제주도 안전 책임자를 만나다
물리 + 정보 + 인적 = 통합보안

[시큐리티월드 김성미] 제주도 서귀포시가 지난 12월 9일 서울 여의도 전경련 회관에서 진행된 ‘제14회 K-CIT 정보보호대상’에서 단체부문 우수상을 수상했다. 정보보호활동 모범 사례를 정착시킨 지방자치단체라는 이미지를 구축했기 때문이다.

서귀포시는 전 조직원 사이에 보안문화가 잘 형성돼 있는 지자체로 물리보안과 정보보안, 인적보안 3가지 부문에서 우수하다는 평도 받고 있다. 또한 제주특별자지도 통합 CCTV 관제센터 설치를 주도하기도 했다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲현을생 서귀포시장

CISO(정보보호최고책임자) 출신인 현을생 서귀포시장에게 서귀포시만의 보안 철학과 방법에 대해 들어봤다.

Q. K-ICT 정보보호대상 수상을 축하드립니다.
이번 수상은 서귀포시청 전 구성원이 그동안 정보보호의 중요성을 인식하고 노력한 결과라고 생각합니다.

그동안 시청 직원들은 정보보호 인식 제고와 역량 강화를 위해 뜻을 모아왔습니다. 또한 기술적이고 물리적 보안체계가 유기적으로 결합되는 실질적이고 체계적인 정보보호 업무를 수행할 수 있도록 큰 틀을 확립해 실제적인 보안이 가능하도록 노력을 기울여 왔습니다.

서귀포시는 전사적인 ISMS(정보보호관리체계) 유지·개선 및 정보보호활동을 적극적으로 수행해 왔으며, 전 직원을 대상으로 정보보호인식 제고를 위한 체계적인 관리 강화 노력을 기울여 왔습니다.

정보처리시스템 도입과 개편시에는 개통 전까지 보안 취약점 점검과 제거 활동을 완료하는 것을 의무화하고 있습니다.

앞으로도 서귀포시는 편안하고 안전한 전자정부 대민 서비스와 질 높은 공공정보 서비스를 제공할 수 있도록 최선을 다하겠습니다.

Q. 최근 융합보안의 중요성이 부각되고 있습니다.
새로운 IT 기술의 등장으로 위협이 다양해지면서 물리보안과 정보보호만으로는 방어가 어려워지고 있습니다. 이에 서귀포시는 물리보안, 정보보안, 인적보안을 융합한 통합 보안으로 전사적인 정보보호 관리체계를 확립하고 있습니다.

중요 자료 유출 방지를 위한 PC-결제시스템 융합형 무단복제방지인 DRM, 데이터유실방지 시스템인 DLP, 네트워크 트래픽 및 패킷 분석시스템, 정보통신시설 출입관리를 위한 영상감시시스템, 각종 웹 방화벽 및 TMS 등의 보안시스템을 운영하고 모니터링하고 있으며, 중앙정부 사이버관제센터, 도 사이버 침해대응센터, 서귀포시간 협업을 통해 내·외부 침입시도를 원천 차단하고 있습니다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲서귀포시청 정보화지원과 직원들

Q. 도 통합 CCTV 통합관제센터 구축에 서귀포시의 역할이 컸다 들었습니다.
당초 서귀포시가 먼저 센터를 구축하고 이듬해 제주시가 사업을 추진하기로 했으나 정책회의를 거쳐 도차원에서 통합해 운영하게 됐습니다.

전국 최초의 광역단위 센터를 구축하게 된 것이지요. 사업안을 먼저 제출한 서귀포시가 주도적으로 센터 구축 사업을 추진했습니다.

서귀포시 범환동 제주월드컵경기장 내에 센터가 구축된 후에도 운영을 위해 도청과의 협업 체계를 유지하고 있으며, 제주도는 각 행정구역 수요에 따른 CCTV의 설치 계획부터 완료까지 각 사업단계마다 도청과 시청이 협의절차 이행여부와 보안대책을 함께 점검하고 있습니다.

Q. CCTV 영상의 보호와 관리가 중요한 이슈입니다.
서귀포시가 설치해 운영하고 있는 CCTV는 모두 874대로, 최근 CCTV의 긍정적인 효과로 설치가 점점 늘고 있습니다. 이에 따라 사생활과 개인정보 침해에 대한 문제도 증가하고 있습니다.

서귀포시는 ‘서귀포시 영상정보처리기기 설치 운영방침’을 마련하고 개인정보보호법에 규정한 사항을 준수하고 있습니다. CCTV 운영부서가 자체적으로 개인영상정보의 안전성을 확보할 수 있도록 내부 관리 계획을 수립하고, 시행·접근통제, 접근권한 제한과 CCTV 시스템의 비밀번호 설정 등 안전한 저장과 전송을 위한 기술을 적용하고 있습니다.

아울러 안전한 물리적 보관을 위한 5가지 법률 준수사항을 이행하고 있습니다. 영상정보와 개인정보 유출 사고 예방을 위해 무엇보다 부서별로 주기적인 지도 점검과 추가 보완·개선 노력을 기울이고 있습니다.
서귀포시는 올해 개인정보보호 및 정보보호관리체계 구축 사업 등 4개 분야 24개 사업에 36억원을 투입해 다양한 정보보호 활동을 지속해 나갈 계획입니다.

Q. 서귀포시의 보안 철학은 무엇입니까.
보안에 있어 가장 중요한 것은 강력한 시스템이나 규제가 아닌 보안 마인드와 보안 문화라고 생각합니다. 조직 구성원 하나하나가 중요성을 알고 자발적으로 보호에 참여할 수 있도록 스스로 변화하는 것이 무엇보다 중요하다고 보고, 조직원들의 인식 제고에 힘을 쏟고 있습니다.

이를 위해 서귀포시는 종합 정보보호관리체계를 확립해 수행하고 있습니다. 이를 통해 ISMS 인증을 확득했으며, 전자정부 정보보호 컨설팅(행정자치부과 개인정보보호 컨설팅(한국인터넷진흥원) 등 규격화되고 공인된 활동을 하고 있습니다.

이같은 노력을 기울인 결과 ISMS 우수기관(2012년)으로 선정된 바 있습니다. 또한 안전한 개인정보보호를 위해 매년 1회이상 도-행정시 합동 모의훈련을 실시하고 있으며, 자체적으로도 2014년부터 모의침투 및 재해복구 훈련도 실시하고 있습니다.
[글 시큐리티월드 김성미 기자(sw@infothe.com)]

[월간 시큐리티월드 통권 228호(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>