일러두기 통계표및도표내의숫자는반올림되었으므로세부항목의 합이전체합계와일치하지않을수있음.

이책의우측상단에는시작장애인을위한음성변화용바코드가실려있습니다. 국가정보원 미래창조과학부 방송통신위원회 안전행정부는한국인터넷진흥원 국가보안기술연구소와합동으로우리나라정보보호수준을가늠하고대국민정보보호역량을제고하기위해 2013 국가정보보호백서 를발간하였습니다. 수고해주신여러집필위원과자문위원여러분들께감사드립니다. 2013 년 4 월 2013 국가정보보호백서 는 2012년 1년간의국내정보보호활동성과및중점추진정책등을총망라하였습니다. 정부조직개편에따라담당부처의변경이있었으나 2012 년기준으로작성되어본문에는종전의부처명으로표기하였습니다.

정보보호연혁 2012 정보보호의날제정 민 관 군사이버위협합동대응팀본격가동 2011 개인정보보호법 제정 3.4 DDoS 침해사고발생 국가사이버안보마스터플랜수립및시행 2010 사이버사령부설립 전자금융거래공인인증수단다양화 전자정부법 전부개정 - 전자정부관련기능과법령통폐합 2009 7.7 DDoS 침해사고발생 국가사이버위기종합대책수립 한국인터넷진흥원 (KISA) 출범 - 한국정보보호진흥원, 한국인터넷진흥원, 정보통신국제협력진흥원통합 한국지식정보보안산업협회 (KISIA) 재출범 2008 정부조직개편에따라각정부부처에서정보보호관련기능분담수행 - 방송통신위원회 : 통신사업자등민간부문정보보호 - 행정안전부 : 전자정부대민서비스보호, 행정전자서명제도운영, 주요정보통신기반시설보호, 공공분야개인정보보호 - 지식경제부 : 정보보호산업육성및기술개발, 정보보호전문인력양성 범국가차원의보안관제체계구축 - 국방 외교 행정등 10대핵심부문보안관제센터설립 2007 정보보호제품민간평가기관지정 전자정부구현을위한행정업무등의전자화촉진에관한법률을 전자정부법 으로개편 2006 국제상호인정협정 (CCRA) 인증서발행국가입 국가사이버위기대응통합연습실시 2005 국가사이버안전관리규정 ( 대통령훈령 ) 제정 제 1 회사이버안전의날개최 2004 국가사이버안전센터설립 국가위기관리기본지침 ( 대통령훈령 ) 및국가사이버위기관리매뉴얼제정 2003 1.25 인터넷대란발생 KISA 인터넷침해사고대응지원센터설립 대국민행정서비스용블록암호알고리즘 (ARIA) 개발

2002 국가정보보호백서창간 국가정보보안연합회 (NISA) 설립 정보보호시스템공통평가기준 (CC) 제정 2001 정보통신기반보호법 제정 전자정부구현을위한행정업무등의전자화촉진에관한법률제정 정보통신망이용촉진등에관한법률이 정보통신망이용촉진및정보보호등에관한법률 로개편 한국사이버테러정보전학회 (KIAS) 설립 한국정보보호센터가한국정보보호진흥원 (KISA) 으로승격 전자서명법 제정 2000 국가보안기술연구소 (NSRI) 설립 1999 을지연습시사이버전모의훈련최초실시 전산망보급확장과이용촉진에관한법률이정보통신망이용촉진등에관한법률로개편 국가정보통신보안기본지침제정 1998 한국정보보호산업협회 (KISIA) 설립 최초국산블록암호알고리즘 (SEED) 개발 정보보호시스템평가 인증제도시행 1996 한국정보보호센터 (KISA) 설립 1994 정보통신부출범 - 체신부확대개편및과학기술처 공보처 상공자원부정보통신관련기능흡수 통합 1990 한국정보보호학회 (KIISC) 설립 1989 국내최초정보보안학술대회개최 - 제 1 회정보보호와암호에관한학술대회 (WISC) 1986 전산망보급확장과이용촉진에관한법률제정 1981 정보및보안업무기획 조정규정 ( 대통령령 ) 제정 - 국가통신보안업무에대한기획 조정절차와방법규정 1964 보안업무규정 ( 대통령령 ) 및동규정시행규칙 ( 대통령훈령 ) 제정

CONTENTS 정보보호연혁 2012년정보보호 10대이슈 제 1 편 총론 제1장국가정보보호백서의주요내용 2 제1절 2013 국가정보보호백서의구성 2 제2절 2013 국가정보보호백서의주요특징 3 제2장정보보호개요 5 제1절 정보화환경과역기능 5 제2절 정보보호향후전망 7 제3장정보보호담당기관 8 제1절 중앙행정기관 8 제2절 전문기관 21 제3절 보안관제센터 29 제4절 민간협력단체 31 제4장정보보호법제도 40 제1절 정보보호법제도발전과정 40 제2절 2012년주요제 개정법령 46 제 2 편 정보보호활동 제1장인터넷침해사고대응및예방활동 66 제1절 인터넷침해사고동향 66 제2절 인터넷침해사고대응 71 제3절 인터넷침해사고예방 79 제2장정보통신서비스제공자등의정보보호 88 제1절 정보보호안전진단 88 제2절 정보보호관리체계인증 90 제3절 정보보호사전점검 94

