사용자 삽입 이미지

국가정보원 IT보안인증사무국이 새해 들어 국가기관에 도입되는 정보보호 제품 등에 적용해온 보안성 검증제도를 대폭 흔들었습니다. (관련기사)

이번 변경으로 우리나라 정보보호 제품 평가·인증, 보안적합성검증제도는 사실상 지난 2006년 5월 공통평가기준상호인정협정(CCRA)에 우리나라가 가입하기 이전 상황으로 돌아갔습니다.

정보보호제품 인증기관인 국가정보원과 당시 평가정책 주무부처였던 정보통신부는 지난 2004년 9월 CCRA 가입 신청을 한 뒤, 2005년 5월에 정보보호 제품 평가·인증제도를 CC로 일원화한다는 방침을 수립했습니다. 평가대상도 방화벽, 침입탐지시스템, 운영체제보안솔루션 등 6종에서 정보보호 제품 전체로 확대했습니다.

물론 CCRA 가입으로 인한 평가적체와 혼란, 업계의 부담이 가중되면서 지난 2009년까지 꾸준히 이같은 문제를 해소하기 위해 정보보호 제품 평가인증제도와 국가기관 도입절차를 손질해 왔습니다. 그 과정에서 해외에서는 인정되지 않는 ‘국내용 CC’란 제도도 생겼지요.

그런 측면에서 이번 국정원의 ‘보안적합성 검증제도 개선’은 그 완결판이라고 할 수 있겠습니다.

제도가 계속 변경되면서 정보보호 제품의 국가기관 도입 절차가 한층 간소해지고, 업계의 부담이 한층 덜어지게 된 것이 사실입니다.

이번에 평가대상으로 지정된 25개 정보보호 제품 중 스마트카드만 제외하면 EAL(평가보증등급)2 등급의 CC인증을 받으면 국가기관에 납품할 수 있습니다. 예전에는 비교적 높은 등급인 EAL3+, EAL4가 기준이었고, 2008년에 대거 한단계씩 낮춰 업체들을 평가제출물을 간소화시켰습니다. 이제는 EAL2가 기준이 됐습니다.

또 국내용 CC인증이나 암호검증을 받은 정보보호 제품은 국가기관에 설치된 후에 보안적합성 검증을 다시 받을 필요가 없게 됐습니다. 보안적합성 검증도 제품마다 딱 한번만 받으면 됩니다.

이번 제도 변화가 효율성과 편의성 측면에서는 긍정적일 수 있겠습니다. 그러나 장기적으로 정보보호 산업계와 국가 정보보호 수준제고에 어떤 좋고 나쁜 영향을 미칠지는 의문입니다.

현재 시점에서는 사실 CCRA 가입을 준비하면서 5년 전에 엄청난 혼란을 겪으며 제도를 전혀 새롭게 바꿨던 과정이 의미 없게 느껴지기도 합니다.

CCRA 가입과 CC 평가인증제도 시행에 관해 국가정보원은 “국제수준에 부합한 평가체계를 갖추게 된 것”이라는 의미를 부여했었습니다. 글로벌 수준에 맞는 평가체계 운영으로 정보보호 제품의 품질과 안전성을 더욱 높임으로써 결과적으로 산업 경쟁력과 활성화를 높일 수 있게 될 것이라는 겁니다. 당연히 수출에도 도움이 될 것이고 그 평가체계를 기반으로 안전성과 신뢰성을 확보한 정보보호 제품을 쓰는 국가기관의 보안수준을 높이는 데에도 큰 역할을 할 것이란 논리를 갖고 있었습니다.

국내용 CC를 만들어 평가·인증제도를 이원화하는 것을 기점으로 계속된 제도 변화는 여러 면에서 국정원 스스로 CCRA 가입 취지를 무색하게 만들었고 제도의 정합성을 잃어버리고 있다고 평가합니다.

국내용 CC의 평가방식은 갈수록 ‘진짜’ CC와 멀어지고 있다는 점을 업계의 인증담당자들도 인정하고 있습니다.

작년에도 정보보호 제품 평가기관을 담당하는 한국인터넷진흥원(KISA)에서 평가방식을 변경해 한단계 더 앞으로 나아갔었지요. 제출문서 평가는 대폭 간소화하고 취약점 점검 중심으로 변화됐습니다. (관련기사 정보보호 제품 국내용 CC평가 수수료 줄인다, KISA, 정보보안 제품 평가제도 변경 추진)

이번에는 더 심해졌습니다.

국내용 CC와 국가용 암호제품은 이제 보안적합성 검증을 받지 않아도 된답니다. ‘국내용이 아닌’ CC를 받은 제품은 보안적합성 검증을 받아야 한다는 의미가 숨겨져 있는 것으로 풀이됩니다. 외산 제품들은 받아야 한다는 것이겠죠.

또 국내용 CC가 만들어진 후, 가뜩이나 국산 제품들은 국내용 CC만 받고 있는데요. 이 정책 때문에 보안적합성 검증을 한번 더 거치지 않기 위해서라도 업체들은 국내용 CC를 받고자 할 것입니다.

지금까지 ‘수출’과 CC 제도와는 아무런 연관성이 없었다는 의미로도 해석될 수 있겠습니다.

한가지 더 의아한 점이 있습니다. 보안적합성 검증제도 변화와 관련한 점인데요. 국정원은 이번에 1년 반 전에 폐지했던 검증필 제품목록을 부활시켰습니다.

지난 2008년 6월부터 ‘선 도입 후 검증’정책을 시행하면서 국정원은 보안적합성 검증은 ‘운용상 잠재할 수 있는 보안취약점을 개선하는 절차’로 운영해 왔습니다.

