범부처 정보보호 종합대책 ‘강화된 정보보호 관리체계 구축’ 발표
핵심 IT 점검·취약점 탐지 체계 구축에 앞서 밑바탕 될 자산 파악 체계 필요해
[보안뉴스 조재호 기자] 22일 정부는 ‘범정부 정보보호 종합대책’을 발표하며 핵심 IT 시스템에 대한 점검과 탐지 체계 구축을 약속했다.
전방위적 사이버 침해 사고로 증폭된 국민 불안을 덜고 국가 전반의 정보보호 역량을 강화하기 위한 대책의 일환이다. 다만, 이 같은 작업에 앞서 제대로 된 IT 자산 파악이 필수라는 조언도 나온다.
▲배경훈 부총리 겸 과학기술정보통신부 장관이 범부처 정보보호 종합대책 관련 브리핑을 하고 있다. [자료: 과기정통부]
범정부 정보보호 종합대책에 따르면, 정부는 ‘핵심 IT 시스템 대대적 점검과 상시 취약점 탐지 체계 구축’을 위해 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대한 대대적 보안 취약점 점검을 즉시 추진할 계획이다.
공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개 등이 대상이다.
이 과정에서 점검할 대상을 특정할 ‘IT 자산 파악’이 중요하다. 시스템 점검과 탐지 체계를 구축하기 전에 대상이 될 자산을 특정하는 것이 선행돼야 하기 때문이다. 하드웨어와 소프트웨어, 클라우드 서비스 등 조직이 보유한 모든 IT 자산 현황을 체계적으로 식별해 목록화해야 한다.
하지만 이번 대책에선 통신사에 대해서만 주요 IT 자산에 대한 식별·관리체계 구축을 요구하고 있다.
정부 스스로도 운영하는 디지털 서비스의 수와 종류를 파악하지 못하는 현실에서, IT 시스템 취약점 파악과 대책 마련에 필수적인 IT 자산 관리에 소홀히 접근하는 것 아니냐는 우려도 나온다.
정부는 최근 대전 국가정보자원관리원 화재 당시 장애를 겪는 정부 서비스가 674개라고 발표했지만, 정부 통합운영관리시스템(NTOPs)이 복구되면서 이 수는 709개로 늘어났다.
“최근 국가정보자원관리원 화재 사고에서도 초기 674개였는데, 엔탑스(NTOPs·시스템 관리 시스템)이 복구되면서 709개로 늘어났다”며 “정확한 자산 파악을 시작으로 관리를 진행해야 한다”며 일의 순서에 대해 조언했다.
보안 업데이트가 누락된 서버 한 대가 침해 원인으로 꼽히는 롯데카드 해킹 사고 역시 자산 관리 실패의 결과라는 분석이 있다. 자산 관리가 꼼꼼히 이뤄졌다면 이 시스템의 존재를 확인해 패치가 누락되는 일이 없었을 수 있기 때문이다.
염흥열 순천향대 정보보호학 명예교수는 “보안은 보호해야 할 자산을 파악하고 관리하는 것”이라며 “보호해야 할 부분을 특정해야 점검이나 탐지·관리할 수 있는 만큼 시작은 ‘자산 파악’”이라고 말했다.
과학기술정보통신부 역시 지난달 국내 3만개 기업 정보보호최고책임자(CISO)에게 공문을 보내 요청한 기업 긴급 보안 점검에서도 ‘IT 자산 파악’이 핵심 내용이었다. 전사 IT자산 현황 실사해 대상 및 실사 내역을 CEO에 보고하고 CEO 서명을 받아 제출할 것을 요구했다.
지정호 비바리퍼블리카 CISO는 “IT 자산 파악은 보안의 가장 기본 활동이면서 실무자에게 가장 힘든 작업 중 하나” 라며 “자산 등록 후에도 누락·정합성 문제를 방지하기 위해 다양한 보안 설정과 에이전트 설치를 통해 일원화를 진행해 지속적으로 관리해야 한다”고 말했다.
