전ㆍ현직 공무원의 생활 안정과 복리 향상을 위해 연금사업과 기금증식사업, 학자금대부ㆍ맞춤형복지와 같은 국가위탁사업을 수행하고 있는 공무원연금공단의 박인현 정보지원실 차장을 만나 현재 추진 중인 통합전략경영시스템 구축에 대해 들어 봤다.

공무원연금공단은 2001년 국내 공공기관 중 처음으로 모든 연금업무를 인터넷으로 처리할 수 있는 종합정보통신시스템을 구축한 데 이어 고객접점 및 업무공간을 일원화 하고 프로세스 중심의 업무환경을 제공하며 전략적 정보분석 및 정보연계 표준기반 구축을 통해 의사결정 지원체계 강화, 고객 서비스 강화, 업무 생산성 제고 기반을 마련하기 위한 통합전략경영시스템을 구축하는 데 주력하고 있다. 특히 정보지원실 주관하에 추진된 ISP(Information Strategy Planning, 정보화전략계획)는 Satisfactory IT, Smart IT, Sustainable IT를 통한 ‘최상의 IT 환경 제공’이라는 정보화 전략 아래 금년 상반기 완료돼 ISP 기반하에 현재 통합전략경영시스템이 추진되고 있다.

이에 박인현 차장은 “정보화전략계획의 특징은 최신 기술을 과감히 도입해 생산성을 극대화하고 외부시스템과 연계를 통해 연금 프로세스를 간소화하며 고객의 편의를 증진시키는 것”이라며 “선진경영체제를 위한 통합전략경영시스템 구축의 성공을 위해 정보지원실은 정보화전략계획 수립 착수 이전부터 철저한 주인정신에 기반한 다양한 변화관리 및 사전 준비 활동을 진행해 오고 있다”고 말했다.

물론 통합전략경영시스템 구축에 있어 보안은 당연하게 최우선시 돼야 할 과제다. 이에 따라 네트워크, 웹 애플리케이션, PC로부터의 유해트래픽 및 해킹 등 보안위협으로부터 내부시스템 및 정보를 보호하고 안전한 업무 환경을 조성하기 위해 보안인프라를 강화하고 있다.

박 차장은 “보안수준별 네트워크 영역분리를 통한 보안성을 확보하고 유해 프로그램 및 불법소프트웨어로부터 pc를 보호함으로써 안전한 pc환경을 제공하고 외부서비스의 신뢰성을 향상시키기 위해 보안수준별 네트워크 영역분리, 외부로부터의 침입방지, 웹 방화벽 확대 적용, 네트워크 접근통제(NAC), 유해사이트 차단, 서버접근통제, 무선랜 보안을 강화할 계획”이라고 설명했다.

즉 관리적 측면에서 보안정책을 중앙에서 일괄관리함으로써 운영 비용을 감소시키고 보안측면에선 보안수준별 영역분리를 통해 보안사고에 따른 피해가 다른 영역으로의 확대를 방지하며 국내외 전문 해커로부터 내부시스템을 보호, 안전한 PC환경을 구성해 업무 효율성이 증가할 것으로 기대하고 있다.

통합인증체계 구축

아울러 공무원연금공단은 정보시스템 및 데이터에 대한 사용자 인증 및 권한을 통합관리하고 대고객 개인정보를 보호하기 위해 공공 I-PIN을 적용하는 등 통합인증체계를 구축하고 있다. 이는 ID/PW의 안정성을 검토하고 적합한 인증수단을 적용, 사용자 편의성 및 인증정보 관리 보안성 강화, 업무 수행에 필요한 권한을 부여할 수 있는 체계 마련과 동시에 개인정보보호관련 법규를 준수한다는 데 목적을 두고 있다.

박 차장은 “사용자 측면에서 개별인증으로 인한 불편함을 해소하고 사용자 인증 시간 및 비용을 절감하며 자동화된 인증서비스로 업무효율성을 증대시킬 것”이라며 “관리적 측면에선 일원화되고 통합된 권한관리를 통해 관리업무를 감소시키고 일괄적이고 체계적인 관리가 가능해 질 것”이라고 밝혔다.

