“갖출 것은 다 갖춰 놨다”
이제 보안 고도화 위해 내실 다질 때

공공기관들은 지난해 개인정보보호법 제정 및 정보통신망법 개정 등 컴플라이언스 이슈로 부지런히 보안 강화에 주력하는 모습을 보였다.
특히 올해부터 망분리, DB암호화 등이 의무화됨에 따라 공공기관들은 추경예산가지 배정받아 각종 보안 솔루션을 도입하기에 바빴으며 이에 공공 보안사업은 인력이 부족해 갑과 을이 뒤바뀔 정도로 때 아닌 특수를 누렸다.
그러나 그 이면에는 공공 보안담당자들의 고충이 여전히 자리하고 있다. 하루가 멀다 하고 내려오는 수많은 보안지침들에 비해 인력과 예산은 턱없이 부족하기 때문이다.
그나마 컴플라이언스 이슈로 늘었던 투자는 이슈가 사라지자 금세 곤두박질쳤다. 이미 웬만한 보안솔루션은 도입한 상태이고 더 이상 특별한 이슈가 없는 올해 대부분 기관의 보안 예산은 삭감됐다.
이 대신 잇몸이라고, 공공 CISO들은 올해 큰 보안 프로젝트는 없지만, 그동안 구축해놓은 보안체계를 점검하고 내실을 기하는 방향으로 가닥을 잡고 있다.

연보라 기자 bora@ciociso.com

공공 CISO들에게 있어 지난 2012년은 참으로 바쁜 한 해였다. 개인정보보호법을 비롯한 보안 관련 법령들이 제정됨에 따라 각종 보안지침들이 하루가 멀다 하고 내려왔다. 이에 기관들은 추경예산까지 배정받아 각종 보안 솔루션을 도입하기에 바빴다.
특히 올해부터 공공기관의 망분리, DB암호화 등이 의무화됨에 따라 지난해 공공 보안사업은 특수를 누릴 정도였다.
그러나 올해 기관들의 보안사업은 다소 조용히 넘어갈 전망이다.
이는 그간 보안 솔루션 도입에 주력했던 기관들이 더 이상 특별한 이슈가 없는 만큼, 예산이 대폭 삭감됐기 때문인 것으로 분석된다.
대신 공공 CISO들은 그간 구축해놓은 보안 체계를 점검하고 보안 인력의 역량을 강화하는 등 내실을 다지는 방향으로 가닥을 잡고 있는 모습이다.

기상청, 컨설팅 통해 개인정보보호 체계 점검 및 보완

▲ “기상청은 지난 3~4년에 걸쳐 보안 강화사업을 집중적으로 수행해 왔다. 그러나 보안이라는 것은 ‘이 정도면 완벽하다’라고 안심할 수 없는 것이기에 이미 갖춰놓은 보안체계에 대해서도 취약점이 없는지 끊임없이 점검해볼 필요가 있다”  엄원근 기상청 기상산업정보화국장

기상청의 CISO인 엄원근 기상산업정보화국장은 올해 개인정보보호 수준 자체 점검을 통해 개인정보보호 체계를 보다 공고히 한다는 전략이다.
기상청은 지난해 개인정보 DB암호화 구축, 홈페이지 개인정보 사전 차단 기능 구축, PC 개인정보 관리시스템 등 안전한 개인정보보호체계 확립을 위한 솔루션 도입에 주력했다.
또한 자료유출방지를 위해 업무망과 인터넷망이 분리된 네트워크 환경에서 망 간의 자료교환을 위해 안전하고 보안성이 강화된 자료 전송시스템을 구축했다.
지난해 개인정보보호를 위한 기반 조성에 주력했다면, 올해는 이를 토대로 ‘개인정보보호 관리체계 진단 컨설팅 사업’을 수행해 청의 개인정보보호 수준을 자체 점검한다는 방침이다.
엄 국장은 “지난 3~4년에 걸쳐 보안 강화사업을 집중적으로 수행해 왔다. 그러나 보안이라는 것은 ‘이 정도면 완벽하다’라고 안심할 수 없는 것이기에 이미 갖춰놓은 보안체계에 대해서도 취약점이 없는지 끊임없이 점검해볼 필요가 있다”고 설명했다.
청은 진단 결과 개인정보보호법 등 관련 법령에 위배되는 부분이 있을 경우 이에 대한 보완 조치를 수행할 예정이다.
더불어 사이버안전센터 운영을 통해 보안관제 업무를 수행함으로써 사이버위협에 대한 선제적 대응역량을 강화하고자 하고 있다.
엄 국장은 “기상청 시스템에는 해커들의 침해시도가 상당히 잦다. 금전적 이득을 위한 자료 수탈의 목적보다는 기상청의 앞서가는 정보기술에 대항함으로써 능력을 과시하려는 경우가 대부분”이라며 “이에 기상청 사이버안전센터는 24시간 365일 실시간 모니터링 하고 있다”고 설명했다.
또한 시스템 장애 상황에 대비해 대부분의 장비를 이중화 또는 상중화로 구축해 놓았다. 실시간으로 세계 관측자료를 수집, 분석, 처리해 기상예측정보를 생성하는 모든 정보화 흐름이 시간대별로 정확하게 돌아가게 돼 있는 만큼 어느 한 군데 사소한 장애도 발생해서는 안 되기 때문이다.