제3장주요정보통신기반시설보호활동 96 제1절 주요정보통신기반시설보호추진체계 96 제2절 전자적제어시스템위협및피해사례 98 제3절 주요정보통신기반보호체계강화활동 100 제4장전자정부정보보호활동 104 제1절 대민서비스정보보호수준진단 104 제2절 안전한전자인증체계 106 제3절 정보시스템 SW 개발보안제도도입 114 제4절 정보보호제품평가 인증제도운영 117 제5장개인정보보호활동 124 제1절제2절제3절제4절 개인정보보호환경변화 124 개인정보침해현황 125 개인정보보호추진현황및성과 127 향후계획 135 제 6 장대국민정보보호활동 144 제1절제2절제3절제4절제5절 불법스팸메일방지 144 불건전정보유통대응 149 정보보호상담및처리 156 정보보호홍보및인식제고활동 158 대국민정보보호교육사업 163 제 3 편 정보보호기반조성 제 1 장정보보호산업분야 168 제 1 절 제 2 절 제 3 절 정보보호산업현황 168 정보보호제품수출현황 185 정보보안서비스전문업체지정제도및현황 188

제2장정보보호기술개발현황 193 제1절 정보보호원천기술개발전략 193 제2절 정보보호원천기술개발현황 196 제3절 정보보호기업기술개발운영현황 202 제3장정보보호교육및인력분야 206 제1절 정규교육과정에의한인력양성현황 206 제2절전문기관에의한인력양성현황 211 제3절정보보호자격증제도 221 제4절정보보호인력현황 226 제 4 편 통계로보는정보보호 제 1 장국가 공공부문 230 제 2 장민간부문 244 특집 제 1 장사이버보안분야국제협력현황 252 제 2 장모바일보안위협및대책 262 제 3 장정보보호관리체계인증의무화 275 부록 제1장 2012년주요정보보호행사 292 제2장국내정보보호관련업체현황 293 제3장정보보호인증및검증필제품 300 제4장약어정리 315

표목차 [ 표 1-2-1-1] 우리나라의주요정보통신지수순위 6 [ 표 1-3-3-1] 분야별보안관제센터운영현황 (28 개 ) 30 [ 표 1-4-1-1] 정보보호관련주요법령목록 43 [ 표 2-1-1-1] 연도별민간부문침해사고접수처리건수 70 [ 표 2-1-2-1] 최근 5년간악성코드은닉사이트탐지건수 73 [ 표 2-1-2-2] 최근 5년간 C&C 차단현황 75 [ 표 2-1-2-3] DDoS 사이버대피소운영현황 76 [ 표 2-1-2-4] 인터넷연동구간 DDoS 대응시스템탐지 대응현황 77 [ 표 2-1-3-1] 정보보호 TV방송편성현황 79 [ 표 2-1-3-2] 상용프로그램의암호기능이용안내서주요내용 82 [ 표 2-1-3-3] 웹취약점점검서비스제공통계 83 [ 표 2-1-3-4] 휘슬보급현황 84 [ 표 2-1-3-5] 캐슬보급현황 84 [ 표 2-1-3-6] 웹체크메뉴별세부기능 86 [ 표 2-2-1-1] 정보보호안전진단대상사업자수 88 [ 표 2-2-1-2] 정보보호안전진단대상자에대한정보보호수준 89 [ 표 2-2-1-3] 정보보호안전진단대상자의정보보호관심도 89 [ 표 2-2-2-1] ISMS 인증기준주요변경내용 90 [ 표 2-2-2-2] ISMS 인증취득혜택 91 [ 표 2-3-2-1] 국내외전자적제어시스템피해사례 99 [ 표 2-4-1-1] 2012년전자정부대민서비스정보보호수준진단항목및지표 105 [ 표 2-4-2-1] 공인인증기관지정현황 110 [ 표 2-4-3-1] SW 개발보안제도개요 117 [ 표 2-4-4-1] 평가보증등급별인증제품현황 121 [ 표 2-5-2-1] 유형별개인정보침해현황 126 [ 표 2-5-3-1] 2012년개인정보보호월별교육인원및횟수 133 [ 표 2-5-4-1] 공공아이핀보급 적용웹사이트현황 142 [ 표 2-6-1-1] 연도별스팸수신량 145

