Research Review: How Integration of Cyber Security Management and Incident Response Enables Organizational Learning
Analyzed Date : 2026.03.31 - 2026.04.04 Keywords : Incident Response, Information Security Management, Organizational Learning, ISM-IR Integration, Double-Loop Learning Source : Journal of the Association for Information Science and Technology (JASIST), 2020, Vol. 71, No. 8, pp. 939-953. https://doi.org/10.1002/asi.24311
Why This Paper?
선정 배경
도메인 탐색 결과 :
10편의 보안 컨설팅 논문을 통해 거버넌스 → 컴플라이언스 → 리스크 분석 → 개인 행동 → 감사 → 공급망 → 투자 경제학 → 보안 문화 → 인식 캠페인 → 서드파티 평가까지 사전 예방 체계 전반을 다뤘다. 이제 침해가 실제 발생한 이후의 사후 관리 영역으로 확장할 시점이다.
이 논문을 선택한 이유 :
- Slapničar et al.(2022)이 보안 감사의 효과성을, Da Veiga & Eloff(2010)이 보안 문화를 다뤘다면, 이 논문은 사고 이후 조직이 어떻게 학습하고 방어 체계를 개선하는지를 다루는 자연스러운 확장
- 보안 컨설팅 현장에서 IR 체계 수립 자문 시 절차 설계보다 더 근본적인 문제, 즉 조직이 사고 경험에서 왜 배우지 못하는가에 대한 이론적 근거 제공
- ISM과 IR의 통합 수준 진단 및 개선 로드맵 설계라는 체계 수립 역량과 직결
- ISMS-P 2.10(정보보안 사고 관리) 통제 항목 자문에 필요한 학술적 기반 확보
학습 목표 :
- ISM과 IR 기능의 구조적 단절 ( disconnect )이 발생하는 원인과 그 조직적 결과 이해
- 단일 루프 학습과 이중 루프 학습의 개념 및 보안 컨설팅 시나리오에서의 차별적 의미 습득
- 5개 통합 프로세스 ( I1 - I5 ) 프레임워크를 IR 체계 수립 자문의 진단 도구로 활용하는 방법 확립
Day 1 - Research Context & Motivation
(보안에 투자했는데 왜 계속 당하는가 — ISM과 IR의 단절이 만드는 학습의 공백)
1. 연구 배경: ISM과 IR의 구조적 단절
보안 투자와 침해의 역설
대규모 조직은 정보보안 관리(ISM) 기능에 상당한 자원을 투입한다. ISM은 리스크 평가, 보안 전략 수립, 정책과 교육 프로그램 운영, 방화벽·암호화 등 기술적 통제 구현을 통해 디지털 자산을 보호하는 역할을 한다. 동시에 많은 조직은 침해 발생 시 피해를 최소화하고 IT 서비스를 신속히 복구하는 IR 기능도 별도로 운영한다. 그러나 이 두 기능에 대한 투자가 늘어도 보안 사고는 줄지 않는다. Verizon의 2018년 데이터 침해 조사 보고서에 따르면 조사된 53,000건의 사고 중 73%가 외부 공격자에 의한 것이었으며, 세계 정보보안 지출은 2018년 930억 달러에 달할 것으로 예측됐다.
현실의 한계
선행 연구들은 대규모 조직에서 ISM과 IR 기능이 구조적으로 분리되어 있음을 반복적으로 확인했다. ISM은 전략적 수준에서 리스크를 관리하고, IR은 운영적 수준에서 사고를 처리한다. 이 두 기능 사이에는 소통, 협력, 지식 공유가 부재한 약한 연결(weak link) 또는 단절(disconnect)이 존재한다. 그 결과 조직은 한 번의 보안 위기에서 다음 위기로 표류하면서 근본적인 보안 관리 역량을 개선하지 못한다. 기존 산업 표준(예: ISO 27000 계열)의 IR 지침은 사고 처리 후 교훈을 도출하고 표준 운영 절차에 반영하라고 권고하지만, 이는 대부분 IR 내부의 단일 루프 수준에 그친다.
연구 문제의식
조직이 ISM과 IR 기능을 어떻게 통합함으로써 능동적 학습을 가능하게 하고 보안 성과를 최적화할 수 있는가?
2. 핵심 개념
| 개념 | 정의 | 컨설팅 맥락에서의 의미 |
|---|---|---|
| 정보보안 관리 ( ISM ) | 조직의 디지털 자산을 보호하기 위해 운영적·전술적·전략적 수준에서 수행되는 관리 실무의 집합. 정책, 리스크, IR, 기술, 교육/훈련/인식(SETA)의 5개 실무 영역으로 구성 | 고객사 보안 체계 진단 시 5개 실무 영역의 성숙도를 평가하는 기준 프레임 |
| 사고 대응 ( IR ) | 사고를 진단하고, 영향을 억제하며, 원인을 제거하고, IT 시스템을 정상 기능으로 복구하는 순환적 6단계 프로세스 ( 준비 - 식별 - 억제 - 제거 - 복구 - 사후 검토 ) | 고객사 IR 체계 수립 자문 시 6단계 구조를 기준으로 현행 절차의 완결성을 진단 |
| 단일 루프 학습 | 기존 조직 목표, 정책, 규범에서 벗어난 이탈을 수정하는 단순 오류 수정 과정. 취약점 패치, 기존 통제 재구성 등 점진적 개선에 해당 | 대부분의 조직이 현재 수행하는 수준. 사고 후 해당 취약점만 패치하고 구조적 원인 분석은 생략 |
| 이중 루프 학습 | 기존 전략, 규범, 프로세스의 기반이 되는 가정과 원칙 자체를 재검토하는 심층 학습. 보안 전략 변환, 방어 논리 재설계 등 근본적 개선에 해당 | 컨설팅 개입이 가장 큰 가치를 만들어내는 수준. 사고를 계기로 보안 전략과 체계를 전환할 수 있도록 경영진을 설득하는 근거 |
| 단절 ( Disconnect ) | ISM과 IR 기능 사이에서 발생하는 소통, 협력, 지식 공유의 부재 또는 약화. 전술적 수준과 전략적 수준 모두에서 발생 | 보안 컨설팅에서 조직 진단 시 ISM-IR 연결 강도를 평가하는 핵심 진단 항목 |
3. 이론적 기반: 조직학습 이론 ( Argyris & Schön, 1997 )
[ 전략적 수준 ]
- Information Security Management ( ISM )
- 전략 최적화 ( 이중 루프 ) / 전략·프로세스·통제 검토 및 재평가
>> ↕
[ 전술적 수준 ] 통합 프로세스 ( I1 - I5 )
- I1 : 보안 리스크 인식 제고
- I2 : 위협 인텔리전스 축적
- I3 : 방어 취약점 제거
- I4 : 보안 방어 논리 평가
- I5 : 보안 대응 역량 강화
>> ↕
[ 운영적 수준 ]
- Incident Response ( IR )
- 관찰과 피드백 ( 단일 루프 )
핵심 아이디어 :
조직학습 이론의 단일 루프 학습과 이중 루프 학습 개념을 보안 관리에 적용하여, ISM과 IR의 전술적 수준 통합이 어떻게 두 층위의 학습 기회를 창출하는지를 설명한다. 단일 루프 학습은 기존 방어 체계 내의 취약점을 수정하는 것이고, 이중 루프 학습은 방어 체계의 기반이 되는 전략과 가정 자체를 재검토하고 변환하는 것이다. 두 기능 사이의 연결이 강할수록 조직은 사고로부터 더 깊이 학습하고, 진화하는 위협 환경에 능동적으로 적응하는 보안 역량을 구축할 수 있다.
4. 연구의 핵심 기여
학술적 기여 :
- ISM과 IR의 기능적 단절을 조직학습 이론으로 처음 체계화하여, 기존의 기술 중심 IR 연구에 관리적 관점을 추가
- 단일 루프 학습에 국한된 기존 산업 표준 ( ISO 27000 계열 Follow-up 지침 )의 한계를 이중 루프 학습 개념으로 확장
- 5개 통합 프로세스 ( I1 - I5 )와 이에 대응하는 학습 기회를 체계적으로 명시한 통합 프레임워크 제시
실무 기여 :
- 조직이 자사의 ISM-IR 통합 수준을 진단하고 구체적인 학습 목표와 기대 효과를 기준으로 개선 방향을 설계할 수 있는 실용적 프레임워크 제공
- 사후 검토 단계를 재설계하기 위한 인텔리전스 수집 우선순위 ( 위협, 실패, 아슬아슬한 실패, 통제 효과성 )를 명시적으로 제시
- Forsberg Industries라는 가상 시나리오를 통해 실제 조직에서 단절이 발생하는 방식과 그 전략적 결과를 구체적으로 예시
5. 컨설팅 관점 인사이트
적용 가능성 :
이 논문의 프레임워크는 두 가지 컨설팅 시나리오에서 직접 활용할 수 있다. 첫째, 고객사의 현행 IR 체계를 진단할 때 ISM과 IR 사이의 10가지 단절 지점(Forsberg 시나리오의 Disconnect Event 3 - 10)을 점검 항목으로 활용할 수 있다. 둘째, IR 체계 개선 로드맵을 수립할 때 5개 통합 프로세스를 단계별 구현 목표로 설정하고, 각 프로세스가 창출하는 단일 루프 및 이중 루프 학습 효과를 경영진 보고의 기대 효과로 제시할 수 있다.
