현행 분석평가기준의 운영상 미비점 보완...전문기관 역량 확대 필요 

[보안뉴스 권 준] 스턱스넷, 플레임 등 사이버무기로 대변되는 새로운 유형의 보안위협 및 각종 소프트웨어의 취약점이 잇따라 등장하면서 보안취약점 점검·분석에 있어서도 보다 철저한 대응이 요구되고 있다.

이러한 환경변화를 적극 반영하기 위해 현재의 취약점 분석평가 기본 항목 이외에 제어·DB·PC분야별로 취약점 분석항목이 신설·확대되고, 특수한 정보시스템에 대해서도 취약점 점검기준을 제시하는 등 현행 취약점 분석평가기준의 운영상 미비점이 보완됐다.

행정안전부에서 주요정보통신기반시설의 안정적 운영과 중요정보의 기밀성·무결성·가용성에 영향을 미칠 수 있는 위협요인을 파악하고 제거하기 위해 국정원 및 관계 중앙행정기관과의 협의를 통해 수립한 ‘주요정보통신기반시설 취약점 분석·평가기준’을 개정한 고시를 발표한 것.

이번 개정 고시안의 주요 골자는 관리기관의 장에게 매년 정기적으로 취약점의 분석·평가를 실시하도록 의무화하고, 새로 발견되는 취약점에 적극 대응하기 위해 제어시스템, DB, PC 분야별로 취약점 분석항목을 82개 신설·확대한 조항이다.

또한, 특수한 정보시스템의 점검기준은 현행 점검기준을 준용해 적용할 수 있도록 근거를 제시하고, 현재 취약점 분석·평가 점검항목별로 상·중·하로만 평가하던 것을 점수로 환산해 기관별로 정보보호 수준을 정량적으로 평가할 수 있는 방법을 추가하는 내용도 포함됐다.

이번 고시안에 적용을 받는 기관은 정보통신기반보호법 제9조에 따라 주요정보통신기반시설의 취약점 분석·평가를 수행하는 기반시설 관리기관에 해당된다.

이러한 취약점 분석·평가는 악성코드 유포, 해킹 등 사이버위협에 대한 주요정보통신기반시설의 취약점을 종합적으로 분석·평가·개선하는 일련의 과정을 의미하는 것으로, 주요정보통신기반시설의 경우 정보통신기반보호법 9조에 따라 취약점 분석·평가가 의무화돼 있다.

취약점 분석평가의 경우 주요정보통신기반시설의 관리기관이 직접 수행할 경우 자체 전담반을 구성해 진행해야 하며, 외부기관에 위탁할 경우 한국인터넷진흥원(KISA), 정보공유분석센터, 한국전자통신연구원(ETRI) 등과 롯데정보통신, 시큐아이닷컴, 싸이버원, 안랩, 에스티지시큐리티, 에이쓰리시큐리티, 인포섹 등 7개의 지식정보보안 컨설팅전문업체 등 전문기관에 의뢰해야 한다.

한편, 이번 고시안 개정과 함께 14곳의 주요정보통신기반시설이 신규 지정됐다. 주요정보통신기반시설로 신규 지정된 기관은 지정 후 6개월 이내에 취약점 분석평가를 실시해야 한다.

이번 고시안 개정과 관련해 한 보안전문가는 “취약점 점검·분석항목을 확대하고, 매년 정기적으로 취약점 분석·평가를 실시하도록 의무화했다는 점은 의미가 크다”고 평가하면서도 “취약점 분석·평가과정이 더욱 구체화된 만큼 컨설팅 전문업체를 비롯한 전문기관을 보다 확대하고, 전문인력 등의 역량을 강화하는 일이 무엇보다 중요하다”고 진단했다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>