정보보호 인식과 정책 간의 연관성에 관한 연구

‘정책’이란 사회문제를 해결하기 위한 정부의 의도적인 조치를 의미한다(김정수, 2016). 좀 더 구체적으로 보면 바람직한 사회상태를 이룩하려는 정책목표와 이를 달성하기 위해 필요한 정책수단에 대한 권위 있는 국가기관이 공식적으로 결정하는 방침(정정길, 2015)이라고 할 수 있다. 또한 정책은 의도적 변화를 담고 있는 미래 지향적인 특성도 가지고 있다(임동진, 2002). 따라서 정책은 집행의 주체로서 공공문제 등의 해결이나 목표 달성을 위하여 정부가 시행하는 권위 있는 결정의 산물이다.

한편, ‘인식’은 인간의 실천에서 시작되며, 실천을 통하여 처음으로 감각적 직관에 의한 직접적·개별적·구체적인 감성적 인식이 형성된다. 이는 사물의 본성을 포착하는 것이 아니라 외면적인 인상 같은 것이다. 이 감성적 인식을 바탕으로 하여 다시 실천을 계속하면서 그릇된 점은 점진적으로 정정되고 개선되며, 다른 사물과 비교하고 구별하면서 개념, 판단, 추리를 활용하여(위키피디아, 2017) 사물의 본질에 대한 이성적 인식을 최종적으로 보유하게 된다.

만일 국민이 정부에 대한 부정적인 인식을 가지고 있다면 정부를 신뢰하지 않기 때문에 낮은 정부 지지율이 나타나게 된다. 이로 인해 정부는 정책을 수립하고 실제 수행하는 과정에서 국민의 신뢰나 지지를 확보한 상황에 비해 상대적으로 보다 많은 비용을 지불해야 하고 결과적으로 목표한 정책효과를 얻지 못하여 정책적 실패 또는 정부적 실패로 이어질 수 있다(행정연구원, 2013). 따라서 정책과 정책에 대한 인식 간에는 상호 관계성이 있다고 할 수 있다.

정책 환류는 정책 시행 과정의 마지막 기능이라 할 수 있다. 환류의 사전적 정의는 어떤 과정이 마무리 단계에서 끝나는 것이 아니라 처음으로 되돌아가서 다시 계속되는 것을 의미한다(김진숙, 2005). 또한, 정책평가에 대한 결과가 다시 정책의 결정체제, 집행 등의 개선에 활용되는 것을 정책 환류로 보는 견해도 있으며(김명수, 2016), 정책이나 사업의 산출 결과를 해당 정책이나 사업에 재투입하는 과정으로 볼 수도 있다(임동진, 강영철, 2009).

정책 환류는 정책의 형성, 집행, 평가의 다음 단계를 구성한다. 즉, 정책평가는 정책집행에 따른 효과를 판단하는 작업이며, 환류는 이와 같은 정책효과를 다시 정책에 대한 정보로 활용하는 것을 의미한다고 할 수 있다. 또한, 정책평가는 정책의 효과성을 검증하는 과정이고 정책 환류는 그 정책이 결정되거나 검증된 후에도 하나의 특정한 과정으로 존재하여 또 다른 정책 결정을 할 때 참고할 수 있다. 그러므로 일단 결정된 정보보호 관련 정책은 차후 생성될 관련 정책들에 계속 긍정적이거나 부정적인 영향을 줄 수 있다.

이러한 관점으로 볼 때, 국민의 정보보호 인식 제고에 긍정적인 영향을 미치게 되는 정책은 해당 정책의 시행내용과 이에 대한 개선정책을 통하여 지속적으로 국민의 정보보호 인식 향상에 기여할 수 있으므로 정책과 정보보호 인식 간의 관계성은 매우 중요하다고 할 수 있다.

정보보호 정책은 본질적으로 조직 전체 차원의 정보보호 원칙과 지침으로 구성되어야 하고, 정보보호 정책에는 개인의 권리, 법적 요건, 기준에 대한 정책을 포함한 광범위한 정책이 반영되어야 한다(한국정보보호진흥원, 2002).

따라서 조직은 정책을 구현하고 조직의 목표와 일치하도록 명확한 접근방식으로 사용자, 관리자, 제공자 모두에게 제공할 수 있는 표준, 지침, 절차를 개발해야 한다. 또한, 표준과 지침은 시스템을 보호하기 위한 기술과 방법을 명시해야 하고, 절차는 정보보호와 관련된 작업을 수행할 수 있도록 상세하게 기술되어야 한다.

이러한 정보보호 정책을 국가적 차원에 적용하기 위해서는 정보보호 정책이 국민의 정보보호 원칙과 지침으로 구성되어야 하는 것은 물론이고, 국민 개개인의 권리, 법적 요건, 기준에 대한 내용을 포함한 보다 광범위한 국가적 정책이어야 한다.

