| 권선택 의원, “정보보호 투자 확대 돼야...” | 2005.10.20 | ||
<Interview> “IT예산 대비 정보보호 투자비, 2~6%에 그쳐” 피해 최소화위해 “일 단위 로그분석 및 보고절차 필요”
권선택 의원(17대. 열린우리당) 최근 권선택 의원(열린우리당)은 국내 IT인프라에 비해 정보보호 투자가 미흡하다고 주장하고 있다. 또한 현행 월 1회 실시하고 있는 로그분석에 대해 ‘형식적’인 조사보다는 일 단위 분석을 통해 보다 효과적인 사이버 침해를 막아야 한다고 주장하고 있다. 권 의원의 말을 직접 들어보자. 현행 정통부의 보안침해 방지 대책의 문제점이 무엇이라고 생각하는가? 04년 중소기업 정보보호 실태조사 결과에 따르면 IT예산 대비 정보보호 투자비가 2~6% 수준으로 미국, 프랑스의 ??03년 IT예산 대비 정보보호 투자비는 8~10% 수준에 비해 매우 낮다. 특히, 국내 중소기업들 중 규모가 작은 기업일수록 정보보호 투자비가 낮게 나타나 정보보호 수준이 더욱 열악한 실정이다. 정통부는 정보보호 예산을 대폭 늘려야 하고 중소기업의 정보보호 활성화 대책 추진 시에 우선적으로 중소기업 스스로 정보보호를 할 수 있는 환경조성과 비용효과적인 정보보호 수행방법들을 제시하여야 한다. 정통부가 마련한 ‘정보시스템 구축, 운영기술 가이드라인’의 문제점을 지적한다면? 본 의원이 파악하기로 2004년 4월 ┖정보시스템 구축, 운영기술 가이드라인┖은 정보통신부가 정부혁신지방분권위원회(전자정부전문위원회)와 공동으로 관계 기관 및 전문가의 의견수렴을 거쳐, 정보시스템 간 상호운용성 확보 및 정보보호 강화 등을 위해 정보시스템 구축 · 운영시 준수해야 할 최소한의 기술기준을 마련하고자 하는 취지에서 제정된 것으로 알고 있다. 그러나, 현행 가이드라인이 최소한의 정보시스템 구축, 운용 가이드라인임에도 불구하고 이런 가이드라인이 있는지 조차 정부기관, 공공 및 금융기관에서 알지 못하는 것으로 파악되고 있다. 또한, 정통부 등 관련기관에서 매년 의견수렴을 거쳐 보완 및 업데이트 하겠다고 했지만 지켜지고 있지 않다. 권 의원이 지적한 일 단위 로그분석 의무화에 대해 정통부와 기업의 반응은? 정통부에서는 로그분석을 강화하여 해킹으로 인한 침해사고, 개인정보유출을 방지해야 한다는 본 의원의 의견에는 공감하나, 정부가 지침을 통해서 의무화하기보다는 해당 기관이 자율적으로 판단해 수행하도록 하는 것이 바람직하다고 의견을 제시했다. 또한, 일반기업의 경우는 불법적인 문서유출, 해킹시도 등의 기업 내 보안을 위해 대기업을 중심으로 로그분석을 실시하고 있다. 정통부와 관련 기업에서는 현행 한 달에 한번 로그분석이 적당하다고 주장한다. 반박 의견이 있다면? 최근의 인터넷 환경 및 전산환경은 보안침해사고가 거의 매일 발생하며, 그 방법이 고도화되고, 피해 또한 치명적이어서 월 1회 로그를 확인점검 분석하는 것은 부족하다고 판단된다. 따라서 로그분석 또한 현실에 맞고 실질적으로 도움이 되게 일 단위의 주기적인 분석이 필요하다. (로그 : 말 그대로 정보들의 지나간 흔적임. 정보통신에서는 네트워크 접속을 시도하려는 것이나 그 밖의 행위에 대한 기록을 말하는 것임. 이 로그를 분석함으로써 누가 언제 어떻게 침입하였는지, 침입원인을 알 수 있는 중요한 기록 자료.) 권 의원의 일 단위 로그분석 의무화 추진 의견은 자칫 기업들의 로그분석 시스템 구축을 의무화하라는 의견으로 비칠 수도 있다. 정확한 의중은 무엇인지? 현행, 정보통신망이용촉진 및 정보보호 등에 관한 법률에 따르면, 정보시스템에 대한 접속기록 및 침해사고 관련 로그를 저장 보관하도록 되어있다. (개인정보 접속기록의 위조ㆍ방지를 위한 조치(동법 제28조 및 시행규칙 제3조 2항), 침해사고 관련정보의 훼손ㆍ멸실 및 변경 등을 방지할 수 있는 조치(동법 제45조, 제48조 및 시행규칙 제10조 3항))
