“보안은 일상의 흐름과 같은 것”

서울시 정보화기획단 산하 정보통신보안담당관 내에는 총 3개의 보안조직이 구성돼 있다. 정보보호정책팀, 통합보안관제팀, 개인정보보호팀이 바로 그것이다. 그 중에서 주무부서인 정보보호정책팀이 서울시 정보보호정책 계획 및 시행 등 총괄을 하고 있다. 지난 2월 정보보호정책팀장으로 발령된 임승철팀장은 발령 직후 3.20 사태를 비롯해 연이은 이슈들로 인해 혹독한 신고식을 치뤘다. 현재 임 팀장은 서울시 공무원 전체의 보안역량 강화를 최우선 과제로 삼고, 각 행정업무에 보안업무가 자연스럽게 스며들 수 있도록 프로세스와 제도를 만들어가는 데 주력하고 있다. 바로 ‘정보보호 업무를 일상화시키는 작업’이다.

연보라 기자 bora@ciociso.com

정보보호 업무 일상화시켜야

서울시의 정보보호정책팀장을 맡고 있는 임승철팀장은 서울시의 전체적인 보안역량을 강화하는 것을 최우선 과제로 삼고 있다. 시스템을 아무리 완벽하게 갖춰놓아도 완벽한 보안이라는 것은 있을 수 없기 때문에 각 행정업무에 보안업무가 자연스럽게 스며들 수 있도록 하는 것이 보안부서의 큰 의무라는 것이 그의 생각이다.
임 팀장은 “한 사람이 모든 사람을 통제하는 보안이 아니라 모든 사람이 스스로 잘 지켜나갈 수 있도록 프로세스를 만들고 제도와 절차를 수립하는 게 보안의 역할”이라며 “업무에 보안 프로세스가 들어가면 당장은 불편해지는 것이 사실이다. 하지만 적절하게 지도하고 스스로 지킬 수 있도록 지도·점검을 하고 대안을 만들어줘야 한다”고 설명했다.
그래서 요즘 임 팀장은 ‘정보보호 업무를 일상화시키는 작업’에 대해 많이 고민하고 있다. 그는 늘 ‘어떻게 하면 보안을 일반화시켜, 직원들에게 도입할 것인가’라는 물음을 던진다. 예를 들면 방화벽 솔루션을 선택할 때에도 특정 기능이 우수한지 편향적으로 판단하는 것이 아니라, 내부 업무를 위한 행정시스템들과의 연동, 연계가 잘 되는가를 우선적으로 평가한다는 설명이다.

하이브리드 방식 망분리 검토

▲ “한 사람이 모든 사람을 통제하는 보안이 아니라 모든 사람이 스스로 잘 지켜나갈 수 있도록 프로세스를 만들고 제도와 절차를 수립하는 게 보안의 역할이다. 업무에 보안 프로세스가 들어가면 당장은 불편해지는 것이 사실이지만 적절하게 지도하고 스스로 지킬 수 있도록 지도·점검하고 대안을 만들어줘야 한다” 임승철 서울시 정보보호정책팀장