기존 학습과의 연결 :
Slapničar et al.(2022)의 감사 효과성 연구가 외부 감사 관점에서 보안 체계를 평가했다면, 이 논문은 조직 내부에서 사고 경험이 어떻게 학습으로 전환되는지를 다룬다. Da Veiga & Eloff(2010)의 보안 문화 프레임워크가 개인과 조직의 보안 행동 기반을 설명했다면, 이 논문은 그 행동 기반이 사고 이후에도 학습과 개선으로 이어지려면 어떤 기능 간 연결이 필요한지를 설명한다. Gashgari et al.(2017)의 거버넌스 프레임워크가 보안 의사결정 구조를 다뤘다면, 이 논문은 그 구조가 실제 사고 대응과 어떻게 연결되어 보안 역량을 강화하는지를 보완한다.
현실적 고려사항 :
이 논문은 대규모 조직을 분석 단위로 설정하고 있다. 중소기업처럼 ISM과 IR이 동일 인력에 의해 수행되는 환경에서는 기능적 통합의 의미가 달라진다. 또한 이 연구는 개념적 프레임워크를 제시하는 것이므로, 실제 조직의 통합 수준을 측정하는 구체적 지표나 도구는 제공하지 않는다. 컨설팅 적용 시에는 프레임워크를 진단 체크리스트로 변환하는 별도의 작업이 필요하다.
Day 2 - Research Model, Hypotheses, and Methodology
(개념적 프레임워크 — ISM과 IR을 잇는 5개 통합 프로세스의 구조)
1. 연구 모델 개요
[ 전략적 수준 ] ISM
- 전략·프로세스·통제 재평가 ( 이중 루프 )
>> ↕
[ 전술적 수준 ] 통합 프로세스 I1 - I5
>> ↕
[ 운영적 수준 ] IR
- 관찰과 피드백 ( 단일 루프 )
설계 철학 :
저자들은 이 논문을 기술 중심의 IR 연구가 아닌 관리적 관점의 연구로 명확히 위치시킨다. 보안 사고는 반드시 발생하며, 문제는 그 사고를 어떻게 처리하느냐가 아니라 사고 경험으로부터 조직이 무엇을 배우느냐에 있다는 것이 이 연구의 출발점이다. 조직학습 이론을 보안 관리에 적용한 이유는, 보안 환경의 진화 속도가 조직의 점진적 개선 속도를 앞지르는 현실에서 단순한 오류 수정이 아닌 전략 자체의 재검토가 필요하기 때문이다.
2. 연구 가설 (핵심 가정)
이 논문은 가설 검증 연구가 아닌 개념적 프레임워크 연구이므로, 핵심 가정으로 서술한다.
| 가정 | 내용 | 근거 |
|---|---|---|
| A1 | 대규모 조직의 ISM과 IR은 구조적으로 분리되어 독립적으로 운영된다 | Ahmad et al.(2012, 2015), Tøndel et al.(2014), Hove et al.(2014) 등 선행 사례 연구의 반복적 발견 |
| A2 | 이 분리로 인해 조직은 사고 경험으로부터 최적의 학습을 하지 못한다 | Jaatun et al.(2009), Webb et al.(2017) 등 사례 연구에서 확인된 학습 공백 |
| A3 | ISM과 IR의 통합 수준이 높을수록 단일 루프 및 이중 루프 학습 기회가 증가한다 | Argyris & Schön(1997)의 조직학습 이론 적용 |
| A4 | 학습 기회의 증가는 조직의 보안 성과 향상으로 이어진다 | 전략 최적화, 통제 개선, 대응 역량 강화라는 구체적 효과로 연결 |
3. 연구 방법론
A. 연구 유형
이 논문은 실증 데이터를 수집하는 연구가 아니라 선행 문헌을 통합하여 개념적 프레임워크를 개발하는 이론 구축 연구다. 방법론적 기반은 두 가지다.
첫째, 선행 사례 연구 문헌의 통합이다. Ahmad et al.(2012, 2015), Grispos et al.(2015), Hove et al.(2014), Koivunen(2010), Line et al.(2014) 등 대규모 조직의 IR 실무를 직접 관찰한 사례 연구들에서 반복적으로 나타나는 단절 패턴을 추출했다.
둘째, 조직학습 이론의 보안 영역 적용이다. Argyris & Schön(1997)의 단일/이중 루프 학습 개념을 ISM-IR 통합 맥락에 적용하여 학습 기회와 그 효과를 체계화했다.
B. 분석 도구: Forsberg Industries 가상 시나리오
논문은 개념을 구체화하기 위해 가상의 고성능 자동차 제조기업 Forsberg Industries를 분석 사례로 활용한다. 이 시나리오는 단절 이벤트들이 실제 문헌(Ahmad et al., Grispos et al., Hove et al., Koivunen, Line et al.)에서 확인된 행동과 정당화 패턴을 기반으로 구성된 것임을 저자들이 명시한다.
시나리오 개요 :
2017년 5월 Forsberg의 R&D 서버가 예기치 않게 다운됐다. IR 팀은 24시간 내에 서버를 복구했으나, 서버 로그가 삭제되어 있었음에도 이 사고를 중요하지 않은 서비스 장애로 분류하고 공식 사후 보고서를 생성하지 않았다. 2년 후 경쟁사가 Forsberg의 핵심 기술과 유사한 고성능 차량을 출시했다. 지식재산이 침해당했지만 조직은 그 사실조차 인식하지 못했다.
C. 핵심 분석 구조: 10개 단절 이벤트
논문은 Forsberg 시나리오를 통해 전술적 수준과 전략적 수준에서 발생하는 단절을 총 10개 이벤트로 식별한다.
전술적 수준 단절 ( Disconnect Event 3 - 5 ) :
| 단절 이벤트 | 내용 |
|---|---|
| Event 3 | ISM이 루트 원인 조사를 지시하지 않음 — 침해가 악의적 공격인지, 어떻게 방어막이 뚫렸는지 파악 기회 상실 |
| Event 4 | ISM이 관련 사업부로부터 입력을 구하지 않음 — R&D 서버의 자산 가치와 전략적 비즈니스 리스크 맥락 파악 실패 |
| Event 5 | ISM이 우회된 보안 통제의 효과성을 조사하지 않음 — 기존 보안 전략의 적합성 검토 기회 상실 |
전략적 수준 단절 ( Disconnect Event 6 - 10 ) :
| 단절 이벤트 | 내용 |
|---|---|
| Event 6 | 비즈니스 부서가 ISM에 전략적 비즈니스 맥락 ( 경쟁사의 IP 탈취 관심, 경쟁 제품 개발 궤적 )을 제공하지 않음 |
| Event 7 | ISM이 사고의 비즈니스적 중요성을 경영진에게 부각시키지 않음 |
| Event 8 | ISM이 IR 팀에게 전략적 비즈니스 맥락과 핵심 리스크에 대한 정기적 브리핑을 제공하지 않음 |
| Event 9 | ISM이 IP 보호 전략을 개발하고 IR과 협력하여 위협 인텔리전스를 수집·처리·학습하지 않음 |
| Event 10 | IR이 전략적 위협 인식을 지원하는 인텔리전스를 수집하지 않음 |
D. 핵심 프레임워크: 5개 통합 프로세스 ( I1 - I5 )
논문의 핵심 결과물은 ISM과 IR을 연결하는 5개 통합 프로세스다. 각 프로세스는 단일 루프 학습 기회와 이중 루프 학습 기회를 모두 명시하며, 대응하는 ISM 실무 영역에 미치는 효과를 제시한다.
[ I1 : 보안 리스크 인식 제고 ]
IR이 수집한 사고 관련 정보(영향받은 자산, 구현된 통제, 사고 빈도, 조직 영향)를 ISM의 리스크 팀이 처리·분석한다.
- 단일 루프 : ISM이 새로운 리스크와 기존 리스크의 빈도·영향 지표를 리스크 레지스터에 반영
- 이중 루프 : 새로운 리스크 시나리오 발견과 리스크 평가 전략·프로세스의 지속적 최적화
- 해결하는 단절 : Disconnect Event 8 ( IR에 리스크 맥락 미제공 ), Event 7 ( 사고 중요성 미부각 )
[ I2 : 위협 인텔리전스 축적 ]
ISM이 IR에게 디지털 자산의 리스크에 대한 전략적 인식을 제공하여, IR이 사고 정보 수집 시 보안 관련 인텔리전스도 함께 수집하도록 한다. IR은 시스템·네트워크 로그, 저장 장치, 감시 영상 등에서 공격 유형 프로파일과 공격자 프로파일을 구축한다.
- 단일 루프 : ISM이 사고 관련 정보 수집·모니터링·분석을 통해 새로운 위협 유형과 공격 시나리오를 식별
- 이중 루프 : 위협 환경 인텔리전스의 품질과 유용성 평가를 통해 전체 조직 보안 전략·실무·전술 개선
- 해결하는 단절 : Disconnect Event 9 ( IP 보호 전략 및 위협 인텔리전스 부재 )
[ I3 : 방어 취약점 제거 ]
대규모 조직의 IR 팀은 연간 수천 건의 사고를 처리하지만, 사후 학습과 성찰로 이어지는 것은 극히 일부(주로 중요도 높음 또는 고영향 사고)에 불과하다. 이 논문은 학습 선택 기준을 확대할 것을 제안한다. 즉, 실패한 사고뿐 아니라 아슬아슬한 실패(near-miss)도 포함해야 하며, 선택 기준은 핵심 정보 자산에 대한 보안 학습 필요성과 사고 인과 구조 학습 필요성을 포함해야 한다.
- 단일 루프 : ISM이 사고 보고서를 분석하여 방어 체계의 실패와 실패 전조를 식별하고 취약점 제거
- 이중 루프 : 실패와 아슬아슬한 실패에서의 지속적 학습이 보안 취약점의 근본 원인 제거로 이어지는 깊은 이해
- 해결하는 단절 : Disconnect Event 3 ( 루트 원인 조사 미수행 )
[ I4 : 보안 방어 논리 평가 ]
조직의 방어 시스템은 다중 장벽으로 구성되며, 각 장벽은 다양한 보안 실무와 기술적 통제의 조합이다. 성공적인 공격은 이 장벽들의 취약점을 하나 이상 악용한다. IR 팀은 공격에 대응하는 과정에서 구체적으로 어떤 취약점이 악용됐고 기존 보안 통제가 얼마나 효과적이었는지에 대한 핵심 피드백을 ISM에 제공할 수 있는 최적의 위치에 있다.