[ 표 2-6-1-2] 연도별스팸신고접수추이 146 [ 표 2-6-2-1] 방송통신심의위원회불법정보심의현황 150 [ 표 2-6-2-2] 2012년내용별불법정보심의현황 150 [ 표 2-6-2-3] 2012년시정요구별불법정보심의현황 151 [ 표 2-6-2-4] 도박등사행성정보심의현황 152 [ 표 2-6-2-5] 불법식 의약품심의현황 152 [ 표 2-6-2-6] 성매매 음란정보심의현황 153 [ 표 2-6-2-7] 청소년유해정보차단소프트웨어보급현황 154 [ 표 2-6-2-8] 인터넷내용등급서비스등급분류현황 155 [ 표 2-6-2-9] 명예훼손분쟁조정접수현황 155 [ 표 2-6-2-10] 이용자정보제공청구접수현황 156 [ 표 2-6-3-1] 연도별 118 상담접수현황 157 [ 표 2-6-3-2] 118 월별상담접수현황 157 [ 표 2-6-3-3] 118 상담분야별접수현황 158 [ 표 2-6-4-1] 정보보호의달관련주요행사 160 [ 표 2-6-5-1] 정보보호일반 전문교육현황 164 [ 표 3-1-1-1] 2012년정보보호제품및서비스분류 169 [ 표 3-1-1-2] 2012년물리보안제품및서비스분류 170 [ 표 3-1-1-3] 지식정보보안기업상장유무별현황 172 [ 표 3-1-1-4] 지식정보보안기업자본금규모별현황 172 [ 표 3-1-1-5] 지식정보보안기업종사자규모별현황 173 [ 표 3-1-1-6] 지식정보보안기업설립연도별현황 173 [ 표 3-1-1-7] 정보보호기업의품목별취급기업수및비율 175 [ 표 3-1-1-8] 물리보안기업소분류품목별취급기업수및비율 176 [ 표 3-1-1-9] 지식정보보안산업매출현황 177 [ 표 3-1-1-10] 정보보호기업매출액기준비중현황 177 [ 표 3-1-1-11] 물리보안기업매출액기준비중현황 177 [ 표 3-1-1-12] 정보보호기업중분류별매출현황 178 [ 표 3-1-1-13] 물리보안기업중분류별매출현황 179 [ 표 3-1-1-14] 정보보호기업전체매출현황 180 [ 표 3-1-1-15] 물리보안기업전체매출현황 182

[ 표 3-1-1-16] 정보보호기업의업종별 ( 수요처별 ) 매출현황 184 [ 표 3-1-1-17] 물리보안기업의업종별 ( 수요처별 ) 매출현황 184 [ 표 3-1-2-1] 지식정보보안산업수출현황 185 [ 표 3-1-2-2] 지식정보보안산업국가별수출현황 185 [ 표 3-1-2-3] 정보보호기업품목별수출현황 186 [ 표 3-1-2-4] 물리보안기업품목별수출현황 187 [ 표 3-1-3-1] 지식정보보안컨설팅전문업체지정심사기준 189 [ 표 3-1-3-2] 지식정보보안컨설팅전문업체현황 190 [ 표 3-1-3-3] 보안관제전문업체지정심사기준 191 [ 표 3-1-3-4] 보안관제업무수행능력평가기준 191 [ 표 3-1-3-5] 보안관제전문업체현황 192 [ 표 3-2-1-1] 지식정보보안기술개발추진전략 193 [ 표 3-2-1-2] 지식정보보안중장기기술로드맵 194 [ 표 3-2-2-1] 지식경제부기술개발과제 201 [ 표 3-2-3-1] 정보보호기업자체기술연구소및전담부서운영현황 202 [ 표 3-2-3-2] 물리보안기업자체기술연구소및전담부서운영현황 203 [ 표 3-2-3-3] 정보보호기업연도별기술개발투자액현황 204 [ 표 3-2-3-4] 물리보안기업연도별기술개발투자액현황 204 [ 표 3-2-3-5] 정보보호기업기술개발시애로사항 ( 복수응답 ) 205 [ 표 3-2-3-6] 물리보안기업기술개발시애로사항 ( 복수응답 ) 205 [ 표 3-3-1-1] 대학정보보호관련학과현황 207 [ 표 3-3-1-2] 대학원정보보호관련학과현황 209 [ 표 3-3-1-3] 전문대학정보보호관련학과현황 210 [ 표 3-3-2-1] 2012년정보화교육센터의교육현황 211 [ 표 3-3-2-2] 2012년도정보보호인력대상수준별교육과정 212 [ 표 3-3-2-3] 2012년도행정기관정보보호교육현황 213 [ 표 3-3-2-4] 민간교육기관의교육현황 214 [ 표 3-3-2-5] 고용계약형지식정보보안석사과정인력현황 216 [ 표 3-3-2-6] 2012년지식정보보안전문인력양성과정운영현황 218 [ 표 3-3-2-7] 한남대학교민군겸용보안공학연구센터참여인력현황 219 [ 표 3-3-2-8] 경기대학교산업기술보호특화센터참여인력현황 219

[ 표 3-3-2-9] 고려대학교스마트그리드보안연구센터참여인력현황 220 [ 표 3-3-2-10] 숭실대학교스마트서비스보안연구센터참여인력현황 220 [ 표 3-3-3-1] 정보보호전문자격증현황 221 [ 표 3-3-3-2] 정보보호전문가자격시험응시자및합격자현황 222 [ 표 3-3-3-3] 디지털포렌식전문가자격시험응시자및합격자현황 223 [ 표 3-3-3-4] 정보시스템보안전문가 (CISSP) 자격보유자현황 224 [ 표 3-3-4-1] 전체지식정보보안인력현황 226 [ 표 3-3-4-2] 지식정보보안인력수준별종사자현황 227 [ 표 3-3-4-3] 지식정보보안인력채용현황및계획 228 [ 표특집 -3-2-1] 정보보호관리체계인증및정보보호안전진단제도비교 277 [ 표특집 -3-3-1] 정보통신서비스분류체계 ( 예시 ) 279 [ 표특집 -3-3-2] 주요정보통신서비스매출액구분 ( 예시 ) 282 [ 표특집 -3-3-3] 쇼핑몰유형별매출구분 ( 예시 ) 283 [ 표특집 -3-4-1] 정보보호관리체계인증기준표 284 [ 표특집 -3-5-1] 단계별소요기간 256 [ 표특집 -3-6-1] 정보보호관리체계 (ISMS, PIMS, G-ISMS) 인증제도비교 289 [ 표특집 -3-6-2] 정보보호관리체계 (ISMS, PIMS, G-ISMS) 인증기준비교 290

