에너지 분야 17개 공공기관별로 3년간 ‘정보보안체계 강화방안’ 추진
[보안뉴스 민세아] 지난해 11월 30일 산업통상자원부(이하 산업부) 직제 개정에 따라 미래창조과학부에 이어 산업부에도 정보보호담당관이 신설됐다. 산업부는 지난 2014년말 한수원 원전도면 자료 유출사고를 계기로 에너지 분야 17개 공공기관별로 2015년부터 향후 3년간의 ‘정보보안 체계 강화방안’을 마련해 현재 추진 중에 있다.
▲산업통상자원부 정보보호담당관 전병근 과장
산업부 정보보호담당관은 크게 4개 부문의 업무를 수행한다. 먼저 산업부를 비롯해 산하 공공기관의 정보통신망·시스템에 대한 보안정책을 수립하는 역할이다. 두 번째로 산업부 소관 공공기관에 대한 사이버침해 사고예방과 대응훈련, 보안과제를 위한 사이버안전관리센터를 운영하는 일이다.
세 번째로 산업부 소관 주요정보통신기반시설의 지정·관리 업무를 수행하고, 마지막으로 산업부 소관 공공기관의 개인정보보호 계획수립·시행과 실태조사, 개선조치 등을 담당하게 된다.
산업부 정보보호담당관이 현재 추진 중인 ‘에너지 공공기관 정보보안체계 강화방안’은 산업부 산하 공공기관이 날로 지능화·고도화되어 가고 있는 사이버공격에 대응할 수 있도록 하기 위한 것으로, △정보보안체계 기반 확충 △정보보안 관리체계 강화 △정보시스템별 세분화된 보안정책 적용 △사이버위기 대응능력 강화 등을 주요 내용으로 하고 있다.
그간 에너지분야 17개 공공기관은 정보보안체계 강화방안에 따라 일반 보안업무와 정보보안업무를 통합해 관리본부장 직속으로 정보보안 담당부서를 신설하거나 확대 구축했다. 관리본부장은 사이버 보안업무 경력이 있어야만 승진 임용이 가능하도록 했다. 또한, 정보보안 부서에 감찰 및 협력업체 조사기능을 부여해 위상을 강화했다.
이와 함께 산업부 정보보호담당관은 사이버위기 대응에 필요한 정보보안 전문인력 부족을 해소하기 위해 한국전력, 한수원, 한국가스공사 등 17개 기관에서 151명을 충원해 2014년 114명에 불과하던 인력을 2015년 11월 말 기준 265명으로 확대했으며, 고려대학교와 CISO과정을 신설해 매년 23명씩 3년간 70명의 사이버보안 전문가를 양성하도록 했다. 2014년 608억원이던 정보보안 예산은 2015년, 283억을 증액한 891억원으로 편성되는 등 정보보안 기반을 확충해 나가고 있다.
특히, 정보보안 관리체계 강화를 위해 협력사와 계약서에 보안관련 특약을 명시하고, 협력사의 보안관리실태를 매년 점검해 위반시 2년 이내 입찰참여 제한 등 부정당업체 제재를 엄격하게 시행함으로써 협력사 보안관리를 강화해 나가도록 했다. 내부 용역업무를 수행하는 용역직원에 대해서는 인터넷 차단과 이동식 저장매체 사용금지 원칙을 준수하고, 네트워크 분리, 접근권한범위 제한 등 업무시스템에 대한 접근통제를 엄격하게 실시하도록 한 것도 협력사 보안관리 강화조치의 대표적인 예다.
또한, 공공기관에서 운영하고 있는 정보시스템에 적용하던 제어시스템, 업무망, 인터넷망 등 3단계 보안정책을 세분화해 제어시스템, 유사제어시스템, 중요정보시스템, 업무망, 인터넷망 등 5단계로 적용하도록 추진하고 있다. 각 시스템별 중요도와 운용목적에 따라 제어시스템, 유사제어시스템, 중요정보시스템, 업무망시스템, 인터넷망시스템의 보안정책을 전략적으로 차등 적용하도록 한 것이다.
이와 함께 산업통상자원 사이버안전센터의 사이버위기 대응능력 제고를 위해 센터를 사고예방 활동중심으로 전환하고, 공공기관 정보시스템에 대한 취약점 분석지원과 이행 여부에 대한 현장점검 확대 등을 위해 인력을 2014년 40명에서 46명으로 확대했다.