이에 따라 사용자 인증수단 재고, 단일로그인(SSO) 적용, 체계적 권한 관리, 공공 I-PIN을 이용한 본인확인 등의 개선 방안을 내놓고 있다. 즉 현재 공무원연금공단에서는 ID/PW 기반의 사용자인증을 수행하고 있으나 향후 시스템 보안수준에 따른 인증 수단을 적용하도록 인증수단에 대해 검토하며 사용자 편의성을 향상시키고 인증관리 비용의 절감효과가 있는 단일 로그인을 적용시킨다는 것이다. 또한 인증정보, 소스코드 프로그래밍 등 업무시스템별로 다양한 형태로 관리되던 권한관리를 역할기반 권한관리로 표준화시키고 주민등록번호 오남용의 방지를 위한 법적겭英맛?요건으로 인해 공공 I-PIN을 적용할 예정이다.

내부정보 유출방지체계 구축

공무원연금공단은 업무상 불가피하게 필요한 대량의 공무원 개인정보와 연금관리에 대한 내부 중요정보가 외부로 유출되거나 오남용되는 것을 방지하기 위해 내부정보 유출방지체계를 구축할 계획이다. 박 차장은 “내부 중요정보 유출 및 오남용 방지, 대량의 개인정보 유출 및 오남용 방지와 함께 웹 구간 전송정보보호를 위해 문서보안을 위한 DRM을 적용하고 가상화시스템을 도입하며 웹 구간 암호화, DB접근제어, DB 암호화를 추진 중에 있다”고 설명했다.

이는 엑셀, 스캔파일, 전자문서 등 내부 중요문서의 오남용 및 외부유출을 방지하기 위해 DRM 시스템을 적용해 사용자 권한에 따라 열람, 편집, 출력 등에 통제를 두게 되며 유지보수 및 개발을 위한 협력업체 사용자에 의한 정보유출을 방지하기 위해 서버에 가상화 데스크톱 환경을 구축, 시스템 유지보수 및 개발에 대한 전반적 활동을 가상화시스템을 통해 수행하도록 보안 환경을 구성하고자 함이다.

또한 인터넷 및 내부망을 통해 전송되는 인증정보 및 개인정보를 보호하기 위해 웹 구간 암호화를 적용하고 종합정보DB에 대한 DB감사목적으로 적용돼 있는 DB접근제어시스템을 홈페이지 및 업무 DB에도 확대적용, 접근통제 기능을 적용함으로써 사후대응체제에서 사전대응체제로 개선한다는 것이다. 이 외에도 DB에 저장되는 정보를 보호하기 위해 DB암호화를 적용할 경우 성능과 보안성을 고려해 DB암호화 대상으로 선정하며 일반적으로 개인정보 및 인증정보를 암호화 적용항목으로 정의하게 된다.

이에 따라 공무원연금공단 서비스에 대한 신뢰성을 향상시키고 내부자료 유출에 따른 피해를 최소화시키며 가상화에 따른 운영 인력 및 업무를 경감할 수 있을 것으로 보고 있다.

통합보안관리체계 구축

특히 공무원연금공단은 보안에 대한 관심과 해킹툴의 일반화 등으로 전문화되는 외부공격으로부터 사고피해를 최소화하며 신속하고 능동적으로 대응하기 위해 통합보안관리체계를 구축하고 있다. 이는 공무원연금공단 자체의 능동적이고 신속한 관리대응 체계를 마련하고 주기적으로 취약점을 진단, 개선하며 로그 무결성을 확보해 보안사고에 대한 추적성을 확보하기 위함이다.

박 차장은 “통합보안관제, 취약점점검도구, 로그무결성을 확보함으로써 공무원연금공단 보안관리체계 기반을 마련하고자 한다”며 “침입차단시스템, 침입방지시스템, 서버보안, VPN 등 보안이벤트를 수집해 이상징후 감지 시 관리자에게 경보하는 등 보안사고에 신속하고 능동적으로 대응하기 위해 통합보안관제시스템 구축은 반드시 필요하다”고 강조했다.

