Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

Deriving Performance Evaluation Indicator of Program for Developing the Next Generation of Top Security Leaders

차세대 보안리더 양성프로그램의 성과평가 지표 개발

  • Park, Sung-Kyu (Department of Management Information Systems & Cybersecurity Economics Research Institute(CERI), Chungbuk National University) ;
  • Kim, Tae-Sung (Department of Management Information Systems & Cybersecurity Economics Research Institute(CERI), Chungbuk National University) ;
  • Kim, Jin-Seog (Korea Information Technology Research Institute(KITRI)) ;
  • Yu, Seong-Jae (THEORI)
  • 박성규 (충북대학교 경영정보학과 & 보안경제연구소) ;
  • 김태성 (충북대학교 경영정보학과 & 보안경제연구소) ;
  • 김진석 (한국정보기술연구원) ;
  • 유성재 (티오리)
  • Received : 2017.12.26
  • Accepted : 2018.03.07
  • Published : 2018.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

The purpose of this study is to develop the performance evaluation indicator of information security training program for developing the next generation of top security leaders. Through literature review and focus group interview, we derived the performance areas and indicators based on the logic model. We conducted AHP(Analytic Hierarchy Process) questionnaire to calculate the weight of the derived indicators, and developed the performance indicator based on the survey results. Performance indicators were composed of 18 indicators in four main categories.

본 연구의 목적은 논리모형을 기반으로 정보보안 인력양성사업의 성과평가 지표를 개발하는 것이다. 정부지원 정보보안 인력양성사업에 대한 문헌연구를 통해 후보 지표를 도출하고 전문가 대상의 포커스그룹 인터뷰를 통해 후보지표를 검토하였다. 최종 선정된 성과지표의 가중치(중요도) 산정을 위해 AHP 설문조사를 실시하여 성과지표를 개발하였다. 인력양성사업 성과지표는 4개 분야의 18개 지표로 구성하였다.

Keywords

I. 서론

전 산업 분야와 사회 전반에 ICT 의존도가 높아지고 사이버공격이 지능화, 대규모화되면서 침해사고로 인한 경제적 피해, 사회혼란 등 국가안보를 위협하는 수준까지 진화하고 있다. 반면, 신규 보안위협 및 취약점을 찾을 수 있는 고수준의 전문인력 구인난은 심화되고 있으며, 업체들은 주로 자체교육과 내부채용을 통해 전문인력 수요를 충당하고 있다. 미국 RAND 연구소는 2007년 이후부터 보안 인력수요는 공급을 추월했다고 분석했다[1]. 국내 ICT 정책은 4차 산업혁명(지능정보사회)을 기반으로 정책이 수립되고 있으며, 차세대 지능정보기술로 주목받고 있는 ICBMAS(사물인터넷, 클라우드, 빅데이터, 모바일, 인공지능, 정보보호 등) 기술을 이용한 ICT와 산업의 융합 활성화를 통해 국가 경제성장 및 ICT 역량 강화를 도모하고 있다. 이에 따른 인력양성 정책도 5대 ICT 융합 산업분야(의료, 교통, 홈 가전 제조, 에너지 분야 등)와 연계한 산업맞춤형 인력 양성 위주로 패러다임이 변화하고 있다. 국가 정책에 부합한 사이버보안 인력양성을 위해서는 산업계 인력 수요를 기반으로 맞춤형 융합인력을 양성해야 하며, 향후 지능정보기술 분야별로 발생할 사이버 위험 및 공격을 사전에 식별, 분석, 대책수립, 조치 등이 가능한 고급인력을 양성할 필요성이 있다. 이에 따라 정부는 4차 산업혁명 시대의 안전한 지능정보사회구현 및 정보보호 산업성장 견인을 위해 2016년 제7차 정보통신전략위원회를 개최하였다. 향후 5년간(2016~2020) 최정예 정보보안 전문인력 7,000명 양성(50,000명 교육)을 위한 ‘사이버 시큐리티 인력양성 종합계획’ 등 6개 안건을 심의 의결하였으며, 생애주기형 시큐리티 인력양성 체계도를 제시하였다 (잠재인력 발굴 및 양성→ 예비인력 양성 및 지원→ 경력연계강화→민간·공공 전문인력 역량강화)[2][3]. 또한, ‘정보보호산업의 진흥에 관한 법률 제11조(정보보호산업의 융합 촉진)’에 따라 2016년 6월 제1차 정보보호 산업 진흥계획(K-ICT 시큐리티 2020)을발표하고 범정부 차원의 정보보호 산업육성 및 전문 일자리 창출을 목표로 제시하였다[4][5]. 정부는 인력양성 정책 실행을 위해 정부지원 정보보안 교육기관을 통해 공공 민간 재직자 재교육 및 신규 인력양성 교육을 실시하고 있다. 또한, 창업지원 센터와 인력양성 교육기관의 협력체계 구축을 통한 글로벌 창업 활성화전략을 제시하였다[6].

