과기정통부, ‘산하기관 정보보호 개선방안’ 마련... 정보보호 최고책임자 지정 및 전담조직·인력 확보
정보보호 투자 확대 및 사이버 모의 침투 훈련 실시, 정보보호 관련 기관운영평가 제도 개선
[보안뉴스 원병철 기자] 과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’)는 최근 정부·공공기관에 대한 사이버 침해(해킹) 시도가 늘어나는 추세라는 지적에 따라, 출연연 등 산하기관과 함께 사이버 위기 대응체계를 강화하기 위해 개선방안을 마련했다고 밝혔다.
[이미지=utoimage]
‘산하기관 정보보호 개선방안’의 주요내용은 다음과 같다.
정보보호 조직·인력 강화
산하기관이 정보보호 업무를 전문적이고, 체계적으로 수행할 수 있도록 기관규모 등을 고려해 ’22~’23년까지 정보보호 전담 조직을 신설할 계획이다. 2022년에는 △한국과학기술원 △광주과학기술원 △한국생산기술연구원 △한국항공우주연구원 △한국에너지기술연구원 △한국핵융합에너지연구원 △한국원자력의학원 △울산과학기술원 8개 기관, 그리고 2023년에는 △대구경북과학기술원 △녹색기술센터 △한국기초과학지원연구원 △한국천문연구원 등 41개 기관에 신설한다. 단, 연도와 관계없이 산하기관 자체적으로 정보보호 전담조직의 조속한 추진을 진행한다.
과기정통부는 최근의 사이버 침해는 특정목표 하에 그 수단과 기법이 보다 치밀하게 계획되는 등 보다 조직화되고 있는 추세에 있음을 고려할 때, 이러한 조치는 적절한 것으로 평가된다고 밝혔다.
아울러 ‘정보보안 기본지침’을 개정해 산하기관이 최소한으로 확보해야 할 정보보호 전담 인력의 기준도 상향할 계획이다. 정보보안 기본지침에 따르면 기관 인원수 별로 정보보호 전담인력 수가 정해지는데, 예를 들면 현재 인원수 200명 미만일 경우 전담인력 1명, 200~300명 미만일 경우 2명, 300~500명 미만일 경우 3명이다. 이를 200명 미만은 2명, 200~300명 미만은 3명, 300~500명 미만은 4명 등으로 상향하겠다는 계획이다. 아울러, 현재 재직 중인 정보보호 담당직원은 정보보호 전문자격증을 취득하거나, 정보보호 전문기관의 교육이수를 의무화하도록 할 계획이다.
▲정보보호 전담인력 기준[자료=과기정통부]
정보보호 투자 확대
정보보호 투자의 안정성을 도모하기 위해 정보보호 사업예산을 정보화사업 등 다른 사업과 분리하고, 정보화사업 예산대비 15%이상 반영하는 것을 의무화할 방침이다. 또한, 산하기관의 정보보호 수준을 높이되, 업무 편의성을 함께 고려하여 내부망과 외부망을 분리해 나갈 방침이다. 망분리 방식은 크게 물리적 망분리와 논리적 망분리 방식이 있는데, 가장 안전한 물리적 망분리 방식을 우선적으로 고려해 추진할 계획이다. 아울러, 외부에서 내부통신망 접속이 불가능하도록 공인IP를 사설IP로 전환하고, 무선침입방지시스템, 암호화 솔루션 등 다양한 정보보호시스템도 확대 도입할 계획이다. 특히 정보보호가 취약한 개별 연구단위는 연구용 서버의 정보보호 수준을 자가진단 할 수 있는 정보시스템을 도입할 예정이다.