[조재호 기자(sw@boannews.com)]
핵심 IT 점검·취약점 탐지 체계 구축에 앞서 밑바탕 될 자산 파악 체계 필요해
[보안뉴스 조재호 기자] 22일 정부는 ‘범정부 정보보호 종합대책’을 발표하며 핵심 IT 시스템에 대한 점검과 탐지 체계 구축을 약속했다.
전방위적 사이버 침해 사고로 증폭된 국민 불안을 덜고 국가 전반의 정보보호 역량을 강화하기 위한 대책의 일환이다. 다만, 이 같은 작업에 앞서 제대로 된 IT 자산 파악이 필수라는 조언도 나온다.
▲배경훈 부총리 겸 과학기술정보통신부 장관이 범부처 정보보호 종합대책 관련 브리핑을 하고 있다. [자료: 과기정통부]
범정부 정보보호 종합대책에 따르면, 정부는 ‘핵심 IT 시스템 대대적 점검과 상시 취약점 탐지 체계 구축’을 위해 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대한 대대적 보안 취약점 점검을 즉시 추진할 계획이다.
공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개 등이 대상이다.
이 과정에서 점검할 대상을 특정할 ‘IT 자산 파악’이 중요하다. 시스템 점검과 탐지 체계를 구축하기 전에 대상이 될 자산을 특정하는 것이 선행돼야 하기 때문이다. 하드웨어와 소프트웨어, 클라우드 서비스 등 조직이 보유한 모든 IT 자산 현황을 체계적으로 식별해 목록화해야 한다.
하지만 이번 대책에선 통신사에 대해서만 주요 IT 자산에 대한 식별·관리체계 구축을 요구하고 있다.
정부 스스로도 운영하는 디지털 서비스의 수와 종류를 파악하지 못하는 현실에서, IT 시스템 취약점 파악과 대책 마련에 필수적인 IT 자산 관리에 소홀히 접근하는 것 아니냐는 우려도 나온다.
정부는 최근 대전 국가정보자원관리원 화재 당시 장애를 겪는 정부 서비스가 674개라고 발표했지만, 정부 통합운영관리시스템(NTOPs)이 복구되면서 이 수는 709개로 늘어났다.
“최근 국가정보자원관리원 화재 사고에서도 초기 674개였는데, 엔탑스(NTOPs·시스템 관리 시스템)이 복구되면서 709개로 늘어났다”며 “정확한 자산 파악을 시작으로 관리를 진행해야 한다”며 일의 순서에 대해 조언했다.
보안 업데이트가 누락된 서버 한 대가 침해 원인으로 꼽히는 롯데카드 해킹 사고 역시 자산 관리 실패의 결과라는 분석이 있다. 자산 관리가 꼼꼼히 이뤄졌다면 이 시스템의 존재를 확인해 패치가 누락되는 일이 없었을 수 있기 때문이다.
염흥열 순천향대 정보보호학 명예교수는 “보안은 보호해야 할 자산을 파악하고 관리하는 것”이라며 “보호해야 할 부분을 특정해야 점검이나 탐지·관리할 수 있는 만큼 시작은 ‘자산 파악’”이라고 말했다.
과학기술정보통신부 역시 지난달 국내 3만개 기업 정보보호최고책임자(CISO)에게 공문을 보내 요청한 기업 긴급 보안 점검에서도 ‘IT 자산 파악’이 핵심 내용이었다. 전사 IT자산 현황 실사해 대상 및 실사 내역을 CEO에 보고하고 CEO 서명을 받아 제출할 것을 요구했다.
지정호 비바리퍼블리카 CISO는 “IT 자산 파악은 보안의 가장 기본 활동이면서 실무자에게 가장 힘든 작업 중 하나” 라며 “자산 등록 후에도 누락·정합성 문제를 방지하기 위해 다양한 보안 설정과 에이전트 설치를 통해 일원화를 진행해 지속적으로 관리해야 한다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
