세부 보안 정책 수립 단계 본격화 IT 중심에서 전사 차원 보안 강화 분위기 자리매김 CIO 매거진 BizIT가 지난 3월호에서 공공기관 정보보호 현황, 4월호에서 금융권 중 은행·카드업계 및 보험·증권업계 정보보호 현황 다뤘다. 이어 5월호에서 금융권과 공공기관을 대상으로 정보보호 현황을 정리했다. 3회에 걸쳐 금융권과 공공기관의 정보보호 현황을 살펴본 결과 지난해부터 정보보호와 관련된 법과 제도에 맞춰 대응 방안을 마련하면서 기본적인 요건을 갖춘 상황이다. 하지만 아직도 정보 유출 등 발생 가능한 이슈에 대한 사고 예방과 유출시 즉각적인 조치로 피해를 최소화 할 수 있는 세부적인 대책을 마련한 곳은 많지 않다. 법과 제도에 맞춰 검토하고 이에 따른 세부적인 정책은 단순히 IT 영역에만 한정되지 않고 전사 차원에서 다뤄야 하는 상황이어서 정보보호 정책을 수립하는 게 간단하지 않기 때문이다. 국내 민간 부문의 정보보호 현황 파악 결과 정보보호에 대한 인지도는 높으나 실제 조치를 취할 수 있는 지식과 이해도는 여전히 부족한 것으로 조사됐다. 금융권과 공공기관은 민간 부문에 비해 나은 상황이다. 하지만 세부 보안 정책 수립, 전사 차원 보안 강화 분위기가 안착이 될 때까지는 시간이 더 필요할 것으로 보인다. Contents PART I. 금융권 정보보호 현황 II 큰 그림 이어 작은 그림 그린다 감독 규정·회사 현황 맞춰 내 몸에 맞는 보안정책 수립 중 PART II. 공공기관 정보보호 현황 II 암호화·취약 모니터링·위협 대응체계 구축 한창 정부방침 세밀한 가이드라인 요구 PART I. 금융권 정보보호 현황 II 큰 그림 이어 작은 그림 그린다 감독 규정·회사 현황 맞춰 내 몸에 맞는 보안정책 수립 중 금융권은 정보보호를 위한 구체적 정보보호관리체계(ISMS)를 수립하는 데 집중하고 있다. 지난해 하반기에는 법과 제도에 맞춰 큰 그림을 중심으로 보안 정책을 수립하거나 컨설팅을 추진했으나 최근에는 작은 그림까지 그리는 단계로 빠르게 바뀌고 있다. 금융사마다 상황이 다른 만큼 각 사는 내부 정보보호 프로세스나 인프라, 보안 인력, 보안 정책 등 몸에 맞는 정책을 수립하고 있다. 김종영 편집장 sisacolumn@ciomediagroup.com 신한은행 암호화 등 다양한 방법 동원해 정보보호 이슈에 대응 신한은행은 규제준수(Compliance) 관련 업무는 준법지원부에서 담당하고 개인정보보호법은 업무지원센터에서 맡고 있다. 현재 관련 부서를 중심으로 다른 은행처럼 보안 인력, 보안 수준, 제도 및 법 등에 대한 정책 수립 작업을 진행하고 있다. 이와 함께 사업 계획 일정에 맞춰 시스템을 추가로 구축하는 프로젝트도 함께 진행할 예정이다. 컨설팅의 경우는 아직 검토하고 있는 단계다. 컨설팅은 그룹 차원에서 검토하게 되며 아직 진행 여부를 결정하지 않은 상태다. 박대원 신한은행 정보보안실장은 “큰 틀의 기준에 맞춰 준비를 하고 있다”면서 “큰 그림 외에 작은 그림, 그러니까 세부적인 면도 어느 정도 준비를 마친 상황이기 때문에 정보보호 관련 이슈에 대응하는 데 있어 큰 문제나 어려움은 없을 것으로 생각하고 있다”고 말했다. 그러나 신한은행은 인력 충원에 대해서는 관심이 큰 편이다. 보안 정책 등을 담당할 수 있는 인력을 구하는 게 쉽지 않은 까닭이다. 지난해 말부터 올해 초까지 관련 업무를 할 수 있는 인력 선발 프로세스를 진행하고 있다. 신한은행은 또 올해 초 부서 및 팀 조직을 개편했다. 정보보호 관련법과 제도, 규정 등에 맞춰 전사 차원에서 정보보호에 대한 안내와 교육에 필요한 내용을 마련해 기준에 맞춰 추진할 계획도 수립했다. 박 실장은 “정보를 보호할 수 있는 방법은 여러 가지가 있다. 암호화에만 집중하지 않고 여러 요건을 망라해서 정보보호를 할 방침”이라고 말했다. 그는 또 보안 관련 투자도 기존처럼 꾸준히 할 예정이라고 밝혔다. 