- 단일 루프 : IR이 ISM에 기존 보안 통제의 효과성에 대한 핵심 피드백 제공, ISM이 보안 통제 재구성으로 시정 조치
- 이중 루프 : 사고에 대한 보안 방어의 효과성을 지속적으로 평가하여 진화하는 위협 환경에 능동적·신속하게 적응하도록 방어 시스템 전환
- 해결하는 단절 : Disconnect Event 5 ( 보안 통제 효과성 조사 미수행 )
[ I5 : 보안 대응 역량 강화 ]
ISM이 IR에게 세 가지 영역의 전략적·전술적 지침을 제공한다. 첫째는 정책으로, 특정 유형의 사고 처리 방법, 수집할 인텔리전스와 보존할 증거, 조직 전반의 정보 접근·압수·보존 시 프라이버시·법적·계약적 의무 관리 방법이다. 둘째는 SETA(보안 교육·훈련·인식)로, 복잡하고 역동적이며 스트레스가 높은 환경에서 보안 사고를 처리하는 데 필요한 지식·기술·능력(KSA)을 IR 팀에 개발한다. 셋째는 기술적 지원이다.
- 단일 루프 : ISM이 정책, SETA, 기술 지원을 통해 IR의 준비·식별·억제·제거 역량 강화
- 이중 루프 : ISM이 동적 위협 ( 예: APT )에 대한 전략적·전술적 인텔리전스를 IR과 지속적으로 공유하여 IR의 대응 역량이 조직의 리스크 프로파일에 맞게 전환
- 해결하는 단절 : Disconnect Event 8 ( 전략적 비즈니스 맥락 미제공 )
4. 컨설팅 관점 인사이트
방법론의 실무 적용성 :
장점 :
- 5개 통합 프로세스는 고객사의 현행 ISM-IR 연결 수준을 진단하는 체크리스트로 즉시 변환 가능
- 10개 단절 이벤트는 IR 체계 수립 자문 시 놓치기 쉬운 전략적 연결 고리를 점검하는 구체적 항목
- 단일/이중 루프 학습 구분은 고객사의 현재 학습 수준을 진단하고 개선 목표를 설정하는 언어 제공
한계 :
- 개념적 프레임워크이므로 통합 수준을 측정하는 정량적 지표가 없음. 진단 도구로 활용하려면 각 통합 프로세스를 구체적인 측정 가능 지표로 변환하는 작업이 필요
- 대규모 조직을 전제로 하므로 ISM과 IR이 동일 인력에 의해 수행되는 중소기업 환경에 그대로 적용하기 어려움
기존 보안 접근과의 차별점 :
| 접근 방식 | 관점 | 강점 | 약점 |
|---|---|---|---|
| 기존 IR 표준 ( NIST SP 800-61 등 ) | 기술적 절차 중심 | 단계별 처리 절차가 명확 | ISM과의 연결, 전략적 학습 기제 부재 |
| 이 논문의 프레임워크 | 조직학습 중심 | 단일/이중 루프 학습을 통한 보안 역량의 지속적 강화 설명 | 정량적 측정 도구 미제공, 검증되지 않은 개념적 모델 |
다음 학습 방향 ( Day 3 Preview ) :
Day 3에서는 Forsberg 시나리오가 어떻게 두 수준의 단절(전술적/전략적)을 설명하는지 상세히 분석하고, 5개 통합 프로세스가 각각 어떤 단절을 해소하며 어떤 학습 효과를 만들어내는지를 Table 3의 내용 기반으로 정리한다. 이 논문이 실증 연구가 아닌 개념 연구이므로, Day 3는 가설 검증 결과 대신 프레임워크의 논리적 완결성과 컨설팅 시나리오별 활용 방안을 중심으로 구성할 것이다.
Day 3 - Empirical Results and Hypothesis Testing
(실증이 아닌 논증 — 프레임워크의 논리적 완결성과 Discussion이 말하는 것)
1. 평가 환경
연구 성격 재확인 :
이 논문은 실증 데이터를 수집하거나 가설을 통계적으로 검증하는 연구가 아니다. 저자들은 선행 사례 연구 문헌에서 반복적으로 확인된 단절 패턴을 토대로 개념적 프레임워크를 구축하고, 가상 시나리오로 그 논리를 예시하는 이론 구축 연구를 수행했다. 따라서 Day 3는 통계적 검증 결과 대신 프레임워크의 논리적 완결성, Discussion 섹션의 주요 주장, 그리고 프레임워크가 기존 연구 및 산업 표준과 어떻게 차별화되는지를 중심으로 분석한다.
2. 주요 발견
A. 프레임워크의 핵심 주장
논문의 Discussion 섹션은 세 가지 핵심 주장을 제시한다.
주장 1 : 기존 산업 표준은 단일 루프 학습에 머물러 있다
ISO 27000 계열을 포함한 기존 산업 표준의 IR 지침은 사고 처리 후 교훈을 도출하고 표준 운영 절차에 반영하라고 권고한다. 그러나 이는 기존 전략과 프로세스 내의 오류를 수정하는 단일 루프 학습에 해당한다. 저자들은 이중 루프 학습의 개념을 도입함으로써 산업 표준이 다루지 못하는 전략적 수준의 학습 기회를 명시적으로 확장했다.
주장 2 : 약한 연결이 보안 학습의 구조적 장벽이다
대규모 조직에서 ISM과 IR의 기능적 분리는 부분적으로 합리적인 이유(IR이 비보안 사고도 처리한다는 점 등)가 있다. 그러나 이 분리의 부작용으로 조직은 한 보안 위기에서 다음 위기로 표류하면서 근본적인 보안 역량을 개선하지 못한다. 약한 연결 또는 단절은 단순한 소통 부재가 아니라 조직이 위협 환경에 적응하는 능력 자체를 저해하는 구조적 장벽이다.
주장 3 : ISM-IR 통합 수준이 조직 보안 성과를 결정한다
저자들은 이론적 명제를 명확히 제시한다. ISM과 IR 기능 사이의 통합이 강할수록 학습 기회가 많아지고, 그 결과 조직의 보안 성과가 높아진다. 이 관계는 선형적이며, 통합이 부재하면 학습이 없고 통합이 강하면 단일·이중 루프 학습이 모두 가능해진다.
B. 5개 통합 프로세스의 논리 구조 분석
논문의 실질적 결과물인 Table 3을 기반으로 각 통합 프로세스의 입력, 학습 효과, ISM 실무 영역에 대한 파급 효과를 분석한다.
| 통합 프로세스 | 핵심 입력 | 단일 루프 효과 | 이중 루프 효과 | ISM 실무 파급 |
|---|---|---|---|---|
| I1 : 리스크 인식 제고 | IR의 사고 정보(영향 자산, 구현 통제, 빈도, 영향) | 새 리스크·기존 리스크 빈도·영향 지표를 리스크 레지스터에 반영 | 새 리스크 시나리오 발견 및 리스크 평가 전략·프로세스 지속 최적화 | 리스크 커버리지 확대 → 정책·SETA·기술 통제의 적용 범위와 효과성 향상 |
| I2 : 위협 인텔리전스 축적 | IR의 공격자 프로파일, 공격 패턴 분석 결과 | 새로운 위협 유형·공격 시나리오 식별 | 위협 인텔리전스의 품질·유용성 평가를 통한 보안 전략·전술 전반 개선 | 보안 포지셔닝이 위협 환경에 맞게 최적화 |
| I3 : 방어 취약점 제거 | IR의 실패 및 아슬아슬한 실패 ( near-miss ) 정보 | 방어 체계 내 실패·실패 전조 식별 및 취약점 제거 | 근본 원인에 대한 깊은 이해를 통한 보안 전략·프로세스의 근본적 수정 | 리스크 노출 감소, 정책·SETA·기술 통제 품질 향상 |
| I4 : 방어 논리 평가 | IR의 기존 보안 통제 효과성 피드백 | ISM이 피드백에 따라 보안 통제 재구성으로 시정 조치 | 보안 방어 효과성의 지속 평가를 통해 방어 시스템 자체를 위협 환경에 맞게 전환 | ISM이 전략·규범·프로세스를 신속히 재구조화할수록 방어 효과성 증가 |
| I5 : 보안 대응 역량 강화 | ISM의 정책·SETA·기술 지원 | IR의 준비·식별·억제·제거 역량 강화 | ISM의 APT 등 동적 위협 인텔리전스 지속 공유가 IR의 대응 역량을 조직 리스크 프로파일에 맞게 전환 | IR 효과성 증가 → 사고 식별·억제·제거·복구 능력 향상 |
C. Forsberg 시나리오가 보여주는 실패의 연쇄
Forsberg 시나리오는 단절이 어떻게 연쇄적으로 작동하는지를 보여준다. IR이 사고를 서비스 장애로 분류하고 복구에만 집중한 시점(Event 2)에서 이후의 모든 학습 가능성이 닫혔다.