CC인증 제품에 한 해 국가기관이 제품을 도입할 수 있도록 하고, 해당 제품이 설치된 운영환경 전체를 검증을 신청토록 바꿨던 방침을 이번에 전면 수정한 것입니다. 다시 제품별 검증체계로 돌아왔습니다. 그렇다면 앞으로는 국내용 CC 대상 25개 제품이 아니거나 국가암호제품으로 등재되지 않는 제품은 도입 전에 제품별로 보안적합성 검증을 받아야 하는 걸까요?

그렇다면 앞으로는 국가기관에서 나타날 수 있는 운용상의 취약점 점검은 시행하지 않는 것인가요?

국정원 IT보안인증사무국은 좀 더 명확하고 구체적인 절차를 내놓을 필요가 있습니다.

사실 국정원의 보안성 검증 관련제도는 이전에도 일관성 없는 정책이 도마에 올랐었습니다. 가까운 일은 지난 2009년 7월 7일부터 3일 간, 7.7 DDoS(분산서비스거부) 공격 사고가 발생한 뒤에 DDoS 대책을 수립하면서 DDoS 대응 장비에 적용했던 ‘별도지정’제도 때문이었습니다. (참고하세요) 그 별도지정 제도도 이번에 폐지했습니다.

이번 건으로 또 다시 일관성 없는 정책을 운영하고 있다는 비판이 제기될만합니다.

성균관대 김승주 교수도 같은 문제를 지적합니다. 국정원이 일관성 없이, 예측 가능하지 않게 정보보호 제품 평가·인증 제도를 운영하고 있다는 점입니다. 앞서 쓴 기사에 언급한 내용입니다.

성균관대 김승주 교수는 “정부가 제도를 만들고 운영할 때에는 일관성과 예측가능성이 중요한데, CC 등 정보보호 제품 보안성검증제도는 이 두가지 기본원칙이 전혀 지켜지지 않고 있다”며, “이번에 변경한 제도는 국가기관의 보안이라는 당초 운영 취지보다는 업계의 편의성과 부담을 해소하는 것에 맞춰졌지만, 오히려 시장을 교란할 수 있다”고 지적했다.

김 교수는 “처음 CC제도를 시행하면서 대상 제품을 6개로 운영해오다 IT 전 제품으로 확대했다 이번에 다시 25개 정보보호 제품으로 한정했다. 기본적으로 일관성에 문제가 있다”고 말했습니다.

이어서 “향후 국정원은 CC 대상을 추가할 수 있다고만 밝혔는데, 현재 존재하지 않은 신기술을 개발했거나 새로운 사업을 할 경우엔 어떤 제도를 따라야 하는지 모를 수 있다”고 덧붙였습니다.

보안적합성 검증에 대해서도 김 교수는 “보안적합성 검증제 운영 취지는 국가기관의 보안성이지, 업계의 편의성을 봐주는데 있는 것이 아니다”라고 일침을 가했습니다. 더불어 “공공기관의 모바일 업무환경 도입에는 보안을 문제로 완강한 입장을 보이는 국정원이 맞지 않은 모습을 보이고 있다”며, 사안별 방침에 대한 일관성 부족도 지적했습니다.

무엇보다 김 교수는 “정보보호 제품 평가·인증 제도는 예전 그대로 돌아왔다”고 일갈했습니다.

작년 G20 의장국 지위를 가졌던 우리나라, 한·미 FTA 한·EU FTA 체결에 적극적으로 나서면서 글로벌 위상, 해외 수출에 힘쏟는 우리나라가 이 문제도 진지하게 고민해봐야 하지 않을까요...?


2011/01/21 16:44 2011/01/21 16:44

2011년, 정보보호 분야에서 달라지는 제도는 무엇일까요?

개인정보보호법이 작년에 국회를 통과했다면 많은 변화가 있었겠지만 올해에는 그간 시행돼 왔던 정보통신망법 등 정보보호 법제도와 정책을 강화하는 차원입니다.

한국인터넷진흥원 e콜센터 118에서 공인인증서 분실신고를 할 수 있도록 제공하는 것 외에는 이미 알려진 내용들이지만, 한눈에 살펴볼 수 있도로 정리해보겠습니다.

개인정보의 기술적 관리적 보호조치 기준 고시 개정

개인정보 출력·복사물 보호 조치와 관련해 방송통신위원회가 2010년 12월 28일 의결한 사항입니다.

개인정보 출력·복사물 보호 조치 의무사항과 관련해 사업자들이 구체적인 보호조치 방식을 자율적으로 적용할 수 있도록 변경됩니다. 

현 규정은 개인정보 출력 복사물에 대해 개인정보관리책임자의 사전승인을 받고 일련번호, 목적, 담당자, 파기일, 파기 책임자 등 8가지 항목을 의무적으로 준수하도록 규정돼 있습니다.

이같은 규정은 사업자들이 현실적으로 준수하기 어려운 부분이 있다는 점을 감안해, 개인정보의 출력 복사물 보호조치 의무는 유지하되 구체적인 보호조치 방식에 대해서는 해당 사업자에게 자율성을 부여하도록 변경키로 했습니다. 이에 따라 사업자는 자사 환경에 적합한 보호조치를 적용할 수 있도록 개정해 부담을 덜 수 있을 것으로 보입니다.

정보통신망법상 준용사업자 개인정보보호조치 세부기준 고시

행정안전부는 2010년 12월 30일 '사업자의 개인정보보호조치 세부기준'을 제정 고시했습니다.