국가정보화백서는 국민이 국가정보화를 쉽게 이해하고 이용할 수 있도록 체계적으로 정리한 문서로서, 국가와 사회 전반의 정보화 현황과 성과, 개선사항 등을 종합적이고 객관적으로 정리하고 분석하여 국가정보화의 발전적인 추진방향을 제시하고 있다(한국정보화진흥원, 2017). <표 1>은 국가정보화백서의 최초 발간본(한국전산원, 1993)과 현재 발간본(한국정보화진흥원, 2016)의 현황을 비교한 것이다.

<표 1>

국가정보화백서 최초 및 현재 발간 현황 비교

<표 1>에서 나타나듯이 최초 발간본에 비해 현재의 발간본은 사회 부문과 국민생활 부문이 강조되어 있는 것과 국제화 시대에 발맞추어 세계의 정보화 내용이 추가되어 있는 것을 볼 수 있다. 이는 국민 생활에서 국가정보화 정책이 중요한 역할을 하고 있으며, 세계의 정보화 정책을 확인하고 동향을 파악하는 일 또한 점차 중요해지고 있음을 보여주는 지표이다.

국가정보보호백서는 2002년부터 ‘개인정보보호백서’라는 이름으로 발간되었으며, 2008년부터는 국가정보원과 방송통신위원회에서 국민의 안전과 편리한 정보환경을 위해 ‘국가정보보호백서’라는 이름으로 바꾸어 발간하고 있다. 2010년에는 방송통신위원회, 행정안전부, 지식경제부에서 국가보안기술연구소, 한국인터넷진흥원과 합동으로 발간하였으며, 2015년부터는 국가정보원, 미래창조과학부, 방송통신위원회, 행정자치부에서 한국인터넷진흥원, 국가보안기술연구소와 합동으로 발간하고 있다. <표 2>는 국가정보보호백서 최초 발간본과 국가정보보호백서 현재 발간본의 현황을 비교한 것이다.

<표 2>

개인정보보호백서 최초 및 국가정보보호백서 현재 발간 현황 비교

<표 2>에서 나타나듯이 최초 발간본에 비해 현재의 발간본은 개인정보뿐만 아니라 각 분야별 정보보호 추진에 대한 내용 등 취급 범위가 확대된 것을 알 수 있고, 발간기관 또한 관련 정부기관이 함께 참여하여 공동으로 발간하고 있는 것이 이전과 변화된 모습이라 할 수 있다.

매년 정부(현. 과학기술정보통신부, 구. 미래창조과학부)가 주관하고 한국인터넷진흥원이 개인과 기업을 대상으로 정보보호와 관련된 설문조사인 정보보호 실태조사를 실시한다. 설문조사 기간은 기업의 경우 3개월, 개인의 경우 1개월로 하며 사업체와 가구를 대상으로 방문 설문조사를 실시하고, 이렇게 조사된 결과를 분석한다.

이 보고서는 1998년 정보화 역기능 실태조사라는 명칭으로 출발하였고 조사의 발간 목적은 국내 정보보호와 관련된 다양한 분야의 통계를 심층적으로 파악하여 통계작성 담당자에게 포괄적이고 상세한 정보를 제공하기 위함이다(한국정보보호센타, 1998). 여기에는 통계개요, 통계설계, 자료수집, 자료입력 및 처리, 통계 결과 및 공표, 이용자서비스, 통계 기반 및 개선 등에 대한 설명이 수록되어 있다(미래창조과학부·한국인터넷진흥원, 2016). <표 3>은 인터넷 관련 최초의 실태조사인 정보화 역기능 실태조사 최초의 발간 내용과 정보보호 실태조사 현재의 발간 내용을 비교한 것이다.

<표 3>

정보보호 실태조사 최초 및 현재 발간 현황 비교

과학기술과 정보통신기술의 발전에 힘입어 정보보호 환경은 그 수준이 지속적으로 향상되어 왔다. <표 8>에서 나타난 2003년 이후 정보보호 위협 형태의 시계열 동향을 보면(위키피디아, 2017. 10.20), 2000년대 초반에는 옥션, GS 칼텍스 대상으로 일어난 해킹은 개인적 수준의 정보 유출 피해가 다수 발생하였다. 그러나 2000년도 후반으로 갈수록 그 공격대상과 수준이 공공기관 등 공공영역을 대상으로 공격의 대상이 확대된다. 이러한 대표적인 사례가 2009년에 발생한 7·7 DDoS 공격이었다.

<표 8>

2003년 이후 정보보호 위협 형태의 시계열 동향

2010년부터 2015년까지 공격빈도와 그에 따른 피해 정도가 지속적으로 심화되었다. 특히, 사회적으로 인식이 높은 3·4 DDoS 공격, 농협전산망 마비 사태, 10·26 DDoS 공격, 3·20 전산대란, 농협전산망 마비 사태, 10·26 DDoS 공격, 3·20 전산대란, 한수원 사이버테러 등이 발생하였다. 이러한 사례는 개인적인 수준에서 이루어지는 해킹 사고가 아니라 어느 특정 집단(단체)에서 이루어진 사회적 및 정치적 목적을 띤 해킹이라고 볼 수 있는 것이다. 이러한 정보보호의 상황 변화로 정보보호는 개인의 정보보호 차원을 넘어서 국가의 정보보호 차원으로 그 중요성이 확대되었고, 이는 이러한 새로운 정보보호 위협 변화에 부합한 정책적 대응이 필요하다는 것을 의미한다. 2015년 이후에도 국방부 해킹 등으로 정보보호 위협이 지속되고 있다.

