[기획/보안강국을 위한 쓴소리-보안관제 현황 진단③]

보안관제는 네트워크상에 적용된 방화벽을 관제하면서부터 시작했습니다. 여기에 IDS/IPS(침입탐지/방지시스템), DDoS(분산서비스거부) 대응시스템, 웹방화벽 등으로 설치되는 보안시스템이 여러 종류로 늘면서, 다양한 솔루션에서 발생하는 이벤트와 로그를 실시간 수집, 통합관리, 분석해 침해사고·위협을 종합적으로 탐지하고 대응할 수 있도록 운영합니다.

현재 활용되고 있는 보안관제시스템은 이기종 보안시스템의 보안 이벤트와 로그를 취합해 중앙에서 분석·관리하는 ESM(통합보안관리)시스템과 IDS/IPS 등 침입탐지 센서를 기반으로 네트워크 트래픽의 이상징후와 위협요소를 조기에 탐지할 수 있도록 상태변화를 실시간 감시, 분석하는 TMS(위협관리시스템)이 있습니다.

보안관제를 위한 기본 솔루션인 ESM은 여러 보안장비의 관리 효율성을 제공할 뿐만 아니라 IT시스템 전반의 보안정책을 수립하도록 합니다. 보안장비에서 나타나는 정보에만 의존하게 되면 제로데이 공격과 같은 새로운 공격에 대응할 수 없고 지나치는 보안정보가 생겨나게 됩니다.

이 때문에 네트워크 트래픽 이상징후 등 네트워크 상태 변화를 민감하게 감지해 사이버공격을 탐지할 수 있도록 네트워크 트래픽 모니터링 및 분석 기능을 제공하는 TMS가 보안관제시스템을 보강하는 솔루션으로 활용되고 있습니다. TMS는 사이버공격을 탐지해 조기 예·경보체계를 구축할 수 있도록 기반을 제공합니다.

종합분석시스템은 각종 IT자산과 ESM 등에서 수집된 정보를 바탕으로 내·외부 위협정보를 자동으로 추출하고 보다 복합적으로 상관분석하도록 강화돼 있는 최상위 보안관제시스템이라 할 수 있습니다. 종합분석시스템의 가장 큰 특징은 현재의 위협상황 등을 대시보드 형태로 직관적으로 파악할 수 있도록 보여줍니다.

해외에서는 ESM, TMS, 종합분석시스템 등 여러 종류로 나뉘어 있지 않고 SIM(보안정보관리), SIEM(보안정보·이벤트관리)시스템아 포괄적인 통합관리·분석시스템으로 활용되고 있습니다. 

ESM, TMS, 종합분석시스템, SIEM 등과 같은 보안관제시스템을 잘 구축해 놨다고 해도 보안관제의 효용성이 무조건 발휘되는 것은 아닙니다. 인력 수준에 따라 탐지 그 자체와 위협여부 판단, 보안시스템 운영상태나 정책·임계치·경고 설정 등 실무업무에서 차이가 날 수 있기 때문에 결국 관제 품질이 좌우됩니다.

결국 보안관제에서의 문제는 기술측면 보다는 인력에 있다는 것이 전문가들의 공통된 지적입니다. 관제시스템을 통해 탐지된 기술을 이용하지만 결국 최종 판단은 전문인력이 하는 것이기 때문입니다.

더욱이 조직마다 필요한 보안시스템을 100% 완비할 수 없고, 예산과 상황에 맞춰 현실적으로 투자할 수밖에 없다는 점을 감안하면, 시스템상의 한계로 지적되는 한정된 관제 범위나 려진 공격 위주, 과다 탐지됐거나 잘못 탐지된 이벤트 등과 같은 문제나 부족한 점은 사람이 갖고 있는 전문성과 노하우로 해결해 나가고 채워지게 됩니다.

일단 기본 문제는 현재 보안관제 전문인력이 극히 부족하다는 데 있습니다. 보안관제 인력에 대한 인식이나 처우 개선도 시급하다고 지적됩니다. 보안관제 업무를 기피하게 되는 요인이 현재로선 많기 때문입니다.

