한국남동발전 보안시스템 구축사례 \r\n

[시큐리티월드 김태형] 한국남동발전은 지난 2001년 한국전력공사로부터 한국수력원자력을 포함한 6개사로 분리한 발전회사중 하나다. 한국남동발전은 국내 전력발전 설비의 10%를 갖추고 전국 전력생산량의 12%를 차지하고 있는 6개의 화력발전소(화력 5곳, 복합화력 1곳)를 운영하고 있다.

\r\n

\r\n

\r\n\r\n\r\n

\r\n

\r\n

예전에는 발전시설 자체에 대한 보안을 중요하게 생각했다. 하지만 2000년대 들어오면서 제어 시스템이 IT화되고 정보통신기반시설 보호를 위한 정보통신기반보호법이 제정되면서 사이버보안에 중점을 두고 정부에서도 보안관리를 진행했다. 이러한 상황에서 한국남동발전은 사이버보안 위협 대응을 위한 노력을 지속해왔다.

\r\n

한국남동발전은 지난해 국정원에서 주관한 ‘공공기관 정보보안 관리실태 평가’에서 공공·준정부기관 60여 개 사 중에 1위를 차지했다. 또한, 올해 4월에는 사이버안전센터를 개소하고 내외부 정보유출, APT 공격 등 다양한 보안위협에 대한 상시 모니터링 체계를 갖추고 전문 인력들을 배치해 운영하고 있다.

\r\n

이와 함께 정보보안 자문위원회도 구성해 순천향대 염흥열 교수와 부산가톨릭대 이대성 교수를 초대 정보보안 자문위원으로 위촉했다. 이번에 처음 구성된 정보보안 자문위원회는 한국남동발전의 정보보안정책 전반과 중장기 방향 등 정보보안과 관련한 사항에 대해 다양한 자문활동을 펼칠 계획이다.

\r\n

\r\n

\r\n

\r\n\r\n\r\n\r\n\r\n

\r\n

\r\n 한국남동발전 사이버안전센터에서는 내외부의 정보유출, APT 공격 등 다양한 보안위협에 상시 모니터링을 하면서 보안위협에 대비하고 있다.

\r\n

주요정보통신설비의 패스워드 관리, OTP로 해결

\r\n

또 하나. 한국남동발전은 지난 2010년부터 OTP를 도입했다. 시범적으로 서버부터 적용했는데 효과를 본 뒤로 최근까지 3회에 걸쳐 사내 업무망 및 개인 업무용 PC까지 약 4억 원을 투자해 전사적으로 OTP를 적용했다. 이와 관련 한국남동발전 정보보호팀 박항규 차장은 “OTP는 지난 2010년 미래테크놀로지를 통해 시범사업으로 진행했다. OTP 도입 이전에 보안감사를 받을 때마다 보안 지적사항으로 주요정보통신설비의 패스워드 관리가 미흡했다는 것이었다”면서 “주요정보통신설비의 패스워드가 대외비이고 분기 1회 이상 변경해야 하며 패스워드가 PC에 저장해두면 안되는데, 이러한 규제와 관리가 사실상 쉽지 않았다”고 말했다.

\r\n

이어 그는 “이러한 이유로 우선 사내 서버에 OTP를 시범 적용했다. 당시 윈도우 서버에는 적용이 어려웠고 리눅스 서버에 적용했는데 매우 효과적이었다. 현재는 3회에 걸쳐서 사내 전 서버와 네트워크 장비, 사내 정보시스템 등 패스워드가 필요한 부분에 모든 부분에 걸쳐 OTP를 적용했다”고 덧붙였다.

\r\n

ID와 PW관리를 위해서는 계정관리 및 접근제어 등 다양한 방법이 있다. 하지만 한국남동발전은 가장 아랫단에 OTP를 적용함으로써 가장 기본적인 보안사항에 대해서 비용효율적인 효과를 얻을 수 있었다는 설명이다. 박 차장은 “OTP를 적용하면서 기대했던 효과는 패스워드 관리에 따른 인적, 물리적 비용이 발생할 것으로 예상했다. 하지만 OTP를 적용해 사용하면서 인적·물리적 비용의 경감을 가져왔다. 물론 보안수준도 한 단계 업그레이드됐다”고 강조했다.