앞의 2010년 이후 정보보호 위협 형태의 시계열 동향인 <표 8>을 연도별도 나타난 피해규모와 공격대상 등을 수준별 비교로 전환하면 <그림 4>와 같다.

<그림 4>

연도별 정보보호 위협의 건수, 피해규모, 공격대상 수준 비교

정보보호 위협 건수가 많은 연도는 2011년, 2012년, 2014년이었다. 피해규모 누적 정도에 있어서 큰 시기는 2011년, 2012년, 2014년으로 나타났다. 그리고 공격대상(① 업무방해, ② 데이터탈취, ③ 사이버범죄, ④ 정치적 목적, ⑤ 파괴목적)의 수준(Jiransecurity, 2016. 6. 30)을 비교하면 높은 위협 시기는 2011년, 2012년, 2014년이다. 이처럼 정보보호 위협 건수의 피해 누적 정도는 2011년과 2012년이 다른 연도에 비해 높은 것을 알 수 있고 이에 대해 정보보호 위협이 많았기 때문에 피해 누적 정도도 커진 것으로 해석할 수 있다.

게다가 정보보호 위협과 피해의 심각성이 지속 유지됨에 따라 국민들의 정보보호 중요성 인식도 점차 높아진다고 볼 수 있는데, 이는 정보보호 중요성 인식의 상승국면(2010～2012)이 이러한 해석을 지지해준다고 생각된다.

하지만, 2014년은 이러한 해석과 다소 상반된 결과를 보인다. 즉, 2014년에는 정보보호 위협 강도와 피해 누적 정도가 큰 것으로 나타났으나, 정보보호 중요성에 대한 인식 경향은 2013년부터 하강하고 있는데 이 시기에 반등으로 이어지지 못하고 지속 하락하였다. 반면 2015년은 2014년보다 위협 건수와 피해 정도가 낮았는데 정보보호 중요성 인식이 반등하여 2014년과 2015년 사이에 국민의 정보보호 중요성 인식에 다른 영향 요인이 있을 것으로 예측할 수 있다.

따라서 국내적으로 정보보호 위협 특성과 그 피해 양상 수준의 심화에 따라 사이버 공간에서 국민의 자유로운 활동을 보장하기 위하여 개인 또는 기업 차원의 정책 수립보다 국가의 전 영역에서 사이버 안보를 형성할 수 있는 국가적인 정책 수립이 필요할 것이고, 국민이 느끼고 인식하는 정보보호 중요성 인식을 향상시키기 위하여 교육 및 홍보 등 정책적인 활동도 필요할 것으로 본다(김태형, 2017. 8. 4).

① 특성 분석

국가정보화백서는 연도별로 각각의 특성이 나타나며, 이를 국면별로 대조하여 구체적으로 파악해 보면 <표 9>와 같이 3가지로 그 특성을 정리할 수 있다.

<표 9>

국면별 기간에 출판된 국가정보화백서들에 나타난 정보보호 정책방향 분석

상승국면에서는 2010년의 ‘정보보호 기반조성’의 정보보호 정책 주제가 2011년부터 변경되어 2012년까지 ‘안전한 사이버 환경조성’으로 변화하였다. 이는 새로운 정보보호 환경 변화에 부합한 정보보호 정책이 수립되었음을 보여준다.

그러나 하강국면에서는 2012년도 ‘안전한 사이버 환경조성’의 주제가 2013년도와 2014년도에 이르러서 2010년도의 ‘정보보호 기반조성’으로 변화하였다. 이는 새로운 정보보호 위협 환경에 부합하지 못하고 기존의 주제로 복귀하였음을 보여준다.

반등국면에서는 2014년도의 ‘정보보호 기반조성’이 2015년에 ‘정보보호’로 변화하고 항목도 간소화되었다. 그러나 이 시기에 정보보호 위협을 보면 상승과 하강국면에서 나타난 심각한 피해와 사회적 인식이 크지 않다.

좀 더 구체적으로 2010년부터 2015년 사이에 출판된 6권의 ‘국가정보화 백서’에서 제시된 ‘정보보호의 정책 방향 및 주요 내용’을 대표하는 내용으로 비교하면 ‘정보보호 기반 조성’과 ‘안전한 사이버 환경조성’으로 2가지 유형으로 구분할 수 있다.

