[인터뷰] 기획재정부 정보화담당관/정보보안담당관 이인옥 과장
내부자료와 정보유출 방지, 보안사고 예방에 중점 두고 교육과 훈련 실시
[보안뉴스 김경애] 북한이 악성바이러스를 심는 방식으로 수만 대의 좀비PC를 만들어 국내 주요 기관 전산망을 공격시도를 하고 있어 정부기관은 연일 긴장감의 연속이다. 게다가 국가·공공기관에서 사용하는 내부정보 유출방지 소프트웨어의 취약점을 활용해 해킹한 것으로 확인돼 이에 대한 경계 및 차단이 요구되고 있는 실정이라 더욱 긴장감이 맴돌고 있다.
▲기획재정부 정보화담당관 이인옥 과장(가운데)과 하현기 사무관(좌측), 최병철 주무관(우측).
이에 본지는 재정경제사이버안전센터를 운영하고 있는 기획재정부의 정보보안담당관실의 이인옥 과장과의 인터뷰를 통해 북한의 사이버위협에 어떻게 대응하고 있는지, 기획재정부의 정보보호에 대해 들어봤다. 다음은 일문일답이다.
Q. 먼저 기획재정부의 정보화담당관의 보안업무에 대해 설명해주신다면?
기획재정부 정보화담당관실에서는 직원들이 편리하고 효율적으로 업무를 수행할 수 있도록 정보시스템을 구축·운영 업무와 구축한 시스템과 정보를 안전하게 관리하기 위한 통제 업무를 수행하고 있어요.
보안업무의 경우 △기획재정부의 정보보안과 개인정보보호 업무 총괄, △소관된 주요정보통신기반시설과 국가기반시설의 보호업무 및 관련된 계획수립·지원·점검·모의훈련 △재정경제사이버안전센터 중심으로 기획재정부 및 유관․산하기관의 보안관제, 취약점 컨설팅, 전문교육 △기존에 구축된 보안관리 체계 점검 및 미비사항 보완 등의 업무를 하고 있습니다.
Q. 최근 북한의 사이버공격이 전방위적으로 확대되고 있는데, 어떻게 대비하고 있나요?
최근 북한의 핵실험, 장거리 미사일 발사, 개성공단 중단 등으로 남북간 갈등이 고조되고 있는 상황이라 집중모니터링을 하고 있습니다. 중점 추진사항으로는 기획재정부와 소속·산하기관의 사전적 예방활동을 위해 취약점 점검·모의훈련 등을 강화해 사이버침해 최소화를 위해 노력하고 있습니다. 또한 사고발생시 조기에 피해 확산을 차단하는데 주력하고 있습니다.이와 함께 보안담당자와 전직원을 대상으로 보안교육을 지속적으로 실시하고 있으며, 기관의 보안의식 수준을 한 단계 높이는데 노력하고 있습니다.
Q. 북한의 공격시도에 따른 이상징후는 없나요?
북한의 공격시도는 어느 부처나 다 마찬가지로 있을 수 있지만 2월부터 현재까지 악성코드가 뿌려졌거나 문제가 된 상황은 없습니다. 기재부 내의 사이버센터에서도 이상 징후는 발견되지 않았습니다.
Q. 기획재정부의 정보보호를 위해 가장 신경 쓰고 있는 부분은 무엇인가요?
아무래도 내부자료와 정보 유출방지, 그리고 보안사고 예방에 중점을 두고 교육과 훈련을 실시하고 있습니다. 보안전문가인 브루스 슈나이어는 자신의 저서 ‘비밀과 거짓말(Secrets and Lies)’에서 ‘보안은 제품이 아니라 프로세스다’라고 강조했습니다. 그만큼 완벽한 보안은 없으며 지속적인 관심과 투자, 교육이 필요하다는 얘깁니다. 이에 기획재정부도 재정경제사이버안전센터를 중심으로 일상적인 보안관리 활동을 강화하고, 지속적인 교육과 투자를 통해 중요한 자산을 안전하게 관리해 국민들에게 양질의 경제정책을 제공하도록 노력하고 있습니다.