사이버 침해 대응훈련 실시
사이버 침해를 예방하고 대응력을 높이기 위한 사이버 모의 침투 훈련도 올해 처음으로 25개 산하기관을 대상으로 실시하기로 했다. 화이트 해커를 통해 외부에서 이들 25개 기관의 보안취약점을 뚫어 내부 정보시스템으로 침투해 볼 예정으로, 훈련 결과는 해당 기관에 통보함으로써 보안취약점을 보완토록 할 방침이다. 또한, 사이버 위기대응 체계를 점검하기 위해 과기정통부-사이버안전센터-산하기관 등이 참여하는 연합훈련(도상)도 실시하기로 했다.
정보보호 중요성에 대한 인식 개선
먼저, 산하기관의 모든 구성원들이 정보보호의 중요성을 인식할 수 있도록 기관운영평가 제도를 개선할 계획이다. 기관운영평가 시, 현재의 정보보호 배점 1.05점을 1.5점으로 상향하고, 기관의 정보보호 예산확보 실적도 평가에 반영한다. 아울러, 정보보호를 기관의 중요 정책으로 추진할 수 있도록 산하기관의 부원장이나 부총장, 선임본부장 등 고위 임직원을 ‘정보보호 최고책임자’로 지정·운영하기로 했다. 그동안 대부분의 산하기관이 정보보호 최고책임자가 없어 정보보호 업무를 실무자급에 맡겨 놓는 경우가 있었다.
정보보안 감사의 효율적 추진
산하기관의 정보보호 정책․사업에 대한 이행 점검을 강화하기 위해 ‘정보보안 감사지원시스템’을 도입하고, 정보보호 관련 외부 전문가 투입을 확대할 계획이다. 특히, 내·외부망 분리가 어려워 인터넷과 연결·사용 중인 외부 접점에 있는 정보보호 장비와 DMZ 구간 등에 대한 점검을 강화할 계획이다.
과기정통부 이태희 기획조정실장은 “국가 간 기술패권 경쟁이 심화되는 상황에서 원자력, 항공, 위성 분야 등 국가 핵심기술에 대한 갈취 목적으로 해킹이 증가하고 있다”며, “앞으로 과기정통부는 우리나라의 국가 핵심기술을 사이버 침해로부터 안전하게 보호하기 위해 더욱 노력하겠다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]
정보보호 투자 확대 및 사이버 모의 침투 훈련 실시, 정보보호 관련 기관운영평가 제도 개선
[보안뉴스 원병철 기자] 과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’)는 최근 정부·공공기관에 대한 사이버 침해(해킹) 시도가 늘어나는 추세라는 지적에 따라, 출연연 등 산하기관과 함께 사이버 위기 대응체계를 강화하기 위해 개선방안을 마련했다고 밝혔다.
[이미지=utoimage]
‘산하기관 정보보호 개선방안’의 주요내용은 다음과 같다.
정보보호 조직·인력 강화
산하기관이 정보보호 업무를 전문적이고, 체계적으로 수행할 수 있도록 기관규모 등을 고려해 ’22~’23년까지 정보보호 전담 조직을 신설할 계획이다. 2022년에는 △한국과학기술원 △광주과학기술원 △한국생산기술연구원 △한국항공우주연구원 △한국에너지기술연구원 △한국핵융합에너지연구원 △한국원자력의학원 △울산과학기술원 8개 기관, 그리고 2023년에는 △대구경북과학기술원 △녹색기술센터 △한국기초과학지원연구원 △한국천문연구원 등 41개 기관에 신설한다. 단, 연도와 관계없이 산하기관 자체적으로 정보보호 전담조직의 조속한 추진을 진행한다.
과기정통부는 최근의 사이버 침해는 특정목표 하에 그 수단과 기법이 보다 치밀하게 계획되는 등 보다 조직화되고 있는 추세에 있음을 고려할 때, 이러한 조치는 적절한 것으로 평가된다고 밝혔다.