올해 산하기관과의 사이버 위협정보 공유체계 구축·활용에 초점
전병근 과장은 올해 전력·원전·가스·난방 등의 주요정보통신기반시설을 사이버공격으로부터 안전하게 관리함으로써 국민에게 원활하게 에너지를 공급하기 위한 정보보안체계 강화방안의 지속적인 추진에 포커스를 맞출 것이라고 밝혔다. 또한, 사이버위기 발생시 산하 공공기관과의 신속한 위기대응 체계를 구축·운영하고, 공공기관에서 관리하고 있는 원전·전력 도면 및 개인정보 등 중요정보에 대한 관리체계를 구축해 자료유출을 방지하는 데도 적극 나설 것이라고 밝혔다.
우선 산하 공공기관에서 운영하고 있는 제어시스템의 안전성 확보를 위해 매년 실시하고 있는 취약점 분석결과에 대한 이행조치 여부를 중점 점검해 사이버침해사고를 사전에 탐지하기 위한 예방활동을 추진할 계획이다.
이와 병행해 전력·원전·가스·난방분야 제어시스템에 대한 사이버침입을 사전 탐지해 차단할 수 있도록 한국전력 등 10개 공공기관에서 자체 구축한 보안관제센터와 산업부 사이버안전센터간에 사이버 위협정보 공유체계를 구축해 이상징후 발견 시 신속한 대응체계를 갖춘다는 방침이다.
또한, 사이버공격 발생시에는 신속하고 정확한 대응을 위해 산업부 사이버안전센터와 공공기관이 정기적으로 연 2회 사이버위기대응훈련과 이메일 모의침투 훈련 등을 실시해 실제 상황에서 능동적인 대응이 가능한 사이버위기 관리체계를 구축해 나갈 계획임을 밝혔다.
마지막으로, 그 동안의 제어시스템 관리위주의 정책을 확대해 전력·원전설계 도면과 개인정보유출 방지를 위해 중요정보 DB에 대한 암호화 시행과 도면관리 시스템 구축을 바탕으로 전력사, 한수원 등에서 관리하고 있는 도면정보의 보안관리를 대폭 강화해 나갈 예정이다.
[민세아 기자(boan5@boannews.com)]
[보안뉴스 민세아] 지난해 11월 30일 산업통상자원부(이하 산업부) 직제 개정에 따라 미래창조과학부에 이어 산업부에도 정보보호담당관이 신설됐다. 산업부는 지난 2014년말 한수원 원전도면 자료 유출사고를 계기로 에너지 분야 17개 공공기관별로 2015년부터 향후 3년간의 ‘정보보안 체계 강화방안’을 마련해 현재 추진 중에 있다.
▲산업통상자원부 정보보호담당관 전병근 과장
산업부 정보보호담당관은 크게 4개 부문의 업무를 수행한다. 먼저 산업부를 비롯해 산하 공공기관의 정보통신망·시스템에 대한 보안정책을 수립하는 역할이다. 두 번째로 산업부 소관 공공기관에 대한 사이버침해 사고예방과 대응훈련, 보안과제를 위한 사이버안전관리센터를 운영하는 일이다.
세 번째로 산업부 소관 주요정보통신기반시설의 지정·관리 업무를 수행하고, 마지막으로 산업부 소관 공공기관의 개인정보보호 계획수립·시행과 실태조사, 개선조치 등을 담당하게 된다.
산업부 정보보호담당관이 현재 추진 중인 ‘에너지 공공기관 정보보안체계 강화방안’은 산업부 산하 공공기관이 날로 지능화·고도화되어 가고 있는 사이버공격에 대응할 수 있도록 하기 위한 것으로, △정보보안체계 기반 확충 △정보보안 관리체계 강화 △정보시스템별 세분화된 보안정책 적용 △사이버위기 대응능력 강화 등을 주요 내용으로 하고 있다.
그간 에너지분야 17개 공공기관은 정보보안체계 강화방안에 따라 일반 보안업무와 정보보안업무를 통합해 관리본부장 직속으로 정보보안 담당부서를 신설하거나 확대 구축했다. 관리본부장은 사이버 보안업무 경력이 있어야만 승진 임용이 가능하도록 했다. 또한, 정보보안 부서에 감찰 및 협력업체 조사기능을 부여해 위상을 강화했다.