24시간 365일 돌아가는 관제업무의 특성상 야근과 밤샘, 휴일근무 등 힘든 근무환경에서 보상이나 복지가 미진하고, 개인적인 성장 불확실성도 크기 때문에 경력이 쌓이면 이직이나 컨설팅 등 다른 업무로 전환하는 사례가 많다고 합니다. 

그러다보니 신입 등 경력이 부족한 초급인력이 관제에 투입되는 경우가 많아지겠지요. 심지어 “팔 다리만 달리면 뽑는다”는 식의 이야기까지도 나올 정도라네요. 이 경우 보안관제를 아웃소싱하거나 관제업무 담당자를 두고 있는 기업이나 기관에서도 만족하지 못합니다.

사고가 나면 “보안관제 요원들은 뭐했냐”고 하고, 아무 일이 일어나지 않을 때에는 또 보안관제 인력 투자비용을 아까워하며 “보안관제 인력을 둬야 하나”하는 말이 나옵니다.

변화가 수반되지 않는다면 계속 악순환 될 것입니다.

기본적인 네트워크와 서버, 웹 또는 보안 관련 기초지식만 있을 뿐 경험과 전문성이 크게 부족한 사람에게 중요한 자산을 침해하거나 마비, 탈취하려는 공격을 예방, 탐지하고 최전선에서 대응하는 역할을 맡긴다고 상상해보십시오. 결과는 뻔할 것입니다.

사실 보안관제를 보안위협을 종합적이고 체계적으로 관리하는 차원에서 보면 전문성은  매우 중요합니다.

관제 요원은 분석 능력을 갖춘 전문가라기보다는 단순 ‘운영’요원으로서 인식되는 측면이 있었다는 것이 업계의 이야기입니다. 그러다보니 관제 업무경력도 낮게 평가됩니다.

애초에 전문성을 검증할 수 있는 체계도 부재합니다. 현재 인력의 전문성을 교육프로그램 역시 꾸준히 지원되지 못하고 있는 상황입니다.

부족한 보안관제 전문인력을 전문가로서 인식하고 대우하는 것, 현실적인 처우개선은 시급하고도 중요한 과제로 인식됩니다.

보다 실효성 있는 보안관제가 이뤄지기 위해서는 기업과 기관에서 보안관리서비스와 보안아웃소싱에 대한 전문성을 인정해야줘야 합니다. 

공공분야에 정책적으로 보안관제 의무화 및 활성화 노력을 벌이고 있는데요. 정부에서부터 실천하는 것이 필요해 보입니다.

일례로 보안관제서비스 업체들에게 맡길 경우에도, 발주기관에서는 일반 IT 엔지니어 도입 단가를 통해 제안을 요청하고 있다고 합니다. 이 또한 최저가 입찰을 통해 인력을 수주 받고 있습니다. 업계에서는 적어도 관제 인력 및 서비스 단가를 소프트웨어 노임단가 수준만을 인정해줘도 상황은 나아질 것이라고 이야기합니다.

비단 보안관제만의 문제는 아닐 것입니다. 우리나라는 상시적인 보안서비스에 대한 인식이 척박합니다. 보안업계에서 쉽게 유지보수라 불리는 보안시스템 서비스 요율을 현실화하기 위해 꾸준히 노력했지만 이번 정부에서도 결국 무산되는 분위기입니다.

지속적인 업데이트 및 개선작업, 관리가 이뤄지지 않으면 아무리 훌륭한 보안시스템도 시간이 지나면 무용지물이 될 뿐입니다.   

때문에 전문가들은 보안강국이 되려면 사회와 기업·기관의 전반적인 보안 인식의 개선, 이에 따른 예산 및 투자 확대 노력이 절실하다고 목소리를 높이는 것입니다.

보안관제 서비스 및 인력단가가 현실화된다면 민간 업체들 주축의 인력 양성이나 교육, 회사 차원의 보안관제 요원에 대한 지원 역시 개선될 것으로 전망됩니다.

다양한 경로를 통해 들어오는 새로운 보안관련 이슈와 정보를 수집하고, 이러한 이슈를 분석해 관제에 적용하고, 또 파견관제 인력으로 해결이 어려운 사건·사고 발생시에도 신속하게 지원인력을 투입해 이슈를 보안관제 회사 차원에서 실시할 수 있다면 보안관제 수준을 높이는 대안이 될 수 있습니다. 

