[CIOCISO매거진 홍상수 기자] CIOCISO매거진이 지난 6일 울산 울산 엑소21컨벤션에서 ‘디지털 트랜스 포메이션 구현을 위한 추진 전략 세미나’라는 주제로 컨퍼런스를 개최했다. 

이번 세미나는 울산 공공기관 및 기업에서 근무하는 IT담당자들을 위한 ‘디지털 전환 사례와 활용 방안, 디지털트랜스포메이션 구현을 위한 추진 전략’을 공유하는 자리였다.  IT기획부서장, 디지털관련 부서장, 보안부서장, 개인정보보호부서장, 팀장, 실무자 50여 명이 참석했다.

장명국 CIOCISO매거진 대표는 개회사에서 “디지털 역량이 국가 경쟁력의 핵심요소로 부각됐다”며 “각 공공기관이 국민을 위해 서비스해야 할 IT 프로젝트에 필요한 전략과 방향을 설정하는데 도움이 되길 바란다“고 말했다.

이날 울산정보산업진흥원 조준우 과장의 ‘국가정보보호백서’ 주제 강연을 시작으로 ▲ 메가존클라우드 강승백 그룹장의 ‘울산지역 제조기업 디지털전환을 위한 클라우드 도입전략’ ▲ 포티넷 문귀 전무의 ‘스마트팩토리 보안위협 방어를 위한 따라하는 0T 산업보안 아키텍처 모델 소개’ ▲ 퀘스트소프트웨어 채홍소 이사의 ‘랜섬웨어로부터 계정 침해 사고를 막기 위해 ActiveDirectory(AD) 보안은 필수입니다!’ ▲ 시유센 허윤석 책임의 ‘모바일 앱 보안 가이드와 대응 방안’ ▲ KT 메가존클라우드 이준희 팀장의 ‘정보시스템 대상 클라우드 전환 우수사례 공유’ ▲ 한글과검퓨터 박지식 과장의 ‘한컴솔루션 제품소개’ ▲ 마블시스템 김미정 대표의 ‘침해대응 모의훈련을 통한 보안인식 강화’ ▲ 제너시스템 김준우 이사의 ‘홈네트워크 loT 해킹에 따른 세대별 망분리 보안 대책 방안’ 발표가 이어졌다. 

각 강연의 주요 주제와 ppt자료는 2번에 나눠 소개한다.

‘국가정보보호백서’ 

울산정보산업진흥원 조준우 과장

 

조준우 과장은 “민간분야 IT담당자에게 정보보호 실태를 조사한 결과 기관들이 가장 취약하다고 생각하는 정보보호 분야는 54.17%가 내외부 인원관리 등 인적보안”이라며 “정보보호 수준 향상을 위하여 가장 중요한 것은 보안교육 및 인식제고가 59.90%로 가장 많은 응답률을 차지했다”고 밝혔다.

이어 “국내 사업체가 정보보호에 대하여 어려움을 느끼는 사항으로는 ‘정보보호 예산 확보’가 45.5%, ‘정보보호 전문인력 확보’(26.5%) 순이었다”고 말했다.

조 과장은 “울산정보산업진흥원은 ▲ 중소기업 정보보호 바우처 지원사업 ▲ 홈페이지 웹 취약점 점검 ▲ 개인정보 보호조치 및 기술지원 ▲ 정보보호 전문교육 및 인력 양성 ▲ 정보보호 인식제고 세미나 등을 개최하고 있다며 “울산 지역 중소기업의 안전한 사이버보안 환경과 정보보호 전문인력 양성을 위해 앞장서겠다”고 전했다.  

 

 

‘울산지역 제조기업 디지털전환을 위한 클라우드 도입전략’

메가존클라우드 강승백 그룹장

 

 

강승백 그룹장은 “제조고객 디지털 혁신을 위한 클라우드 도입을 위해선 3가지 우선 순위가 있다”며 “데이터 기반의 플랫폼 구축, 이를 위한 클라우드 도입, 데이터 기반의 플랫폼 및 통합 보안 필요”를 제시했다.

또한 디지털 전환을 잘 수행하기 위한 우선순위로는 “먼저 기술부터 시작하지 않고, 비즈니스 목표에서 시작하기, 두 번째 성과를 빠르고 점진적으로 달성하도록 애자일(Agile) 하게 접근하기, 세 번째 비즈니스에 직접적인 영향을 주는 기술은 직접 만들고, 나머지는 파트너 기술을 잘 활용하기, 네번째 클라우드의 장점을 최대한 활용하기”라고 말했다.

