사이버테러 사전예방 위해 현장·지도 점검, 의료기관 정보보안 강화 지원 방침
[보안뉴스 김경애] 보건복지부의 정보화담당관은 정보보안 정책 및 기본계획 수립·시행 업무와 정보 시스템의 구축·운영 업무, 그리고 구축한 시스템의 정보를 안전하게 관리하기 위한 업무를 담당하고 있다. 이를 바탕으로 보건복지부의 정보보안과 개인정보보호 업무를 총괄하며, 주요정보통신기반시설의 보호 업무와 관련 계획 수립·지원, 현장 점검은 물론 기존에 구축된 보안관리체계 점검과 미비사항을 보완하는 등의 업무도 수행한다.
▲ 산하기관을 대상으로 보안교육을 하고 있는 홍영숙 과장
2016년 보건복지부의 주요 정보보호 업무로는 선제적·예방적 보안을 위한 현장·지도 점검을 강화하고 정보보안 사각지대 해소를 위한 보안관리 지원을 확대하는 일이다. 특히, 국민 생활과 밀접한 관련이 있는 병원 등 보건복지 분야 시설이 침해사고를 당했을 경우 국가적 혼란과 국민들에게 직접적인 피해가 발생할 수 있어 사이버테러 위협과 침해시도를 선제적으로 대비할 수 있도록 예방활동 강화에 주력하고 있다.
이와 관련 보건복지부는 2015년 말부터 소속·산하 공공기관에 대해 자체점검을 실시했다. 보건복지사이버안전센터의 정보보안 전문가들로 구성된 3개 팀이 1~2월 현장·지도 점검을 실시했으며, 추가로 보건복지부 소속기관 25곳의 정보 시스템을 대상으로 사이버대응 현장 지도·점검을 지속적으로 실시할 예정이다.
또한, 실제 침해사고가 발생했을 경우 신속한 대응과 조치가 가능하도록 각 기관 정보보안담당자들의 사이버위기대응 모의훈련 대상 및 기간을 확대하고 있다. 뿐만 아니라 매년 보건복지 분야 해킹방어대회를 개최해 최신 해킹 기술과 관련 정보를 공유하고 있다.
이와 관련 보건복지부 홍영숙 정보화담당관(과장)은 “앞서 시행한 보건복지 분야 주요시설에 대한 긴급점검 결과 피해사례는 없었지만 사이버테러를 사전에 예방하기 위해 지속적으로 현장·지도 점검을 강화하고, 관련 기관간 긴밀한 협조체계를 유지해 국민생활에 피해가 발생하는 일이 없도록 노력할 것”이라고 밝혔다.
특히, 최근 문제가 되고 있는 랜섬웨어와 개인정보 유출사고에 대해 보건복지부 측은 지난 3월 17일 대한병원협회에서 주최한 제8회 병원의료정보화 발전포럼에 참석해서 병원 측의 피해실태를 설명하고, 보안강화 대책에 대해 강연했다.
이와 관련 홍영숙 과장은 “최근 북한의 사이버공격이 급증하고 있으며 의료기관이 사이버테러의 타깃이 될 수 있기 때문에 상용메일과 홈페이지를 타깃으로 한 공격 가능성에 더욱 주의해 줄 것을 당부했다”고 말했다.
이어 의료기관 정보보안 강화를 적극 지원할 방침이다. 이와 관련해서는 주요정보통신기반시설로 지정된 6개 민간 종합병원에 대한 실태점검을 지원한 바 있으며, 앞으로 7개 국립병원에 대해 취약점 점검과 보안수준 진단 업무를 지원할 예정이다.
북한의 사이버위협 확대와 관련해서 보건복지부는 지난 3월 15일 방문규 차관 주재로 보건복지 분야의 공공·민간 주요정보통신기반시설 42개 기관을 대상으로 한 ‘정보보호책임자 사이버안전 대책회의’를 개최했다. 이를 통해 각 기관별 사이버공격 대응체계와 시스템별 예방대책 등 사이버위협에 대비한 전반적인 상황을 점검했다.
또한, 국가사이버위기 경보가 주의 단계로 유지됨에 따라 보건복지 분야 공공산하기관 및 주요정보통신기반시설로 지정된 민간 병원은 ‘주의’ 경보에 따른 대응태세를 갖추고 있다. 보건복지사이버안전센터는 비상근무태세를 유지하고 있는데, 다행히 현재까지는 악성코드 감염으로 인한 피해나 침해사고가 발생한 사례는 없었다는 게 홍 과장의 설명이다.
