김남형 서울디지털대학교 정보관리실 팀장

지난해 말 ‘제 8회 정보보호대상’에서 우수상을 받은 서울디지털대학교의 김남형 정보관리실 팀장은 “정보보호관리체계 구축을 통해 정보보호 고도화를 이룰 수 있는 환경을 갖추고 생산적이고 효율적인 보안 관리를 해 온 노력이 이러한 성과를 이뤄낸 원동력이 되지 않았나 싶다”고 말했다.

수상 소감을 듣고싶다.

통상적으로 일반 대학들은 정보보호분야에 대한 투자가 적고 보안이 취약하다는 편견을 가지고 있으나 IT 의존도 100%인 사이버대학의 안정성과 신뢰성의 근간은 정보보호라고 생각한다. 정보보호분야는 투자에 대한 부담과 관리에 대한 어려움이 많은 분야인데 이번 ‘제 8회 정보보호대상’에서 우수상(KISA 원장상)을 수상하게 돼 정보보호분야에서 No.1 사이버대학교라는 평가를 받게 된 것을 매우 자랑스럽고 기쁘게 생각하며 대학 내에서도 많은 축하와 격려를 받았다.

무엇보다도 정보보호분야는 특정 개인이나 팀이 잘한다고 이뤄질 수 있는 분야가 아니기 때문에 정보보호분야에 대한 전폭적인 지원과 관심, 참여를 보여준 대학내 임원진과 구성원들에게도 이 자리를 통해 다시 한번 감사드린다.

심사위원들로부터 가장 높이 평가 받았다고 생각하는 부분이 있다면?

정보보호분야에서 가정 중요한 것은 보안에 대한 인식과 관심이다. 이번 수상에서 가장 높이 평가됐다고 판단되는 부분은 전체 교직원들의 적극적인 정보보호 마인드라 생각한다. 또한 2008년 8월에 수립된 KISA의 ‘정보보호관리체계(ISMS)’가 실제 보안 운영 업무와 잘 융합됐던 것 같다. ‘정보보호관리체계’ 현장심사위원의 심사평 중에 “일반적인 대학기관의 보안 기대수준을 상회하는 매우 우수한 보안 운영을 하고 있다. 정보보호담당자들이 칭찬받아야 할 정도로 운영을 잘하고 있다”고 언급된 것이 기억에 남는다.

특히 정보보호를 강화하고 고도화하기 위해 가장 필요한 것은 최고 경영자의 마인드인데 개인 정보 유출로 인한 사고를 우려, 항시 이를 대비하라고 강조하며 아낌없이 투자를 해 주신 재단 이사장님과 총장님, 부총장님 덕분에 상을 수상한 것 같다.

팀을 소개 한다면?

IT 담당 부서인 정보관리실에서 보안을 담당하고 있는데 총 14명으로 구성돼 있으며 실장, 팀장, 3개의 파트(개발 파트, 시스템 운영 파트, 기획 파트)로 나뉘어 있다. 그 중 시스템 운영 파트가 서버, 네트워크, 보안 담당을 하고 있으며 팀장을 포함해 4명의 정보보호전담 인력을 지정해 보안 운영을 하고 있다. 4명의 정보보호전담 인력 중 CISA보유자 2명, CISSP 보유자 2명으로 구성돼 전문 보안업체 수준의 정보보호 전문인력을 보유하고 있으며 이들 대부분은 대학 설립 초기부터 대학 전산 시스템을 구축하고 운영하고 있는 구성원들로서 대학 내 시스템을 가장 잘 알고 있어 보안 분야뿐 아니라 전산 운영 및 관리에 최적화돼 있다.

보안 정책에 대해 설명한다면?

최상위 ‘보안규정’ 과 ‘개인정보보호규정’를 기반으로 정보보호 및 시스템과 관련된 9개의 지침(정보보호관리체계 지침 외) 과 14개의 절차(문서보안관리절차 외)를 수립해 운영하고 있다. 특히 모든 지침과 절차서는 ‘정보보호관리체계’의 5단계 관리과정 14개항, 문서화 요구사항 3개항, 세부통제사항 15개 분야 143개를 준수해 수립됐다.

올해 중점적으로 추진하려는 보안 계획은?

매년 단기 및 중겴掠?정보보안 고도화 사업을 위한 정보보호 운영 계획을 수립하고 있으며 2010년 추진되는 주요 정보보호 사업은 ‘DRP 수립, DRS & DR 센터 구축’이다. 현재 1차 사업인 ‘학사행정시스템’을 범위로 한 재난복구계획수립 및 재난복구시스템 구축을 진행 중에 있으며 2010년 하반기 경에 2차 사업인 DR 센터 구축이 진행될 예정이다. 이 외에 이러닝의 글로벌 전략을 목표로 대학 최초 국제표준보안 인증(ISO 27001)을 취득해 정보보호 체계와 기반을 더욱 완벽히 다질 계획이다.

개인정보 보호가 중요한 이슈인데 이를 위한 노력은?

개인정보보호를 위한 노력으로 보안 인식 교육(년 2회), 사이버보안진단의 날 시행(월 1회), 교직원 PC 보안점검 시행(년 1회), 교직원 PC 개인정보 실태점검(년 1회) 등을 시행하고 있다. 특히 교직원 PC의 개인정보 실태점검은 개인정보탐지시스템(이글아이)을 이용해 실시하고 있으며 실태점검을 통해 불필요한 개인정보의 사용제한 권고 및 삭제요청 등의 조치를 취하고 있다.

8:2 팔레트 법칙이 통용되지 않는 분야가 바로 정보보호분야다. 한 명의 실수와 방심이 엄청난 재앙과 피해를 가져 올 수 있기 때문에 정보보호는 모든 교직원 참여와 100% 동참이 요구되기 때문이다. 이를 위한 가장 중요한 요소는 교직원들이며 이를 실천 할 수 있게 하는 보안 인식 교육이다. 규정을 준수하기 위한 형식적 교육인 아닌 내부 현황 분석과 실제 사례 중심의 전문가 현장 교육 등에 많은 노력을 기울이고 있다.

올해 예상되는 보안위협은 무엇이라고 생각하며 이에 대한 대응은?

2009년도는 국가적 이슈였던 7.7 DDoS 대란으로 큰 혼란이 있었던 한 해였으며 올해에도 역시 DDoS의 보안 위협이 예상된다. 다행히 우리는 이러한 피해 사고가 없었으며 2009년 12월에 DDoS 방어 시스템을 도입해 만약을 대비하고 있다. 또한 아이폰, 구글폰 등의 스마트폰을 통한 정보유출 및 침해사고 역시 예상되는데, 본격적으로 국내에서도 스마트폰 시대가 열리면서 스마트폰을 겨냥한 다양한 악성코드 및 해킹 기술이 나타날 것으로 예상된다. 특히 우리는 올해 스마트폰 시대에 맞게 모바일 러닝 서비스를 위한 스마트폰용 플랫폼 구축 및 개편 작업이 있기 때문에 이에 대한 대비와 연구를 많이 하고 있다. 이 외에도 클라우드 및 가상화 기술이 실용화 되면서 이를 악용한 해킹 기술이 빠른 속도로 진화 할 것으로 예상된다. 여러 대의 장비와 서비스가 운영되기 때문에 이를 공략하려는 해킹 기술이 증가할 것으로 보인다.

<글 : 호애진 기자(is@boannews.com) | 사진 : 김정완 기자(boan3@boannews.com)>

[월간 정보보호21c 통권 제114호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>