전자금융 보안 의사결정을 위한 AHP 모델 적용

초록

본 논문은 전자금융 서비스 확대에 따른 보안 위협을 체계적으로 관리하기 위해 계층적 분석법(AHP)을 적용한 의사결정 모델을 제시한다. 보안 정책을 ‘문화·조직·기술·법률’ 네 가지 측면과 ‘기밀성·무결성·가용성’ 세 가지 보안 요소로 구분하고, 전문가 설문을 통한 쌍대비교와 일관성 검증을 거쳐 가중치를 산출하였다. 결과는 문화적 측면이 가장 높은 우선순위를 차지하고, 보안 요소 중에서는 기밀성이 가장 중요하게 평가되었음을 보여준다.

상세 요약

이 연구는 전자금융 보안 정책 수립 과정에서 의사결정자의 주관적 판단을 정량화하고, 다중 기준을 체계적으로 통합하기 위해 AHP(Analytic Hierarchy Process)를 도입한 점이 가장 큰 특징이다. 먼저, 저자는 기존 문헌과 현장 인터뷰를 통해 보안 정책을 ‘문화(Cultural)’, ‘조직(Organizational)’, ‘기술(Technical)’, ‘법률(Legal)’ 네 가지 측면으로 구분하고, 각 측면을 다시 ‘기밀성(Confidentiality)’, ‘무결성(Integrity)’, ‘가용성(Availability)’이라는 전통적인 CIA 삼각형 요소와 연결시켰다. 이러한 이중 계층 구조는 보안 정책이 조직 문화와 같은 정성적 요인과 기술적 요인 모두에 의해 영향을 받는다는 점을 강조한다.

AHP 적용 절차는 전형적인 네 단계(목표 설정, 계층 구조 구축, 쌍대비교 행렬 작성, 가중치 및 일관성 비율(CR) 계산)로 진행되었다. 전문가 그룹(은행 보안 담당자 12명)에게 1~9 스케일의 쌍대비교 설문을 실시했으며, 각 행렬의 CR이 0.10 이하로 유지돼 결과의 신뢰성을 확보하였다. 특히, 문화적 측면이 ‘조직·기술·법률’ 대비 0.42의 높은 가중치를 얻었는데, 이는 은행 고객과 직원의 보안 인식, 교육, 행동 규범 등이 실제 보안 사고 예방에 결정적인 역할을 한다는 실무적 통찰을 반영한다.

보안 요소 측면에서는 기밀성(Confidentiality)이 0.55의 가중치로 가장 크게 평가되었다. 이는 전자금융 서비스에서 고객 계좌 정보, 거래 내역 등 민감 데이터의 유출 위험이 가장 큰 위협으로 인식되기 때문이다. 무결성(0.28)과 가용성(0.17)은 각각 데이터 변조 방지와 서비스 연속성 확보 측면에서 중요하지만, 문화적 요인에 비해 상대적으로 낮은 우선순위를 보였다.

연구는 또한 시나리오 분석을 통해 AHP 결과를 실제 정책 선택에 적용하는 방법을 제시한다. 예를 들어, ‘다중 인증 도입’과 ‘보안 교육 강화’라는 두 대안을 비교했을 때, 문화적 측면에서 높은 가중치를 부여받은 결과 보안 교육 강화가 우선순위가 높게 나타났다. 이는 AHP가 정량적 비용‑효과 분석이 어려운 보안 정책의 우선순위를 명확히 하는 데 유용함을 보여준다.

한계점으로는 전문가 표본이 제한적이며, 문화적 요인의 정의와 측정이 주관적일 수 있다는 점을 들 수 있다. 또한, 동적 위협 환경에 대응하기 위해서는 정기적인 재평가와 가중치 업데이트가 필요하다. 향후 연구에서는 실시간 위협 인텔리전스와 연계한 동적 AHP 모델을 개발하거나, 다른 금융 기관 간 비교 분석을 통해 일반화 가능성을 검증할 여지가 있다.

전반적으로 이 논문은 전자금융 보안 정책 수립 시 ‘정량적·정성적 요인 통합’, ‘전문가 의견 기반 가중치 산출’, ‘일관성 검증’이라는 세 가지 핵심 절차를 명확히 제시함으로써, 은행 경영진이 제한된 자원으로 최적의 보안 투자 결정을 내릴 수 있는 실용적인 프레임워크를 제공한다.