제 3 부 안전한정보이용환경 제 1 장 제 2 장 제 3 장 정보보호기반조성현황 개인정보보호현황 정보문화확산과정보격차해소

Size: px

Start display at page:

Download "제 3 부 안전한정보이용환경 제 1 장 제 2 장 제 3 장 정보보호기반조성현황 개인정보보호현황 정보문화확산과정보격차해소"

규리 진
5 years ago
Views:

1 제 2 편정보화기반 제 1 부 제 2 부 제 3 부 디지털융합인프라 정보통신및융합산업 안전한정보이용환경

2 제 3 부 안전한정보이용환경 제 1 장 제 2 장 제 3 장 정보보호기반조성현황 개인정보보호현황 정보문화확산과정보격차해소

3 제 1 장정보보호기반조성현황 311 제 1 장정보보호기반조성현황 제 1 절정보보호현황및정책 년국가정보보호지수한국정보보호진흥원에서는 2004년부터우리나라의정보보호수준을객관적으로측정할수있는국가정보보호수준평가지수를연구 개발하여매년국가정보보호수준을발표하고있다. 국가정보보호수준평가는한나라의정보보호수준을효과적으로분석하는것을용이하게하며, 그나라의다양한정보보호현상을여러측면에서파악할수있는기준으로사용가능하다. 2008년정보보호지수산출결과 68.4점으로 2007 년대비 5점이상승하여개선된것으로나타났으며, 역기능지수는 8.76점으로 2007년대비 0.24점상승하여다소악화된것으로나타났다 (< 그림 > 참조 ). 2008년정보보호지수는전반적으로개선되었다. 백신보급률은 2007년 90.0% 에서 2008년 94.3% 로전년대비 4.3%p 상승, 보안서버보급률은 2007년 54.0% 에서 2008년 62.5% 로전년대비 8.5%p 상승, IDS/IPS 보급률은 2007년 39.8% 에서 2008년표 년과 2008년국가정보보호지수결과 그림 국가정보보호수준추이 구분분류세부지표 구분정보보호수준정보화역기능수준 정보보호수준 ( 단위 : 점 ) 정보화역기능수준 정보보호지수 (H) 역기능지수 (N) 정보보호기반 (T) 정보보호환경 (E) 정보화역기능 (N) 백신보급률 (t1) 패치보급률 (t2) PKI 보급률 (t3) Firewall 보급률 (t4) IDS/IPS 보급률 (t5) 보안서버보급률 (t6) 정보보호관련예산비율 (e1) 정보보호전문인력비율 (e2) 국민의보안의식수준비율 (e3) 해킹 바이러스신고비율 (n1) 개인정보침해신고비율 (n2) 스팸메일수신비율 (n3) 90.0% 84.4% 50.2% 73.7% 39.8% 54.0% 50.0% 34.0% 96.5% 1.03% 7.6% 17.2% 94.3% 86.5% 51.3% 63.8% 54.3% 62.5% 43.0% 64.5% 98.3% 2.2% 11.0% 6.71% 자료 : 한국정보보호진흥원, 인터넷 & 시큐리티트랜드, 자료 : 한국정보보호진흥원, 인터넷 & 시큐리티트랜드,

4 312 3 부안전한정보이용환경 54.3% 로전년대비 14.5%p 상승하였다. 한편해킹 바이러스신고비율은 2007년 1.03% 에서 2008년 2.2% 로 1.17%p, 개인정보침해비율은 2007년 7.6% 에서 2008년 11.0% 로 3.4%p 상승하여전체적인역기능지수가악화된것으로나타났다. 그러나스팸메일수신비율은 2007년 17.2% 에서 2008년 6.71% 로 10.49%p 대폭하락하였다 (< 표 > 참조 ). 사고로인한경제적피해발생비율 ( 매출손실 1.9% 7.3%, 업무효율저하 12.1% 23.6%, 피해복구 10.5% 26.0%, 데이터소실 2.6% 10.7%) 이크게증가한것으로나타났다. 이는 2008년발생한대형포털및통신사업자의해킹또는과실에의한보안사고결과가반영된것으로보인다. 그림 정보화역기능별심각성인식현황 ( 단위 : %) 민간부문정보보호실태현황한국정보보호진흥원이실시한 2008년민간부문정보보호실태조사에따르면정보보호인식수준과관련하여인터넷이용자의 98.2%(1.7%p 증가 ) 가정보보호에대하여중요하다고인식하고있으며, 매우중요하다고응답한비율도 59.9%(4.5%p 증가 ) 에이르렀다. 또한정보화역기능에대해서도 94.8% 가심각하게인식하고있는것으로나타났으며, 특히개인정보 프라이버시침해에대해 96.5% 가심각하다고응답하여가장우려하는역기능으로나타났다 (< 그림 > 참조 ). 한편인터넷역기능경험과관련해서는인터넷이용자의개인정보 프라이버시침해경험률 (16.4% 29.6%) 과피해횟수 ( 평균 4.66회 4.73회 ), 해킹피해경험률 (15.4% 18.8%) 등이증가한것으로나타나이에대한대응강화가필요한것으로나타났다. 기업의경우에도정보보호대응활동과관련해서정보보호투자기업비율 (49.2% 55.5%), 정보보호대응미활동기업비율 (61.9% 61.1%), 개인정보침해사고처리방침문서화기업비율 (29.2% 32.8%), 사이버보안사고대비보험가입비율 (3.5% 4.3%) 등이전반적으로개선된것으로나타났다. 한편역기능경험과관련해서는기업의인터넷침해 개인정보 / 프라이버시침해 스팸 ( 이메일, 휴대전화 ) 자료 : 한국정보보호진흥원, 2008 정보보호실태조사, CCTV 활용현황 해킹 / 바이러스 애드웨어 / 스파이웨어 불건전정보 피싱 / 파밍 우리나라의공공부문에서활용되고있는 CCTV는방범용, 교통법규위반단속용 ( 무인주정차단속, 과속차량단속, 버스전용차로 고속도로전용차로위반차량단속 ), 교통흐름조사용, 수배차량감지용, 쓰레기무단투기단속용, 밀수총기류밀반입감시용, 하천감시용, 산불감시용, 지구대와파출소의인권침해방지용, 교도소와유치장등에서의감시용등이있다. 민간부문에서는은행등금융기관, 아파트지하주차장, 공장등의작업장, 백화점, 편의점, 금은방, 엘리베이터, 영화관, 도서관, 수영장, 운동장등에설치하여다양하게활용되고있다. 우리나라에설치된전체 CCTV 대수를파악하는것