과학기술정보통신부는 한국인터넷진흥원의 보안인재 양성 전담기관인 사이버보안인재센터를 확대하고, 사이버보안 실습훈련장(Security-GYM)을 마련할 계획이다. 사이버보안인재센터는 주로 민간기업의 재직자 역량강화를 위한 교육과정을 운영하고 있다[7]. 국가보안기술연구소의 사이버안전훈련센터는 실제 사이버공격에 대비한 방어훈련을 위한 시설구축 및 교육과정을 개발하여 운영 중에 있다[8]. 한국정보기술연구원(KITRI)은 BoB ‘차세대 보안리더 양성 프로그램’을 통해 신규인재(취약점, 포렌식, 컨설팅, 군 특기병 4개 트랙)를 발굴 및 양성하고 있다[9]. 정부지원 정보보안 교육기관은 효과적인 인력양성정책실행의 역할을 수행하기 위해 예산 확보, 강사 섭외,교육시설 및 인프라 구축, 교육·커리큘럼 개발 등의 노력이 투입된다. 인력양성사업의 성과를 파악하는 것은 교육기관이 정부의 정보보안 인력양성 정책 목표에 기여하는 바를 보여줌으로써 교육기관 운영 및 교육·훈련 프로그램의 지속여부에 대한 타당성을 정당화 할 수 있다. 또한, 교육기관은 교육 성과평가 결과를 기반으로 프로그램의 개선사항을 도출할 수 있다. 반면, 국내 인력양성사업은 성과평가 시 학생들의 취업 및 창업건수에 대한 양적지표를 위주로 평가하고 있다. 이는 질적으로 역량을 갖춘 우수인력이 부족한 정보보안 산업계 인력수요에 대한 공급을 양적으로만 충족하는 문제점이 발생한다. 질적인 부분을 해결하기 위해서는 수강생이 학습을 통해 역량 및 학업성취도가 향상되었는지, 취업 후 교육을 통해 학습한 지식, 기술 등을 실제 보안업무에서 사용하였는지 등을 중·장기적으로 평가할 필요가 있다[10]. 즉, 정보보안 분야의 인력양성사업의 성과목표 및 지표도출 시 양적측면(배출인력, 취업자 수)이 아닌 질적측면(교육을 통한 수강생의 역량 및 경험 강화)을 반영한 지표 개발이 필요하다. 또한, 교육생의 성과평가는 인력양성사업의 성과와 연계되어 동시에 평가가 이루어질 때 이상적인 효과를 줄 수 있다. 이에 본 연구는 정보보안 인력양성사업(교육·훈련)의 성과평가 지표 개발을 위해 국가연구개발사업의 성과평가 관련 법률(표준)에 따라 논리모형을 적용하였다. 정부지원 정보보안 인력양성사업에 대한 사례조사를 실시하여 후보지표를 도출하고 포커스그룹인터뷰(FGI,Focus Group Interview)를 통해 지표를 검토하였다. AHP(Analytic Hierarchy Process) 설문조사를 통해 최종 성과평가 지표를 개발하였다.