개개인의 전문성이 부족하더라도 서비스 회사 차원에서 실제로 발생한 공격 특성이나 대응 방식, 보안관제 서비스 노하우가 지식화돼 효과적으로 공유하고 전수할 체계가 마련된다면 보다 효과적으로 만들어갈 수 있을 것입니다.

2011/10/12 11:24 2011/10/12 11:24

2011년, 정보보호 분야에서 달라지는 제도는 무엇일까요?

개인정보보호법이 작년에 국회를 통과했다면 많은 변화가 있었겠지만 올해에는 그간 시행돼 왔던 정보통신망법 등 정보보호 법제도와 정책을 강화하는 차원입니다.

한국인터넷진흥원 e콜센터 118에서 공인인증서 분실신고를 할 수 있도록 제공하는 것 외에는 이미 알려진 내용들이지만, 한눈에 살펴볼 수 있도로 정리해보겠습니다.

개인정보의 기술적 관리적 보호조치 기준 고시 개정

개인정보 출력·복사물 보호 조치와 관련해 방송통신위원회가 2010년 12월 28일 의결한 사항입니다.

개인정보 출력·복사물 보호 조치 의무사항과 관련해 사업자들이 구체적인 보호조치 방식을 자율적으로 적용할 수 있도록 변경됩니다. 

현 규정은 개인정보 출력 복사물에 대해 개인정보관리책임자의 사전승인을 받고 일련번호, 목적, 담당자, 파기일, 파기 책임자 등 8가지 항목을 의무적으로 준수하도록 규정돼 있습니다.

이같은 규정은 사업자들이 현실적으로 준수하기 어려운 부분이 있다는 점을 감안해, 개인정보의 출력 복사물 보호조치 의무는 유지하되 구체적인 보호조치 방식에 대해서는 해당 사업자에게 자율성을 부여하도록 변경키로 했습니다. 이에 따라 사업자는 자사 환경에 적합한 보호조치를 적용할 수 있도록 개정해 부담을 덜 수 있을 것으로 보입니다.

정보통신망법상 준용사업자 개인정보보호조치 세부기준 고시

행정안전부는 2010년 12월 30일 '사업자의 개인정보보호조치 세부기준'을 제정 고시했습니다.

이는 백화점·학원·병원·부동산중개업 등 준용사업자가 개인정보 취급 시 반드시 준수해야 할 세부 보호조치 기준을 별도로 마련한 것으로, 개인정보 암호화, 보안프로그램 설치 등 기술적 분야와 내부관리계획 수립, 책임자 지정 등 관리적 분야를 포함해 총 10개 항목으로 구성돼 있습니다.

특히, 부동산중개업과 같은 소상공인과 대기업이 처한 상황을 고려했고, 실태점검을 통해 확인된 업종별 특성을 반영해 보다 쉽게 사업자들이 개인정보보호조치 기준을 이행할 수 있다고 행정안전부와 한국인터넷진흥원(KISA)는 설명했습니다.

이번 기준 고시로 기존의 '개인정보의 기술적·관리적 보호조치 기준(방통위 고시)'는 앞으로 정보통신서비스 제공자만을 대상을 하게 됩니다.
 
e
콜센터 118, 공인인증서 분실신고 가능

1월 31일부터 공인인증서를 분실할 경우 한국인터넷진흥원(KISA)이 운영하는 e콜센터 118 전화로 신고할 수 있습니다.

KISA는 5개 공인인증기관과 공인인증서 분실신고를 연동해 가입자들이 지역번호 없이 전국 어디서나 118로 전화하면 심야 시간대 등 업무시간 이후에도 공인인증서 분실신고를 접수해 공인인증서 효력정지나 폐지 처리할 예정입니다.

이에 따라 가입자 본인이 공인인증서 분실 시, 발급받은 공인인증기관을 알지 못하거나 공인인증기관 업무시간 이외에도 신속하게 신고 처리할 수 있어, 공인인증서 도용과 같은 사고 예방에 도움이 될 것으로 전망됩니다.

4월부터 안전성 강화된 신규 공인인증서 발급

공인인증서 안전성을 강화하기 위해 전자서명키를 1024비트에서 2048비트로 상향하고 해쉬 알고리즘도 SHA-1에서 SHA-256으로 교체한 신규 인증서가 4월 1일부터 발급됩니다.

