정부는 제13차 정보통신기반보호위원회(위원장 임채민 국무총리실장)를 지난 4월28일 개최해 최근 금융권의 잇따른 보안사고로 국민들의 불안감이 확산됨에 따라 금융, 통신, 에너지 등 국민생활과 밀접한 정보통신기반시설을 안전하게 보호하기 위한 '정보통신기반시설 정보보호 강화방안'을 마련했다.
정보통신기반시설(정보통신기반보호법 제2조)은 안보, 행정, 국방, 치안, 금융, 통신, 운송, 에너지 등 관련 전자적 제어, 관리시스템 및 정보통신망이다.
정보통신기반시설에 대한 사이버 공격은 갈수록 지능화되고 피해규모도 대형화돼 국민생활 및 사회안전을 위협하고 막대한 경제적 손실을 초래하는 수준에 이르고 있다.
이에 따라 정부는 소관 주요 정보시스템에 대한 관리, 운영 실태 현장점검을 실시하고 정보보호 관리실태 및 문제점을 분석해 '정보통신기반시설 정보보호 강화방안'을 마련했다.
정보보호 강화방안의 내용을 살펴보면 첫째, 정보보호 분야 예산투자를 확대하고 정보보호 인력의 전문성을 높인다. 올해 6% 수준인 정보화예산 대비 정보보호 예산을 선진국 수준(9~10%)으로 확대한다. 기반시설의 정보보호 투자비율 등에 관한 지침을 마련하고 공공기관 경영평가에 인력․예산 등 정보보호 수준을 반영할 계획이다.
특히, 행정기관부터 선도적으로 개인정보 관리체계 강화를 위한 개인정보 암호화, 신종 DDos 대응장비 및 접근권한 관리시스템 확충 등 분야에 집중투자해 정보보호 예산을 9% 수준으로 대폭 확대할 계획이다.
또 정보보호책임자(CSO)가 정보보호 업무에만 전담하도록 하고 정보보호 담당자가 일정시간(책임자 : 연 16시간, 실무자 : 연 40시간) 이상 정보보호 교육을 받도록 의무화하는 한편 CSO포럼, 컨퍼런스 등을 통해 정보보호 관련 현안 공유 및 토론을 정례화한다.
아울러, 정보보호 전문인력을 양성하기 위해서 정부, 공공기관 담당자를 대상으로 정보보호 석사과정(야간․주말)을 신규 개설하고 현장의 수요를 반영한 고급인력을 양성하기 위해 고용연계형 석사과정 프로그램을 확대할 계획이다.
이와 함께 취약점분석사, 보안관제사 등 분야별 전문자격증을 신설해 인력의 전문성을 높여나갈 계획이다.
둘째, 기반시설에 대한 침해 예방 및 복구체계를 강화한다. 최근의 사이버침해 요인을 감안한 취약점 분석 및 평가기준(기술적, 관리적, 물리적 보안 196개 항목)을 5월까지 마련하고 중앙행정기관 소관 기반시설에 대해 정보보호 대책 이행여부를 확인하도록 계획이다.
또 재난이나 사이버공격에 대비한 원격지백업시스템 구축을 확대하고 연 1회 이상 백업 모의훈련 실시를 의무화한다.
셋째, 협력업체 직원에 대한 관리, 감독을 강화한다. 협력업체 직원에 대한 시스템관리자(root) 권한부여 금지 등 보안관리 지침을 7월까지 마련하고 보안관리 실태점검을 강화한다.
의무준수 사항은 주요 명령어 입력시 사전 승인, 운영PC 인터넷(유‧무선) 연결 금지, 시스템 변경 작업시 내부직원과 공동 실시, 노트북 원칙적 반입금지 등이다.
또 서버 접속시 공인인증서 등 보안성이 강화된 인증수단을 사용하도록 하고 원격접속제어시스템, 자료유출검사시스템 등을 기반시설 관리기관이 조기에 설치토록 권고해 나갈 계획이다.
넷째, 신규 주요정보통신기반시설 지정을 확대한다. 제2금융기관 중 보험, 증권, 신용카드사 등 핵심 시스템을 운영중인 기관에 대해 올해 중 신규로 주요정보통신기반시설로 지정하고 유통, 물류, 석유, 화학, 철강 등 분야의 정보시스템과 제어시설에 대한 전면 실태조사를 실시해 신규 지정을 권고할 계획이다.
다섯째, 정보통신기반 보호관련 법, 제도를 정비한다. 정보통신기반보호법을 개정해 전자적 침해행위 뿐만 아니라 인적, 물리적 위협으로부터 기반시설을 보호토록 하고 침해사고 발생시 기반시설 관리기관이 관계중앙행정기관, 행정안전부, 국가정보원 등에 사고통지를 하도록 의무화한다.
또 시행령을 개정해 기반시설 보호에 필수적인 핵심시스템 이중화, 원격지 백업시스템 등에 관한 사항을 추가 규정하고 취약점 분석․평가 주기를 1년으로 단축하는 한편, 신규 기반시설 지정권고에 대한 절차, 방법 등 필요한 사항을 규정할 계획이다.
앞으로 행정안전부는 정보통신기반보호법 및 시행령 개정안을 6월까지 마련하고 각 중앙행정기관 책임하에 소관시설을 점검하고 취약점을 보완한 후 위원회에 6월까지 보고하도록 하는 한편 협력업체 직원에 대한 보안관리 지침을 7월까지 마련하는 등 정보보호 강화방안을 적극 추진해 나갈 계획이다.
세이프투데이 윤성규 기자(sky@safetoday.kr)