신한은행은 은행을 비롯한 금융그룹사에서 공통적으로 해야 할 것은 함께 진행하게 되며, 각 계열사별로 해야 할 것도 각 사가 개별적으로 추진할 방침이다. 그룹의 보안 정책과 계열사의 보안 정책을 구분해 최적의 정책을 수립해 실행하기 위한 방안이다. CISO는 현재 CIO인 서춘석 상무가 겸직을 하고 있다. CISO 도입 취지에 맞춰 준비를 하고 있으며 장기적인 안목에서 별도의 CISO가 필요하다는 인식도 갖고 있다. 전문가가 보안 분야를 관리한다는 점을 긍정적으로 생각하기 때문이다. 이와 관련 박 실장은 “하지만 아직 무엇이 최선인지에 대한 명확한 입장이 정리돼 있는 것은 아니어서 구체적인 내용을 얘기하기 어렵다”고 말했다. 그는 또 “어떤 방식을 선택하건 일장일단(一長一短)이 있기 마련이며 취지에는 동감하는 만큼 운영을 어떻게 할 것인가가 관건”이라고 덧붙였다. 신한카드 정보보호팀 신설 등 세부 보안 강화 방안 마련 신한카드는 올해 초 정보보호팀을 신설하는 등 보안 강화 방안을 마련해 적극 추진하고 있다. 정보보호 관련 업무는 기존에는 IT 부서 내에서 담당했으나 보안 강화 차원에서 팀을 새로 구성했다. 정보보호팀은 지난 1월 CEO 직할로 편제된 조직이며, 정보보호와 고객 권익 보호 역량을 더욱 강화하기 위해 정보보호를 총괄한다. 남효신 정보보호팀장은 “다른 카드사 상황을 참조하는 것은 물론 자체적으로 정보보호를 위한 여러 가지 일들을 추진하고 있다”면서 “현업에서 보안 의식을 높일 수 있도록 하는 한편 법에 맞춰 전사 차원에서 보안을 강화하고 있다”고 말했다. 신한카드의 정보호호 관련 업무는 준법감시팀과 정보보호팀이 맡고 있으며, 전사 차원의 정보보호는 정보보호팀이 담당한다. 그룹사 차원의 정보보호 관련 정책은 IT위원회가 다룬다. 계열사의 경우에는 임원, 본부장급이 참여하는 정보보호협의회에서 담당하는 체제다. 신한카드는 사전심의 및 사전관리, 사후 모니터링 등을 더욱 강화했다. 보안을 강화하기 위해 기존에 해왔던 업무를 더욱 체계화한 것이다. 남효신 팀장은 “보안은 이제 마인드 전환이 우선인 것 같다”며 “이를 통해 보안을 더 강화할 수 있을 것”이라고 말했다. 남 팀장은 “편리성과 보안을 각각 업무와 고객 신뢰성을 나타내는 것이라고 한다면 마인드 전환은 IT가 찾을 수 없는 것까지 찾는다는 장점이 있다”고 밝혔다. 정보보호는 어느 특정 단계나 프로세스를 해당하는 게 아니라 모든 프로세스에서 필요한 것이기 때문에 보안을 제대로 하는 것은 궁극적으로 고객 서비스를 잘 하는 것이고 이는 곧 고객 만족을 낳는다는 것이다. 서비스가 만족으로 바뀌었듯이 보안도 이 같은 맥락에서 필요하다는 의미다. 신한카드의 경우 법과 제도에 따라 기본적인 준비를 마치고 세부적이고 구체적인 내용에 맞는 정책을 마련하고 있다. 신한카드의 경우도 법에 맞는 기준과 범위를 맞게 정책을 어떻게 할 것인지에 대해서는 다른 금융권과 같이 고민을 하고 있는 부분이다. 이에 따라 우선순위를 정해 정보보호 관련 업무를 추진하고 있으며 일부 업무는 별도로 추진하고 있다. 또 문서보안도 강화할 예정이다. 현재는 비용, 검증 등의 이슈가 있어 관망하고 있는 상태다. 한편 신한카드는 2010년 9월 영국표준협회(BSI)로부터 국제정보보호경영시스템 인증인 ISO/IEC 27001을 획득했다. 이 인증은 정보보호 중장기전략인 정보보호 고도화 사업 추진에 따라 획득한 것이다. 이에 따라 신한카드는 IT, 인프라, 개발, 운영 및 업무연속성 확보 등 IT 서비스의 모든 영역에 걸쳐 그 성과를 인정받게 됐다. 우리은행 법·제도 기준에 맞춰 정보보호 체계 수립 박차 우리은행 정보보호는 우리FIS에서 금융지주사와 지주사 내에 있는 자회사의 보안관제를 맡고 있는 체제에 맞춰져 있다. 그러나 보안 정책은 각 금융사가 담당하도록 돼 있다. 현재 우리은행은 IT 외 정보보호는 준법지원부에서 담당하며 IT는 정보보호팀이 맡고 있다. 