이같은 암호체계 고도화로 2030년까지 공인인증서를 안전하게 이용할 수 있는 기술적 기반이 마련됩니다.

기존에 발급받은 공인인증서는 교체없이 유효기간 만료일까지 사용할 수 있으며, 신규 공인인증서를 보안토큰 등 보안 매체와 함께 사용하면 인증서 유효기간이 1년에서 2년으로 확대할 수 있습니다.

이밖에도 개인정보보호관리체계(PIMS) 인증이 올해부터 본격 시행됩니다.

PIMS는 기업이 고객 개인정보를 안전하게 수집 이용하기 위해 구축 운영하는 관리체계의 적합성을 검증해 일정 수준 이상의 기업에 인증을 부여하는 것으로, 인증 기업은 고객정보를 안전하게 관리하는 기업이라는 이미지를 제고할 수 있습니다.


2011/01/03 16:39 2011/01/03 16:39

20일 김을동 의원(미래희망연대) 주최로 ‘스마트그리드 보안 현황과 정책방향’을 논의하는 전문가 간담회가 국회에서 열렸습니다. (관련기사)

현재 정부는 저탄소 녹색성장을 위한 핵심 국정과제로 지능형 전력망인 ‘스마트그리드’를 선정, 연초 스마트그리드 국가로드맵(5개년 계획)을 확정하고 제주에서 스마트그리드 실증단지 사업을 활발히 추진하고 있습니다.

아직은 초기단계이지만 기존 전력공급체계에 ICT 기술이 결합된 지능형 전력망 구축에서 보안대책이 수립돼야 한다는 점은 누구나 공감하고 있습니다.

‘전력’이 아주 중요한 국가기간시설이라는 점에서 만일 사이버공격이나 보안위협에 노출될 경우 국가 존립 자체를 뒤흔들 수 있는 파장을 불러올 수 있기 때문에 스마트그리드 구축에서 보안은 필수적이고도 중요한 요소로 떠올랐습니다.

지식경제부가 내놓은 스마트그리드 국가로드맵과 현재 활발히 추진되는 제주 스마트그리드 실증단지 사업에서도 적합한 보안체계 구축을 위한 사업이 추진되고 있습니다. 

이날 열린 전문가 간담회에서도 앞으로 국가 차원의 스마트그리드 보안을 위한 정책 방향을 그리기 위해 현재 추진되는 관련 보안 현황과 향후 과제, 이슈 등이 발표되고 논의됐습니다.

한 꼭지의 기사로 처리하기에는 방대하고 각 분야 전문가들이 현재 추진되는 스마트그리드 보안 내용과 함께 여러 중요한 의견을 내주셨기 때문에, 이날 간담회에서 발표된 내용을 중심으로 최대한 담을 수 있도록 소개해보려고 합니다.

먼저, 이재일 한국인터넷진흥원 인터넷융합단장의 ‘스마트그리드 보안현황과 정책방향’ 주제발표부터 시작하겠습니다.

- 스마트그리드 보안 이슈

전력망과 인터넷이 연계되는 스마트그리드는 인터넷의 내재적인 취약성으로 인해 외부의 공격 위협에 노출될 가능성이 존재한다.

가장 큰 위협은 전력공급이 중단되는 것으로, 스마트그리드의 통제권이 해커에게 넘어갈 경우엔 전력공급 차단을 넘어선 다양한 사회 인프라 공격으로 확대될 가능성이 있다.

또한 소비자의 전력 사용에 대한 상세정보가 자동으로 양방향 전송됨에 따라 개인정보유출 가능성이 확대된다. 소비자 불만을 해소하기 위해서는 스마트그리드 개인정보유출 우려 등을 해소해야 한다. 전력 이용정보 유출 시에는 개인의 프라이버시가 침해당할 위험성이 나타난다.

소비자의 전력사용 통제권도 상실된다는 문제도 있는데, 전력회사에서 전력수요가 높은 시간대에 소비자 의사와는 별개로 개별 스마트 전자제품의 전력공급을 제어할 수 있기 때문이다. 또한 비정상적인 외부 통제에 의해 소비자가 전력을 자유롭게 사용하지 못한다는 위협도 발생할 수 있다.