아울러 ‘정보보안 기본지침’을 개정해 산하기관이 최소한으로 확보해야 할 정보보호 전담 인력의 기준도 상향할 계획이다. 정보보안 기본지침에 따르면 기관 인원수 별로 정보보호 전담인력 수가 정해지는데, 예를 들면 현재 인원수 200명 미만일 경우 전담인력 1명, 200~300명 미만일 경우 2명, 300~500명 미만일 경우 3명이다. 이를 200명 미만은 2명, 200~300명 미만은 3명, 300~500명 미만은 4명 등으로 상향하겠다는 계획이다. 아울러, 현재 재직 중인 정보보호 담당직원은 정보보호 전문자격증을 취득하거나, 정보보호 전문기관의 교육이수를 의무화하도록 할 계획이다.
▲정보보호 전담인력 기준[자료=과기정통부]
정보보호 투자 확대
정보보호 투자의 안정성을 도모하기 위해 정보보호 사업예산을 정보화사업 등 다른 사업과 분리하고, 정보화사업 예산대비 15%이상 반영하는 것을 의무화할 방침이다. 또한, 산하기관의 정보보호 수준을 높이되, 업무 편의성을 함께 고려하여 내부망과 외부망을 분리해 나갈 방침이다. 망분리 방식은 크게 물리적 망분리와 논리적 망분리 방식이 있는데, 가장 안전한 물리적 망분리 방식을 우선적으로 고려해 추진할 계획이다. 아울러, 외부에서 내부통신망 접속이 불가능하도록 공인IP를 사설IP로 전환하고, 무선침입방지시스템, 암호화 솔루션 등 다양한 정보보호시스템도 확대 도입할 계획이다. 특히 정보보호가 취약한 개별 연구단위는 연구용 서버의 정보보호 수준을 자가진단 할 수 있는 정보시스템을 도입할 예정이다.
사이버 침해 대응훈련 실시
사이버 침해를 예방하고 대응력을 높이기 위한 사이버 모의 침투 훈련도 올해 처음으로 25개 산하기관을 대상으로 실시하기로 했다. 화이트 해커를 통해 외부에서 이들 25개 기관의 보안취약점을 뚫어 내부 정보시스템으로 침투해 볼 예정으로, 훈련 결과는 해당 기관에 통보함으로써 보안취약점을 보완토록 할 방침이다. 또한, 사이버 위기대응 체계를 점검하기 위해 과기정통부-사이버안전센터-산하기관 등이 참여하는 연합훈련(도상)도 실시하기로 했다.
정보보호 중요성에 대한 인식 개선
먼저, 산하기관의 모든 구성원들이 정보보호의 중요성을 인식할 수 있도록 기관운영평가 제도를 개선할 계획이다. 기관운영평가 시, 현재의 정보보호 배점 1.05점을 1.5점으로 상향하고, 기관의 정보보호 예산확보 실적도 평가에 반영한다. 아울러, 정보보호를 기관의 중요 정책으로 추진할 수 있도록 산하기관의 부원장이나 부총장, 선임본부장 등 고위 임직원을 ‘정보보호 최고책임자’로 지정·운영하기로 했다. 그동안 대부분의 산하기관이 정보보호 최고책임자가 없어 정보보호 업무를 실무자급에 맡겨 놓는 경우가 있었다.
정보보안 감사의 효율적 추진
산하기관의 정보보호 정책․사업에 대한 이행 점검을 강화하기 위해 ‘정보보안 감사지원시스템’을 도입하고, 정보보호 관련 외부 전문가 투입을 확대할 계획이다. 특히, 내·외부망 분리가 어려워 인터넷과 연결·사용 중인 외부 접점에 있는 정보보호 장비와 DMZ 구간 등에 대한 점검을 강화할 계획이다.
과기정통부 이태희 기획조정실장은 “국가 간 기술패권 경쟁이 심화되는 상황에서 원자력, 항공, 위성 분야 등 국가 핵심기술에 대한 갈취 목적으로 해킹이 증가하고 있다”며, “앞으로 과기정통부는 우리나라의 국가 핵심기술을 사이버 침해로부터 안전하게 보호하기 위해 더욱 노력하겠다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