‘정보보호 기반 조성’의 의미를 2010년 국가정보화백서가 기술한 내용을 통하여 그 의미를 파악해 보면(국가정보화백서, 2010), 정보호호 현황 및 정책(사이버침해사고 발생 현황, 해킹사고 발생현황), 정보보호 관련 주요 이슈 사항(침해사고 발생, 소셜네트워크에 대한 사회공학적 공격 급증, 새로운 ICT 서비스의 등장과 정보보호 중요성 부각), 정보보호 주요정책 현황 및 추진방향(제2의 디도스 공격 예방·대응체계 고도화, 개인정보보호체계 강화, 국가 주요 정보통신기반시설 보호체계 강화, 인터넷뱅킹 및 전자결재 사고 예방·대응 체계 강화, 공인인증서 이용활성화로 인터넷 신뢰 기반 조성, 정보보호 전문 인력 양성 및 고용 확대, 스마트폰 등 신규 IT 융합서비스 보안체계 강화, e콜센터 118 개소)으로 기술하고 있다. 또한 2012년 이후 국가정보화백서를 보면 2013년에는 정보보호 및 법·제도(사이버침해사고 현황, 분야별 정보보호실태, 정보보호 법제도, 정보보호 기술 개발 및 연구 등)로 기술하고 있다. 이는 2014년과 동일하다. 즉, 기존 정보보호 수준에 기반한 정책적 방향을 결정하였다고 할 수 있다.

반면 ‘안전한 사이버 환경조성’ 의미를 2011년 국가정보화백서가 기술한 내용을 통하여 살펴보면(국가정보화백서, 2011), 정보보호 정책 수립(우리나라 정보보호 현 위치, 전자정부비스 보안수준 제고, 정보보호 중기 종합계획, 정보보호교육·홍보), 사이버 침해사고 예방 및 대응(사이버침해사고 발생 현황, 사이버침해 예방·대응체계 강화), 전자서명인증체계 구축(공인전자서명인증체계 활성화, 공인인증기관 지정 및 공인인증서 발급 현황), 정보통신기반시설보호, 정보보호시스템평가·인증제도, 정보보호 관리체계와 소프트웨어 개발보안체계 등으로 기술하고 있다. 특히, 정보보호 정책 변화에 관련하여 “2011년 3·4 DDoS 공격 이후 국가적인 사이버위기에 대응하기 위해, 국가정보원, 행정안전부, 방송통신위원회, 경찰청, 금융결제원 등 유관기관이 합동으로 ‘국가 사이버안보 마스터플랜(2011.8)’을 마련하는 등 국가적인 대응이 필요한 사이버 공격에 대해 범정부적인 공조체제를 가동하고 있으며, 지자체 위협정보 연계 확대를 위한 위협정보 분석시스템을 보강하였다”고 국가적 차원의 활동을 기술하고 있다. 즉, 새로운 위협인 사이버 공격에 기반한 정책적 방향을 결정하였다고 할 수 있다. 2015년에는 그동안 금융·통신·인터넷 등 다양한 분야에서 발생하는 사이버 위협에 대응하기 위하여 ‘정보보호가 기본이 되는 사회, 창조경제 먹거리 사업화’라는 비전과 중요 추진 과제를 담은 ‘K-ICT 시큐리티 발전 전략(2015. 4)’을 수립하였다고 기술하고 있다.

따라서 정보보호 중요성에 대한 국민의 인식은 정보보호 정책 방향에 따라 좌우될 수 있음을 확인할 수 있다.

② 수준 분석

연도별 국가정보화백서 수준평가는 <표 10>과 같이 93.5점에서 100점까지 측정되었다. 현장 평가가 제한되는 항목을 만점으로 부여하고 기타 세부항목에서도 관련 항목이 기재되어 있으면 만점을 부여하여 100점에 이른다.

<표 10>

연도별 국가정보화백서 수준평가 지표 및 내용

국가정보화백서에 정보보호 준비도 평가 세부 평가지표를 적용하여 살펴본 결과는 다음과 같다. 정보보호리더십에서 2010년부터 2015년까지 정보보호 최고책임자 지정, 정보보호 의사소통 및 정보제공, 정보보호 운영방침에 대한 정책은 잘 이루어졌기에 모든 항목에 대하여 최고점 5점, 5점, 4점을 부여하였다. 2010년에는 소프트웨어 강국 도약전략이나 정부차원의 3D 산업 발전전략 등을 발표하였고, 2011년과 2012년에는 스마트 전자 정부 계획, 2013년에는 정부 3.0추진 기본 계획 등을 통해 정부서비스를 국가 핵심 추진 과제로 삼아 해당 활동들이 잘 이루어짐을 알 수 있다.

정보보호 자원관리에서 2010년부터 2015년까지 정보보호 추진계획과 정보보호 이행점검과 같은 정보보호에 대한 계획과 점검 여부는 잘 이루어져 4점을 부여하였고, 정보보호 인력 및 조직, 정보보호 예산 수립 및 집행과 같은 정보보호에 대한 인력과 예산 여부는 비교적 잘 이루어지지 않았기에 2점을 부여하였다.