II. 문헌연구

2.1 논리모형 기반 인력양성사업 성과평가 방법론

‘국가연구개발사업 등의 성과평가 및 성과관리에 관한 법률 제6조(성과목표 및 성과지표의 설정)’에 따라 과학기술정보통신부는 2014년 ‘국가 연구개발사업 표준 성과지표’를 통해 성과목표·지표 설정 안내서를 개발하여 제시하였다[11][12]. 성과지표 설정 절차는 사업분석, 사업유형 결정, 성과목표 설정, 성과지표 설정 4단계이다. Wholey[13]가 제시한 논리모형(Logic Model)의 프로그램 논리는 ‘프로그램에 내재된 논리’, ‘프로그램 구성요소 및 목표달성’,‘성과창출로 연계되는 인과적 관계’를 포함하고 있다. McLaughan & Jordan[14]의 논리모형은 투입, 과정, 산출, 결과로 프로세스가 구성되어 있다. 결과성과(outcome)는 단기, 중기, 장기로 구분되며, 단기결과 성과지표(short-term)는 3년 이내, 중기결과(mid-term)는 3~5년, 장기결과(long-term)는 6년 이후 창출될 성과로 본다(Table 1). 2단계 사업유형 결정 단계는 국가연구개발 사업의 목적, 특성 등을 고려하고 사업유형 분류표를 기준으로 결정한다. 국가연구개발 사업의 성격은 크게 연구개발과 연구기반 조성 사업으로 분류된다. 사업유형은 연구개발(기초연구, 단기 및 중장기산업기술, 공공 및 지역연구개발, 국방기술개발) 및 연구기반조성(인력양성,시설장비구축, 성과확산, 해외협력) 10개로 구분한다. 인력양성사업 유형에는 대학 지원사업(전문대학), 산업인력양성 사업, 초·중등교육 과정의 과학기술 교육사업 등이 있다. 인력양성사업의 성과목표는 인력의 육성 → 배분 → 활용 단계에서 해당 사업의 최종 성과를 어느 선까지 볼 것인가를 고려해야 한다. 인력 ‘육성’ 단계는 인력의 양과 질(양성 인력수, 인력 역량 등)이 산출 및 단기성과로 고려되며, 중장기 성과의 경우 ‘배분, 활용’의 성과로 볼 수 있다. 인력 ‘배분’ 단계의 경우, 양성된 인력의 이동 경로(연구직으로 이동, 취업, 창업) 등 사업목적의 달성도는 단기·중기 성과로 볼 수 있다. 3단계 성과목표 설정 단계는 해당 사업의 궁극적으로 이루고자 하는 전략목표가 무엇인지 파악하기 위해 사업 전략목표 및 상위정책 목표를 도출한다. 각 분야 기본계획, 부처별·기술 분야별 전략계획 등 R&D 분야 상위계획 및 상위목표를 통해 사업의 전략목표를 도출한다. 성과목표의 설정은 사업 종료시점에서 사업을 통해 직접 달성하고자 하는 최종 목표를 말하며, 목표 및 예산 등을 고려하여 구체적이고 명확하게 설정한다. 인력양성사업의 경우, 초기 및 중기는 과학적 성과, 기술적 성과로 구분된다. 장기는 경제적 성과 및 사회적 성과로 구분된다. 성과지표의 가중치 설정은 사업이 창출하는 핵심성과 등을 고려하여 설정해야 한다. 사업 유형별로 핵심성과의 가중치를 가장 높게 설정해야 한다. 사업이 시작된 지 10년 미만 사업의 경우, 1~2단계에서는 산출지표(output)가 높은 가중치를 설정하는 것이 어느 정도 인정될 수 있다. 성과지표 (대)성과분야, (중)성과분야, (소)성과지표는 3단계로 구성되어 있다. (대)성과분야는 연구개발성과가 영향을 미치는 5개 분야(과학적성과, 기술적성과, 경제적성과, 사회적성과, 인프라성과)로 구분된다. (중)성과분야는 5개 성과분야에서 사업성과를 대표할 수 있는 유·무형의 산출물로 정의되며, (소) 성과분야는 평가 대상이 되는 산출물의 우수성을 측정할 수 있는 성과지표로 구성한다[15][16].

