전문가 의견 ② - 염홍열(순천향대 교수, 한국정보보호학회 회장)
전문가 의견 ② - 염홍열(순천향대 교수, 한국정보보호학회 회장)
  • 조수진 수습기자
  • 승인 2011.05.12 03:44
  • 호수 1301
  • 댓글 0
이 기사를 공유합니다

전자금융보안 사고 예방, 정보보호관리 체계에서 실마리 풀어야
 최근 국내에서 대규모 보안사고가 연이어 발생하고 있다. 올해 들어서만 정부 주요 사이트를 포함한 구가기반 사이트에 대한 3.4 디도스 (분산서비스거부공격, DDoS) 공격, 현대 캐피탈 고객 개인정보 유출 사건, 농협 전산망 해킹 사건, 그리고 애플의 위치 추적 등이다. 많은 보안 전문가들이 예측했듯이, 범죄 집단이나 국가 수준의 사이버 공격은 투자비용 대비 효과성 측면의 비대칭성으로 인해 향후에도 발생할 가능성이 아주 높다고 볼 수 있다. 검찰은 최근 이번 농협 전산망 해킹 사건을 북한의 소행이라고 발표했으며, 이번 농협 해킹 사건을 계기로 정보보호관리체계의 중요성이 세삼 강조되고 있다.
 농협 해킹 사건은 협력사 직원에 대한 시스템 관리자 권한 부여 및 남용, 관리자 권한을 갖는 노트북의 외부 반출, 서버 비밀번호 변경 미 설정 등 보안 관리의 부재가 주요 원인으로 분석되고 있다. 한마디로 기술적 대책인 방화벽 등의 정보보호 제품은 설치 운영되고 있었으나, 보안 관리 프로세스는 적절하게 작동하지 않았음을 보여주고 있다.
 정보보호관리체계(이하 관리체계)는 조직의 보안 정책을 최고 책임자가 설정하고, 보호되어야 할 정보자산을 식별하며, 이들 정보자산에 대한 위협을 분석하고, 이 위협을 효과적으로 막을 수 있는 다양한 보안 대책을 운영하기 위한 체계이다. 이는 기술적 보안 대책뿐만 아니라 관리·운영·물리적 보안 대책을 포함하는 부안 관리 프로세스이다. 이를 통해 조직의 정보 자산에 대한 안전성 및 신뢰성을 향상시키기 위해 요구되는 절차와 과정을 체계적으로 수립하고 문서화 하며 지속적인 관리·운영을 통해 정보보호 목표인 정보나 시스템의 기밀성, 무결성, 가용성을 보장하기 위한 일련의 관리 과정 및 활동이라고 볼 수 있으며, 기업은 이를 통해 업무 프로세스의 연속성을 보장 받을 수 있다.
 또한, 기업이나 조직에 의해 운영되는 관리체계의 적정성을 제3의 신뢰기관이 평가하여 인증하는 제도가 관리체계 인증 제도이다. 우리나라에서도 방송통신위원회에서 조직의 관리체계를 평가하여 인증해주는 인증 제도를 2002년부터 정보통신망보호법에 근거해 도입하였고, 한국 인터넷진흥원을 통해 운영하고 있다. 이 인증제도는 정보보호 정책 수립·정보보호관리체계 범위설정·위험관리·구현·사후관리 등의 5단계로 구성된 관리과정, 정책의 관리의 문서화, 그리고 세부 정보보호대책 등의 분야의 주요보안통제가 조직의 특성 및 환경에 부합하도록 관리·유지하고 이행하는지를 평가하는 것이다. 현재 국내 101개의 기업이 정보보호관리체계를 인증받은 바 있다.
 이번 농협 해킹 사건이 이 다른 금융기관에 재발되지 않기 위해서는 각종 통신 관련 로그 감사, 내부에서 외부로 전송되는 이메일 복사 및 저장, 웹 메일 사이트 사용 제한, P2P사이트 접근 제한, 세션별 트래픽 모니터링 및 직급, 업무 등 권한에 따른 데이터 접근 수준 차등 적용 등 내부자에 대한 권한 및 통제 등의 다양한 기술적 대책도 중요하다.
 그러나 이보다도 더욱 강조되어야 할 것은 전체 주요 금융기관의 전사적 관리체계의 의무 도입이 무엇보다도 필요하다. 현재 선택적인 관리 체계 인증 범위와 권고에 기반하여 운영되고 있는 관리체계를 전사적 범위와 의무적인 관리체계의 운영으로 변경할 필요성이 있으며, 관리감독기관은 관리체계가 적절히 작동하고 있는지를 상시 감독을 강화할 필요성이 있다. 또한 이러한 관리체계에 기반해 정보보호 조직과 예산의 대폭 증액, 이의 운영을 책임질 정보보호최고책임자(CSO)의 지정, 기숙적 대책의 강화도 필요하다. 이는 정보보호는 기술적 제품의 설치로 보안 목표를 달성할 수 없으며, 정보보호제품이 적절히 작동하게 만드는 관리 체계의 수립과 효과성을 담보하는 운영이 무엇보다도 중요하기 때문이다.
 이번 농협 사이버 테러는 관리적 대책의 부재가 얼마나 커다란 영향을 미치는지를 보여주는 대표적인 사례가 될 것이다. 이에 대한 대비를 국가적 차원의 대비가 필요한 시점이며, 그 시작은 정보보호관리체계의 강화에서부터 찾아야 할 것이다.
조수진 수습기자
조수진 수습기자

 ejaqh2@dankook.ac.kr


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.