earticle

영어

This study aims to propose an effective cyber incident response system for SMEs by understanding the impact of each security activity on cyber incident response. To investigate the impact of security activities on the establishment of a cyber incident management system, structural equation model is used with the 2019 SME technology protection level survey data set. In this research model, four independent variables presenting security activities (Govennance, People, Technology, Process for security) were selected and the level of cyber incident management system establishment was selected as a dependent variable. In addition, the moderating effect according to the management style of SMEs was analyzed. As a result of the study, the security activities that have a high impact on the establishment of a cyber incident response system for SMEs were in the order of ‘asset management’, ‘IT management process’, and ‘system management process’. It is important that security infrastructure and security processes have a greater impact than security policies in terms of SME‘s cyber security activities that is a result contrary to previous studies that security policy has the greatest impact on the level of technology protection. The results from this study can contribute to establish standards for an effective cyber incident response system to SMEs in the future.

한국어

본 연구는 국내 중소기업이 사이버 침해사고에 유연하게 대응하기 위하여 보안체계의 보안 활 동이 사이버 침해사고 대응에 미치는 영향을 파악하여 효과적인 사이버 침해사고 대응체계를 구 축하는 방안을 제시하는 데 목적이 있다. 중소기업에서 보안역량 강화를 위해 수행하는 보안 활 동(보안정책 품질, 보안인력 품질, 보안인프라 품질, 보안프로세스 품질)이 사이버 침해사고 대응 을 위한 관리체계 구축에 미치는 영향을 분석하고 중소기업의 관리방식에 따른 조절효과를 검증 하였다. 국내 중소기업을 대상으로 한 2019년도 중소기업 기술보호 수준 실태조사의 데이터를 SPSS 23.0과 AMOS 22.0.0을 이용하여 분석하였다. 연구모형과 연구가설 검증을 위하여 신뢰도 분석, 타당성 검증, 구조방정식 모형 분석, 조절변수 효과를 분석하였다. 연구결과 중소기업의 사이버 침해사고 대응체계 구축에 영향도가 높은 보안 활동은 자산관리, IT관리 프로세스와 시스템관리 프로세스 순으로 나타났고, 보안정책이 기술보호 수준에 가장 큰 영향을 미친다는 선행연구들과 다르게 보안 인프라와 보안 프로세스 측면에서 더욱 영향이 큰 것으로 나타났다. 본 연구에서 지지된 가설 특히 영향도가 높은 순으로 보안 활동을 수행하고, 선행연구에서 의미 있다고 제시된 보안 정책이나 보안 인식에 대한 투자를 장기적인 계획으로 수립한다면, 장·단기적으로 의미 있는 사이버 침해사고 대응체계를 구축할 수 있을 것이다. 연 구분석 결과가 효과적인 중소기업 맞춤형 사이버 침해사고 대응체계에 대한 기준을 수립하는 것 에 도움을 줄 수 있기를 기대한다.