이는 백화점·학원·병원·부동산중개업 등 준용사업자가 개인정보 취급 시 반드시 준수해야 할 세부 보호조치 기준을 별도로 마련한 것으로, 개인정보 암호화, 보안프로그램 설치 등 기술적 분야와 내부관리계획 수립, 책임자 지정 등 관리적 분야를 포함해 총 10개 항목으로 구성돼 있습니다.

특히, 부동산중개업과 같은 소상공인과 대기업이 처한 상황을 고려했고, 실태점검을 통해 확인된 업종별 특성을 반영해 보다 쉽게 사업자들이 개인정보보호조치 기준을 이행할 수 있다고 행정안전부와 한국인터넷진흥원(KISA)는 설명했습니다.

이번 기준 고시로 기존의 '개인정보의 기술적·관리적 보호조치 기준(방통위 고시)'는 앞으로 정보통신서비스 제공자만을 대상을 하게 됩니다.
 
e
콜센터 118, 공인인증서 분실신고 가능

1월 31일부터 공인인증서를 분실할 경우 한국인터넷진흥원(KISA)이 운영하는 e콜센터 118 전화로 신고할 수 있습니다.

KISA는 5개 공인인증기관과 공인인증서 분실신고를 연동해 가입자들이 지역번호 없이 전국 어디서나 118로 전화하면 심야 시간대 등 업무시간 이후에도 공인인증서 분실신고를 접수해 공인인증서 효력정지나 폐지 처리할 예정입니다.

이에 따라 가입자 본인이 공인인증서 분실 시, 발급받은 공인인증기관을 알지 못하거나 공인인증기관 업무시간 이외에도 신속하게 신고 처리할 수 있어, 공인인증서 도용과 같은 사고 예방에 도움이 될 것으로 전망됩니다.

4월부터 안전성 강화된 신규 공인인증서 발급

공인인증서 안전성을 강화하기 위해 전자서명키를 1024비트에서 2048비트로 상향하고 해쉬 알고리즘도 SHA-1에서 SHA-256으로 교체한 신규 인증서가 4월 1일부터 발급됩니다.

이같은 암호체계 고도화로 2030년까지 공인인증서를 안전하게 이용할 수 있는 기술적 기반이 마련됩니다.

기존에 발급받은 공인인증서는 교체없이 유효기간 만료일까지 사용할 수 있으며, 신규 공인인증서를 보안토큰 등 보안 매체와 함께 사용하면 인증서 유효기간이 1년에서 2년으로 확대할 수 있습니다.

이밖에도 개인정보보호관리체계(PIMS) 인증이 올해부터 본격 시행됩니다.

PIMS는 기업이 고객 개인정보를 안전하게 수집 이용하기 위해 구축 운영하는 관리체계의 적합성을 검증해 일정 수준 이상의 기업에 인증을 부여하는 것으로, 인증 기업은 고객정보를 안전하게 관리하는 기업이라는 이미지를 제고할 수 있습니다.


2011/01/03 16:39 2011/01/03 16:39

방송통신위원회가 국민의 정보보호 인식제고를 위해 정보보호 홍보 TV방송을 시작합니다.

작년 7.7 분산서비스거부(DDoS) 공격 사태를 거치면서 이용자들의 PC보안 인식과 보안생활화가 아주 중요하게 부각된 것이 계기가 됐습니다.

이번 7월에도 작년에 치료되지 않은 좀비PC가 주요 국가기관, 은행, 포털 등의 웹사이트에 DDoS 공격을 가했었죠. 

방송통신위원회는 지상파 TV(KBS, MBC, SBS)와 보도전문채널(YTN, MBN)을 통해 평시엔 사이버침해 유형, 안전한 PC 이용방법, 악성코드 감염 방지 요령 등 정보보호 실천수칙을, 비상시에는 사이버침해 관련 상황과 대국민 행동요령을 신속히 전파한다는 계획입니다.

우선은 정보보호의 중요성을 알리기 위한 캠페인방송, 시사/교양정보 프로그램, 다큐멘터리 등의 형태로 시작될 예정입니다. 

원래는 TV 뉴스에서 제공하는 일기예보처럼 매일 국민들이 알아야 하는 정보보호 동향이나 사이버위협, 조치방안 등을 알려주는 형태로 기획이 됐었던 것으로 알고 있었습니다만, 아무래도 사회적으로 심각한 파급력을 주는 사이버공격은 예기치 않게 생겨 그런지 예보 보다는 홍보방송 형태가 되는 것 같습니다.

래도 1.25 인터넷대란이나 전자금융거래 관련 보안사고, 7.7 DDoS 공격, 대규모 개인정보유출 사고처럼 큰 사건이 나지 않는 이상, 평소에 TV방송에서 정보보호를 이슈로 집중적으로 다뤄지진 않았던 점을 생각하면 고무적입니다.

일단 시작할 방송사별 프로그램입니다.

사용자 삽입 이미지

앞으로 시청자들뿐 아니라 특히, 정보보호 전문가 등 관계자분들이 관심있게 살펴보고 방송사와 방송통신위원회, 한국인터넷진흥원에 의견을 적극적으로 개진하는 것이 중요할 것 같습니다.


 

2010/07/14 13:35 2010/07/14 13:35

13일 청와대가 발표한 수석급 인사 명단에 김희정 한국인터넷진흥원(KISA) 원장이 올랐습니다. <관련기사 김희정 KISA 원장, 청와대 대변인 내정, KISA, 당분간 원장 직무대행체제…신임원장 공모 진행 예정>

김 원장은 작년 7월 23일 출범한 통합 한국인터넷진흥원 초대원장 자리를 물러나 청와대 대변인으로 옮기게 됩니다.