더불어 시스템/네트워크/응용프로그램 취약점에 대해 취약점 분석도구를 이용한 정기적 점검 및 조치를 통해 취약점으로 발생 가능한 정보시스템의 손실에 대한 예방체계를 구축하고 주요 시스템에 대한 운영상태 및 사고 파악을 위해 주요 서버 로그파일을 위겫?떠?불가능하도록 별도 저장매체에 저장, 정기적인 분석을 통해 시스템 침해 여부와 사고 발생원인 분석 등의 대처 체계를 구축할 예정이다.

그는 “통합보안관제를 통해 보안 모니터링의 효율성을 극대화 시킬 것”이라며 “관제 및 취약점점검도구 확보에 따른 보안활동 강화, 주기적 취약점 진단을 통한 지속적 보안수준 향상, 로그무결성 보장에 따른 보안사고 추적 용이성을 확보할 수 있게 된다”고 밝혔다.

체계도 중요하지만 보안 의식이 우선돼야

보안 허점에 대한 공격시도나 정보의 침해위험은 매우 다양하게 발전하고 있고 이에 대한 방어수단으로서의 솔루션이나 도구 등도 다양하게 등장하고 있다. 그러나 아무리 첨단 공격에 대한 방어 수준이 높은 솔루션이라도 일률적으로 적용하게 된다면 공격자는 하나의 보안 솔루션의 허점만 찾으면 되기 때문에 새로운 공격방법을 찾아낼 위험성이 매우 커지게 된다.

박 차장은 “국제적으로 볼 때 국내의 보안 수준이 크게 낙후됐거나 후진적이라고는 볼 수 없고 오히려 전체적인 보안 수준이 상당한 수준이라고 판단되지만 대부분의 조직의 보안 수단이나 솔루션 등이 유사하거나 동일하기 때문에 적용된 보안 수단의 허점이라도 발견되면 상당히 많은 조직이나 기관의 정보시스템은 보안상 허점에 노출된다”고 우려했다.

그는 대표적인 예로 인터넷 익스플로러에 적용된 액티브-X을 꼽았다. 액티브-X 사용빈도가 높은 우리나라에서는 액티브-X를 통한 인터넷 보안 패치 등이 불특정 다수의 사용자 PC에 설치된 상황. 그러나 액티브-X 자체의 보안 허점이 드러나게 되면서 대부분의 인터넷 익스플로러 사용자는 순식간에 위험에 빠질 수 있게 됐다는 것이다.

박 차장은 “이는 국내의 보안 수단이나 솔루션 등이 획일적으로 적용되는 데에 따른 위험”이라며 “초기 80% 이상의 액티브-X 사용빈도가 점차 감소하는 것도 이러한 위험성의 증가 때문일 것”이라고 분석했다. 아직도 특정 솔루션의 적용 빈도가 높게 나타나는 부분이 잔존하기 때문에 이에 대한 신속한 인식전환이 필요하다는 것이 그의 의견이다.

그는 “정보의 중요성이나 가치에 대한 인식이 차츰 높아지고 있고 보안이란 의미가 하나의 조직 유지에 무엇보다도 중요한 도구로 인식되고 있다”며 “강화된 보안이나 정보보호 수준을 높이기 위해선 조직원들이 어느 정도 불편함을 느낄 수 있지만 이러한 불편함 보다는 정보보호를 통해 얻는 이익이 크다는 것을 인식하게 할 필요가 있다”고 강조했다.

즉 모든 보안의 시작과 끝은 사람이라는 것이다. 사람이 보안의 필요성을 인식하고 준수하지 않으면 아무리 물리적 보안 수준을 강화한다고 해도 허점이 생기기 마련.

박 차장은 “보안을 담당하는 사람으로서 조직원이 느끼는 보안의 필요성 수준이 해당 조직의 보안 수준이라고 생각한다”며 “가장 중요한 것은 사람들이 보안의 필요성에 대해 인식하는 것이며 이제는 국가적인 차원에서 지속적인 보안 홍보와 체계적인 교육 및 보안시스템구축에 대한 재정적인 지원이 절실히 요구되는 시점”이라고 의견을 피력했다.

<글/사진 : 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제124호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>