| 전자정부 보안강화를 위한 제언 | 2007.05.11 | ||
행정자치부 전자정부는 대형 SI 업체 및 중소 SI 업체들과도 다양한 프로젝트들을 진행하고 있다. 국내 대형 SI 업체들을 꼽아보자면, 삼성SDS, LG CNS, SK C&C, 포스데이타 등을 들 수 있다. 특히, SK C&C는 공공부문 프로젝트 중 보안사업은 대부분 자회사인 SK인포섹에서 도맡아 진행하고 있다. 그래서 인포섹 SI 컨설팅사업본부 이순재 수석 컨설턴트의 도움말을 통해 전자정부의 현재 보안상황과 미흡한 점 그리고 보완해야 할 점은 어떤 것들이 있는지 들어보았다. 전자정부, 보안역량 더욱 강화해야
이들 사업의 주요 내용은 전자정부의 핵심 인프라 업무를 활용하는 중앙 시·도 및 연계기관의 트래픽이 증대됨에 따라 인터넷서비스회선을 1G에서 2G로 증속하는 한편, 정보보호 및 전자적 침해행위에 대비한 대응체계의 일환으로, 2가지의 보호 대책을 구현하는 것이었다. 이순재 수석은 “지난해 전자정부는 사이버테러 예·경보 시스템을 확대 구축했다. 기존 중앙청사, 과천청사, 대전청사, 별관을 중심으로 한 보호영역에서 더 나아가, 행정정보를 유통하는 중앙기관 및 지자체에서 유입되는 사이버테러 및 바이러스 등 유해 트래픽을 24시간 감시하여 신속한 대응체계를 구현한 것”이라고 말했다. 이 결과 전자정부는 정보자원에 대한 해킹, 인터넷 웜, 분산서비스 거부공격 등의 사이버테러 공격에 대한 대응 능력이 향상되고 있고, 전자정부통합망 QoS 서비스 적용에 따른 전자정부 인터넷 서비스 자원을 효율적으로 활용할 수 있게 되었다. 올해도 이러한 내적 보안 역량을 강화하는데 투자를 해야 한다는 의견이었다. 전자정부의 관리적·기술적 보안 문제점 전자정부의 보안 문제점에 대해서 그는 관리적 부분과 기술적 보안 2가지 측면에서 의견을 제시했다. 이 수석은 “전자정부는 관리적 보안측면에서 보면 보안조직과 보안교육에서 미흡하거나, 보통인 수준이다. 그나마 중앙행정기관은 관제센터 및 상황실을 통해 외부 공격 및 웜·바이러스 유입에 대한 실시간 통제를 하고 있지만, 지자체 및 시·도 및 산하 시군구는 보안전담 인력부재, 전문기술 부재, 보안정보 부재 등으로 정보유출 가능성은 상시 존재한다”고 지적했다. 기술적인 보안측면에서 그는 “서버 시스템에서는 정보 노출, 권한 관리가 취약하다. 웹서버를 대상으로 본다면, 운영자나 관리자가 응용시스템의 구성이나 설정오류의 존재를 모르거나 방치함으로써 정보 노출·조작, 파일 다운로드, SQL Injection 등의 취약점이 존재 할 수 도 있다. 이외에도 파일 업로드, 설정오류, 인증부재, XSS 취약점 등의 취약점에 대한 내포 가능성도 있을 수 있다. 아울러, 관리자명 또는 해당 기관의 명을 그대로 계정이나 패스워드로 사용하고 있어서 비인가자에 의한 정보침탈 행위 가능성이 큰 상황”이라는 지적도 덧붙였다. 전자정부, 좀 더 보강해야할 ‘보안’ 이 수석은 전자정부가 올해 좀더 보강해야 할 보안분야에 대해 3가지로 요약해서 설명했다. 그가 말한 첫 번째는 보안조직의 확충이다. 이는 예산, 인력 등의 문제로 단기간에 개선되기는 어렵겠지만, 국가정보원 국가사이버안전센터(NCSC)의 발표에 따르면, 2006년 4월 이후부터 공공기관의 침해사고 건수는 지속적으로 2~3%씩 증가하는 것으로 나타나고 있다. 이러한 결과는 또 다른 지능화된 공격들이 나타나고 있기 때문이다. 16개 시도청 및 예하 시군구에도 보안전담인력을 시급히 확충해야 한다고 조언했다. 두 번째로, 정보시스템에 대한 보안 통제를 한층 더 강화해야 한다는 것이었다. 전자정부 대민서비스를 위한 외부구간에 공개된 장비들 즉, 웹서버, DNS서버, 메일서버 등은 보안 최적화가 양호한 편이다. 반면, 조직 내부 구간내에 존재하는 정보시스템을 본다면, 장비 자체 OS 보안패치 미실시 및 현 네트워크시스템들이 이미 알려진 장비상의 취약점을 그대로 안고 있는 부분이 있을 수 있기 때문에 이에 대한 대책적용이 필요하다고 말했다. 세 번째로는 중앙행정기관 즉, 4대 거점 구간(중앙, 과천, 대전, 별관)과 지자체와의 연결구간들에 대한 침해사고 대응체계가 한층 더 강화돼야 한다는 것이다. 