5 제 1 장정보보호기반조성현황 313 은현재의제도상으로는불가능하다. 하지만기업체의 CCTV 판매건수등을근거로하여추정할경우 2009 년 3월현재약 250 만대정도의 CCTV가민간부문에 설치된것으로추정된다. 공공기관의경우 공공기관의 개인정보보호에관한법률 에근거하여설치가추진되 므로현황파악이가능하며, 2009년 3월현재약 16 만 255대가설치된것으로파악되었다. 표 공공기관 CCTV 설치현황 설치목적 비고 ( 건 ) 범죄예방 (32.8%) 방범용 51,692 환경개선 (1.5%) 쓰레기투기방지등 2,458 시설물관리 41,215 일반시설관리 (29.8%) 주차관리 5,743 교통정보수집 4,704 교통안전 (7%) 교통단속 6,359 재난 산불관리 6,553 특수시설관리 (16%) 공항 항만관리 2,255 기차 지하철안전관리 16,939 기타 (14.2%) 기타 22,337 합계 160,255 자료 : 행정안전부내부자료, 사이버위협현황및대처사이버공격은최근점차조직화 전문화되어국가안전을위협하는수준에이르고있다. 이른바 홍커 라고불리는중국전문해커조직은 100만명규모의인원으로활동하여중국발공격이급증하고있는실정이다. 실제로중국발해킹시도는 2007년 4,066만건에서 2008년 9,052건으로 2배이상증가하였다. 1) 공격목표가금융서비스, 전자상거래, 게임사이트등으로확산되고있는실정이며, IT 조사기업인 McAfee 에따르면, 2008년전세계사이버침해로인한기업의피해는연 1,500조원으로추정되고있다. 이에따라세계각국은사이버안전을국가핵심정책의제로설정하여관리하고있다. 대표적으로미국은백악관에 사이버보안자문관 을설치함으로써공공 민간정보네트워크보호대책을아우르는방안을강구중이다. 또한일본은내각관방에정보보호센터를설치하고경제대국에걸맞은정보보호수준을실현하기위해노력하고있다. 전자금융거래의보편화에따라해킹등에따른안전성위협이증가하고있는데, 해킹증가요인의 46% 가온라인게임머니와사이버금융공격을목적으로하고있다. 인터넷사기발생건수는 2006년 26,711건에서 2007년 28,081건으로 5.1% 증가하였으며, 2008 년에는 29,290건으로 4.3% 의꾸준한증가세를보이고있다. 2008년국민권익위원회 (110 콜센터 ) 에신고된전화금융사기건수는 7만 7천건, 피해규모는약 22억원에달하는피해가발생했다. 한편개인정보유출사고가빈번하여국민 기업들의피해도증가하고있다. 행정 공공 금융기관과포털 백화점 정유사등은대량의개인정보를보유하고있는것으로조사되었는데, 특히 23,352개에달하는공공기관도평균 13종 ( 전체 322,357종 ) 의개인정보파일을보유하고있는것으로조사되었다. 그러나정보보호표 개인정보침해사고원인별사례구분사례정보해킹 옥션 고객 1,081만명개인정보유출 ( ) 내부자유출 GS칼텍스 고객 1,100만명개인정보유출 ( ) 관리소홀 다음 고객 53만명이메일정보노출 ( ) 오 남용 하나로텔레콤 고객 600만명개인정보무단제공 ( ) 자료 : 행정안전부, 정보보호추진점검및 2009년역점추진과제 ( 국무회의보고자료 ), 주 : 1) 국가별사이버공격순위는 1 중국 (65.5%) 2 미국 (14.3%) 3 일본 (2.2%) 4 캐나다 (2%) 등으로조사된바있다.( 한국정보보호진흥원, )

6 314 3 부안전한정보이용환경 시설및환경이열악함에따라정보유출사고발생이잇따르고있다. 유출된개인정보는금융사기 명의도용 불법스팸등에악용되는 1차적피해는물론국민개개인에게정신적 경제적 2차피해를초래하고있다. 아울러사이버폭력의만연으로사회공동체간소통과화합을저해하고있다. 악성댓글 등의사이버폭력이단순비방에서점차폭력화되는점은심각한사회적문제로대두되고있다. 2) 유형별로는명예훼손이 36%, 개인정보침해 25%, 협박 공갈 17%, 성폭력 16% 로나타나고있다. 이러한사이버위협에대응하기위해정부는 2008년 정보보호중기종합계획 을수립하고 6개분야, 73개과제를추진하고있다. 분야별로는사이버침해대응에 21개과제, 개인정보보호에 16개과제, 산업육성및문화조성에 36개과제를추진중이다. 또한정보보호수준제고를위한예산과정보보호인프라를확충하고있다. 국가정보보호예산은 2008년 1,608억원 (4.73%) 에서 2009년에는 1,742억원 (5.52%) 으로증가하였다. 아울러공공 민간 개인정보보호시스템도입률은 2007년 63.6% 에서 2008년 71% 로 7.4%p 상승하였다. 그리고개인정보보호를위한제도적기반강화를위해정부는개인정보보호기준을강화하고사이버폭력퇴치등을위한제도개선을추진하였다. 정부는국가사이버침해대응체계강화를위해행정 국방 금융 교통등 국가 10대핵심전산망보안관제센터 의설치를완료하였으며, 시 도사이버침해대응센터 설치, 홈페이지악성코드탐지체계구축 (484개) 을추진하였다. 이와더불어인터넷유통정보암호화를위한보안서버를 2007년 21,083대에서 2008년 33,051대로확충하였다. 5. 정보보호정책방향 2009년 4월행정안전부, 방송통신위원회, 지식경제부, 국가정보원등관계부처는합동으로정보보호정책을발표하였다. 본정책에포함된주요내용은다음과같다. 가. 주민등록번호수집과유통최소화정부는주민등록번호수집과유통을최소화하여개인정보에대한악용및불법행위를차단하기위해부처별로민원서식내주민번호기재필요성을재검토하여관행적으로불필요한주민번호를수집하지않도록법령과서식을개정할방침이다. 아울러각급홈페이지, 포털등의회원가입시 i-pin 등주민번호대체수단제공을의무화할계획인데, 공공기관홈페이지의경우적용사이트를 2008년 247개에서 2009년 3,000개로확대할방침이다. 민간의경우관련법개정을통해일정규모이상의이용자에게정보통신서비스를제공할경우관련법개정을통해 i-pin 등의적용을의무화할방침이다. 아울러행정 공공기관의홈페이지개인정보노출실태를상시적으로점검할방침이다. 이를위해민간사업자는한국정보보호진흥원에서운영하는 개인정보노출자동탐지시스템 을통해점검을받도록할계획이다. 나. 개인정보를대량취급하는기업 기관감독강화정부는대량의개인정보를취급하는기관과기업에대한관리실태점검을통해감독을강화하고, 해킹대응과개인정보보호, 내부자통제장치등제도적 기술적관리실태점검도강화할방침이다. 주 : 2) 국내인터넷게시판의댓글 7 개중 1 개가악성댓글 (CNN 보도, )