외부 침입의 원인은 내부정보 유출로부터 시작되므로, 운영중인 정보시스템을 비롯해 부내 직원·협력업체 직원에 대한 보안관리를 강화하고, 교육 및 침해사고 대응훈련을 주기적으로 실시하고 있습니다. 더불어, 주요 관리자들이 정보보안에 관심을 가질 수 있도록, 보안이슈에 대해 주기적으로 정보를 제공하고 있습니다.
Q. 업무를 진행하시면서 가장 큰 애로사항 혹은 개선해야할 사항은 무엇인가요?
최근의 사이버 침해는 사회공학적 수법과 알려지지 않은 취약점을 활용하는 만큼, 기존 보안시스템으로 방어하지 못하는 영역이 지속적으로 발생하고 있습니다. 이에 대응하는 방법 및 가장 확실한 해결책은 직원 및 담당자에 대한 지속적인 교육이라고 생각합니다. 교육을 통한 보안의식 향상과 담당자의 전문성은 단기간에 나타나지도 않고 성과가 잘 보이지도 않지만, 기관의 보안수준을 한단계 업그레이드 하기 위해서는 필수라고 생각합니다. 이를 위해 집합교육·동영상교육·포럼 등 다양한 방법으로 교육을 실시하고 있으며, 앞으로도 지속적으로 수행할 방침입니다.
▲기획재정부 이인옥 과장
Q. 2016년 주요 정보보호담당관 업무 계획과 활동 계획은 무엇인가요?
2016년 주요 정보보호담당관 업무 계획은 △용역사업 보안관리 강화 △직원의 정보보안 역량 제고 및 대응능력 강화 △재정경제사이버안전센터를 통한 예방활동 강화 △PIMS 인증 및 개인정보보호체계 강화입니다.
먼저 용역사업 보안관리 강화의 경우 ‘용역사업통합보안관리시스템’을 구축해 정보화사업 단계별로 수행·점검해야 할 사항을 시스템화해 관리하고 있습니다. 특히, 이를 통해 주기적인 보안교육·점검, 계정관리, 제공자료에 대한 관리·회수 등 내부자료 유출을 방지하고 있습니다. 향후 해당 시스템에 대해선 주기적으로 활용교육을 실시하고, 사업별로 실적점검을 강화해 미비한 사항을 지속 발굴·개선토록 지원할 방침입니다.
직원의 정보보안 역량 제고 및 대응능력 강화에 있어서는 직원들의 보안의식 제고를 위해 교육과 모의훈련을 지속적으로 실시할 계획입니다. 이를 통해 정보보안의 기본소양을 넓히고, 사이버테러 발생시 초동조치와 신고로 피해예방 및 최소화에 노력할 것입니다.
이어 재정경제사이버안전센터를 통한 예방활동 강화는 재정경제사이버안전센터의 관제시스템을 고도화해 탐지·전파 신속도를 제고하고, 연계기관과 정보공유시스템을 활성화해 사이버위협정보를 상시 공유할 것입니다. 또한, 사이버안전센터 주관으로 각 기관의 주요 정보시스템 및 웹사이트의 취약점 점검과 개발보안교육 등 담당자대상 전문교육 및 사이버침해 대응훈련 등을 실시해 정보시스템의 보안성을 제고하고, 담당자의 전문성과 직원들의 대응역량을 향상시키겠습니다.
마지막으로 PIMS 인증 및 개인정보보호체계 강화의 경우 2011년 개인정보보호법 시행과 2014년 카드사 대규모 개인정보유출 등을 계기로 기획재정부도 개인정보관리체계의 근본적인 재검토와 보완작업을 해오고 있습니다. 올해에는 PIMS(Personal Information Management System)인증을 추진하고 있으며, 그 과정을 통해 개인정보보호 정책·시스템 등을 다시 점검하는 계기가 될 것으로 생각합니다.