Table 1. Logic Model

2.2 정보보안 인력양성사업 성과평가 관련 사례조사

한국정보기술연구원 BoB 사업의 성과지표는 대회입상(보안 경진대회, 우수논문상), 보안취약점 제보, 기술발표(국내·외 컨퍼런스, 교육제공), 논문발표 등이다[17]. 정보통신기술진흥센터(IITP)의 SW 마에스트로 사업의 성과지표는 창업, 특허출원, 특허등록 등이다[18]. 교육부 BK(Brain Korea) 21 사업은 성과평가 모형 개발을 위해 2008년 미국의 RAND Corporation 의뢰를 통해 모형을 개발하였으며, 평가모형은 논리모형을 기반으로 개발되었다[19][20]. 성과지표는 전공분야별 인력양성 배출실적, 기술료 수입액(산학협력을 통한 기업체로부터 기술료 징수실적), 특허등록 건수(국내/국외), SCI급 학술지 게재 논문건수, 국외연수 수혜자 수(글로벌인턴십) 등이다. 정보보안 분야에서 BK 사업에 참여하는 대학은 국민대학교 ‘미래 금융정보보안 전문인력양성 사업단’, 숭실대학교 ‘소프트웨어보안 전문인재양성 사업단’, 한남대학교 ‘첨단 사이버 보안관제 및 진단 연구팀’ 3개 학교가 있다[21][22][23][24]. 성과지표는 SCI/국내 논문건수, 공모전/경진대회 실적, 지도 학생 수, 대학원생 취업률, 창업건수 등이다. 과학기술정보통신부의 ITRC 사업(대학 ICT 연구센터)은 국내 대학(원)을 대상으로 선정하고 있다[25]. 성과지표는 논리모형을 이용하여 사업성과를 분석한다[26]. ITRC 사업에 대한 성과는 5개(투입 적절성, 지식축적, 기술 확산, 산업인력 공급, 교육효과)로 구분되어 있다. 투입적절성은 ITRC 사업의 전체 투입된 예산 대비 수혜인력을 비교하는 것이다. 교육과정에 대한 만족도 조사는 교수인력, 실습교육, 기자재, 교과(전공)과정, 산학협력 등 항목으로 전반적인 만족도를 조사한다. 지식축적 효과 중 논문은 SCI 논문, 비 SCI 논문으로 구분하여 실적을 측정한다. SCI 논문의 질적 평가는 논문의 Impact Factor를 기반으로 평가한다. 또한, 투입예산 1억 원 당 논문 수를 측정하여 연도별로 성과를 비교한다. 특허는 전체 특허 수 및 등급 등을 파악한다. 기술확산도는 기술이전 건수와 산학협력을 통한 기술료 징수액을 측정한다. 산업인력 공급지원도는 석·박사 배출 인력수, 취업률 및 전공 취업률을 연도별로 비교한다. 교육효과 분석은 사업으로 배출된 인력에 대한 상급자 업무수행 역량평가를 조사한다. ITRC 사업의 지원을 수혜 받은 직원(ITRC 사업 수혜학생)과 비 수혜직원의 업무수행역량을 비교한다. 업무수행역량의 우위도를 통해 교육의 효과를 파악한다. 또한, 수혜직원과 비 수혜직원(일반직원)의 현업 업무적응 기간을 파악하여, 산업수요에 부응하는 인재양성을 목적으로 하는 사업의 효과 달성 여부를 파악한다. 고용안전성 제고효과인 사업 배출자의 정규직(상용직) 취업비중을 파악하여 배출인력의 고용안전성 확보 여부를 파악하며, 사업수혜자와 일반 IT 대학원 졸업자와 비교한다. 일자리(직무내용) 만족도를 파악하여 일자리기술(직능) 일치도를 파악하며, 일반 IT학과 대학원을 졸업한 인력과 비교한다. 과학기술정보통신부(한국인터넷진흥원)의 정보보호 특성화대학 지원사업은 정보보호 산업을 선도할 우수 인재 발굴과 양성을 위해 2015년부터 추진되는 사업이다. 정보보호 특성화 대학은 고려대, 서울여자대, 아주대, 충북대가 지정되었으며[27], 각 대학은 성과평가를 위해 논리모형을 기반으로 성과지표를 자체적으로 개발한다. 평가모형의 투입지표는 교과목 신규개설, 교육인프라 구축, 산학교수(명), 전용공간확보, 장학금지급, 기금적립 등이며, 과정지표는 학생모집, 정보보호전공과정 운영, 우수인재전형 선발비율, 전공특성화 개설과목 수, 산학공동 프로젝트 수, 외부참여 개설 과목 수, 전임교원 전공 강의비율, 산출지표는 과학기술, 인력양성성과, 만족도로 구분한다. 과학기술 산출지표는 학생 지적재산권출원, 각종 공모전 및 대회입상이며, 인력양성 산출지표는 수혜인력, 배출인력, 해외교육 인원, 해외/국내 인턴 참여인원, 프로젝트수행 참여인원, 멘토링/상담 학생참여비율, 창업교육 학생참여비율 등이며, 만족도 산출지표는 학생 및 기업체 만족도이다. 결과지표는 취업률, 벤처창업, 졸업생 기업/창업 탐방 참여율로 구성되어있다.