[ Event 2 : IR이 사고를 서비스 장애로 분류 ]
>> ↓ 단절 발생
[ Event 3 ] 루트 원인 조사 미수행 → 단일 루프 학습 기회 상실
[ Event 4 ] 사업부 입력 미수집 → 자산의 전략적 가치 파악 실패
[ Event 5 ] 보안 통제 효과성 미검토 → I4 통합 프로세스 미작동
>> ↓ 전략적 수준으로 확산
[ Event 6 - 7 ] 비즈니스 맥락 부재 → 경영진 인식 실패
[ Event 8 - 9 ] 위협 인텔리전스 미축적 → I2 통합 프로세스 미작동
[ Event 10 ] IR의 인텔리전스 수집 역량 미개발
>> ↓ 최종 결과
- IT 서비스 복구만 달성
- 지식재산 탈취 인식 실패
- 경쟁 우위 상실
이 연쇄는 단절이 단순한 소통 부재가 아니라 조직의 전략적 자산 보호 실패로 귀결됨을 보여준다.
3. 기존 연구 및 표준과의 비교
A. 기존 산업 표준 대비 위치
| 구분 | 기존 표준 ( NIST SP 800-61, ISO 27035 ) | 이 논문 |
|---|---|---|
| 초점 | IR의 6단계 절차적 완결성 | ISM-IR 통합을 통한 조직학습 |
| 학습 유형 | 단일 루프 ( Follow-up 단계에서 교훈 도출 ) | 단일 루프 + 이중 루프 |
| 분석 수준 | 운영적 수준 ( IR 팀 내부 ) | 운영적·전술적·전략적 수준 통합 |
| 결과물 | 개선된 IR 절차 | 보안 리스크 인식 제고, 위협 인텔리전스 축적, 방어 취약점 제거, 방어 논리 평가, 대응 역량 강화 |
B. 이전 사례 연구들의 발견과의 연결
저자들이 인용한 선행 연구들의 공통된 발견은 다음과 같다. 조직은 사고 보고에 강한 억제 유인을 갖고 있으며(Tan et al., 2003), 사고 이후 소통과 협력이 부재하고(Tøndel et al., 2014), 현재의 IR 도구는 협력적 조사 활동을 충분히 지원하지 못한다(Werlinger et al., 2010). 이 논문은 이러한 발견들이 공통적으로 가리키는 구조적 원인, 즉 ISM-IR 단절을 하나의 이론적 틀로 통합한다.
4. 오류 분석: 프레임워크의 논리적 전제 점검
이 논문이 이론 구축 연구이므로, 통상적인 오탐 분석 대신 프레임워크의 핵심 전제와 그 한계를 점검한다.
| 전제 | 내용 | 한계 가능성 |
|---|---|---|
| ISM과 IR은 분리된 팀으로 운영된다 | 대규모 조직 기준의 설정 | 중소기업이나 SOC 통합 운영 환경에서는 적용 조건이 달라짐 |
| 통합이 강할수록 학습 기회가 증가한다 | 방향성은 타당하나 비선형 관계 가능 | 통합 수준이 일정 임계점을 넘으면 수익 체감이 발생할 수 있음 |
| 학습 기회 증가가 보안 성과로 이어진다 | 조직학습 이론의 일반 명제 | 학습과 성과 사이의 시차, 조직 문화, 경영진 지원 등 매개 변수가 개입 |
| 단절은 제거 가능하다 | 5개 통합 프로세스로 해소 가능하다고 전제 | IR이 비보안 사고도 처리한다는 구조적 제약은 완전한 해소가 어려울 수 있음 |
5. 컨설팅 관점 인사이트
성공 시나리오 :
고객사의 ISM 팀과 IR 팀이 각각 존재하지만 사후 검토 회의나 정기 브리핑이 없는 경우, 이 프레임워크는 통합 프로세스 도입의 필요성을 경영진에게 설득하는 논거로 직접 활용 가능하다. Forsberg 시나리오처럼 사고 후 복구만 이루어지고 학습이 없는 패턴이 반복되고 있다면, 단절의 전략적 결과를 가시화하는 데 이 프레임워크가 효과적이다.
한계 시나리오 :
이 프레임워크는 두 기능이 별도 팀으로 분리된 대규모 조직을 전제한다. 소규모 고객사에서 보안 담당자 한 명이 ISM과 IR을 모두 수행하는 경우, 기능 간 통합보다는 역할 내 학습 루틴 설계라는 다른 접근이 필요하다.
고객 환경 적용 시 고려사항 :
I1 - I5 각 통합 프로세스를 실제 조직에 도입하려면 인텔리전스 공유를 위한 정기 회의 구조, 사후 검토 보고서 표준 양식, ISM과 IR 간 공통 리스크 레지스터 접근 권한 등 구체적인 운영 메커니즘 설계가 선행되어야 한다. 이 논문은 무엇을 해야 하는지는 명확히 제시하지만, 어떻게 구현하는지는 후속 연구 과제로 남겨둔다.
6. 개인 인사이트
Day 3를 읽고 느낀 점 :
[ 인사이트 1 : 복구와 학습은 다르다 ]
Forsberg 시나리오에서 IR 팀은 24시간 내에 서버를 복구하는 데 성공했다. 기술적으로는 완벽한 대응이었다. 그러나 조직은 지식재산을 잃었고 경쟁 우위가 침식됐다. 이 논문이 말하는 핵심은 IT 서비스 복구와 조직 보안 역량 강화는 전혀 다른 목표라는 것이다. 많은 고객사가 IR을 IT 서비스 복구와 동일시한다. 컨설팅 자문 시 이 구분을 명확히 설명할 수 있게 됐다.
[ 인사이트 2 : 아슬아슬한 실패의 가치 ]
I3에서 저자들은 근거리 실패(near-miss)를 학습 대상으로 포함해야 한다고 주장한다. 항공·원자력 산업에서는 이미 일반화된 개념이지만, 정보보안 분야에서는 중요도가 낮은 사고는 보고 및 분석 대상에서 제외되는 경우가 많다. Forsberg의 경우 서버 로그 삭제라는 낮은 중요도의 이상 징후가 결국 IP 탈취의 전조였다. 사소해 보이는 사고 패턴에서 전략적 신호를 읽어내는 역량이 컨설팅의 핵심 가치 중 하나임을 다시 확인했다.
[ 인사이트 3 : 이중 루프 학습이 컨설팅의 고부가 영역 ]
단일 루프 학습(취약점 패치, 통제 재구성)은 내부 운영팀이 자체적으로 수행할 수 있다. 이중 루프 학습(보안 전략의 근본 가정 재검토, 방어 논리 전환)은 경영진과의 소통, 비즈니스 맥락 이해, 외부 위협 환경 분석이 결합되어야 가능하다. 이것이 바로 컨설턴트가 개입할 수 있는 영역이다. 이 논문은 고부가 컨설팅이 어디에 위치하는지를 명확하게 보여준다.
다음 궁금증 ( Day 4 Preview ) :
Day 4 - Research Limitations and Scholarly Impact
(개념이 검증으로, 프레임워크가 측정 도구로 — 이 논문이 열어놓은 연구 흐름)
1. 연구의 한계점
A. 실증 검증 부재
문제 :
이 논문은 조직학습 이론과 선행 사례 연구 문헌을 통합하여 개념적 프레임워크를 구축했지만, 프레임워크 자체를 실제 조직 데이터로 검증하지 않았다. ISM과 IR의 통합 수준이 높을수록 학습 기회가 증가하고 보안 성과가 향상된다는 핵심 명제는 논리적 추론에 기반하며, 통계적 검증은 후속 연구 과제로 명시적으로 남겨뒀다.
영향 :
컨설팅 현장에서 이 프레임워크를 고객사에 제시할 때, 통합이 실제로 보안 성과 향상으로 이어진다는 인과관계를 수치로 뒷받침할 수 없다. 경영진 설득 시 논리적 설득력은 높지만 실증적 근거는 제한적이다.
보완 방향 :
저자들은 논문 내에서 직접 후속 연구 방향을 제시했다. 연구자들이 프레임워크를 활용해 조직 조건과 ISM-IR 통합 사이의 관계를 측정하거나, 다양한 통합 구성(예: IR이 ISM 팀 내에 포함된 경우 vs. 독립적으로 운영되는 경우)에서 학습 기회를 비교하는 실증 연구가 가능하다고 제시한다.
B. 대규모 조직 편향
문제 :
이 논문이 분석하는 조직은 ISO 27000 계열 표준을 따르며 ISM과 IR 기능에 각각 전담 팀을 운영하는 대규모 조직이다. 이 설정은 금융권, 대형 제조업, 공공기관 등에 적합하지만, 중소기업처럼 보안 담당자 한두 명이 ISM과 IR을 모두 수행하는 환경에서는 기능적 분리라는 전제 자체가 성립하지 않는다.
영향 :
프레임워크의 적용 범위가 제한되며, 한국 기업 환경에서 중견·중소기업 고객사에는 수정 없이 적용하기 어렵다.
보완 방향 :
중소기업 환경에서는 기능 간 통합이 아닌 역할 내 학습 루틴 설계, 또는 외부 MSSP(관리형 보안 서비스 제공업체)와의 협력 체계를 대안으로 검토해야 한다.
C. 팀 내부 역학 및 개인 수준 분석 부재
문제 :
이 논문은 ISM과 IR이라는 두 기능 사이의 프로세스 수준 통합에 집중하며, 각 팀 내부의 개인 간 상호작용이나 개인의 지식 공유 행동은 분석 범위에서 제외했다. 저자들 스스로 ISM과 IR 팀 내 개인 간의 정보·지식 공유, 기술·전문성의 협력적 발전은 이 연구의 분석 범위를 넘어서며 추가 연구가 필요하다고 명시했다.
영향 :
실제 조직에서 통합 프로세스가 제대로 작동하려면 개인의 지식 공유 의지, 팀 간 신뢰, 경쟁적 우선순위 충돌 등 행동적 요인을 함께 다뤄야 하지만, 이 논문은 그 층위를 다루지 않는다.