김조중 우리은행 정보보호팀장은 농협, 현대캐피탈 사고 이후 감독규정, 모범기준 등에 맞춰 정보보호 관련 준비를 하고 있다고 밝혔다. 김 팀장은 예전보다 정보보호 관련 항목이 많이 늘었다며 규정 등에 맞게 준비하는 데 집중하고 있다고 말했다. 우리은행은 규제준수(Compliance) 측면에서 인력, 솔루션 등에 대한 준비도 진행하고 있다. 큰 틀은 법과 제도에 맞춰 시스템과 인력 등을 맞추는 것이다. 이에 따라 전체 인력의 5%에 맞춰 충원할 계획이다. CISO도 5월에 임명할 예정이다. CISO 임명에 대해서는 금감원 취지에 맞춰 임원급 선임을 권장할 방침이다. 김 팀장은 CISO 임명과 관련 “효율성 측면인 CIO와 견제성 측면인 CISO가 조화와 균형을 이룰 수 있도록 하는 게 중요하다고 생각한다”고 말했다. 하지만 아직 겸임 여부와 담당 부서 조직을 독립적으로 운영할 것인지에 대해서는 명확한 결론이 나오지 않은 상태다. 컨설팅의 경우 IT관리와 보안관리 등을 중심으로 현재 진행 중이다. 은행권에서 공통적으로 적용하고 있는 ‘IT 보안체계 선진화’에 따라 마스터플랜을 만들 예정이다. 마스터플랜이 만들어지면 모범사례(Best Practice)에 맞춰 진행할 방침이다. 우리은행은 DRM으로 문서보안을 해왔다. 최근에는 서버에 적용하던 DRM을 PC까지 확대했다. 엔드포인트에 있는 곳까지 초점을 맞춰 보안을 강화하기 위한 것이다. 김 팀장은 “물리적 보안, 서버 보안 등 감독당국이 요구하는 법과 규정에 맞춰 보안 정책 등을 수립하는 등 최선을 다하고 있다”고 말했다. 기업은행 감독규정 외 자율적·능동적 보안 강화 기업은행은 지난해 말부터 전사 차원에서 정보보호관리체계 강화를 위한 전략 수립에 들어갔다. 올해 초 정보보호 관련 업무보고를 마치고 금융위원회 등 감독당국에 보안 업무 관련 계획을 보고하는 등 정보보호에 대해 발 빠르게 움직이고 있다. 보안 컨설팅도 지난 2월 초에 시작해 6월말 완료할 예정이다. 이와 함께 감독 규정, 강화 기준 등에 맞춰 IT를 점검하면서 보안 점검도 진행하고 있다. 이 과정에서 나오는 문제점이나 개선점에 대한 대비책을 만들어 실행할 예정이다. 김광섭 IT본부 부장은 “보안 관련 점검을 통해 나온 결과에서 IT 부문이 좋지 않으면 우수한 평가를 받는 게 어려울 수 있기 때문에 준비를 철저하게 하고 있다”고 말했다. 기업은행은 또 개인정보보호법 관련 보안 수준도 강화했다. 개인정보 관련 전체적인 업무는 마케팅전략 부서에서 담당하고 있으며 보안 수준과 범위 등은 내부적으로 논의를 진행하고 있다. 기업은행은 금융위의 감독을 받기 때문에 기준에 맞춰 보안 정책을 수립해 실행하는 것은 물론 가이드라인에 따라 자율적이고 능동적인 보안을 추진할 방침이다. 김 부장은 “다양한 위협이 있고 새로운 위협이 발생하면서 최소기준이 모호해질 수 있기 때문에 금융사가 보안 위협에 알아서 대응을 해야 하는 상황인 만큼 능동적인 보안이 필요하다”고 말했다. 이는 금융권에서 보안사고 증가하면서 이에 대해 선제적으로 대응하겠다는 기업은행의 방침이기도 하다. 기업은행은 최근 전문계약직, 계약직 등 정보보호 관련 인력을 충원했다. 올 연말까지도 인력을 계속 충원할 계획이며, 규정에서 정한 5% 이상의 인력을 충원하는 것도 고려하고 있다. 인력 충원은 포스트 차세대 프로젝트를 하는 데에도 필요한 만큼 가능한 많은 인원을 선발할 계획이다. 김 부장은 “현재 정보보호동의서를 받고 있고 USB, 노트북 등을 철저하게 통제하고 있다”면서 “출입통제는 물론 악성코드 등을 방지하기 위해 IT 기기의 통제를 강화했다”고 말했다. 그는 또 “개발자들의 경우 업무상 필요해 노트북을 사용할 경우에도 밖으로 들고 나갈 수 없을 뿐만 아니라 작업이나 프로젝트가 끝난 후에는 하드드라이브를 완전히 포맷해 정보가 유출되지 않도록 하고 있다”고 밝혔다. 기업은행은 임원급 간부가 참여하는 정보보호추진위원회와 팀장급 이상 직원이 참여하는 실무위원회를 운영하는 등 전사 차원에서 정보보호관리체계 강화 전략을 추진하고 있다. 