관리적 보호활동에서 2010년부터 2015년까지 자산 관리, 인적 보안, 외부자 보안은 잘 이루어졌기에 최고점 5점과 4점을 부여하였다. 특히 우리나라의 관리적 보호활동은 세계적으로도 수준이 높으며, 이는 2014년에 공공데이터 관련 보호활동이 우수한 평가를 받은 것에서도 알 수 있다. 반면에, 정보보호 교육수행의 경우 2010년과 2013년부터 2015년까지는 교육 수행이 매우 미흡하게 나타났다.

물리적 보호활동에서 2010년부터 2015년까지 정보통신시설의 환경보안 및 출입관리, 사무실보안의 경우 매우 잘 이루어지고 있었기에 모두 최고점 4점을 부여하였다.

기술적 보호활동에서 2010년부터 2015년까지 취약점 점검, 정보보호 사고탐지 및 대응, 시스템 개발 보안, 네트워크 보안, 정보시스템 및 응용프로그램 인증, 자료유출 방지, 시스템 및 서비스 운영 보안, 백업 및 IT 재해 복구, PC 및 모바일 기기 보안과 같은 기술보안 여부는 매우 잘 이루어지고 있어, 모두 최고점 5점 및 4점을 부여하였다. 2010년에는 스마트폰 무선 서비스를 제공하였고, 6년간 다수 부처의 정보 시스템을 상호 연계하여 정보시스템의 취약점을 점검하고 서비스 운영과 보안을 통해 효율성을 제고하였다는 점에서 해당 활동들이 잘 이루어짐을 알 수 있다.

그러므로 국가정보화백서에 정보보호 준비도 평가 세부 평가지표를 적용하여 분석된 평가결과를 국면별로 비교해 보면, <표 11>과 같이 상승국면에서는 평가점수가 93.5(2010)에서 100(2012)으로 상승하였고, 하강국면에서는 평가점수가 100(2012)에서 93.5(2014)로 하락하였으며, 반등국면에서는 93.5(2015)로 동일하였다.

<표 11>

국면별 국가정보화백서 수준 분석

따라서 상승국면에서는 수준평가가 상승하였고, 하강국면에서는 수준평가가 하락하여, 국민의 정보보호 중요성과 정부의 정보보호 정책반영에 상호연관성이 있는 것으로 나타났다.

① 특성 분석

국가정보보호백서는 연도별로 각각의 특성이 나타났고, 2010년부터 2015년까지의 전체적인 내용을 국면별로 종합해 보면, <표 12>와 같이 동일하거나 유사한 주제 및 내용으로 기술되고 있는 것을 확인할 수 있다.

<표 12>

국면별 국가정보보호백서 특성 분석

세부적인 내용을 살펴보면 다음과 같다. 상승국면에서 2010년에는 ‘국민생활 정보보호 활동’의 주제를 통하여 정보보호 홍보 및 인식 제고 활동, 대국민 정보보호 교육사업, 불법 스팸 메일 장비, 불건전 정보유통 대응을 기술하고 있고, 2012년에는 ‘대국민 정보보호 활동’의 주제를 통하여 불법 스팸메일 방지, 불건전 정보유통 대응, 정보보호 상담 및 처리, 정보보호 홍보 및 인식 제고 활동, 대국민 정보보호 교육 사업으로 주제 및 항목이 발전되었다. 따라서 상승국면에서는 국민의 정보보호 인식에 대한 중요성이 증가함으로 인해 정보보호 상담 및 처리와 정보보호 홍보 및 인식 제고 활동 내용이 새로 추가된 것을 알 수 있다. 이에 국가정보보호백서에 기술된 내용이 국민의 정보보호 인식에 대한 중요성을 온전하게 반영하고 있다는 것으로 해석할 수 있다.

그러나 하강국면에서 2012년 ‘대국민 정보보호 활동’의 주제와 항목을 2014년의 주제와 항목을 비교하면 주제(‘대국민 정보보호 활동’)와 불법 스팸메일 방지, 불건전 정보유통 대응, 정보보호 상담 및 처리, 대국민 정보보호 인식 제고 등은 동일하지만 홍보 및 교육 항목이 기술되지 않고 있다. 따라서 이 시기에는 국민의 정보보호 인식에 대한 중요성이 낮아짐으로 인해 해당 항목과 내용이 반영되지 않은 것으로 해석할 수 있다. 반등국면에서 주제와 항목은 하강국면과 유사하며, 정책 분석에서 4가지 유형이 3가지 유형으로 축소되었다.

그러므로 상승국면에서의 2012년 기준으로 비교하면 정보보호 홍보 활동, 대국민 정보보호 교육사업 여부에 따라 차이가 발생할 수 있음을 확인할 수 있었다.

② 수준 분석

연도별 국가정보보호백서 수준평가는 <표 13>과 같이 98점에서 100점까지 측정되었다. 현장 평가가 제한되는 항목을 만점으로 부여하고 기타 세부항목에서도 관련 항목이 기재되어 있으면 만점을 부여하여 100점에 이르게 되었다.