현행법에서 로그 저장 및 보관을 의무화한 이유는 문제가 발생했을 때 원인규명을 하고자하는 목적으로 하는 것으로 판단된다. 로그분석을 강조하는 이유는 문제가 생기기 전에 자가 검증을 함으로써 문제원인을 각 기관에서 스스로 파악하고 조치를 할 수 있도록 하자는 것이다. 특히, 통신회사의 경우 사이버 침해사고가 발생하면 국민 생활에 미치는 영향과 피해가 크기 때문에 침해사고 방지를 위해서 로그 저장은 물론이고 로그 분석을 통해, 스스로 자가 검증을 함으로써 문제 발생소지의 최소화가 필요하다. (로그분석 : 로그파일은 침입차단시스템을 통해 들어오고 나가는 모든 네트워크 접속을 기록한 파일로서, 로그분석을 하게 되면 가용성, 책임추적성을 강화시켜 내 · 외부자 및 비인가자에 의한 불법적인 접근시도와 악의적인 침입 흔적 및 사고 발생시 명확한 책임소재 입증이 가능해짐) 또한, 최근에 문제가 발생된 조달청의 전자입찰시스템도 사용자에 의한 악의적인 조작 침해 가능성에 대한 감시를 위해 ??주기적인 로그 분석 및 보고절차??가 필요한 것으로 파악되었다. 로그분석 시스템을 도입하려면 상당한 비용이 투입돼야 하는데 기업의 반발에 대한 의견이 있다면? 현재, 정보통신망법 제28조에 근거하여 제정된 ‘개인정보의 기술적, 관리적 보호조치 기준’에서는 개인정보 처리내역 등 접속기록을 저장하도록 하고 월 1회 이상 로그점검을 하도록 의무화하고 있다. (‘개인정보의 기술적, 관리적 보호조치 기준’ 제4조 정보통신서비스제공자 등은 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우에는 처리일시, 처리내역 등 접속기록을 저장하고 이를 월 1회 이상 정기적으로 확인 · 감독한다.) 위의 규정에 따라, 월 1회 이상 로그점검을 하기 위해 이미 준비된 시스템을 활용하거나, 처음부터 월 1회 뿐만 아니라 수시로 또는 일일단위의 로그 분석 및 점검을 한다면, 현재의 전산환경에 따라 실질적으로 도움이 되게 보안점검 및 분석을 실시할 수 있으며 로그분석의 본래의 목적에 맞는 효과적인 비용투자라고 생각한다. 현행과 비교해 일 단위 로그분석이 이루어지면 어느 정도의 사이버 침해를 막을 수 있나? 현행 법률은 로그의 저장이 중심으로 되어 있는데, 저장뿐만 아니라 저장된 로그의 분석이 중심이 되고 분석하는 주기 또한 일일단위로 하여 매일 로그를 모아 분석을 하면, 당일 발생했거나 잠복중인 해킹시도에 대하여 원인 파악을 신속히 함으로써 대응이 빨라질 수 있다. 또한, 그날그날 문제가 없었는지 각 기관에서 스스로 문제를 파악하여 확인 조치가 가능해지고, 현재 각 기관에서 보유한 정보통신기기의 정상상태 여부를 일단위로 파악이 가능해 질 것으로 생각한다. 즉, 월 1회의 형식상의 보안점검 및 로그 분석이 아닌 실질적이고 본래 의도에 맞는 로그분석 및 점검을 해야 사이버침해사고 예방에 실질적으로 도움이 될 것이다. 정보보호와 관련해 권 의원의 또 다른 의견이 있다면? 그동안 우리나라는 IT기술의 비약적인 발전을 토대로 정보통신환경은 세계 최고수준에 도달했다. 그러나 이렇게 정보통신 인프라에 대한 의존도가 높아지고 사이버공간의 영향력이 급속히 증가하면서 해킹 · 바이러스, 개인정보유출, 스팸메일 등의 부작용이 심각한 문제로 대두되고 있다. 향후 금융, 방송 등 주요 경제 · 사회활동과 IT분야의 컨버전스가 급진전되고 RFID 등 유비쿼터스 IT가 사회전반에 확산되면서 정보보호에 대한 사회적 관심과 수요가 늘어나고 있다. 정부의 정보보호 투자확대와 더불어 산업계, 학계 등과 연계하여 고도화되는 사이버공격에 대한 기술적인 대응방안 마련이 우선시 되어야 한다. [길민권 기자 is21@infothe.com] <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지> |
|||
 |