그림목차 [ 그림 2-1-1-1] 방송통신위원회를사칭해유포한악성앱 68 [ 그림 2-1-1-2] 한글취약점이용악성코드유포사례 70 [ 그림 2-1-2-1] 인터넷침해대응센터민간대상침해사고대응업무체계 72 [ 그림 2-1-2-2] 악성코드은닉사이트탐지및대응개요 73 [ 그림 2-1-2-3] 감염 PC 사이버치료체계개요도 75 [ 그림 2-1-2-4] 스마트폰보안자가점검앱개선버전 78 [ 그림 2-1-3-1] 정보보호 TV방송영상 80 [ 그림 2-1-3-2] 웹보안서비스개요 82 [ 그림 2-1-3-3] 최다발견상위 10개웹취약점 83 [ 그림 2-1-3-4] 웹체크서비스구성도 85 [ 그림 2-2-2-1] 연간 ISMS 인증추이 92 [ 그림 2-2-2-2] 인증취득기업분야별분류 93 [ 그림 2-2-3-1] 정보보호사전점검범위 94 [ 그림 2-3-1-1] 주요정보통신기반시설보호체계 97 [ 그림 2-3-3-1] 주요정보통신기반시설보호계획수립절차 103 [ 그림 2-4-2-1] 행정전자서명인증체계도 107 [ 그림 2-4-2-2] 공인전자서명인증체계 109 [ 그림 2-4-2-3] 연도별공인인증서발급건수 111 [ 그림 2-4-3-1] SW 개발보안주요행사 116 [ 그림 2-4-4-1] 정보보호제품평가 인증체계 119 [ 그림 2-4-4-2] 정보보호제품평가 인증절차 120 [ 그림 2-5-2-1] 연도별개인정보침해신고 상담및피해구제신청현황 125 [ 그림 2-5-3-1] 개인정보보호추진체계 128 [ 그림 2-5-3-2] 민간부문개인정보보호대응절차 130 [ 그림 2-5-4-1] 개인정보노출대응시스템개념도 140 [ 그림 2-6-1-1] 스팸신고방법 ( 프로그램, 홈페이지, 간편신고서비스 ) 146 [ 그림 2-6-4-1] 제1 회 정보보호의날 기념행사 159 [ 그림 2-6-4-2] 2012년암호기술공모전시상식 163

[ 그림 3-2-2-1] 다중카메라추적및원거리사람식별을위한영상보안기술개발 196 [ 그림 3-2-2-2] 스마트지갑핵심기술의국가표준제정및상용화고도화 197 [ 그림 3-2-2-3] 안전하고편리한 HCI 기반인증기술 198 [ 그림 3-2-2-4] Car-헬스케어보안기술 199 [ 그림 3-2-2-5] 실시간디지털포렌식기술 200 [ 그림 4-1-1] 정보보호전담부서운영현황 230 [ 그림 4-1-2] 정보보호전담부서인원 231 [ 그림 4-1-3] 정보보호전담인력희망규모 232 [ 그림 4-1-4] 정보보호전담부서최상급자직급 232 [ 그림 4-1-5] 정보보호전담부서대행주체 233 [ 그림 4-1-6] 정보보호관련학위및공인자격증소지자현황 234 [ 그림 4-1-7] 정보보호관련교육실시현황 234 [ 그림 4-1-8] 연간정보보호관련교육일수 235 [ 그림 4-1-9] 정보보호제품및서비스이용현황 236 [ 그림 4-1-10] 정보화예산대비정보보호예산비율현황 237 [ 그림 4-1-11] 정보화예산대비정보보호예산희망비율 238 [ 그림 4-1-12] 정보보호업무수행애로사항 239 [ 그림 4-1-13] 정보시스템운영 관리방법 240 [ 그림 4-1-14] 정보시스템운영 관리외부인력중상주인원수 240 [ 그림 4-1-15] 상주외부인력근무장소 241 [ 그림 4-1-16] 상주외부인력보안관리방법 241 [ 그림 4-1-17] 휴대용정보통신기기관리방법 242 [ 그림 4-1-18] 소속기관의정보보호수준자체평가 243 [ 그림 4-1-19] 소속기관이가장취약한정보보호분야 243 [ 그림 4-2-1] 정보보호및개인정보보호전담조직설치 운영현황 244 [ 그림 4-2-2] IT 관련책임자임명현황 ( 복수응답 ) 245 [ 그림 4-2-3] 정보보호및개인정보보호교육프로그램실시현황 246 [ 그림 4-2-4] 정보화투자대비정보보호지출비율 247 [ 그림 4-2-5] 정보보호관련투자증감현황 247 [ 그림 4-2-6] 정보보호제품사용현황 : 제품군별 ( 복수응답 ) 248 [ 그림 4-2-7] 클라우드컴퓨팅서비스보안대책수립현황 249