III. 연구방법

본 연구의 지표개발 단계는 후보 지표 도출, 지표검토, 지표의 가중치 산정 3단계로 구성되어 있다. 첫째, 국내 ICT 및 정보보안 분야의 정부지원 인력양성사업 성과지표와 관련된 문헌 및 사례조사를 통해 후보 성과지표 21개를 도출하였다. 둘째, 도출된 지표검토를 위해 사업 이해관계자(정보보안 학과 교수, 공공 정보보안 인력양성사업 담당자) 3명을 대상으로 2017년 4월 7일 포커스그룹 인터뷰를 실시하여 후보성과지표의 채택 여부를 검토하였으며, 검토 의견 반영 및 수정을 통해 4개 성과분야의 지표 18개를 도출하였다. 셋째, 평가지표의 가중치 산정을 위해 사업이해관계자 17명(공공 보안 인력양성사업 담당자 및 멘토단)을 대상으로 1차 조사(2017년 4월 13일, 5명)와 2차 조사(2018년 1월 26일, 12명)를 실시하고 조사결과를 기반으로 지표의 가중치를 산정하여 최종지표를 개발하였다. 지표 가중치 산정을 위해 사용된 방법론은 계층분석적의사결정방법(AHP, Analytic Hierarchy Process)이다. AHP는 의사결정 문제를 계층구조화 하고, 쌍별 비교를 기초로 평가기준들 간의 가중치와 각 기준 하에서의 평가대안들 간의 상대적 선호도를 도출한 후, 종합화하여 비교대안들의 평가순위와 선호도를 구하는 방법이다[28][29].

3.1 후보 성과지표 검토 : 포커스그룹 인터뷰(FGI)

문헌연구 및 사례조사를 통해 정보보안 인력양성사업에서 사용가능한 21개의 후보 성과지표를 도출하였다. 성과지표는 산출 및 단기 성과지표(output,short-term)와 결과(outcome) 성과지표로 구분하였으며, 결과 성과지표는 중기(mid-term), 장기(long-term)로 구분하였다. 후보지표 검토를 위해 2017년 4월 7일 포커스그룹인터뷰를 실시하였으며, 포커스 그룹 인터뷰 대상자는 정보보호 관련 학과 교수, 정부지원 정보보안 인력양성사업의 담당 연구원 등으로 구성하였다. 도출된 후보 성과지표 21개를 기준으로 지표의 적절성과 채택 여부를 검토하였다. 토의를 통해 후보 성과지표의 채택 여부를 결정하고 정보보안 교육기관 특성 및 교육목표에 부합한 지표도출을 위해 유사지표의 통합, 지표 계위이동, 지표 명칭 변경, 신규지표 추가 등 후보지표에 대한 검토의견을 반영하여 개선작업을 수행하였다(Table 2).

Table 2. Review comments on performance indicators(Focus Group Interview)

논리모형 1단계 산출·단기결과는 사업 시작 후 3년 이내, 2단계 중기결과는 3~5년, 3단계 장기결과는 6년 이후의 성과지표이다. 성과분야 대분류는 과학적, 기술적, 경제적, 사회적성과로 4개로 분류하고 중분류는 논문, 사회적 평가, 연구·개발, 기술·교육지원, 취업, 창업, 기술이전, 인력양성, 교육효과, 국제교류 10개로 구분하였다. 성과지표(소분류)는 18개의 지표로 구성하였다(Table 3).

