전자금융보안 사고 예방, 정보보호관리 체계에서 실마리 풀어야
농협 해킹 사건은 협력사 직원에 대한 시스템 관리자 권한 부여 및 남용, 관리자 권한을 갖는 노트북의 외부 반출, 서버 비밀번호 변경 미 설정 등 보안 관리의 부재가 주요 원인으로 분석되고 있다. 한마디로 기술적 대책인 방화벽 등의 정보보호 제품은 설치 운영되고 있었으나, 보안 관리 프로세스는 적절하게 작동하지 않았음을 보여주고 있다.
정보보호관리체계(이하 관리체계)는 조직의 보안 정책을 최고 책임자가 설정하고, 보호되어야 할 정보자산을 식별하며, 이들 정보자산에 대한 위협을 분석하고, 이 위협을 효과적으로 막을 수 있는 다양한 보안 대책을 운영하기 위한 체계이다. 이는 기술적 보안 대책뿐만 아니라 관리·운영·물리적 보안 대책을 포함하는 부안 관리 프로세스이다. 이를 통해 조직의 정보 자산에 대한 안전성 및 신뢰성을 향상시키기 위해 요구되는 절차와 과정을 체계적으로 수립하고 문서화 하며 지속적인 관리·운영을 통해 정보보호 목표인 정보나 시스템의 기밀성, 무결성, 가용성을 보장하기 위한 일련의 관리 과정 및 활동이라고 볼 수 있으며, 기업은 이를 통해 업무 프로세스의 연속성을 보장 받을 수 있다.
또한, 기업이나 조직에 의해 운영되는 관리체계의 적정성을 제3의 신뢰기관이 평가하여 인증하는 제도가 관리체계 인증 제도이다. 우리나라에서도 방송통신위원회에서 조직의 관리체계를 평가하여 인증해주는 인증 제도를 2002년부터 정보통신망보호법에 근거해 도입하였고, 한국 인터넷진흥원을 통해 운영하고 있다. 이 인증제도는 정보보호 정책 수립·정보보호관리체계 범위설정·위험관리·구현·사후관리 등의 5단계로 구성된 관리과정, 정책의 관리의 문서화, 그리고 세부 정보보호대책 등의 분야의 주요보안통제가 조직의 특성 및 환경에 부합하도록 관리·유지하고 이행하는지를 평가하는 것이다. 현재 국내 101개의 기업이 정보보호관리체계를 인증받은 바 있다.
이번 농협 해킹 사건이 이 다른 금융기관에 재발되지 않기 위해서는 각종 통신 관련 로그 감사, 내부에서 외부로 전송되는 이메일 복사 및 저장, 웹 메일 사이트 사용 제한, P2P사이트 접근 제한, 세션별 트래픽 모니터링 및 직급, 업무 등 권한에 따른 데이터 접근 수준 차등 적용 등 내부자에 대한 권한 및 통제 등의 다양한 기술적 대책도 중요하다.
그러나 이보다도 더욱 강조되어야 할 것은 전체 주요 금융기관의 전사적 관리체계의 의무 도입이 무엇보다도 필요하다. 현재 선택적인 관리 체계 인증 범위와 권고에 기반하여 운영되고 있는 관리체계를 전사적 범위와 의무적인 관리체계의 운영으로 변경할 필요성이 있으며, 관리감독기관은 관리체계가 적절히 작동하고 있는지를 상시 감독을 강화할 필요성이 있다. 또한 이러한 관리체계에 기반해 정보보호 조직과 예산의 대폭 증액, 이의 운영을 책임질 정보보호최고책임자(CSO)의 지정, 기숙적 대책의 강화도 필요하다. 이는 정보보호는 기술적 제품의 설치로 보안 목표를 달성할 수 없으며, 정보보호제품이 적절히 작동하게 만드는 관리 체계의 수립과 효과성을 담보하는 운영이 무엇보다도 중요하기 때문이다.
이번 농협 사이버 테러는 관리적 대책의 부재가 얼마나 커다란 영향을 미치는지를 보여주는 대표적인 사례가 될 것이다. 이에 대한 대비를 국가적 차원의 대비가 필요한 시점이며, 그 시작은 정보보호관리체계의 강화에서부터 찾아야 할 것이다.
저작권자 © 단대신문 : 펼쳐라, 단국이 보인다 무단전재 및 재배포 금지