Similar documents

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코


< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

암호내지


제4장

98 자료 개발 집필 지침

개인정보처리방침_성동청소년수련관.hwp

산업별인적자원개발위원회역할및기능강화를위한중장기발전방안연구 한국직업자격학회

2001 년 4 월전력산업구조개편과함께출범한전력거래소는전력산업의중심 기관으로서전력시장및전력계통운영, 전력수급기본계획수립지원의기능을 원활히수행하고있습니다. 전력거래소는전력자유화와함께도입된발전경쟁시장 (CBP) 을지속 적인제도개선을통해안정적으로운영하고있으며, 계통운영및수급

수출및수입액현황 (2016) 6억 1,284 만달러억 1 7,045 만달러 4억 4,240 만달러 2015 년대비 15.4 % 증가 2015 년대비 11.1 % 증가 2015 년대비 1.3 % 증가 수출액 수출입차액 수입액 지역별수출액 ( 비중 ) 일본 4,129만달러


개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Ⅰ Ⅱ Ⅲ Ⅳ

**09콘텐츠산업백서_1 2

untitled

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

*2008년1월호진짜

allinpdf.com

목차 Ⅰ. 추진배경 1 Ⅱ. 스팸유통현황분석결과 1 1. 휴대전화문자스팸 1 2. 휴대전화음성스팸 4 3. 이메일스팸 7 Ⅲ. 스팸수신량조사결과 8 Ⅳ. 이통사의스팸차단율조사결과 9 Ⅴ. 향후개선방안 9


메뉴얼41페이지-2


<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 )

장애인건강관리사업

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

목 차 Ⅰ. 사업개요 5 1. 사업배경및목적 5 2. 사업내용 8 Ⅱ. 국내목재산업트렌드분석및미래시장예측 9 1. 국내외산업동향 9 2. 국내목재산업트렌드분석및미래시장예측 목재제품의종류 국내목재산업현황 목재산업트렌드분석및미래시

목 차 주요내용요약 1 Ⅰ. 서론 3 Ⅱ. 스마트그리드산업동향 6 1. 특징 2. 시장동향및전망 Ⅲ. 주요국별스마트그리드산업정책 17 Ⅳ. 미국의스마트그리드산업동향 스마트그리드산업구조 2. 스마트그리드가치사슬 3. 스마트그리드보급현황 Ⅴ. 미국의스마트그리드정

2003report250-9.hwp

ㅇ ㅇ

목차 Ⅰ. 기본현황 Ⅱ 년도성과평가및시사점 Ⅲ 년도비전및전략목표 Ⅳ. 전략목표별핵심과제 1. 군정성과확산을통한지역경쟁력강화 2. 지역교육환경개선및평생학습활성화 3. 건전재정및합리적예산운용 4. 청렴한공직문화및앞서가는법무행정구현 5. 참여소통을통한섬

ITFGc03ÖÁ¾š

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷


감사회보 5월

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

<BBEAC0E7BAB8C7E8C1A6B5B52E687770>

중점협력국 대상 국가협력전략 ( 9 개국 ) ᆞ 5 ᆞ 30 관계부처 합동

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

PowerPoint 프레젠테이션

untitled

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

2002report hwp

01정책백서목차(1~18)

5월전체 :7 PM 페이지14 NO.3 Acrobat PDFWriter 제 40회 발명의날 기념식 격려사 존경하는 발명인 여러분! 연구개발의 효율성을 높이고 중복투자도 방지할 것입니다. 우리는 지금 거센 도전에 직면해 있습니다. 뿐만 아니라 전국 26


< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

<BBE7C8B8C0FBC0C7BBE7BCD2C5EBBFACB1B820C3D6C1BEBAB8B0EDBCAD2E687770>

Windows 8에서 BioStar 1 설치하기


목 차 Ⅰ. 조사개요 2 1. 조사목적 2 2. 조사대상 2 3. 조사방법 2 4. 조사기간 2 5. 조사사항 2 6. 조사표분류 3 7. 집계방법 3 Ⅱ 년 4/4 분기기업경기전망 4 1. 종합전망 4 2. 창원지역경기전망 5 3. 항목별전망 6 4. 업종


TGDPX white paper

Secure Programming Lecture1 : Introduction

제 3 부 안전한정보이용환경 제 1 장 제 2 장 제 3 장 정보보호기반조성현황 개인정보보호현황 정보문화확산과정보격차해소

#WI DNS DDoS 공격악성코드분석

조사보고서 구조화금융관점에서본금융위기 분석및시사점

(연합뉴스) 마이더스

목차 Ⅰ Ⅱ (2013)

ePapyrus PDF Document

붙임 과정별세부내용. 전자정부정보보호거버넌스의이해 교육수준기본 심화 교육유형이론 실습 정보보호중요성에대한인식향상및정보보호실천을위한기초지식습득 정보보호관리, 정책수립에필요한법규 정책이해등기본지식배양 교육시간 6H ( ) 정보보호책임자 / 정보보호실무자 / 정보화인력 정보

<31305FBEC6C0CCC5DB2E687770>

경상북도와시 군간인사교류활성화방안

- 2 -

< C0DAC0B2C5BDB1B820BFEEBFB520B8DEB4BABEF32D33C2F720C6EDC1FD2E687770>

목 차 Ⅰ. 조사개요 1 1. 조사배경및목적 1 2. 조사내용및방법 2 3. 조사기간 2 4. 조사자 2 5. 기대효과 2 Ⅱ. P2P 대출일반현황 3 1. P2P 대출의개념 3 2. P2P 대출의성장배경 7 3. P2P 대출의장점과위험 8 4. P2P 대출산업최근동향

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo


ICT À¶ÇÕÃÖÁ¾

제1차 양성평등정책_내지_6차안

ad hwp

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

804NW±¹¹®

2015 년 SW 개발보안교육과정안내

- 2 -

2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전

목차 < 요약 > Ⅰ. 국내은행 1 1. 대출태도 1 2. 신용위험 3 3. 대출수요 5 Ⅱ. 비은행금융기관 7 1. 대출태도 7 2. 신용위험 8 3. 대출수요 8 < 붙임 > 2015 년 1/4 분기금융기관대출행태서베이실시개요

hwp

5th-KOR-SANGFOR NGAF(CC)

대한주택보증 ( 주 ) 대한주택보증

Çʸ§-¾÷¹«Æí¶÷.hwp.hwp

Layout 1

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

2 Journal of Disaster Prevention

( 제 20-1 호 ) '15 ( 제 20-2 호 ) ''16 '15 년국제개발협력자체평가결과 ( 안 ) 16 년국제개발협력통합평가계획 ( 안 ) 자체평가결과반영계획이행점검결과 ( 제 20-3 호 ) 자체평가결과 국제개발협력평가소위원회

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

Microsoft Word - src.doc

이동전화요금체계개선방안(인쇄본).hwp

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는 개인에 관한 정보 (성명 주민등록번호


1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

전력기술인 7월 내지일

시각형 상사 vs 청각형 상사

Transcription:

2008 국가정보보호백서

발간사 우리나라는그동안세계최고수준의전자정부및초고속인터넷인프라를구축하여 IT강국으로서의위상을과시해왔습니다. 이제이러한눈부신성과를바탕으로언제어디서나손쉽게네트워크에접속할수있는유비쿼터스 (Ubiquitous) 시대로진입하고있습니다. 그러나더많은지식과정보가하나로통합되면서네트워크의위험성과정보화의역기능역시심각해지고있습니다. 이는경제적손실과국민생활의불편을가중시키는데그치지않고, 국가안보에까지심대한영향을미치는요인이되고있습니다. 정부는그동안신종웜바이러스 해킹과같은정보침해시도에효과적으로대응하기위해다각도의노력을기울여왔습니다. 국가정보원과방송통신위원회는국민모두가안전하고편리한정보환경을누릴수있도록하겠다는의지를담아 2008 국가정보보호백서를발간하였습니다. 이백서는 2007년국가 민간부문의사이버침해위협동향, 주요국의정보보호활동과함께학계의연구동향등을싣고있습니다. 아무쪼록백서가사이버강국대한민국의위상을확고히하는데도움이되기를기대합니다. 백서발간을위해수고해주신집필진과자문위원단께감사드리며, 국민여러분의많은관심과조언을부탁드립니다. 2008 년 4 월 국가정보원장 방송통신위원회위원장

Contents 2008 국가정보보호백서 2007 년정보보호 10 대이슈 제 1 편 총론 1 제 1 장국가정보보호백서의주요내용 3 제1절 2008 국가정보보호백서의구성 4 제2절 2008 국가정보보호백서의주요특징 5 제 2 장국가정보보호개요 7 제1절정보화환경과역기능 7 제2절정보보호향후전망 10 제3장사이버침해위협과사례 11 제1절 2007년사이버침해위협동향 11 제2절사이버침해사고발생현황 16 제3절사이버침해사고사례 22 제 2 편 국가정보보호현황 31 제1장국가정보보호분야별추진체계 33 제1절국가정보보안체계 33 제2절주요정보통신기반시설보호체계 36 제3절개인정보보호체계 39 제2장국가정보보호담당기관 42 제1절국가정보원 42 국가사이버안전센터 43 제2절국방부 49 국방정보전대응센터 49 제3절정보통신부 54 인터넷침해사고대응지원센터 55 2

목차 제4절검찰청 62 대검찰청인터넷범죄수사센터 63 제5절경찰청 66 사이버테러대응센터 66 제6절전문기관 68 제3장국가정보보호활동 71 제1절국가정보보호정책추진 71 제2절국가 공공기관정보통신망보호활동 75 제3절민 관협력 78 제4절국제협력 85 제4장전자정부정보보호활동 91 제1절정부암호이용시스템구축 91 제2절행정전자서명인증시스템고도화 94 제3절정부온라인원격근무서비스 (GVPN) 개선 96 제4절전자정부사이버공격대응체계구축 98 제 5 장정보통신기반시설보호활동 99 제1절주요정보통신기반시설보호활동 99 제2절정보통신서비스제공자등의정보보호 106 제 6 장개인정보보호활동 115 제1절공공부분의개인정보보호 115 제2절민간부분의개인정보보호 119 제7장국민생활정보보호활동 133 제1절전자서명이용활성화 133 제2절불법스팸메일방지 141 제3절정보보호홍보및인식제고활동 153 제4절불건전정보유통대응 159 3

Contents 2008 국가정보보호백서 제 3 편 국가정보보호기반조성현황 167 제 1 장정보보호법 제도분야 169 제1절국내정보보호법 제도발전 170 제2절주요제 개정법령 177 제2장정보보호기술및개발분야 198 제1절침입대응솔루션 199 제2절악성코드대응기술 208 제3절인식및인증관련기술 212 제4절무선환경보안기술 227 제5절보안관리 234 제6절기타 243 제3장정보보호교육및인력분야 249 제1절정규교육에의한인력양성현황 249 제2절비정규교육에의한인력양성현황 254 제3절기타인력양성현황 259 제4절정보보호인력분석 269 제4장정보보호산업분야 277 제1절정보보호산업의정의및범위 277 제2절정보보호산업현황 280 제3절정보보호제품수출입현황 298 제4절정보보호산업기술개발및보유현황 302 제 4 편 통계로보는정보보호 305 공공부문 308 민간부문 326 4

목차 제 5 편 특집 337 특집 1 주요국의정보보호예산 337 제1장미국 339 제2장유럽연합 346 제3장일본 352 특집 2 정보보호기술연구동향 355 제1장개요및컨퍼런스동향 357 제2장주제별국제정보보호연구동향 366 제3장국가별국제정보보호연구동향 373 제4장국내정보보호기술연구동향 377 제 6 편 부록 381 제1장정보보호인증제품목록 383 제2장정보보호전문업체목록 387 제3장 2007년주요정보보호학술행사 390 제4장정부조직법개정주요내용 392 색인 394 5

Contents 2008 국가정보보호백서 [ 표목차 ] [ 표 1-1-2-1] 2008 국가정보보호백서의내용과특징 6 [ 표 1-2-1-1] 우리나라의주요정보통신지수순위 8 [ 표 1-3-2-1] 2007년공공기관별침해사고발생현황 16 [ 표 1-3-2-2] 2007년민간부문해킹사고발생현황 19 [ 표 2-2-4-1] 인터넷범죄대응기구설치연혁 63 [ 표 2-2-4-2] 컴퓨터범죄유형별처리현황 65 [ 표 2-3-3-1] 국가정보보안연합회회원현황 79 [ 표 2-4-1-1] 암호키관리체계기관및역할 93 [ 표 2-5-1-1] 분야별주요정보통신기반시설현황 101 [ 표 2-5-1-2] 정보보호컨설팅전문업체지정심사기준 104 [ 표 2-5-1-3] 정보보호컨설팅전문업체현황 105 [ 표 2-5-2-1] 안전진단수검업체 107 [ 표 2-5-2-2] 안전진단수행기관인정업체 108 [ 표 2-5-2-3] 정보보호관리체계인증혜택 113 [ 표 2-6-1-1] 개인정보침해신고처리절차 116 [ 표 2-6-1-2] 연도별개인정보노출점검결과및삭제현황 118 [ 표 2-6-2-1] 개인정보보호법령제 개정현황 122 [ 표 2-6-2-2] 유형별개인정보 / 프라이버시피해건수 123 [ 표 2-6-2-3] 개인정보수집율 124 [ 표 2-6-2-4] 개인정보노출통계 127 [ 표 2-7-1-1] 공인인증기관지정현황 133 [ 표 2-7-1-2] 연도별공인인증서발급수 135 [ 표 2-7-1-3] 이용용도별공인인증서발급수 136 [ 표 2-7-2-1] 수신이메일의유형별구분 142 [ 표 2-7-2-2] 이메일스팸의콘텐츠별구분 143 [ 표 2-7-2-3] 웹메일과일반메일의스팸수신량비교 143 [ 표 2-7-2-4] 휴대전화스팸의콘텐츠별구분 145 6

목차 [ 표 2-7-2-5] 휴대전화스팸의전송방식별구분 145 [ 표 2-7-2-6] 연도별불법스팸신고접수현황 146 [ 표 2-7-2-7] 월별불법스팸신고접수현황 146 [ 표 2-7-4-1] 정보통신윤리위원회심의현황 160 [ 표 2-7-4-2] 정보내용자율등급표시 163 [ 표 2-7-4-3] 청소년유해정보차단소프트웨어보급및다운로드 164 [ 표 2-7-4-4] 명예훼손분쟁조정실적 166 [ 표 3-2-2-1] 바이러스, 웜, 트로이목마의특징비교 209 [ 표 3-2-3-1] 공개키기반구조기술응용분야 215 [ 표 3-2-3-2] 공개키기반구조와 PMI 비교 217 [ 표 3-2-3-3] 바이오인식기술특징비교 220 [ 표 3-2-4-1] RFID의보안위협 228 [ 표 3-2-4-2] RFID 보안기술 229 [ 표 3-2-4-3] WiBro의보안침해방법과대응방안 231 [ 표 3-2-6-1] VoIP 주요보안위협유형 246 [ 표 3-3-1-1] 대학교정보보호관련학과현황 250 [ 표 3-3-1-2] 대학원정보보호관련학과현황 252 [ 표 3-3-1-3] 전문대학정보보호관련학과현황 253 [ 표 3-3-2-1] 2007년사이버테러대응교육현황 254 [ 표 3-3-2-2] 정보화교육센터의교육현황 255 [ 표 3-3-2-3] 한국정보보호진흥원의교육현황 256 [ 표 3-3-2-4] 민간교육기관의교육현황 257 [ 표 3-3-3-1] 정보보호관련대학부설연구센터인력현황 260 [ 표 3-3-3-2] 정보보호관련대학동아리현황 262 [ 표 3-3-3-3] 정보보호관련자격증현황 264 [ 표 3-3-3-4] 정보보호전문가자격시험응시자및합격자현황 265 [ 표 3-3-3-5] 정보시스템감리사자격시험응시자및합격자현황 266 [ 표 3-3-4-1] 2007년사이버테러대응교육현황 270 7