또한 화재, IT 사고, 정전 등에 대비하기 위해 분기당 1회 이상 재해복구 관련 훈련을 실시하고 있으며, 전체 은행을 대상으로 하는 비즈니스영속성(BCP, Business Continuity Planning) 훈련도 진행하고 있다. 국민은행 피싱 등 온·오프라인 보안 정책 강화 국민은행은 피싱 사이트에 대한 보안을 대폭 강화하고 있다. 최근 특정 금융사의 사이트를 사칭한 피싱이 확산되면서 이에 대해 대처하는 게 중요하다고 판단했기 때문이다. 이에 따라 국민은행은 유사 사이트를 구분하기 위해 홈페이지 보안을 강화했다. 우선 국제인증에 맞는 보안기법을 적용해 은행과 고객이 안전하게 이용할 수 있도록 했다. 개인화 이미지 사용을 권장하는 한편 인터넷 뱅킹 전화 승인 서비스, 이용 PC 지정 서비스 등 보안 강화 방안도 시행한다. 개인화 이미지는 홈페이지에 로그인 할 때 피싱 사이트와 구분할 수 있도록 고객이 직접 선택한 이미지와 문자가 표시되는 이미지다. 또 전화 승인 서비스는 자금 이체시 사전에 등록한 전화를 이용해 이체승인을 결정하는 서비스다. 이용 PC 지정 서비스는 사전에 등록한 PC에서만 이체가 가능하도록 해 보안을 한층 강화했다. 이와 관련 김홍수 IT보안관리부장은 “KB국민은행은 피싱 사이트로 인한 고객 피해 방지를 위해 홈페이지를 운영하는 사업자와 서버의 안전성을 엄격하게 검증해 발급해 주는 국제 인증서(EV-SSL)를 국내 금융권 최초로 전체 인터넷 서비스와 스마트폰을 이용한 모바일웹 서비스에도 적용했다”고 말했다. 국민은행은 공인인증서 발급·재발급 절차를 추가적으로 강화할 예정이다. 빠르면 오는 5월에 보안카드 이용고객은 이용 PC 지정 서비스를 이용하거나 ARS 인증 또는 휴대폰 본인 인증을 의무화하는 등 피싱에 적극적으로 대응할 방침이다. 국민은행 측은 문자 메시지나 이메일로 받은 인터넷 주소는 가짜 은행 홈페이지로 유도하는 경우가 많다며 KB국민은행은 ‘보안승급’ 관련 SMS를 발송하지 않으며, 어떠한 경우에도 보안카드 전체 암호를 입력할 것을 요구하지 않으니, 개인정보 및 금융정보 관리에 각별한 주의해야 한다고 밝혔다. 김 부장은 정보보호와 관련 관제팀을 중심으로 24/365 점검 활동을 강화했다며 피상 사이트를 탐색해 사전에 차단하기 위해 KISA와 함께 SMS 문자 분석, 보안 등급 관련 내용 등을 분석하고 있다고 말했다. 또 금융보안연구원의 유사 도메인 사이트 검증 활동도 연계해 보안을 강화하고 있다고 밝혔다. 국민은행은 또 검색대, 개인정보 동의서, 보안 프로그램 설치, 직원 동행 등 물리적 보안도 강화했다. 특히 중요 계정의 경우 보안통제룸(SCR)에서 중요 업무를 하도록 하고 있다. 김 부장은 “보안통제룸에서 업무를 하는 경우에도 지문, 토큰(은행 내에서 사용하는 인증서), 전화 확인 절차를 거치도록 하는 등 3중 보안 체계를 갖추고 있다”며 “통제룸은 내부망만 쓰도록 돼 있으며 외부는 유·무선을 모두 차단하고 있다”고 말했다. 보안 취약점이 없는지 모니터링을 하는 위험관리도 강화했다. 김 부장은 “농협 보안사고 이후 제도, 규정 등이 많아지면서 이에 대한 준비와 실행 방안을 진행하고 있다”며 “IT에 대한 인식의 변화로 투자는 물론 보안을 강화해야 한다는 필요성을 느끼면서 인력, 예산 등이 늘어날 것으로 보고 있다”고 말했다. 이와 관련 김 부장은 최근에는 보안을 IT 부서 차원에서 전사 차원에서 대응하고 접근해야 할 문제로 인식하게 됐다고 밝혔다. 일부가 아닌 전체가 나서야 100% 보안에 다가갈 수 있다는 인식이 확산됐다는 의미다. 한편 CISO는 현재 CIO가 겸임하는 체제로 돼 있으나 겸임 여부에 대한 관련법 시행령 지침이 나오면 규정에 맞춰 겸임 또는 추가 선임 여부를 결정할 예정이다. 인력과 예산 등도 5·5·7 규정에 맞춰 추진할 계획이다. PART II. 