보건복지정보개발원, 내부 보안인력 역량 강화 초점

▲ “2013년은 정보보안의 성숙기로 넘어가는 마지막 준비단계이다. 보안위협에 대한 방어만을 수행하는 수동적 보안이 아닌, 스스로 취약점을 찾아 보완해 나가는 능동적인 보안체계를 갖추기 위해 취약점 분석 및 모의해킹을 수행할 예정이다”  박광우 보건복지정보개발원 정보보호본부장

보건복지정보개발원은 올 2013년을 정보보안의 성숙기로 넘어가는 마지막 준비단계로 보고 있다.
원은 그동안 취해왔던 보안위협에 대한 방어만을 수행하는 수동적 보안이 아닌, 스스로 취약점을 찾아 보완해 나가는 능동적인 보안체계를 갖추기 위해 원에서 관리하는 보건•복지 관련 정보시스템 및 원 내 정보시스템을 대상으로 취약점 분석 및 모의해킹을 수행한다는 방침이다.
박광우 보건복지정보개발원 정보보호본부장은 “취약점 분석사업을 통해 습득한 지식과 우리 원 내부 전문가들의 역량강화를 통해 향후 성숙기에는 자체적으로 취약점 분석과 모의해킹을 수행할 수 있는 체계를 갖추고자 한다”며 원의 정보보호 로드맵에 대해 설명했다.
지난 2012년은 보건복지정보개발원이 설립된 지 3년이 되는 해로 정보보호뿐 아니라 기관 차원에서도 신생아기를 지나 정착기로 접어들고 향후 성숙기에 접어들기 위한 준비를 해야 하는 의미 있는 해였다.
이에 원은 지난해 보안체계 고도화를 위해 여러 기관들을 벤치마킹하고 보안업체들의 컨설팅을 통해 원의 중장기 계획을 수립했다.
더불어 지난해 보안의 기술적, 관리적, 물리적 측면에서 마무리 단계의 사업들이 대거 수행됐다.
우선 ‘DDoS 장비’, ‘TMS’ 등 외부침입방지 솔루션 및 네트워크 자료유출방지시스템(DLP) 등 내부 자료유출방지 솔루션을 도입했으며, 보안 취약점 중 가장 심각하면서도 통제하기 어려운, 사용자들의 부주의 및 고의에 의한 보안 사고를 예방하기 위해 시스템의 업무 프로세스를 분석, 이를 벗어난 행위에 대한 모니터링 시스템을 고도화하는 한편, 대상을 확대하는 사업을 수행했다.
관리적, 물리적 측면의 강화를 위해서는 개인정보영향평가를 수행해 개인정보 사고의 예방하도록 했고 원의 보안 컴플라이언스를 따르지 않는 단말기의 네트워크를 원천적으로 차단하고 시스템 접근에 대한 통제 및 감시를 강화했다.
끝으로 ‘통합보안관제 시스템’을 기획해 보안솔루션에서 제공하는 자동화된 차단기능을 이용하는 데 그치지 않고 이를 종합적으로 모니터링하고 상관관계 분석을 통해 단일 시스템에서는 발견할 수 없는 보안침해 요인 등을 찾아낼 수 있도록 점진적으로 적용했다.
원은 지난해 추진됐던 각종 보안 강화 정책들을 기반으로 올해는 내부 보안인력의 역량 강화를 통해 자체적인 보안 컴플라이언스 운영 기반을 마련하는 데 주력한다는 방침이다.
이를 위해 기 도입된 PIMS 체제를 유지하는 한편 한국데이터베이스진흥원에서 시행하는 DB보안 인증을 준비하고 정보시스템 취약점 분석 및 모의해킹 등을 수행할 계획이다.
또한 인력들의 역량강화를 위해 정보보안기사, CISSP(정보보안전문가), ECSA•LPT(보안분석 및 모의해킹 전문가) 자격증 취득 등 외부전문교육과 국내외 보안자격증 취득을 추진하고 있다.

