[보안뉴스 오병민] 서울시는 광역자치단체로는 처음으로 자체적인 ‘사이버보안평가제도’를 추진할 계획이라고 15일 밝혔다. 이 평가제도는 단계별로 서울시청과 관련된 본부 및 사업소, 25개 자치구, 16개 투자출연기관에 적용된다.

세부 추진 계획은 도입기와 안정기, 고도화기로 나눠 세단계로 진행한다. 도입기는 핵심 보안관리 체계 중심으로 진행되며 안정기에는 통합보안 관리체계 확립, 고도화기에는 융합보안 관리체계 확립을 목적으로 추진된다.

이번 평가제도는 기존 정보보호 관리체계의 핵심적인 부분을 요약해 자동화를 적용한 것이 특징이다.

자동화가 가능한 항목은 △NAC △취약점점검도구 △바이러스 백신 등 보안솔루션과 연동한 자산 및 취약점 관리, 위험평가 및 위험처리 부분으로 핵심 보안정책 문서 관리나 자산관리대장, 위험평가보고서, 수준평가결과보고서, 월간정보보호활동보고서 생성 등 문서관리는 수동적으로 진행된다.

기존 정보보호 관리체계의 정보보호관련 통제요건을 살펴보면 ISO27001의 경우에는 139개, G-ISMS의 경우에는 개인정보보호를 포함하여 156개 통제항목으로 구성되어 있다. 그리고 세부통제항목까지 포함할 경우에는 1,000여 개 이상이다.

그러나 서울시의 모든 자치구들이 정보보호 관리체계에서 제시하는 통제요건을 모두 충족시키는 것은 현실적으로 불가능하다고 판단하고 ISO27001 및 ISMS를 운영한 경험을 바탕으로 측정가능하고 위험관리측면에서 비용·편익적이고 필수적인 통제를 추려 평가항목에 포함시켰다. 더불어 일부 항목은 자동화를 적용시켜 편의성을 향상시켰다.

서울시 김완집 보안팀장은 “서울시와 자치구의 특성상 기존의 정보보호관리체계가 요구하는 모든 요건을 동시에 충족하고 운영하는 것은 비용 대비 효과 측면에서 어려움이 있다“면서 “사이버보안평가제도는 기존 정보보호체계를 취득·운영하면서 나온 문제점을 개선하고 서울시 및 자치구의 환경과 특성을 고려해 수작업을 최소화하고 자동화가 가능하도록 구현했다”고 밝혔다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>