원장 임기 3년 중 1년도 다 채우지 못하고 가게 됐습니다. 이제는 인터넷진흥원 ‘원장’이 아니라 청와대 ‘대변인 내정자’로 불러야겠습니다.

이번 인사까지 포함해 김 대변인 내정자는 이제 항상 화제를 몰고 다니는 인물이 되고 있군요.

서른세살의 나이로 17대 한나라당 국회의원이 됐을 때에는 최연소 당선자였던 것을 비롯해 작년에 한국정보보호진흥원, 한국인터넷진흥원, 정보통신국제협력진흥원이 통합해 출범하는 거대 정부의 IT산하기관 초대원장으로 최초의 여성원장, 가장 젊은원장이 됐습니다.

젊은 나이와 경험, ‘한나라당’ 국회의원 출신이란 점이 더해져 원장 선임과 취임까지 많은 우려와 함께 뒷말도 많았었습니다. 이번에도 김 원장의 청와대 인선을 두고 결국은 한국인터넷진흥원장직이 경력을 잠깐 만들어 주기 위해 활용됐다는 식의 이야기도 물론 나오고 있습니다.

그러나 김 원장의 지난 1년간의 평가는 대체로 좋습니다. 기관 통합작업을 성공적으로 수행했고, 국회의원 출신으로 인터넷진흥원 위상을 높이는데도 상당히 기여했다고 평가됩니다. 대국민 정보보호 인식제고 등에서도 아주 열정적이고도 두드러진 활동을 보였습니다.

특히, 그가 가진 뛰어난 언변을 보면 앞으로 청와대에서 맡을 ‘대변인’의 역할을 잘 해낼 수 있을 것으로 보입니다.

가장 문제는 출범 1년도 안돼 한국인터넷진흥원 원장직에 공백이 생기게 됐다는 점입니다.

한국인터넷진흥원은 최근 직급 및 임금체계 일원화까지 마치면서 출범 당시 가장 핵심과제였던 ‘통합’의 한고비는 넘겼지만, 현실적으로 신임원장 공모와 선출에 소요되는 두세달 정도의 공백기간, 그리고 향후 성향이 다른 신임원장과 조직원의 적응기간이 필요해 앞으로 어떤 영향을 미치게 될지 아무도 모르는 상태입니다.

현정부에서 챙겨야 할 사람의 자리를 봐주는식과 같은 합리적이지 못한 인선이 된다면 상황은 아주 나빠질 것입니다. 

사실 김 내정자가 원장임기 3년을 채울 것이란 생각은 안했습니다. 저뿐 아니라 많은 분들이 정치인 출신인 김 원장이 당연히 다음 국회의원 선거에 출마할 것이라고 예상을 했을 겁니다.

3년의 임기는 아니더라도 2년 가까이는 채울 수 있지 않을까 싶었는데요. 11개월 반은 너무 이르긴 합니다.

어찌됐든 나라에서 더 큰일에 쓰겠다고 부르니, 응해야겠지요.

김 내정자도 이러저러한 면에서 부담이 되는 듯, 트윗터에 이런 글을 남겼습니다.

사용자 삽입 이미지


“정말 긴 하루가 지나고 있습니다. 이제 더 긴여정을 가려합니다. 두렵고 설레이고 무겁고..... 함께 해주는 친구가 많았으면 합니다. 함께라면 어떤 길이라도 헤쳐갈 수 있는 그런 친구. 그런 친구가 되어 주실거죠?”

그리고 이런 글도 남겼습니다. “트윗 친구분들 중에 보안하시는 분들 많으시죠. 푸른지붕집에 정보보호를 잘 이해하고 전파시키려는 사람 한 명이 더 생겼다고 생각하고 저 응원 좀 해주세요. 이제 좀비PC 척결과 정보보호는 홍보수석실에서부터 많이 많이 전파해야죠.”

보안하는 사람들이 혹시라도 힘이 빠질까봐서일까요? 아니면 힘주기 위해서였을까요?

원장 자리를 떠나 청와대 대변인으로 가더라도 정보보호 인식제고와 관련정책에 계속 매진하겠다는 스스로의 의지를 더욱 다지고 명분도 얻고자 함이었을까요...

개인적으로는 보안인들을 생각하는 마음과 의지의 표현이 모두 함께 담겼다는 긍적적인 생각이 듭니다.

한국인터넷진흥원장으로 있으면서 했던 경험과 지식, 마음이 이후 청와대와 향후 (가능하다면)국회에서의 활동에서 더욱 빛나게 발휘되길 바랍니다.




 

2010/07/14 10:13 2010/07/14 10:13

행정안전부와 한국인터넷진흥원이 조달청을 통해 30개 기관이 제공하는 전자정부 서비스에 정보보호관리체계를 적용하는 G-ISMS 인증 컨설팅 사업을 최근 발주했습니다. (관련기사)

추정 사업규모(예산) 12억원으로, 정보보호컨설팅 사업으로는 역대 최대규모로 꼽힙니다.

물론 경영·IT컨설팅 등 다른 분야 컨설팅 사업과 비교하면 우스운 규모 수준이겠지만, ‘이젠 단일 정보보호컨설팅 사업도 10억원이 넘는 규모로 진행될 만큼 중요해지고 있구나.’라는 생각이 들 정도 입니다.

이 사업은 전자정부 정보보호 수준제고를 목표로 중앙행정기관과 그 소속기관, 광역·기초자치단체, 국공립 대학이 제공하는 30개 서비스를 대상으로 합니다.

그런데 이 사업은 유찰됐습니다. 지식정보보안컨설팅 전문업체들 아무도 이 사업에 참여하지 않았기 때문입니다.