<표 13>

연도별 국가정보보호백서 수준평가 지표 및 내용

국가정보보호백서에 정보보호 준비도 평가 세부 평가지표를 적용하여 살펴본 결과는 다음과 같다. 정보보호리더십에서 2010년부터 2015년까지 정보보호 최고책임자 지정, 정보보호 의사소통 및 정보제공, 정보보호 운영방침에 대한 정책은 잘 이루어졌기에 모든 항목에 대하여 모두 최고점을 부여하였다. 2010년에는 스마트 모바일 시큐리티 종합 계획을 발표하였고, 2011년에는 국가 사이버안보 마스터플랜 등의 계획이 수립되었다.

정보보호 자원관리에서 2010년부터 2015년까지 정보보호 추진계획과 정보보호 이행점검, 정보보호 예산 수립 및 집행과 같은 정보보호에 대한 계획과 점검 여부는 잘 이루어져 최고점을 부여하였고, 정보보호 인력 및 조직은 비교적 잘 이루어지지 않았기에 2점을 부여하였다. 하지만, 2012년에 각종 사이버위협에 대응할 수 있도록 국가 사이버위협 협동대응팀이 구성되었으므로 4점을 부여하였다.

관리적 보호활동에서 2010년부터 2015년까지 자산 관리, 인적 보안, 외부자 보안은 잘 이루어졌기에 모두 최고점을 부여하였다. 특히 2010년에 다양한 전자금융 서비스를 제공하고자 하였고, 2013년에는 개인정보보호와 관련된 보안교육이 실시되었다.

물리적 보호활동에서 2010년부터 2015년까지 정보통신시설의 환경보안 및 출입관리, 사무실보안의 경우 매우 잘 이루어지고 있었기에 모두 최고점을 부여하였다. 특히 2010년에 스턱스넷으로 인한 피해를 미리 예방하기 위하여 주요기반시설에 대한 비상대응체계를 운영한 것으로 나타났다.

기술적 보호활동에서 2010년부터 2015년까지 취약점 점검, 정보보호 사고탐지 및 대응, 시스템 개발 보안, 네트워크 보안, 정보시스템 및 응용프로그램 인증, 자료유출 방지, 시스템 및 서비스 운영 보안, 백업 및 IT 재해 복구, PC 및 모바일 기기 보안 모두 잘 이루어지고 있어 모든 항목에 최고점을 부여하였다. 예를 들어, 2010년에는 악성코드 감염피해를 예방하고자 관련 보안 서비스를 보완하거나 사이버 대피소 등을 구축하였다.

국가정보보호백서에 정보보호 준비도 평가 세부 평가지표를 적용하여 분석된 수준 분석결과를 국면별로 비교해 보면, <표 14>와 같이 상승국면에서는 평가점수가 98(2010, 2011)에서 100(2012)으로 상승하였고, 하강국면에서는 평가점수가 100(2012)에서 98(2013, 2014)로 하락하였으며, 반등국면에서는 98(2014, 2015)로 동일하였다.

<표 14>

국면별 국가정보보호백서 수준 분석

따라서 상승국면에서는 수준평가가 상승하였고, 하강국면에서는 수준평가가 하락하여, 국민의 정보보호 중요성과 정부의 정보보호 정책반영에 상호연관성이 있는 것으로 나타났다.

① 특성 분석

연도별 정보보호 실태조사에 대하여 2009년을 기준으로 보면 2010년부터 2013년까지 항목들이 확대되었고, 2014년과 2015년에는 항목별로 축소되거나 확대되는 변동이 있었다.

연도별 특성을 국면별로 대비해 보면 <표 15>와 같이 국면별 상승국면에서 2010년과 2011년에는 4항목이 2015년에는 6항목(정보보호 인식, 인터넷 역기능 대응 실태, 신규 서비스 정보보호 인식/대책, 정보화 역기능 피해 현황, 정보보호·개인 정보보호정책 성과 평가)으로 늘었고, 하강국면에서 2012년과 2013년에서 6항목이 2014년에는 5항목(정보보호 인식, 침해사고 예방 및 대응, 개인정보보호 및 스팸 대응, 신규 서비스 정보보호)으로 변화하였다.

<표 15>

국면별 정보보호 실태조사 특성 분석

반등국면에서 2014년의 5항목이 2015년에는 6항목(정보보호인식, 침해사고 예방, 침해사고 대응, 개인정보보호, 신규서비스 정보보호)으로 변화하였다.

특히, 2012년과 2013년에 보이는 정보보호·개인정보보호 정책성과 평가와 관련하여 구체적인 그 내용을 보면 정책 인지 및 효과 평가(정책 인지 및 효과 평가), 홍보 및 캠페인(정보보호 관련 홍보물 접촉 경험, 정보보호 관련 홍보물의 도움 정도, 정보보호 관련 홍보물 접촉 매체, 정보보호 관련 홍보물 인지 여부, 정보보호 관련 홍보물 접촉 경로, 정보보호 관련 홍보물 도움 정도)항목으로 국민이 인식하는 정보보호 중요성 인식과 관련하여 정책지원을 평가하였다.