Table 3. Result of Business Performance Indicator

① : BoB(Best of the Best) Program (Ministry of Trade, Industry and Energy, Ministry of Science andICT(MSIT), Korea Information Technology Research Institute)

② : SW Maestro (MSIT, Institute for Information & Communications Technology Promotion)

③ : BK21 Plus (Ministry of Education, National Research Foundation)

④ : ITRC (Ministry of Science and ICT)

⑤ ; University Support Program for Information Security (MSIT, Korea Internet & Security Agency)

3.2 지표 가중치(중요도) 도출 : AHP 설문조사

최종 도출된 18개의 성과지표를 기반으로 AHP 연구모형의 계층도를 구성하였다. 1계층은 의사결정 목표(정보보안 인력양성사업의 성과지표 개발), 2계층(Main-criteria)은 4개의 상위기준(성과분야 대분류), 3계층(Sub-criteria)은 18개의 하위기준(세부 평가지표)으로 구성되어 있다(Fig. 1). 연구모형을 토대로 AHP 설문 조사지를 개발하고 정보보안인력양성 사업 관련 이해관계자인 담당 연구원, 멘토들을 대상으로 설문조사를 실시하였다. 멘토들은 산업계 및 학계의 보안전문가로 구성되어 있다. 설문지는 직접배포를 통해 2017년 4월 13일, 2018년 1월 26일 1, 2차 설문을 실시하였고 총 17부(연구원 6부, 멘토 11부)를 회수하여 분석에 사용하였다. 설문지 17부는 일관성비율이 0.2 이하로 나와 유효데이터로 판단하였으며, 기하평균을 사용하여 집단의견의 중요도를 산출하였다. 본 연구에서는 AHP 분석프로그램 Expert Choice 2000을 이용하여 집단의견의 중요도를 산출하였고 전체 일관성 비율은 0.03로 유의한 수준의 응답으로 판단하였다. 2계층 상위기준 간 우선순위(priority)에 대한 전문가 의견을 반영한 쌍별비교(pairwise comparison) 결과, 과학적 성과 0.346, 기술적 성과 0.305, 경제적 성과 0.085, 사회적 성과 0.264로 나타났다(Table 4).4대 성과분야별 하위기준 성과지표의 중요도 및 우선순위를 도출하였다. 과학적 성과의 경우, “국내외학술지 게재 및 학술대회 발표”, “해킹방어대회 입상”성과지표가 0.289로 가장 중요도가 높은 것으로 나타났다. “보안취약점 제보(0.246)”, “보안공모전 수상(0.175)” 성과지표가 2, 3순위로 나타났다. 기술적 성과의 경우, 기술지도 0.347, 산학프로젝트 0.246, 중소기업지원/재능기부 0.204 순으로 나타났다. 경제적 성과의 경우, “수료생 취업률” 성과지표의 중요도가 0.413으로 가장 높은 것으로 나타났으며, 기술이전(0.327), 수료생창업(0.260)으로 나타났다. 사회적 성과의 경우, 수강생 대상의 “교육·훈련만족도”의 중요도가 0.383로 우선순위가 1 순위로 났으며, “업무수행 역량평가(0.225)“, ”국제교류행사지원/국외연수 수혜자 수(0.092)“, ”교육훈련 수혜자 수/유관학과 진학자 수(0.071)”, “우수해외 연구자 및 강사유치(0.065)” 순으로 나타났다. 전체 AHP 설문지(총 17부)를 분석한 결과, 4개 성과분야(대분류) 별로 과학적 성과는 “국내외 학술지 게제 및 학술대회 발표” 및 “해킹방어대회 입상“ 성과지표의 중요도 및 우선순위가 가장 높은 것으로 나타났다. 기술적 성과의 경우, 산업계 및 공공분야 대상 기술지도 성과지표가 가장 중요도가 높은 것으로 나타났다.

Fig. 1. AHP Hierarchy Structure

Table 4. Performance Indicator of Information Security Workforce Development Project

경제적 성과는 “수료생 취업률” 성과지표가 가장 중요한 것으로 나타났다. 사회적 성과는 “교육·훈련만족도” 지표가 우선순위가 높게 나타났다. 반면, 교육생 대상 성과지표인 “국외연구 수혜자 수”, “유관학과 진학자 수” 지표와 교육기관 대상 성과지표인 “우수해외 연구자 및 강사 유치”, “국제교류 행사지원”성과지표는 우선순위가 낮은 것으로 나타났다. AHP 설문조사 대상자(교육 실무자, 멘토단)들이 참여하고 있는 인력양성사업의 교육 대상자가 고등학생 및 대학교 저학년인 점에 대한 의견이 반영된 결과로 판단된다. 4개 성과분야(대분류) 및 전체 18개 성과지표(소분류)의 가중치와 우선순위를 도출하였다.