보통 대규모 사업이 나오면 당연히 업체들이 너도 나도 참여해 수주전을 펼칠 것으로 예상했는데요. 의외입니다.

관련업계에서는 당연히 이 사업에 정말 참여하고 싶지만 현실적으로 참여하기 어려운 사업이라고 입을 모으고 있습니다.

그 이유는 입찰 제안조건이 아주 까다롭기 때문입니다.

정부의 정보보호컨설팅 사업 입찰은 일단 '지식정보보안컨설팅 전문업체'로 지정받은 업체만 참여할 수 있도록 돼 있습니다.

현재 전문업체는 롯데정보통신, 시큐아이닷컴, 안철수연구소, 에이쓰리시큐리티, 인젠, 인포섹, STG시큐리티 7곳입니다.

이 중에서 시큐아이닷컴과 인젠은 사실상 컨설팅 사업에 참여할 수 없는 상황입니다. (시큐아이닷컴은 컨설팅 사업을 접은 거나 다름없다할만큼 크게 축소한 상태이고, 인젠은 내부 사정이 복잡합니다.)

그렇다면 5개 업체만 주사업자로 참여할 수 있습니다.

사업 규모가 큰 만큼 투입해야 하는 컨설팅 인력이 많기 때문에 이 사업에는 단일 업체가 자사 인력만으로 참여할 수는 없는 상태라고 하는데요.

컨설팅 투입 및 상주 인력 수와 등급을 정해놓은데다, 주사업자 투입인력을 전체의 50% 이상으로 정해놨기 때문에 부담스럽다는 것이 업체들의 이야기입니다.

정보통신기반시설 취약점 진단 등 공공과 민간 분야에서 정보보호 컨설팅 사업이 최근 많이 발주되고 있는데, 다른 사업을 포기하고 이 사업에 ‘올인’할 수는 없기 때문입니다 .

그렇다고 이 사업을 위해서 컨설팅 인력을 왕창 뽑기도 어렵지만, 뽑더라도 하반기 수요가 가뭄일 때는 그 인력을 유지하는 것이 힘들기 때문입니다.

이해를 돕기 위해 관련 제안요청서 내용을 붙여보겠습니다.

- 컨설팅 투입인력은 기관당 중급인력 4인 이상을 원칙으로 하되 투입인력 중 2명 이상은 최근 3년 이내에 ISMS, ISO27001 분야의 보안컨설팅 경험이 있는 인력으로 배치하여야 하며,

- 상주인력 중 1명은 고급이상의 인력으로 투입하여야하며, 인력 상주로 발생하는 모든 비용은 제안사에서 부담하여야 함

- 주사업자 투입인력은 전체인력의 50% 이상이어야 하며, 투입인력 전원은 입찰마감일 현재 당해 소속사의 직원으로 1년 이상 근무한 경력이 있어야 함

- 본 사업에 참여하는 인력 중 50% 이상은 국내 또는 국외 정보보호 관련 자격증(ISMS, ISO27001, SIS, CISA, CISM, CISSP 등)을 보유하여야 함

20일이 조달청 전자입찰 마감시한이었습니다. 입찰 마감 이후 일주일이 다돼가도 아직도 이 사업 재공고가 뜨지 않고 있는데요.

재공고가 나도 업체들이 참여하기 힘들 것을 알기 때문일 겁니다.

이 사업을 주관하고 있는 한국인터넷진흥원(KISA)도 고민이 될 것입니다.

전자정부의 정보보호수준제고를 위한 사업이기 때문에 컨설팅 수준을 낮출 수는 없는데, 업체들이 사업에 참여할 수 없는 현실적인 면을 고려하지 않을 수도 없기 때문이지요.

아무리 좋은 사업이 진행되더라도 현실과의 괴리가 크다면 결국 죽도 밥도 지을 수 없다는 것을 이번 사업이 보여주고 있습니다.

행정안전부, KISA, 그리고 정부가 지정한 지식정보보안컨설팅 업체들이 함께 지혜를 모아 봉착한 현실적인 어려움을 잘 해결할 수 있는 방안을 찾았으면 합니다.

이 사업이 결국 진행되지 못하고 표류할 것이 아니라 반드시 성사시켜 전자정부 보안수준을 더욱 높이는 기회가 될 수 있길 바랍니다.

2010/05/26 16:21 2010/05/26 16:21

얼마전 한 소규모 별정통신사업자가 사용 중인 VoIP(인터넷전화) 교환기가 해킹당해 쓰지도 않은 국제전화 요금이 대량 발생, 총 1억원 이상의 전화요금이 통신사업자로부터 부과되는 피해가 발생했습니다. <관련기사>

말그대로 충분히 예상됐던 ‘위협’이 현실적인 피해로 나타난 것이라 볼 수 있습니다. VoIP 보안위협으로 가장 빈번히 지목됐던 것이 통화 방해, DDoS(분산서비스거부)공격으로 인한 마비, 해킹으로 인한 과금 우회 등이었습니다.

이같은 내용을 제보로 받아 취재하는 과정에서 이 회사(I텔레콤) 말고도 C사와 I별정통신사업자가 앞서 같은 피해를 당해 KT와 납부할 요금에 대한 합의를 봤다는 이야기를 들었습니다.

인터넷침해대응센터를 운영하고 있는 한국인터넷진흥원(KISA)에는 아직까지 VoIP 보안사고 신고가 접수된 사례가 없다지만, 알려지지 않은 해킹 피해는 이보다 많을 것이란 생각이 듭니다.