그러므로 국면별 정보보호 실태조사의 상승국면에는 신규 서비스 정보보호 인식 및 대책, 정보보호 및 개인정보보호정책 성과 평가의 세부항목이 다른 국면에서 실행한 정보보호 실태조사의 주제와 그에 따른 세부항목과 차이점이 발생하고 이 항목의 변화 및 누락은 정부의 정책적 평가와 국민의 인식 반영과 연관성이 있음을 의미한다.

② 연관성 분석

국면별 정보보호 실태조사와 정보보호 정책들 간의 연관성 분석은 각 정책서를 발간하기 위해서 참여 및 지원한 기관의 연속성을 통하여 분석하였다. 이는 정책을 수립하고 평가하는 측면에서 보면 정책적 환류를 가능하게 하는 계기가 되기 때문이다.

<표 16>을 구체적으로 살펴보면, 국가정보화백서는 2010년, 2012년, 2015년에만 참여 및 지원 기관을 공개하였고, 그 외에는 공개하지 않았다. 국가정보보호백서는 2010년부터 2012년까지 방송통신위원회, 행정안전부, 지식경제부, 국가보안기술연구소, 한국인터넷진흥원이 참여 및 지원하였고, 2013년부터 2015년까지 국가정보원, 방송통신위원회, 미래창조과학부, 안전행정부(행정자치부), 국가보안기술연구소, 한국인터넷진흥원이 참여 및 지원하였다. 그리고 정보보호 실태조사는 2010년부터 2012년까지 방송통신위원회, 한국인터넷진흥원이 참여 및 지원하였고, 2013년부터 2015년까지 미래창조과학부, 한국인터넷진흥원이 참여 및 지원하였다.

<표 16>

국면별 정보보호 실태조사 특성 분석

이러한 연도별 발간기관을 비교하면 상승국면에서는 방송통신위원회와 한국인터넷진흥원이 공통 및 다수 참여하여 정책의 상호 연관성을 높였다고 할 수 있으며, 하강국면에서는 공통기관이 없고 다수 참여기관은 한국인터넷진흥원이었다. 또한 반등국면에서는 공통기관은 한국인터넷진흥원이었다.

국가정보화백서에서 참여 및 지원 기관이 공개되지 않는 시기가 있어서 일반화하기에는 다소 어렵겠지만 공개한 연도를 비교하면 방송통신위원회와 한국인터넷진흥원의 역할에 따라 국민이 인식하는 정보보호의 중요성에 영향을 줄 수 있다는 정책적인 연관성을 이해할 수 있다. 즉, 발간의 주체로서 참여한 방송통신위원회와 발간의 지원 기관으로 참여한 한국인터넷진흥원의 역할은 차이가 있고 이러한 차이가 정책적 상관성을 제시한다고 할 수 있다. 또한 이 표를 통하여 하강국면에서 국가정보보호백서의 직접적인 집필 기관으로 국가정보원이 참여하면서 나타난 것도 향후의 연구가 필요한 부분일 것이다.

정보보호 위협 환경과 정보보호 정책 특성 간의 연관성 분석은 정보보호 위협을 받은 대상과 피해유형별로 빈도 등의 특성과 정보보호 관련 정책서에 담긴 정책 방향과 주요 내용들의 특성을 비교하여 살펴보았다. 그 결과 <표 17>에서와 같이 각각의 정보보호 위협 환경에 따른 현실적인 정책의 유무 여부가 국민의 정보보호 인식에 영향을 미쳤다고 볼 수 있다.

<표 17>

정보보호 위협과 정보보호 정책 특성 간의 연관성 분석

상승국면에서 ‘정보보호 기반조성’의 정책방향이 ‘안전한 사이버 환경 조성’으로 변화하면서 국가정보보호백서도 정보보호 홍보 및 인식제고 활동, 정보보호 상담 및 처리 활동이 추가되고, 정보보호 실태조사에서도 신규위협이 추가된 것으로 조사되었다. 하강국면에서 ‘정보보호 기반조성의 정책방향’으로 전개되어 대국민 정보보호 활동과 정보보호 실태평가의 활동과 연계되지 못하였다. 반등국면도 또한 마찬가지이다.

따라서 상승국면인 2011년과 2012년에 많은 사이버 해킹 사고로 인해 개인정보 유출과 기관 전산망 마비 등의 피해가 많이 발생하고 개인부터 국가에 이르기까지 현실적인 사이버 위협에 대한 국가의 종합적인 사이버 인식 중심의 정책이 수립되어 국민이 인식하는 정보보호 중요성 인식에 상호 연관성이 있다고 볼 수 있다.