이는 중앙과 시군구 연결 구간에 대해서는 취약한 구간들이 존재하기 때문에 이 구간에 대한 별도 보안강화 방안 및 자료유출 방지 방안을 마련하여야 한다고 덧붙였다. 전자정부는 지난 2004년을 기준으로 본다면, 보안정책이나, 자산관리, 인적보안, 물리적 환경적 보안 및 접근통제 영역에서 괄목할 만한 수준향상을 이루어 왔다. 이는 그간 지속적인 문제인식과 이에 대한 이행과제의 실천의 결과라고 전문가들은 말하고 있다. 하지만, 아직도 보안조직, 침해사고 대응, 내부 자체 보안감사 프로세스 등은 업무위주거나, 초보적인 수준을 면치 못하고 있다는 비판의 목소리도 있다. 이 수석은 “전자정부는 자체 보안관리지침 및 정보통신보안업무 내규 등을 통해 ‘자체 보안조직, 보안감사 및 보안수준 측정’ 이라는 규정을 마련하고 있지만, 지자체 및 예하 시군구의 실상을 보면 별로 실효성이 높지 않은 편”이라며, “이는 보안전담인력이 있지만, 대부분 행정업무를 겸임하고 있는 실정이며, 신규 보안사고나, 윔 바이러스가 유입되어도 즉각적인 대응이 어려운 양상을 보이고 있다. 또한, 보안감사 지침이나, 자체 보안수준평가 통제항목이 마련되어 있지만, 업무위주의 평가에 치중되어 있다”고 평했다. 끝으로 그는 “침해사고 발생시에 대부분 유지보수업체나, 용역업체에 치중하고 있다 보니, 정보자산의 중요성 인식부분에서는 점수가 떨어지게 된다. 결국, 보안절차나 규정이 있음에도 불구하고 지속적으로 유지되거나 준수여부가 제대로 실행되지 않고 있는 형편이다. 이는 내부 공무원, 상급 고위 관리자 및 정보시스템 운영자(관리자) 모두 3위 일체가 되어 ‘보안은 나부터’라는 인식을 가져야 할 때”라고 강조했다. Mini-Interview SK C&C 이길섭 상무
보안솔루션, 적합성과 가격경쟁력을 보고 결정 SK C&C 인프라 사업본부의 주된 업무는? Outsourcing 고객사의 IT Infra. 환경 구축 및 운용을 주 사업영역으로 잡고 있다. 또 ITSM 환경구축과 재해복구 프로젝트도 담당하고 있다. 그리고 각종 IT센터 구축 및 운영 등 Infra.기반의 SI 사업을 종합적으로 수행하고 있다. 올해 인프라 사업부에서 가장 역점을 두고 준비하고 있는 사업이 있다면? 기업 내부 운영효율화를 통한 비용의 최적화 및 경쟁력을 제고하는데 역점을 두고 있다. 또한 외부적으로는 OS 및 Infra. 기반 SI사업 영역에서 괄목할 만한 성장을 준비하고 있다. 전자정부 인프라 구축시, 가장 고려하는 사항이 있다면? 프로세스에 기반하여 지속적이고 안정적인 서비스 구현이 가능한 인프라 및 운영환경을 구현하는 것이 목표다. 특히, 전자정부에서는 보안이 중요하기 때문에 안정성에 중요성을 두고 프로젝트를 진행하고 있다. 전자정부 인프라 구축은 언제쯤 완료 예정에 있나? 올해까지 완료 예정이다. 인프라 구축시, 개별 솔루션을 도입할 때 가장 중점적으로 보는 사안이 있다면? 고객의 요건에 대한 적합성 및 가격 경쟁력을 가장 우선적으로 보고 있다. 개별 솔루션 공급 업체들과 컨소시엄 구성을 할 때, 컨소시엄 업체를 선정하는 기준은? 솔루션의 성능 및 품질 그리고 Delivery 역량을 우선적으로 본다. 예전과 최근, 고객사의 보안의식을 비교해 보면? 고객정보를 다루는 고객사의 경우 예전에 비해 매우 높은 수준의 정보보안 의식 및 보안을 위한 인프라를 구축하고 있는 추세이다. 특히 전자정부측도 보안에 상당히 신경을 쓰고 있는 분위기다. SK C&C 인프라 사업이 타 업체와 차별화 될 수 있는 점은? SKTelecom, SK(주)를 포함한 다양한 산업과 고객영역에서의 IT Infra. 구축 및 운영 경험을 통해 높은 수준의 기술 역량을 확보하고 있다는 것이 큰 장점이다. 최근 대두되고 있는 ITSM 구축 사업에서도 국민은행의 ‘종합 장애 및 서비스관리 시스템 구축’ 등을 성공적으로 수행함으로써 Infra.기반 SI 사업영역에서의 차별화된 역량을 보유하고 있다. [월간 정보보호21c 통권 제80호 길민권/김선애 기자(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|||
 |