보완 방향 :
Bada et al.(2014)의 행동 변화 이론, Da Veiga & Eloff(2010)의 보안 문화 프레임워크 등을 결합하여 개인 수준의 지식 공유 행동을 함께 분석하는 통합 접근이 필요하다.
D. 통합 수준 측정 도구 미제공
문제 :
프레임워크는 I1 - I5라는 5개 통합 프로세스와 각각의 단일·이중 루프 학습 기회를 명시하지만, 조직의 현재 통합 수준을 정량적으로 측정하는 지표나 도구는 제공하지 않는다. 저자들은 통합 수준을 부재, 낮음, 강함, 이상적 수준으로 구분하는 성숙도 분류를 제안하지만, 각 수준을 판별하는 구체적 측정 기준은 후속 연구로 남겼다.
영향 :
컨설팅 진단 도구로 활용하려면 각 통합 프로세스를 측정 가능한 지표로 변환하는 별도 작업이 필요하다.
2. 후속 연구 동향
A. 인용 수와 영향력
학술적 임팩트 :
- 발표 : 2019년 10월 온라인 출판, 2020년 8월 정식 게재
- 현재 인용 수 : 116건 ( Sean Maynard 연구자 페이지 기준 )
- 게재지 Impact Factor : JASIST 3.5 ( 게재 당시 기준, Top 25% 저널 )
- 연간 약 19 - 20건 인용 수준으로 IR 관리 분야에서 꾸준히 참조되고 있음
비교 :
동일 저자군의 후속 논문인 Ahmad et al.(2021), How can Organizations Develop Situation Awareness for Incident Response는 107건 인용을 기록했으며, Naseer et al.(2021), Real-time Analytics and IR Agility는 60건 인용으로, 이 논문이 열어놓은 연구 흐름이 활발하게 이어지고 있음을 확인할 수 있다.
B. 연구 트렌드의 변화
[ 이 논문 이전 ]
- IR = 기술적 절차 ( NIST SP 800-61 등 6단계 처리 절차 중심 )
- ISM과 IR은 별개의 연구 영역으로 취급
>> ↓
[ 이 논문 ( 2020 ) ]
- IR = 조직학습의 기회
- ISM-IR 통합이 보안 성과의 핵심 변수로 제시
- 이중 루프 학습 개념을 보안 관리에 최초 적용
>> ↓
[ 현재 ]
- IR 민첩성 ( Agility ) 연구로 확장 ( Naseer et al., 2021, 2023 )
- 상황 인식 ( Situation Awareness )과 IR 프로세스 통합 ( Ahmad et al., 2021 )
- 실시간 분석과 IR 역량의 관계 실증 검증 ( Naseer et al., 2021 )
이 논문의 위치 :
기술 중심 IR 연구에서 관리·학습 중심 IR 연구로의 전환점 역할을 했다. 개념적 프레임워크로서의 한계에도 불구하고 후속 연구들이 이 논문을 이론적 기반으로 인용하며 실증 검증 및 개념 확장을 수행하고 있다.
C. 주요 후속 연구
한계 극복 방향 1 : 실증 검증 및 개념 확장
| 연구 | 연도 | 핵심 기여 |
|---|---|---|
| Ahmad et al., How can Organizations Develop Situation Awareness for Incident Response | 2021 | 금융기관 심층 사례 연구로 IR의 상황 인식 프로세스 모델을 실증적으로 도출. 이 논문의 개념 프레임워크를 사례 기반으로 구체화 |
| Naseer et al., Real-time Analytics, IR Agility and Cybersecurity Performance | 2021 | 실시간 분석 역량이 IR 민첩성을 통해 사이버보안 성과에 미치는 영향을 자원기반이론으로 실증 검증. 이 논문의 I5(대응 역량 강화) 명제를 정량적으로 검증 |
| Naseer et al., Moving towards Agile Cybersecurity IR | 2023 | 빅데이터 분석 기반 동적 역량이 IR 민첩성을 어떻게 가능하게 하는지 금융기관 사례 연구로 분석 |
개선점 :
이 논문이 제시한 개념 프레임워크의 핵심 명제들(통합 강도 → 학습 기회 → 보안 성과)을 실증 데이터로 검증하고, 분석 수준을 기능 간 통합에서 개인·팀·조직 수준으로 확장했다.
한계 극복 방향 2 : 교육 도구로의 전환
| 연구 | 연도 | 핵심 기여 |
|---|---|---|
| Ahmad et al., Case-based Learning in ISM | 2021 | Forsberg 시나리오를 기반으로 IP 탈취 사례를 교육용 케이스로 개발. ISM 교육 현장에서 이 논문의 프레임워크를 실제 적용한 사례 |
3. 실무 영향
A. IR 관리 실무에 미친 영향
이 논문 이전 :
IR은 기술적 사고 처리 기능으로 인식되었으며, 사후 검토는 IR 팀 내부의 교훈 도출에 한정됐다. ISM과 IR의 연결은 사고 보고서를 공유하는 수준에 머물렀다.
이 논문 이후 :
사후 검토의 범위를 전략적 수준으로 확장하고, ISM과 IR 기능을 연결하는 구조적 메커니즘(정기 인텔리전스 브리핑, 공동 리스크 레지스터 운영, 사고 기반 전략 재검토 등)의 필요성이 학술 담론에서 명시화됐다. 이 논문이 제시한 이중 루프 학습 개념은 이후 연구들에서 IR 민첩성, 동적 역량 등의 개념으로 발전됐다.
B. 산업 표준과의 연계
이 논문이 직접적으로 산업 표준을 변경한 것은 아니지만, 이 논문의 문제의식과 유사한 방향으로 표준이 발전했다. NIST CSF 2.0(2024년 발표)은 기존 5개 기능(식별-보호-탐지-대응-복구)에 거버넌스(Govern) 기능을 추가하여 보안 관리와 대응의 전략적 통합을 강조했다. 이는 이 논문이 주장한 ISM의 전략적 역할과 IR의 연계 필요성과 방향성을 같이 한다.
4. 컨설팅 관점 인사이트
한계를 이해한 컨설팅 전략 :
이 논문의 한계를 알고 있으면 고객사에게 더 정직한 자문이 가능하다. 이 프레임워크는 통합의 방향성과 목표를 제시하지만, 통합 수준을 측정하는 정량적 지표나 구현 방법론을 제공하지 않는다. 따라서 컨설팅 적용 시에는 I1 - I5 각 프로세스를 체크리스트 항목으로 변환하고, 각 항목의 현행 수준을 인터뷰와 문서 검토로 진단하는 별도의 방법론을 설계해야 한다.
적용 가능 시나리오 :
별도의 ISM 팀과 IR 팀을 운영하는 금융권, 대형 제조업, 공공기관 고객사에서 사고 이후 학습이 체계적으로 이루어지지 않는 문제를 해결하고자 할 때. 특히 반복적인 유사 사고가 발생하거나, IR 사후 보고서가 작성되지 않거나, ISM과 IR 팀 간 정기 소통 채널이 없는 경우 이 프레임워크의 필요성을 진단 결과로 제시할 수 있다.
적용 불가 시나리오 :
보안 전담 인력이 1 - 2명인 중소기업. 이 경우 기능 간 통합보다는 사고 대응 절차서 수립, 사후 검토 루틴 정착, 외부 MSSP 연계 등 단순화된 접근이 우선이다.
5. 개인 인사이트
Day 4를 읽고 느낀 점 :
[ 인사이트 1 : 개념 연구의 가치와 한계 사이 ]
116건 인용이라는 숫자는 이 논문이 실증 검증 없이도 학계에서 충분한 영향력을 발휘했음을 보여준다. 이유는 분명하다. 이 논문이 제시한 문제, 즉 ISM과 IR의 단절이 왜 발생하고 그것이 조직에 어떤 구조적 결과를 가져오는지는 이미 수많은 사례 연구에서 반복적으로 관찰된 현상이었다. 이 논문은 그 현상에 이론적 언어를 부여한 것이다. 컨설팅 현장에서도 마찬가지다. 고객사가 이미 경험하고 있는 문제를 명확한 언어로 진단해주는 것 자체가 가치 있는 자문이다.
[ 인사이트 2 : 프레임워크가 성숙도 모델로 발전하는 경로 ]
저자들이 제안한 통합 수준의 4단계 분류(부재-낮음-강함-이상적)는 미완성 상태로 남아 있다. 그러나 이것은 컨설팅 측면에서 오히려 기회다. 이 논문의 I1 - I5 프로세스를 각 수준별 구체적 지표로 발전시키면, ISM-IR 통합 성숙도 진단 도구가 된다. 이전에 읽은 Foorthuis & Bos(2011)의 컴플라이언스 전술 프레임워크나 Gashgari et al.(2017)의 거버넌스 프레임워크가 성숙도 진단 체크리스트로 활용된 것처럼, 이 논문도 같은 방식으로 실무화할 수 있다.
[ 인사이트 3 : 후속 연구가 검증한 방향 ]
Naseer et al.(2021)이 실시간 분석 역량과 IR 민첩성의 관계를 실증한 것은 이 논문의 I5(보안 대응 역량 강화) 명제를 정량적으로 뒷받침한 셈이다. Ahmad et al.(2021)의 상황 인식 연구는 I1(리스크 인식 제고)과 I2(위협 인텔리전스 축적)의 구체적 메커니즘을 사례로 확인한 것이다. 이렇게 보면 이 논문은 완성된 연구가 아니라 연구 프로그램의 출발점이었다. 컨설팅 역량도 같은 방식으로 쌓인다. 개념을 이해하고, 그것을 진단 도구로 변환하고, 실제 적용에서 검증하는 반복 과정이다.
