최근 기업의 내부정보 유출 사고가 증가하고 관련 법규가 강화됨에 따라 기업에서는 내부정보 유출에 대한 보안통제의 필요성이 증가하였다. 이에 따라 기업에서는 DRM, DLP, 프린터보안 솔루션 등 다양한 내부정보 유출통제 솔루션을 도입하여 운영하고 있으며 ISO27001, 정보보호관리체계(ISMS)등 국내/외 정보보안 관리체계 위험분석 방법을 통해 기업의 정보보안 위험을 체계적으로 분석하여 관리하고 있다.
하지만, 기존의 정보보안 관리체계 위험분석 방법은 거시적인 관점에서 기업의 보안위험을 분석하고 평가하는데 목적이 있어 기업에서 내부정보의 유출을 방지하고자 적용하여 운영하고 있는 통제 정책 및 기술의 운영 현황을 분석하고 평가하는데 한계가 존재하였다. 실제 본 논문에서 제안하는 방법론을 통해 ISO27001 인증을 발급받은 기업의 내부정보유출 통제수준을 측정한 결과 허가 없이 내부정보를 유출할 수 있는 위협이 다수 존재하는 것을 발견할 수 있었다.
본 논문에서는 내부정보 유출통제 관련기술 및 국내외 위험분석 및 평가 방법론인 정보보호관리체계(ISMS)및 ISO27001의 선행연구를 통해 기존의 정보보안 관리 체계 위험분석 방법을 통해 내부정보의 유출통제 수준을 평가하는데 한계성이 있음을 증명하고 이에 대한 대응방안으로 내부정보유출 방지를 위한 단말기 통제수준 평가방법(이하 '내부정보유출 통제수준 평가방법')을 제언합니다.