• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

13만 국가인재DB, 검증작업 거쳐 7월 ┖오픈┖ 2007.06.18

7ㆍ8월 시범 운영중 DB보안에 대한 철저한 검증작업


중앙인사위원회는 지난 7일 ‘공직후보자에 관한 정보의 수집 및 관리에 관한 규정’ 개정안을 마련하고 국무회의 의결 등을 거쳐 이르면 7월부터 시행한다고 밝혔다.


개정안에 따르면 앞으로 각급 기관은 인사 상 목적을 위해 국가인재DB에 수록된 공직후보자 정보를 직접 열람하고 필요한 인재를 골라 쓸 수 있게 된다. 이른바 ‘국가인재DB 직접검색체계’가 새로 도입되는 것이다. 총 DB수는 13만 명에 달한다.


하지만 일부에서는 “국가인재DB를 이용하는 기관의 보안성을 어떻게 검증할 것인지, 그리고 접근제어를 어떻게 할 것인지에 대한 충분한 논의와 방안이 제시돼야 무단 정보유출을 막을 수 있을 것”이라고 조언했다.


이에 중앙인사위원회 관계자는 “7ㆍ8월 동안 우선 15개 중앙부처에만 시험적용을 해본 후, 안전성 테스트 기간을 거치고 수정할 사항이 발견되면 완전한 수정을 거친후에 전 부처로 시행을 확대할 것”이라고 말했다.


또한 13만 명의 인재 DB에 대한 유출이 있을 수도 있다는 지적에 대해 모 관계자는 “키보드보안, DB보안 등 각종 보안솔루션들을 도입한 상태고 국정원과 정보사회진흥원의 보안성 검토도 통과했다. 걱정하지 않아도 될 것”이라고 말했다.


그렇다면 DB 접근은 어떻게 제한하고 있을까. 우선 신청서를 접수한 중앙부처 인사담당자 1명에게만 ID와 PW가 부여된다. 이들이 사용하기 위해서는 위원회에 공문을 발송해 며칠간 몇 명의 DB를 검색하겠다는 승인을 받아야 한다고 한다.


그리고 중앙인사위원회 내부에서도 인사과와 조사과에서만 DB 접근이 가능하도록 설계했다. 그렇다고 누구나 들락 거릴 수는 없다. 인가자라 하더라도 언제ㆍ어떤 정보를 검색했는지 그 로그가 남도록 돼 있어 함부로 접근해 정보를 빼내갈 수는 없다고 한다.


하지만 보안을 철저히 했다고 하는 국내 굴지의 기업들도 정보유출 사건의 단골 고객이다. 어떤 형태로 사고가 발생할지 아무도 모른다. 얼마전 LG전자는 입사 시험에 낙방한 사람이 입사지원자들의 정보를 노출시킨 사례도 있고 국민은행과 농협 등에서도 공인인증서가 유출돼 고객들에게 피해를 줄뻔한 사고도 발생했다.


이외에도 대기업들에서 발생한 정보유출 사고는 비일비재하다. 그리고 공공기관의 홈페이지 취약성은 계속 지적돼 오고 있는 문제다. 이에 중앙인사위원회는 테스트 기간에 문제가 없는지 보다 철저한 보안성 검토를 실시해야 할 것이다. 다음은 손무조 중앙인사위원회 인재관리과 사무관과의 전화인터뷰 내용이다.


[인터뷰] 손무조 중앙인사위원회 인재관리과 사무관


-국가인재DB를 개방형으로 전환한 이유는

각 부처별로 외부 전문가들의 의견이 더욱 필요한 시대가 됐다. 이전까지는 민간 위원들을 위촉하기 위해서 각 부처별로 소수의 DB로 운영해오다 보니 공정성 시비도 발생했고 더 뛰어난 외부 인력들을 활용할 수 있음에도 DB 부족으로 힘들었다. 또 언론사나 인물DB를 판매하는 곳에서 인물을 검색하려면 비용도 들어갔다. 그래서 원활한 인재DB 활용을 위해 개방형으로 전환하게 됐다.


-언제부터 준비했나

지난해 11월부터 올해 3월까지 작업을 했다.


-보안성 검토는 이루어졌나

국정원에서 보안성 검토를 받았다. 또 정보사회진흥원의 감리도 받았기 때문에 프로그램적 보안에는 문제가 없다. 또 로그인시 공인인증서를 사용해야하고 키보드보안과 DB보안 등 해킹에 대비한 다양한 보안 솔루션을 도입했다.


-인재DB 접근 차단은 어떻게 이루어지나

각 정부부처 인사과 담당자 1명에게만 접근이 허용된다. 7~8월간 15개 중앙부처에서만 우선 시범적용해보고 안전성 테스트를 거친후 9월부터 전 부처에 도입할 예정이다. 또한 인가자라 하더라도 행망 내부에서만 사용할 수 있고 외부에서는 사용이 불가능하도록 조치했다. 그리고 인재검색시에 중앙인사위원회 승인을 얻어야 한다. 검색요청 공문을 위원회로 보내면 최대 10일까지만 DB검색이 가능하도록 제한해놓았고 검색 명수도 검색전에 제한을 할 것이다.


-인재DB에는 어떤 정보들이 들어있고 등록절차는 어떻게 되나

이력서 수준이다. 이름과 연락처, 경력사항, 학력 등이다. 그리고 등록은 학술진흥재단과 공무원 DB를 활용했다. 또 진흥재단의 정보도 개인의 동의를 득한 정보만 DB에 등재했다. 그리고 개인이 DB에 등록하는 경우도 있다. 이 경우는 루트가 다르다. 외부에서 등록할 때는 외부 서버를 통해 자료가 입력되고 이를 위원회에서 모니터링 한 후 본 DB에 등재해도 된다는 승인이 떨어지면 내부 본 DB에 올리게 된다. 그래서 외부에서 본 DB에 침입할 수 있는 경로는 없다고 봐야 한다.


-중앙인사위원회 자체 보안은 어떻게 이루어졌나

위원회 내부에서도 인사과와 조사과 두 곳에서만 DB에 접근할 수 있다. 그리고 ID와 PW를 가지고 있다고해도 누군가 DB를 검색하면 모니터링 시스템이 가동하기 때문에 누가, 언제, 어떤 DB를 열어봤는지 모두 알 수 있게 돼 있다. 그래서 함부로 DB에 접근하는 일은 있을 수 없도록 조치해 두었다.  

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>