[ 그림특집 -2-1-1] 모바일인터넷의발전단계 262 [ 그림특집 -2-1-2] 스마트폰가입자수추이 263 [ 그림특집 -2-2-1] 스마트폰저장주요정보 265 [ 그림특집 -2-2-2] 스마트폰관련보안위협 265 [ 그림특집 -2-2-3] 모바일영역별보안위협 266 [ 그림특집 -2-3-1] 스마트모바일시큐리티종합계획개요 268 [ 그림특집 -2-3-2] 스마트폰이용자 10대안전수칙 269 [ 그림특집 -2-3-3] 모바일전자정부서비스검증 등록체계 271 [ 그림특집 -2-3-4] 모바일전자정부서비스보안성검증절차 272 [ 그림특집 -2-3-5] 모바일공통기반구축추진경과 273 [ 그림특집 -2-3-6] 모바일행정서비스공통기반및지원센터기능범위 273 [ 그림특집 -2-3-7] 모바일대민서비스공통기반및지원센터기능범위 274 [ 그림특집 -3-5-1] ISMS 인증추진체계 287

2013 국가정보보호백서 2012 년정보보호 10 대이슈 본편에서는 2012년한해동안국내외에서주요한관심사로떠오른정보보호 10대이슈를소개한다. 이러한이슈들을통하여 2012년한해동안의주요동향을돌아보는한편, 정보보호에대한인식을제고하고자한다. 주제선정을위해본백서발간에참여하는기관별로 10개씩제안한주제후보들을취합했다. 각기관의주제후보제안에는해당기관의담당자와외부전문가가참여했다. 취합된주제후보들중유사한주제들을통합하는한편, 여러기관에서중복하여제안한주제들을중심으로최종후보들을선정했다. 이후관계기관담당자와집필진의협의를거쳐, 최종후보중 10개의주제를엄선했다. Privacy SNS Smishing APT ISMS Security

Issue1 정부는해킹에의한개인정보의대규모유출등날로심각해지는사이버공격에대응하기위하여세계최초로 7월둘째주수요일을 정보보호의날 ( 법정기념일 ) 로지정하였다. 이와함께 7월을 정보보호의달 로지정하여관계부처합동으로다양한정보보호행사를개최하고이를통하여국민들의정보보호인식제고와실천을높여나갈것이라고밝혔다. 국가정보원, 방송통신위원회, 행정안전부, 지식경제부등 4개기관은 2012년 7월 11일제1 회정보보호의날기념식을공동주최하였다. 이날행사에는정보보호관계기관및유관기관 학계 산업계주요인사등 300 여명이참석하였고, 국가 사회각분야의정보보호연구 발전과사이버침해대응에공로가있는 2012년정보보호유공자에대한정부포상이수여되었다. 기념식이후에는정보보호의달행사의일환으로제1회국제정보보호컨퍼런스와정보보안인력채용박람회가개최되었다. 제1회국제정보보호컨퍼런스에서는국내외전문가를초청, 최신보안이슈및동향발표와기업의정보보호제품전시회가열렸으며정보보안인력채용박람회에서는보안관련기업의채용상담의장이마련되었다. 그외에도 7월중부처별주요행사로화이트해커양성을위한해킹방어대회, 정보보호인식제고를위한정보보호토론대회가개최되었다. 또한방학을맞은초 중 고 대학생을대상으로청소년 IT보안캠프, 정보윤리지킴이캠프, 대학생대상금융보안캠프등이열렸다. 또한기업을대상으로 CEO 초청정보보호전략간담회, 개인정보보호권역별순회교육및금융회사임직원보안교육도실시되었다. 정보보호의날 이제정되고 7월한달간정부차원의다양한정보보호행사가개최됨으로써범국가적인정보보호인식제고를통해사이버공격에효과적으로대처할수있는역량결집이기대된다. 2013 국가정보보호백서 xxi

Issue2 정부는정보보호관리체계인증등에관한고시 (2013.1.17 전부개정, 2013.2.18 시행 ) 를개정, 주요정보통신서비스제공자를인증의무대상자로지정하고인증기준등을재정비하였다. 이는실효성이낮은안전진단제도를폐지하고 ISMS( 정보보호관리체계, Information Security Management System) 인증제도로일원화함으로써기업의정보보호수준을제고하기위한조치의일환이다. 정보통신망서비스제공자 (ISP), 집적정보통신시설사업자 (IDC), 정보통신서비스제공자중정보통신부문연매출액 100억원이상또는전년도말기준직전 3개월간의일평균이용자수가 100만명이상인사업자가인증의무대상자에해당한다. 인증을위하여위험관리, 보호대책등총 104 개항목 ( 세부항목 364 개 ) 에대한점검을실시하며, 의무대상자가인증을받지않을경우 1,000만원이하의과태료가부과되도록하였다. 주요정보통신서비스제공자의정보보호관리체계인증의무화로향후기업들이정보보호에대한종합적인관리체계를수립 운영할것으로기대되며, 개인정보침해, 기업정보유출, DDoS( 분산서비스거부, Distributed Denial of Service) 공격등의해킹사고를예방하는데큰효과가있을것으로예상된다. xxii 2012 년정보보호 10 대이슈

