2024.05.13 (월)
“보안은 일상의 흐름과 같은 것”
서울시 정보화기획단 산하 정보통신보안담당관 내에는 총 3개의 보안조직이 구성돼 있다. 정보보호정책팀, 통합보안관제팀, 개인정보보호팀이 바로 그것이다. 그 중에서 주무부서인 정보보호정책팀이 서울시 정보보호정책 계획 및 시행 등 총괄을 하고 있다. 지난 2월 정보보호정책팀장으로 발령된 임승철팀장은 발령 직후 3.20 사태를 비롯해 연이은 이슈들로 인해 혹독한 신고식을 치뤘다. 현재 임 팀장은 서울시 공무원 전체의 보안역량 강화를 최우선 과제로 삼고, 각 행정업무에 보안업무가 자연스럽게 스며들 수 있도록 프로세스와 제도를 만들어가는 데 주력하고 있다. 바로 ‘정보보호 업무를 일상화시키는 작업’이다.
연보라 기자 bora@ciociso.com
정보보호 업무 일상화시켜야
서울시의 정보보호정책팀장을 맡고 있는 임승철팀장은 서울시의 전체적인 보안역량을 강화하는 것을 최우선 과제로 삼고 있다. 시스템을 아무리 완벽하게 갖춰놓아도 완벽한 보안이라는 것은 있을 수 없기 때문에 각 행정업무에 보안업무가 자연스럽게 스며들 수 있도록 하는 것이 보안부서의 큰 의무라는 것이 그의 생각이다.
임 팀장은 “한 사람이 모든 사람을 통제하는 보안이 아니라 모든 사람이 스스로 잘 지켜나갈 수 있도록 프로세스를 만들고 제도와 절차를 수립하는 게 보안의 역할”이라며 “업무에 보안 프로세스가 들어가면 당장은 불편해지는 것이 사실이다. 하지만 적절하게 지도하고 스스로 지킬 수 있도록 지도·점검을 하고 대안을 만들어줘야 한다”고 설명했다.
그래서 요즘 임 팀장은 ‘정보보호 업무를 일상화시키는 작업’에 대해 많이 고민하고 있다. 그는 늘 ‘어떻게 하면 보안을 일반화시켜, 직원들에게 도입할 것인가’라는 물음을 던진다. 예를 들면 방화벽 솔루션을 선택할 때에도 특정 기능이 우수한지 편향적으로 판단하는 것이 아니라, 내부 업무를 위한 행정시스템들과의 연동, 연계가 잘 되는가를 우선적으로 평가한다는 설명이다.
하이브리드 방식 망분리 검토
▲ “한 사람이 모든 사람을 통제하는 보안이 아니라 모든 사람이 스스로 잘 지켜나갈 수 있도록 프로세스를 만들고 제도와 절차를 수립하는 게 보안의 역할이다. 업무에 보안 프로세스가 들어가면 당장은 불편해지는 것이 사실이지만 적절하게 지도하고 스스로 지킬 수 있도록 지도·점검하고 대안을 만들어줘야 한다” 임승철 서울시 정보보호정책팀장 |
자체 모의훈련으로 사이버 위기대응능력 강화
서울시는 최근 급증한 사이버공격 및 디도스 공격에 대한 대응능력을 강화하고자 외부 정보보호기관과의 합동훈련뿐 아니라 자체적인 사이버 모의훈련도 지속적으로 실시해오고 있다.
그 중 하나는 서울시에서 운영 중인 200여 종 홈페이지 중에서 특정홈페이지를 대상으로 모의해킹을 하는 것으로 발견된 취약점을 담당부서에 알려주고 소스코드를 변경하도록 하고 있다. 또 다른 훈련은 디도스 대응훈련이다. 대부분의 서울시 시스템은 양재동에 위치한 데이터센터에 존재하는데, 그곳에서 디도스 방어시스템이 실제로 잘 작동하는지 사고 발생 시 제대로 대응이 이뤄지는지 등을 점검하기 위해 3개월마다 한 번씩 훈련이 시행된다. “실제 공격이 들어왔을 때 서비스가 정상화되는 시간을 최소화 하는 것이 이 훈련의 주된 목적”이라고 임팀장은 설명한다.