서울시, 추가보안 투자보다 ‘내실 다질 것’

▲ “서울시의 복지공약이 강화됨에 따라 보안 관련 예산이 전년 대비 20%나 삭감됐다. 아직도 보안은 후순위 사업이라는 것이 안타깝지만, 실질적인 내실화를 통해 보안역량을 강화하는 방향으로 가닥을 잡았다”  한상호 서울시 통합보안관제팀장

서울시는 지난해에 이어 올해도 별도의 보안 프로젝트를 추진하기보다는 유지보수를 중심으로 운영될 예정이다.
지난 2011년까지 대부분의 보안 조치들을 취해놓은 이유도 있지만 올해 서울시의 복지공약이 강화됨에 따라 보안 관련 예산이 전년 대비 20%나 삭감됐기 때문이다. 신(新) 사업 예산은커녕 기존 유지보수비까지 삭감됐다.
한상호 통합보안관제팀장은 “아직도 보안은 후순위 사업”이라며 안타까움을 나타냈다.
이러한 상황에서 한 팀장이 택한 카드는 “실질적으로 내부 역량을 보강하는 것”이다.
이에 따라 한 팀장은 4가지 중점 추진방향을 설정했다. ▲금융권 수준 정보보안 강화 ▲통합보안관제 범위 점진적 확대 ▲통합보안관제센터 운영 관리 인력 확충 ▲정보공유•분석센터 구축 및 운영이 바로 그것이다.
우선 금융권 수준으로 정보보안을 강화하기 위해 시는 자치구 전담보안관제 인력 충원을 통해 공조체계를 강화하고 차세대 통합보안관제, 무선보안관제, 웹 보안 강화 등 고도화를 추진할 계획이다.
둘째, 시의 통합보안관제 범위를 지하철, 상수도, 교통 등 정보통신주요기반시설로 점진적 확대할 방침이다.
한편 한 팀장은 정보통신기반보호법 개정이 필요하다고 주장하고 있다. 기존 법상에는 포함돼 있지 않은 홈페이지도 기반시설 범위에 포함시켜 보호•관리해야 한다는 입장이다. 예를 들면 청와대 혹은 서울시 홈페이지는 기반시설에 준할 만큼 문제 발생 시 파급효과가 크다. 해커들에 의해 위변조될 시 대외적인 이미지에 심각한 타격을 미칠 수 있기 때문이다.
셋째, 통합보안관제센터 운영 관리 인력을 확충, 24시간 상시근무하는 전문 공무원을 배치할 예정이다. 국가 사이버안전관리규정에 의해 통합보안관제 운영 전담인력이 상시 배치하도록 돼 있는데, 현재는 용역직원이 이를 대행하고 있어 문제가 있다는 지적이다. 특히 지자체의 일부 보안관제 업무를 맡고 있는 지역정보개발원에서 야간에 지자체 승인 없이 즉각적으로 IP를 차단할 수 있는 권한을 요구하고 있어 이에 대응할 수 있는 상시근무 인력 배치가 시급한 실정이다.
마지막으로 시는 정보공유•분석센터를 구축해 침해사고 및 장애원인을 분석해 재발방지할 수 있는 체계를 강화할 방침이다.

공공 정보보호 예산•인력 부족현상 올해도 여전

공공 CISO들이 토로하는 애로사항은 지난해에 이어 올해에도 동일한 모습으로 이어지고 있는 형국이다.
이들은 회사 내부적으로는 일반 사업부서와의 통제에 대한 불협화음을 조율하는 것이 어렵고 외부적으로는 보안 분야 투자에 대한 냉소적인 시선으로 인해 인력 및 예산 확보가 힘들어 안팎으로 어려움을 겪고 있다고 호소한다.
한 기관의 보안책임자는 “국가 망분리 정책 등 보안 정책들은 사용자에게 불편을 가져오는 것이 필연적이다. 이러한 불편함을 사용자들에게 이해시키는 것이 가장 어려운 일”이라고 털어놓았다. 또한 보안 사고는 사용자의 보안 인식을 높임으로 인해 크게 예방되는 부분이 있는데 인식을 제고하는 것은 사용자 스스로 움직여야 하는 부분이라 동기 부여가 쉽지 않다는 지적이다.
더불어 지속적으로 발전해가는 보안침해 기법과 함께 OS, 개발도구 등 업무에 사용되는 소프트웨어의 발전 속도를 보안솔루션들이 따라가지 못함에 따라 호환성 및 안정성을 확보하는 문제도 큰 애로사항으로 꼽히고 있다.
특히 공공기관으로서 보안사고 및 법률위반이 매출에 직접적인 영향을 미치는 민간기업과 달리 인력 및 예산투자에 대한 유연성이 없고, 국민의 세금으로 운영되는 기관 예산의 특성상 임의적으로 인원과 예산을 늘리거나 변경할 수 없는 등 인원•예산 확보에 큰 어려움을 겪고 있는 실정이다. 한 기관의 보안 담당자는 “개인정보보호법과 같이 공공분야에도 민간과 같은 수준의 보호조치를 법적으로 강제하면서 정보보호 전담인력 및 예산은 법 시행 전과 큰 변화가 없다는 것은 매우 안타깝다”고 전한다.
공공기관의 한정된 인력과 예산 내에서 국민의 개인정보와 시스템을 안전하게 보호하기 위해서는 우선 강력한 보안 컴플라이언스의 정립과 동시에 꾸준한 교육 및 보안점검과 같은 의식전환 활동을 통해 사고를 예방하는 것에 역점을 두는 것이 최우선일 것으로 보인다.