[보안뉴스 김경애] 연말이 다가오면서 정부나 기관, 기업에서는 한해를 정리하는 분위기다. 그럼 정보보호 분야 한해는 어땠을까? 특히 3.20사이버테러를 시점으로 지난해와 올해는 다양한 사건사고들이 끊이지 않고 발생했다. 때문에 정부에서도 다양한 정책과 제도 개선에 나섰고, 각종 정보보호 법률이 개정되는 등 변화가 일었다. 이에 본지는 2014 국가정보보호백서를 살펴보면서 2013년 한해 동안 국내외에서 주요한 관심사로 떠오른 정보보호 10대 이슈와 그간의 정보보호 변화상을 살펴봤다.

1. 국가 사이버안보 업무 수행체계 정립

그동안 사이버안보 컨트롤타워가 부재하다는 인식이 여러 차례 제기돼 정부는 대책방안을 담은 국가 사이버안보 종합대책’을 지난 2013년 7월 공식 발표했다. 이후 9월에는 ‘국가사이버안전관리규정’을 개정함으로써 사이버위협 정보와 피해 등 사고상황을 청와대 국가안보실과 국정원에 동시에 전파하도록 하는 상황전파체계를 정립했다.  

2. 국가안보를 위협하는 대규모 사이버공격

이러한 정책 변화에 주요한 영향을 끼친 건 국가 주요기관 및 민간분야를 타깃으로 한 대규모 사이버공격 때문이며, 그 대표적인 예가 ‘3.20 사이버테러’다. 2013년 3월 20일부터 26일까지 약 1주일에 걸쳐 6개 방송·금융사 전산장비 파괴는 물론 전 국민을 대상으로 악성코드를 유포했으며, 당시 14개 대북·보수단체 홈페이지 자료 삭제, YTN 계열사 홈페이지 자료서버 파괴 등 피해가 연쇄적으로 발생했다. 피해 규모는 서버·PC·ATM 등 약 4만 8,000여 대이며, 시스템 영역을 파괴하는 기능을 갖춘 악성코드 70여 종이 발견됐다.

이어 2013년 6월 25일에는 ‘6.25 사이버공격’이 발생했다. 약 1주일에 걸쳐 방송·신문사 서버장비 파괴, 청와대, 국무조정실 등 국가 주요기관 및 민간기관 홈페이지 위변조, 정부통합전산센터 DDoS 공격 등이 발생했다. 약 300만 명의 개인정보가 유출된 것으로 알려졌으나 시스템 자체가 파괴된 경우도 있어서 개인정보 유출의 정확한 피해규모를 파악하기 어려운 점이 있었으며, 사고 조사결과 북한에 의한 공격으로 확인됐다.

최근에는 국내 발전소와 군 관계기관 등을 타깃으로 한 악성코드가 지속적으로 유포되고 있으며, 해외의 경우 북한 소행으로 추정되는 소니픽쳐스 해킹 논란이 이슈화되고 있다.

3. 정보보호에 대한 국제적 논의 활성화

이 때문에 정보보호에 대한 국제적 교류는 더욱 중요시 되고 있다. 이에 정부는 지난 2013년 10월 세계사이버스페이스 총회를 주최했으며, 사이버보안, 국제안보, 사이버범죄 등을 포함한 6개 분과의 토론이 이루어졌다. 그 결과 ‘서울 프레임워크 및 공약’이 발표됐다.

4. 악성코드 기법의 고도화 및 지능화

하지만 악성코드 기법은 날이 갈수록 고도화되고 있으며 지능화되고 있는 추세다. 특히, 모바일 악성코드는 지속적으로 증가하고 있다. 2013년 스미싱 관련 신고 접수된 신종 악성앱은 총 2,351건으로 2012년 15건 대비 150배 이상 증가한 것으로 나타났다.

게다가 스미싱 방식을 통해 기기 관리자 권한을 획득한 뒤 관리자 목록에서 자신을 숨기는 신종 악성앱이 다수 발견됐다. 또한, PC를 대상으로 하는 악성코드도 여전히 많은 피해를 발생시키고 있으며, 새로운 기법이 계속해서 등장하고 있다. 따라서 악성코드에 대한 대응을 위해 정부뿐만 아니라 관련 기업과 일반 이용자들의 주의가 요구되는 상황이다.