7 제 1 장정보보호기반조성현황 년개인정보의대량유출원인은해킹, 내부자유출, 관리소홀, 오남용등으로볼수있다. 이에대한개선을위해정부는관계중앙부처를중심으로점검과미비점개선, 법위반사항에대한처벌을강화할예정이다. 또한내부통제 3) 및상급기관의개인정보관리 감독체계강화를위해 개인정보보호책임관 임명, 정보수집 유통 보관전단계통제강화등의정책을추진할방침이다. 그리고소속 산하기관에대한점검체계를마련하고주기적인점검을실시할방침이다. 다. 개인정보보호제도개선및인식제고정부는개인정보보호제도개선및인식제고를위해공공 민간통합 개인정보보호법 을조기제정하고제도적기반을강화할방침이다. 이를위해개인정보처리각단계별 ( 수집 이용 제공 파기 ) 보호기준을세분화하고, 공공기관 일부사업자에서헌법기관 비영리단체 모든사업자등으로적용범위를 300만개이상으로확대할방침이다. 아울러개인정보불법유출시처벌기준을 5년이하징역, 5천만원이하벌금으로강화할예정이다. 또한공공 민간개인정보취급자를대상으로개인정보보호인식제고를위해 공공기관 CPO( 개인정보관리책임자 ) 워크숍, 실무자대상온 오프라인교육을연중실시할방침이다. 이와함께 개인정보보호실천협의회 를구성하여관련교육등을통해사업자의보호인식을제고할예정이다. 라. 인터넷금융사고예방 대응체계강화정부는인터넷금융사고예방및대응체계강화를위 해우선인터넷금융시스템보안관리체계를개선할방침이다. 이를위해 사이버금융침해사고예방 대응시스템 을확대 구축하고, 관계기관간협력체계를마련할계획이다. 또한금융시스템해킹공격 탐지및사고수습전자화, 경찰청등기관간해킹공격 IP 공유등도함께추진할계획이다. 아울러해킹시에도고객계좌에대한인출금지등긴급보호조치대책이마련될예정이다. 한편국민들의전자금융거래이용수단에대한보안체계강화를위해 PC 보다보안성이높은보안토큰기반의공인인증서이용을강화하고, 국민들이보안토큰을사용할수있도록금융회사가입자관련 SW 를개선할방침이다. 또한 2009년말까지공인인증서재발급사실을가입자에게휴대폰 (SMS) 유선전화로통보하는체계를갖추고 5개공인인증기관에 SMS 구축및콜센터를확대하여운영할계획이다. 마. 사이버침해예방및대응체계강화정부는사이버침해예방및대응체계강화를위해우선국가 공공기관주요정보통신시설의사이버침해대응력을강화할방침이다. 국가주요정보통신기반시설 지정을기존 109개에서 140개로확대하고, 보안취약점점검을강화할예정이다. 아울러 16개의 시 도사이버침해대응센터 를설치하여지자체의사이버침해대응체계를확립할방침이다. 또한지능화된해킹메일피해예방을위한 업무망-인터넷망 분리를비롯하여비밀관리 유통시스템구축 보급을통한국가비밀보호역량을강화할계획이다. 한편 DDoS 공격 4) 대응을위한보안시스템조기구축 주 : 3) 대량개인정보유출사고의대부분은내부자소행으로이를방지하기위해서는관리자가개인정보의이동상황을실시간통제하는것이매우중요하다고할수있다. 4) 해커가대규모데이터를하나의시스템에만집중전송함으로써정상적기능을방해