Contents 2008 국가정보보호백서 [ 표 3-3-4-2] 직종및수준별정보보호인력현황 271 [ 표 3-3-4-3] 정보보호연구및개발직의인력현황 273 [ 표 3-3-4-4] 정보보호관리직의인력현황 274 [ 표 3-3-4-5] 정보보호영업직의수준별인력현황 275 [ 표 3-3-4-6] 기타정보보호관련직의수준별인력현황 276 [ 표 3-4-1-1] 정보보호제품및서비스분류표 278 [ 표 3-4-2-1] 정보보호기업의지역별분포 280 [ 표 3-4-2-2] 정보보호기업의상장유무별분포및자본금현황 281 [ 표 3-4-2-3] 정보보호기업의종업원규모별분포 281 [ 표 3-4-2-4] 정보보호기업의자본금규모별분포 282 [ 표 3-4-2-5] 정보보호기업의설립년도별분포 282 [ 표 3-4-2-6] 정보보호기업의품목분류별특성 283 [ 표 3-4-2-7] 정보보호산업의품목대분류별총매출현황 284 [ 표 3-4-2-8] 정보보호산업의품목대분류별매출액전망 285 [ 표 3-4-2-9] 시스템및네트워크정보보호제품의매출전망 286 [ 표 3-4-2-10] 침입차단 ( 방화벽 ) 시스템의매출전망 287 [ 표 3-4-2-11] 침입방지시스템 (IPS) 의매출전망 288 [ 표 3-4-2-12] 통합보안시스템 (UTM) 의매출전망 288 [ 표 3-4-2-13] 보안관리의매출전망 289 [ 표 3-4-2-14] 가상사설망 (VPN) 의매출전망 289 [ 표 3-4-2-15] 인증제품의매출전망 290 [ 표 3-4-2-16] 안티바이러스 (Anti Virus) 의매출전망 290 [ 표 3-4-2-17] 안티스팸 (Anti Spam) 의매출전망 291 [ 표 3-4-2-18] 보안운영체제 (Secure OS) 제품의매출전망 291 [ 표 3-4-2-19]PC보안의매출전망 292 [ 표 3-4-2-20]DB/ 콘텐츠보안의매출전망 292 [ 표 3-4-2-21] 공개키기반구조 (PKI) 의매출전망 293 [ 표 3-4-2-22] 접근관리의매출전망 293 8

목차 [ 표 3-4-2-23] 바이오인식제품의매출전망 294 [ 표 3-4-2-24] 시스템및네트워크정보보호제품의기타제품매출전망 294 [ 표 3-4-2-25] 정보보호서비스의매출전망 295 [ 표 3-4-2-26] 유지보수의매출전망 295 [ 표 3-4-2-27] 보안컨설팅의매출전망 296 [ 표 3-4-2-28] 보안관제의매출전망 296 [ 표 3-4-2-29] 인증서비스의매출전망 296 [ 표 3-4-2-30] 정보보호서비스의기타서비스매출전망 297 [ 표 3-4-3-1] 정보보호산업의품목대분류별수출액과수출비중현황 298 [ 표 3-4-3-2] 정보보호산업의품목대분류별수입액과수입비중현황 298 [ 표 3-4-3-3] 시스템및네트워크정보보호제품의수출전망 299 [ 표 3-4-3-4] 정보보호서비스의수출전망 300 [ 표 3-4-3-5] 시스템및네트워크정보보호제품의수입액전망 300 [ 표 3-4-3-6] 정보보호서비스의수입액전망 301 [ 표 3-4-4-1] 기술개발관련자체기술연구소및전담부서운영현황 302 [ 표 3-4-4-2] 연도별기술개발투자액현황 302 [ 표 3-4-4-3] 연간기술개발과제수행현황 303 [ 표 3-4-4-4] 지적재산권보유및출원현황 304 9

Contents 2008 국가정보보호백서 [ 그림목차 ] [ 그림 1-3-1-1] 최근분산서비스거부공격 (DDoS) 발생사례 12 [ 그림 1-3-1-2] ARP 스푸핑기법을이용한악성코드유포사례 15 [ 그림 1-3-2-1] 2007년공공부문월별사이버침해사고발생추이 17 [ 그림 1-3-2-2] 2007년공공부문월별악성코드감염사고발생추이 17 [ 그림 1-3-2-3] 악성코드감염기관분포 18 [ 그림 1-3-2-4] 2007년공공부문월별홈페이지변조사고발생추이 18 [ 그림 1-3-2-5] 해킹사고운영체제별발생현황 20 [ 그림 1-3-2-6] 해킹피해기관별분류 21 [ 그림 1-3-2-7] 2007년민간부문웜 바이러스신고건수 21 [ 그림 1-3-3-1] 은행피싱사이트화면 22 [ 그림 1-3-3-2] 분산서비스거부공격사례 23 [ 그림 1-3-3-3] 분산서비스거부공격에의한서비스탐지화면 24 [ 그림 1-3-3-4] ARP 스푸팅악성코드가공격하는취약점 25 [ 그림 1-3-3-5] 업무망분리개념도 26 [ 그림 1-3-3-6] 해킹시나리오 27 [ 그림 1-3-3-7] 기관 2곳스팸문자 (SMS) 대량발송경유지악용사고 29 [ 그림 2-1-1-1] 국가정보보안체계 34 [ 그림 2-1-1-2] 국가사이버안전관리체계도 35 [ 그림 2-1-2-1] 주요정보통신기반시설보호체계 37 [ 그림 2-1-3-1] 공공부문의개인정보보호체계 40 [ 그림 2-1-3-2] 민간부문개인정보보호체계 41 [ 그림 2-2-1-1] 사이버위협단계별발령경보 45 [ 그림 2-2-2-1] 국방정보전대응센터홈페이지 53 [ 그림 2-2-3-1] 인터넷침해사고대응지원센터의업무 56 [ 그림 2-2-3-2] 인터넷침해사고대응지원센터의모니터링및대응 57 [ 그림 2-2-3-3] 바이럿바이러스제거캠페인바로가기 58 [ 그림 2-2-3-4] 악성봇명령 / 제어서버에대한 DNS 싱크홀개념도 59 10

목차 [ 그림 2-2-3-5] 악성코드은닉을통한악성코드감염예시 60 [ 그림 2-2-3-6] 웹취약점원격점검서비스화면 61 [ 그림 2-2-3-7] 피싱예방홍보플래시화면 61 [ 그림 2-2-5-1] 사이버수사조직도 67 [ 그림 2-4-1-1] 전자정부암호이용시스템활용개념도 92 [ 그림 2-4-2-1] 행정전자서명인증시스템개념도 95 [ 그림 2-4-3-1] 정부온라인원격근무서비스시스템개념도 97 [ 그림 2-5-1-1] 주요정보통신기반시설보호계획수립절차 102 [ 그림 2-5-2-1] 정보보호안전진단개념도 106 [ 그림 2-5-2-2] 정보보호관리체계기본개념도 110 [ 그림 2-5-2-3] 인증절차기본흐름 111 [ 그림 2-5-2-4] 정보보호관리체계인증이필요한분야 112 [ 그림 2-5-2-5] 인증취득기관분류 114 [ 그림 2-6-2-1] 유형별개인정보 / 프라이버시피해경험률 120 [ 그림 2-6-2-2] 최근 3년간주민번호노출탐지건수 ( 신규건수기준 ) 125 [ 그림 2-6-2-3] 구글검색DB 주민번호노출점검방식 126 [ 그림 2-6-2-4] 개인정보취급방침의전자적표시원리개념도 129 [ 그림 2-6-2-5] i-pin 발급방법 130 [ 그림 2-7-1-1] 연도별공인인증서발급수변화추이 135 [ 그림 2-7-1-2] 공인인증업무비상대응체계 137 [ 그림 2-7-2-1] 연도별이메일스팸수신량변동추이 142 [ 그림 2-7-2-2] 연도별휴대전화스팸수신량변동추이 144 [ 그림 2-7-2-3] 2007년월별휴대전화스팸신고접수유형별추이 147 [ 그림 2-7-2-4] 국가별스팸전송비율변동추이 148 [ 그림 2-7-3-1] 정보보호체험관 155 [ 그림 2-7-3-2] 정보보호표어포스터공모전광고 157 [ 그림 2-7-4-1] 정보통신윤리위원회연도별심의실적 160 [ 그림 3-1-1-1] 정보통신분야국가정보원과정보통신부의역할 169 11

Contents 2008 국가정보보호백서 [ 그림 3-2-1-1] 응용레벨게이트웨이방화벽 201 [ 그림 3-2-1-2] 네트워크기반침입탐지시스템의배치 203 [ 그림 3-2-1-3] 침입방지시스템구성도 205 [ 그림 3-2-1-4] 가상사설망의통상적인구성도 207 [ 그림 3-2-3-1] 공개키기반구조기반의공인인증시스템구조 216 [ 그림 3-2-3-2] 스마트카드의응용분야 218 [ 그림 3-2-3-3] 바이오인식적용분야 220 [ 그림 3-2-4-1] RFID 동작원리 228 [ 그림 3-2-4-2] 홈네트워크보안기본모델 233 [ 그림 3-2-5-1] 서버취약점관리시스템구성 238 [ 그림 3-2-5-2] 내부유출방지시스템개념도 240 [ 그림 3-2-6-1] 일반적인 VoIP망구성도 245 [ 그림 3-3-4-1] 수준별정보보호인력현황 271 [ 그림 3-3-4-2] 직종별정보보호인력현황 272 [ 그림 3-3-4-3] 정보보호연구및개발직의인력현황 273 [ 그림 3-3-4-4] 정보보호관리직의수준별인력현황 274 [ 그림 3-3-4-5] 정보보호영업직의수준별인력현황 275 [ 그림 3-3-4-6] 기타정보보호관련직의수준별인력현황 276 12

2007 년 정보보호 10 대이슈

정보보호 10 대이슈 1. 협박형분산서비스거부공격 (DDoS) 증가 분산서비스거부공격이과거에는자기과시나영웅심리에의해특정대형웹사이트를공격하였으나최근에는중소형사이트를포함, 금전을갈취하는협박형공격으로바뀌는양상을보이고있다. 2007년들어중국인으로추정되는해커가국내특정웹사이트에대해메신저나이메일, 전화를통하여금품을요구하고, 이에블응시분산서비스거부공격을가하는등협박형분산서비스거부공격이크게증가하였다. 공격대상은수사의뢰를꺼려할것으로보이는불법성인사이트에서부터온라인게임아이템거래사이트, 온라인펜션예약사이트등으로다양화되었고공격트래픽의규모도수 ~ 수십 Gbps에달하여국내인터넷에커다란위협으로대두되고있다. 2007년 10월온라인게임아이템을거래하는국내주요아이템거래사이트를대상으로한분산서비스거부공격은보안이취약한국내인터넷사용 PC가분산서비스거부공격의근원지로악용된사례였다. 사용자 PC는악성코드에감염된웹사이트및기타인터넷경로를통하여감염된것으로추정되고있으며공격자는감염 PC에원격으로명령을전달하는방식으로공격대상사이트를지정, 분산서비스거부공격을수행한것으로파악되고있다. < 좀비 PC 를내세워서비스를방해하는분산서비스거부공격개요 > ⅰ

정보보호 10 대이슈 2. 외교부전자여권도입추진 2008년하반기전국민을대상으로발급할예정인전자여권의보안기능에대한논의가활발히이루어졌다. 전자여권에는성명, 여권번호, 만료일과같은여권정보와얼굴, 지문등의생체정보를저장한전자칩을포함하고있다. 외교부는전자여권이미국의비자면제프로그램가입조건중하나이기때문에미국무비자여행가능성이높아지고출입국심사에서편리하게본인확인이가능하며범죄인과테러범을차단할수있다는장점등을제시하면서전자여권도입을추진하고있다. 외교부는국제민간항공기구 (ICAO : International Civil Aviation Organization) 의보안표준을준용할예정이다. 하지만, 전자여권도입을반대하는단체에서는전자여권의보안기능이충분하지않을경우, 개인정보가유출되거나생체정보가오 남용될수있다는점을우려하고있어최근국회를통과한여권법에서는 2010년까지지문정보수록을유보하였다. ⅱ

정보보호 10 대이슈 3. 윈도우비스타, 국내정보보호솔루션과충돌 2006년말마이크로소프트 (MS) 사의새로운 PC 운영체제인윈도우비스타 (Vista) 가전격출시되었다. 윈도우비스타는기존의보안기능을강화하여악성소프트웨어제거도구, 스마트카드및로그온인증변경, 사용자접근제어, USB 디바이스제어, 윈도우디펜더, 윈도우방화벽등이기본적으로탑재되었다. 그러나윈도우비스타는이전버전인윈도우 XP와달리 액티브X 의사용을엄격히통제하고있어액티브X를인증서관리나키보드보안용도로활용했던금융기관이나공공기관, 인터넷기업들이호환성문제로어려움을겪었다. 윈도우비스타에서액티브X 방식으로개발된국내보안프로그램이호환되지않으면서인터넷뱅킹은물론이고온라인주식거래, 전자민원서류발급, 온라인게임을할수없게된것이다. 정보통신부, 금융감독원등에서는시중은행과증권회사인증서, 키보드보안, 개인방화벽등주요보안소프트웨어에대하여테스트를실시하고웹을이용한전자민원 (G4C), 홈텍스 (Home Tax) 등전자정부서비스는행정자치부와각행정기관에서소스코드수정등을통해문제를해결하였다. ⅲ

정보보호 10 대이슈 4. 정보보호제품민간평가기관지정 정부는 2007년 IT보안제품평가기관승인을신청한한국산업기술시험원 (KTL) 에대해평가수행역량심사를수행하여 6월에국내최초국제표준 (ISO 17025) 에부합하는민간평가기관으로선정하였고 8월에는한국시스템보증 (KOSYAS) 을민간평가기관으로선정하였다. 이로써 IT보안제품에대한평가적체를일부해소하고시장경쟁을통해평가서비스의수준이제고되는등국내정보보호산업이한단계더성장하는기반이마련되었다. 정부는 2006년 12월 국가표준기본법 에근거국제표준 (ISO 17025) 규격에맞는 IT보안제품시험기관인정요건 을제정, 민간평가기관설립을위한기반을마련한바있다. 우리나라는 2006년 5월국제상호인정협정 (CCRA : Common Criteria Recognition Arrangement) 국제공인인증서발행국으로가입하였으며 2008년에는 CCRA 세계총회 를국내에서개최할예정이다. ⅳ