하지만 보건복지 분야의 정보보호 강화를 위해선 개선해야 할 부분도 적지 않다는 지적이다. 우선 33개 부처 직제가 일부 개정됐지만 보건복지부는 정보보호 전담조직이 신설되지 못했다. 공공기관 중 개인정보를 가장 많이 보유하고, 소속·산하 공공기관뿐만 아니라 지방의료원 등 다수의 기관을 대상으로 보안관제 서비스를 하고 있음에도 전담조직 신설대상에 포함되지 못한 것이다. 이 때문에 올해는 보다 효율적인 정보보안체계 지원을 위해 정보보호 전담조직 신설에 더욱 주력하고 있는 상황이다.
두번째로는 날로 지능화·고도화되는 공격을 탐지하고 예방할 수 있는 방안을 마련하는 일이다. 이에 대해 홍영숙 과장은 “최근 발생하는 사이버공격 사례에서 보듯이 기존의 보안체계로는 더 이상 안전하게 내부 중요자산을 지킬 수 없게 됐다”며, “특히, 상당한 수준의 보안 솔루션이 구축되어 있음에도 악의적인 외부 해커의 공격이나 내부 직원에 의한 정보유출 상황을 사전에 탐지·차단하는데 한계가 있을 정도로 해킹기술은 방어기술을 앞지르고 있다. 이에 침해사고를 효과적으로 탐지·예방할 수 있는 방안을 마련하는 것이 가장 큰 과제”라고 꼽았다.
기존의 정보보호 관리체계는 보안 솔루션 중심의 기술적 대책과 보안정책을 기반으로 사용자를 통제하는 방식이었다면, 앞으로는 응용프로그램, DB, 콘텐츠 등 전사적 시스템에 대한 비정상행위를 지속적으로 모니터링 할 수 있는 체계를 마련하는 방식이 되어야 한다는 것. 이를 위해서는 사용자의 권한과 책임을 명확히 규정해 자발적으로 보안규정을 준수할 수 있도록 전통적인 보안인식 제고 및 훈련 프로그램과 구별되는 별도의 교육 프로그램을 개발하는 것이 필요하다는 얘기다.
보건복지부의 정보보안 분야 추진계획에 대해 홍영숙 과장은 “정보보호체계 강화를 위해 정보보안 전문인력 확충 및 전담조직 확보에 주력하고, 보건복지분야 산하기관의 정보보호 컨트롤타워 역할로서의 위상을 정립할 수 있도록 지속적으로 노력해 나가겠다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
[보안뉴스 김경애] 보건복지부의 정보화담당관은 정보보안 정책 및 기본계획 수립·시행 업무와 정보 시스템의 구축·운영 업무, 그리고 구축한 시스템의 정보를 안전하게 관리하기 위한 업무를 담당하고 있다. 이를 바탕으로 보건복지부의 정보보안과 개인정보보호 업무를 총괄하며, 주요정보통신기반시설의 보호 업무와 관련 계획 수립·지원, 현장 점검은 물론 기존에 구축된 보안관리체계 점검과 미비사항을 보완하는 등의 업무도 수행한다.
▲ 산하기관을 대상으로 보안교육을 하고 있는 홍영숙 과장
2016년 보건복지부의 주요 정보보호 업무로는 선제적·예방적 보안을 위한 현장·지도 점검을 강화하고 정보보안 사각지대 해소를 위한 보안관리 지원을 확대하는 일이다. 특히, 국민 생활과 밀접한 관련이 있는 병원 등 보건복지 분야 시설이 침해사고를 당했을 경우 국가적 혼란과 국민들에게 직접적인 피해가 발생할 수 있어 사이버테러 위협과 침해시도를 선제적으로 대비할 수 있도록 예방활동 강화에 주력하고 있다.
이와 관련 보건복지부는 2015년 말부터 소속·산하 공공기관에 대해 자체점검을 실시했다. 보건복지사이버안전센터의 정보보안 전문가들로 구성된 3개 팀이 1~2월 현장·지도 점검을 실시했으며, 추가로 보건복지부 소속기관 25곳의 정보 시스템을 대상으로 사이버대응 현장 지도·점검을 지속적으로 실시할 예정이다.
또한, 실제 침해사고가 발생했을 경우 신속한 대응과 조치가 가능하도록 각 기관 정보보안담당자들의 사이버위기대응 모의훈련 대상 및 기간을 확대하고 있다. 뿐만 아니라 매년 보건복지 분야 해킹방어대회를 개최해 최신 해킹 기술과 관련 정보를 공유하고 있다.