특히, 스마트기기의 전력사용량을 모니터링·통제하는 전력 및 중앙관제 시스템에 대한 사이버 테러는 전력공급 차단 등의 전력 통제권 상실로 직결될 개연성이 존재한다.

- 스마트그리드의 기술적 보안

가정용 단말장비에 대한 이용자 인증 및 전력인증이 유무선 환경에서 동시에 수행됨에 따라 상호호환성 문제나 무선기술(와이파이) 보안취약성이 발생할 수 있다.

따라서 소비자 및 스마트기기 인증을 위한 인증시스템이 필요하고, 스마트기기에서의 과도한 개인정보 수집을 최소화할 수 있는 필터링 기술, 무선랜 보안기술(보안설정 강화)이 필요하다.

전력사용량을 측정해 해당 정보를 송수신할 수 있는 전자적계량기인 스마트미터는 전력사용자의 외부통신망과 내부통신망 연결접점으로, 해킹이나 웜바이러스, DDoS 등 공격 타깃이 될 가능성이 높다.

따라서 스마트미터 자체의 취약성을 보완해 외부공격에 대응할 수 있는 보안칩이나 안티바이러스 연구 등이 필요하며, 통신구간 개인정보의 암호화 전송으로 개인정보 유출 가능성을 제거해야 한다. 스마트미터에 대한 접근통제를 위한 물리적 시건장치, 인증 및 로그관리 기술 등도 필요하다.

가정의 전력 사용정보를 제공에 이용되는 가정의 통신망과 전력사업자의 데이터 전송구간인 통신망(WAN) 구간은 전통적인 유무선 통신기술에 내재된 취약성과 해킹공격 등에 노출될 수 있다.

이를 위해 VPN 등을 통한 암호화 통신, 상황관제 및 통합보안관리체계 구축, 전력선 기반 통신의 셀간 위협 차단을 위한 기술 개발이 필요하다.

전력인프라 보안을 위해 송·배전 시스템의 취약성을 보완하기 위한 하드웨어 및 소프트웨어 보안성 평가가 필수적이며, 현재 정보통신기반시설을 추가해야 하고, 이를 위한 기반시설 취약성 분석, 평가기준을 마련해야 한다.

고객정보가 한곳으로 모이기 때문에 대량의 데이터관리 기술도 필요하다.

- 스마트그리드 관련 정보보호 법제도

스마트그리드 정보보호 관련 사항은 기존의 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)과 정보통신기반보호법을 활용해야 한다. 필요 시 이같은 기존 법안을 확대 적용하도록 해 향후 등장할 다양한 IT융복합 서비스를 포함할 수 있도록 검토해야 한다. 

유비쿼터스 도시의 건설 등에 관한 법률은 U-시티의 정보보호를 위해 정보통신망법과 정보통신기반보호법 등 현행 정보보호 관련 법률을 활용한 바 있다.

전력설비 상태감시/관리시스템인 송변전 SCADA시스템, 배전자동화시스템, 전력계통운영시스템 등은 현재 정보통신기반보호법상 기반시설로 지정, 관리되고 있다.

향후 스마트그리드 활성화를 위한 특별법 제정시에는 이같은 정보보호 관련법과의 관계를 고려해 입법 검토해야 한다.

스마트그리드 보안정책 방향은 아래 슬라이드를 참고하세요.

사용자 삽입 이미지

사용자 삽입 이미지

 

2010/04/21 09:00 2010/04/21 09:00


한국인터넷진흥원(KISA) 인터넷침해대응센터에서 매월 발간하는 '인터넷 침해사고 동향 및 분석월보(8월호)'입니다.

지난주에 발간됐지만 안보신 분들은 참고하세요.

저는 이달 특집으로 다룬 '웹서버 호스트 설정 미흡으로 인한 사칭 사고 가능성 분석'을 열심히 봤습니다. (관련기사 - 웹서버 호스트 설정 미흡, ‘피싱’ 사고 부른다)
 
이 보고서에 따르면, 지난달 웜, 바이러스 등 악성코드 피해신고는 미미하지만 7월보다 감소했네요.

그에 비해 해킹신고 처리건수는 증가했습니다. 그중에서 홈페이지 변조는 무려 306%나 늘어났습니다. 피싱경유지 사고도 7월 대비 2배 이상 늘어났습니다.

파일 첨부

.