8 316 3 부안전한정보이용환경 을위해공공부문에서는 2009년말까지 국가 10 대핵심전산망, 시 도별전산망 에대응시스템을구축하고민간부문에서는 4개주요정보통신서비스제공자인터넷구간에대응시스템을시범구축할예정이다. 그리고정보보호사회적취약계층을위한 사이버정보보호서비스 기반마련을위해국민에게예보 진단 치료서비스를일괄제공하는 정보보호검진체계 를구축하고, 지자체등에 취약계층사이버방역센터 를설치하여해킹퇴치등기본서비스를제공할예정이다. 바. 건전한인터넷문화조성을위한제도강화및인식제고정부는건전한인터넷문화조성을위한제도강화및인식제고를위해 정보통신망법 ( , 국회제출 ) 개정을추진중이다. 동법률에는사업자가명예훼손등불법정보삭제미이행시처벌받도록하는규정이추가되었다. 아울러연중행사로사이버범죄예방을위한대국민정보보호교육과문화운동을전개할방침이다. 이를위해언론매체에공익광고게재, 성인 청소년대상정보보호 윤리교육확대, 초 중 고 건전정보문화활동단 지원을기존 100개교에서 120개교로확대할방침이다. 또한네티즌 선플달기운동 지원등건전정보문화조성을위해노력할계획이다. 더욱효과적인사이버침해대응을위해서는국제공조체계구축이시급하다. 현재해킹공격, 전화금융사기대부분이중국등해외로부터발생하고있지만, 국제사이버침해대응및수사에대한국제협조가아직미흡하여, 사이버공격에대한체계적인국제공조및대응이곤란한실정이다. 이러한어려움을타개하기위해주요국가와침해대응, 개인정보보호, 수사협조, 기술협력등에대한양해각서를체결함으로써사이버침해대응등국제공조를강화할방침이다. 사. 정보보호전문인력양성및산업육성 정부는정보보호전문인력양성과산업육성을위해관련교육과정개발과운영을추진할방침이다. 금융보안등기업수요에따른고급인력양성과정을개설하여운영하고, 지식정보보안아카데미를개설하여산업현장의핵심인력을양성할계획이다. 정보보호산업의기술력향상과국제경쟁력제고를위해서는 2009년부터 2013년까지 1,512억원의예산을투입하여신종사이버위협보안기술등미래정보보호산업시장선점을위한 R&D 에역점을두고, 공공 민간기업의정보보호시설투자의무화, SW 분리발주활성화, 유지보수요율현실화등을통한산업육성환경을조성할계획이다. 아울러정보보호제품의국제표준화및해외마케팅지원을통해국내산업의해외진출을진작할방침이다. 참고자료 LIST 방송통신위, 인터넷정보보호종합대책, 지식경제부, 지식정보보안산업진흥종합계획, 행정안전부, 정보보호중기종합계획, 행정안전부, 정보보호추진점검및 2009 년역점추진과제 ( 국무회의보고자료 ), 한국정보보호진흥원, 인터넷 & 시큐리티트랜드,

9 제 1 장정보보호기반조성현황 317 제 2 절정보보호기술및산업 5) 1. 정보보호산업의정의및분류 표 시스템및네트워크정보보호제품 정보보호서비스 2008 년정보보호제품및서비스분류 대분류소분류세부항목 침입차단시스템 침입방지시스템 (IPS) 통합보안시스템 (UTM) 보안관리 가상사설망 (VPN) 인증제품 Anti Virus Anti Spam 보안운영체제 (Secure OS) 통합 PC 보안 DB/ 컨텐츠보안 공개키기반구조 (PKI) 접근관리 바이오인식제품 기타제품유지보수 보안컨설팅 보안관제인증서비스기타서비스 1. 웹방화벽, 2. 네트워크방화벽, 3. 시스템방화벽, 4. PC 방화벽 1. 침입방지시스템 (IPS), 2. DDoS 차단시스템 1. 통합보안시스템 (UTM) 1. 기업보안관리 (ESM), 2. 위협관리시스템 (TMS) 3. 패치관리시스템 (PMS), 4. 자산관리시스템 (RMS) 5. 로그관리 / 분석틀, 6. 취약점분석툴 1. 가상사설망 (VPN) 1. 보안스마트카드, 2. H/W 토큰 (HSM), 3. 일회용비밀번호 (OTP) 1. Virus 백신, 2. Anti 스파이웨어, 3. Anti 피싱 1. 스팸차단 S/W 1. 보안운영체제 (Secure OS) 1. PC 보안 ( 내부정보유출방지 ), 2. 보안 USB 1. DB 보안, 2. DB 암호, 3. 디지털저작권관리 (DRM) 1. 공개키기반구조 (PKI) 1. 네트워크접근제어 (NAC), 2. 통합접근관리 (EAM) 3. 싱글사인온 (SSO), 4. 통합계정관리 (IM/IAM) 1. 지문, 2. 정맥 ( 혈관 ), 3. 홍채, 4. 기타 ( 음성, 서명, 다중인식 ) 1. 무선 / 모바일보안, 2. 기타 1. 판매후유료서비스 1. 인증 (ISO, ISMS), 2. 안전진단 / 기반보호, 3. 진단및모의해킹, 4. 개인정보보호, 5. 종합보안컨설팅 1. 보안관제서비스 1. 공인 / 사설인증서비스 1. 교육 훈련서비스, 2. 기타 정보보호산업은 정보보호제품을개발 생산또는유통하거나, 정보보호에관한컨설팅등과관련된산업 으로정의하고있다. 이러한정의에근거하여한국정보보호진흥원은한국정보보호산업협회를비롯한관련분야전문가들의의견을수렴하여정보보호제품및서비스를 시스템및네트워크정보보호제품 과 정보보호서비스 로크게나누고, 매년시장의추이를반영하여소분류및세부항목을일부개정하는방식으로정보보호산업을분류하고있다. 2008년도의분류에는최근심각성이널리부각된분산서비스공격 (DDoS) 이침입방지시스템의세부항목에추가되었으며, 활용도가높아지고있는보안USB 도기존의 PC 보안에세부항목으로추가되었다. 서비스분야에서는최근개인정보보호에대한중요성을반영하기위하여기존의분류에서개인정보보호와종합보안컨설팅을분리하였다. 2. 정보보호산업현황 2008년도국내정보보호시장규모는 7,724억원으로전년대비약 8.0% 성장하였다. 2008년도국내정보보호시장의트렌드는전반적으로분야별상위업체들을중심으로시장이재편되는현상을보이는가운데, 틈새시장을노린신규진입도증가추세를보였다. 2008년도국내정보보호시장규모를분야별로살펴보면, 시스템및네트워크정보보호제품의경우 6,442억원으로전년대비 6.8% 증가하였으며, 정보보호서비스는 1,282억원으로전년대비 14.5% 증가하여서비스의증가율이상대적으로높았다. 전체정보보호시장중시스템및네트워크정보보호제품이차지하는비중은 83.4% 였으며, 정보보호서비스는 16.6% 를차지했다 (< 표 > 참조 ). 주 : 5) 본절의내용은한국정보보호진흥원의 2008 년국내정보보호산업통계조사결과를정리한것임