Issue3 2012년 11월정보통신기반보호위원회는새로운사이버공격으로부터주요정보통신기반시설을보호하기위한제도와기준을새롭게정비하였다. 이에따라스턱스넷 (Stuxnet) 과같은고도화된컴퓨터바이러스등으로부터각종제어시설을안전하게보호할수있는방안과함께기간정보통신시설에대한체계적인관리체계를마련하였다. 정부는정보통신기반시설의취약점분석 평가기준을개선하여종래 2년마다실시하였던취약점분석평가를앞으로는매년실시토록하여평가주기를단축하였고새로이등장하는취약점에대응하기위해취약점점검항목을대폭신설 확대하였다. 그리고제어시설보호강화를위한유관기관협조체계를강화하고, DDoS 해킹등의보안위협에선제적으로대응하기위해 제어시스템테스트베드 를구축하기로하였다. 또한교통 정수시설등국민생활과밀접한관련이있는제어시설에대한강화된보호대책을추진한다고밝혔다. 이에따라중요제어망은전용방화벽을설치 운용하고, 폐쇄망운용제어시설의경우에도 USB 등비인가정보통신기기의사용이불가능하도록전용솔루션을도입하기로하였다. 아울러기반시설유지보수에참여하는협력업체직원에대한관리 감독을강화하고교통신호, 상수도등 14개인프라시설을주요정보통신기반시설로신규지정하였다. 이러한조치들을통해제어시설을위협하는신규악성코드를효과적으로검증하고주요정보통신기반시설보호를강화할수있을것으로기대된다. 2013 국가정보보호백서 xxiii

Issue4 2012년에는금융기관사칭사고가크게증가하여한국인터넷진흥원에서차단조치한국내피싱사이트는총 6,944건으로전년도 (1,849건 ) 대비 275.6% 증가하였으며, 국내은행사칭피싱사이트는 2011년 4,092건에서 2012년 4,143건으로증가하였다. 특히금융기관을사칭한문자메시지를발송해피싱사이트에접속하도록유도한후접속자들의금융정보를유출해가는스미싱형태가많이발생하였다. 스미싱은휴대전화문자메시지 (SMS) 와피싱 (Phishing) 의합성어로, 휴대전화로사이트링크가포함된문자메시지를발송한후악성코드가깔린금융사이트로접속을유도하여개인정보를유출해가는사기수법이다. 또한특정은행을사칭해보안승급을요구하는문자메시지를발송한후피싱사이트에접속하도록유도하고, 피싱사이트에입력된개인정보를이용해공인인증서를재발급받아타계좌로이체하여금전을탈취하는것도스미싱의일종이다. 스미싱에대한대책으로서 2013년 3월이동통신사들은스미싱피해자가경찰로부터사건사고사실확인원을발급받아제출하면결제청구를보류 취소하거나이미결제된피해액을돌려주기로했다. 이러한조치를통해스미싱피해자에대한구제가원활히이루어질수있을것으로전망된다. 향후에도피싱은전화, 문자, 피싱사이트가혼합되어더욱지능화된형태로변화할것으로예상된다. 따라서피싱예방및피해최소화를위한대국민홍보와기술 제도적대응방안이필요하다. xxiv 2012 년정보보호 10 대이슈

Issue5 소프트웨어보안취약점을이용한악성코드가다양화됨에따라개별공격을분석해방어시스템에적용하는사후대응방식에한계가발생하고있다. 2012년소프트웨어취약점을이용한보안위협은특정지역에서주로사용되는소프트웨어를악용하는형태가증가했다는특징이있으며, 특히국내에서사용빈도가높은한글문서를악용한공격이눈에띄었다. 한글문서파일의취약점을악용한보안위협은 2012년 4월부터서서히발견되어, 2012년 6월이후에는거의매월취약한한글문서파일을악용한보안위협사례들이나타났다. 종래한글문서파일을악용한공격은대부분기존에알려진취약점을악용한사례들이다수를이뤘다. 그러나 2012년 6월과 11월에는기존에발견되지않은제로데이취약점이발견되었으며, 이를활용하여공공및정부기관의직원을대상으로하는공격도가해졌다. 소프트웨어보안의중요성이대두됨에따라정부는이에대한대응의일환으로소프트웨어보안약점을개발단계부터제거하기위해 SW 개발보안 ( 시큐어코딩 ) 을의무화하였다. 그러나이는행정기관이추진하는정보화사업에만적용되는한계가있기때문에향후상용소프트웨어개발보안의강화방안도모색해야할것이다. 2013 국가정보보호백서 xxv