공공기관 정보보호 현황 II 암호화·취약 모니터링·위협 대응체계 구축 한창 정부방침 세밀한 가이드라인 요구 개인정보 침해를 막고 수집에 엄격한 기준을 적용한다는 취지에서 시작된 개인정보보호법 시행이 지난달 6개월간의 계도기간을 끝내고 본격적으로 시작됐다. 그동안 공공기관을 우선으로 신용 정보제공업자와 같은 일부 사업자에게 적용됐던 이 법은 1인 사업자에게도 확대 적용되면서 업무처리를 목적으로 개인정보를 이용 관리하는 모든 공공기관과 사업자는 법적용 대상을 포함한다. 이에 따라 공공기관에서는 위협상황을 탐지·대응 할 수 있는 침해위협 대비 대응체계를 지속적으로 구축해가고 있으며 예방에 필요한 대응 교육 등을 확대중이다. 공공기관의 정보보호팀 현황은 금융권 또는 일반기업군보다 공격적인 형태로 신속히 구성되고 있으며 암호화 도입 등으로 인한 체계적 보안 관리와 취약점 모니터링, 위협 대응체계를 구축해 가는데 중점을 맞추고 있다. 한편 공공기관 정보보호책임자들은 개인정보보호법 지침 세부 가이드라인이 빈약한 데 대해 공통적인 불만을 토로하고 있는 실정이다. 이는 개인정보 유출 또는 위조 등 개인정보 처리기준에 위반될 시 5년 이하의 징역 또는 5천만 원 이하의 벌금이 처해지는 등 법 처벌이 강화되고 있기 때문이기도 하다. 이번호에서는 공공기관 내 정보대응 관련 부서와 이를 담당하는 실무자들을 만나 팀 구축 현황과 보안 대응에 관한 주력 활동 내용, 계획 등에 대해 살펴봄과 동시에 행정안전부 정보화전략실 담당자를 만나 어떠한 가이드라인 지침을 제공할지와 향후 법 적용 대상자들이 주의해야 할 점은 무엇인지에 대해 함께 들어봤다. 이지혜 기자 jh_lee@ciomediagroup,com “악성코드 검사 방식 자동 전환으로 업무 영향 최소화” 국민건강보험공단의 정보보호파트는 정보관리실 산하 총 5명의 인원으로 구성돼 있으며 지난 2004년 발족됐다. 이는 당시 주요공단들의 개인정보 유출 방지를 대비하기 위해 행정안전부에서 국가중요 정보기반시설 지정과 전담팀 구성에 대한 독려가 배경이다. IT 전반에 걸친 정보보호 업무는 정보보호파트가 담당하고 있으며 개인정보보호파트 역시 법무부 산하 2000년 중반 대에 구성됐다. 안병운 국민건강보험공단 부장은 “정보보호에 대한 통제 기능보다는 사전예방에 주력하고 있으며 외부 용역 사업자들에 대한 보안실태 관리를 매분기 진행 중이다”라며 “주요 점검 내용은 개인정보관리와 PC보안관리, 현장점검 및 조치로 나뉘어진다”고 말했다. 또한 월 1회 ‘PC클린데이’를 운영해 체계적인 원클릭 PC점검 및 대응과 함께 스파이웨어 점검 자동화 및 PC점검 방식을 변경했다. 기존 수동 작업이었던 스파이웨어 점검은 PC클린데이에 자동으로 실행되고 있으며 PC점검의 경우 역시 매일 12시 10분에 자동 실행됐던 방안이 원클릭 프로그램을 통한 일원화 방식으로 변화됐다. 악성코드 검사 방식의 자동 전환으로 사용자 동작 없이 매일 자동 변경되면서 스파이웨어 검사 주기 조절을 통한 업무 영향이 최소화됐다는 것이 안 부장의 설명이다. 또한 원클릭 PC점검 및 조치도구 기능 강화는 사용자 PC점검의 단순·일원화 환경 구축과 급변하는 정보보안 환경에 유동적으로 대처할 수 있는 기능을 구현한다. 안 부장은 “백신 소프트웨어 업그레이드 역시 백신 경량화를 통한 업무 처리 속도에 영향 없는 악성코드 점검과 불필요 프로그램에 대한 점검, USB 등 보조기억매체를 통한 감염 가능성을 방지하게 된다”고 전했다. DB 비밀번호 역시 난수표를 발생시켜 매월 1회씩 바꾸도록 전환했으며 작년 말 DB암호화 BMT를 진행했다. 이뿐 아니라 월 2회 보안관리 자체보안실태 검사와 정보화 사업추진 시 보안체계 적정성 심의를 작년 17번에 걸쳐 진행했다. 안 부장은 “하지만 현재 대용량 DB를 보유·운영 중인 기관들은 암호화 솔루션 도입 후 운영 속도측면에 대해 반신반의하고 있다”며 “DB암호화 구축 후 대용량 상당에 포함되는 대고객 민원이 발생할 수 있어 조심스러운 접근을 하고 있다”고 고충을 토로했다. 