10 318 3 부안전한정보이용환경 표 정보보호산업의매출현황 ( 단위 : 백만원 ) 구분 증감률 (%) 매출비중 (%) 시스템및네트워크정보보호제품 602, , 정보보호서비스 111, , 합계 714, , 가. 시스템및네트워크정보보호제품 시스템및네트워크정보보호제품의시장규모는 2008년 6,442억원에서 2013년에는 9,467억원에 이르러, 연평균성장률 (CAGR) 이 7.8% 에달할것으로전망된다. 특히접근관리는 2008년 352억원에서 2013년에는 860억원으로연평균성장률이 22.4% 에이를정도로높은성장이예상된다. 또한최근개인정보유출및사내기밀유출등에대한사회적이슈로인해통합 PC 보안과인증제품분야도연평균 15% 이상의높은성장이전망된다 (< 표 > 참조 ). 나. 정보보호서비스유지보수및보안컨설팅등정보보호서비스의시장 표 시스템및네트워크정보보호제품매출전망 ( 단위 : 백만원 ) 구분 CAGR(%) 침입차단시스템 70,729 74,696 81,469 88,242 95, , , 침입방지시스템 62,943 65,756 69,589 73,422 77,255 81,088 84, 통합보안시스템 31,303 32,695 34,085 35,475 36,865 38,255 39, 보안관리 68,415 70,793 74,843 78,893 82,943 86,993 91, 가상사설망 33,502 33,707 34,054 34,401 34,748 35,095 35, 인증제품 14,450 17,360 20,603 23,846 27,089 30,332 33, Anti Virus 65,414 70,622 76,167 81,712 87,257 92,802 98, Anti Spam 6,940 7,487 8,040 8,593 9,146 9,699 10, 보안운영체제 25,554 27,183 28,968 30,753 32,538 34,323 36, 통합 PC 보안 31,926 40,991 49,538 58,085 66,632 75,179 83, DB/ 콘텐츠보안 51,793 55,075 58,610 62,145 65,680 69,215 72, 공개키기반구조 26,474 26,954 27,445 27,936 28,427 28,918 29, 접근관리 25,507 35,242 45,389 55,536 65,683 75,830 85, 바이오인식제품 68,317 75,362 83,152 90,942 98, , , 기타제품 19,682 10,251 12,725 15,199 17,673 20,147 22, 합계 602, , , , , , , 표 정보보호서비스의매출전망 ( 단위 : 백만원 ) 구분 CAGR(%) 유지보수 26,093 28,489 30,814 33,139 35,464 37,789 40, 보안컨설팅 26,339 29,912 33,844 37,776 41,708 45,640 49, 보안관제 31,329 38,553 45,441 52,329 59,217 66,105 72, 인증서비스 20,645 24,463 27,820 31,177 34,534 37,891 41, 기타서비스 7,589 6,821 6,601 7,190 7,779 8,368 8, 합계 111, , , , , , ,

11 제 1 장정보보호기반조성현황 319 규모는 2008년 1,282억원에서 2013년에는 2,129억원으로연평균 11.3% 성장할것으로전망된다. 특히보안관제는연평균 15.1% 로가장높은성장률을보일것으로전망되며, 보안컨설팅, 인증서비스도연평균 10% 이상의고성장이예상된다 (< 표 > 참조 ). 3. 정보보호산업기술개발현황 2008년도국내정보보호기업들이기술개발에투자한금액은총 852억원이며, 업체당평균투자액은 9.9억원으로 2007년도의 8억원에비해 24% 증가하였다. 2008년도기술개발투자액은매출액의약 17.7% 를차지하였다 (< 표 > 참조 ). 국내정보보호기업들의요소기술별연구수준에대한자체평가에서기업들은자사의기초연구수준을 78.5%, 응용연구수준을 80.1% 그리고상품화연구수준을 80.9% 로평가해요소기술별연구수준이상대적으로낮은것으로평가되었다 (< 표 > 참조 ). 또한분야별정보보호기업들의기술개발능력수준 에대한자체평가에서는제품기획능력부분을 75.7%, 제품설계능력을 81.8%, 제품실용화및서비스능력을 81.5%, 그리고제품품질개선능력을 82.6% 로평가한것으로나타나분야별기술개발수준도상대적으로취약한것으로나타났다 (< 표 > 참조 ). 국내정보보호기업들이추구하는기술개발전략중가장많이취하는전략유형은적응형전략으로전체기업중 77개사 (51.1%) 가자사의경영상태나시장상황, 경쟁업체의동향에따라탄력적으로기술개발전략을취한다고응답했다. 절충형전략이라고응답한기업은 47 개사 (31.1%), 혁신형전략을취한다는기업은 15개사 (9.9%) 등으로나타났다 (< 표 > 참조 ). 2008년도국내정보보호기업들이현재보유한지적재산권은산업재산권이 721건, 신지식재산권이 292건등총 1,013건으로나타났다. 산업재산권중특허권은 367건, 상표권은 312건나타났으며, 신지식재산권중에서컴퓨터프로그램은 277건으로조사되었다. 현재출원중인지적재산권은산업재산권이표 국내정보보호기업기술개발능력수준 표 구분 2007년 2008년 2009년 ( 계획 ) 연도별국내정보보호기업기술개발투자액현황 기업수 ( 개 ) 87 개 86 개 85 개 전체기업합계액 69,440 85, ,935 업체당평균액 ,211.0 ( 단위 : 백만원 ) 업체당매출대비비율 (%) 18.8% 17.7% 18.2% 기술개발능력수준 구분자체평가 (100% 만점 ) 요소기술별연구수준평균 제품기획능력제품설계능력제품실용화 / 서비스능력제품품질개선능력 75.7 % 81.8 % 81.5 % 82.6 % 80.4 % 표 국내정보보호기업요소기술별연구수준 표 국내정보보호기업기술개발전략의방향 ( 단위 : 건 ) 구분빈도수비율 (%) 구분자체평가 (100% 만점 ) 혁신형전략 요소기술별연구수준 기초연구수준응용연구수준상품화연구수준 78.5 % 80.1 % 80.9 % 기술개발전략의방향 안정형전략절충형전략적응형전략 요소기술별연구수준평균 79.8 % 합계