이와 함께 산업부 정보보호담당관은 사이버위기 대응에 필요한 정보보안 전문인력 부족을 해소하기 위해 한국전력, 한수원, 한국가스공사 등 17개 기관에서 151명을 충원해 2014년 114명에 불과하던 인력을 2015년 11월 말 기준 265명으로 확대했으며, 고려대학교와 CISO과정을 신설해 매년 23명씩 3년간 70명의 사이버보안 전문가를 양성하도록 했다. 2014년 608억원이던 정보보안 예산은 2015년, 283억을 증액한 891억원으로 편성되는 등 정보보안 기반을 확충해 나가고 있다.
특히, 정보보안 관리체계 강화를 위해 협력사와 계약서에 보안관련 특약을 명시하고, 협력사의 보안관리실태를 매년 점검해 위반시 2년 이내 입찰참여 제한 등 부정당업체 제재를 엄격하게 시행함으로써 협력사 보안관리를 강화해 나가도록 했다. 내부 용역업무를 수행하는 용역직원에 대해서는 인터넷 차단과 이동식 저장매체 사용금지 원칙을 준수하고, 네트워크 분리, 접근권한범위 제한 등 업무시스템에 대한 접근통제를 엄격하게 실시하도록 한 것도 협력사 보안관리 강화조치의 대표적인 예다.
또한, 공공기관에서 운영하고 있는 정보시스템에 적용하던 제어시스템, 업무망, 인터넷망 등 3단계 보안정책을 세분화해 제어시스템, 유사제어시스템, 중요정보시스템, 업무망, 인터넷망 등 5단계로 적용하도록 추진하고 있다. 각 시스템별 중요도와 운용목적에 따라 제어시스템, 유사제어시스템, 중요정보시스템, 업무망시스템, 인터넷망시스템의 보안정책을 전략적으로 차등 적용하도록 한 것이다.
이와 함께 산업통상자원 사이버안전센터의 사이버위기 대응능력 제고를 위해 센터를 사고예방 활동중심으로 전환하고, 공공기관 정보시스템에 대한 취약점 분석지원과 이행 여부에 대한 현장점검 확대 등을 위해 인력을 2014년 40명에서 46명으로 확대했다.
올해 산하기관과의 사이버 위협정보 공유체계 구축·활용에 초점
전병근 과장은 올해 전력·원전·가스·난방 등의 주요정보통신기반시설을 사이버공격으로부터 안전하게 관리함으로써 국민에게 원활하게 에너지를 공급하기 위한 정보보안체계 강화방안의 지속적인 추진에 포커스를 맞출 것이라고 밝혔다. 또한, 사이버위기 발생시 산하 공공기관과의 신속한 위기대응 체계를 구축·운영하고, 공공기관에서 관리하고 있는 원전·전력 도면 및 개인정보 등 중요정보에 대한 관리체계를 구축해 자료유출을 방지하는 데도 적극 나설 것이라고 밝혔다.
우선 산하 공공기관에서 운영하고 있는 제어시스템의 안전성 확보를 위해 매년 실시하고 있는 취약점 분석결과에 대한 이행조치 여부를 중점 점검해 사이버침해사고를 사전에 탐지하기 위한 예방활동을 추진할 계획이다.
이와 병행해 전력·원전·가스·난방분야 제어시스템에 대한 사이버침입을 사전 탐지해 차단할 수 있도록 한국전력 등 10개 공공기관에서 자체 구축한 보안관제센터와 산업부 사이버안전센터간에 사이버 위협정보 공유체계를 구축해 이상징후 발견 시 신속한 대응체계를 갖춘다는 방침이다.
또한, 사이버공격 발생시에는 신속하고 정확한 대응을 위해 산업부 사이버안전센터와 공공기관이 정기적으로 연 2회 사이버위기대응훈련과 이메일 모의침투 훈련 등을 실시해 실제 상황에서 능동적인 대응이 가능한 사이버위기 관리체계를 구축해 나갈 계획임을 밝혔다.
마지막으로, 그 동안의 제어시스템 관리위주의 정책을 확대해 전력·원전설계 도면과 개인정보유출 방지를 위해 중요정보 DB에 대한 암호화 시행과 도면관리 시스템 구축을 바탕으로 전력사, 한수원 등에서 관리하고 있는 도면정보의 보안관리를 대폭 강화해 나갈 예정이다.
[민세아 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