정보보호 10 대이슈 5. 공공기관, 대형 ISP 등개인정보유출확대 2007년에는공공기관, 대형 ISP 등으로까지개인정보유출사고가확대되었다. 2007년 1월부터공공기관의개인정보노출문제가제기되었고, 8월에는국내주요기간통신사업자가초고속인터넷망에가입한고객의동의를받지않고 730만명의개인정보를도용해자회사포털사이트에회원으로가입시키고일부사업자는고객정보를 DB로만들어직접활용하거나컴퓨터바이러스개발업체등에 5,000만건의자료를제공하여사회적인문제가된바있다. 한편개인정보유출에대한신고도급증세를보이고있다. 2007년한국정보보호진흥원에총 25,965건의개인정보피해구제상담신청이접수되어 2006년 23,333건에비해약 11% 가증가하였다. 이에따라공공분야개인정보보호주무부처인행정자치부에개인정보보호전담팀이신설되어개인정보의침해, 오 남용에대해본격적으로대응하는원년이되었다. 또한 공공기관의개인정보보호에관한법률 을개정하여공공기관의개인정보보호수준을제고할수있는제도적기반을마련하였다. 그리고민간분야에서는정보통신부를중심으로 개인정보보호기본법 에대한논의를본격화하였고주민번호노출점검주기의단축, 개인정보전송구간의신뢰성확보를위한보안서버의보급등다양한사업을추진하였다. ⅴ

정보보호 10 대이슈 6. 공인인증서보급 6 년만에 1500 만돌파 정부의 2007년 2월집계에따르면공인인증서사용자가 1500만명을넘어선것으로나타났다. 이동전화는서비스개시후 1500만명돌파에 12년이걸렸으나공인인증서는 2000년발급이후 6년만에이를돌파하여공인인증서가이제는생활의일부가되었음을실감하게한다. 공인인증서를이용하고있는전자거래서비스는인터넷뱅킹, 사이버증권거래, 전자입찰, 전자세금계산서, 쇼핑몰, 전자의료, 온라인보험, 주택청약등이있다. 이와같이공인인증서사용이활성화됨에따라정부는공인인증기관의시스템및네트워크장애, 전자서명생성정보유출등에따른공인인증서비스의중단과같은사고발생시대응절차및조치사항을규정한 공인인증업무비상대응매뉴얼 을개발하였다. 또한 공인인증서안전이용안내 소책자와온라인배포용플래쉬를제작하여일반국민에게배포함으로써공인인증서에대한안전이용인식제고와이용확산에기여하였다. 정부는윈도우이외에리눅스, 매킨토시등의운영체제에서공인인증서비스를이용하고자하는사용자를위해자바기반으로프로토타입을제작 시험하였고구현가이드라인을개발하였다. ⅵ

정보보호 10 대이슈 7. 원링등휴대전화스팸극성 2007년한해동안이메일스팸은꾸준히감소한반면, 휴대전화스팸은오히려증가하여이용자들의불편을유발하고국가적으로막대한폐해를끼쳤다. 이전과달리문자메시지 (SMS) 보다는부재중전화발신번호표시를남김으로써수신자의호기심을자극하는 원링 (one-ring) 기법이나중국등해외에서인터넷전화 (VoIP) 를이용하는등의음성스팸이상대적으로크게증가하였다. 콘텐츠별로는성인광고와대출광고, 그리고대리운전광고가기승을부렸다. 이에정부는수신한스팸을휴대전화단말기상에서간단한메뉴조작만으로신고할수있는간편신고서비스를 2007년 2월부터개시하여이용자들의편의성을제고하였다. 더불어, 가상의휴대전화번호를이용하여스팸을자동수집하는스팸트랩을통해불법스팸을탐지하고이를바탕으로과태료부과, 수사의뢰, 서비스이용제한등의적극적인대응을하였고스팸발생요인을억제하기위해선불폰에대해서는착신전환서비스를제공하지못하도록조치하였다. ⅶ

정보보호 10 대이슈 8. UCC, 새로운보안위협으로등장 사용자가직접제작한콘텐츠인 UCC(User Created Content) 열풍이불면서저작권및사생활침해, 명예훼손, 음란물등유해정보유포, 악성코드감염등의역기능도증가하고있다. 국내한포털사이트에중학생이올린음란동영상이 6시간이나게시되었고국회의원이국회에서거친말을내뱉는장면이인터넷에게시되어물의를빚기도했다. 한국인터넷진흥원이발표한 2007년상반기 UCC 이용실태조사 보고서에따르면전국 15 49세 UCC 이용및제작자 1,476명중 56.2% 가 UCC를이용하면서피해를본것으로나타났다. UCC는인터넷활용초기부터다양한형태로존재해왔으나최근웹2.0 의확산과맞물려관심과활용이증가되고있다. PC 사용자가 UCC에의한피해를최소화하기위해서는주기적인보안업데이트, 신뢰할수없는 Active X 또는코덱등은 PC에설치하지않는등의주의가필요하다. ⅷ

정보보호 10 대이슈 9. USB 메모리보안취약점심각 USB 메모리가올해들어중요한보안이슈로대두되었다. USB 메모리를비롯한이동식저장장치가주로내부자의정보유출수단으로악용되는것은이미이슈가되어왔다. 그러나최근에는이러한내부자의자료유출수단을넘어보안이취약한컴퓨터에 USB 메모리를연결하는것만으로도해당컴퓨터를악성코드에감염시키는등웜 바이러스전파수단으로이용되고있어문제가커지고있다. 국가정보원에서는이동형저장장치에서바이러스가자동으로실행되는것을차단하기위한프로그램인 USB Guard 를제작하여국가 공공기관및민간에보안권고문과함께배포하였다. 또한, 국가기관에서 USB 메모리등간편한저장매체를통한중요자료유출사고가빈번히발생함에따라 2007년 1월에제정한 USB 메모리등보조기억매체보안관리지침 에의거 2007년 4월이후 1년이내에기존에사용하는 USB 메모리를보안적합성검증을필한 USB 메모리로교체하도록하였다. ⅸ

정보보호 10 대이슈 10. 보이스피싱기승 2007년에는 보이스피싱 이기승을부렸을뿐만아니라그수법또한다양하고교묘해지고있다. 보이스피싱 (Voice Phishing) 은범행대상자에게전화를걸어송금을요구하거나개인정보를수집하는사기수법을말한다. 가족이납치당한것처럼가장하거나국세청, 검찰등국가기관을사칭하여세금환급, 출석요구등을빌미로송금을요구하거나개인정보와금융정보를수집한다. 2007년 8월국가정보원의수사로검거된국제사기단의경우콜센터운영 ( 중국 ) ㆍ현금송금 ( 국내 ) ㆍ대포통장개설 ( 국내 ) 등으로역할이분담되어있었다. 정부는 전화금융사기 ( 보이스피싱 ) 피해예방 10계명 을발표하였고이동통신사, 초고속인터넷사업자, 주요포털사업자와공동으로예방캠페인을전개하였다. ⅹ

제 1 편총론 제 1 장국가정보보호백서의주요내용 제 2 장국가정보보호개요 제 3 장사이버침해위협과사례

제 1 장국가정보보호백서의주요내용 제 1 편 제 1 장 국가정보보호백서의주요내용 첨단과학기술과정보통신의비약적인발전은우리의삶자체를근본적으로변화시키고있으며, 인터넷을통한정보수집및교류가활발히이루어짐에따라전통적으로중시되었던물리적인가치보다는정보가치가더욱중요시되고있다. 그러나해킹, 바이러스등악성코드의범람및사이버테러와같은정보의역기능은계속증가하고있다. 이러한시대적상황에서우리의정보보호정책도보완하고확충하는수준에서과감히탈피하여새로운대안을마련하여야할시점이다. 정보보호는단순한정보의보호를넘어, 국가의안전과국민의안녕을보장하는주요기반으로자리매김하고있다. 따라서정부, 공공기관과기업뿐만아니라학교, 가정등사회각계각층의구성원모두가정보보호에대한인식을같이하여필요한정보를공유할필요가있다. 제 1 편총론 2002년부터발간해온국가정보보호백서는국가 공공부문및민간부문의정보보호에관한전반적인현황을일목요연하게정리함으로써국가의정보보호정책을입안하는기획자와실무자뿐만아니라일반국민에게도중요한지침서로활용되고있다. 일반인이국가정보보호백서를쉽게읽을수있도록정보보호 10대이슈및통계로보는정보보호, 각종정보보호관련기관과제품의기능등을담고있다. 국회, 정부부처및공공기관, 산 학 연정보보호전문가들이 2007 국가정보보호백서 를활용분야를살펴보면정보보호관련현황파악 (31.6%) 이가장많은것으로나타났으며, 정보보호교육및훈련 (24.9%) 과정보보호정책수립 (20.0%) 순으로국가정보보호백서를활용한다고조사되었다. 2008 국가정보보호백서 는보다정확하고상세한통계자료와데이터를제공하여, 국가정보보호전반에대한참고자료및정책수립을위한기본자료로서의가치와활용도를높일수있도록하였다. 또한 2007 년에발생했던주요정보보호이슈를중심으로정책, 기술, 인력, 산업, 연구등의분야별현황을손쉽게파악할수있도록작성되었다. 본장의제1절에서는 2008 국가정보보호백서의전체구성을서술하였으며제2절에서는 2008 국가정보보호백서의주요특징을기술하였다. 제1장국가정보보호백서의주요내용 3

제 1 편 제 1 장국가정보보호백서의주요내용 제 1 절 2008 국가정보보호백서의구성 제 1 편총론 2008 국가정보보호백서 는총 4개의독립된편에서총론, 국가정보보호현황, 국가정보보호기반조성현황, 통계를기술하였고, 추가적으로정보보호 10대이슈, 특집, 부록을수록하였다. 정보보호 10대이슈는 2007년에주요언론매체에보도된정보보호관련기사및산 학 연 관의정보보호전문가들의의견을수렴하여선정하였다. 각장은관련분야의전문가가참여하여작성하고자문위원의검토를거쳐완성하였다. 편별주요내용은다음과같다. 제1편총론에서는국내 외정보보호환경변화와정보보호필요성을설명하였다. 또한 2007년한해동안국내에서발생한사이버침해위협과사례를통해최근의정보보호위협추이를살펴보았다. 제2편국가정보보호현황에서는정보보호추진체계, 국가정보보호담당기관, 국가정보보호활동, 전자정부정보보호활동, 정보통신기반시설보호활동, 개인정보보호활동, 국민생활정보보호활동을다루고있다. 정보보호추진체계에는국가정보보안체계, 주요정보통신기반시설보호체계, 개인정보보호체계로구성된다. 국가정보보호담당기관으로는국가정보원, 정보통신부, 국방부, 대검찰청, 경찰청, 전문연구기관등이있다. 정보통신부는 2008년정부조직법개정에따라방송통신위원회로통합되었으나백서는 2007년 12월을기준으로작성되었다. 국가정보보호활동에서는국가정보보호정책추진, 국가 공공기관정보통신망보호활동, 민 관협력및국제협력등을기술하였다. 전자정부정보보호활동은정부암호이용시스템구축, 행정전자서명인증시스템고도화, 정부온라인원격근무서비스개선, 전자정부사이버공격대응체계구축으로구분하고, 정보통신기반시설보호활동에는주요정보통신기반시설보호, 정보통신서비스제공자등의내용을포함시켰다. 개인정보보호활동에서는공공과민간부문의개인정보보호현황, 개인정보보호법 제도, 개인정보보호피해구제및실태점검활동, 개인정보보호수준향상활동, 개인정보보호교육및홍보활동의내용을다루고있다. 국민생활정보보호활동에서는전자서명이용활성화, 불법스팸메일방지, 불건전정보유통대응, 정보보호홍보및인식제고활동등을기술하였다. 제3편국가정보보호기반조성현황의 1장국내정보보호법 제도에서는주요고시내용을보강하는등더욱상세한정보보호법 제도관련정보를제공하였다. 2장정보보호기술및 4 2008 국가정보보호백서

제 1 장국가정보보호백서의주요내용 제 1 편 개발에는각종정보보호솔루션과기술내용을수록하였고 3장정보보호교육및인력분야는정보보호관련교육기관과인력양성현황등을다루고있다. 4장정보보호산업분야에서는정보보호산업의현황과수출입현황등을기술하였다. 제4편통계로보는정보보호에서는우리나라의정보보호수준을정확하게가늠하기위해정보보호와관련한구체적인지표를제공하고있다. 또한, 특집으로는국외주요국의정보보호관련예산동향과논문동향을다루었다. 정보보호기술연구동향은 2008 국가정보보호백서에새롭게추가된부분으로국제컨퍼런스에실린논문을분석하여정리하였다. 제 1 편총론 제 2 절 2008 국가정보보호백서의주요특징 개인정보보호의중요성이증가함에따라 2편국가정보보호현황에서개인정보보호를집중적으로다루는별도의장이새로이편성되어공공부문및민간부문에서의개인정보보호에대한현황과활동을구체적으로기술하였다. 정부조직법개정의영향을가장많이받게되는 2편의내용들은 2007년도기준으로기술하되 2008년정부조직법개정에따라변경된부분은부록으로정리하였다. 3편국가정보보호기반조성현황의 1장국내정보보호법 제도에서는주요고시내용을포함하였다. 2장정보보호기술및개발에는기존에다루어지지않았던전자여권과바이오인식기술에대한부분이추가되었다. 4장정보보호산업분야는기존에단순한통계수치만제공했던부분을개선하여미래정보보호산업동향예측을추가하였다. 통계의경우, 그중요성을감안하여 2008 국가정보보호백서에서는별도의편으로분리하여보다상세하게구성하였다. 공공부문설문조사대상기관수를 2007년 92개에서 2008년 723개기관으로확대하여공정성및객관성을확보하기위해노력하였으며, 민간부문의경우도 1,200개업체에서 2,500개업체로조사대상이확대되었다. 또한각종통계에대한조사방법과근거자료를세부적으로명시하였다. 특집은주요국의정보보호예산과컨퍼런스분석을통한정보보호연구동향을다루었다. 다음 [ 표 1-1-2-1] 에서는 2008 국가정보보호백서의주요내용과 2007년백서에비해향상된부분을알아볼수있도록정리한것이다. 제1장국가정보보호백서의주요내용 5

