• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

국가기반시설 타깃 사이버공격 대비책 살펴보니... 2012.11.29

스턱스넷 등 정보통신기반시설 타깃 사이버공격에 대한 대비책 마련

주요정보통신기반시설에 대한 취약점 분석·평가 기준 강화 등 5가지


[보안뉴스 권 준] 스턱스넷 등 신유형의 사이버공격으로부터 우리나라의 주요정보통신기반시설을 보호하기 위한 체계적인 대책이 마련된다.


정부가 29일 제16차 정보통신기반보호위원회(위원장 임종룡 국무총리실장) 회의를 개최해 새로운 유형의 사이버공격에 대비한 정보통신기반시설 보호강화 대책 등을 논의하고, 국가기간 정보통신시설을 보호하기 위한 각종 제도와 기준 등을 새롭게 정비한 것이다.


정보통신기반시설은 정보통신기반보호법 제2조에 의거해 안보·행정·국방·치안·금융·통신·운송·에너지 등 관련 전자적 제어·관리 시스템 및 정보통신망을 의미하는 것으로, 이날 회의에서 행정안전부는 스턱스넷 등 고도화된 컴퓨터 바이러스 등으로부터 각종 제어시설을 안전하게 보호할 수 있는 방안을 제시했다.


이와 함께 주요 정보통신기반시설에 대한 취약점 분석·평가 기준을 개정해 기간 정보통신시설에 대한 체계적인 관리체계를 마련하겠다는 계획도 보고했다. 이날 논의된 안건의 주요골자는 크게 5가지다. 


▲ 정보통신기반시설의 취약점 분석·평가 기준 개선

종래 2년마다 실시했던 취약점 분석평가를 앞으로는 매년 실시토록 해 평가주기를 단축하고, 새롭게 등장하는 취약점에 대응하기 위해 취약점 점검 항목을 대폭 신설·확대한다는 것이다.


▲ 제어시설 보호강화를 위한 유관기관 협조체계 강화

△전문가 T/F구성 △제어시스템 전용 백신개발 △제어시스템 테스트환경 지원 등 분야별로 한국인터넷진흥원, 보안업체, 제어시설 관리기관 등 유관기관의 역할 및 협력방안을 표준화한다는 방침이다. 이를 위해 한국인터넷진흥원에 제어시설 보호 전담지원센터를 설립할 예정이다. 


아울러, 디도스, 사이버 해킹 등의 보안위협에 선제적으로 대응하기 위해 금년 말까지 ‘제어시스템 테스트베드’를 구축할 계획이다.


▲ 교통·정수시설 등 국민생활과 밀접한 관련이 있는 제어시설에 대한 강화된 보호대책 추진

주요 정보통신기반시설의 제어 시스템 보안 강화를 위해 중요 제어망은 외부망과 물리적으로 분리 운용할 수 있도록 전용 방화벽을 설치·운용하고, 내·외부 업무망과 연동이 필요할 경우 반드시 일방향 통신 등 안전한 망 연동 기법을 사용토록 한다는 것이다.


또한, 폐쇄망 운용 제어시설의 경우에도 USB 등 비인가 정보통신기기의 사용이 불가능하도록 전용솔루션을 도입할 계획이다.


아울러 일부 정보보호 관리수준이 낮은 제어시설 관리기관을 위한 사고유형별 대처방안 등 정보보호 가이드라인을 마련하고, 관리자 교육 및 외주 용역업체 대상 보안 관리도 강화한다.


▲ 협력업체 직원에 대한 관리·감독 강화

특히, 기반시설 유지보수에 참여하는 협력업체 직원에 대한 시스템 관리자 권한부여 금지 등의 정보보호관리지침을 마련하고 보안관리 실태점검을 강화할 예정이다.

▲ 주요정보통신기반시설 신규 지정

국민생활에 중대한 영향을 미치는 교통신호, 상수도 등 14개를 주요 정보통신기반시설로 신규 지정해 보호대책을 수립하고 체계적인 예방 및 대응체계를 마련할 계획이다.


이에 따라 앞으로는 주요 정보통신기반시설에 대한 보안수준이 전반적으로 강화될 것으로 기대되고, 시스템의 취약점에 대한 분석과 평가도 더욱 정밀해질 것으로 보인다.


이와 관련 행정안전부 장광수 정보화전략실장은 “국가기반시설에 대한 사이버 침해가 발생할 경우 피해규모가 크고, 사회적 혼란이 야기될 수 있어 철저한 사전예방과 신속한 대응체계 강화가 필요하다”고 강조했다.


덧붙여 그는 “DDos 등 사이버 공격에 대비하여 주요정보통신기반시설에 대한 정보보호강화를 위해 24시간 보안관제 및 비상근무를 실시하고, 이번 위원회에 보고한 주요정보통신기반시설 관련 보호대책을 관리기관에 즉시 통보해 정보보호강화 조치를 취하도록 하는 한편, 전문인력과 예산 등 지원체계도 강화할 계획”이라고 밝혔다. 


이번 대책에 대한 보안전문가들의 반응은 대체로 긍정적이다. 한 보안전문가는 “큰 틀의 방향은 잘 잡은 것 같다”면서도 “무엇보다 중요한 건 세부적인 절차와 프로세스를 체계적으로 마련해 이를 꾸준히 실천하는 일”이라고 조언했다.

[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>