전 직원을 대상으로 한 악성코드 이메일 훈련도 실시하고 있다. 최근 사회적으로 이슈가 되고 있는 악성코드의 경우, 주된 감염경로가 이메일로 알려져 있어서 직원들에게 악성코드가 은닉된 이메일에 대한 경각심을 심어주고 이를 바로 삭제하거나 기타 조치를 할 수 있도록 홍보하는 것이다.
이를 위해 무해한 악성코드가 실린 이메일을 전 직원들에게 보내, 직원들의 수신 여부를 체크한다. 수신체크가 오면 그 직원의 PC는 감염된 것이라고 볼 수 있다. 임팀장은 “사전에 이메일 훈련에 대해 공지함에도 불구하고 50% 이상이 해당 이메일을 열어본다. 특히 당첨, 경품 증정, 수당 등 호기심을 유발하는 제목의 이메일의 경우, 수신율은 더욱 높아진다”면서 “항상 출처를 확인하고 이메일을 열어볼 수 있도록 가이드 하고 있다”고 설명했다.
또한 서울시는 향후 모바일 보안체계를 강화해 시범 적용 단계에 있던 모바일 오피스를 단계적으로 확대할 방침이다. 이를 위해 MDM 및 WIPS 등 무선인터넷 환경에 대한 침입방지 시스템을 구축할 예정이다. 임 팀장에 따르면 현재 안전행정부에서 현재 MDM 표준안을 만들고 있어서 빠르면 6월 중으로 각 관공서 및 공공기관에 배포될 예정이다.
임 팀장은 “이제까지는 보안에 대한 우려 때문에 모바일워크를 금지해왔던 정부이지만, SNS, 모바일로 점차 트렌드가 옮겨가고 있어 자연스럽게 따를 수밖에 없게 된 것”이라고 배경에 대해 설명했다.
내년 보안팀, 과 단위로 승격시킬 것
서울시의 정보화사업을 총괄하는 정보화기획단 아래에는 4개의 과와 1개 사업소가 있다. 그 중 하나가 정보통신보안담당관으로 보안조직은 여기에 속해있다. 보안조직은 정보보호정책팀, 통합보안관제팀, 개인정보보호팀 3개로 구성돼 있으며 총 12명의 직원이 근무한다.
임승철 팀장이 이끌고 있는 정보보호정책팀이 보안 주무부서로서의 역할을 맡고 있다. 서울시 전체의 보안업무를 수행하는 데 있어 아직까지는 예산과 인원이 많이 부족한 것이 사실이다. 금융기관처럼 IT 및 보안인력과 예산규모를 지정해놓은 5.5.7 규준이 있으면 좋겠지만, 그렇지 못한 지자체는 할 일에 비해 일손이 턱없이 부족한 것이 현실이다. 서울시만 해도 올해 보안 관련 예산이 IT 예산의 4%에 그쳤다.
임승철 팀장은 “서울시는 서울 내 구청까지 4만5000여 명 공무원의 모든 정보보안을 수행해야 하는데, 4%대는 너무 적은 수치”라고 아쉬움을 표했다. 서울시는 올해 안으로 보안인력을 증원하고 내년에는 기구를 확대할 방침이다. 인원을 현재의 12명에서 25~30명 사이로 늘리고 팀 단위로 되어있는 보안조직을 과 단위로 격상시킨다는 계획이다.
임 팀장은 “서울시의 보안인력이 증원되고 보안팀이 과로 승격되면, 서울시 산하 각 구청에서도 팀 단위 보안조직이 자연스럽게 만들어질 수 있을 것”이라고 기대감을 표시했다. “아직은 정보보호 인프라를 개선하고 보완하는 일에 치중해야 하는 단계”라고 말하는 임 팀장은 시스템 구축과 함께 각 부문별 사이버위기대응 매뉴얼을 마련한다는 방침이다. 이른바 ‘사이버보안 시나리오 경영체제’ 구축을 통해 신속하게 선제적인 대응을 할 수 있을 것이라는 설명이다.
더불어 서울시 내 지하철, 상수도 등 도시기반시설들에 대한 보안관리를 강화하고 공조체제 활동을 확대해 시민들이 안심하고 사용할 수 있도록 할 방침이다. 그러나 아직 사이버 보안과 관련된 서울시 조례가 없는 실정이어서, 서울시의 특화된 시설에 대한 서울시 조례를 만들어 적용해야 한다고 임 팀장은 강조했다.
임승철 서울시 정보보호정책팀장
2013.3~현재 서울시 정보통신보안담당관 정보보호정책 정보보안 자격 |