다음 궁금증 ( Day 5 Preview ) :
5일간의 학습을 마무리하며, 이 논문이 이전 10편의 컨설팅 논문 프레임워크에 어떻게 통합되는지를 정리한다. 특히 거버넌스(Gashgari) → 컴플라이언스(Foorthuis) → 리스크(Santos-Olmo) → 개인 행동(Bulgurcu) → 감사(Slapničar) → 공급망(Ghadge) → 투자(Gordon & Loeb) → 보안 문화(Da Veiga) → 행동 변화(Bada) → 서드파티(Keskin) → 사고 대응과 학습(Ahmad)으로 이어지는 누적 프레임워크를 하나의 컨설팅 방법론으로 통합하는 작업이 Day 5의 핵심이다.
Day 5 - Consulting Perspective and Key Takeaways
(사고는 끝이 아니라 시작이다 — IR을 학습 엔진으로 전환하는 컨설턴트의 역할)
1. 5일간 학습 여정 종합
A. 무엇을 배웠나
Day 1 : ISM과 IR의 구조적 단절
[ Day 1 요약 ]
- 보안 투자가 늘어도 사고가 줄지 않는 역설
>> ↓
- ISM ( 전략 )과 IR ( 운영 ) 사이의 약한 연결이 원인
>> ↓
- 문제는 기술이 아니라 두 기능 사이의 지식 흐름 부재
Day 2 : 5개 통합 프로세스 프레임워크
[ Day 2 요약 ]
- 조직학습 이론 ( 단일/이중 루프 )을 보안에 적용
>> ↓
- I1 - I5 : 리스크 인식·위협 인텔리전스·취약점 제거·방어 논리 평가·대응 역량 강화
>> ↓
- Forsberg 시나리오 : 10개 단절 이벤트가 IP 탈취로 이어지는 연쇄 확인
Day 3 : 프레임워크의 논리적 완결성
[ Day 3 요약 ]
- 복구와 학습은 다른 목표다
>> ↓
- near-miss를 포함한 학습 선택 기준 확장, 이중 루프 학습이 고부가 컨설팅 영역
>> ↓
- 기존 산업 표준은 단일 루프에 머물러 있다는 핵심 비판 확인
Day 4 : 한계와 후속 연구 흐름
[ Day 4 요약 ]
- 실증 검증 부재, 대규모 조직 편향, 측정 도구 미제공
>> ↓
- 116건 인용, 후속 연구들이 실증 검증 및 IR 민첩성 개념으로 확장
>> ↓
- 이 논문은 완성된 연구가 아닌 연구 프로그램의 출발점
Day 5 ( 지금 ) : 컨설팅 관점 통합
11편의 논문이 쌓아온 누적 프레임워크에 사고 대응과 학습이라는 마지막 레이어를 추가하고, 전체를 하나의 컨설팅 방법론으로 통합한다.
2. 논문에서 배운 핵심 원리 정리
A. 기술적 메커니즘의 본질적 이해
원리 1 : 사고는 리스크 실현이자 학습 자원이다
보안 사고는 하나 이상의 리스크가 실현된 것이다. 동시에 사고는 기존 방어 체계의 어느 지점이 실패했는지를 보여주는 유일한 실증 데이터이기도 하다. IR 팀은 이 데이터를 가장 먼저, 가장 풍부하게 확보하는 위치에 있다. 그러나 ISM과의 연결이 없으면 이 데이터는 사고 처리 후 사라진다. 단절의 본질적 비용은 이 실증 데이터의 소멸이다.
왜 작동하는가 :
IR이 수집한 사고 정보(영향 자산, 공격 경로, 우회된 통제, 공격자 행동 패턴)는 ISM의 리스크 평가가 과거에 추정으로 채웠던 공백을 실증 데이터로 채운다. 이것이 I1(리스크 인식 제고)과 I2(위협 인텔리전스 축적)의 작동 원리다.
왜 한계가 있는가 :
IR 팀이 수집하는 정보의 품질은 사전에 ISM이 어떤 리스크 맥락을 IR에 제공했느냐에 달려 있다. 맥락 없이 수집된 정보는 전략적 의미를 갖기 어렵다. I1과 I2는 양방향 의존 관계다.
원리 2 : 단일 루프만으로는 위협 환경의 진화를 따라잡을 수 없다
취약점을 패치하고 통제를 재구성하는 단일 루프 학습은 기존 방어 체계의 구멍을 막는 것이다. 그러나 위협 행위자가 공격 전술, 기법, 도구를 지속적으로 변화시키는 환경에서 구멍을 막는 것만으로는 충분하지 않다. 방어 체계의 설계 논리 자체가 위협 환경에 맞게 변환되어야 한다. 이것이 이중 루프 학습이 필요한 이유다.
원리 3 : 통합의 강도가 학습의 깊이를 결정한다
ISM과 IR의 연결이 강할수록 조직은 더 많은 학습 기회를 확보하고 더 깊은 수준의 학습이 가능해진다. 연결이 부재하면 조직은 사고 후 IT 서비스를 복구하는 수준에 머문다. 연결이 강하면 사고가 리스크 레지스터 갱신, 위협 인텔리전스 축적, 보안 전략 재검토, IR 대응 역량 강화로 이어진다. 통합 수준은 조직이 위협 환경에 적응하는 속도를 결정하는 핵심 변수다.
B. 일반화 가능한 원칙
- 조직의 두 기능 사이에 정보 흐름이 없으면 각 기능이 개별적으로는 잘 작동해도 전체 시스템은 학습하지 못한다
- 사후 검토의 범위를 운영적 수준에서 전략적 수준으로 확장하지 않으면, 조직은 같은 실수를 다른 형태로 반복한다
- 측정하지 않는 것은 관리할 수 없다. 통합 수준을 진단 가능한 지표로 변환하는 작업이 개선의 전제 조건이다
3. 기업 환경에서의 적용 가능성 분석
A. 해결하는 비즈니스 문제
보안 측면 :
동일 또는 유사한 공격 벡터에 반복적으로 피해를 입는 조직, IR 사후 검토가 형식적으로 수행되거나 아예 수행되지 않는 조직, 리스크 레지스터가 실제 발생한 사고와 괴리된 추정 기반으로 유지되는 조직의 구조적 문제를 해결한다.
비즈니스 측면 :
보안 사고로 인한 지식재산 유출, 경쟁 우위 침식, 고객 신뢰 손상 등 전략적 비즈니스 리스크를 사전에 인식하고 대응하는 역량을 구축한다.
규제 측면 :
ISMS-P 2.10(정보보안 사고 관리)은 사고 대응 절차 수립과 함께 사고 처리 결과의 재발 방지 조치를 요구한다. 이 논문의 프레임워크는 재발 방지 조치를 단순한 패치 적용에서 ISM-IR 통합 기반의 구조적 학습으로 격상하는 이론적 근거를 제공한다.
B. 적합한 기업 프로필
산업 : 금융권, 대형 제조업(특히 IP 집약적 기업), 통신, 공공기관 등 ISM과 IR을 별도 팀으로 운영하는 대규모 조직에 최적화
기업 규모 : 중견 이상. ISM과 IR 기능에 각각 전담 인력이 배치된 환경이 전제 조건
보안 성숙도 : ISO 27001 또는 ISMS-P 인증을 보유하고 있어 기본 관리 체계는 갖춰진 수준. 이 프레임워크는 기본 체계를 구축하는 단계가 아니라, 구축된 체계를 학습 기반으로 진화시키는 단계에 적합
기술 스택 : 기존 SIEM, IDS/IPS, 사고 티케팅 시스템 등을 운영 중인 환경. 이 논문은 도구보다 프로세스와 기능 간 연결에 집중한다
C. 도입 시 고려사항
프로세스 :
- I1 - I5 각 통합 프로세스를 현행 IR 절차에 반영하기 위한 사후 검토 보고서 양식 재설계
- ISM과 IR 팀 간 정기 인텔리전스 공유 회의 구조 수립
- near-miss를 포함한 사고 선택 기준 확장 및 관련 정책 수정
인력 :
- ISM 팀의 리스크 담당자가 IR 사후 보고서를 분석하고 리스크 레지스터에 반영하는 역할 명시
- IR 팀이 인텔리전스 수집 역량을 개발하도록 SETA 프로그램 보완
시간 :
- 단일 루프 학습 체계 ( 사후 검토 절차 정착 ) : 3 - 6개월
- 이중 루프 학습 체계 ( ISM 전략 재검토 루틴 확립 ) : 12개월 이상
4. 컨설팅 시나리오별 활용 방안
A. 보안 진단/점검
이 논문의 프레임워크를 활용한 ISM-IR 통합 수준 진단은 기존 보안 감사에서 다루지 않는 기능 간 연결 강도를 측정하는 새로운 진단 영역이다.
점검 항목 예시 :
- IR 사후 검토 보고서가 ISM 리스크 팀에 정기적으로 전달되는가
- ISM이 IR 팀에게 핵심 자산 목록과 리스크 시나리오를 정기적으로 브리핑하는가
- near-miss 사고가 정식 학습 대상으로 선택되는 기준이 존재하는가
- IR 피드백이 보안 정책, SETA, 기술 통제 개선에 반영된 사례가 있는가
- ISM과 IR 간 정기 소통 채널 ( 회의, 공유 플랫폼 등 )이 존재하는가
B. 보안 체계 수립
IR 사후 검토 체계 재설계 프로젝트에서 이 논문의 5개 통합 프로세스를 설계 목표로 활용할 수 있다.
적용 예시 :
- 현행 사후 검토 보고서에 I1 ( 리스크 인식 ) 항목 추가 : 이 사고가 기존 리스크 레지스터의 어떤 시나리오에 해당하는가, 새로운 리스크 시나리오가 발견됐는가
- I3 ( 취약점 제거 ) 기준 확장 : 중요도 낮은 사고와 near-miss도 학습 대상으로 선택하는 기준 마련
- I5 ( 대응 역량 강화 ) 구현 : ISM이 IR 팀에 제공하는 APT 위협 시나리오 기반 훈련 프로그램 설계
C. 기술 자문
질문 1 : 우리 회사는 IR 사후 보고서를 작성하고 있는데 왜 비슷한 사고가 반복되나요?
