• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[ISEC 2018] 지자체에서 꼭 알아야 할 보안이슈 4가지 2018.08.30

‘2018 지자체 정보보호담당자 워크숍’ 코엑스 아셈볼룸 203호에서 개최
소프트웨어 개발보안, 정보시스템 등급, 클라우드 보안, 랜섬웨어 등 최근 이슈 논의

[보안뉴스 김경애 기자] 지방자치단체(이하 지자체)의 정보보호 역량 강화를 위한 ‘2018 지자체 정보보호 담당자 워크숍’이 ISEC 2018의 동시개최 행사로 30일 코엑스 아셈볼룸 203호에서 열렸다.

▲한국인터넷진흥원 조은래 책임[사진=보안뉴스]


행정안전부가 주최한 ‘2018 지자체 정보보호담당자 워크숍’은 지자체 및 산하기관 정보보호 담당자 100여명을 대상으로 △소프트웨어 개발보안 제도 정책 추진 방향 △정보시스템 등급제 제도 △클라우드 컴퓨팅과 보안 △공공부문 랜섬웨어 동향 및 예방대책 발표 등 다양한 주제 강연이 진행됐다.

소프트웨어 개발보안과 관련해 한국인터넷진흥원 조은래 책임은 “홈페이지는 사용자 입력 값을 받기 때문에 보안약점에 노출될 수 있다”며 “하지만 개발자는 SW 기능과 영역에만 신경 쓰다 보니 다양한 보안약점이 발견돼 침해사고로 이어지곤 한다”고 지적했다.

이는 SW 개발과정에서 개발자의 실수, 논리적 오류 등으로 인해 발생될 수 있는 보안 약점들을 최소화해 안전한 SW를 개발해야 한다고 강조했다.

2017년 SW 보안약점 진단사업 결과에서 드러난 보안약점 탐지 현황을 살펴보면 입력데이터 검증 및 표현 42%, 에러처리 21.4%, 코드오류가 19.5%를 차지했다. 특히, △크로스사이트스크립트 △SQL인젝션 △부적절한 인가 △중요정보 평문 전송 △주석문 안에 포함된 시스템 주요 정보 △솔트 없이 일방향 해쉬 함수 사용 등이 주요 문제로 지적되고 있다.

이와 관련 조은래 책임은 “응용SW에 내재된 보안취약점을 악용해 계정탈취, 정보유출 등 침해사고가 유발될 수 있다”며 “연속적인 사용자 인증 시도 횟수만 제한해도 피해를 막을 수 있는 것처럼 소프트웨어 개발보안을 준수해 운영하는 게 바람직하다”고 당부했다.

이어 정보시스템 등급 제도에 대해 한국인터넷진흥원 김찬일 팀장은 “한정된 인력과 예산으로 모든 시스템에 동일한 수준의 보안관리를 하기란 현실적으로 어렵다”며 “시스템의 중요도, 보안성 등에 따라 등급을 나눠 보안관리를 차별화하는 방안 마련이 필요하다”고 강조했다.

▲한국인터넷진흥원 김찬일 팀장[사진=보안뉴스]


정보시스템 등급제는 현재 5등급으로 구분돼 나뉜다. △1등급은 국가존립과 관련된 국방, 외교, 통일 분야의 국가존립 시스템 △2등급은 지진, 항공, 자연재해 등 국민생명 관련(유사제어) 시스템 △3등급은 급개인정보, 건강증진 등 국민건강 관련된 중요정보 시스템 △4등급은 업무 수행을 위한 기관 단순 정보 시스템 △5등급은 공개 서비스로 국민에게 미미한 영향을 주는 공개 시스템이다.

정보시스템 등급산정 절차에 관련해 김 팀장은 “정보중요도 평가, 정보시스템 특성 반영, 기관 신뢰도 반영 등 3단계에 걸쳐 정보시스템 등급을 산정한다”며 “정보시스템 등급제를 적용해 정보시스템을 등급별로 나눠 보안관리를 해야 한다”고 설명했다.

▲한국인터넷진흥원 고현봉 책임[사진=보안뉴스]


클라우드 컴퓨팅과 보안 고려사항에 대해서는 한국인터넷진흥원 고현봉 책임이 강연했다. 고 책임은 “클라우드 구현 방식을 이해해야 한다. 클라우드 전문기업의 자문을 받아 IT 상태, 문화, 사업일정, 예산 등을 고려해야 한다. 자체 구축환경 보유 기업은 보안강화를 위해 클라우드 플랫폼을 활용하고, 클라우드 서비스 이용 기업 및 기관은 클라우드 이용자의 서비스 및 데이터를 보호하는 데 최우선 순위를 두어야 한다. 중소기업 등 보안조치가 필요한 기업 및 기관은 SecaaS를 활용하는 것이 좋다”고 설명했다.

올해 상반기 매그니베르 랜섬웨어 특징에 대해 한국랜섬웨어침해대응센터 이형택 센터장은 “메그니베르 랜섬웨어가 2018년 상반기 60%를 차지했다”며 “한글 윈도우 OS 등 공격부터 수백가지의 변종이 출현했다”고 밝혔다.

▲한국랜섬웨어침해대응센터 이형택 센터장[사진=보안뉴스]


특히, 랜섬웨어 방어의 어려움에 대해 이형택 센터장은 “시그니처, 패턴 기반 보안기술이 한계에 봉착했고, 해커가 기존 보안기술을 분석하는 등 해킹 방법이 점차 지능화되고 있다”며, “공격 탐지와 방어 매커니즘에 대해 심층적으로 연구함으로써 위협 행위에 대한 판단이 실시간으로 이뤄져야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>