12 320 3 부안전한정보이용환경 218건, 신지식재산권은 6건으로나타나는등전체 224건이현재출원중인것으로조사되었다 (< 표 > 참조 ). 표 산업재산권신지식재산권 지적재산권보유및출원현황 구분특허권실용신안권의장권상표권소계컴퓨터프로그램데이터베이스영업비밀소계합계 ( 단위 : 건 ) 현재보유현재출원중 , 정보보호교육현황가. 정규교육기관을통한정보보호교육 2008년현재우리나라에는 3개전문대학과 11개대학에정보보호또는정보보호관련학과들이설치되어있으며, 18개대학원에서정보보호관련전공또는학과가운영되고있다. 2008년한해동안정규교육기관에의해배출된정보보호인력은 438명이며, 2008 년 10 월현재재학생은 2,359명이다. 6) 또한 2009년부터지식경제부와한국정보보호진흥원은금융보안및홈네트워크보안분야의고용계약형석사과정을개설하여분야별로각 25명씩총 50명의석사인력을양성할계획을수립하였다. 나. 비정규교육기관을통한정보보호교육 (1) 국가 공공기관의정보보호교육현재정보보호교육을담당하고있는국가기관및공공기관으로는국가정보원, 행정안전부, 한국정보보호진흥원등이있다. 국가정보원은사이버테러대응과정을운영하고있으며, 주요대상은국가 공공기관의보안담당자, 주요정보통신기반시설관리기관의보호책임자, 민간업체의정보보호책임자등으로 2008년도에 5회를실시하여총 100명을교육하였다. 행정안전부는정부정보화교육센터를설치하여공무원을대상으로정보화능력향상을위한교육을실시하고있다. 2008년도에실시한교육중정보보호관련교육으로는개인정보보호컨설팅, PC 안전관리클리닉, 해킹및침해대응전략, 정보시스템보안전문가양성등 4개과정이있었으며, 총 9회에걸쳐 180명을교육하였다. 한국정보보호진흥원은정보보호에대한이해와실천능력을향상시키기위해서일반교육과정보보호산업체및 IT 업계에종사하는정보보호담당자의전문역량강화를위한전문교육을실시하고있다. 7) 2008년도에는정보보호순회강연회등일반교육 33회와 CERT 구축및운영교육등전문교육 42회, 일반인을대상으로하는온라인교육등을통해총 6,210명을교육하였다. 또한 2009년에는지식경제부의지식정보보안분야현장핵심인력양성계획의일환으로한국정보보호진흥원내지식정보보안아카데미를설립하여디지털포렌식, 바이오인식, RFID/USN 보안, 지식정보보안컨설턴트등 4개분야의전문인력양성을위한교육을실시할예정이다. 주 : 6) 국가정보원 방송통신위원회 행정안전부 지식경제부, 2009 국가정보보호백서, ) 한국정보보호진흥원전문교육과정 : CERT 구축및운영교육, 네트워크및웹해킹교육, 전자서명인증관리체계운영자교육, 개인정보보호전문교육정보보호제품평가인증교육, 웹어플리케이션보안교육, 정보보호실습교육등

13 제 1 장정보보호기반조성현황 321 (2) 민간기관의정보보호교육 2008년현재 14개민간교육기관이정보보호교육을활발히진행하고있다. 8) 민간교육기관의정보보호교육은 6개월이상의장기전문가과정, 4주에서 3개월정도의단기과정, 정보보호관련자격증과정등으로이루어져있다. 장기전문가과정은운영체계, 시스템관리등네트워크프로그래밍과바이러스, 해킹기법등정보보호에대한전반적인교육과정이고, 단기과정은네트워크보안, 시스템보안, 웹보안등을위주로하고있으며, 자격증과정은주로공인정보시스템감리사 (CISA) 자격증과공인정보시스템보안전문가 (CISSP) 자격증, 정보보호전문가 (SIS) 자격증대비과정등이개설되어있다. 5. 정보보호인력현황 9) 2008년현재국내정보보호기술인력은 5,006명으로전년대비 2.6% 증가하였다. 세부분야별로는정보보호연구개발직이 2,167명, 정보보호관리직 1,740 명, 정보보호영업직 738명, 기타정보보호관련직 361명으로나타났으며, 수준별 10) 로는특급인력이 689명, 고급인력 920명, 중급인력 1,644명, 초급인력 1,753명으로나타났다. 2008년도정보보호인력의수준별구성에서나타난주요특징은특급인력, 고급인력, 중급인력이모두전년도에비해감소한반면, 초급인력만이증가한점을들수있다. 따라서향후정보보호인력양성정책은중급이상수준의인력양성에중점을두어야할것으로보인다 (< 표 > 참조 ). 표 정보보호직종및수준별인력현황 ( 단위 : 명 ) 구분 특급 고급 중급 초급 합계 비중 (%) 연구및개발직 인원수증감율 % % % % 2,107 2, % 43.3 관리직 인원수증감율 % % % % 1,671 1, % 34.8 영업직 인원수증감율 % % % % % 14.7 기타관련직 인원수증감율 % % % % % 7.2 합계 인원수증감율 % % 1,700 1, % 1,544 1, % 4,874 5, % 년비중 13.8% 18.4% 32.8% 35.0% 100% - 자료 : 국가정보원 방송통신위원회 행정안전부 지식경제부, 2009 국가정보보호백서, 주 : 8) 국가정보원 방송통신위원회 행정안전부 지식경제부, 2009 국가정보보호백서, ) 한국정보보호진흥원, 2008 정보보호산업통계, ) 본자료에서사용하고있는인력수준기준은엔지니어링사업대가의기준 ( 지식경제부공고제 호 ( ) 개정공고 ) 에서명시하고있는 기술자의등급및자격기준 을사용하였다.