VoIP를 도입하는 가장 큰 이유는 아마도 비용을 절감할 수 있기 때문일 겁니다. 전화요금 절감을 위해 도입한 VoIP의 보안을 등한시하면 이같은 해킹 사례처럼 더욱 막대한 비용을 지불해야 하는 일이 발생할 수도 있습니다.

제보자는 KT와의 요금합의가 제대로 이뤄지지 않자 답답한 마음에서 자료를 보낸 것이기도 하지만 VoIP를 사용 중인 많은 기업들이 해킹으로 인해 이같은 막대한 요금청구 피해를 당하지 않기 위해 이 일을 알려달라고 했습니다.

그래서인지 VoIP 서비스와 해커의 침입경로, 교환기 담당자가 해킹 방지를 위해 숙지해야 할 사항까지 자료로 보내왔습니다.

만일 기업에서 IP PBX 등 VoIP 장비를 구축해 사용하고 있는데, 그동안 보안에 크게 신경쓰지 않았다면 한번 참고해보시고 필요한 조치를 해둘 필요가 있습니다.

원문 그대로 붙여보겠습니다.

먼저, 아래는 이 업체에서 분석한 VoIP 교환기의 침입 경로입니다.


◎ 기존 VOIP서비스와 해커의 침입 경로

현재 기업의 인터넷통화에서 많이 쓰이고 있는 인터넷 전화 서비스 도식입니다. 도식을 보시면 아시겠지만 교환기 해킹 사건은 Voip전화 도입사용자에게 언제든지 발생할 수 있는 일입니다.

개별 기업의 교환기가 해킹 당하게 되면 개별기업의 통신담당은 알기 힘듭니다. 뿐만 아니라 저희와 같이 요금청구가 일방적으로 되어서 피해를 볼 수 있습니다.

기존의 인터넷 전화 서비스 도식표<본지사간 무료, 시외구간 할인 유료통화>


◊해킹가능경로◊


◎ 교환기 담당자가 해킹방지를 위해 숙지해야 할 사항

-교환기 보안설정

제가 해킹을 당한 것도 교환기에 Access List나 call-barring 같은 보안설정을 세팅해 놓지 않아서입니다. 이 기능은 특정 ip의 패킷을 차단시키거나 허용하는 기능입니다. Voip 교환기에는 위의 기능이 있으니 제조사에 문의 하여 꼭 세팅해 두시길 바랍니다.

- Active call 비교

billing의 active call과 교환기의 active call을 항상 비교하시기 바랍니다. 교환기가 뚫려 버리면 billing상에 아무 조짐이 없기 때문에 해킹을 조기에 판단하기 어렵습니다. Token 같은 프로그램으로 교환기에 접속하면 보기 편합니다.

- Prefix세팅

prefix는 가능한 특수문자(#,*)를 포함하여 어렵게 사용하는 것이 좋습니다. 회사 자체망으로 보내는 prefix는 누구에게도 알려주어서는 안 되며 ip도 마찬가지입니다.

- Root password 관리강화

매주 또는 매일 패스워드 변경을 하여야 하며 책임을 명확히 하기위하여 한정된 인원에 한에서 서버나 교환기의 비밀번호를 알고 있어야 합니다.

-00으로 시작하는 다이얼 통제 강화

교환기가 해킹을 당하게 되거나 다른 업체에서 00으로 시작하는 다이얼이 들어올 경우 예상치 못한 손해가 발생하게 됩니다. 다이얼이 00으로 시작되면 해당 전화를 차단하는 기능을 적용해 주면 예상하지 못한 손해를 막을 수 있습니다.

이와 관련한 기사를 쓴 다음날이 공교롭게도 방송통신위원회와 한국인터넷진흥원(KISA)이 개최한 ‘VoIP 보안기술 세미나’가 있던 날입니다.

이 자리에서 김희정 KISA 원장은 이같은 피해를 막기 위해 영세 VoIP 별정 사업자의 보안 강화 대책을 강화하겠다고 크게 강조했다고 들었습니다.

방통위 담당 사무관은 영세 VoIP 별정 사업자의 VoIP 정보보호 조치계획을 수립할 수 있도록 지원하고, 전문교육도 실시한다는 방침을 밝혔습니다.

또 VoIP 서비스 사업자들이 보안체계를 운영토록 하기 위해 현재 주요정보통신기반시설 지정과는 별개로 정보보호 안전진단 대상에 포함시키는 방안도 적극 검토할 예정이라는군요.

이밖에도 VoIP 침해사고에 대응할 수 있도록  KISA와 함께 많은 대책을 준비중인 상태입니다. 

VoIP를 사용할 때도 인터넷, PC, 네트워크와 마찬가지로 보안은 필수입니다!

2009/12/08 10:20 2009/12/08 10:20

- 정부기관 정보보호 전담부서 43곳 중 9곳, 정보보호 전담인력 평균 1.45명

지난 7월 분산서비스거부(DDoS) 공격이 발생해 온나라가 들썩인지 5개월째에 접어들고 있습니다.

청와대와 국가정보원(국가사이버안전센터), 정부통합전산센터, 주요부처 등 정부 주요기관들조차 줄줄이 공격 대상이 됐던 충격 탓인지, 한동안 정부와 여당인 한나라당은 사이버 침해사고에 대한 보안 대책을 마련하겠다는 강력한 의지를 보여줬고, 계획도 냈습니다.

그런데 정부의 사이버 위기 대응 조직체계와 정보보호 전담인력 및 투자는 여전히 크게 미흡한 수준입니다.