임승철 팀장은 1994년 마포구청에서 처음 공무원 생활을 시작해 1999년 서울시로 옮겨오면서 방송통신직렬로, 주로 통신망 혹은 정보보안 업무를 맡아왔다. 지난해에는 1년여 간 방송통신위원회 산하기관인 테인협력센터에 파견돼 정보보안 업무를 담당했다. 그런 임 팀장에게 서울시 정보보호정책팀장으로 임명된 후 지난 3개월은 19년 공무원 인생 중에서 가장 힘든 시기였다고 회상한다.
올해 2월 임 팀장이 정보보호정책팀장으로 발령받은 직후 북한 핵실험 사건과 3.20 사태를 비롯해 각종 보안 이슈가 이어지는 바람에 그는 비상근무로 연일 밤을 새울 수밖에 없었다.
3.20 사태는 금융권과 방송사만 타깃이 됐었지만 사실 당시에 서울시를 포함한 13개 지자체 시스템에도 악성코드가 발견됐다. 방송국의 경우처럼 시스템 파괴를 목적으로 하는 악성코드는 아니었고 정보 유출을 위한 것이지만 이에 대한 대응은 힘들었다.
또한 최근 정부통합전산센터의 시스템이 다운돼 전국 지자체 시스템이 마비됐지만 다행히 서울시는 이중화 시스템으로 즉각 경로를 변경해 이를 모면할 수 있었다. 특히 3.20 사태 이후 공공분야는 망분리가 큰 이슈다. 이제는 보안부서가 아닌 다른 부서에서도 망분리의 필요성에 대해 인식해 정보보호정책과로 많은 문의가 들어오고 있다고 임 팀장은 이야기한다. 특히 재무과나 세무과와 같이 세무정보, 과세정보 등이 악성코드 감염으로 인해 유출될 위험이 있는 부서의 경우, 인터넷망과 업무망을 함께 사용하는 것에 대해 불안감을 표하고 있다는 설명이다.
이에 임 팀장은 망분리에 대한 깊은 고민에 빠져있다.
지난해에는 망분리가 큰 이슈가 아니었기 때문에 올해 서울시 정보화 예산에는 망분리 예산이 포함돼 있지 않기 때문이다. 망분리를 위해서는 200억 원 이상의 예산이 필요한데, 서울시 정보화 예산 전체를 합쳐도 200억원이 못되는 상황에서 이러한 예산을 편성하는 것은 쉽지 않은 노릇이다. 임 팀장은 올해부터 망분리를 위한 예산 확보활동을 해나갈 방침이다. 그는 “중요한 핵심 업무의 경우 물리적 망분리로, 상대적으로 중요도가 낮은 업무에 대해서는 논리적 망분리로 구축하는, 하이브리드 방식을 검토하고 있다”고 설명했다.

자체 모의훈련으로 사이버 위기대응능력 강화

서울시는 최근 급증한 사이버공격 및 디도스 공격에 대한 대응능력을 강화하고자 외부 정보보호기관과의 합동훈련뿐 아니라 자체적인 사이버 모의훈련도 지속적으로 실시해오고 있다.
그 중 하나는 서울시에서 운영 중인 200여 종 홈페이지 중에서 특정홈페이지를 대상으로 모의해킹을 하는 것으로 발견된 취약점을 담당부서에 알려주고 소스코드를 변경하도록 하고 있다. 또 다른 훈련은 디도스 대응훈련이다. 대부분의 서울시 시스템은 양재동에 위치한 데이터센터에 존재하는데, 그곳에서 디도스 방어시스템이 실제로 잘 작동하는지 사고 발생 시 제대로 대응이 이뤄지는지 등을 점검하기 위해 3개월마다 한 번씩 훈련이 시행된다. “실제 공격이 들어왔을 때 서비스가 정상화되는 시간을 최소화 하는 것이 이 훈련의 주된 목적”이라고 임팀장은 설명한다.
전 직원을 대상으로 한 악성코드 이메일 훈련도 실시하고 있다. 최근 사회적으로 이슈가 되고 있는 악성코드의 경우, 주된 감염경로가 이메일로 알려져 있어서 직원들에게 악성코드가 은닉된 이메일에 대한 경각심을 심어주고 이를 바로 삭제하거나 기타 조치를 할 수 있도록 홍보하는 것이다.
이를 위해 무해한 악성코드가 실린 이메일을 전 직원들에게 보내, 직원들의 수신 여부를 체크한다. 수신체크가 오면 그 직원의 PC는 감염된 것이라고 볼 수 있다. 임팀장은 “사전에 이메일 훈련에 대해 공지함에도 불구하고 50% 이상이 해당 이메일을 열어본다. 특히 당첨, 경품 증정, 수당 등 호기심을 유발하는 제목의 이메일의 경우, 수신율은 더욱 높아진다”면서 “항상 출처를 확인하고 이메일을 열어볼 수 있도록 가이드 하고 있다”고 설명했다.
또한 서울시는 향후 모바일 보안체계를 강화해 시범 적용 단계에 있던 모바일 오피스를 단계적으로 확대할 방침이다. 이를 위해 MDM 및 WIPS 등 무선인터넷 환경에 대한 침입방지 시스템을 구축할 예정이다. 임 팀장에 따르면 현재 안전행정부에서 현재 MDM 표준안을 만들고 있어서 빠르면 6월 중으로 각 관공서 및 공공기관에 배포될 예정이다.
임 팀장은 “이제까지는 보안에 대한 우려 때문에 모바일워크를 금지해왔던 정부이지만, SNS, 모바일로 점차 트렌드가 옮겨가고 있어 자연스럽게 따를 수밖에 없게 된 것”이라고 배경에 대해 설명했다.

