홍진배 미래부 과장에게 듣는 2014년 정보보호정책 총정리  

하트블리드 대응·IoT 정보보호 로드맵 마련 등 의미 있어   

[보안뉴스 김태형] 정보보호 분야에서 2014년은 말 그대로 ‘다사다난(多事多難)’한 한해였다. 올해 초 카드사 고객정보 유출사고로 시작해서 현재 한국수력원자력 해킹 사고 등 크고 작은 보안사고가 끊이지 않았던 것. 하지만 수많은 보안사고에도 불구하고 정보보호 산업은 오히려 침체돼 산업 발전은 더디게 움직였다.

이와 관련 우리나라 정보보호 정책을 수립 및 추진하는 실무를 맡고 있는 미래창조과학부 정보보호정책과 홍진배 과장은 “올해는 카드사 개인정보 유출로, ICT 분야에서는 KT 정보유출 사고로 민관합동조사단을 운영하는 등 정보보호 분야에서 여러 가지 정책들이 시행된 한해였다”면서 “기억에 남는 것은 KT 정보유출사고 발생 2일째 되던 날 정보보호정책과장으로 발령받고 업무를 시작했는데 업무 파악도 하기 전에 사고대책 회의와 수습에 정신이 없었다는 점이었다”고 밝혔다.

올 한해를 마무리 하는 시점에서 홍진배 과장은 2014년 정보보호정책 추진성과 중에서 사이버 위협에 보다 효과적으로 대응하기 위해 사이버 위협 정보분석 공유 시스템 ‘C-TAS(Cyber Threats Analysis System)’을 본격적으로 운영하게 됐다는 점을 먼저 꼽았다.

올해 시범 운녕을 거쳐 지난 8월부터 본격적인 운영에 들어간 C-TAS는 사이버 침해사고의 신속한 대응을 위해 각종 사이버 위협 정보의 수집·분석·공유 체계를 고도화해 사이버 위협 정보, 악성코드 정보, 명령제어 서버 정보, 취약점 및 침해사고 분석 정보 등을 체계적으로 수집하고, 종합적으로 연관 분석함으로써 관계기관간 자동화 정보공유를 목적으로 하는 사이버 위협 예방·대응 시스템이다.

홍 과장은 “현재 C-TAS는 민간 72개 기관을 API를 통해 연동시켰으며 내년엔 이를 더 고도화해 확대시켜 나갈 계획이다. 이를 통해 특정 이벤트나 보안위협이 어떤 공격자들의 소행인지 추적할 수 있도록 했다. 공격 패턴과 상대방의 의도 등을 파악하기 위해 과거의 DB들을 모아 분석하고, 그 결과를 공유해 보안위협에 신속하게 대응하고 예방을 지원하게 된다”고 설명했다.

이는 기존 한국인터넷진흥원(KISA)의 분석 시스템에서 6시간이 걸렸던 것을 30분으로 단축시켰다. 특히 실시간 리얼타임으로 보안관련 이벤트나 취약점에 대한 정보 공유 및 분석을 통해 자료 공유가 가능하다. 예를 들면, 윈도우 보안 취약점이 나오면 이를 가장 먼저 파악하고, 바로 공유해 신속하게 대응할 수 있도록 한다는 것.

이어서 그는 “올해 또 하나의 성과는 지난 4월 발생한 삼성SDS 정보통신기술(ICT)센터 화재사고 이후, 61개의 집적정보통신시설(IDC)에 대해 안전점검을 시행한 것이었다”고 말했다.

안전점검을 통해 IDC센터의 화재·지진·홍수 등 재난에 대비한 안전장치 점검을 통해 미흡한 부분에 대해서는 시정 및 권고 조치를 취했고, 올해 비즈니스 연속성 수립에 대한 정보보호 지침 개정을 통해 내년에는 비즈니스 연속성 관련 가이드가 마련될 예정이라는 것.  

또 하나 주목할만한 것은 최근 급증하고 있는 스미싱 피해 예방과 대응을 위해 통신 3사에게 지난 9월부터 출시되는 스마트폰에 스미싱 차단 앱을 기본 탑재하도록 한 것이다.

이에 대해 그는 “스마트폰 백신 기본 탑재에 이어 올해에는 통신사별 별도의 스미싱 차단 앱 가운데 하나를 탑재하도록 했다. 최근 경찰 발표에 따르면 스미싱 피해규모가 많이 줄었고, 정부에서도 국민들에게 적극 알리고 관련 보도자료를 지속적으로 배포해 주의와 경각심을 높여나간 결과로 보고 있다”고 말했다.

