• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[한국정보보호학회 칼럼] ‘국가 사이버안전 관리 실태’ 감사 보고서의 교훈 2016.05.04

감사원의 감사 결과, 운용과 관리의 부재로 인해 발생한 문제 대부분
사이버보안을 강화하기 위한 지속적인 노력이 가장 중요

[보안뉴스= 류재철 충남대학교 컴퓨터공학과 교수] 지난 4월 감사원에서는 2015년에 실시한 ‘국가 사이버안전 관리 실태’ 감사 결과를 담은 감사 보고서를 발표했다. 보고서에 따르면 감사원은 국가 사이버안전 관리체계 분야와 행정·금융·보건의료 관련 주요 정보보호 업무 추진 분야에서 23건의 위법·부당 및 제도 개선 사항을 확인했다. 감사 결과를 좀 더 들여다보면 다음과 같다.


우선 국가 사이버안전 관리체계 분야에서는 크게 2가지 문제점을 지적하고 있는데, 첫 번째는 주요 정보통신기반시설 지정과 관련해 미래부와 국정원이 지정 권고만이 가능하고 지정권한은 가지고 있지 않아 중앙행정기관이 지정 권고와 미지정 결정을 반복하고 있는 문제를 지적했다. 두 번째로는 정부의 종합대책에 따라 정보보호 전담인력을 증원했음에도 불구하고 실제 충원은 일부만 이루어지고, 충원 인력도 비전문 인력으로 이루어지는 등 인력 관리가 미흡한 점을 지적했다.

행정 부문에서는 부정 발급 및 불법 거래 문제가 발생한 아이핀 제도 운영 및 관리의 부적정성과 인터넷상의 불필요한 본인확인 요구 개선이 미흡한 점에 대해서 개선을 요구했다.

금융 부문에서는 일부 금융기관에서만 FDS(부정거래탐지시스템) 운영을 위한 전담조직을 구성하고, 금융사고 시 지급하는 준비금의 세부 지급기준을 마련하지 않는 등 소비자 보호조치가 미흡한 점과 상충되는 규제로 인해 금융 소비자에게 편리하고 다양한 서비스를 제공하는데 제약이 존재하는 점을 지적했다.

마지막으로 보건의료 부문에서는 2013년 발생한 개인정보 유출사고를 통해서 의료기관, 약국 등에서 사용하는 청구소프트웨어를 통해 의료정보가 유출될 수 있다는 사실을 인지하고도 보안기능 검사 등 의료정보 유출 재발 방지방안을 마련하지 않아 2015년 조제정보 43억 건과 진료정보 7억 건이 불법 수집·유출되는 사고가 재발하도록 방치한 점을 지적했다.

이번 감사원의 감사 결과는 크게 2가지 안타까운 측면이 존재한다. 첫 번째는 이번에 지적된 내용들이 새로운 사항이 아니라는 점이며, 두 번째는 기술적인 대안의 부재가 아니라 운용과 관리의 부재로 인해 발생한 문제라는 점이다.

기반시설에 대한 사이버보안 강화는 이미 수년전부터 강조돼온 사항이며, 여러 가지 기반시설 사이버보안 강화 대책이 나오고 있음에도 그 첫 단추인 기반시설 지정의 난맥상이 지적됐다. 또한, 정보보호 인력 양성의 중요성은 정보보호 분야에 몸담고 있는 사람이라면 누구나 강조하고 있는 내용이며, 인력 증원 정책을 수립해 시행에 옮기는 과정에서도 관리의 부실함이 드러났다.

행정·금융·보건의료 부문에서 지적된 내용 역시 해당 부처 등에서 이미 문제점을 인지하고 있었으며, 재발방지 대책을 수립한 사항임에도 대책이 부실하게 운영되거나 유사한 사고가 재발했다는 점에서 많은 반성을 하게 한다.

이번 감사결과 보고서에 문제점만 지적된 것은 아니다. 악성 앱에 감염돼 피해가 유발되는 스마트폰 이용자에게 감염 사실을 알리고 치료 서비스까지 제공하는 한국인터넷진흥원의 ‘모바일 응급 사이버 치료체계 구축 사업’을 모범사례로 소개하고 있다. 모바일 응급 사이버 치료체계는 새로운 기술을 개발하는데 그치지 않고, 치료체계 구축 사업에 소극적인 이동통신사들의 참여를 이끌어내기 위해 다양한 노력을 끊임없이 기울였다는 점에서 앞서 지적됐던 문제들과 대비를 이룬다.

글로벌 보안업체인 시만텍에서 매년 발간하는 ‘인터넷 보안위협 보고서’ 2016년 판에 따르면 웹 공격 시도 차단 성공 건수가 전 세계적으로 2014년에는 1일 493,000건이었는데, 2015년에는 1일 110만 건으로 2배 이상 증가했다. 대표적인 공격 루트인 웹을 통한 공격에 대응하기 위해서 기울여온 기술 개발과 관리 노력이 이제 결실을 보여주고 있음을 알 수 있다. 이런 결실을 보기 위해서 수많은 사람들이 대책을 수립하고 또 보완하기를 반복해왔다. 즉, 사이버보안을 강화하기 위해서는 지속적인 노력이 무엇보다 중요하다는 것이다.

사이버보안과 관련해 우리는 이미 많은 대책을 수립했지만, 이게 전부는 아니다. 끊임없는 관심과 체계적인 관리가 없다면 그 많은 대책들은 사상누각에 지나지 않을 수 있다. 이번 감사원 발표가 다시 한 번 마음을 다잡아 기존 기술과 대책들을 손보고 지속적인 노력을 기울이는 계기가 되길 바란다.
[글 _ 류재철 충남대학교 컴퓨터공학과 교수(jcryou@cnu.ac.kr)]

필자 소개 _ 충남대학교 컴퓨터공학과 류재철 교수는 1991년도부터 암호응용, 보안관리 및 평가, 스마트폰보안 분야의 인력양성과 연구활동을 수행해왔다. 현재는 한국인터넷침해대응팀협의회 회장, 한국인터넷진흥원 비상임이사, 금융보안원 자문위원으로 활동하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>