세부 척도 항목을 다시 29명의 보안 관련 전문가를 대상으로 델파이(Delphi) 기법을 활용하여 개발한 후 SPSS 분석을 통해 구성 요인의 내용타당도 및 신뢰도를 검증하여 최종 평가를 위한 항목을 개발하였다. 그리고 개발된 항목을 활용하여 보안의 관점으로 본 8가지 기업의 유형은 각각 어떤 특징을 가지고 있으며, 주로 해당되는 기업과 실제 사고 사례에 대해 정리해 보았다. 본 연구의 결과는 처음 정보 보안에 접근하고자 하는 기업이나 새롭게 정보 보안 전략을 수립하고자 하는 기업에 기초가 될 자료로서 의사결정을 지원할 결과를 산출하는데 도움을 줄 것으로 기대한다.

본 글은 미국의 정보통신망의 보호에 대한 정부규제와 자율규제, 그리고 업계의 자발적인 노력에 대한 실태 조사를 목적으로 쓰였다. 미국의 정부규제에 비추어 우리가 차용할 수 있는 정부규제와 정부규제를 적용하기 전에 자율규제를 통하여 같은 목적을 성취할 수는 없는지, 또한 기술적인 부분에서 업계의 노력이 더해진다면 정부의 효율적인 자원의 이용이 될 수는 있지 않은지 살펴 보고자 한다. 미국의 자율규제에 대한 실태조사를 통해 호주와 일본의 모범사례를 발견하여 두 사례도 간략히 다루었다. 미국의 사이버보안에 대한 연방법과 미국정부 보고서를 살펴본 결과 미 연방법에서는 타인의 컴퓨터나 네트워크에 접근하여 타인의 컴퓨터나 시스템에 손상을 입히는 여러 행위들을 규정하되 사생활의 보호와 범죄의 방지와 처벌이라는 두 가치의 공존을 위한 균형을 조심스럽게 찾고 있다. 정부보고서에서는 미 정부가 강력한 리더쉽을 가질 것을 제안하지만 정부의 일방적인 주도에 의한 사이버보안보다는 정부와 민간기업의 공조를 통한 사이버 보안을 이룰 것을 촉구하고 있다. 미국의 자율규제 환경을 살펴보면, 정부주도의 규제보다는 모범 사례의 발굴 및 홍보를 통하여 사용자 보안을 추구하는 것이 보다 효율적이라는 미국 정부의 인식을 엿볼 수 있다. 그 어떤 분야보다도 발전의 속도가 빠른 IT산업의 특성상, 정부는 네트워크의 위험을 줄이고 치명적인 의존 상태가 어디에 있는지 찾아내어 위협을 감소시킬 수 있는 방법을 제시하는 역할에 충실하고, 그 구체적인 적용에 대해서는 각 산업별로, 그리고 서비스제공자별로 모범 사례를 찾아서 널리 장려하는 방법이 효과적이라고 미국 정부는 보았다.정부 주도의 규제 방식, 특히 정부가 주체가 되어 사용자 컴퓨터 사용 환경을 모니터링하는 방식에는 사용자와의 “신뢰 모델”을 깨뜨릴 수 있다는 위험이 상존하며, 그러한 경우 정부로서는 “사생활의 보호”와 “정부와 사용자간 신뢰 구축”이라는 두 가지 문제를 해결해야 하는 부담을 안게 된다. 그러한 이유로 미국 정부는 “신뢰 모델”과 “사후 조치 모델”이라는 기조를 취하게 된 것이다. 충분한 사용자 교육을 전제로 하여, 업계의 자율적 규제를 보충하고 사후 처벌을 위한 수단으로 사용될 때 정부 규제는 그 효과를 극대화할 수 있을 것으로 보인다.