본문 바로가기 주메뉴 바로가기
22대 대한민국 국회 국회정보길라잡이 국회의원검색
회원가입 로그인
HOME

정보검색

소장정보 검색

국회도서관 홈으로 정보검색 소장정보 검색

결과 내 검색

동의어 포함

고급검색

인명/단체명

저자정보 상세정보
인명/단체명을 입력하세요.

키워드

  • 대표어

  • 외국어

-

목차보기

표제지

목차

국문초록 12

ABSTRACT 15

제1장 서론 19

1.1. 연구의 필요성과 목적 19

1.2. 연구의 내용과 방법 23

1.3. 기대효과 24

1.4. 논문의 구성 25

제2장 이론적 배경 26

2.1. 사이버보안의 개념 및 위협유형 26

2.1.1. 사이버보안의 개념 26

2.1.2. 사이버보안의 위협 유형과 특징 30

2.2. 소프트웨어 공급망 보안의 개념 및 위협특징 33

2.2.1. 소프트웨어 공급망 보안의 개념과 특징 34

2.2.2. 소프트웨어 공급망 공격의 지점과 유형 36

2.2.3. 소프트웨어 공급망 보안의 주요 위협사례와 특성 39

2.3. 소프트웨어 자재명세서(SBOM)에 관한 이론 고찰 43

2.3.1. SBOM 정의와 등장 배경 44

2.3.2. SBOM 구성과 개념 46

2.3.3. SBOM 주요 역할과 이점 48

2.3.4. SBOM 표준 동향 및 생성관리 도구 49

2.3.5. 미국의 SBOM 활용 동향 53

2.3.6. 유럽의 SBOM 활용 동향 58

2.3.7. 일본과 중국의 SBOM 활용 동향 60

2.3.8. 국내 SBOM 활용 동향 63

2.3.9. SBOM의 특성 요인 도출 64

2.4. 기술수용 모델에 관한 이론 고찰 69

2.4.1. 기술·조직·환경 프레임워크(TOE Framework)의 개념 70

2.4.2. 기술·조직·환경(TOE) 프레임워크 관련연구 73

2.4.3. 통합기술수용모형(UTAUT) 75

2.4.4. TOE 및 UTAUT 통합연구 사례 80

2.5. 정보보안기술수용 모델에 관한 이론 고찰 82

2.5.1. 계획된 행동이론(TPB) 83

2.5.2. 보호동기이론(PMT) 85

2.5.3. TPB 및 PMT 통합연구 사례 89

제3장 연구모형 및 가설 92

3.1. 연구모형 92

3.2. 연구가설 95

3.2.1. TOE의 SBOM 요인 변수와 매개변수와의 관계 95

3.2.2. TOE의 조직요인 변수와 매개변수와의 관계 97

3.2.3. TOE의 환경요인 변수와 종속변수와의 관계 99

3.2.4. 주관적 규범 변수와 종속변수와의 관계 101

3.2.5. 지각된 보안위협 변수와 종속변수와의 관계 102

3.2.6. 대처 효능감 변수와 종속변수와의 관계 104

3.2.7. 자기 효능감 변수와 종속변수와의 관계 105

3.2.8. 정보보안 태도 변수와 종속변수와의 관계 106

3.2.9. 매개변수(성과기대 및 노력기대)와 종속변수와의 관계 107

3.2.10. 조절변수 109

3.3. 변수의 조작적 정의 및 측정항목 112

3.3.1. 변수의 조작적 정의 112

3.3.2. 변수의 측정항목 113

제4장 실증분석 118

4.1. 자료수집 및 분석방법 118

4.2. 인구통계학적 분석 119

4.3. 자료의 정규성 검정 121

4.4. 구조방정식 분석 124

4.4.1. 외부모형의 신뢰도 평가 125

4.4.2. 외부모형의 타당도 평가 128

4.5. 연구가설 검증 134

4.5.1. 내부모형의 설명력 평가 134

4.5.2. 모형 적합도 평가 135

4.5.3. 경로분석 135

4.5.4. 가설검증 결과 및 해석 138

4.6. 조절효과 분석 143

4.6.1. 조직 형태(민간기업/공공기관)에 따른 조절효과 분석 144

4.6.2. 해킹피해 경험 여부에 따른 조절효과 분석 145

제5장 결론 148

5.1. 연구 결과의 요약 148

5.2. 연구의 시사점 149

5.2.1. 학술적 시사점 149

5.2.2. 실무적 시사점 151

5.3. 연구의 한계 및 향후 연구방향 155

참고문헌 158

부록 187

표목차

[표 2-1] 사이버공격의 주요 기술 유형 31