이와 관련 보건복지부 홍영숙 정보화담당관(과장)은 “앞서 시행한 보건복지 분야 주요시설에 대한 긴급점검 결과 피해사례는 없었지만 사이버테러를 사전에 예방하기 위해 지속적으로 현장·지도 점검을 강화하고, 관련 기관간 긴밀한 협조체계를 유지해 국민생활에 피해가 발생하는 일이 없도록 노력할 것”이라고 밝혔다.
특히, 최근 문제가 되고 있는 랜섬웨어와 개인정보 유출사고에 대해 보건복지부 측은 지난 3월 17일 대한병원협회에서 주최한 제8회 병원의료정보화 발전포럼에 참석해서 병원 측의 피해실태를 설명하고, 보안강화 대책에 대해 강연했다.
이와 관련 홍영숙 과장은 “최근 북한의 사이버공격이 급증하고 있으며 의료기관이 사이버테러의 타깃이 될 수 있기 때문에 상용메일과 홈페이지를 타깃으로 한 공격 가능성에 더욱 주의해 줄 것을 당부했다”고 말했다.
이어 의료기관 정보보안 강화를 적극 지원할 방침이다. 이와 관련해서는 주요정보통신기반시설로 지정된 6개 민간 종합병원에 대한 실태점검을 지원한 바 있으며, 앞으로 7개 국립병원에 대해 취약점 점검과 보안수준 진단 업무를 지원할 예정이다.
북한의 사이버위협 확대와 관련해서 보건복지부는 지난 3월 15일 방문규 차관 주재로 보건복지 분야의 공공·민간 주요정보통신기반시설 42개 기관을 대상으로 한 ‘정보보호책임자 사이버안전 대책회의’를 개최했다. 이를 통해 각 기관별 사이버공격 대응체계와 시스템별 예방대책 등 사이버위협에 대비한 전반적인 상황을 점검했다.
또한, 국가사이버위기 경보가 주의 단계로 유지됨에 따라 보건복지 분야 공공산하기관 및 주요정보통신기반시설로 지정된 민간 병원은 ‘주의’ 경보에 따른 대응태세를 갖추고 있다. 보건복지사이버안전센터는 비상근무태세를 유지하고 있는데, 다행히 현재까지는 악성코드 감염으로 인한 피해나 침해사고가 발생한 사례는 없었다는 게 홍 과장의 설명이다.
하지만 보건복지 분야의 정보보호 강화를 위해선 개선해야 할 부분도 적지 않다는 지적이다. 우선 33개 부처 직제가 일부 개정됐지만 보건복지부는 정보보호 전담조직이 신설되지 못했다. 공공기관 중 개인정보를 가장 많이 보유하고, 소속·산하 공공기관뿐만 아니라 지방의료원 등 다수의 기관을 대상으로 보안관제 서비스를 하고 있음에도 전담조직 신설대상에 포함되지 못한 것이다. 이 때문에 올해는 보다 효율적인 정보보안체계 지원을 위해 정보보호 전담조직 신설에 더욱 주력하고 있는 상황이다.
두번째로는 날로 지능화·고도화되는 공격을 탐지하고 예방할 수 있는 방안을 마련하는 일이다. 이에 대해 홍영숙 과장은 “최근 발생하는 사이버공격 사례에서 보듯이 기존의 보안체계로는 더 이상 안전하게 내부 중요자산을 지킬 수 없게 됐다”며, “특히, 상당한 수준의 보안 솔루션이 구축되어 있음에도 악의적인 외부 해커의 공격이나 내부 직원에 의한 정보유출 상황을 사전에 탐지·차단하는데 한계가 있을 정도로 해킹기술은 방어기술을 앞지르고 있다. 이에 침해사고를 효과적으로 탐지·예방할 수 있는 방안을 마련하는 것이 가장 큰 과제”라고 꼽았다.
기존의 정보보호 관리체계는 보안 솔루션 중심의 기술적 대책과 보안정책을 기반으로 사용자를 통제하는 방식이었다면, 앞으로는 응용프로그램, DB, 콘텐츠 등 전사적 시스템에 대한 비정상행위를 지속적으로 모니터링 할 수 있는 체계를 마련하는 방식이 되어야 한다는 것. 이를 위해서는 사용자의 권한과 책임을 명확히 규정해 자발적으로 보안규정을 준수할 수 있도록 전통적인 보안인식 제고 및 훈련 프로그램과 구별되는 별도의 교육 프로그램을 개발하는 것이 필요하다는 얘기다.
보건복지부의 정보보안 분야 추진계획에 대해 홍영숙 과장은 “정보보호체계 강화를 위해 정보보안 전문인력 확충 및 전담조직 확보에 주력하고, 보건복지분야 산하기관의 정보보호 컨트롤타워 역할로서의 위상을 정립할 수 있도록 지속적으로 노력해 나가겠다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