\r\n

\r\n\r\n\r\n\r\n\r\n

\r\n

한국남동발전 정보보호팀 박항규 차장

\r\n

이에 따라 한국남동발전은 현재 1인, 1계정, 1OTP를 사용하고 있다. 하지만 처음부터 모든 것이 쉽게 되지 않았다는 것. 박 차장은 “처음 서버에 적용할 때는 특별한 애로사항은 없었다. 하지만 전사적 적용을 확대했을 때는 서버와 달리 직원들이 또 하나의 인증 매체를 더 가지고 다니면서 사용해야 하는 불편함이 제기됐다”면서 “그러나 한국남동발전 산하 각 사업소를 돌면서 보안의 중요성과 최근의 정보유출 해킹 사고의 예를 들어 교육을 진행하면서 협력업체 직원들에게 서버나 본사 업무망 접속이 가능한 아이디와 패스워드를 공유하는 것이 얼마나 위험한 일인지를 강조했다”고 말했다.

\r\n

이어서 그는 “이렇게 노력한 결과, 전사적으로 직원들의 보안의식이 높아지고 보안의 중요성을 하나씩 깨닫게 되면서 이제는 본사 전 직원과 각 사업소 직원들 모두가 OTP를 활용한 인증이 업무의 필수요소가 됐다”고 덧붙였다.

\r\n

\r\n

발전회사 최초로 OTP 도입

\r\n

이러한 OTP 활용은 발전회사 중에서는 한국남동발전이 처음으로 도입했다. 이러한 영향으로 한수원, 한국서부발전과 한국중부발전 등의 다른 발전회사에서도 이를 도입해 운영하고 있는 것으로 알려졌다.

\r\n

\r\n

이와 관련 미래테크놀로지의 김수용 부장은 “OTP는 전혀 새로운 기술이 아니라 가장 오래된 보안기술이다. OTP를 도입했을 때 보안효과에 대한 이해가 더 쉬운 아주 간단한 기술이며 적용하기가 쉽고 사용이 쉽다는 것이 장점”이라며, “OTP를 사용하기 위해서는 관리서버 및 인증서버 등 별도의 서버가 필요하지만 복잡하지 않고 설치가 간단하다”고 설명했다.

\r\n

OTP는 지난 1998년 삼성전자의 반도체 유출사고 당시 보안감사에서 패스워드 관리가 지적사항이었는데 이를 커버하기 위해 OTP를 사용하기 시작했다. 그리고 은행권에서 인터넷 뱅킹이 시작되면서 OTP 사용이 확대됐다.

\r\n

박항규 차장은 “발전소의 보안위협이라고 하면 예전엔 시설 자체에 대한 보안이 중요했다. 즉 위치정보나 시설보호, 외곽경비 등에 집중했었는데 2000년대로 들어오면서 전력시설의 제어 시스템이 IT화되고 사이버보안이 이슈가 되면서 점점 사이버보안에 중점을 두기 시작했다”면서 “또한 정보통신기반시설을 보호하는 정보통신기반보호법이 만들어지고 정부에서도 발전소 제어시스템을 주요 국가기반시설보호대상으로 정하면서 연 1회 취약점 분석 및 평가를 통해 필요한 조치를 취하도록 하고 있다”고 말했다.

\r\n

한편, 한국남동발전 보안조직은 정보통신팀 안에 있던 보안담당에서 지난 2012년 정보보안팀을 구성하면서 정보보안팀 7명, 사이버안전센터 교대근무 4명 등으로 구성되어 있다. 정보보안팀 구성원 대부분은 포렌식 전문가 등을 포함한 보안전문가들로 구성됐다.

\r\n

[글, 사진 시큐리티월드 김태형 기자]

\r\n

\r\n

[월간 시큐리티월드 통권 221호 (sw@infothe.com)]

\r\n

\r\n

<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>

\r\n