제 1 편 제 1 장국가정보보호백서의주요내용 [ 표 1-1-2-1] 2008 국가정보보호백서의내용과특징 구분주요내용특징 제 1 편총론 10 대이슈 제 1 편 제 2 편 2007 년언론매체에보도된주요정보보호이슈후보중산 학 연전문가들이선정 정보보호환경변화와사이버침해위협과사례기술 국가정보보호체계와활동정리 10 대이슈후보군과선정전문가를확대 정보보호와관련된구체적인국내외사건을기술 국가정보보호활동에서 2007 년활동내용중심으로기술하고개인정보보호활동을보강 제 3 편 정보보호기반이되는법, 기술, 인력, 산업정리 각분야의조사내용을확대 제 4 편 국내공공부문및민간부문으로구분하여정보보호통계조사 설문조사대상을확대, 신뢰도를제공 특집 국외정보보호예산및연구동향조사 국외주요국의정보보호예산과국외논문을분석하여연구동향수록 부록 정보보호인증제품, 업체, 학술행사정리 정부조직법개정에따른변화정리와색인추가 6 2008 국가정보보호백서

제 2 장국가정보보호개요 제 1 편 제 2 장 국가정보보호개요 제1절에서는국내외각종지수를통해정보화환경을살펴보고정보화역기능의실태를개략적으로서술하였다. 제2절에서는정보화역기능의향후전망을조망하였다. 제 1 편총론 제 1 절정보화환경과역기능 우리나라는국외에서발표되는지수로보았을때, 인터넷강국으로서의면모를계속유지하고있다. UN의전문기구인국제전기통신연합 (ITU : International Telecommunication Union) 이인프라보급, 기회제공, 활용정도등 3가지요소를종합 분석하여정보통신발전정도를평가하는디지털기회지수 (DOI : Digital Opportunity Index) 에서 2006년도에이어연속으로 1위를차지하였다. 뿐만아니라국제경영개발원 (IMD : International Institute for Management Development) 에서발표하는국가경쟁력지수중정보통신부문이포함된 기술인프라부문 에서 6위를차지하였다. 2007년 6월현재인터넷이용자는 3,443만명 ( 인터넷이용률 75.5%), 초고속인터넷가입자는 1,444만가구로전체가구대비초고속인터넷보급률 89.1% 를달성하는등세계최고수준의정보통신인프라를확충하고본격적인지식정보사회로도약하고있다. 인터넷뱅킹을통한조회, 자금이체및대출서비스이용건수는하루평균 1천792만건으로 2006년에비해 40.0% 증가했다. 이가운데조회서비스가일평균 1천518만건으로 43.2% 증가했고자금이체서비스는일평균 274만건, 18조5천570억원으로건수로는 24.3%, 금액으로는 23.0% 늘었다. 인터넷대출신청은일평균 2천건, 135억원으로건수는 5.3% 늘었으나금액은 1.5% 줄었다. 제2장국가정보보호개요 7

제 1 편 제 2 장국가정보보호개요 제 1 편총론 [ 작성기관 ] 지수명 [ITU] 디지털기회지수 (DOI) 목적 / 성격 인프라보급, 기회제공, 활용정도등 3 가지요소를종합 분석하여정보통신발전정도평가 [ 표 1-2-1-1] 우리나라의주요정보통신지수순위 지수특징 - 정보사회정상회의 (WSIS) 에서채택한공식지표 - OECD, UNCTAD, UNESCO 등 11 개국제기구가합의한검증가능한데이터를사용한지표 - 40 여개국대상을조사, 2006 년전세계 180 개국대상으로확대 우리나라순위 ( 조사대상국가수 ) 2001 2002 2003 2004 2005 2006 2007 2008 - - - - 1 (40) 1 1 (180) (181) ( 연도 ) 최근발표일 2007. 5.16 [WEF] 네트워크준비지수 국가별개인, 기업, 정부의 IT 의환경, 준비도, 활용도측정 - 평가는 1 시장여견, 규제등 IT 를위한제반환경 (Environment), 2 IT 의수혜를누릴수있는준비도 (Readiness), 3 최신정보통신기술의활용도 (Usage) 등 3 개부문으로구성 - ICT 관련통계자료 ( 정량자료 ) 와설문조사결과 ( 정성자료 ) 로평가 - 20 (75) 14 (82) 20 24 14 19 (102) (104) (115) (122) 2007. 3.28 [EIU] e- 비즈니스준비도 e- 비지니스환경측정 - 접속기술인프라, 기업환경, 소비자와기업의 e- 비즈니스도입 - 법적환경, 사회문화환경, 정부정책과비전등 6 개영역으로구성 21 (60) 21 (60) 16 (60) 14 (64) 18 (65) 18 (68) 16 (69) 2007. 4.27 [ 한국정보사회진흥원 ] 국가정보화지수 국가별정보화수준측정 - 국내기관에서작성 발표하는국제지수 - ITU 작성통계자료이용 - 50 개국만을대상 - 4 개부문 7 개지표사용 - 정보화인프라관련지표만사용하므로한계 14 (50) 14 (50) 12 (50) 7 (50) 3 (50) 3 (50) 3 (50) 2007. 7 [IMD] 1) 국가경쟁력지수 ( 기술인프라부문 ) 국가경쟁력중정보통신분야의경쟁력측정 - 스위스국제경영개발원 (IMD) 에서평가 - 경제운영성과정부행정효율, 기업경영효율, 발전인프라구축등의 4 대분야 20 개부문평가 - IT 는발전인프라중기술인프라부문에포함 - 2007 년 55 개국대상으로축소조정 (8 개경제권역제외, 2 개국추가 ) 21 (49) 17 (49) 27 (59) 24* (51) 8 (60) 8* (51) 2 (60) 2* (51) 6 (61) 6* (53) 6 (55) 2007. 5 * 출처 : http://www.nia.or.kr/open_content/01_open/open02_stats/stats01_01.jsp 주 1) IMD 국가경쟁력지수 ( 기술인프라부문 ) 의 * 표시는조정된 55 개국을기준으로이전년도순위를조정한자료임 IMD 의국가경쟁력지수중기술인프라부문에대한순위이며, IMD 의국가경쟁력순위는 29 위 (2002) 37 위 (2003) 35 위 (2004) 29 위 (2005) 38 위 (2006) 29 위 (2007) 이며, 2007 년조정된 55 개국을기준으로조정한 IMD 의국가경쟁력조정순위는 32 위 (2003) 31 위 (2004) 27 위 (2005) 32 위 (2006) 29 위 (2007) 임 휴대전화와 PDA 등이동통신기기를이용한모바일뱅킹은일평균 72만건으로전년에비해 60.5% 나증가했으나인터넷뱅킹에서차지하는비중은 3.8% 에불과했다. 금융서비스전달채널별업무비중을살펴보면입금과출금, 자금이체등입출금거래를기준으로창구거래의비중은작년 12월중 20.4% 로나타나 1년전에비해 1.7% 떨어졌다. 이에반해인터넷뱅킹을포함한비대면거래의비중은 77.9% 에서 79.6% 로올라가 80% 선을목전에두고있다. 8 2008 국가정보보호백서

제 2 장국가정보보호개요 제 1 편 하지만, 정보화사회로진행됨에따라정보화사회의역기능도점차골이깊어지고있다. 악성댓글, 스팸메일, 개인정보의유출, 피싱 (Phishing) 이나파밍 (Pharming) 에따른개인적인피해가증가하고있으며불건전정보유통, 개인사생활침해와같은부작용등이심각한사회문제로대두되고있다. 예를들어, 악성댓글은고인의사이트에도올라와유족, 동료의마음을아프게했으며독립운동가를겨냥하기도하여그수준이심각한것으로나타났다. 성인광고와대출광고등을대규모로발송했던스팸메일발신자가 2007년초에검거되었고원링스팸과같은휴대전화스팸이기승을부렸다. 개인정보유출은공공기관홈페이지개인정보유출, 대형 ISP 정보유출, 포털 ID 대량매매등이발생하였고 2007년에는개인정보유출에대한신고도급증한것으로나타났다. 피싱은국내몇개은행을위장한사이트가나타났고보이스피싱을통한전화사기는국회에까지대상을확대한것으로나타났다. 사용자가직접제작한콘텐츠인 UCC 열풍에따라저작권및사생활침해와명예훼손, 음란물노출, 정보보안위협등 UCC 역기능도역시부상하고있는것으로나타났다. 네트워크확대보급에따른정보교환및공유로인하여정보의불법적인접근이가능하고이에따라산업기밀과국가기밀의유출가능성도높아지고있다. 국내의경우 2007년와이브로관련핵심기술을하드디스크나이메일을통하여유출하려던회사연구원이검거되어실형을선고받았다. 국외선진국인프랑스는국가기밀유출을우려하여정부각료들에게특정 PDA를사용하지말것을권고한바있다. 정보화사회의역기능은국경을초월하여국내의발전된인프라가해킹과바이러스유포를위한중간경유지로사용되고있으며국외에거주하는사이버범죄자에대해서는법적인조치를취하기가어렵다. 주요기반시설이점차로정보통신네트워크에의해관리 통제됨에따라정보통신인프라의위협이주요기반시설의위협으로까지확장되고있어국가의안보적인측면에서위험이될수있다. 1991년러시아로부터독립한발트해인터넷강국에스토니아는대통령궁, 의회, 각부처, 집권당, 언론사, 은행의전산망과홈페이지등이국외로부터사이버공격을대대적으로받은사건이 2007년 4월말부터 5월중순까지발생하였다. 사이버공격에사용된컴퓨터의인터넷주소는러시아, 미국, 캐나다, 베트남, 브라질등인것으로나타났다. 제 1 편총론 제2장국가정보보호개요 9

제 1 편 제 2 장국가정보보호개요 제 2 절정보보호향후전망 제 1 편총론 정보통신기술은우리에게보다나은미래를제공해주는원동력이되고있으며현대사회에서없어서는안될필수불가결한사회기반으로여겨지고있다. 정보통신기술은경제성장의원천이되고있으며사회시스템의효율성을높이고기업의역량을효과적으로발휘할수있게하고있다. 또한, 기술로인한사회적, 경제적, 생활 문화적변화는하루가다르게변화하고있다. 사회경제활동에서인터넷활용도는더욱높아지고있으며항공 철도 전력 가스 행정서비스등다양한정보시스템에서인터넷이활용되어기본인프라로정착되고있다. 유비쿼터스환경의조성에따라어디에서나통신과컴퓨터가존재하고의식하지못하는사이에도정보통신기술이생활편의를제공하게되는등정보통신기술의범위는지속적으로확장될것이다. 이렇게정보화가진전되는반면에이에대한역기능또한다양해져지능화된해킹, 사이버테러, 사이버사기등이날로심화되고있는실정이다. 이전에존재하지않았던신종사기기법이매년새롭게대두되고있으며해킹기술을사용하여금전적인피해를개인과기업에게입히고있어이러한추세는지속되리라고예측되고있다. 미국공인회계사협회 (AICPA) 가 2008년 1월에발표한연간기업의주요기술의제 (Annual Top Technology Initiative) 에따르면기업의 IT 투자, 전략및운영에가장큰영향을미치는중요한의제는 2007년에이어연속적으로정보보호관리인것으로나타났다. 또한사업지속성관리및재해복구계획이 3위로나타났으며프라이버시관리가 4위로나타나기업의주요기술의제중상위에정보보호와관련된항목을꼽고있는것으로비즈니스환경에서기업자산의보호와관리가중요하다는것을나타내고있다. 더구나이러한해킹기술은개인과기업에대한사이버테러시도에서머물지않고, 국가를대상으로하는공격형태로진행되어그피해및파급효과도증가되고있다. 일부국가의해커가타국의기본인프라를마비시키고정부기관의시스템에침입하는사건발생이보도되고있는실정이며이러한사건은국제적인외교마찰로까지이어지고있다. 정보통신윤리관의결여, 전자금융, 전자상거래로인한다양한범행기회, 산업스파이나국가비밀정보수집등의국가안보및국익차원의환경변화, 범죄에대한명확한규제및처벌관련법적제도미비와맞물려정보화의역기능은더욱가속화될것으로예측된다. 이에따라정부와기업, 그리고개인모두가정보보호에대한인식을공고히하고사이버공간의안전을유지하는데최선을다해야할것이다. 10 2008 국가정보보호백서

제 3 장사이버침해위협과사례 제 1 편 제 3 장 사이버침해위협과사례 제 1 절 2007 년사이버침해위협동향 제 1 편총론 사회전반적으로인터넷의존도가심화됨에따라해킹, 분산서비스거부공격, 악성코드감염등침해사고로인하여국가기관 첨단기업중요자료절취, 개인정보유출, 프라이버시침해, 금전적갈취등의정보화역기능이지속적으로발생하고있다. 특히, 2007년도에는웹 2.0 도입과 UCC 대중화로인하여인터넷의새로운패러다임이도래하였으며, 이에대한정보화역기능도중요한이슈로대두되고있다. 이외에도인터넷뱅킹에대한메모리해킹, 디지털포렌식기술의사회이슈화, 기밀정보유출에대응하기위한내부자보안의중요성부각등이 2007년도의주요사이버위협동향이라고할수있다. 1. 단순웜 바이러스는감소, 금전적목적의악성코드유포는증가 2007년도에정부에접수된웜 바이러스신고건수는 5,996건으로 2006년 7,789건에비하여 23.0% 감소하였다. 감소한원인은최근들어지적호기심, 컴퓨터사용능력과시를목적으로네크워크를통해대량전파되는단순웜 바이러스제작및유포가감소했기때문이다. 반면특정온라인게임의계정, 개인정보를탈취하는등금전적이익을목적으로하는악성코드유포는지속적으로증가하는추세다. 2. 국내웹사이트를대상으로한분산서비스거부공격증가 2007년도에는해커가국내웹사이트를대상으로메신저나이메일, 전화를통하여금품을요구하고, 이에불응시분산서비스거부공격을가하여서비스를마비시키는공격이증가하였으며주요특징은다음과같다. 제3장사이버침해위협과사례 11