3.3 성과지표 적용 방안

개발된 성과지표를 정보보안 인력양성 사업에 적용하기 위해서는 첫째, 사업 특성을 반영하여 각 지표의 성과목표를 명확히 설정해야 한다. 성과목표의 설정은 예산이 집중적으로 투입되는 부문의 성과가 핵심적으로 드러나도록 성과목표를 설정하는 것이 필요하다. 예를 들어, “수료생 취업률” 성과지표의 경우, 성과목표를 “교육 수료생의 정보보안 유관분야 취업률 제고(교육생 중 대학 졸업예정자 학생 대상, 수료 후 80% 취업률 달성)”로 설정할 수 있다. 둘째, 개발된 18개의 성과지표에 대해 양적 혹은 질적 지표로 구분해야 하며, 각 지표에 대한 산출식이 필요하다. 예를 들어, 성과지표 중 “국내·외 학술지 게재 및 학술대회 발표” 지표의 경우, 양적지표 및 질적지표 모두 사용가능하다. 양적지표는 ‘SCI/KCI급 논문게재 건수’로 측정이 가능하며, 질적지표의 경우는 ‘논문의 피인용도, 저널의 Impact Factor’ 등으로 성과를 측정할 수 있다. 국내 정보보안 인력양성 사업은 조기교육을 목적으로 진행되어 교육 대상자가 주로 고등학생 및 대학생임에 따라 현실적으로 양적지표를 위주로 사용하는 것이 적합한 것으로 사료된다. 또한, 성과목표의 달성도를 설정하고 달성 정도를 기준으로 평가해야 한다. 셋째, 개발된 지표는 사업의 성과가 도출되는 시점이 상이함에 따라 단기, 중기, 장기 성과로 구분되어 있으며, 이에 따라 평가시점을 결정해야한다. 단기성과(사업 시작 후 3년 이내)는교육생들이 교육을 받는 동안 발생할 수 있는 성과이며, 한 기수의 교육 수료 직후 성과를 측정하는 것이 필요하다. 중기성과(3~5년 후)는 교육생과 수료생들이 타 기업 및 기관과 협력을 통해 발생하는 성과로 구성되어 있다. 장기성과(6년 후)는 교육기관 및 수료생들이 달성하는 경제적·사회적 성과 지표임에 따라, 수료생의 장기적인 사후관리(수료생 이력 추적 및 관리)를 통해 성과를 측정할 필요가 있다.

IV. 결론

정보보안 인력양성 사업의 성과지표 개발을 위해,과학기술정보통신부의 “국가 연구개발사업 표준 성과지표” 가이드에서 제시하는 성과평가 방법론인 논리모형을 기반으로 성과지표를 개발하였다. 국내 ICT 및 정보보안 분야의 정부지원 인력양성 사업 성과지표와 관련된 문헌 및 사례조사를 통해 후보 성과지표 21개를 도출하였다. 사업 이해관계자를 대상으로 개별 및 포커스 그룹 인터뷰를 실시하여 후보 성과지표의 채택 여부를 검토하였으며, 검토 의견을 반영하고 수정을 통해 최종 성과지표 18개를 도출하였다. 본 연구에서 개발된 성과지표는 정부지원 교육기관에서 중·장기적으로 평가해야 할 성과들로 구성되어 있다. 지표의 가중치 산정을 위해 17명을 대상으로 AHP 설문조사를 실시하고 각 분야별 성과지표의 배점 산정을 통해 최종 지표를 개발하였다. 향후 연구에서 추가적인 인터뷰 및 설문조사를 통해 개발된 지표의 성과목표, 측정방법 등 지표개선을 통한 체계화가 필요하며 인력양성 성과 목표에 따른 달성도를 측정할 필요가 있다. 또한, 성과평가 결과를 통해 교육기관이 정부의 정보보안 인력양성 사업 정책 목적에 부합하는지 여부를 파악하여야 한다. 이를 통해 질적·양적으로 역량을 갖춘 차세대 정보보안 인력이 정보보안 분야로 유입되어 선순환적인 인력 수요·공급 체계를 갖추는 데 일조할 수 있을 것으로 기대한다.

