서울시는 24일 향후 서울을 보안특별시로 만들기 위한 ‘u-Security 2010 정보보호중기계획’의 청사진을 공개했다.

서울시는 체계적이고 종합적인 정보보호를 추진하기 위해 지난 5월 u-Security 2010 중기계획을 수립한바 있다. 그 내용은 안전하고 편리한 u-전자정부실현을 위한 3대 목표와 14대 추진과제로 돼 있다.

서울시는 앞서 2003년부터 2005년까지 약 40억의 예산을 투자해 정보보호시스템을 구축한바 있다. 그러나 최근 더욱 지능/첨단화되는 해킹 또는 바이러스 등의 사이버보안위협이 심해지자 이를 적극적으로 대처하기 위해 정보보호중기계획을 수립한 것.

이 계획은 현재 서울시 위주의 보안관제를 자치구를 포함한 서울시 전 기관으로 보안영역을 확대하고 네트워크보안 위주의 보안체계에서 서버/웹/DB보안 등 전 분야에 대한 보안체계로 확대하는 것을 골자로 하고 있다.

더불어 서울시와 자치구간의 보안수준 격차를 해소해 서울시 전역에 대한 보안수준 향상을 도모한다는 계획이다.

하지만 시스템만 잘 갖췄다 해서 보안이 잘 된다 말할 수 없다. 시스템과 더불어 이를 관리할 인력과 보안정책의 관리감독이 필요하기 때문.

이에 대해, 김완집 서울시 사이버보안팀장은 “시스템을 잘 운영할 수 있는 전문보안인력을 단계적으로 충원할 계획이 있다”면서 “더불어 보안정책담당관(CSO)제도를 도입해 보안정책을 전사적으로 수립 또는 이행 하고 관리감독 할 예정”이라고 설명했다.

또한 서울시는 기존 형식적인 국내외 보안인증제도를 탈피하고 서울시 환경에 적합한 사이버 보안평가제도를 도입한다는 계획이다. 이는 자체 개발된 정보보호체계(ISMS) 평가항목을 바탕으로 내부 국제인증심사원(ISO27001 심사원자격소유자)을 통해 평가를 수행할 계획이다.

단계별 추진 및 지속적인 보안예산 투자

정보보안은 하루아침에 뚝딱 보안시스템을 구축한다고 해서 해결될 수 있는 문제가 아니다. 물론 사고후에 다양한 대책과 방안이 나오지만 얼마 가지 못해 실효성이 없어지며 단기적인 대책들만 무성하다는 것을 많은 사고사례를 통해 알 수 있다.

현재 많은 기업과 공공기관들이 보안문제의 해결에 대해 급급할 뿐 선투자에 인색한 편이다. 이는 더욱 많은 보안취약을 야기하며 이를 통한 피해는 점차 늘어가고 있다.

서울시는 이런 문제점이 발생되지 않도록 보안에 대한 투자를 늘려갈 것이라고 밝혔다. 따라서 서울시는 여기에 필요한 정보보호예산을 지속적으로 확대해나갈 계획이다. 정보화예산 대비 정보보호예산을 2008년 4%에서 2009년 5%, 2010년에는 7%까지 올리고 2011년 이후에는 선진국 수준인 9%를 확보한다는 방침이다.

올해 3단계 보안 강화 진행

서울시는 ‘u-Security 2010 중기계획’에 따른 올해 보안목표는 3가지로 요약할 수 있다. 우선 1단계로 사이버위협관리시스템(TMS: Threat Management System)을 설치해 보안 이벤트 정보를 취합해 예방 대응을 1차적으로 할 계획이다. 2단계는 수집된 이벤트 정보를 모아 분석하는 통합보안관제시스템의 구축이다. 이는 행자부와 연동해 총체적인 보안 위협에 대비한다. 3단계는 PC 보안 강화를 위해 외장하드나 USB, CD 등을 인가되지 않은 사용자들이 정보를 수집할 수 없도록 제한하고,  보안 USB 100대 정도를 시범으로 운영한다는 방침이다.

사이버위협관리시스템이 구축되면 서울시 및 자치구 등 전 기관이 사이버침해정보의 실시간 탐지 및 종합상관분석을 통한 공동 대응이 가능하며 전 세계의 글로버위협정보를 이용해 사이버침해사고 예방활동이 더욱 강화된다.

2012년 상암동에 u-통합보안센터 구축

서울시는 2011년 12월에 완공되는 상암동 IT콤플렉스 내 2012년에 u-통합보안센터를 구축한다고 밝혔다. 기존 모니터링위주의 보안센터개념을 탈피해 종합정보보안대응능력을 갖출 예정이다.

즉, 사이버보안위헙의 탐지와 대응에서 분석, 복구, 추적까지 가능한 시스템을 운영하고, 특히 사고원인추적을 통해 재발방지 및 디지털증거확보를 위한 사이버포렌식 분야가 집중육성될 것으로 보인다. 센터가 본격적으로 가동되면 24시간 365일 보안 시스템의 운영이 가능할 것으로 예상된다.

상암동에 구축되는 IT콤플렉스는 보안관제를 넘어 u-IT도시 사이버보안 컨트롤타워 역할을 수행할 것으로 보인다. 서울시는 모든 교통, 수도, 가스, 환경 등 도시기반시설이 IT기술로 제어되고 있으며 앞으로 더욱 관리운영에 있어 IT의존도가 높아질 것으로 예상되고 있다. 하지만 이에 따라 발생하는 보안위협은 증가할 것으로 예상하고 있다. 도시전체의 기반시스템에 대한 보안정책과 대응할 수 있는 기관이나 부서가 없어 한 분야의 보안사고만으로도 시민에게 큰 불편을 초래할 수 있다.

서울시는 2012년부터 u-통합보안센터의 기능을 더욱 확대해 전자정부의 보안영역을 전자정부로 국한하지 않고 교통이나 수도 등 도시기반시설의 보안위협을 총괄적으로 탐지/대응할 수 있는 체계를 마련할 계획이다.

서울시 전직원 대상 정보보안교육 실시, 정보유출 사전예방

최근 대형 포털 및 GS칼텍스의 개인정보유출도 대부분 내부자의 보안의식미비로 발생하고 있고, DB암호화등 시스템적으로 아무리 보안을 강화해도 시스템에 자유로이 접근할 수 있는 내부자에게는 무용지물이다.

그리고 그동안 내부정보보안교육도 형식적인 교육이 많았고, 외부전문가 정보보호특강도 이론위주 또는 국가기관에 맞지않는 내용으로 직원들에게 지루함을 느끼게 하는 사례가 많았다.

이에 따라 서울시는 정보통신담당관에서 자체 제작한 정보보안교재로 사이버보안팀장이 서울시 전 직원을 대상으로 직접 정보보안교육을 실시해 직원들의 보안에 대한 관심을 높이고 있다.

특히, 현재 법개정이 추진되고 있는 정보통신망법, 개인정보법 등 정보보호 관련법의 강화에 대비해 피해를 미리대비하고 있다. 이런 사례는 중앙행정기관 및 타 자치단체의 모법사례로써 벤치마킹 대상이 되고 있다.

2008년 상반기에 5,000명에게 정보보안교육을 실시했고 앞으로도 정보 유출사고의 70%이상이 내부자의 고의 또는 실수로 발생하는 것을 현실임을 감안해 내부자정보보안교육을 지속적으로 실시할 계획이다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>