제 1 편 제 3 장사이버침해위협과사례 금품요구및협박성분산서비스거부공격증가 공격대상웹사이트의다양화 공격트래픽규모의증가 공격에악용되는좀비 PC 감염수단의다양화 제 1 편총론 초기 DOS 공격 DDoS 급증공격규모증가 금품갈취성 DDoS증가 root DNS DDoS발생에스토니아정부 DDoS피해바이럿으로인한 DDoS발생 Amazon, ebay, Yahoo DDoS발생 2000 2006 2007 2010 2007. 9-10 : 게임아이템거래사이트에대한금품요구 - 트래픽규모 : 수Gbps-15G 2007. 9 : 바이럿 (Virut) 바이러스에의한 DDoS 공격 2007. 6-8 : 여행업, 팬션예약사이트등에대한금품요구 2007. 5 : 에스토니아정부, 국회등의사이트가 DDoS 공격으로약 3주간마비 2007. 2 : 루트 DNS 6개가바이럿으로인한 DDoS 공격피해 2007. 1 : 도메인등록대행사사이트에대한 DDoS 2006. 11 : 미국특정 IP에대한 DDoS( 일부 IDC 부분장애 ) 2006. 10-11 : 성인화상채팅사이트에대한금품요구 [ 그림 1-3-1-1] 최근분산서비스거부공격 (DDoS) 발생사례 3. 웹 2.0 보안고려필요성대두 웹 2.0 환경에서는정보소비의주체로만여겨졌던사용자가정보생성의참여자로, 의견을제시하고타인과연계해전문가수준의영향력을갖게되었다. 이는사용자의정보접근성과편의성이높아지고, 사용자가정보를능동적으로이용하게되었음을의미한다. 또한정보자체측면에서볼때다양성과품질이향상되는특성도보이고있다. 결국인터넷업계에서는웹 2.0이하나의추세이자새로운비즈니스모델로자리잡아가고있다고볼수있다. 하지만웹 2.0 기술을도입하고자할때보안을고려해야하는데, 사용자의참여가높은개방성의특징을갖는환경이므로기존웹이가지고있는취약점보다더많은보안취약점이존재하게된다. 또한웹 2.0에서는검증되지않은정보의공개로인하여개인프라이버시침해의문제가발생할수있다. 웹 2.0 환경의미국 MySpace에서동영상재생을위해사용하고있는애플사의 Quick Time 동영상파일에악성자바스크립트를삽입해동영상을재생하면피싱사이트로연결되어사용자의계정정보를유출하려는시도가있었다. 따라서웹 2.0 환경에서는보안을더욱중요시해야하며발생가능한보안위협에대하여철저한대응이필요하다. 12 2008 국가정보보호백서

제 3 장사이버침해위협과사례 제 1 편 4. 내부자보안의중요성증대 최근에는보안패러다임이네트워크보안에서콘텐츠보안으로변화하고있다. 기밀정보유출에따른기업의경제적손실이증가하고있으며, 고객의개인정보나기업의기밀정보등이이메일, 인스턴트메시징서비스, P2P 등을통하여무분별하게유출될수있는위험에노출되어있다. 실제로미국 CSI/FBI 보고서에따르면, 2002년미국에서발생한정보유출사고중에약 80% 가내부자에의한것으로파악되었다. 우리나라의경우, 국가정보원산업기밀보호센터는 2003년도부터 2006년까지산업기밀유출적발사건이 92건에이르며총피해예상금액은 95조 9천억원에달한다고밝혔다. 이러한정보유출의문제가산업기밀이나행정또는군사에관한국가기밀정보를대상으로발생한다면국가차원의매우중대한피해가아닐수없다. 그동안보안이라하면, 외부의공격으로부터내부의자원을안전하게지키고자하는측면에집중되어왔다. 하지만앞으로는내부자로부터내부자원을안전하게지키는것도보안의영역에서큰비중을차지하는방향으로그패러다임이변화하고있다. 따라서내부자위협에효과적으로대응하기위한기술뿐만아니라관리및운영측면에서의접근방식도동시에이루어져야할것이다. 제 1 편총론 5. 응용프로그램을겨냥한보안취약점출현증가 국내에서가장사용율이높은것으로알려진마이크로소프트사의윈도우운영체제및관련응용프로그램에대한보안업데이트발표현황을분석한결과오피스 (Office) 제품군에대한취약점비율이 15% 로 2006년 (15.6%) 과마찬가지로응용프로그램측면에서는가장많았으며, 인터넷익스플로러취약점은 12% 로 2006년 (9.3%) 대비약 3% 증가하는결과를보였다. 이처럼최근에는운영체제자체보다는응용프로그램취약점이증가하고있으며, 이에따라응용프로그램취약점을공격하는사이버공격도지속적으로증가할것이다. 6. 중국발악성코드전파및해킹증가 중국은 1990년대중반부터시스템및네트워크에대한연구를통하여중국특유의언더그라운드해커문화를형성하였다. 1990년대후반중국해커들의기술은외국에서개발된프로그램을이용하는수준이었지만점차해커들스스로트로이목마및해킹프로그램을제작 제3장사이버침해위협과사례 13

제 1 편 제 3 장사이버침해위협과사례 제 1 편총론 하기시작하였고, 최근에는국내국가 공공기관의시스템을해킹하여주요자료를빼내가거나웹서버해킹을통하여우리나라국민의개인정보를유출하는수준에이르고있다. 중국발해킹은우리나라뿐만아니라미국등도목표가되고있어미육군에서는 PC를매킨토시로교체하는작업까지수행하고있는상황이다. 그만큼중국발해킹은전세계적으로큰위협으로자리잡고있다. 중국발해킹에서개인정보를유출해가는절차를보면, 우선접속자가많은유명사이트의웹서버를해킹하고, 악성코드를은닉한뒤, 보안이취약한 PC를이용하여해당웹사이트에접속하는인터넷이용자의 PC를악성코드에감염시킨다. 감염된접속자 PC에상주하며주민등록번호, 각종사이트아이디및비밀번호를추출하여개인정보를해커컴퓨터로이동시키는방법을이용하고있다. 심지어중국내에서한국의웹서버를해킹하는방법이나한국인의개인정보를취득하는해킹기법에대한자세한설명과도구가담겨져있는잡지가시중에유통되고있는상황이다. 하지만국가차원에서중국발해킹에대한근원지를조사하는과정에서중국내 IP가근원지로확인된경우에도중국과의사법공조협정이체결되지않아공격자조사에어려움을겪고있다. 향후에도이러한중국발해킹및악성코드의전파는계속적으로증가할것으로예상된다. 따라서중국발해킹및악성코드에대응하기위하여서버담당자부터일반사용자에이르기까지보안패치의설치및백신프로그램의운용의기본적인정보보호활동에충실하여야한다. 7. 메모리해킹수법의사회이슈화 메모리해킹이란램 (RAM : Random Access Memory) 이라고불리는주기억장치에저장되는데이터를절취하거나이를조작하는해킹기법이다. 기존의피싱과파밍등의해킹수법들이메일이나전화등외부수단을이용해사용자의계좌와비밀번호등의금융정보를빼내는것이라면메모리해킹은 PC 해킹을통해백도어프로그램을설치한뒤전용도구를통해메모리상의데이터를절취하고변조한다는점에서차이가있다. 이러한메모리해킹을통한인터넷뱅킹의실질적인피해는아직보고된바없지만메모리해킹방식이범죄에악용될경우인터넷뱅킹자체의신뢰성과안전성에큰위협이된다는점에서최근금융권과정보보호업계에서이슈로떠오르고있다. 14 2008 국가정보보호백서

제 3 장사이버침해위협과사례 제 1 편 8. ARP 스푸핑기법을이용한악성코드유포증가 취약한웹서버를사전에해킹한후초기화면에악성코드를은닉하여해당사이트방문자 PC를악성코드에감염시키는침해사고사례는이미 2006년에도발생하였으나 2007년도에는대상웹서버를실제해킹하지않고도정상적인인터넷사용자가특정웹사이트로접속하는트래픽을가로채어변조함으로써인터넷이용자의 PC를악성코드에감염시키는이른바 ARP(Address Resolution Protocol) 스푸핑을이용한악성코드유포사례가새롭게출현하였다. 이러한 ARP 스푸핑기법은 2008년에도증가할것으로보여사용중인컴퓨터운영체제에대한보안패치및백신소프트웨어사용등인터넷이용자의각별한주의가필요하다. 제 1 편총론 * ARP 스푸핑 : 네트워크어뎁터의물리적인주소 (MAC 어드레스 ) 정보를위조하여정상사용자의네크워크트래픽을공격자가의도한특정시스템으로전달되도록하는해킹수법의일종 [ 그림 1-3-1-2] ARP 스푸핑기법을이용한악성코드유포사례 제3장사이버침해위협과사례 15

제 1 편 제 3 장사이버침해위협과사례 제 2 절사이버침해사고발생현황 제 1 편총론 1. 국가 공공부문 2007년에국가사이버안전센터에서접수 처리한침해사고를분석한결과공공부문침해사고는전년에비하여 2배가까이늘었고지방자치단체와교육기관들의보안취약성은오히려악화된것으로나타났다. 지난해공공부문사이버침해사고건수를취합한결과, 전체공공기관에서발생하는사이버침해사고건수는총 7,588건으로전년도의 4,286건에비해크게증가한것으로나타났다. 국가 공공부문사이버침해사고가급증한것은날로지능화되고있는사이버공격의진화속도를사이버보안이따라가지못한것으로해석할수있다. 특히지방자치단체와교육기관을목표로한사이버침해사고발생건수가급증하였다. 2007년지방자치단체에서발생한사이버침해사고건수는총 3,827건으로 2006년의 1,470건에비해 3배가까이늘었고교육기관도 1,464건에서 2,148건으로약 50% 증가하여기관중 2번째로높은사고발생률을보였다. [ 그림 1-3-2-1] 은 2007년도한해동안발생한국내공공부문사이버침해사고현황을나타내고있다. 기관 [ 표 1-3-2-1] 2007 년공공기관별침해사고발생현황 합계 웜 바이러스감염 경유지악용 홈페이지변조 자료훼손및유출 ( 단위 : 건 ) 기타 국가기관 625 498 29 21 55 22 지자체 3,827 3,583 94 111 24 15 연구소 198 145 20 8 19 6 교육기관 2,148 1,504 513 91 18 22 산하기관 706 448 85 143 26 4 기 타 84 16 26 5 34 3 합 계 7,588 6,194 767 379 176 72 가. 월별침해사고추이특징 침해사고는꾸준히감소세를보이고있는데, 이는주로악성코드감염과홈페이지변조사고가감소한데기인한다. 일년평균으로볼때매월 632건이발생한것으로나타났다. 16 2008 국가정보보호백서

제 3 장사이버침해위협과사례 제 1 편 건 1,400 1,200 1,270 1,000 800 600 701 622 551 605 505 523 573 531 584 599 524 제 1 편총론 400 200 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-3-2-1] 2007 년공공부문월별사이버침해사고발생추이 나. 악성코드감염사고동향 악성코드감염사고는전체적으로감소세를보였는데, 이는지방자치단체에서의악성코드감염사고감소 (18.1%) 에기인한다. 일년평균으로보면매월 516건이발생한것으로나타났다. 건 1,200 1,132 1,000 800 600 400 628 532 470 530 399 417 443 405 393 452 420 200 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-3-2-2] 2007 년공공부문월별악성코드감염사고발생추이 악성코드감염사고의기관별발생비율을살펴보면, 지방자치단체가전체악성코드감염사고의 54.8% 를차지하였다. 이는 2006년지방자치단체의악성코드비율인 62.2% 보다감소된수치로해당기관에대한지속적인악성코드감염예방조치에기인한것으로보인다. 제3장사이버침해위협과사례 17

제 1 편 제 3 장사이버침해위협과사례 산하기관 6.0% 국가기관 5.2% 연구기관 3.3% 기타 0.2% 제 1 편총론 교육기관 30.5% 지방자치단체 54.8% [ 그림 1-3-2-3] 악성코드감염기관분포 다. 홈페이지변조사고동향 홈페이지변조사고는다른유형의사고들과달리해커들이자신의실력을과시하기위해변조한내용을인터넷에공개하고있는데, 2007년 6월이후공공기관의사고가증가추세에있었으나, 10월부터산하기관등에서집중적으로홈페이지취약점을제거하여 12월에다시연간평균 31.6회이하로감소하였다. 건 120 109 100 80 60 40 20 19 13 8 9 7 15 26 38 52 53 30 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-3-2-4] 2007 년공공부문월별홈페이지변조사고발생추이 18 2008 국가정보보호백서

제 3 장사이버침해위협과사례 제 1 편 2. 민간부문 2007년한국정보보호진흥원에서접수 처리한민간부문침해사고통계를분석한결과해킹사고접수 처리는 21,732건으로 2006년 (26,808건) 대비 18.9% 감소하였으며, 웜 바이러스피해신고는총 5,996건으로 2006년 (7,789건) 대비 23.0% 감소하였다. 특히웜 바이러스피해신고가 2006년대비크게감소한주요원인은정보보호체계강화와관리의향상에따라웜의출현및피해가감소했기때문인것으로파악되었다. 제 1 편총론 가. 해킹사고현황 (1) 해킹사고전체추이 2007년국내민간부문해킹사고접수 처리건수는 [ 표 1-3-2-2] 와같이 21,732건으로 2006년 26,808건에비하여 18.9% 감소하였다. 침해사고유형별로는스팸릴레이, 피싱경유지, 기타해킹, 홈페이지변조는 2006년대비각각 17.0%, 13.5%, 48.4%, 28.5% 감소하였으며, 단순침입시도는 2006년대비 16.3% 증가하였다. 구분 2006 년총계 [ 표 1-3-2-2] 2007년민간부문해킹사고발생현황 ( 단위 : 건 ) 2007년 2007년 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월총계 스팸릴레이 14,055 1,225 1,477 1,477 1,310 972 477 851 1,248 677 598 573 787 11,668 피싱경유지 1,266 90 178 96 73 90 68 79 78 92 78 75 98 1,095 단순침입시도 3,711 327 184 414 536 522 478 315 317 243 370 332 278 4316 기타해킹 4,570 229 206 197 212 217 213 201 182 197 214 152 140 2,360 홈페이지변조 3,206 287 148 63 89 145 305 485 125 236 116 177 117 2,293 합계 26,808 2,158 2,189 2,247 2,220 1,946 1,541 1,931 1,950 1,445 1,376 1,309 1,420 21,732 (2) 운영체제별현황 2007년도에발생한해킹사고를피해운영체제별로분류한결과, [ 그림 1-3-2-5] 와같이윈도우운영체제가전체의 88% 로가장많았으며, 리눅스운영체제는전체의 10% 로 2006년대비 3% 제3장사이버침해위협과사례 19

제 1 편 제 3 장사이버침해위협과사례 제 1 편총론 감소한것으로나타났다. 리눅스운영체제가차지하는비율이전년대비감소한이유는리눅스기반에서웹서버에대한홈페이지변조가 2007년기준으로전년대비감소하였기때문이다. 해킹사고운영체제별비율중윈도우가차지하는비율이높은이유는 2007년발생한침해사고가주로윈도우를사용하는개인 PC를대상으로하는침해사고가많았기때문이다. 기타 2% 리눅스 10% 윈도우 88% * 출처 : 한국정보보호진흥원, 2007 년 [ 그림 1-3-2-5] 해킹사고운영체제별발생현황 (3) 기관별 ( 대상별 ) 현황피해기관별로분류한결과 [ 그림 1-3-2-6] 과같이기타 ( 개인 ) 가차지하는비율이 79% 로가장많았으며, 다음으로기업 14%, 대학 5% 순으로나타났다. 이는운영체제별현황에서와같이최근의침해사고가개인 PC와응용프로그램에서이루어지는경우가많았기때문인것으로파악된다. 나. 웜 바이러스현황 2007년한해동안웜 바이러스신고건수는 5,996건으로월평균 499.7건에해당하며, 2006년 (7,789건) 대비 23.0% 감소한수치다. 주요감소이유로는 Netsky, Bagle과같은이메일바이러스로인한피해신고가크게감소하였기때문이다. 반면웹사이트를통하여감염되는악성코드의한피해신고가증가하였으나자체전파력이없어전체건수는전년도에비하여감소한것으로파악되었다. 20 2008 국가정보보호백서