Issue6 2012년에는 4.11 총선과 12.19 대선등다수의선거가있었고, 그외에도북한의광명성 3호발사및핵실험, 2012 서울핵안보정상회의등여러가지정치적이슈들이많았다. 2012년은이러한정치적이슈와맞물려국가기관, 정당, 언론사등의홈페이지에대한사이버공격의우려가어느때보다높았던한해였다. 이와같이정치적관심을악용한사이버공격의위협이대두됨에따라정부는적극적으로대처에나섰다. 2012년 1월정부는서울핵안보정상회의, 총선, 여수엑스포, 대선등을겨냥한사이버공격의가능성이크다고보고집중적인모니터링에나섰다. 또한 2012년 3월정부는서울핵안보정상회의를개최하면서사이버위기 관심 경보를발령했으며, 2012년 4월에도제19대총선과북한의장거리미사일발사를앞두고역시사이버위기 관심 경보를발령한바있다. 이에따라각급기관및보안관제센터가비상근무태세를유지하는한편, 특이징후포착시국가사이버안전센터로즉시통보하도록했다. 이러한조치들은각종행사들이성공적으로치러지는데크게기여하였다. 2013년 2월북한의핵실험직후에도정부는사이버위기 관심 경보를발령하고민 관 군합동으로북한의사이버공격에대한경계를강화한바있다. 이와같이정치적이슈를이용한사이버공격의우려는계속되고있으며, 이에대한적절한대처가중요하다. xxvi 2012 년정보보호 10 대이슈

Issue7 클라우드서비스의대중화로가상화기술의보안취약점이나클라우드서비스플랫폼의허점을노린보안위협들이속출하고있다. 트렌드마이크로의발표에따르면 2012년 6월기준으로전세계기업중 47% 는지난 1년간클라우드보안관련문제를겪었다고응답하였다. 그러나우리나라의클라우드컴퓨팅보안대책은미흡한부분이없지않았다. 2012년 3월정부가발표한 2012 정보보호실태조사 에의하면클라우드서비스이용기업중 51.6% 만이보안대책을수립하였고나머지는내부이용자지침, 암호화등회사차원의보안대책을운영하지않은것으로나타났다. 이에따라정부는클라우드컴퓨팅의도입에따른보안문제를해결하기위한노력을기울였다. 2012년 5월정부는 행정기관클라우드사무환경도입가이드라인 을발표했다. 동가이드라인은행정기관의클라우드기반사무환경을구축하는데필요한지침을제공하면서보안관련사항을함께제시했다. 한편 2012년 12월에는 민간부문의클라우드도입실무가이드라인 을마련했다. 동가이드라인은클라우드도입시일반고려사항을비롯하여클라우드서비스의유형별로도입시고려사항을제시하면서보안측면에서의고려사항을별도로제시했다. 이러한정부의노력에힘입어클라우드컴퓨팅도입에따른안전성이점차강화될것으로보인다. 2013 국가정보보호백서 xxvii

Issue8 스마트폰및태블릿 PC를비롯한모바일단말기활용이확산되면서사이버범죄의표적도 PC에서모바일애플리케이션플랫폼으로확장되고있다. PC 기반악성코드개발자들이모바일로대거영역을확장하고있는반면, 모바일앱보안위협에대한이용자인식은낮은상황이므로대응책마련이요구되고있다. 최근국내이용자를대상으로악성앱을유포하는사례가발생하여체감위협이증가하고있다. 국내스마트폰의초기화취약점등단말기의문제점이확인되고있으며, 통신사의요금청구서및과다청구환급금등을사칭한악성앱도유포된바있다. 특히앱에대한보안검증체계가없는사설안드로이드마켓의개방성을악용하여모바일악성코드를유포시키는사례가급증하였다. 2012년 10월 Spam Guard, Spam Blocker, Spam Phishing 등과같이스팸차단을위한보안용앱으로위장한악성앱이한글설명과함께방송통신위원회를사칭하여유포된바있다. 이러한악성앱으로인하여단말기정보, 저장된전화번호, 결제정보나인증정보, 이용자위치정보등이유출될위험도확대되었다. 한편같은달세계적으로인기를얻은국내가수의곡제목을악용한악성앱이등장하여이용자의전화번호, 단말제조사및모델번호, 현지시간정보등이유출된사례도있었다. 모바일단말기이용이확산됨에따라모바일앱기반의악성파일변종및신종보안위협은향후지속적으로대두될것으로예상된다. 이에대응하기위하여스마트폰데이터암호화, 신규앱다운로드시해당앱의신뢰성검토등이용자인식교육확대등이필요하다. xxviii 2012 년정보보호 10 대이슈

Issue9 특정이용자층을대상으로하는 APT( 지능형지속위협, Advanced Persistent Threat) 공격은전세계적으로빈번히발생하였다. 2012년 8월시만텍의발표에의하면 2012년상반기일일평균 APT 공격발생건수는전년대비약 24% 증가하였다. 250 명미만의중소기업을겨냥한 APT 가 2011년 18% 에서 36% 로급증했으며, 산업별로는국방분야가일일평균 7.3 건으로가장많은 APT 공격을받은것으로집계되었다. 국내에서도기업과공공기관등을겨냥한공격사례가다수발생하였다. 2012년 3월정부부처공무원, 정보보호분야종사자등을대상으로한글프로그램의취약점을이용해악성코드가포함된문서파일을송부한이메일공격이발견되었다. 그밖에도 2012년 6월 EBS 이용자정보유출사고, 2012년 7월 KT 휴대전화이용고객정보유출, 2012년 12월신용카드안심결제이용자중일부의결제정보도용및인증서탈취등다수의침해사고가있었다. 향후탐지될위험성이높은직접적인공격보다는공격대상기관의취약요소를이용한우회적공격이더욱증가할것으로예상된다. 공격특성상, 지능적이고다양한공격기법을활용하므로개별보안기술및솔루션에그치지않고전사적 통합적인보안체계를구축할필요성이제기된다. 2013 국가정보보호백서 xxix