[표 2-2] MITRE의 소프트웨어 공급망 공격패턴 분류 38

[표 2-3] 소프트웨어 공급망 보안의 주요 위협사례 42

[표 2-4] SBOM의 기본 구성요소 46

[표 2-5] 개념적인 SBOM 테이블 48

[표 2-6] SBOM의 표준형식 3가지 50

[표 2-7] SBOM의 주요 특성요인 도출 67

[표 2-8] SBOM의 속성 및 주요 특성요인 69

[표 2-9] TOE 프레임워크 관련 연구 72

[표 2-10] UTAUT의 배경이론 및 개념 76

[표 2-11] UTAUT의 구성변수 및 이론 78

[표 2-12] UTAUT를 이용한 선행연구 사례 79

[표 2-13] 보호동기이론 이용 정보보호 관련 연구 88

[표 3-1] 연구가설 111

[표 3-2] 변수의 조작적 정의 112

[표 3-3] 독립변수의 측정항목 113

[표 3-4] 매개변수의 측정항목 116

[표 3-5] 종속변수의 측정항목 117

[표 4-1] 표본의 인구통계학적 특성 120

[표 4-2] 왜도 및 첨도의 분석 결과 121

[표 4-3] Shapiro-Wilk 검정 결과 123

[표 4-4] 외부모형의 평가 결과 125

[표 4-5] Cronbach's alpha 값의 권장치 127

[표 4-6] 내적 일관성 신뢰도 평가 결과 128

[표 4-7] 집중타당도 평가 결과(유의성 검증) 129

[표 4-8] 잠재 변수들의 평균분산추출(AVE) 값 산출 결과 131

[표 4-9] 판별타당도 평가 결과 132

[표 4-10] 변수별 교차적재기준 평가 결과 133

[표 4-11] 모형 설명력 평가 결과 135

[표 4-12] 경로분석 결과 136

[표 4-13] 민간기업과 공공기관의 재직 그룹 간 조절효과 분석결과 144

[표 4-14] 해킹 피해 경험 유무 그룹 간 조절효과 분석결과 146

그림목차

[그림 2-1] 공급망 위치별 공격 지점 36

[그림 2-2] 공급망 연결부분의 공격 지점 37

[그림 2-3] 개념적인 SBOM 트리 47

[그림 2-4] 미국의 SBOM 정책 추진체계 57

[그림 2-5] SBOM을 생성하여 실현 가능한 이점 65

[그림 2-6] SBOM을 활용하여 실현 가능한 이점 66

[그림 2-7] TOE 프레임워크 71

[그림 2-8] 양자암호통신 도입의도 통합연구 74

[그림 2-9] Venkatesh 외의 UTAUT 기본모형 75

[그림 2-10] 클라우드 컴퓨팅 서비스 사용의도 통합모형 80

[그림 2-11] 국방 스마트워크 사용의도 통합모형 81

[그림 2-12] 멀티클라우드 컴퓨팅 사용의도 통합모형 82

[그림 2-13] 계획된 행동이론(TPB) 84

[그림 2-14] 보호동기이론(PMB) 87

[그림 2-15] 정보시스템 보안정책 준수의도 연구모형 89

[그림 2-16] 케냐 학생들의 보안행동 영향요인 연구모형 90

[그림 2-17] 태권도장 학부모의 행동의도 연구모형 91

[그림 3-1] 연구모형 92

[그림 4-1] 연구가설의 경로분석 결과 요약 138

초록보기

최근 코로나19를 거치면서 전 세계는 인터넷을 통한 연결성과 디지털 의존성이 심화됨에 따라 사이버보안의 중요성이 더욱 커지고 있다. 그러나 디지털 기반을 지탱하는 소프트웨어는 대부분 오픈소스나 제3자 라이브러리들이 혼합된 컴포넌트 형태로 개발되면서 공급망이 복잡해지고, 사이버공격에 취약한 공급망 면적도 함께 증가하고 있다. 특히 솔라윈즈와 마이크로소프트 서버를 해킹한 소프트웨어 공급망 공격은 미국 국방부를 비롯한 18,000곳 이상의 행정기관과 기업에 막대한 피해를 안겼다.

이를 계기로, 소프트웨어를 구성하는 요소들의 정보와 상호관계를 나타내는 소프트웨어 자재명세서(SBOM)가 공급망 보안을 강화하는 데 필요한 핵심 수단으로 부상하였다. 미국은 2021년 5월 행정명령(EO 14028)을 통해 정부 기관에 도입하는 소프트웨어에 대해 공급업체가 SBOM을 제출하도록 의무화하고, SBOM의 활용 기반을 확충해 나가고 있다. 한국 정부도 2022년 10월부터 본격적으로 SBOM의 기술 및 정책과 관련한 연구에 들어갔으나 미국 등 주요국에 비해 뒤늦은 상황이다.