답변 : 사후 보고서가 IR 팀 내부에서 소비되고 ISM의 리스크 관리와 전략 수립에 반영되지 않기 때문일 가능성이 높습니다. I1 - I4 통합 프로세스 관점에서 보고서가 ISM의 어떤 실무 영역에 실제로 전달되고 활용되는지 확인이 필요합니다.
질문 2 : IR 팀 역량을 강화하려면 무엇을 해야 하나요?
답변 : 기술 교육만으로는 충분하지 않습니다. I5 관점에서 ISM이 IR 팀에게 조직의 핵심 자산, 우선 보호 대상, 위협 환경에 대한 전략적 맥락을 제공하는 구조가 선행되어야 합니다. 맥락 없는 기술 역량은 서비스 복구에는 효과적이지만 전략적 보안 대응에는 한계가 있습니다.
질문 3 : ISMS-P 심사에서 2.10 사고 관리 항목을 어떻게 강화할 수 있나요?
답변 : 현행 사고 처리 절차에 추가로, 사고로부터의 학습이 보안 정책·리스크·SETA·기술 통제 개선으로 이어지는 피드백 루프를 문서화하는 것이 필요합니다. 이 논문의 I1 - I4 통합 프로세스를 각각 개선 사례로 기록하면 심사 대응과 실질적 역량 강화를 동시에 달성할 수 있습니다.
5. 프레임워크/규제/표준과의 연계
A. ISMS-P / ISO 27001 관점
| 통제 항목 | 논문의 기여 | 적용 방법 |
|---|---|---|
| ISMS-P 2.10.1 보안사고 예방 및 대응체계 구축 | ISM-IR 통합 수준이 사고 예방과 대응 역량을 동시에 결정한다는 이론적 근거 제공 | I1 - I5 통합 프로세스를 예방-대응 연계 체계의 설계 기준으로 활용 |
| ISMS-P 2.10.4 사고 대응 및 복구 | 복구 이후의 학습 단계(Follow-up)를 ISM 전략 수준까지 확장하는 근거 제공 | 사후 검토 보고서 양식에 I1·I3 항목 추가, ISM 리스크 팀 배포 절차 수립 |
| ISMS-P 2.10.6 재발방지 | 재발 방지를 단순 패치에서 이중 루프 학습 기반의 전략 재검토로 격상하는 프레임 제공 | 근본 원인 분석(I3)과 방어 논리 평가(I4) 결과를 재발 방지 계획에 포함 |
| ISO 27001 A.16 정보보안 사고 관리 | 사고 관리를 ISM의 다른 실무 영역(리스크, 정책, SETA)과 연결하는 통합 관점 제공 | A.16 감사 시 ISM-IR 피드백 루프 존재 여부를 추가 점검 항목으로 설정 |
B. 보안 성숙도 관점
| 단계 | ISM-IR 통합 수준 | 학습 유형 | 컨설팅 개입 방향 |
|---|---|---|---|
| Level 1 | 단절 : 두 기능 사이에 공식 소통 채널 없음 | 없음 | 사후 검토 절차 수립, 기본 보고서 양식 설계 |
| Level 2 | 약한 연결 : 사고 보고서 공유는 하지만 전략적 활용 없음 | 단일 루프 일부 | I1·I3 중심의 피드백 루프 설계 |
| Level 3 | 강한 연결 : I1 - I5 프로세스가 운영되고 ISM 실무에 반영됨 | 단일 루프 완전 + 이중 루프 일부 | I4·I5 강화 및 전략 재검토 루틴 수립 |
| Level 4 | 이상적 통합 : 사고가 보안 전략 전환의 트리거로 기능 | 단일·이중 루프 완전 | 유지 및 위협 환경 변화에 따른 지속 개선 |
6. 컨설턴트로서 얻은 인사이트
A. 고객 조언 역량
이 논문을 읽기 전 :
IR 체계 수립 자문 시 6단계 절차(준비-식별-억제-제거-복구-사후검토)를 설계하는 수준에 머물렀다. 사후 검토가 왜 형식적으로 수행되는지, 그 구조적 원인을 설명하는 이론적 언어가 없었다.
이 논문을 읽은 후 :
ISM과 IR의 기능적 단절이라는 구조적 원인을 진단하고, 5개 통합 프로세스를 개선 목표로 제시할 수 있게 됐다. 단일 루프와 이중 루프 학습의 구분을 통해 고객사의 현재 학습 수준을 진단하고 다음 단계를 제시하는 언어를 갖게 됐다.
구체적 예시 :
고객 : 우리는 ISMS-P 인증도 있고 IR 절차도 있는데 왜 보안이 좋아지지 않는 느낌인지 모르겠어요.
나 : 현행 IR 사후 검토 결과가 리스크 관리팀과 정책 담당팀에 실제로 전달되고 있는지 확인해보겠습니다. 대부분의 조직에서 IR은 서비스 복구에는 성공하지만 그 경험이 보안 전략 개선으로 이어지지 않는 구조적 단절이 있습니다. 이것이 같은 유형의 사고가 반복되는 주요 원인입니다.
B. 전문성 영역
답할 수 있는 질문 :
- ISM-IR 통합 수준을 어떻게 진단하는가
- 사후 검토 체계를 전략적 학습으로 연결하려면 무엇이 필요한가
- IR 역량 강화를 위해 ISM이 해야 할 역할은 무엇인가
- ISMS-P 2.10 사고 관리 통제를 실질적으로 강화하는 방법은 무엇인가
아직 답하기 어려운 질문 :
- ISM-IR 통합 수준을 정량적으로 어떻게 측정하는가 ( 측정 도구가 아직 학계에서도 개발 중인 영역 )
- 중소기업 환경에서 이 프레임워크를 어떻게 변형하여 적용하는가
7. 5일간 리뷰 종합
| Day | 주제 | 핵심 학습 | 컨설팅 활용 |
|---|---|---|---|
| Day 1 | ISM-IR 단절과 연구 배경 | 보안 투자 증가에도 사고가 줄지 않는 원인이 두 기능의 구조적 분리에 있다 | IR 체계 진단 시 ISM과의 연결 강도를 핵심 진단 항목으로 설정 |
| Day 2 | 5개 통합 프로세스 프레임워크 | I1 - I5 각 프로세스가 해소하는 단절과 창출하는 학습 기회의 구조 | 사후 검토 체계 재설계 시 I1 - I5를 설계 목표로 활용 |
| Day 3 | 프레임워크의 논리와 Forsberg 시나리오 분석 | 복구와 학습은 다른 목표이며, near-miss도 학습 대상에 포함되어야 한다 | 반복 사고가 발생하는 고객사에서 단절의 전략적 결과를 가시화하는 설명 도구 |
| Day 4 | 한계와 후속 연구 흐름 | 116건 인용, 후속 연구들이 IR 민첩성과 상황 인식으로 개념 확장 | 측정 도구 미제공 한계를 인식하고 진단 체크리스트를 별도 설계해야 함 |
| Day 5 | 컨설팅 통합 및 ISMS-P 연계 | ISM-IR 통합 성숙도를 4단계로 구분하고 컨설팅 개입 방향을 설계 | ISMS-P 2.10 강화, IR 역량 개선, 반복 사고 해소 자문에 직접 활용 |
8. 최종 개인 인사이트
A. 이 논문이 나의 컨설팅 역량에 기여한 점
[ 핵심 배움 1 : 예방과 대응을 연결하는 언어 ]
지금까지 10편의 논문은 모두 예방 체계에 집중했다. 거버넌스, 컴플라이언스, 리스크 관리, 개인 행동, 감사, 공급망, 투자, 문화, 인식 캠페인, 서드파티 평가. 이 논문은 처음으로 사고 발생 이후의 세계를 다루며, 그 세계에서 예방 체계가 어떻게 강화되는지를 보여줬다. 보안 체계는 사고를 막는 것만으로 완성되지 않는다. 사고로부터 배우는 구조가 있어야 체계가 진화한다.
[ 핵심 배움 2 : 단절 진단이 컨설팅의 출발점 ]
많은 고객사가 ISM과 IR을 각각 운영하지만 두 기능이 실질적으로 연결되어 있지 않다. 이 단절은 보안 감사나 인증 심사에서 잘 드러나지 않는다. 각 기능이 개별적으로는 표준을 준수하고 있기 때문이다. 이 논문의 프레임워크는 그 보이지 않는 단절을 가시화하는 도구를 제공한다. 컨설팅에서 고객이 인식하지 못하는 문제를 먼저 발견하고 언어로 제시할 수 있는 역량이 차별화된 가치다.
[ 핵심 배움 3 : 이중 루프 학습이 보안 전략 자문의 핵심 ]
취약점 패치와 통제 재구성은 내부 운영팀이 자체적으로 수행할 수 있다. 그러나 보안 전략의 기반 가정을 재검토하고, 방어 논리를 위협 환경에 맞게 전환하는 이중 루프 학습은 경영진과의 소통, 외부 위협 환경 분석, 비즈니스 맥락 이해가 결합되어야 한다. 이것이 컨설턴트가 개입하는 고부가 영역이다. 이 논문은 그 영역이 어디에 있는지를 명확하게 보여줬다.