Issue10 2012년에도웹하드와홈페이지등의웹을통한악성코드의대량유포가지속됐으며그형태도다양하게나타나여전히주의를요하는상황이다. 제로데이취약점및 SQL 인젝션등기존의취약점악용이여전히기승을부렸으며, 온라인게임정보유출형악성코드및백신프로그램실행중단형악성코드유포도증가했다또한이용자의 PC를좀비PC로만들어 DDoS 공격을감행하는패턴에서비교적사양이뛰어나고네트워크대역폭이우수한웹서버를좀비화하여공격에악용하는사례가나타났다. 한편다수의 SNS 가악성코드유포의매개체로활용되었다. 2012년 2월유명 SNS 사이트의채팅창을통해서자동으로전파되는웜형태의악성파일이유입돼많은사용자들이악성파일에감염되는사고가발생한바있다. 향후에는다수의이용자가있지만보안투자여력이비교적낮은중 소규모의언론사홈페이지가악성코드의주요유포지로악용될가능성이높으며, 정부기관, 쇼핑몰, 온라인게임등의홈페이지도악용을주의해야할것으로예상된다. 따라서웹서버에대한모니터링과보안관리를보다철저히해야할것으로보인다. xxx 2012 년정보보호 10 대이슈

2013 국가정보보호백서 총론 제제제제 장장장장 국가정보보호백서의주요내용정보보호개요정보보호담당기관정보보호법제도

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

A AISEC APCERT APPA APT ARF ASIAJCIS Asian IT Security Evaluation and Certification Asia Pacific Computer Emergency Response Team Asia Pacific Privacy Authority Advanced Persistent Threat ASEAN Regional Forum ASIA Joint Conference on Information Security BIOS B Basic Input Output System C CBM CC CCD COE CCRA CCRC CCUF CERT CIO CISA CISM CISO CISSP CJK SWIS CONCERT CPO cpp Confidence Building Measure Common Criteria Cooperative Cyber Defence Centre of Excellence Common Criteria Recognition Arrangement The Computer Crime Research Center CC Users Forum Computer Emergency Response Team Chief Information Officer Certified Information Systems Auditor Certified Information Security Manager Chief Information Security Officer Certified Information System Security Professional China-Japan-Korea Standardization Workshop on Information Security CONsortium of CERTs Chief Privacy Officer collaborative Protection Profile 315

CPPG CPPS CSO CSSLP Certified Privacy Protection General Certified Privacy Protection Specialist Chief Security Officer Certified Secure Software Lifecycle Professional DDoS D Distributed Denial of Service E egisec FAIR e-government Information Security Solution Fair ENISA European Network and Information Security Agency ETRI Electronics and Telecommunications Research Institute FIRST F G GGE G-ISMS GPEN HTS H I ICCP ICDPPC ICISC ISAC ISACA ISC 2 ISIT ISMS ISP Forum of Incident Response and Security Teams Government Group of Expert Government Information Security Management System Global Privacy Enforcement Network Home Trading System Committee for Information, Computer and Communications Policy International Conference of Data Protection and Privacy Commissioners International Conference on Information Security and Cryptology Information Sharing & Analysis Center Information Systems Audit and Control Association International Information Systems Security Certification Consortium, Inc. Institute of Systems and Information Technologies Information Security Management System Internet Service Provider 316

ITRC ITSCC ITU Information Technology Research Center IT Security Certification Center International Telecommunication Union K KCPPI KIISC KISA KISC KISIA KNBTC L LBS LNCS M MBR MTS MVNO The Korean Council on the Protection of Personal Information Korea Institute of Information Security & Cryptology Korea Internet & Security Agency Korea Internet Security Center Korea Information Security Industry Association Korea National Biometrics Test Center Location Based Service Lecture Note on Computer Science Master Boot Record Mobile Trading System Mobile Virtual Network Operator N NATO NCIA NISA NSRI North Atlantic Treaty Organization National Computing Information Agency National Information Security Academy National Security Research Institute O OECD OPA OSCE OTP Organization for Economic Cooperation and Development korea Online Privacy Association Organization for Security and Co-operation in Europe One Time Password 317

PIMS PKI RBL RIC RRC SIS SSCP SSL TTM P R S T U UI UN UNODC V VFAC VoIP W WISA WISC WPISP WTPF XSS X Personal Information Management System Public Key Infrastructure Realtime Blocking List Regional Innovation Center Regional Research Center Specialist for Information Security Systems Security Certified Practitioner Secure Socket Layer Time to Market User Interface United Nations United Nations Office on Drug and Crime Virtual Forum against Cybercrime Voice over IP Workshop on Information Security Applications Workshop on Information Security and Cryptography Working Party on Information Security and Privacy World Telecommunication Policy Forum Cross Site Scripting 318

319

320

321

2013