제 3 장사이버침해위협과사례 제 1 편 기업 14% 대학 5% 네트워크 1% 제 1 편총론 기타 ( 개인 ) 79% [ 그림 1-3-2-6] 해킹피해기관별분류 * 기관분류기준 : 기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), 기타 (pe 또는 ISP 에서제공하는유동 IP 사용자 ) 건 1400 1200 2006 년 2007 년 1000 800 600 400 606 518 859 622 556 395 395 329 472 309 745 683 422 424 396 411 865 892 559 499 898 773 610 592 200 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-3-2-7] 2007 년민간부문웜 바이러스신고건수 * 웜 바이러스통계는한국정보보호진흥원, 안철수연구소, 하우리가공동집계 * 출처 : 한국정보보호진흥원, 2007 년 제3장사이버침해위협과사례 21

제 1 편 제 3 장사이버침해위협과사례 제 3 절사이버침해사고사례 제 1 편총론 1. 국내은행을사칭한피싱사고사례 2007년 1월국내금융권두곳을사칭한피싱사고가발생하였다. 사고분석결과해커는 OO은행과 OO금융기관을사칭한피싱사이트를개설하고, 개인 PC의인터넷주소를저장하는 hosts파일을변조시키는악성코드를유포하여감염된 PC에서공인인증서와금융정보를유출하였다. 해당악성코드는 2006년에보안패치가발표된 MS의 MDAC(MS06-014) 취약점을공격하여윈도우컴퓨터내특정서버로의접속 IP를지정하는 hosts파일을변조시키고공인인증서를유출하는기능을가지고있었다. 해당피싱사이트는 [ 그림 1-3-3-1] 과같이공인인증서비밀번호, 통장비밀번호, 주민등록번호, 보안카드번호등여러가지금융정보를한화면에서모두입력하도록되어있어단계적으로진행되는정상사이트와는차이가있었다. [ 그림 1-3-3-1] OO 은행피싱사이트화면 * 출처 : 국가사이버안전센터, 2007 다행히국내인터넷뱅킹의보안수준이비교적안전하고유관기관의신속한대처로계좌이체나현금인출등의금전적인피해로이어지지는않았으나대규모금융피해가발생할수있었던대표적피싱사고사례라고볼수있다. 22 2008 국가정보보호백서

제 3 장사이버침해위협과사례 제 1 편 2. OO 기관분산서비스거부공격경유지악용사고 OO기관은 [ 그림 1-3-3-2] 와같이수백대 PC로부터분산서비스거부공격을받아 [ 그림 1-3-3-3] 의탐지화면에서볼수있듯이유입되는 udp flooding 패킷이초당평균 100Mbps에달해일상서비스가심하게지연되는피해가발생하였다. 그러나국가정보원이해당서비스거부공격을탐지, 신속대응하여피해를최소화하였다. 일반적으로, 해커는특정사이트를공격하기위해수많은 PC에악성프로그램을설치하고공격목표인컴퓨터시스템이처리할수없는엄청난분량의통신패킷을동시에유발시켜네트워크트래픽을비정상적으로높이거나시스템마비를유도한다. 분산서비스거부공격이대규모피해를유발시키는원인은서비스거부공격과인터넷웜이라는 2가지해킹이결합되어나타나기때문이다. 웜 바이러스의확산력과서비스거부공격이결합되면수백 ~ 수천대의 PC가동시에공격에악용될수있다. 분산서비스거부공격은해커의공격목적인서버를마비시키는데그치지않고, 해킹경유지로악용된감염 PC들의소속기관 기업의내부스위치, 라우터장비등을마비시킴으로써각급기관의업무장애 제 1 편총론 [ 그림 1-3-3-2] 분산서비스거부공격사례 제3장사이버침해위협과사례 23

제 1 편 제 3 장사이버침해위협과사례 제 1 편총론 [ 그림 1-3-3-3] 분산서비스거부공격에의한서비스탐지화면 서비스마비등을초래할수있다. 평상시와달리유난히네트워크트래픽양이과다해지고, 서버에대한서비스요구가평균치를훨씬웃돈다면이는서비스거부공격의신호라고할수있다. 이때는트래픽분석과서비스요청패턴을판별하여공격을막을수있는방법을신속히강구해야한다. 사용자들이 PC의프로그램패치와백신소프트웨어를주기적으로업데이트한다면해킹경유지로악용되는것을예방할수있을것이다. 또한네트워크담당자들은의심가는네트워크트래픽발생시즉시국가사이버안전센터로신고한다면다른기관의추가피해를방지할수있음으로어느사이버침해사고보다보안담당자들간의협력이중요하다. 3. ARP 스푸핑기법을이용한사용자 PC 악성코드감염사례 국내홈페이지를해킹한후악성코드를삽입하는사례가빈번히발생하고있는데, 이러한침해사고는대부분해당웹서버가직접해킹당한후악성코드가삽입된다. 하지만, 2007년초해당웹서버는전혀해킹을당하지않았음에도불구하고해당웹서버로부터악성코드가다운로드되는사건이발생했다. 본사례는공격자가동일한네크워크세그먼트내의다른서버를해킹한후 ARP 스푸핑을이용하여특정웹서버와관련된웹트래픽을가로채어악성코드를삽입한사례였다. 피해대상네트워크는대규모아파트단지에제공되는인터넷서비스였는데사고분석결과아파트인터넷사용자중윈도우보안패치를하지않은채로중국소재특정사이트에접속되어 ARP 스푸핑공격을하는악성코드에감염되었던것으로파악되었다. 24 2008 국가정보보호백서

제 3 장사이버침해위협과사례 제 1 편 해당악성코드를상세분석한결과이미 2005년도에보안패치가발표된마이크로소프트사의 MS05-025 취약점을비롯하여 2006년에보안패치가발표된 MS06-014 취약점, 2007년에보안패치가발표된 MS07-017, MS07-027 취약점을순차적으로공격하는것으로파악되었다. 즉해당악성코드는 [ 그림 1-3-3-4] 에서나타낸바와같이 2005년출현한보안취약점부터 2007년에출현한보안취약점까지순차적으로공격을시도하도록지능적으로구현되어있었다. 이로인하여해당아파트단지인터넷이용자상당수의 PC가해당악성코드에감염되었으며인터넷접속시장애가발생하였다. 본사례를통하여알수있듯이최근유포되는악성코드는윈도우운영체제의최신보안업데이트만설치되어있어도막을수있다. 따라서인터넷이용자는침해사고예방을위하여무엇보다도자신이사용하는컴퓨터운영체제를최신보안업데이트상태로유지하는것이필요하다고하겠다. 제 1 편총론 [ 그림 1-3-3-4] ARP 스푸핑악성코드가공격하는취약점 제3장사이버침해위협과사례 25

제 1 편 제 3 장사이버침해위협과사례 4. OO 기관내부망문서, 인터넷유출사고발생 제 1 편총론 OO기관은 [ 그림 1-3-3-5] 와같이인터넷 PC와업무용 PC를분리된네트워크로운영하고있었음에도해당기관의업무용 PC내자료가인터넷상에서검색되는사고가발생하였다. 이는네트워크로인한자료유출보다는 USB 등의휴대용저장장치에내부문서를보관하다가인터넷 PC에연결되면서해당자료가유출되었음을추정할수있었다. [ 그림 1-3-3-5] 업무망분리개념도 국가정보원에서본사례를상세분석한결과, 해당인터넷 P2P에접속된시스템이업무용 PC 자체로밝혀졌는데, 사용자는인터넷 PC가고장나자업무용 PC에인터넷랜선을연결하여임시로 P2P 프로그램을사용하던중 PC에저장되어있던다량의내부문서가유출된것으로확인되었다. 본사례와같이폐쇄된내부망의업무자료가인터넷에유출될수있다는것을통해, 정보보안은기술적보안조치이외에직원의보안교육등의관리적보안도중요하다는것을알수 26 2008 국가정보보호백서

제 3 장사이버침해위협과사례 제 1 편 있다. 유사사고재발방지를위해서는업무망을인터넷망과분리한기관일지라도아래의사항을유의해야한다. 업무용 PC 무단용도변경사용을방지토록직원교육강화 휴대용저장장치 (USB 등 ) 를이용한인터넷 PC 로의자료유출방지 업무망분리시업무용 PC 에서인터넷연결을차단할수있는보안기술등 제 1 편총론 5. OO 고등학교웹서버, Brute Force 공격을통한피싱사이트악용사고 국가정보원은 OO고등학교도서관홈페이지서버 ( 윈도우 ) 가개인정보획득을위한피싱사이트개설지로악용되고있다는신고를받고조사에착수하였다. 확인결과, 공격자는패스워드가단순하게설정된관리자권한을 Brute Force 공격을통해탈취한후, [ 그림 1-3-3-6] 과같이탈취한관리자권한으로접속하여 APM(Apache, PHP, MySQL) [ 그림 1-3-3-6] 해킹시나리오 제3장사이버침해위협과사례 27

제 1 편 제 3 장사이버침해위협과사례 제 1 편총론 을자동설치하는 EasyPHP를업로드하고 8080 포트를사용하는웹서버를구축하였다. 그리고피싱사이트를개설하고, 특히관리자가시스템의이상징후를쉽게알아차리지못하도록 TaskBar Hide 프로그램을이용하였다. 본사례는용이한관리를위한 SSH, Terminal Service 등의원격제어프로그램이공격자에의해악용될경우, 심각한해킹도구가될수있다는점을일깨워주는사고였다. 금번사고의원인인 Brute Force 공격방식은패스워드가취약하게설정된서버들을대상으로패스워드를무작위로대입하는형태의공격으로오래되고단순한공격이지만아직도많이사용되는공격방식중하나이다. 그러나다음에서소개하는간단한보안설정으로사고를충분히예방할수있다. 사용자계정및패스워드설정시주의사항 Brute Force 공격은추측가능한계정을대상으로패스워드를무작위로대입하기때문에패스워드보안관리지침에따라계정과패스워드를설정하는것이바람직하다. 방화벽을이용한접근제한방화벽에서관리자가원격접속포트들을차단하거나관리자가사용하는특정 IP에대해서만접근을허가하도록정책을설정하여 Brute force 공격및원격제어프로그램의직접접속을차단하도록한다. 원격접속프로그램의포트를변경하여사용알려진포트를사용하는것보다포트를변경해서사용하는것이특정포트를대상으로하는 Brute Force 공격을피할수있어보안상유리하다. 로그인인증실패횟수제한 Brute Force 공격은추측가능한계정을대상으로패스워드를대입하는식으로공격이이루어진다. 그렇기때문에일정횟수이상패스워드를잘못입력하면해당계정을잠금으로써 Brute Force 공격으로부터시스템을보호하는것이바람직하다. 28 2008 국가정보보호백서

제 3 장사이버침해위협과사례 제 1 편 6. OO 기관, 무료문자 (SMS) 발송기능악용사고 국내 OO기관등 3곳은해당사이트의문자메세지발송업체 로부터평소보다급격히많이문자가전송되고있다는연락을받았다. 해당기관은스팸문자몇십만건이무단발송된것으로확인하고국가정보원에신고하였다. 휴대폰문자발송비용은 20~30원정도의비용이소요되므로본사고는단순해킹피해를넘어선금전적인손해까지발생하는문제를가지고있었다. 피해기관은홈페이지회원에게무료문자발송기능을제공하는데, 해커는이를악용하여다수의계정을확보하고대량으로스팸문자를발송하는방법을사용하였다. 각기관별로해커가무료문자발송권한을확보하는방법은상이했는데그방법은다음과같다.([ 그림 1-3-3-7] 참조 ) 제 1 편총론 문자발송홈페이지서버를장악후, 기존가입자정보를확보하여문자를발송한경우 실명인증을하지않는외국인회원가입을이용, 대량의위장계정을생성하여문자를발송한경우 회원가입의중복확인이없는홈페이지에익명계정을대량생성후문자를발송한경우 [ 그림 1-3-3-7] OO 기관 2 곳스팸문자 (SMS) 대량발송경유지악용사고 제3장사이버침해위협과사례 29

제 1 편 제 3 장사이버침해위협과사례 제 1 편총론 문자발송홈페이지를해킹하여시스템의관리자권한을장악하는경우는회원 DB 해킹사고로볼수있으나, 가입시마일리지의개념으로몇십건의문자발송기능을주는홈페이지에대량의위장계정을생성하는사고는홈페이지오남용사고에해당되는사고로보다상세한원인파악이필요하였다. 해커는 SQL-Injection 해킹도구를이용하여고객계정아이디와패스워드정보를확보하였다. 해커는확보한계정을대량의스팸 SMS 문자를발송하는데악용하였다. OO기관은회원가입시 OO건의무료문자를보낼수있는마일리지를제공하고있었다. 해커는회원가입시주민번호를실명확인절차로만사용하고중복가입을방지하는기능을지원하지않았고, 별도의자동가입방지기술도적용되지않아단기간에대량의익명회원이가입되었다. 해커는수만명의위장회원계정을생성하고 OOO건의무료스팸문자를대량발송하였다. 홈페이지해킹을통해회원가입정보가노출되지않도록하기위해서는아래와같은홈페이지 8대취약점등기본적인홈페이지보안관리가필요하다. 디렉토리리스팅취약점 파일다운로드취약점 크로스사이트스크립트취약점 파일업로드취약점 웹DAV 취약점 테크노트취약점 제로보드취약점 SQL-Injcetion 취약점 비록, 홈페이지가해킹당하더라도회원 DB를암호화하여저장한다면회원의주민번호, 패스워드등의개인정보가추가적으로노출되는것을방지할수있다. 30 2008 국가정보보호백서

제 2 편 국가정보보호현황 제1장국가정보보호분야별추진체계제2장국가정보보호담당기관제3장국가정보보호활동제4장전자정부정보보호활동제5장정보통신기반시설보호활동제6장개인정보보호활동제7장국민생활정보보호활동

제 1 장국가정보보호분야별추진체계 제 2 편 제 1 장 국가정보보호분야별추진체계 본장에서는우리나라각분야의정보보호추진체계에대해알아본다. 제1절에서는범국가차원의정보보안체계를살펴보고, 제2절은주요정보통신기반시설보호체계, 마지막제3절에서는개인정보보호체계에대해소개한다. 제 2 편국가정보보호현황 제 1 절국가정보보안체계 1. 개요 우리나라의정보보안체계는 국가정보원법 및동법에근거한 정보및보안업무기획 조정규정 ( 대통령령제16211호 ) 에정보보안업무에관한기획 조정업무를국가정보원의임무로규정함에따라국가정보원이국가정보보안정책수립및행정기관의정보보안업무조정을수행하는국가정보보안업무총괄기관으로서의역할을수행하는한편 보안업무규정 에따라국가기밀보호업무를담당하고있다. 또한, 각행정기관은부처소관법률에따라산하 소속기관및지자체를아우르는해당업무영역에대한정보보안업무를수행하고있다. 한편, 중국발해킹사고등사이버공격으로인한국가안보위협가능성증가로국가적차원에서의사이버안전에대한일원화된관리체계의필요성이제기됨에따라정부는 국가사이버안전관리규정 ( 대통령훈령제141호 ) 을제정하여 국가사이버안전전략회의 및 국가사이버안전대책회의 를설치하고민 관 군대응체계를구축하는등국가사이버안전관리체계를확립하였다. 제1장국가정보보호분야별추진체계 33

