디지털플랫폼정부를 위한 다양한 IT 시스템 도입만큼 늘어난 장애 및 보안이슈
공공시스템의 연속성과 보안을 위해 기술적·관리적 관점을 두루 살필 ‘전문가’ 필요해
<보안뉴스>에서는 한국정보공학기술사회 소속 기술사들이 다양한 관점에서 고민해온 주요 보안 이슈에 대한 의견들을 들어보고자 합니다. 10회 연재로 진행되는 [한국정보공학기술사 보안을 論하다] 시리즈에 많은 관심 부탁드립니다. [편집자주]
[연재 목차]
1. 클라우드 보안의 허와 실
2. LLM 위협과 대응방안
3. 개인정보 보호의 중심에서 활용을 외치다
4. 블록체인의 쓸모와 보안
5. 공공시스템의 보안이슈
6. 신뢰할 수 있는 소프트웨어를 위하여
7. 데이터 거래와 보안
8. 비대면 개통의 편리성과 보안 문제점
9. 기술적 보안 효과를 극대화하려면
10. 모바일 신분증의 보안위협과 대응방안
[이미지=gettyimagesbank]
[보안뉴스= 신현범 기술사/셈틀웨어] 대한민국은 국제연합(UN)이 발표한 유엔 전자정부 평가에서 2010년부터 7회 연속의 3위 이내의 순위를 기록한 국가다. 하지만 최근 공공 IT 시스템의 장애 및 보안 문제가 자주 발생하고 있다.
2010년 주민등록시스템 마비, 2012년 전산망 장애, 2017년 공직자 통합메일시스템 장애, 2020년 우체국 인터넷뱅킹 접속 장애가 대표적이다. 지난 2023년에는 3월 법원 전산망 장애와 6월 교육행정정보시스템 장애, 7월 한국고용정보원의 개인정보 유출, 11월 정부 행정전산망 및 정부24 장애를 겪었다. 올 2024년 1월에도 한국사회복지협의회 개인정보 유출 등 주요 국가 전산망에서 장애 및 보안 문제가 발생했다.
IT 시스템 장애는 BCP(Business Continuity Plan) 부재, 예산 부족, 시스템 장비 노후화, 보안 문제, 인적자원의 전문성 부족 등 여러 문제로 점점 늘어나는 추세다. 디지털플랫폼정부를 위해 AI, 빅데이터, 블록체인, 클라우드 등 다양한 기술들이 공공 IT 시스템에 도입되고 있지만 중요 시스템 장애와 보안에 대한 대비는 부족한 상황이다. 아울러 공공시스템의 연속성과 보안을 위해 기술적·관리적 관점으로 대책을 강화할 필요가 있다.
이에 대한 대책 중 기술적인 방안으로는 다음 4가지를 꼽을 수 있다.
△ 공공시스템의 장애 및 보안 사고 예방을 위한 정기적이고 지속적인 모니터링이다. 하드웨어와 소프트웨어의 문제점·취약점을 발견하고 이를 적시에 수정하고 보완할 수 있도록 보안 및 시스템을 개선해야 한다.
△ 시스템 장애 시 데이터 손실을 최소화하기 위한 백업·복구 체계를 구축해야 한다. 민원 업무의 연속성을 위해 중요도에 따른 시스템 및 네트워크 장비 등 하드웨어와 소프트웨어의 이중화 구축이 필요하다.
△ 외부 침입과 악성코드로부터 시스템을 보호하기 위한 방화벽, 침입탐지시스템, 웹 애플리케이션 방화벽(Web Application Firewall)을 도입해야 한다. 이어서 개인정보와 중요정보를 보하기 위한 데이터 암호화 및 네트워크 구간 암호화를 진행해야 한다.
△ 시스템 및 네트워크에 대한 접근을 제한하고 정당한 권한이 있는 사용자만 접근할 수 있도록 접근 제어 시스템을 구축한다.
공공시스템의 보안을 위한 관리적인 관점의 대책은 다음과 같다.
△ 시스템 장애 및 보안 위협 대응 방법을 포함한 원칙과 가이드라인을 수립하고 시스템 운영 인력이 이를 준수할 수 있도록 정기적인 교육과 훈련이 필요하다.
△ 시스템 장애 및 보안 위협에 대한 위험 평가와 모의 훈련을 주기적으로 진행하고 잠재적인 위협을 식별하고 대응 방안을 마련해 주기적인 훈련을 통해 대응능력을 강화한다.
△ 시스템 장애나 보안 사고가 발생 시 효율적으로 대응할 수 있는 사고 대응 계획을 수립하고 정기적으로 검토·업데이트해야 한다.
△ 컨트롤 타워를 구축하고 중앙적인 운영 정책을 마련해야 한다. 외부 보안 전문가나 기관과의 협력을 통해 보안 위협에 대한 최신 정보를 얻고 보안 강과 및 대응 방안을 지속적으로 검토하고 개선해야 한다.