한편, SBOM이 소프트웨어의 공급망 보안을 강화하는 데 효과를 발휘하기 위해서는 공공부문뿐 아니라 민간 부문에 SBOM의 도입을 확대하는 것이 무엇보다 중요하다. 또한 정부나 민간기업이 SBOM의 도입을 제도화하기 위해서는 SBOM을 생성·활용하는 주체들의 도입의도에 영향을 미치는 요인을 사전 파악하여 정책에 반영하는 것이 SBOM의 조속한 활용 확대를 위해 중요하다. 그러나 선행연구는 대부분 SBOM의 개념과 도구 소개, 도입 필요성 등에 머물러 있다.

이에, 본 연구에서는 민간기업과 공공기관의 IT 업무 담당자들의 사이버보안을 위한 SBOM의 도입의도에 영향을 미치는 요인들을 탐색하고 구조적 관계를 검증하여 도입 확산을 위한 정책적 시사점을 제시하였다.

문헌 연구를 통해 SBOM 요인, 조직적 요인, 환경적 요인, 정보보안기술 요인 등 변인을 탐색하고, TOE 프레임워크와 통합기술수용모델(UTAUT), 계획된 행동이론, 보호동기이론을 토대로 SBOM의 속성을 정보기술과 정보보안기술로 구분하여 연구모형을 설계하였다. 민간기업과 공공기관의 IT 업무 담당자를 대상으로 온라인 설문조사를 통해 수집된 450부 모두를 표본 데이터로 활용하여 실증분석을 진행하였다.

검증한 결과, 조절 효과를 제외한 18개의 가설 중에서 14개가 채택되고 4개가 기각되었다. 먼저, SBOM의 정보기술 속성에서는 보안 관리를 제외한 소프트웨어 투명성과 라이선스 관리, 상대적인 이점, 경영층 지원이 성과기대에 긍정의 유의한 영향을 미쳤다. 노력기대에는 라이선스 관리를 제외하고 소프트웨어 투명성, 보안 관리, 상대적 이점, 경영층 지원이 노력기대에 긍정의 유의한 영향을 미쳤다. 주관적 규범 그리고 매개변수인 성과기대와 노력기대는 종속변수인 도입의도에 긍정의 유의한 영향을 미치지만, 제도적 지원은 도입의도에 유의한 영향을 미치지 못하였다. 한편, SBOM의 정보보안기술 속성에서는 주관적 규범(중복), 지각된 보안위협, 자기 효능감, 정보보안 태도가 도입의도에 긍정의 유의한 영향을 미쳤다. 그러나 대처 효능감은 유의한 영향을 미치지 못하였다. 응답자 소속 조직의 형태별로는 유의한 조절 효과가 없는 반면, 해킹 피해의 경험 유무에서는 자기 효능감이 유의한 조절 효과를 나타냈다.

본 논문은 현재 SBOM 도입이 정책 준비 단계에 머물러 있는 한국의 상황에서, SBOM을 도입하고 활용할 민간기업과 공공기관의 IT 담당 조직원들의 도입의도에 영향을 미치는 요인을 실증적으로 최초로 규명하였다는 데 의미가 있다. 또한 SBOM에 내재한 정보기술과 정보보안기술의 속성을 고려하여 연구모형을 설계하고, 도입의도에 대한 영향 요인을 통합하여 실증하는 새로운 연구 방법을 제시하였다는 점에서 학술적인 의의가 있다. 한편, 본 연구 결과로부터 도출된 SBOM의 사용 편의성 제고, 민간 중심의 정책추진 및 공급망 공격의 위험 실태 공개의 필요성 등 실무적 시사점은 정부나 민간기업이 SBOM의 도입정책을 수립하고 시행하는 데 활용될 수 있을 것이다.

본 연구가 한국의 사이버보안 강화에 긴요한 SBOM의 도입과 활용이 사회 전반으로 조속히 확대되는 데 보탬이 되고, 향후 SBOM에 대한 다양한 실증적 연구를 촉발하는 계기가 되기를 기대한다.

추천서가 (다양한 추천 자료를 만나보세요)

권호기사보기

권호기사 목록 테이블로 기사명, 저자명, 페이지, 원문, 기사목차 순으로 되어있습니다.
기사명 저자명 페이지 원문 기사목차

권호

기사명 원문보기 기사목차
닫기