이같은 문제점을 지적하고 대책을 제시한 의미있는 보고서를 국회 입법조사처에서 발표했습니다. (관련기사)

이 보고서에는 DDoS 공격 대응 문제점으로 사이버 공격에 대한 훈련 및 국제공조 미흡, 사이버 정보보호 기능의 분산, 장비노후화 및 악성코드 분석 전문인력 부족, 사이버 위협에 대한 인터넷 이용자의 대응 미흡, 정보보호 인력 및 투자 부족 등 5가지를 지적했습니다.

정부의 정보보호 총괄기능이 분산돼 있고 민간부문 정책부서가 축소돼 있다는 점과 정보보호 전담 부서나 인력 부족 문제는 지난 7.7 DDoS 공격 당시 전문가들과 언론이 가장 많이 지적했던 것이 '콘트롤타워 부재'와 '정보보호 전문인력 부족'이었다는 점에서 맥락이 통합니다. 

이것이 현재 정부의 미흡한 정보보호 수준을 보여주는 지표가 되겠지요.

보고서에서는 정보보호 2008년 정부 조직개편에 따라 정보보호 정책기획 기능이 방송통신위원회, 행정안전부, 지식경제부 등으로 분산됨에 따라 사건 발생 후 해당 사안을 주도적으로 관장하는 기관이 없었다고 지적합니다.

또 정보보호 중요성이 증가함에 따라, 공공부문의 사이버위기 대응을 담당하고 있는 행정안전부, 국정원 등은 관련 조직이 지속 확대되고 있는 반면에, 민간부문의 사이버침해 위협수준이 더욱 높아지고 피해규모가 커져가고 있음에도 불구하고 민간부문 사이버위기 대응을 맡고 있는 방송통신위원회 정보보안 정책관련 조직은 옛 정보통신부 시절 국 규모에서 1개 팀 수준으로 축소돼 있다는 점도 문제시 하고 있습니다.

특히, 이 보고서를 보면 정부의 43개 중앙부처 가운데 자체 정보보호 전담부서를 운영중인 부처는 9개에 불과할 정도로 한심한 수준입니다.

자체 정보보호 전담인력 현황은 부처당 평균 1.45명에 불과하네요. 국무총리실(0.6명), 감사원(0.2명) 및 방송통신위원회(0.8명) 등 16개 기관이 1명 이하의 전담인력이 배치되어 있습니다.

보고서에 첨부돼 있는 표를 보시죠.


보고서는 이러한 문제점 지적뿐 아니라 국회에 제출한 내년 정부 예산안과 주요 사업에 대한 분석도 하고 있습니다.

DDoS와 같은 사이버 침해사고 재발방지 방안도 제안하고 있습니다.

보고서에서 제시하는 방안을 참고해 국가 정보보호 정책과 투자현황에서 나타나는 문제점이 신속하게 개선되길 기대합니다.

관심이 있는 분은 전문을 살펴보세요.

보고서 파일을 첨부하겠습니다.
국회입법조사처 홈페이지(
www.nars.go.kr)의 ‘자료마당’에서도 전문을 확인하실 수 있습니다.


2009/12/01 19:14 2009/12/01 19:14


11일 개최된 한국인터넷진흥원(KISA) 비전선포식에  ‘해운대’ 윤제균 영화감독이 왔습니다.

국내 최초로 시도된 재난영화 ‘해운대’를 만든 윤 감독은 해킹, 바이러스, 개인정보침해, 불법 스팸메일 등 인터넷 침해와 관련된 상담을 도와주는 무료 전화번호 ‘118’ 홍보대사입니다. KISA는 지난 10월에 윤 감독을 홍보대사로 위촉했습니다.

최근 ‘해운대’의 동영상파일 유출로 피해를 당한 당사자인만큼 사회적으로 널리 중요정보 유출 경각심을 제고하고 정보보호 인식과 실천을 확산시킬 수 있도록 ‘해운대’를 만든 윤 감독에게 정보보호 관련 침해 신고·상담을 도와주는 전화번호 홍보 임무가 맡겨진 것입니다.

‘정보보호 홍보대사’답게 윤 감독은 이날 KISA 비전선포식에서 해킹이나 악플, 불법다운로드 등 정보화 역기능으로 꼽히는 문제를 ‘인터넷 재난(災難)’으로 규정하고, 나름의 경험을 들어 이야기했습니다.

윤 감독은 “앞으로 ‘인터넷 재난’이라는 신조어가 생기고, 또 천재, 인재에 이은 3대 재난이 될 것 같다”고 말을 시작했습니다. 윤 감독은 ‘인터넷 재난’으로 해킹 등 사이버테러, 악플, 불법 유통·다운로드 세가지를 들었습니다.

“이 세가지 인터넷 재난을 모두 경험해봤다”고 하더군요.

해킹/사이버테러에 관해서는 지난 7.7 DDoS 공격 때 윤 감독 회사 컴퓨터가 모조리 바이러스에 걸려 이용을 하지 못했던 경험을 이야기 했습니다. (그런데 아직 컴퓨터 보안관리에 대한 인식과 실천은 좀 부족한가 봅니다. 이 이야기를 듣다보니 윤 감독 컴퓨터도 DDoS 공격을 수행한 좀비PC였을 수도 있겠다는 생각이 들더군요. 운영체제 보안업데이트와 백신 등 보안 제품 사용은 필수입니다!)

악플 관련해서는 영화 ‘낭만자객’이 흥행과 작품성에 실패했을 때 악플에 시달렸던 경험을 풀었습니다. 옆에서 그 모습을 보던 부인이 잘못하다 남편을 위해 글을 올렸다가 더 심한 악플을 겪었다네요. 그 때 ‘악플 때문에 목숨을 끊을 수도 있겠구나…’란 생각이 들며, 그 심정을 이해할 수 있었다고 합니다.