 

 

‘스마트팩토리 보안위협 방어를 위한 

0T 산업보안 아키텍처 모델 소개’

포티넷 문귀 전무

 

 

문귀 전무는 “OT(Operational Technology)란 산업운영을 관리하는 컴퓨팅 시스템을 의미하며 IoT, 무선, 엣지컴퓨팅 등 생산관리, 운영통제 및 모니터링 포함한다”고 말했다.

이어 “랜섬웨어 + 비트코인 + 내부자 위협에 대응한 OT 보안이 강화돼야 한다”며 “안전한 OT 보안을 위한 강력한 네트워크 인프라와 랜섬웨어/멀웨어 탐지를 위한 SOC 통합관제 구축해야 한다”고 권고했다.

OT 보안 기본 요건으로는 ▲ 외부 원격접속 지원 ▲ 사용자 정책 기반 차세대방화벽 ▲ Network IDS ▲ 통합로깅 및 로그수집으로 설명했다.

포티넷 시큐리티 플랫폼의 OT 보안 아키텍처 특징은 네트워크 보안 가시성 극대화, 유무선LAN 통합 관리, OT 프로토콜 지원 & OT 취약점에 대한 버추얼 패칭, 마이크로 세그멘테이션으로 네트워크 화이트리스팅 적용, FortiGate NAC 기능 기본 지원, 패시브 모니터링 방식의 OT SOC 통합관제 설계 등이다.

 

 

‘랜섬웨어로부터 계정 침해 사고, ActiveDirectory(AD) 보안은 필수!’

퀘스트소프트웨어 채홍소 이사

 

채홍소 이사는 “랜섬웨어로부터 계정 침해사고를 막기위해서는 Active Directory(AD)보안은 필수”라며 “공격자는 단말을 공격하는 목적의 핵심은 계정 탈취”라고 강조했다.

이어 AD 보안전략으로 4단계를 제시했다. 먼저 Prevent(예방)으로 위협이 될 수 있는 정책위반에 대한 탐지를 통해서 사전에 위협 탐지 및 대응해야 한다. 둘째 Protect(보호)단계로 위협이 될 수 있는 요소를 보호하여 위협요소 사전 차단해야 한다. 셋째 Detect(탐지)단계로 AD에 알려진 위협 등을 통한 공격을 실시간으로 탐지하여 피해를 최소화해야 한다. 넷째 Diagnostic(분석)단계에서는 운영과정에서의 분석 및 위협발생에 대한 원인분석을 위한 데이터를 구축하고 검색 체계를 갖춰야 한다.

포티넷의 솔루션 Quest AD의 보안 체계를 효과적으로 구축, 운영하도록 지원한다.

 

 

‘모바일 앱 보안 가이드와 대응 방안’

시큐센 허윤석 책임

 

 

허윤석 책임은 “모바일 보안은 서비스 자체의 앱, 서비스에 접근하는 기기의 보안으로 크게 분류가 되며 각 솔루션별로 커버하는 영역이 상이하다”며 “㈜시큐센의 대표적인 모바일 앱보안은 Compliance에 맞춰 주도적으로 움직일 수 있도록 Line-Up을 다양하게 갖추고 있다”고 말했다.

이어 모바일 웹 서비스를 하이브리드 앱 형태로 구축을 할 경우 네이티브 앱 구축시와 차이점이 무엇인지에 대한 질문에는 위변조방지/난독화의 경우 실제 서비스를 제공하는 시스템이 Web기반이라고 하더라도 Container가 되는 앱에 대한 보호처리를 해야한다고 답했다.

클라우드 및 가상화를 이용한 인프라 구성시, 기술영업적 문제가 발생하는 지에 대한 질문에는 시유센은 앱당 라이선스를 채택하는 위변조방지/난독화, 가상키패드(Mobile App), 서버의 증설 추가비용없이 지원이 가능하다고 말했다. 또한 Scale-Out의 경우, 기존 서버의 이미지를 떠서 증설할 경우 별도의 기술지원없이 바로 운영가능하다고 답했다.

서비스 WAS서버 위에 jar나 웹어플리케이션 형태로 적용하는 솔루션으로 솔루션 구축시 별도서버를 준비하거나 구축할 필요도 없다. 

 

 

(기사 하단에는 각 발표자의 자료가 첨부되어 있습니다.)