또 그는 “주기적 사례교육 자료 제공을 통한 보안관리 문제에 대한 사용자 책임성 강화는 물론 전자적침해사고 발생사례 교육을 통해 경각심을 고취시키고자 한다”며 “악성 메일 모의 훈련의 경우 폴더 사용 절감 실태를 분기별 1회 진행하면서 악성 메일 모의훈련은 각 지사 경영평가에 반영중이다”라고 덧붙였다. 국민건강보험공단은 보안에 대한 단순지식보다는 종합적인 사고, 즉 공단 전체 정보자산을 보호한다는 사명감과 함께 업무에 대한 직관성 역시 중요하다고 강조한다. 더불어 올해가 2년마다 이뤄지는 공공기관 컨설팅 점검시기인 점과 관련해 연도별로 컨설팅을 받으려는 기관들이 몰려있다 보니 한정된 컨설팅 제공업체에서 충실성이 부족할 수 있다는 우려를 내비쳤다. 이를 위해 정부방침 하의 컨설팅 진행 년도를 분리 관할하는 것 역시 하나의 방법일수 있다고 조언했다. “영역별 보안업무 구현 위한 카테고라이징 심화” 한국수력원자력은 지난해 5월 정보시스템실 산하 사이버보안팀을 발족해 기업 첫 번째 경영방침인 안전최우선 경영을 위해 노력하고 있다. 지난해 농협 사이버 보안과 전략 공기업을 포함한 사이버의 위기들이 수도 없이 발생하면서 보안 위협시도에 대비한 최고 경영진 층들의 보안에 대한 인식변화라 할 수 있다. 박상형 한국수력원자력 팀장은 “철저한 진단과 대책 인·재력을 갖춰 사이버 테러에 대한 대비책을 마련하고자 한다”며 “현재 9명의 담당 인력들이 정보시스템 뿐 아니라 제어망에 대한 보안업무를 지원·협조하는 역할까지 일임하고 있다”고 밝혔다. 사이버보안팀이 따로 독립 운영되지 않는데 대해서는 정보시스템들을 통한 사이버 보안 구현과 함께 한정된 자원을 통해 가능하다는데 있다. 또한 기업 네트워크와 DB, 보안시스템에 대한 자료 등이 정보시스템에 유기적으로 연계돼 활성화되기 때문에 독립적인 제 3자적 관점에서 운영되기 힘들다는 의견이다. 최근 한국수력원자력 내 가장 이슈가 되고 있는 부분은 망분리 작업으로 정부의 강력한 요청과 원전수주작업이 그 주요 배경이다. 박 팀장은 “원전 수출 대상국가나 외부기관에서 한국수력원자력을 대상으로 한 자료 유출 사고 등이 발생할 수 있으며 이때 기반산업 자체가 흔들리는 혼란이 초래될 수 있다”며 “사회 안전 측면에서도 투자대비, 원전 노하우, 지적 자산의 유출방지를 위한 보안이 더욱 강화돼야 한다”고 말했다. 특히 보안사고의 경중과 상관없이 사회 반향을 일으킬 수 있다는 관점에서 원자력의 경우 일본 후쿠시마 원전 사고 이후 높은 관심을 받고 있는 것이 사실이다. 이를 위해 한국수력원자력은 작년 DB암호화와 출력물 보안, DLP, DRM, 제어시스템을 도입했으며 향후 관제시스템과 종합적으로 보안에 대한 위기 탐지 등 보안에 대한 전반적인 틀을 다시 셋업하려는 움직임을 보이고 있다. 박 팀장은 “단편적인 보안 솔루션 중심이 아닌 보안에 대한 전략부터 시스템에 대한 범주화를 통해 영역별 보안업무를 확실히 구분할 생각”이라며 “물리적으로는 보안체계 정립과 망분리를 통한 컨트롤타워로써 역할과 관제 시스템 구축과 보안 역량·수행 능력을 국제사회 수준으로 향상시키는데 주력할 것”이라고 강조했다. 직원들에 대한 보안 인식을 변화시키기 위한 방안 정립 역시 한창이다. 한국수력원자력은 사내 E-LEARNING 교육 과정을 개설해 전 직원의 일정 인원이 의무수행 하도록 독려중이며 정부 평가 체계에 맞춰 내부 조직단위에서도 이를 평가할 수 있는 방안을 의논 중이다. 박 팀장은 “직원들 역시 전문성을 갖추는데 자발적 노력이 필요하며 올해부터 보안 전문 자격증 취득을 위한 과정을 이수하고 있다”며 “국제공인정보시스템감사사(CISA)와 국제공인정보시스템보안전문가(CISSP)가 그것으로 보안 관련 세미나 또는 워크숍도 상시 운영 중이다”라고 말했다. 한국수력원자력 측은 내부적으로는 보안에 대한 엄격한 방식을 따르는 반면 타인 또는 외부 고객에 대해서는 협조적인 관대한 모습으로 대하는 보안 외유내강의 유연성을 띨 것을 요구한다. 