윤 감독은 악플이 많이 달려 있으면 안보려고 해도 봐지는 심리가 혹시라도 그 안에 내편이 되주는 사람, 글이 있지는 않을까 기대심 때문에 보게 된 것 같다고 하더군요.

마지막은 다들 알고 계실 영화 ‘해운대’ 동영상 파일의 불법 유출·유통·다운로드입니다.

얼마 전 1000만 관객의 영화 ‘해운대’의 동영상 파일은 업무관계자에 의해 불법 유출, 온라인에 유통되면서 사회적으로 큰 파장을 불러일으켰지요.

이 때문에 ‘해운대’는 해외 판매가 힘들게 돼 약 300여억 원의 피해를 본 것으로 알려졌는데요.

이미 파일은 인터넷을 타고 너무나 빠르고 멀리 퍼져, ‘해운대’가 판매되는 전세계 24개국 중 거의 모든 나라에서 불법 다운로드를 할 수 있는 상황이랍니다.

윤 감독은 “많은 영화감독들이 해외시장 개척에 대한 큰 꿈을 갖고 달리고 있는데, 가장 큰 장애가 바로 ‘불법 다운로드’”라고 강조했습니다.

그러면서 한국인터넷진흥원에 사이버·인터넷재난이 발생할 때 재난방재청과 같은 역할을 해달라는 당부도 잊지 않았습니다.

앞으로 홍보대사로서의 윤 감독의 역할이 기대됩니다.

각종 정보화 역기능 관련 문제에 더 많은 관심을 귀울여, 불법 다운로드나 불법 복제 문제, 인터넷 윤리, 정보보호/보안 의식 제고와 실천을 위한 다양한 홍보활동을 해주길 바랍니다.

어쩌면 윤제균 감독이 언젠가 재난 영화 후속으로 ‘인터넷 재난’ 영화를 만들 날이 오지는 않을까요?

그날 “홍보대사 활동 열심히 하시다가 ‘인터넷 재난’ 영화 만드시는 거 아닙니까?, 한번 만드시는 건 어떨까요?”라고 질문을 했더니 웃으시더군요.

한번 기대해보겠습니다!!

‘보안도 문화’입니다.

 

2009/11/13 08:30 2009/11/13 08:30

현재 보안업계 최고의 관심사는 범정부 차원에서 진행할 DDoS(분산서비스거부) 대응체계 구축 사업입니다.

조만간 정식 발주될 이번 사업은 지난 7월 청와대를 비롯한 국가기관이 줄줄이 DDoS 공격을 받으면서 심각성을 깨달은 정부가 긴급히 200억원의 예산을 편성해 교육·과학기술, 경제, 사회, 경찰, 시·도의 5대 분야 132개 공공기관에 한꺼번에 DDoS 대응체계를 구축하기 위해 긴급히 추진됐습니다.

계획에 없던 대규모 보안 사업이고, DDoS 방어 장비를 주축으로 방화벽, 침입방지시스템 등 유해트래픽 차단 장비 등 다양한 보안 솔루션들이 한꺼번에 도입될 것이기 때문에 많은 SI 및 보안업체들이 열심히 사업을 준비하고 있습니다.

개별 부처에서 발주한 단일 보안 사업으로 40~50억원 이상을 넘은 사례는 거의 전무합니다.

워낙 규모가 커서 그런지 벌써부터 이번 사업을 끝으로 적어도 앞으로 6개월 동안 공공 정보보호 사업은 거의 없을 것이란 이야기도 나오고 있습니다.

교육과학기술부, 지식경제부, 보건복지부, 경찰청, 행정안전부가 각각 주관해 연말까지 완료되는 이번 사업은 지난주 사전규격이 공개됐습니다.

이번주 중 정식 사업공고가 나올 것으로 예상됩니다.

사전규격을 기반으로 각 분야별로 목표로 하고 있는 DDoS 대응체계를 순차적으로 살펴볼 생각입니다.

분야별로 사업범위나 진행방식, 기본적인 도입품목은 유사하지만, 환경이 다른 만큼 초점은 조금씩 다를 것으로 예상됩니다.

순서는 이렇습니다. 1. 교육·과학기술 2. 경제 3. 사회 4. 경찰 5. 시·도의 DDoS 대응체계 구축 사업 제안요청서(RFP) 분석입니다. 

다만 모든 부처마다 ▲기관별 네트워크 보안상태 점검과 DDoS 대응체계 설계를 위한 컨설팅을 시작으로 ▲DDoS 대응체계 구축 ▲모의시험 및 검증, 기관별 통합보안관제 체계 구축 ▲DDoS 총괄 체계 마련 ▲좀비PC 탐지·제거 체계 및 선제적 DDoS 방어체계 구축 ▲기관별 DDoS 대응 지침 및 매뉴얼 수립 ▲교육체계 마련까지 총 8단계 순서로 사업이 진행됩니다.

주요하게 도입될 장비는 DDoS 방어 전용장비, 좀비PC 탐지·제거 장비 등과 보안관제와 연계하는 체계가 공통적으로 구축될 예정입니다.

이번 사업은 단순히 DDoS 공격 탐지·차단 전용으로 개발된 보안 장비를 구매하는 것만이 아니라 사전 컨설팅을 거쳐 다른 부족한 보안 제품까지 함께 구성하고, 실시간 통합보안관제, 정책과 교육까지 연계하게 된다는 점에서 체계적인 대응체계 구축 사업계획이 수립됐다는 것이 대체적인 보안업계 전문가들의 분석입니다. 

이 사업에서 보안업체들에게 가장 아쉬운 점은 아마 가격 측면이 될 것 같군요.

2009/10/21 22:20 2009/10/21 22:20