제 2 편 제 1 장국가정보보호분야별추진체계 제 2 편국가정보보호현황 국가정보원은국가정보보안체계의총괄기관으로서국가정보보안정책및방책수립, 정보보안업무기본지침수립등의기획업무와정보수사기관및행정기관의정보보안업무를조정하는역할을수행한다. 또한국가차원의사이버안전업무, 국가기밀보호업무, 주요정보통신기반시설보호업무, 국가보안목표시설에대한보안측정, 국가 공공기관용보안시스템개발 보급및정보보호시스템의인증업무등을수행한다. 중앙행정기관및산하 소속기관, 지자체는 정보통신망이용촉진및정보보호에관한법률, 정보통신기반보호법, 전자정부법 등관련부처소관법률에따라 [ 그림 2-1-1-1] 과같이부처별업무영역에대한자체정보보안대책을수립하고시행한다. 또한중앙행정기관의장은산하 소속기관및지자체의정보보안업무를관리 감독하고필요한제반사항을지원한다. [ 그림 2-1-1-1] 국가정보보안체계 * 2008 년정부조직법개정에따른조직변화는부록 4. 2008 정부조직법개정주요내용 참조 34 2008 국가정보보호백서

제 1 장국가정보보호분야별추진체계 제 2 편 2. 국가사이버안전체계 한편, 정부는사이버안전분야의중요성이높아짐에따라 국가사이버안전관리규정 을제정하여국가정보원이국가사이버안전과관련된정책및관리를총괄 조정하도록하는등범국가적사이버안전관리체계를확립하였다. 이에국가사이버안전에관한중요사항을심의하기위한 국가사이버안전전략회의 를지원하는 국가사이버안전대책회의 를설치하는한편정보통신부, 국가정보원, 국방부가민 관 군영역에대한사이버안전업무를담당하도록하였다. 국가정보원은국가사이버안전센터를설치하여국가차원에서사이버공격에대한종합적이고체계적인대응을수행하고, 국방부는산하국방정보전대응센터를통해국방분야의사이버안전업무를수행하며정보통신부는산하한국정보보호진흥원에설치된인터넷침해사고대응지원센터를통해민간분야의사이버안전업무를수행한다. 제 2 편국가정보보호현황 [ 그림 2-1-1-2] 국가사이버안전관리체계도 * 출처 : 국가사이버안전센터 제1장국가정보보호분야별추진체계 35

제 2 편 제 1 장국가정보보호분야별추진체계 제 2 절주요정보통신기반시설보호체계 1. 개요 제 2 편국가정보보호현황 정보화가진전되면서국방, 통신, 금융등주요사회기반의정보통신시스템에대한의존도가심화되고전세계가인터넷으로연결됨에따라해킹, 컴퓨터바이러스유포등사이버침해행위가국가기반에대한새로운위협요소로대두되었다. 이에대응하기위해국가차원의대책수립이필요하게되었고, 정부는주요정보통신기반시설의보호를위하여 2001년 정보통신기반보호법 을제정하여국가사회적으로중요한정보통신기반시설을중점관리대상으로지정하고지정된기반시설의관리기관으로하여금취약점분석 평가를수행하여이를토대로효과적인정보보호대책을수립하여이행하도록하였다. 해킹, 바이러스등악성프로그램유포로비롯한전자적침해행위의수법이급속히발전하고그피해가급증됨에따라정부는 2007년 12월 정보통신기반보호법 을일부개정하여주요정보통신기반시설의보호대책을강화하고운영및관리의효율성을높일수있도록하였다. 2. 추진체계 사이버침해행위는컴퓨터와정보통신망을이용하여타인의생명과재산및국가안보를위협하는침해행위로써네트워크연결로인한상호의존적인구조를특성으로하고있다. 따라서사이버침해행위에대해효과적인대응체계를마련하기위해서각부처와기관의대응업무가상호협력 보완될수있도록하여야한다. 이에따라, 개정된 정보통신기반보호법 에서는주요정보통신기반시설의안정적인관리 운영을위해관계부처간침해사고예방및대응업무가상호협력및보완될수있도록하고정보통신기반보호위원회의실무위주운영을위하여위원장을국무총리에서국무조정실장으로변경하여관계부처의정보통신기반보호정책수립과시행을총괄 조정하도록하고있다. 주요정보통신기반시설보호를위한추진체계를보다자세히살펴보면다음과같다. 주요정보통신기반시설에대한보호계획을국가차원에서효율적으로조정하기위해국무조정실장을위원장으로하고관계부처의차관급공무원을위원으로하는정보통신기반보호 36 2008 국가정보보호백서

제 1 장국가정보보호분야별추진체계 제 2 편 위원회를구성하여, 범정부적차원에서주요정보통신기반시설지정및보호계획을심의 결정하도록하였다. 동위원회는주요정보통신기반시설의지정및취소, 주요정보통신기반시설보호계획의조정, 주요정보통신기반시설보호와관련된제도의개선과주요정책사항및보호계획의추진실적등을심의하는기능을수행한다. 정보통신기반보호위원회의효율적인운영을위하여정보통신기반보호실무위원회가설치되었으며개정법에서는공공분야와민간분야를분리 운영토록하였다. 정보통신기반보호실무위원회는정보통신기반보호위원회에제출된안건과정보통신기반보호위원회로부터위임되거나, 정보통신기반보호위원회의위원장으로부터지시받은사항을검토 심의하여정보통신기반보호위원회의효율적인운영을돕는다. 제 2 편국가정보보호현황 [ 그림 2-1-2-1] 주요정보통신기반시설보호체계 침해사고대책본부는주요정보통신기반시설에대한중대한침해사고가광범위하게발생한경우에응급대책, 기술지원및피해복구등을수행하기위하여한시적으로운영된다. 중앙행정부처는주요정보통신기반시설을지정하고, 관리기관이제출한보호대책을검토한후, 보호계획을수립 시행하도록하고있다. 주요정보통신기반시설에대한일차적인보호책임이있는관리기관은침해사고예방및대응을위하여소관시설에대한취약점분석 평가를수행하고 제1장국가정보보호분야별추진체계 37

제 2 편 제 1 장국가정보보호분야별추진체계 보호대책을마련하는등의업무를수행한다. 사고발생시관계중앙행정부처, 수사기관등에사고내용을통지하고시설을복구하는등의의무가있다. 주요정보통신기반시설의보호를위한지원기관인국가정보원, 정보통신부, 기무사는주요정보통신기반시설보호대책의수립및침해사고예방 복구등에대한기술적지원을수행하고검찰청과경찰청은범죄수사업무를지원한다. 제 2 편국가정보보호현황 38 2008 국가정보보호백서

제 1 장국가정보보호분야별추진체계 제 2 편 제 3 절개인정보보호체계 1. 개요 우리나라의개인정보보호체계는공공부문과민간부문으로나뉘어그법적근거및추진체계를달리하고있다. 공공부문의경우는 공공기관의개인정보보호에관한법률 에의거하여공공기관이보유하고있는개인정보가관리되며, 민간부문의경우는 정보통신망이용촉진및정보보호등에관한법률 에근거하여개인정보에대한보호가이루어진다. 특히민간부문에서개인정보관련분쟁이발생할경우이를신속하게해결하기위하여개인정보분쟁조정위원회가설치 운영되고있다. 한편공공부문과민간부문에포괄적으로적용되며, 독립위원회형태의개인정보보호감독기구설치를주요내용으로하는개인정보보호법제정은지속적으로추진되어왔지만성과를거두지못하고있다. 제 2 편국가정보보호현황 2. 추진체계 가. 공공부문개인정보보호체계 공공기관에서수집 처리되는개인정보보호를위해 공공기관의개인정보에관한법률 에서는공공부문의개인정보보호체계를규정하고있다. 국무총리소속하에설치된공공기관개인정보보호심의위원회는개인정보보호에관한정책및제도개선, 처리정보 1) 의이용및제공에대한공공기관간의의견조정등공공기관의개인정보보호에관한전반적인사항을심의한다. 행정자치부는개인정보보호에관한의견제시및권고, 개인정보처리에관한자료제출요구및필요시개인정보처리에관한실태조사등을수행한다. 또한, 개인정보파일보유와관련하여공공기관과사전협의한내용을공고하고인터넷상에서의개인정보보호를위해관련법령정비, 계획수립, 시설및시스템구축등제반조치를취한다. 1) 개인정보파일에기록되어있는개인정보 제1장국가정보보호분야별추진체계 39

제 2 편 제 1 장국가정보보호분야별추진체계 제 2 편국가정보보호현황 [ 그림 2-1-3-1] 공공부문의개인정보보호체계 * 2008 년정부조직법개정에따른조직변화는부록 4 2008 정부조직법개정주요내용 참조 공공기관은관계중앙행정기관을통해행정자치부와사전협의한후개인정보파일을보유할수있으며개인정보를보유할경우개인정보보호방침을수립 공고하고개인정보파일의보유목적외의목적으로처리정보가이용되거나제공되지않도록제한하는한편정보통신망을통해개인정보를송 수신할경우안전성확보에필요한조치를취해야한다. 정보주체 2) 는처리정보에대한열람, 정정및삭제를청구할수있으며, 개인정보에관한권리또는이익의침해를받은자는행정자치부에침해사실을신고할수있다. 공공기관은침해사실에대한처리결과를행정자치부를통해신고인에게통지해야한다. 2) 처리정보에의하여식별되는자로서당해정보의주체가되는자 40 2008 국가정보보호백서

제 1 장국가정보보호분야별추진체계 제 2 편 나. 민간부문개인정보보호체계 민간부문의개인정보보호에관한일반법으로는 정보통신망이용촉진및정보보호등에관한법률 이있고 신용정보의이용및보호에관한법률, 통신비밀보호법, 정보통신기반보호법, 금융실명거래및비밀보장에관한법률 등에도개인정보보호에관한규정이있다. 민간부문의개인정보보호는정보통신부에서종합적으로수행하고있으나신용정보보호등은재정경제부에서담당하고있다. 정보통신부산하의한국정보보호진흥원에는개인정보침해신고센터가설치되어개인정보고충처리및피해상담등을실시하고있고개인정보보호에관한피해보상등분쟁조정업무를수행하기위해개인정보분쟁조정위원회를설치 운영하고있다. 위원회는위원장 1인을포함한 15인이내로구성되고분쟁조정신청을받은경우신청일로부터 60일이내에조정안을작성해야한다. 정보통신서비스제공자는수집한개인정보를이용자로부터동의받은목적과다른목적으로이용할수없으며이용자의개인정보를보호하고개인정보와관련한이용자의고충을처리하기위해개인정보관리책임자를지정하고개인정보취급방침을정하여공개해야한다. 이용자는정보통신서비스제공자등에대하여언제든지개인정보수집 이용 제공등의동의를철회할수있고본인에관한개인정보, 제3자제공내역및동의내역에대한열람또는제공을요구할수있으며오류가있는경우정정을요구할수있다. 제 2 편국가정보보호현황 [ 그림 2-1-3-2] 민간부문개인정보보호체계 제1장국가정보보호분야별추진체계 41

제 2 편 제 2 장국가정보보호담당기관 제 2 장 국가정보보호담당기관 제 2 편국가정보보호현황 본장에서는각분야별정보보호주요담당기관인국가정보원, 국방부, 정보통신부, 검찰청및경찰청의일반현황, 주요활동및임무에대해서알아보고주요담당기관산하의정보보호센터인국가사이버안전센터, 인터넷침해사고대응지원센터, 국방정보전대응센터및사이버범죄수사기구인대검찰청인터넷범죄수사센터, 경찰청사이버테러대응센터와정보보호연구및진흥기관의일반현황과주요활동현황에대해서도알아본다. 제 1 절국가정보원 국가정보원은 국가정보원법, 보안업무규정 등관련법령에의해국가정보보안업무의기획 조정및보안정책수립 시행등국가 공공기관에대한정보보안업무를총괄해오고있다. 2005년 1월제정된 국가사이버안전관리규정 에국가사이버안전과관련된정책및관리에대해서국가정보원장이관계중앙행정기관의장과협의하여이를총괄 조정하도록규정함으로써국가정보보안업무를책임 수행하는총괄기관으로서의위상이더욱강화되었다. 국가정보원은 1998년부터국가정보보안관리반편성과정보보안119 사이트개설등국가 공공기관을대상으로정보시스템의보안대책지원, 해킹 컴퓨터바이러스유포등사이버공격에대한예방 복구, 국가보안목표시설에대한보안측정, 국가안보와관련된정보통신기반시설보호업무, 국가 공공기관용암호장비등보안시스템개발 보급, 정보보호시스템의인증업무등을수행해왔다. 사이버공격이날로심각해짐에따라사이버공격에대한국가차원의종합적 체계적대응을위해 2004년 2월국가사이버안전센터를설치하여 1) 국가사이버안전정책의수립, 2) 국가사이버안전전략회의및대책회의의운영에대한지원, 3) 사이버위협관련정보의종합수집 분석 전파, 4) 국가정보통신망의안전성확인, 5) 국가사이버안전매뉴얼의작성 배포, 6) 사이버공격으로인하여발생한사고의조사및복구지원, 7) 외국과의사이버위협관련 42 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 정보공유업무를중점적으로추진하고있다. 뿐만아니라국가정보원은국가 공공기관의정보통신망에대해직접안전성을확인하고사이버위협경보발령은물론사이버공격징후발견시정보수집및대응복구의총괄권한을갖고있다. 또한국가 공공기관및산 학 연등이자율적으로참여, 상호협력함으로써국가정보보안역량을제고하기위하여 2002년 10월부터국방부 경찰청등정부부처와공기업, 산 학 연전문가가참여하는 국가정보보안연합회 를운영해오고있다. 국가정보원은우리나라의국제상호인정협정 (CCRA : Common Criteria Recognition Arrangement) 가입을기반으로우리나라정보보호제품및시스템의평가 인증체계를 CCRA에맞도록수정하여운영하고있다. 이에일반정보보호제품및시스템은국제공통평가기준 (CC : Common Criteria) 에기반하여국가정보원이인증하고있고, CC에의해평가및인증받은제품이라할지라도국가및공공기관에서사용하기위해서는관련시스템의안전성과적합성을검증하는보안적합성검증제도를거쳐야한다. 이외에도 디지털복사기보안관리요령 등을배포하여나날이발전하는기술을안전하고효율적으로사용할수있는제도적기반을구축하고있다. 제 2 편국가정보보호현황 1. 국가사이버안전센터 가. 일반현황 국가사이버안전센터 (NCSC : National Cyber Security Center) 는참여정부가주요정책의일환으로사이버공격을포괄적인국가위기관리대상에반영함에따라 2004년 2월 20일공식출범하였다. 국가사이버안전센터는정보통신망에대한 24시간사이버위협정보를수집 분석 전파하는국가종합상황실을운영함은물론, 각종사이버공격에대한예방 대응활동과피해확산을방지함으로써국가주요전산망에대한안전성을확보하는성과를이루었다고평가받고있다. 나. 주요업무 (1) 국가사이버안전정책총괄국가사이버안전센터는사이버공격에대한국가차원의종합적이고체계적인대응을위하여국가사이버안전정책을수립 시행하고관련제도를발굴개선하는등국가전반의사이버 제2장국가정보보호담당기관 43