과거 보안 현안 대처 중심에서 올해 체계화되는 종합 체제를 성립시키는 과제를 지닌 한국수력원자력은 사이버보안이 기업 최우선 경영 과제인 만큼, 정부의 세세한 가이드라인 제공 등 보안업무 환경에 대한 지원제도가 더욱 필요하다는 입장이다. 박 팀장은 “기업 보안 담당자는 외부 전문기관의 인력보다 기술면에서 다소 미흡할 수 있으며 이를 해결하기 위해서는 산업 공통 관심사로 함께 본질을 고민할 수 있는 정부 방침의 정책과 커뮤니티가 필요하다”고 말했다. “세종시 이전 완료 후 중장기 마스터플랜 추가 수립” 환경부는 정보화담당관실 내 정보보호계에서 정보보호 업무를 수행 중이다. 약 15명의 인력으로 꾸려져 있으며 행정안전부 자체의 보안 강화 노력이 계속되면서 정보화전략실 개편과 개인정보보호과 신설로 소속기관들에 대한 컨트롤이 강화된 것도 호기였다. 권상윤 환경부 전산사무관은 “최근 이슈는 단연 개인정보보호업무와 관련된 정보보호체계 구축, 사이버 보안 업무 등으로 축약되며 중앙행정기관들의 세종시 이전이 추진되면서 환경부 역시 올해 이전 관련 네트워크·보안 체제를 확립하는 작업이 주를 이루고 있다”고 말했다. 또한 환경부는 망분리 작업 후 사용자들이 일반 USB 사용 또는 인터넷 활용이 불가능하다는 점으로 인해 업무·인터넷 망 자료 전송 시스템을 구축해 사용자 편의성을 확보했다. 작년에는 개인정보를 점검하는 솔루션들을 검토한 후 현대 커스터마이징 단계에 있다. 권 전산사무관은 “망분리는 초창기에 진행했던 만큼 정보사업 지원을 받아 수월하게 완료됐으며 PC의 지속적인 교체 작업도 함께 이뤄지고 있다”며 “앞서 말한 듯이 사용자 편의성을 위해 망분리를 유지하면서도 인터넷 사용을 쉽게 할 수 있는 환경을 구축했다”고 설명했다. 또한 전자정부 정보보호관리체계(G-ISMS) 인증으로 정보보호체계를 강화하는데도 주력하고 있다. G-ISMS는 기관이 수립하고 구축한 종합적인 정보보호관리체계(ISMS)를 제3자가 객관적으로 심사하여 인증을 부여하며, 정보보호관리체계(ISMS)는 조직의 정보 자산을 체계적으로 보호·사이버침해 위협으로부터 조직이 유기적으로 대응하기 위한 종합적인 관리체계다. 권 전산사무관은 “G-ISMS는 정부 행정기관 등의 조직 및 서비스의 특성에 적합하게 수립된 종합적인 정보보호관리체계로 행정안전부에서도 권고하는 사항이다”라며 “하지만 인증을 받기까지의 준비기간이나 제도 지침이 잘 확립돼 있지 않아 이를 수정·보완해줄 수 있는 제도가 필요하다”고 설명했다. 또한 올해 환경부의 세종시 이전이 완료되면 내년도 보안컨설팅을 통한 중장기 마스터플랜을 수립해 보안투자 확보를 위한 예산 편성 역시 중요 과제가 될 것으로 전망된다. 한편 권 전산사무관은 “예산 편성 자체가 일 년 전 수립되다 보니 민간인 보안 솔루션 사업체나 제품 지식에 대한 접근이 시기적으로 맞지 않을 수 있다”며 “또한 개인정보 솔루션에 대한 사용자 요구를 벤더사에서 잘 파악하지 못하거나 틀린 정보를 제공하는 경우도 빈번하다”고 개선을 요구했다. 교육 관련 역시 의무적인 단체 교육 대신 부서별 서무 담당자들이 전달교육을 통해 진행하도록 하고 있다. 그는 “교육만을 맹신하는 관점에서 벗어나 직원들의 정보보호 및 개인정보보호 업무에 대한 기술적 능력을 기르는 동시에 타부서와의 균형 감각을 기르는 등 자가 역량 발전에 힘써야 한다”고 덧붙였다. 보안 자체는 시스템적으로 제어하는 것이 가장 이상적인 방안이지만 현실적으로 개인보안을 완벽히 기하기에는 애로사항이 많다. 