14 322 3 부안전한정보이용환경 6. 정보보호관련자격증가. 정보보호관련국내자격증한국정보보호진흥원에서운영하는정보보호전문가 (SIS : Specialist for Information Security) 자격증은국내에서대표적인정보보호자격증으로 1급과 2급으로나뉘어지며, 모두국가공인자격증이다. 1급의경우보안정책의수립, 위험분석및대책수립, 정보보호지침서개발, 관련법규검토와국제표준안에대한지식및적용, 보안감리및평가등을검정하며, 2급은시스템, 네트워크, 인터넷등의활용기술을갖추고보안정책의구현, 보안시스템의운영및모니터링, 정보보호교육및훈련등의업무를담당할수있도록정보보호에대한실무적인이해능력을검정한다. 2008년까지 SIS 자격시험합격자수는 1급과 2급을통틀어 345명이며, 등급별로는 1급의경우응시자수 1,606 명, 합격자수 145명으로, 약 9.0% 의합격률을보이고있으며, 2급은응시자수 2,431명, 합격자수 200명으로약 8.2% 의합격률을보이고있다. 나. 정보보호관련국외자격증 11) 다. 2008년말현재 ISACA가파악하고있는국내 CISA 자격소지사수는 2,536 명이나, 이는국적등에관한정보공개에동의하지않은사람이제외된숫자이므로실제로는훨씬많을것으로추정된다. 2008년국내에서실시된 CISA 자격시험에는약 3,000명이응시해서 607명이합격하여합격률은약 20.2% 였다. ISC2(Internatioanl Information System Security Certification Consortium, Inc.) 에서운영하는 CISSP 는기술적인보안솔루션제공, 보안정책, 표준및지침수립과이에따른통제절차를마련 관리할수있는전문인력을양성하는자격증으로국내에는 1,200여명의자격자가활동하고있다. 참고자료 LIST 국가정보원 방송통신위원회 행정안전부 지식경제부, 2009 국가정보보호백서, 제 3 절전자서명현황 국외정보보호관련자격증으로는공인정보시스템감리사 (CISA : Certified Information Security Auditor), 공인정보시스템보안전문가 (CISSP : Certified Information System Security Professional) 자격증이대표적이다. 정보시스템감사통제협회 (ISACA) 가운영하는 CISA는정보시스템의개발 구축 운영 관리기능을감사 ( 감리 ) 해보안기능과신뢰성, 효과성, 효율성등을향상시키는업무를담당하는전문인력을양성하는자격증이 1. 전자서명인증체계개요정보통신기술의발달로인터넷및전자거래가급속도로확산됨에따라정부는전자문서의안전 신뢰성확보, 전자거래의안전한이용환경조성및공인인증기관의효율적인관리등을위해 1999년 2월전자서명법을제정하였으며, 1999년 7월한국정보보호진흥원에최상위인증기관을구축하였다. 이후 2001년에는행정업무의전자적처리및전자 주 : 11) 본자료에서사용하고있는국외정보보호관련자격증현황통계는 2009 국가정보보호백서 ( 국가정보원, 방송통신위원회, 행정안전부, 지식경제부 ) 를인용하였다.

15 제 1 장정보보호기반조성현황 323 정부의구현을목적으로한행정전자서명인증체계가구축되었으며, 행정안전부가최상위인증기관의역할을수행하고있다. 한국정보보호진흥원은민간분야의최상위인증기관으로서공인인증기관에대한공인인증서발급 관리등인증업무, 공인인증기관실질심사및정기점검, 전자서명인증관련기술개발 보급, 전자서명인증관련제도연구및상호인정, 국제협력지원등의공인인증서사업관리및정책수립업무를담당하고있다. 민간분야의공인인증기관으로지정받기위해서는공인인증시스템을안전하게구축 관리하기위한기술력, 재정능력, 공인인증서발급 관리를위한시설및장비등에대한엄격한기준을충족해야하며, 해당기준의준수여부심사는최상위인증기관인한국정보보호진흥원이정부의위탁을받아수행중에있다. 2009년 5 월현재총 5개의공인인증기관이정부로부터지정 운영되고있다 (< 표 > 참조 ). 표 공인인증기관지정현황기관명지정일설립목적기관성격한국정보인증ㄜ 공인인증서비스주식회사ㄜ코스콤 증권분야전산인프라구축주식회사금융결제원 은행간결제비영리기관한국전자인증ㄜ 공인인증서비스주식회사ㄜ한국무역정보통신 무역업무자동화주식회사자료 : 한국정보보호진흥원, 공인인증서이용현황 공인인증서는아이디 (ID) 와비밀번호를이용하는전통적인신원확인방법보다개인정보보호기능이뛰어나고, 전자상거래의부인방지기능등을갖추고있다. 이에따라인터넷뱅킹 (2002년 9월 ) 및온라인증권거래 (2003년 3월 ) 에공인인증서적용이의무화되었으며, 2005년 11 월에는전자상거래에서신용카드결제시, 신용카드사별로자율적으로공인인증서사용의무화를추진하는등공인인증서이용활성화를위한정부정책이추진되었다. 이러한정부정책을바탕으로공인인증서도입초기에는인터넷뱅킹, 온라인증권거래등전자금융분야에주로이용되었으나, 최근에는 인터넷주택청약, 전자민원, 교육과학기술부의 내자녀바로알기, 연말정산 그림 ,500 연도별공인인증서이용자수변화추이 ( 단위 : 만명 ) 2,039 2,000 1,716 1,856 1,500 1,437 1, , 자료 : 행정안전부, 표 공인인증서발급현황 ( 단위 : 건 ) 종류 개인 18,470 1,293,850 4,376,203 7,088,509 8,724,889 10,140,241 13,348,604 15,881,954 17,182,621 18,940,741 법인 8, , , , , ,135 1,025,461 1,272,332 1,379,273 1,444,174 서버 ,047 1,416 1,443 계 26,845 1,501,535 4,934,143 7,824,368 9,497,919 11,000,073 14,374,988 17,155,333 18,563,310 20,386,358 자료 : 행정안전부,