[김경애 기자(boan3@boannews.com)]
내부자료와 정보유출 방지, 보안사고 예방에 중점 두고 교육과 훈련 실시
[보안뉴스 김경애] 북한이 악성바이러스를 심는 방식으로 수만 대의 좀비PC를 만들어 국내 주요 기관 전산망을 공격시도를 하고 있어 정부기관은 연일 긴장감의 연속이다. 게다가 국가·공공기관에서 사용하는 내부정보 유출방지 소프트웨어의 취약점을 활용해 해킹한 것으로 확인돼 이에 대한 경계 및 차단이 요구되고 있는 실정이라 더욱 긴장감이 맴돌고 있다.
▲기획재정부 정보화담당관 이인옥 과장(가운데)과 하현기 사무관(좌측), 최병철 주무관(우측).
이에 본지는 재정경제사이버안전센터를 운영하고 있는 기획재정부의 정보보안담당관실의 이인옥 과장과의 인터뷰를 통해 북한의 사이버위협에 어떻게 대응하고 있는지, 기획재정부의 정보보호에 대해 들어봤다. 다음은 일문일답이다.
Q. 먼저 기획재정부의 정보화담당관의 보안업무에 대해 설명해주신다면?
기획재정부 정보화담당관실에서는 직원들이 편리하고 효율적으로 업무를 수행할 수 있도록 정보시스템을 구축·운영 업무와 구축한 시스템과 정보를 안전하게 관리하기 위한 통제 업무를 수행하고 있어요.
보안업무의 경우 △기획재정부의 정보보안과 개인정보보호 업무 총괄, △소관된 주요정보통신기반시설과 국가기반시설의 보호업무 및 관련된 계획수립·지원·점검·모의훈련 △재정경제사이버안전센터 중심으로 기획재정부 및 유관․산하기관의 보안관제, 취약점 컨설팅, 전문교육 △기존에 구축된 보안관리 체계 점검 및 미비사항 보완 등의 업무를 하고 있습니다.
Q. 최근 북한의 사이버공격이 전방위적으로 확대되고 있는데, 어떻게 대비하고 있나요?
최근 북한의 핵실험, 장거리 미사일 발사, 개성공단 중단 등으로 남북간 갈등이 고조되고 있는 상황이라 집중모니터링을 하고 있습니다. 중점 추진사항으로는 기획재정부와 소속·산하기관의 사전적 예방활동을 위해 취약점 점검·모의훈련 등을 강화해 사이버침해 최소화를 위해 노력하고 있습니다. 또한 사고발생시 조기에 피해 확산을 차단하는데 주력하고 있습니다.이와 함께 보안담당자와 전직원을 대상으로 보안교육을 지속적으로 실시하고 있으며, 기관의 보안의식 수준을 한 단계 높이는데 노력하고 있습니다.
Q. 북한의 공격시도에 따른 이상징후는 없나요?
북한의 공격시도는 어느 부처나 다 마찬가지로 있을 수 있지만 2월부터 현재까지 악성코드가 뿌려졌거나 문제가 된 상황은 없습니다. 기재부 내의 사이버센터에서도 이상 징후는 발견되지 않았습니다.
Q. 기획재정부의 정보보호를 위해 가장 신경 쓰고 있는 부분은 무엇인가요?
아무래도 내부자료와 정보 유출방지, 그리고 보안사고 예방에 중점을 두고 교육과 훈련을 실시하고 있습니다. 보안전문가인 브루스 슈나이어는 자신의 저서 ‘비밀과 거짓말(Secrets and Lies)’에서 ‘보안은 제품이 아니라 프로세스다’라고 강조했습니다. 그만큼 완벽한 보안은 없으며 지속적인 관심과 투자, 교육이 필요하다는 얘깁니다. 이에 기획재정부도 재정경제사이버안전센터를 중심으로 일상적인 보안관리 활동을 강화하고, 지속적인 교육과 투자를 통해 중요한 자산을 안전하게 관리해 국민들에게 양질의 경제정책을 제공하도록 노력하고 있습니다.