B. 11편의 논문을 읽고 나니
| 논문 | 핵심 아이디어 | 강점 | 약점 | 컨설팅 적용 시나리오 |
|---|---|---|---|---|
| Foorthuis & Bos ( 2011 ) | 컴플라이언스 전술 분류 체계 | 합리주의-규범주의 2축, 전사-집단-개인 3층 구조 | 실증 검증 제한적 | ISMS-P 준수 체계 진단 및 전술 조합 설계 |
| Santos-Olmo et al. ( 2024 ) | 통합 리스크 분석(MARISMA) | 동적 리스크 측정 방법론 | 서지 정보 미확인 | 리스크 분석 방법론 도입 자문 |
| Bulgurcu et al. ( 2010 ) | 개인 ISP 준수의 합리성 기반 모델 | 비용-편익-규범의 3요소 검증 | 자기 보고 방식 편향 | 보안 정책 준수율 개선 자문 |
| Gashgari et al. ( 2017 ) | 보안 거버넌스 CSF 프레임워크 | 17개 성공 요소, 5대 영역 구조 | 실증 검증 부재 | CISO 조직 설계, 이사회 보안 보고 체계 수립 |
| Slapničar et al. ( 2022 ) | 보안 감사 효과성 실증 | 감사 역량·독립성·경영진 지원이 핵심 | 슬로베니아 단일 국가 데이터 | 내부 감사 체계 강화 자문 |
| Ghadge et al. ( 2020 ) | 공급망 사이버 리스크 구조 | 기술·조직·인적 요소 통합 분석 | 개별 벤더 평가 방법 미제공 | 공급망 리스크 관리 전략 수립 |
| Gordon & Loeb ( 2002 ) | 보안 투자 최적화 모델 | 정량적 투자 판단 근거 | 현실 적용의 단순화 | 보안 예산 확보 경영진 설득 |
| Da Veiga & Eloff ( 2010 ) | 정보보안 문화 진단 도구(ISCA) | 아티팩트·가치·가정 3층 구조 | 측정의 장기성 | 보안 문화 진단 및 개선 로드맵 |
| Bada et al. ( 2014 ) | 인식 캠페인 실패 원인 분석 | 행동 변화 이론 기반 근거 | 조직 수준 구조 미포함 | 보안 인식 교육 프로그램 재설계 |
| Keskin et al. ( 2021 ) | C-TPRM 비침습적 평가 비교 | 6개 공통 지표 카테고리 도출 | 단일 조직 파일럿, 일반화 한계 | 벤더 심사 체계 설계 |
| Ahmad et al. ( 2020 ) | ISM-IR 통합 기반 조직학습 | 단일·이중 루프 학습 보안 적용, 5개 통합 프로세스 | 실증 검증 부재, 대규모 조직 한정 | IR 체계 수립, 사후 검토 체계 재설계, 반복 사고 해소 자문 |
통합적 이해 :
11편의 논문은 하나의 질문에 서로 다른 각도에서 답하고 있다. 조직이 사이버 위협으로부터 디지털 자산을 어떻게 보호하는가. Gashgari는 누가 결정하는가(거버넌스), Foorthuis는 어떻게 준수시키는가(컴플라이언스), Santos-Olmo는 무엇이 위험한가(리스크), Bulgurcu는 왜 사람들이 따르거나 따르지 않는가(개인 행동), Slapničar는 잘 하고 있는지 어떻게 검증하는가(감사), Ghadge는 경계 밖의 위험을 어떻게 다루는가(공급망), Gordon & Loeb는 얼마를 어디에 투자하는가(경제학), Da Veiga는 문화적 기반이 갖춰져 있는가(보안 문화), Bada는 사람들의 행동을 어떻게 바꾸는가(인식), Keskin은 파트너의 보안 수준을 어떻게 평가하는가(서드파티), Ahmad는 사고 이후 무엇을 배우는가(학습). 이 11개의 답이 하나의 순환 구조를 이룬다.
C. 다음 학습 방향
우선순위 1 : 경영진 대상 리스크 커뮤니케이션
- 이 논문의 이중 루프 학습이 실현되려면 경영진이 보안 전략 재검토에 참여해야 한다. 보안 위험을 비즈니스 언어로 번역하여 경영진의 의사결정을 이끌어내는 역량이 다음 과제다.
- 학습 목표 : 이사회·C-level 대상 보안 리스크 보고 체계 설계 역량 확보
우선순위 2 : 개인정보보호 규제 준수
- ISMS-P가 ISMS와 개인정보보호를 통합한 한국 규제인데, 개인정보보호 이론 기반이 아직 없다. 사고 대응에서 개인정보 침해 통지 의무, 데이터 보호 영향 평가 등은 별도의 전문성이 필요하다.
- 학습 목표 : 개인정보보호법 및 GDPR 준수 체계 자문 역량 확보
장기 목표 :
- 6개월 후 : 11편 논문 기반 통합 컨설팅 진단 프레임워크 초안 작성, 실제 시나리오에 적용 연습
- 1년 후 : 특정 산업 ( 금융 또는 제조 )에 특화된 보안 컨설팅 방법론 완성 및 실제 프로젝트 적용
9. 최종 결론
A. Ahmad et al. ( 2020 )의 의의
학술적 의의 :
기술 중심으로 편향된 IR 연구에 관리적·학습적 관점을 도입하여 ISM-IR 통합이라는 새로운 연구 영역을 열었다. 조직학습 이론을 보안 관리에 적용한 선구적 연구로, 이후 IR 민첩성, 상황 인식, 동적 역량 등의 후속 연구들이 이 논문을 이론적 기반으로 인용하며 발전했다.
실무적 의의 :
보안 사고를 IT 서비스 복구의 문제로만 보는 시각에서 조직 보안 역량 강화의 기회로 보는 시각으로의 전환을 촉구했다. ISM과 IR의 연결이 단순한 소통 개선이 아니라 조직이 위협 환경에 적응하는 핵심 메커니즘이라는 점을 명확히 했다.
나에게 주는 의의 :
예방 체계에 집중했던 11편의 학습 여정에 사후 관리와 학습이라는 마지막 레이어를 추가했다. 이로써 거버넌스부터 사고 학습까지 보안 컨설팅의 전체 사이클을 이론적으로 이해하는 기반이 완성됐다.
B. 보안 컨설턴트로서의 다짐
[ Phase 1 ( 완료 ) : 논문 이해 ]
- 거버넌스, 컴플라이언스, 리스크, 개인 행동, 감사,
- 공급망, 투자, 보안 문화, 인식, 서드파티, 사고 학습
- 11편의 보안 컨설팅 핵심 이론 이해
[ Phase 2 ( 진행 중 ) : 연결 ]
- 11편 논문이 하나의 순환 구조를 이루는 통합 프레임워크 파악
- 각 논문의 이론이 ISMS-P, ISO 27001 통제 항목과 어떻게 연결되는지 매핑
[ Phase 3 ( 다음 ) : 적용 ]
- 실제 컨설팅 시나리오에 논문 기반 프레임워크 적용
- ISM-IR 통합 수준 진단 체크리스트 개발
[ Phase 4 ( 목표 ) : 전문성 ]
- 특정 산업 특화 보안 컨설팅 역량 확보
- 이론과 실무가 통합된 컨설턴트로 성장
5일간 리뷰 완료
사고는 끝이 아니라 시작이다. IR이 학습 엔진으로 기능할 때 조직의 보안 체계는 비로소 진화한다.
References
[1] Ahmad, A., Desouza, K.C., Maynard, S.B., Naseer, H., & Baskerville, R.L. (2020). How integration of cyber security management and incident response enables organizational learning. Journal of the Association for Information Science and Technology, 71(8), 939-953. https://doi.org/10.1002/asi.24311
[2] Argyris, C., & Schön, D.A. (1997). Organizational learning: A theory of action perspective. Addison-Wesley.
[3] Foorthuis, R., & Bos, R. (2011). Enterprise architecture compliance: Taxonomy of disciplines, enforcement mechanisms, and fulfillment motives. Proceedings of the AISC.
[4] Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523-548.
[5] Gashgari, G., Walters, R., & Wills, G. (2017). A proposed best-practice framework for information security governance. Proceedings of the 2nd International Conference on Internet of Things, Big Data and Security (IoTBDS).
[6] Slapničar, S., Vuko, T., Čular, M., & Drašček, M. (2022). Effectiveness of cybersecurity audit. International Journal of Accounting Information Systems, 44, 100548.
[7] Ghadge, A., Weiß, M., Caldwell, N.D., & Wilding, R. (2020). Managing cyber risk in supply chains: A review and research agenda. Supply Chain Management: An International Journal, 25(2), 223-240.
[8] Gordon, L.A., & Loeb, M.P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438-457.
[9] Da Veiga, A., & Eloff, J.H.P. (2010). A framework and assessment instrument for information security culture. Computers & Security, 29(2), 196-207.
[10] Bada, M., Sasse, A., & Nurse, J.R.C. (2014). Cyber security awareness campaigns: Why do they fail to change behaviour? arXiv preprint, arXiv:1901.02672.
[11] Keskin, O.F., Caramancion, K.M., Tatar, I., Raza, O., & Tatar, U. (2021). Cyber third-party risk management: A comparison of non-intrusive risk scoring reports. Electronics, 10(10), 1168. https://doi.org/10.3390/electronics10101168
[12] Ahmad, A., Maynard, S.B., Desouza, K.C., Kotsias, J., Whitty, M.T., & Baskerville, R.L. (2021). How can organizations develop situation awareness for incident response: A case study of management practice. Computers & Security, 101, 102122.
[13] Naseer, A., Naseer, H., Ahmad, A., Maynard, S.B., & Siddiqui, A.M. (2021). Real-time analytics, incident response process agility and enterprise cybersecurity performance: A contingent resource-based analysis. International Journal of Information Management, 59, 102334.
Tags
보안컨설팅 / SecurityConsulting / IncidentResponse / ISM / OrganizationalLearning / ISM-IR / DoubleLoopLearning / PaperReview / SKShieldusRookies