* 본 연구는 한국정보기술연구원의 지원을 받았고, 2015년 대한민국 교육부와 한국연구재단의 지원을 받아 수행된 연구임 (NRF-2015S1A5A2A01009763).

References

  1. M.C. Libicki, L. Ablon, and T. Webb, "The defender's dilemma: charting a course toward cybersecurity," Santa Monica, CA: RAND Corporation, 2015.
  2. Ministry of Science and ICT, "K-ICT strategy 2016," May. 2016.
  3. Ministry of Science and ICT, "Cyber security workforce development plan," May. 2016.
  4. Act on the Promotion of Information Security Industry, Article 11, (2).
  5. Ministry of Science and ICT, "K-ICT security 2020", Jun. 2016.
  6. Ministry of Science and ICT, "National information security white paper," Apr. 2017.
  7. KISA academy, academy.kisa.or.kr
  8. CSTEC, www.cstec.kr
  9. KITRI, www.kitri.re.kr
  10. S.K. Park, S.H. Lee, and T.Y. Kim, H.J. Jun, T.S. Kim, "A performance evaluatio n of information security training in pub lic sector," Journal of Computer Virology and Hacking Techniques, vol. 13, no. 4, pp. 289-296, Nov. 2017. https://doi.org/10.1007/s11416-017-0305-7
  11. Act on the Performance Evaluation and Management of National Research and Development Projects, ETC. Article 6, (2).
  12. Ministry of Science and ICT, "Standard performance indices for national re- search and development project," Dec. 2014.
  13. J.S. Wholey, Evaluation: promise and performance, Washington, DC: Urban Institute, Jun. 1979.
  14. J.A. McLaughlin and G.B. Jordan, Using logic model, In J.S.Wholey, H.P.Hatry, and K.E.Newcomer (Eds), Handbook of practical program evaluation(3rd ed.), San Francisco, CA : Jossey-Bass, pp. 55-80, 2010.
  15. KISTEP, "Qualitative performance indices for national research and development project," Oct. 2014.
  16. J.D. Kirkpatrick and W.K. Kirkpatrick, Kirkpatrick's four levels of training evaluation, Association for Talent Development, Oct. 2016.
  17. KITRI BoB Program, www.kitribob.kr/tr ainee_walk/result
  18. SW Maestro, www.swmaestro.kr/web/web/main.do
  19. Gu-Hwan Won and Cheol-Hoi Kim, "A study on development of performance evaluation model for BK21," National Assembly Budget Office, Sep. 2009.
  20. S. Seong, S.W. Popper, C.A. Goldman, D.K. Evans, and C.A. Grammich, "Brain Korea 21 phase II : a new evaluation model," Santa Monica, CA: RAND Corporation, Mar. 2008. https://www.rand.org/pubs/monographs/MG711.html
  21. BK 21 Plus, bkplus.nrf.re.kr/bizInfo/bizI nfoList.jsp?categoryType=3&menuId=16
  22. Kookmin University: BK21 Plus Future Financial Information Security Specialist Education Program, fis.kookmin.ac.kr
  23. Soongsil University: BK21 Plus Software Security Program, bk.ssu.ac.kr
  24. Hannam Univeristy, bk21ce.hnu.kr
  25. ITRC, itrc.or.kr
  26. Ministry of Science and ICT, "A research on the new performance evaluation system for ITRC & IT Fusion Center," Nov. 2014.
  27. Chungbuk National University, isc.cbnu.ac.kr
  28. T.L. Saaty, Decision making for leaders: the analytical hierarchy process for deci- sion in a complex world(3rd ed.), Pittsburgh, Pa. : RWA Publications, 1995.
  29. Sung-Kyu Park, "Development of education certification system in information security for private sector," MA Thesis, Chungbuk National University, Feb 2016. http://www.dcollection.net/han-dler/chungbuk/000000043768