5. 정보보호산업 육성 및 인력양성 강화

이에 2013년 7월 정부는 2017년까지 사이버 전문인력 5,000명을 양성하고 기술경쟁력을 강화해 나갈 것이라고 발표했으며, 인력 양성에 박차를 가하고 있다. 하지만여전히 어린 학생들의 해킹범죄도 증가하고 있어 윤리교육 등의 문제도 시급한 상황이다.

6. 주요정보통신기반시설 지정 확대

다음은 주요정보통신기반시설 지정이 확대됐다. 정부는 2013년 4월 제4차 민간분야 정보통신기반보호 실무위원회를 개최했다. 관계부처와 합동으로 국가 중요시설에 대한 전수조사를 실시, 적절성·필요성 등을 검토해 기반시설 지정 확대를 추진했으며, 2013년 209개의 주요정보통신기반시설이 2014년 1월에 292개로 확대됐다.

7. 정보보호 관리체계 제도 개선 및 대상 확대

다음은 정보보호 관리체계 제도 개선이다. 통신사, IT서비스 업체, 웹사이트 등 정보통신서비스 사업자 중 연 100억 원 이상의 매출을 올리거나 하루 평균 이용자 수가 100만 명 이상인 사업자는 ISMS 인증을 의무적으로 받아야 한다.

또한 인증기준도 최신 보안관리 기준을 반영하고 중복 항목을 통합해 104개로 개선했다. 개정된 인증기준은 정보보호 관리과정(12개 통제 항목, 필수)과 정보보호대책(92개 통제 항목, 선택)으로 구성된다. 현재 KISA 측에 따르면 올해 말 기준으로 의무대상자 95%가 인증을 취득할 것이라고 본지를 통해 밝힌 바 있다. 그러나 취득하지 않은 기업의 과태료 부과 기준은 앞으로 어떻게 되는지 아직 명확하지 않아 향후 주목해 봐야할 것으로 보인다.

8. 정부기관 및 지방자치단체 홈페이지 시큐어코딩 의무화

ISMS 인증 의무화에 이어 시큐어코딩도 의무화됐다. 정부는 2013년 1월부터 SW 개발보안을 40억 이상 신규 구축사업에 의무적으로 적용하도록 한 데 이어 2014년 보안수준을 높이기 위한 사전조치로써 국가기관 홈페이지 등 SW 보안취약점을 진단할 수 있는 관련 전문가 200명을 2013년 말까지 양성하겠다는 계획을 발표했다.

이를 위해 2013년 7월부터 134개 정부기관 및 지자체의 대표 홈페이지에 SW 개발보안 적용을 시범 진단한 바 있다.

9. 주민등록번호 수집 및 이용 제한

지난해부터 올해는 유독 개인정보 유출사고가 많이 발생했다. 2013년 8월, ‘개인정보보호법’이 개정됨에 따라 2014년 8월부터 민간뿐만 아니라 공공기관도 원칙적으로는 주민등록번호 수집이 금지되고, 주민등록번호에 대한 관리 책임이 강화됐다.

주민등록번호가 분실·도난·유출·변조·훼손된 경우 5억 원 이하의 과징금을 부과·징수할 수 있도록 하고 있으며, 개인정보보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때에는 대표자 또는 책임 있는 임원을 징계할 것을 권고할 수 있도록 했다.

10. 클라우드 컴퓨팅과 빅데이터의 보안 이슈화

마지막으로 클라우드 컴퓨팅과 빅데이터의 보안이슈다. 정부는 클라우드 컴퓨팅 보안 솔루션의 다각적 제시로 2013년 1월 정부는 국가·공공부문 클라우드 컴퓨팅 보안 가이드라인을 배포했다. 또한, 빅데이터 관련 보안이슈에 대한 정책 마련을 위해 2013년 12월 ‘빅데이터 산업발전전략’을 관계부처 합동으로 발표한 바 있다. 특히, 클라우드 컴퓨팅과 빅데이터는 새로운 보안이슈들을 지속적으로 양산시킬 것으로 보인다. 향후에도 정부와 이용자의 꾸준한 보안 강화 노력이 필요하다.

이처럼 사이버 침해사고 예방을 위해 정부에서는 법과 제도를 강화했으며, 기업정보보호 제도는 정보보호에 대한 기업들의 관심과 노력을 촉진하는 데 큰 기여를 할 것으로 보인다. 하지만 기업 스스로 적극적인 관심을 갖고 자발적으로 노력하는 것이 중요하며, 무엇보다 개인 스스로 보안인식 개선을 통해 보안을 강화하는 일이 선행되어야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>