구체적인 사례를 보면, 정책적 인식에 있어서 2011년의 국가정보화백서는 사이버 인식 중심의 정책을 잘 설명해주고 있는데, “2011년 3·4 DDoS 공격 이후 국가적인 사이버위기에 대응하기 위해, 국가정보원, 행정안전부, 방송통신위원회, 경찰청, 금융결제원 등 유관 기관이 합동으로 ‘국가 사이버안보 마스터플랜’을 마련하는 등 국가적인 대응이 필요한 사이버 공격에 대해 범정부적인 공조체제를 가동하고 있으며, 지자체 위협정보 연계 확대를 위한 위협정보 분석시스템을 보강하였다”고 국가적 차원의 활동을 기술하고 있다. 즉, 새로운 위협인 사이버 공격에 기반한 정책적 방향을 결정하였다고 할 수 있다. 또한, 국가정보보호백서는 정보보호 상담 및 처리, 정보보호 홍보 및 인식 제고 활동을 새롭게 추가하거나 병행하여 국민의 정보보호 중요성 인식을 고취시켰다.

반면, 정보보호 인식 중심의 정책은 2013년 국가정보보호백서에서 잘 나타나 있는데, “정부는 해킹에 의한 개인정보의 대규모 유출 등 날로 심각해지는 사이버 공격에 대응하기 위하여 세계 최초로 7월 둘째 수요일을 ‘정보보호의 날’로 지정하였다. 이와 함께 7월을 ‘정보보호의 달’로 지정하여 관계부처 합동으로 다양한 정보보호 행사를 개최하고 이를 통하여 국민들의 정보보호 인식 제고와 실천을 높여 나갈 것”이라고 강조하고 있다. 이 행사의 내용을 보면 국가정보원, 방송통신위원회, 행정안전부, 지식경제부 등 4개 기관은 2012년 7월 11일 제1회 정보보호의 날 기념식을 공동주최하여 이 행사에 국가, 사회 각 분야의 정보보호 연구·발전과 사이버침해대응에 공로가 있는 공로자 대상으로 유공 포창을 하고 국제 정보보호 컨퍼런스와 정보보안 인력채용 등의 행사를 한다는 것인데 이 행사가 바로 실질적인 국민의 정보보호 중요성 인식과 연결될 수 있는지를 재검토해 볼 필요성이 있다.

이렇게 정보보호 관련 국가 정보보호 백서들에 기술된 정책방향과 내용으로 국민의 정보보호 인식에 대한 중요성을 고취시키거나 국민의 인식을 온전하게 반영한 것인지를 판단할 수 있으며 또한, 매년 실시되는 정보보호 실태조사가 새로운 위협에 대한 인식 조사 등을 통하여 정보보호 위협과 정책서 간의 연관성을 잇는 정책적 매개체 역할을 하였다고 볼 수 있다.

2017년 7월 정보보호의 달을 맞아 국내 한 언론 기관에서 국민들을 대상으로 정보보호 인식 제고에 대한 설문조사를 진행한 결과에 의하면 ‘인식 제고가 쉽지 않다’는 의견이 28.3%를 차지해 두 번째로 많은 의견으로 나타났다(김태형, 2017. 8. 4). 이러한 국민의 설문의견을 고려한다면 국민의 정보보호 중요성 인식과 정보보호 정책 시행 간의 연관성에 있어서 국민의 정보보호 중요성 인식을 제고할 수 있는 정부의 정책 시행 내용이 문제 해결의 관건이 될 것이다.

정보보호 중요성 인식과 관련한 정책 시행 간의 연관성을 분석한 <표 18>을 보면, 상승국면에서 국가정보화백서는 2011년과 2012년 ‘우리나라 정보보호 현위치’ 분석을 통하여 정보보호 예산 수준, 사이버침해건수, 사이버위협에 대한 대책 마련을 강조하였다.

<표 18>

정보보호 중요성 인식과 관련 정책 시행 간의 연관성 분석

국가정보보호백서는 정보보호 중요성 인식을 위한 교육, 동아리지원, 온라인 학습장 운영 등 다양한 정책 시행을 하였으며, 정보보호 실태조사에서 이를 평가하였다. 그러나 하강국면에서 국가정보화백서는 ‘정보보호 인식’과 관련한 정책적인 시행이 없었고, 국가정보보화백서는 교육, 동아리지원, 온라인 학습장 지원은 상승국면과 비교하면 일반적인 지원이 저조하다. 또한 반등국면에서도 국가정보화백서와 국가정보보호백서의 정책 시행은 특별한 것이 없다. 반면, 하강국면과 반등국면에서 정보보호 기념식과 관련한 설명은 상승국면과 대조적이었다.

정보보호에 대한 국민 인식을 고취시키기 위하여 정부가 국민의 ‘정보보호 인식’을 중요시하고, 국민을 대상으로 실시한 관련 교육과 홍보 지원은 어느 정도 긍정적인 영향을 미쳤다고 판단할 수 있고, 또한 하강국면에서 이러한 기술이 되지 않은 것은 정보보호 기념식을 설명한 것처럼 정부의 특정 행사에 치우쳐 국민을 대상으로 하는 일반적인 지원을 소홀히 했음을 보여주고 있다. 따라서 국민의 정보보호 중요성 인식과 정보보호 정책 시행 간의 연관성이 높은 것은 상승국면에서 나타난 사이버 인식 중심의 국가 정보보호 정책들이었음을 실증적으로 확인하였다.