요약하자면 기술적인 관점으로 장애 예방과 데이터 손실을 줄이기 위해 지속적인 시스템 모니터링이 필요하다. 잠재적인 문제를 조기에 감지하고 장애가 발생하면 빠른 대응이 가능하도록 백업·복구·이중화 솔루션을 도입해야 한다.
보안 강화를 위해 외부 공격을 감시하고 차단할 수 있도록 침입탐지시스템(IDS)과 방화벽, 침입방지시스템(IPS)을 도입하고 개인정보 및 데이터 유출 피해 최소화를 위한 데이터 암호화, 네트워크 암호화(SSL, IPSEC)가 필요하다.
▲신현범 기술사[사진=신현범 기술사]
그리고 무엇보다 중요한 것은 관리적 체계다. 시스템의 안정성과 보안을 강화하기 위한 인적자원의 R&R(Roles And Responsibilities)과 전문성이 보장돼야 한다. 시스템 운영 원칙과 가이드라인을 수립하고 정기적인 교육과 훈련을 통해 운영 인력의 전문성을 키워 빠른 대응을 할 수 있도록 해야 한다.
아무리 훌륭한 시스템과 보안 장비가 있어도 원칙과 가이드라인, 전문가가 없으면 무용지물일 뿐이다. 아울러 공공 IT 시스템의 장애 및 보안 사고를 예방하기 위해서는 콘트롤타워를 구축해야 한다. 정보시스템의 우선순위와 등급에 따른 중앙 집중적인 제어를 기반으로 정기적인 감사와 평가를 통해 시스템의 취약점과 노후화 장비 교체, 인적자원의 명확한 R&R을 부여해 전문성을 키워야 한다.
정부는 1만여 개의 공공 IT 시스템의 70%를 오는 2030년까지 클라우드로 전환하는 정책을 추진하고 있다. 정부가 발급하는 ‘클라우드 보안인증(CSAP)’도 중요하지만, 시스템의 유지·운영에 필요한 인적자원의 전문성 강화가 시급하다. 효과적인 하드웨어와 솔루션보다는 전문성을 갖춘 사람이 중요하다.
[글_ 신현범 기술사/셈틀웨어]
필자 소개_
- 셈틀웨어(주) 대표이사
- 한국기술사회 청년위원회 위원
- 한국정보공학기술사회 블루보드위원회 부위원장
- 한국정보공학기술사회 정보통신분야 정보보안 관리 및 운영실무 강의(폴리텍대학)
- 정보통신산업진흥원(NIPA), 한국인터넷진흥원(KISA), 한국교통안전공단, 창업진흥원 평가위원
공공시스템의 연속성과 보안을 위해 기술적·관리적 관점을 두루 살필 ‘전문가’ 필요해
<보안뉴스>에서는 한국정보공학기술사회 소속 기술사들이 다양한 관점에서 고민해온 주요 보안 이슈에 대한 의견들을 들어보고자 합니다. 10회 연재로 진행되는 [한국정보공학기술사 보안을 論하다] 시리즈에 많은 관심 부탁드립니다. [편집자주]
[연재 목차]
1. 클라우드 보안의 허와 실
2. LLM 위협과 대응방안
3. 개인정보 보호의 중심에서 활용을 외치다
4. 블록체인의 쓸모와 보안
5. 공공시스템의 보안이슈
6. 신뢰할 수 있는 소프트웨어를 위하여
7. 데이터 거래와 보안
8. 비대면 개통의 편리성과 보안 문제점
9. 기술적 보안 효과를 극대화하려면
10. 모바일 신분증의 보안위협과 대응방안
[이미지=gettyimagesbank]
[보안뉴스= 신현범 기술사/셈틀웨어] 대한민국은 국제연합(UN)이 발표한 유엔 전자정부 평가에서 2010년부터 7회 연속의 3위 이내의 순위를 기록한 국가다. 하지만 최근 공공 IT 시스템의 장애 및 보안 문제가 자주 발생하고 있다.
2010년 주민등록시스템 마비, 2012년 전산망 장애, 2017년 공직자 통합메일시스템 장애, 2020년 우체국 인터넷뱅킹 접속 장애가 대표적이다. 지난 2023년에는 3월 법원 전산망 장애와 6월 교육행정정보시스템 장애, 7월 한국고용정보원의 개인정보 유출, 11월 정부 행정전산망 및 정부24 장애를 겪었다. 올 2024년 1월에도 한국사회복지협의회 개인정보 유출 등 주요 국가 전산망에서 장애 및 보안 문제가 발생했다.
IT 시스템 장애는 BCP(Business Continuity Plan) 부재, 예산 부족, 시스템 장비 노후화, 보안 문제, 인적자원의 전문성 부족 등 여러 문제로 점점 늘어나는 추세다. 디지털플랫폼정부를 위해 AI, 빅데이터, 블록체인, 클라우드 등 다양한 기술들이 공공 IT 시스템에 도입되고 있지만 중요 시스템 장애와 보안에 대한 대비는 부족한 상황이다. 아울러 공공시스템의 연속성과 보안을 위해 기술적·관리적 관점으로 대책을 강화할 필요가 있다.
