| 3.20 전산망 대란, 보안원칙 외면해 발생했다! | 2013.04.04 |
3.20 전산망 마비, 관리·책임·대응·분석 등 국제 보안원칙 고려해야
[보안뉴스 김경애] 지난 20일 전국을 들썩이게 한 주요 방송사 및 금융권 전산망 마비 사태에 대해 많은 사람들이 보안체계를 개선해야 한다고 입을 모으고 있다.
따라서 이번 사태를 기점으로 혹시 미봉책으로 외부 침입에 대응하진 않았는지 방송사 및 금융권 뿐만 아니라 기업과 공공기관 등은 전체적인 보안체계에 대해 점검할 필요가 있다는 지적이다. 그렇다면 과연 어떤 절차를 거쳐 효율적인 보안체계를 수립할 수 있을까? 이와 관련 이재우 동국대학교 국제정보대학원 석좌교수는 “보안강화를 위해서는 가장 먼저 보안의 원칙을 지켜야 한다”며, “이와 함께 보안 가이드라인, 보안표준, 보안기준, 보안모델 등 공인된 프로세스에 입각해 보안 시스템이 갖춰졌는지 먼저 점검해야 한다”고 조언했다. 그러면서 그는 “보안에도 기본 원칙과 가이드라인이 있다”며, “보안조치를 취하거나 정보범죄 대응에 있어 사건 발생때마다 적당한 미봉책으로 보완하는 것이 아니라 거시적인 보안전략과 정책을 수립하고, 성공적인 보안관리를 위해 국제적으로 인증된 보안원칙을 준수해야 피해를 예방할 수 있다”고 설명했다. 현재 보편적으로 수용되는 국제적인 보안원칙은 미국 ISSA(Information Systems Security Association)의 GAISP(Generally Accepted Information Security Principles), OECD의 보안 가이드라인(Security Guidelines), 미 표준국의 보안원칙인 ‘NIST(National Institute of Standards and technology)’ 등 크게 3가지다.
OECD의 가이드라인은 미국의 9.11 사태 이전과 이후의 가이드라인으로 구분되는데, 9.11 사태 이후의 가이드라인은 보안의 인식성, 책임성, 대응성, 윤리성, 민주주의, 위험분석, 보안설계 및 시행, 보안관리, 재평가 등을 원칙으로 하고 있다.
그러나 이러한 국제적으로 인증된 보안원칙과 가이드라인이 있음에도 불구하고, 주요 방송사와 금융기관 등은 기본 원칙을 준수하지 않은 것으로 드러났다. 그 대표적인 사례가 망분리이다. 기본적으로 정보를 보호하기 위해서는 오픈 시스템인 인터넷망과 분리해야 최소한의 정보유출을 차단할 수 있는데 그렇게 하지 못한 것이다.
농협의 경우 이미 지난 2011년 전산망이 마비되면서 망분리를 해야 한다는 지적을 받아왔다. 그럼에도 불구하고 이를 개선하지 않아 이번 피해를 막을 수 없었다. 즉 원칙을 놓치고 간과한 점이 이번 전산망 마비 사태를 통해 드러난 것이다.
보안원칙에 대해 이 교수는 “빌딩을 세울 때 기본원칙에 입각한 체계적인 기술이 필요하듯 보안도 원칙과 체계적인 설계의 기반이 될 수 있는 확실한 보안정책을 수립하고, 보안을 전반적인 시스템 설계상의 필수항목으로 우선시해야 하는 점을 원칙으로 하고 있다”며, “인터넷은 오픈소스이기 때문에 중요한 정보는 망분리를 통해 별도로 분류해야 하고, 기존에 잘 알려진 보안 시스템을 사용하는 것 보단 나만 알고 있는 암호화 및 보안관리를 위해 맞춤형으로 보안 시스템이 구축되어야 한다”고 강조했다.
또한, 그는 “보안은 나 혼자만 해서 되는 것이 아니라 서로 협조적이어야 한다”며 “가이드라인을 정부기관에서 제시하면 잘 따라 이행하는 것이 좋다”고 덧붙였다. IT 강국이라는 위상만큼이나 국내 보안기술 또한 발전을 거듭하고 있다. 그러나 이번 전산망 마비 사태를 통해 발전한 기술에 비해 주요 기관 및 금융권에서 효과적으로 활용되지 못하고 있다는 점이 여실히 입증됐다. 따라서 효과적인 보안을 위해 좀더 근본적이고 체계적인 보안원칙을 수립해야 할 것으로 보인다. [김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
