정보보호관리체계를 활용한 사이버안전센터 보안성 향상 방안에 관한 연구

Abstract

최근 국가·공공부문을 포함한 정치·경제·사회 등 각 분야에서 정보화가 급속히 진전되면서 정보통신망과 정보시스템에 대한 의존도가 심화되고 있다. 하지만, 국가 전반적인 정보통신망과 정보시스템을 대상으로 하는 해킹·분산 서비스방해(DDoS) 공격 등 사이버공격이 시공을 초월하여 지속적으로 발생하고 있어 국가의 존립까지도 위태롭게 할 수 있는 새로운 안보위협은 물론 국익침해와 국민 생활에 막대한 지장을 초래할 수 있는 요인으로 대두되고 있다. 이러한 위협요인을 제거하기 위한 방안으로 사이버 공격정보를 실시간 탐지·대응하는 보안관제 업무가 그 중요성을 더해가고 있다. 현재 중앙행정기관·지방자체단체·공공기관에 대해서는 보안관제 의무화가 되어 있으며, 국가안보·국익과 관련된 주요 민간업체 등에도 보안관제 수행을 확대할 계획이다. 그러나 기존에 보안관제를 수행하고 있는 기관도 보안관제 전문기술과 노하우 그리고 전문 인력의 부족 등으로 사이버 공격 대응에 한계가 있을 뿐 아니라 보안관제시스템의 규격과 사이버 공격정보 탐지기술 등이 표준화되어 있지 않아 효율적인 대응에 장애요인으로 작용하고 있다. 특히 국가 주요 부처별 사이버안전센터의 보안관제 업무가 외부 보안관제 전문업체를 통해 위탁 운영되고 있어 외부자 보안에 대한 보안 관리의 중요성이 대두되고 있다. 이와 더불어 최근의 3·4 DDoS, 현대캐피탈, 농협 등 금융권 보안사고의 근본적인 원인이 PC보안관리 미흡에 따른 악성코드 감염, 보안전담조직 미비, 외부용역 직원에 대한 시스템 접근 권한관리 및 이동형 PC 반출입 관리 소홀 등 내·외부자의 보안관리 소홀에 있음을 고려할 때 종합적이고 체계적인 보안대책 구현이 필요하다. 행정안전부에서는 국가·공공기관의 전자정부 대민서비스에 대한 정보보호 수준제고 및 대국민 신뢰도 향상을 위하여 「전자정부 정보보호관리체계 인증 등에 관한 지침」 (행정안전부 훈령 178호, 2010년 6월 개정)을 통해 정부 행정기관 등의 조직 및 서비스 특성에 적합하게 수립된 종합적인 정보보호관리체계, 즉 전자정부 정보보호관리체계(G-ISMS: Government Information Security Management System)를 수립하도록 제시하고 있다. 전자정부 정보보호관리체계는 국가·공공기관의 주요 정보자산을 보호하기 위해 정보보호관리 절차와 과정을 체계적으로 수립하여 지속적으로 관리 및 운영하기 위해 구축한 종합적인 체계이며, 국가·공공기관이 준수해야 할 정보보호 표준이다. 또한, 전자정부 정보보호관리체계 구현의 적합성을 인증기관으로부터 객관적으로 평가받고 인증을 획득할 수 있도록 하고 있다. 전자정부 정보보호관리체계는 ISMS 수립, ISMS 구현 및 운영, ISMS 모니터링 및 검토, ISMS 유지 및 개선의 4단계 관리과정을 통해 구현한 12개 분야의 정보보호통제대책으로 구성되어 있다. 본 연구에서는 사이버안전센터의 개념 및 운영프로세스를 통해 전반적인 개요를 이해하고, 사이버안전센터 국내외 현황 비교, 보안 현황 및 문제점을 통한 보안이슈, 전자정부 정보보호관리체계 개요 및 필요성을 살펴보고 사이버안전센터 보안성 향상을 위한 전자정부 정보보호관리체계 수립방안을 구체적인 예시를 통해 제안한다. 또한 정보보호관리체계 수립방안의 효과와 인증 시 고려사항을 추가적으로 확인한다. 사이버안전센터에 대한 영역별 주요 보안위험들은 4단계 관리과정 중 위험평가 단계에서 자산별 보안 위협과 취약성 분석, 전체 위험도 산정을 통해 도출되며 위험을 감소시키기 위한 보호 대책을 선정하게 된다. 주요 보호 대책으로는 정보보호관리체계 지침에 대한 정기적인 검토를 통한 개정, 자산목록에 자산관리자 명시, 보안관제요원 대상의 정보보호 교육 강화, 서버계정관리강화, 서버·네트워크 기술적 취약점 진단 수행, 보안시스템 계정관리 강화, 보안관제 업무 담당자의 PC 보안관리 등이 제시될 수 있다. 이러한 여러 보호대책들은 구축비용, 전체위험도, 난이도를 고려하여 단계적 정보보호 계획으로 구체화된다. 계획에 따른 구현 및 운영, 정기적이고 지속적인 모니터링 및 검토, 유지 및 개선 활동을 이행한 후에는 인증기관인 한국인터넷진흥원(KISA)으로부터 전자정부 정보보호관리체계의 적합성을 심사받고 인증을 획득할 수 있으며, 이를 통해 사이버안전센터의 대외 신뢰성과 위상이 강화될 수 있다.;Recently, as informatization is rapidly spreading in various fields of the society including politics, economy, and society as well as public sectors, dependency on telecommunication networks and information systems is increasing. However, cyber attacks such as hacking, Distributed Denial of Service (DDoS) attacks, etc. are occurring continually regardless of time and space, which is emerging as a critical factor causing not only new threats to national security but also significant obstructions to national interests and people's life. In order to eliminate these threats, security operation services to detect and respond to cyber attacks in real time are becoming increasingly important. At present, installation of security operation services is obligatory among central administrative bureaus, local governments, and public institutes, and this obligation is expected to extend to major private companies related to national security and interests. However, the institutes already running security operation services do not have sufficient security specialists, technologies, and knowhow, and therefore have limits on counteracting cyber attacks. In addition, the specifications of security operation systems and cyber attack detection technologies are not standardized, which impedes efficient counteraction. Especially, the security operation works of Cyber Security Centers of various major government offices