16 324 3 부안전한정보이용환경 및소득신고, 전자조달 등모든전자상거래로확산되고있으며, 2009년 4월기준으로 2,446만명의경제활동인구중 83% 인 2,039만명이사용하고있다 (< 그림 >, < 표 > 참조 ). 3. 공인인증서이용활성화정책가. 공인인증서비스안전성강화와대국민인식제고 (1) 공인인증서비스장애예방및대응체계강화인터넷뱅킹, 온라인증권거래등전자금융거래의규모가급증하면서공인인증서비스장애발생시이용자뿐만아니라국가경제 사회전반의피해로확대될가능성이있어이에대한안전성강화대책마련요구가최근중요한이슈로대두되고있다. 이에행정안전부, 한국정보보호진흥원, 공인인증기관을중심으로한안전성강화대책으로 2007년 5월에공인인증업무비상대응매뉴얼을개발하여공인인증서비스의중단또는그와동등한사고발생에대비하여신속한대응및복구조치를할수있도록하였고, 공인인증서관리를담당하는각기관의대응절차및조치사항을규정하였다. 또한공인인증서비스장애에대한신속한대응책습득을위해 2005년최상위인증기관및공인인증기관합동비상대응훈련을실시하고있으며, 훈련결과에대한피드백, 장애대응훈련시나리오발굴등매년지속적인훈련내용개선을통해보다실효성있는훈련을하기위해노력하고있다. 2009년부터는금융, 공공기관등사회전반으로점차확산되어가는공인인증서비스의중요성에따라국가차원의공인인증서비스장애대응체계마련을위해국가비상대응체계구성, 장애관제등관련기술연구, 매뉴얼개발, 민 관합동비상훈련확대등을추진할예정이다. (2) 보안토큰기반의공인인증서이용기반구축최근에지능화 고도화되고있는해킹등으로부터공인인증서유출사고를방지하기위해보안토큰을보급중에있다. 보안토큰은전자서명이저장장치내부에서생성되며, 저장된전자서명생성키는저장장치외부로나오지않기때문에피싱 해킹등으로부터공인인증서유출을방지할수있는휴대용저장장치를말한다. 정부는 2007년 6월한국정보보호진흥원, 공인인증기관, PKI 전문보안업체, 보안토큰업체와공동으로보안토큰기반의공인인증서이용기술표준화를완료하고, 최상위인증기관을통해보안토큰구현적합성평가를시행하고있다. 2007년부터현재까지총 19종의제품이구현적합성평가를통과하였으며, 금융권, 공공기관등 211개사이트에서보안토큰기반의안전한공인인증서비스를제공하고있다. (3) 공인인증서안전이용홍보공인인증서이용활성화를위해서는국민들의공인인증서안전이용에대한인식제고가무엇보다도중요하다. 이에따라한국정보보호진흥원과공동으로안전한공인인증서저장매체및비밀번호설정방법, 공인인증서불법양도 양수금지에대한홍보등을통해일반국민들이공인인증서를보다안전하게이용할수있도록홍보하였다. 또한 PC 하드디스크에저장된공인인증서외부유출의심각성을널리홍보하여국민들이공인인증서를 USB, 보안토큰등보다안전한이동식저장매체에보관할수있도록홍보캠페인을전개하였다. 2008년 9월에는공인인증서보안토큰저장, 안전한공인인증서비밀번호생성등공인인증서안전이용에관한홍보플래시애니메이션을제작하여공인인증기관, 은행, 증권등 400여개전자거래업체의홈페이지를통해배포하였다.

17 제 1 장정보보호기반조성현황 325 나. 공인인증서이용자환경개선정책 (1) 유비쿼터스사회에적합한인증체계구축유비쿼터스사회가속화로네트워크카메라, 방송 통신단말기, 인터넷전화기등다양한기기가정보제공주체로등장함에따라해당네트워크기기에대한정보보호수준강화가요구되고있다. 이에따라행정안전부와한국정보보호진흥원은네트워크에참여하는다양한기기를식별하고진위를판단할수있는신뢰된기기인증체계를구축하고있다. 또한기기인증체계구축을위한요구사항등을도출하기위해기기인증시범사업 12) 을수행하며요구사항및기기인증서안전성기준등을마련중이다. 한편행정기관에도입되는인터넷전화기에기기인증서를도입하기로함에따라기기인증서발급을위한최상위인증기관기기인증시스템등기기인증체계를구축할예정이다. (2) 공인인증서비스의웹접근성제고다양한웹브라우저의출현, 웹관련기술의발전과같이인터넷이용환경이다양해지고장애인들의인터넷참여가확대됨에따라공인인증서비스의웹접근성확보중요성이증가하고있다. 이에따라정부는정보이용환경변화를수용하기위하여마이크로소프트 (MS) 사의액티브엑스컨트롤기술과같이웹브라우저에서동적으로실행되는응용프로그램환경을제공할수있는자바애플릿기술을이용하여공인인증서비스를제공할수있도록자바기반의공인인증서소프트웨어에대한구현가이드라인을 2007 년 2월에제작 배포하였다. 자바기반의공인인증서소프트웨어구현가이드라인을개발함으로써사용자들이윈도우외에리눅스, 매킨토시등다양한운영체계에서공인인증서비스를이용할수있는기반을마련하게되었다. 또한장애인도일반인과차별없이공인인증서를발급받아이용할수있는환경을조성하기위해공인인증서장애인웹접근성강화기준및장애인을위한공인인증서가입자 SW 개발을추진중에있다. 주 : 12) u-city 구축과연계하여지자체에도입되는네트워크카메라 (CCTV) 를대상으로기기인증서를시범적용하는사업

시각형 상사 vs 청각형 상사

시각형 상사 vs 청각형 상사 Copyright SecurityPlus 2015 진학및취업을준비중인 SUA 를위한 정보보안분야 Landscape Nov. 2015 POLARIS / 최종훈 This report is solely for the use of client personnel. No part of it may be circulated, quoted, or reproduced for