이에 대한 대책 중 기술적인 방안으로는 다음 4가지를 꼽을 수 있다.
△ 공공시스템의 장애 및 보안 사고 예방을 위한 정기적이고 지속적인 모니터링이다. 하드웨어와 소프트웨어의 문제점·취약점을 발견하고 이를 적시에 수정하고 보완할 수 있도록 보안 및 시스템을 개선해야 한다.
△ 시스템 장애 시 데이터 손실을 최소화하기 위한 백업·복구 체계를 구축해야 한다. 민원 업무의 연속성을 위해 중요도에 따른 시스템 및 네트워크 장비 등 하드웨어와 소프트웨어의 이중화 구축이 필요하다.
△ 외부 침입과 악성코드로부터 시스템을 보호하기 위한 방화벽, 침입탐지시스템, 웹 애플리케이션 방화벽(Web Application Firewall)을 도입해야 한다. 이어서 개인정보와 중요정보를 보하기 위한 데이터 암호화 및 네트워크 구간 암호화를 진행해야 한다.
△ 시스템 및 네트워크에 대한 접근을 제한하고 정당한 권한이 있는 사용자만 접근할 수 있도록 접근 제어 시스템을 구축한다.
공공시스템의 보안을 위한 관리적인 관점의 대책은 다음과 같다.
△ 시스템 장애 및 보안 위협 대응 방법을 포함한 원칙과 가이드라인을 수립하고 시스템 운영 인력이 이를 준수할 수 있도록 정기적인 교육과 훈련이 필요하다.
△ 시스템 장애 및 보안 위협에 대한 위험 평가와 모의 훈련을 주기적으로 진행하고 잠재적인 위협을 식별하고 대응 방안을 마련해 주기적인 훈련을 통해 대응능력을 강화한다.
△ 시스템 장애나 보안 사고가 발생 시 효율적으로 대응할 수 있는 사고 대응 계획을 수립하고 정기적으로 검토·업데이트해야 한다.
△ 컨트롤 타워를 구축하고 중앙적인 운영 정책을 마련해야 한다. 외부 보안 전문가나 기관과의 협력을 통해 보안 위협에 대한 최신 정보를 얻고 보안 강과 및 대응 방안을 지속적으로 검토하고 개선해야 한다.
요약하자면 기술적인 관점으로 장애 예방과 데이터 손실을 줄이기 위해 지속적인 시스템 모니터링이 필요하다. 잠재적인 문제를 조기에 감지하고 장애가 발생하면 빠른 대응이 가능하도록 백업·복구·이중화 솔루션을 도입해야 한다.
보안 강화를 위해 외부 공격을 감시하고 차단할 수 있도록 침입탐지시스템(IDS)과 방화벽, 침입방지시스템(IPS)을 도입하고 개인정보 및 데이터 유출 피해 최소화를 위한 데이터 암호화, 네트워크 암호화(SSL, IPSEC)가 필요하다.
▲신현범 기술사[사진=신현범 기술사]
그리고 무엇보다 중요한 것은 관리적 체계다. 시스템의 안정성과 보안을 강화하기 위한 인적자원의 R&R(Roles And Responsibilities)과 전문성이 보장돼야 한다. 시스템 운영 원칙과 가이드라인을 수립하고 정기적인 교육과 훈련을 통해 운영 인력의 전문성을 키워 빠른 대응을 할 수 있도록 해야 한다.
아무리 훌륭한 시스템과 보안 장비가 있어도 원칙과 가이드라인, 전문가가 없으면 무용지물일 뿐이다. 아울러 공공 IT 시스템의 장애 및 보안 사고를 예방하기 위해서는 콘트롤타워를 구축해야 한다. 정보시스템의 우선순위와 등급에 따른 중앙 집중적인 제어를 기반으로 정기적인 감사와 평가를 통해 시스템의 취약점과 노후화 장비 교체, 인적자원의 명확한 R&R을 부여해 전문성을 키워야 한다.
정부는 1만여 개의 공공 IT 시스템의 70%를 오는 2030년까지 클라우드로 전환하는 정책을 추진하고 있다. 정부가 발급하는 ‘클라우드 보안인증(CSAP)’도 중요하지만, 시스템의 유지·운영에 필요한 인적자원의 전문성 강화가 시급하다. 효과적인 하드웨어와 솔루션보다는 전문성을 갖춘 사람이 중요하다.
[글_ 신현범 기술사/셈틀웨어]
필자 소개_
- 셈틀웨어(주) 대표이사
- 한국기술사회 청년위원회 위원
- 한국정보공학기술사회 블루보드위원회 부위원장
- 한국정보공학기술사회 정보통신분야 정보보안 관리 및 운영실무 강의(폴리텍대학)
- 정보통신산업진흥원(NIPA), 한국인터넷진흥원(KISA), 한국교통안전공단, 창업진흥원 평가위원
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