are commissioned, which therefore raises importance of security management of external personnel. Along with this, the recent security incidents in the financial sector including 3·4 DDoS, and the security breaches of Hyundai Capital and Nonghyup were fundamentally caused by infection by malicious codes due to poor security management of PCs, absence of a security service, access to a corporate system by an outsourced worker, poor management of carrying in and out mobile computers, and so on. Considering these factors, we need to develop more comprehensive and systematic security countermeasures. Ministry of Public Administration and Security, in order to improve the level of information security and people's trust in electronic public services of government institutes, is proposing establishing Government Information Security Management System (G-ISMS), a comprehensive information security management system designed to suit the needs of government organizations and services, through Guidelines about Certification of Government Information Security Management System (G-ISMS)(Ministry of Public Administration and Security Instruction No. 178, revised in June, 2010). G-ISMS is a comprehensive system developed for persistent management and operation by systematically establishing procedures and processes of information security management, and is the standard that public institutes should comply with. Additionally, it allows the suitability of G-ISMS development to be evaluated objectively and certified by the certification institute. G-ISMS consists of information security control measures of twelve fields implemented through a four-stage managerial process including ISMS establishment, ISMS development and operation, ISMS monitoring and review, and ISMS maintenance and improvement. In this study, we will understand the concept of Cyber Security Center and the overview through the operation process; review comparison between domestic and overseas situations of Cyber Security Centers, security issues via security situations and problems, the overview and need of G-ISMS; and propose with specific cases the plan of establishing G-ISMS to improve security. Also, effects of G-ISMS establishment, and the considerations in case of certification will be additionally reviewed. Major security threats to Cyber Security Center by area are drawn in the risk evaluation in the four-stage managerial process, through an analysis of security threats and weak points by asset, and calculation of overall risks; and then security measures to reduce risks are selected. Major security measures to be proposed can include revisions via periodical review on ISMS guidelines, explicit indication of asset managers in the asset list, reinforcement of information security training for security operation personnel, reinforcement of server account management, detection of technological weaknesses of servers and networks, reinforcement of security system account management, and security management of PC of the person in charge of security operation. These various security measures can be implemented by a step-wise information security plan in consideration of development cost, overall risk, and level of difficulty. After development and operation according to the plan, regular and persistent monitoring and review, maintenance and improvement activities, G-ISMS can be reviewed for its suitability, and then certified by Korea Internet & Security Agency (KISA), a certification institute. Thereby, the Cyber Security Center's trustability and position can be enhanced.