내년 보안팀, 과 단위로 승격시킬 것

서울시의 정보화사업을 총괄하는 정보화기획단 아래에는 4개의 과와 1개 사업소가 있다. 그 중 하나가 정보통신보안담당관으로 보안조직은 여기에 속해있다. 보안조직은 정보보호정책팀, 통합보안관제팀, 개인정보보호팀 3개로 구성돼 있으며 총 12명의 직원이 근무한다.
임승철 팀장이 이끌고 있는 정보보호정책팀이 보안 주무부서로서의 역할을 맡고 있다. 서울시 전체의 보안업무를 수행하는 데 있어 아직까지는 예산과 인원이 많이 부족한 것이 사실이다. 금융기관처럼 IT 및 보안인력과 예산규모를 지정해놓은 5.5.7 규준이 있으면 좋겠지만, 그렇지 못한 지자체는 할 일에 비해 일손이 턱없이 부족한 것이 현실이다. 서울시만 해도 올해 보안 관련 예산이 IT 예산의 4%에 그쳤다.
임승철 팀장은 “서울시는 서울 내 구청까지 4만5000여 명 공무원의 모든 정보보안을 수행해야 하는데, 4%대는 너무 적은 수치”라고 아쉬움을 표했다. 서울시는 올해 안으로 보안인력을 증원하고 내년에는 기구를 확대할 방침이다. 인원을 현재의 12명에서 25~30명 사이로 늘리고 팀 단위로 되어있는 보안조직을 과 단위로 격상시킨다는 계획이다.
임 팀장은 “서울시의 보안인력이 증원되고 보안팀이 과로 승격되면, 서울시 산하 각 구청에서도 팀 단위 보안조직이 자연스럽게 만들어질 수 있을 것”이라고 기대감을 표시했다. “아직은 정보보호 인프라를 개선하고 보완하는 일에 치중해야 하는 단계”라고 말하는 임 팀장은 시스템 구축과 함께 각 부문별 사이버위기대응 매뉴얼을 마련한다는 방침이다. 이른바 ‘사이버보안 시나리오 경영체제’ 구축을 통해 신속하게 선제적인 대응을 할 수 있을 것이라는 설명이다.
더불어 서울시 내 지하철, 상수도 등 도시기반시설들에 대한 보안관리를 강화하고 공조체제 활동을 확대해 시민들이 안심하고 사용할 수 있도록 할 방침이다. 그러나 아직 사이버 보안과 관련된 서울시 조례가 없는 실정이어서, 서울시의 특화된 시설에 대한 서울시 조례를 만들어 적용해야 한다고 임 팀장은 강조했다.

임승철 서울시 정보보호정책팀장 2013.3~현재 서울시 정보통신보안담당관 정보보호정책 팀장,통합보안관제팀장 겸임(서울시 보안정책 수립,조정,추진) 2012.3~2013.2 방송통신위원회 산하 테인협력센터 파견 (ASEM산하 국제기구 정보보안업무) 2009.3~2012.2 서울시 정보통신보안담당관 통합보안관제팀장(시 전기관 보안관제 총괄) 2007.4~2009.2 서울시 도시기반시설본부 건설총괄부(본부정보화 및 정보보안 총괄) 2004.4~2007.3 서울시 정보화기획단 정보화기획담당관(서울시 인터넷시스템 보안관리) 1999.4~2004.3 서울시 건설안전관리본부 총무부 (본부 정보보안 총괄) 1994.12~1999.3 서울시 입사, 마포구 총무국 기획예산과(LAN, 인터넷구축) 정보보안 자격 2010.10 SIS(정보보호전문가) 1급 2011.9 CPPG(개인정보관리사) 취득