2009/09/27 21:05 2009/09/27 21:05
- 보육시설 설치, 내년 1월 오픈

30대 여성원장이 취임하면서 화제를 모았던 한국인터넷진흥원이 보육시설을 설치한다. 

10월 초부터 송파구 가락동 신청사(대동빌딩) 건물 3층에 70여명의 아이들을 수용할 수 있는 규모로 보육시설 건립 공사에 들어가, 내년 1월 초 오픈한다는 계획이다.

한국정보보호진흥원(KISA), 한국인터넷진흥원(NIDA), 정보통신국제협력진흥원(KIICA)이 통합해 지난 7월 공식 출범한 한국인터넷진흥원(KISA)은 500명 이상의 최대 IT산하기관이다.

인 원규모 500명이 넘으면 보육시설 설립이 가능하다지만 미리 예정돼 있지 않았던 만큼 신속한 예산 확보가 쉽지만은 않았을 것이다. 이렇게 신속하게 보육시설이 만들어지다니 놀라울 따름이다. 안팎의 노력과 지원이 있지 않았다면 어려웠을 일이다.

보 육시설은 합쳐진 세 기관 중 가장 많은 인력이 합류한 한국정보보호진흥원 시절부터 추진됐었다. 보육시설 건립을 추진했던 황중연 전 원장은 퇴임 때 직원들에게 이를 이루지 못해 아쉽고 미안하게 생각한다고 언급했던 것으로 알고 있다.

또한 한국정보보호진흥원은 팀장급 이상 직급에 여성이 한 명도 없어, 항상 산하기관 평가에서 평균점수를 갉아먹기도 했다.

그런 면에서 최초의 여성 원장, 김희정 원장의 취임은 상징적인 의미가 크다.

원장 취임 직전, KISA에서 가장 먼저 추진한 것이 화장실 공사라는 이야기도 들었다. 현재 IT벤처타워에 있는 원장실에는 남자변기밖에 없어 화장실을 새로 고쳤고, 옮겨가는 신청사에도 당연히 여성화장실을 만든다는 것이다.

더욱이 김희정 원장은 취임 직전 출산해 산후조리 중에 취임했다. 김 원장이 KISA가 마련되는 보육시설을 직접 이용할지는 알 수 없으나 KISA에 보육시설이 이렇게 빨리 생긴다는 것은 의미가 크다.

얼마 전 KISA를 방문했던 김형오 국회의장도 여성 직원을 위한 보육시설 설치를 강조를 했던 것으로 기억한다.

여성의 사회진출이 과거에 비해 엄청 늘어났고, 여성의 활약상이 각계에서 두드러지고 있어도 아직까지 여성의 사회생활은 어려운 점이 한 두 가지가 아니다.

주변에서만 봐도 여전히 아이를 낳고 키우는 몫은 아빠보다 엄마한테 무게가 크게 쏠리는 것이 사실이다.

엄마가 능력이 충분하고 일을 하고 싶어도 상황이 안 된다면 여건 상 아빠보다는 엄마가 포기하도록 강요받는 것이 현실이다. (심각하게 떨어지고 있는 우리나라 출산율에도 영향을 미친다.)

그렇다면 결국 국가에서 사회적으로 이 문제를 해결할 수 있도록 함께 책임져야 한다. 보육시설을 늘리는 것이 한 예일 것이다. 국가에서 운영하는 보육시설을 거점별로 설치하고, 기업마다 보육시설을 설치하도록 이끄는 방안 말이다.

이 번 KISA의 보육시설 신설을 계기로 앞으로 KISA가 여성인력이 능력을 마음껏 발휘할 수 있게 일하는 여건이 보다 개선되고 지위도 향상되며, 여성복지도 크게 개선되길 기대한다. 산하기관 중 가장 선진적인 모습을 보여줘, 다른 산하·공공기관으로 그 귀감이 확산되길 더욱 바란다. 

*** 현재 KISA 직원 수는 520명 정도로 여성인력은 31%(160여명)를 차지하고 있다. KISA는 현재 보육시설을 가진 산하기관을 찾기 어려운만큼 주변의 다른 산하기관 직원들도 보육시설을 이용할 수 있도록 개방한다는 방침이다.

2009/09/21 09:24 2009/09/21 09:24