또 한 가지 중요한 것은 ‘IoT(사물인터넷) 정보보호 로드맵’을 마련했다는 점이다. 홍 과장은 이번 한국수력원자력 정보유출 사건도 문제는 ‘IoT’라고 보고 있다. 즉 사이버와 물리적 시스템이 통합된 시스템을 의미하는 것으로, 이를 미국에서는 사이버 물리 시스템(Cyber Physical Systems)이라고 한다.

그는 “IoT 보안 위협은 이제는 생명과 직결되는 문제이기 때문에 체계적인 대응이 필요하다. 이를 위해서 실무자들이 위기의식을 갖고 범정부적 대책을 논의 중”이라면서 “앞으로는 모든 분야 학과에서 정보보안이 기본 교육이 되어야 한다. 이는 상당히 중요한 문제인데, 이를 위한 밑그림을 만들었다는 점에서 의미가 크다고 할 수 있다”고 덧붙였다.

홍진배 과장은 올해 정보보호 정책을 위한 계획 수립 측면에서는 앞서 말한 IoT 정보보호 로드맵을 만든 것이 가장 의미가 있었다고 손꼽았다. 그리고 대응적인 측면에서는 여러 가지 정보유출 사고에 대응하고 대책 마련에 나섰지만 그래도 가장 기억에 남는 일은 ‘하트블리드’ 취약점 발생시 적극적으로 대응한 점이었다고 말했다.

통상적으로는 새로 발생된 취약점에 대해서는 보안 공지를 올려 전파하고 이를 통해 서버관리자들이 적용된 시스템을 확인하고 업그레이드나 패치를 하는 방법으로 진행한다. 하지만 하트블리드는 치명적인 취약점이었고 대응시간이 급박하다고 판단했기 때문에 KISA와 함께 중견급 쇼핑몰과 중요한 기관들에 하나하나 전화연락을 통해서 하트블리드 취약점에 대해 알려주고 신속하게 패치가 이루어지도록 권고했다.

그는 “이렇게 하지 않았더라면 아마도 하트블리드에 의한 피해가 커졌을지도 모르는 일이다. 이를 통해 보안위협에 대한 적극적인 대처와 신속한 정보공유 및 전파가 매우 중요하다는 사실을 다시 한번 깨닫게 됐다”고 강조했다. 

이와 함께 올해 정보통신망법 개정을 통해 CISO 지정 신고제가 지난 11월 29일부터 시행됐다. 대상은 SW개발사, 정보호호관리체계(ISMS) 인증 대상 기업, 일평균 1000명 이상 방문하는 웹사이트 운영 기업, 통신판매업자 등으로 각 지방전파관리소나 미래부 전자민원센터를 통해 신고해야 한다. 

홍 과장은 “CISO 지정 신고제는 주요 정보통신망법 대상 기업의 CISO를 파악할 수 있고 또 연락체계도 갖춰질 수 있어 하트블리드와 같은 신규 보안취약점이라든지 보안위협에 대해 신속한 정보공유 및 전파로 더욱 효과적인 사이버보안 위협 대응이 가능해질 것으로 기대하고 있다”고 말했다.  

하지만 정보보안에서 무엇보다 중요한 것이 내실화이다. 하나하나 더 준비하고 실천해 나가야만 침해사고를 막을 수 있고 피해를 최소화시킬 수 있다. 항상 준비하는 자세가 가장 중요하다는 것이 그의 생각이다.

최근 소니 픽처스나 한국수력원자력과 같은 사고들이 우리 기업과 기관들에게 보안에 대한 경각심을 주고 보안의식을 높이는 계기가 돼 보안을 더 이상 비용이 아닌 투자로 이어지도록 해야 한다는 것이다.

이를 위해 미래부 정보보호정책과는 정보보안산업 측면에서도 실질적 투자가 이루어질 수 있도록 활성화 대책을 구체화하고 집행하는데 초점을 맞출 계획이다. 실질적인 보안 투자가 정보보안에 얼마나 중요한 것인지 깨달을 수 있도록 기업들을 독려하는 동시에 산업 활성화 가능한 방안을 마련해 추진한다는 계획이다.

‘정보보안은 하나의 문화로 인식되어야 한다’는 홍 과장은 “보안에 대한 ‘인식’이 첫 단추이다. 보안을 인식하는 것부터 다시 시작해야 한다. 보안을 인식하고 이를 통해 전체적인 사이버공간을 지키는 방향으로 나가야 한다. 정보보안에 대하 단순한 캠페인을 넘어서 지속적으로 인식시켜 하나의 문화로 정착되도록 하는 데 최선을 다할 방침”이라고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>