권 전산사무관은 “개인의 각성을 위해 보안관련 기사 등을 스크랩해 메일링을 하는 등 보안 문제는 곧 본인 책임과 직결된다는 점을 수시로 상기시키고자 한다”며 “이는 공무원 징계령 내 보안사고 발생 시 도의적인 책임을 떠나 본인이 직접 책임을 지는 지침이 명시돼 있는 점과 관련해 ‘보안문제=자신의 책임’이라는 것을 우선순위로 인식시키고자 함에 있다”고 설명했다. “정보사용자에 대한 밀착 가이드라인 이뤄질 예정” 행정안전부는 개인정보란 기술적 조치가 필요한 대상일 뿐 아니라 기업의 중요 자산이 바로 고객정보라는 점을 인식하고 이를 잃거나 훼손할시 기업 존폐까지 영향을 받게 된다는 점을 강조한다. 한순기 행정안전부 과장은 “솔루션으로 무장하는 방어가 아닌 소위 영업이나 각 비즈니스 단별 컴플라이언스가 필요하며, 이에 따라 개인정보 처리 과정에 따른 단계별 기준과 원칙을 정해 이를 알리는 업무를 시행중이다”라고 말했다. 또한 기업의 경우 CPO(Chief Privacy Officer)를 내정해 법률적인 지식과 컨설팅 자문지식을 동반한 전문가가 영업과 비즈니스 단에서 보안의 본 목적을 활용하도록 해야 한다는 방침이다. 특히 온라인 쇼핑몰 등 고객들이 입력하는 정보를 수집 및 이용하기 위해서는 고객들의 정보이용에 대한 고지와 동의를 얻어야 한다. 또 개인정보처리자에 대한 규정에서 개인정보처리자는 내부관계 계속 수립, 접근권한 통제, 암호화조치, 접속기록 보관, 침입차단시스템 설치 등 보호조치를 수립해야 한다. 한 과장은 “행정안전부가 중점을 두는 부분은 개인정보보호와 관련된 정책 프레임웍을 만들어 법제도·교육에 관한 체계를 확립하는 것”이라며 “이를 통해 법 적용 대상자나 기업들은 개인정보보호에 대한 투자 방향을 확보할 수 있을 것이며 기술 중심적 보안이 아닌 업무 중심 형식에서 접근할 수 있을 것”이라고 밝혔다. 행정안전부는 오는 6,7월 경 기업 경영공시를 개인정보보호와 연관하는 작업도 조심스럽게 검토 중이다. 작년 하반기부터 27개 업종에 대해 협회와 컨설팅을 거친 후 개인정보보호 수집과 활용을 위한 가이드라인을 제공했지만 아직 미약하다는 업계 내 평판 때문이다. 한 과장은 “특히 소상공인을 위한 밀착 홍보와 교육을 위해 지난달부터 106명으로 구성된 방문지원단을 구성해 전국 230여 개의 시·군·구에 3인 1조 구성단을 파견해 약 3주간에 걸친 업소 방문을 시작했다”며 “이때 정보보호와 관련해 반드시 이행해야할 수칙 설명과 소상공인 업무용 PC 내 개인정보를 보관할 경우 필요한 무료 보안백신 설치, CCTV 설치시 유의해야 할 점 등을 적극적으로 홍보하고 있다”고 강조했다. 한 과장은 “기업이나 개인들 입장에서 개인정보보호법 강화 상황을 여전히 반신반의 하는 경우가 많은데 대해 일침을 가하고 싶다”며 “엄연히 준수해야 할 법칙임에도 불구하고 정부방침이나 태도가 어떻게 나오느냐에 따라 눈치를 보는 경우가 있다”고 지적했다. 행정안전부는 기업을 운영하며 개인정보를 보호해야 할 규정 수립과 업무수행은 바로 자신들 본연의 업무라고 강조한다. 개인정보보호법이 국내 모든 대상자들에게 안착되기까지 비용·시간 측면의 많은 부분이 소요되겠지만 국가 경제 위상은 물론 기업 위상 향상을 위해서는 반드시 거쳐야 할 관문이라는 것이 그 이유다. 개인정보를 위해 이것만은 꼭! (자료: 행정안전부) 1. 개인정보는 필수정보만 최소한으로 수집 (추가적인 정보를 수집할 때는 반드시 동의를 얻어야 함) 2. 주민등록번호와 건강정보 등 민감정보 수집금지 (법령의 근거가 있는 경우가 아니면 주민등록번호, 민감정보 사용 금지) 3. 수집한 목적과 다르게 사용하거나 제3자 제공금지 (법령의 근거 없이 다른 용도로 사용하거나 외부로 유출되지 않도록 주의) 4. 개인정보를 처리할 경우 개인정보 처리방침 공개 (개인정보 위탁사실을 포함한 처리방침을 홈페이지나 사업장에 공개) 5. 개인정보의 이용이 끝난 후에는 반드시 파기 (수집한 목적이 달성된 후에는 즉시 파기) 6. 개인정보가 유출되었을 경우 즉시 정보주체에게 통보 (유출된 것을 인지하면 5일 이내에 서면, 전화, 이메일 등의 방법으로 통보) 7. CCTV를 운영할 경우 안내판을 설치 (설치목적, 장소, 촬영범위, 담당자 등을 안내, 운영방침을 수립하여 공개)