외부 침입의 원인은 내부정보 유출로부터 시작되므로, 운영중인 정보시스템을 비롯해 부내 직원·협력업체 직원에 대한 보안관리를 강화하고, 교육 및 침해사고 대응훈련을 주기적으로 실시하고 있습니다. 더불어, 주요 관리자들이 정보보안에 관심을 가질 수 있도록, 보안이슈에 대해 주기적으로 정보를 제공하고 있습니다.
Q. 업무를 진행하시면서 가장 큰 애로사항 혹은 개선해야할 사항은 무엇인가요?
최근의 사이버 침해는 사회공학적 수법과 알려지지 않은 취약점을 활용하는 만큼, 기존 보안시스템으로 방어하지 못하는 영역이 지속적으로 발생하고 있습니다. 이에 대응하는 방법 및 가장 확실한 해결책은 직원 및 담당자에 대한 지속적인 교육이라고 생각합니다. 교육을 통한 보안의식 향상과 담당자의 전문성은 단기간에 나타나지도 않고 성과가 잘 보이지도 않지만, 기관의 보안수준을 한단계 업그레이드 하기 위해서는 필수라고 생각합니다. 이를 위해 집합교육·동영상교육·포럼 등 다양한 방법으로 교육을 실시하고 있으며, 앞으로도 지속적으로 수행할 방침입니다.
▲기획재정부 이인옥 과장
Q. 2016년 주요 정보보호담당관 업무 계획과 활동 계획은 무엇인가요?
2016년 주요 정보보호담당관 업무 계획은 △용역사업 보안관리 강화 △직원의 정보보안 역량 제고 및 대응능력 강화 △재정경제사이버안전센터를 통한 예방활동 강화 △PIMS 인증 및 개인정보보호체계 강화입니다.
먼저 용역사업 보안관리 강화의 경우 ‘용역사업통합보안관리시스템’을 구축해 정보화사업 단계별로 수행·점검해야 할 사항을 시스템화해 관리하고 있습니다. 특히, 이를 통해 주기적인 보안교육·점검, 계정관리, 제공자료에 대한 관리·회수 등 내부자료 유출을 방지하고 있습니다. 향후 해당 시스템에 대해선 주기적으로 활용교육을 실시하고, 사업별로 실적점검을 강화해 미비한 사항을 지속 발굴·개선토록 지원할 방침입니다.
직원의 정보보안 역량 제고 및 대응능력 강화에 있어서는 직원들의 보안의식 제고를 위해 교육과 모의훈련을 지속적으로 실시할 계획입니다. 이를 통해 정보보안의 기본소양을 넓히고, 사이버테러 발생시 초동조치와 신고로 피해예방 및 최소화에 노력할 것입니다.
이어 재정경제사이버안전센터를 통한 예방활동 강화는 재정경제사이버안전센터의 관제시스템을 고도화해 탐지·전파 신속도를 제고하고, 연계기관과 정보공유시스템을 활성화해 사이버위협정보를 상시 공유할 것입니다. 또한, 사이버안전센터 주관으로 각 기관의 주요 정보시스템 및 웹사이트의 취약점 점검과 개발보안교육 등 담당자대상 전문교육 및 사이버침해 대응훈련 등을 실시해 정보시스템의 보안성을 제고하고, 담당자의 전문성과 직원들의 대응역량을 향상시키겠습니다.
마지막으로 PIMS 인증 및 개인정보보호체계 강화의 경우 2011년 개인정보보호법 시행과 2014년 카드사 대규모 개인정보유출 등을 계기로 기획재정부도 개인정보관리체계의 근본적인 재검토와 보완작업을 해오고 있습니다. 올해에는 PIMS(Personal Information Management System)인증을 추진하고 있으며, 그 과정을 통해 개인정보보호 정책·시스템 등을 다시 점검하는 계기가 될 것으로 생각합니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