제 2 편 제 2 장국가정보보호담당기관 제 2 편국가정보보호현황 안전정책을총괄조정하고있다. 2004년 3월에는 사이버안전분야위기관리표준매뉴얼 을근거로국가사이버안전매뉴얼을제정하여평시의안전기준및위협별대응조치등을체계화하였다. 2005년 10월에는매뉴얼을개정하여각급기관이자체정보통신망에대한보안관리와사이버위협에보다효율적으로대처할수있도록하였다. 한편 2005년 1월에는국가안보를위협하는사이버공격으로부터국가정보통신망을효율적으로보호하기위한목적으로국가사이버안전에관한조직체계및운영에대한사항을규정한 국가사이버안전관리규정 ( 대통령훈령제141호 ) 을제정하였다. (2) 사이버안전예방활동국가사이버안전센터는각급기관의정보통신망신 증설등정보화사업추진시보안성검토를실시하여사전에안전성을확인하고있고정보보안관리수준을평가하여업무중요도에따라차별화된보안대책을수립 제공한다. 또한각급기관내 외부정보통신망에대한보안측정을수시로실시하여보안성검토에따른조치사항이행여부를확인하는한편취약점을사전에발견 제거하고있다. 이외에도범국가차원의사이버공격대응능력을배양하기위해민 관 군통합사이버전모의훈련을매년실시하고있으며국가및공공기관의정보통신망에서사용하고자하는정보보호제품의안전성검증을위해보안적합성검증제도를운영하고있다. (3) 사이버위협정보수집 분석 전파국가사이버안전센터는국가주요전산망의침해사고, 트래픽정보, 성능정보를수집 분석하는종합분석처리시스템을운영하여 365일 24시간국가주요전산망에대한사이버위협과공격을감시하고, 위협징후를탐지할경우초동조치를취하여피해확산을사전에방지하는등사이버안전활동에주력하고있다. 그리고사이버공격에대한체계적인대응및대비를위하여 [ 그림 2-2-1-1] 과같이사이버공격의위험도, 피해규모등을고려하여국가사이버위협경보체계를관심 (Blue), 주의 (Yellow), 경계 (Orange), 심각 (Red) 등 4단계로설정하고각단계별로대응하고있다. 또한국가사이버안전센터는각종보안권고문과웜 바이러스분석정보, 보안뉴스, 침해사고사례및보안기술자료등사이버안전관련정보를민 관 군에전파하여보안대책을강구토록지원하고있으며신종웜 바이러스등사이버위협에효율적으로대처하기위한사이버안전관련기술을개발하고있다. 44 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 심각 심각경계주의관심정상 경보단계 - 심각 국가적차원에서네트워크및정보시스템사용불가능 침해사고가전국적으로발생했거나피해범위가대규모인사고발생 국가적차원에서공동대처필요 경보단계 경계주의 심각경계주의관심정상심각경계주의관심정상 경보단계 - 경계 특수정보통신서비스제공자 (ISP) 망 기간망의장애또는마비 침해사고가다수기관에서발생했거나대규모피해로발전될가능성증가 다수기관의공조대응필요 경보단계-주의 일부네트워크및정보시스템장애 침해사고가일부기관에서발생했거나다수기관으로확산될가능성증가 국가정보시스템전반에보안태세강화필요 제 2 편국가정보보호현황 관심 심각경계주의관심정상 경보단계 - 관심 웜 바이러스, 해킹기법등에의한피해발생가능성증가 해외사이버공격피해가확산되어국내유입우려 사이버위협징후탐지활동강화필요 정상단계 정상 심각경계주의관심정상 정상 전분야정상적인활동 위험도낮은웜 바이러스발생 위험도낮은해킹기법 보안취약점발표 [ 그림 2-2-1-1] 사이버위협단계별발령경보 (4) 침해사고발생시긴급대응 조사및복구지원사이버공격으로인한침해사고발생시국가사이버안전센터는사고원인조사와함께신속한복구를지원함으로써피해확산을방지하고, 시스템안정화를위한안전진단등을통해유사사고의재발을방지하고있다. 사이버공격으로인한피해가심각한경우에는관계중앙행정기관과협의하여범정부합동조사및복구지원팀을구성 운영한다. (5) 국내 외사이버안전전담기구와정보협력및공유체계운영국가사이버안전센터는사이버안전업무를전담하는전문기구를운영하는기관과사이버안전업무를효율적으로수행하기위하여상호긴밀히협력하도록하는조정자역할을수행하며, 사이버위협정보의공유및분석등사이버안전을위한국내 외협력체계를구축 운영한다. 국내 외사이버위협정보공유및공조대응을위해사이버안전전문기구협의체를 제2장국가정보보호담당기관 45

제 2 편 제 2 장국가정보보호담당기관 운영하고있고미국, 일본, 유럽각국과협력체계를구축하여해외전문가초청행사등을개최하고있다. 한편, 사이버안전업무의원활한수행을위해재정경제부, 국방부 ( 기무사 ), 행정자치부, 정보통신부, 법무부 ( 대검찰청 ) 및경찰청등 6개정부부처, 국가보안기술연구소, 한국정보보호진흥원과긴밀한공조체제를유지하고있다. 제 2 편국가정보보호현황 다. 주요활동 (1) 24시간보안관제및긴급대응국가사이버안전센터는국가정보통신망에대한 24시간보안관제를실시하여사이버위협을조기탐지하고이를차단하는조치를취하고있다. 2007년도에는웜 바이러스분석정보, 보안권고문등을각급기관에지원하여피해확산을조기에차단토록하였다. 또한 2007년한해동안 7,588건의국가 공공분야에서발생한사이버침해사고에대해현지출장또는원격조사를통해원인규명및복구지원활동을수행하였다. 사고조사가필요한경우에는국가사이버안전센터전문요원이현장에출동하여원인을분석하고유사사고의재발방지에필요한제반보안대책을지원하였다. (2) 사이버위협관련정보자료발간국가사이버안전센터는해킹, 웜 바이러스등국내사이버침해사고에대한현황과사례를종합 분석한 사이버침해사고사례분석집 을발간하여관련기관및업체에배포하고있다. 동사례분석집은한해동안발생한침해사고를공격유형별로정리하고원인분석및대응방안을제시하고있다. 또한최근사이버침해사고에대한추이분석을통해향후발생가능한사고유형을예측하고이에대한예방책을제시하고있으며, 주요공격수법의심층분석및보안담당자의시스템별점검표등의내용을수록하고있다. 또한매달 Monthly 사이버시큐리티 를발간하여국가전반에대한사이버위협관련분석자료를제공하고있는데, 동책자는매월사이버위협동향및사이버위협대응활동과최근유행하는웜 바이러스및보안취약점등을분석하고있다. 또한 Monthly 사이버시큐리티 에게재된자료중중요자료일부를발췌, 영문으로번역한 NCSC Monthly 를발간하여해외 10여개국가보안업무수행기관에배포해오고있다. (3) 국가침해사고대응전문기관협의회운영국가사이버안전센터는정보공유및공동대응등범국가적인사이버위협대응체계를 46 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 구축하기위해 2005년 12월행정자치부, 정보통신부등 9개기관으로구성된국가침해사고대응전문기관협의회 (Korea National CERT Council) 를발족하였다. 협의회는 1) 사이버안전분야정보공유체계의구축 운영, 2) 사이버위협관련정보의탐지 분석 전파지원, 3) 사이버침해사고발생시신속한연락체계구축및공동대처, 4) 사이버위해요소분석및공격차단등사전대응방안마련, 5) 국내 외사이버안전분야업무협력및홍보등을주요임무로한다. (4) 사이버안전의날행사개최국가사이버안전센터는국방부, 행정자치부, 정보통신부등중앙행정기관과협조하여 사이버안전의날 행사를매년개최하고있다. 2007년행사에는국가정보원장을비롯해유관기관주요정부인사및산 학 연 관사이버안전관계자 700여명이참석하였다. 국가정보원과국방부, 정보통신부는민 관 군사이버안전분야주요성과및발전방향을제시하였고사이버테러체험관에서는인터넷뱅킹에대한해킹등사이버테러시연을통해일반인대상으로사이버위협의경각심을고취하였다. 특히 2007년행사는부산 대구등 11개지역에서동시개최되어전국민대상으로사이버안전의식을제고하였다. 제 2 편국가정보보호현황 (5) 지방자치단체정보화담당관대상사이버안전설명회개최국가사이버안전센터는 2007년 9월경기 충청남북도등 8개광역지방자치단체정보화담당관 200여명을초청, 사이버안전설명회를개최하였다. 최신사이버위협동향발표등을통해정보보안의중요성이날로증대되고있음을설명하고각기관정보화담당관들의역할이무엇보다중요하다는사실을강조하였다. (6) 전국민대상사이버위협정보신고포상제시행 2007년 4월부터사이버공간상의해킹행위또는해킹에악용될수있는보안취약점, 인터넷에노출된국가 산업기밀자료등사이버위협정보를제공한사람에게최고 500만원까지포상금을지급하는신고포상제를실시하였다. 시행첫해인 2007년 532건의신고를접수하고유가치한것으로확인된 30건에대해총 600여만원의포상금을지급하여정보보호에대한대국민의식제고에기여한것으로평가되었다. 신고방법으로는국가사이버안전센터홈페이지 (www.ncsc.go.kr) 또는국가정보원신고전화 ( 국번없이 111) 를이용할수있으며, 주요신고대상은다음과같다. 제2장국가정보보호담당기관 47

제 2 편 제 2 장국가정보보호담당기관 전산망또는정보시스템에서비스방해, 자료변조 절취등해킹발생또는시도관련정보 정보시스템 ` 또는소프트웨어에존재하는보안취약점정보 인터넷에노출된국가 공공기관의비공개업무자료, 기업의첨단산업기술자료, 개인정보등 제 2 편국가정보보호현황 (7) USB메모리감염바이러스실행차단프로그램배포 2007년에는 USB메모리등이동형저장장치에상주하면서전파및자료유출등악성행위를수행하는바이러스가만연하였다. 이러한바이러스가이동형저장장치에서자동으로실행되는것을차단하기위한프로그램인 USB Guard 를제작하여 12월 12일국가 공공기관및민간에보안권고문과함께배포하였다. (8) 바이럿 (Virut) 바이러스감염피해긴급대응및복구지원 2007년 9월 14일해커가 28개국가 공공기관을대상으로 바이럿 (Virut) 바이러스를유포, ( 미 ) 금융업체 Gold & Silver ( 사 ) 홈페이지 (e-gold.com) 를대상으로서비스거부공격을감행하는것을국가정보원이탐지하고감염된 PC를인터넷에서분리토록하는등긴급조치후대응요령이포함된보안권고문을긴급배포하는한편전산망장애가발생한기관에대해서는현장에출동하여바이러스제거를비롯한사고복구작업을수행하였다. (9) 신종보안취약점색출및보완조치국산워드프로세서 글 에서해킹에악용될수있는보안취약점 4종과 MS Access 등 MS 오피스에서 5종의신규보안취약점을찾아제작업체에통보하여보완토록조치하였다. 또한, 중요정부기관의전자정부사이트를이용하는민원인 PC가해킹당할수있는보안취약점 60종을발견, 보완조치를완료하였다. (10) 사이버침해사고대응가이드배포국가사이버안전센터는경미한사이버침해사고의경우피해기관에통보하여사고조사를요청하고있다. 그러나, 기관별사고조사절차가상이하고사고원인분석과재발방지대책수립의기술의수준에차이가있어일부기관에서동일유형의사고재발등문제점이다수노출되고있는실정이었다. 이에따라국가사이버안전센터는해킹에많이악용되고있는사이버침해사고의유형을 5개로분류, 유형별사고처리대응절차를따라하기쉽게작성한가이드를각급기관에배포하여기관자체적으로철저한사고처리가가능토록지원하였다. 48 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 제 2 절국방부 국방부에서는해킹 바이러스기술이고도화되면서사이버테러및범죄등의침해행위가개인의차원을넘어국가적인형태로급진전되고있어미래사이버위협에능동적으로대응하기위해정보화관련조직, 제도및절차를정비하여안정적인정보체계운영환경을조성하는한편, 국방사이버위기관리체계를수립하여미래정보전및 NCW에대비하고국방분야에부합하는정보전교리발전과효과적으로수행할수있는인력확보, 조직정비등을추진하고있다. 이와관련, 국군기무사령부는국방정보화환경변화및정보화추세에부합되는정보보호정책및제도개선을추진하며보안업무규정 ( 제43조 ) 및 정보통신기반보호법 에의거하여군을대상으로군사기밀에대한보안업무를수행하고있다. 또한, 보안사고를예방하여최상의전투력유지를지원하고, 국방정보통신시설에대한보호대책수립, 국방사이버침해사고조사및예방, 복구등의기술지원업무를수행하고있다. 특히, 미래정보전및사이버전대비정보화강군건설과군의주요정보체계에대한안정적인보호지원을위해 2003년 11월군기무사령부에 국방정보전대응센터 를설립하였다. 국방정보전대응센터는 2004년군인터넷홈페이지관제체계, 국방통합바이러스방역체계구축등을마친데이어, 디지털증거확보를위한디지털증거분석포렌식장비를도입하고각종군관련네트워크에대한통합관제체계구축을추진하고있다. 아울러, 2007년 1월국방분야정보보호전문인력을양성하기위해국군기무학교에국방정보보호교육센터를개소하여전군정보보호실무자및 CERT 요원들을대상으로정보보호전문화교육을실시하고있다. 제 2 편국가정보보호현황 1. 국방정보전대응센터 가. 개요 국군기무사령부는국방주요정보체계에대한보호지원을목적으로 2003년 11월 국방정보전대응센터 를구축 운영중에있다. 1998년 7월창설된대정보전팀을기반으로시작하여확장된국방정보전대응센터는미래군정보전에대비하여전문성과첨단기술을바탕으로국군기무사령부고유의정보보호업무를수행하고있다. 제2장국가정보보호담당기관 49

제 2 편 제 2 장국가정보보호담당기관 나. 주요업무 제 2 편국가정보보호현황 국방정보전대응센터의주요업무는국방주요정보체계취약성진단 탐지 분석임무와국방전산망에대한침해사고예방및사고조사ㆍ수사임무등이포함된다. 정보전대응분야에서는국방정보화환경변화에따른정보보호정책과제도개선및국방전산망과인터넷침해사고조사활동, 원격ㆍ현장피해복구지원, 국내 외정보전관련정보분석등의임무를수행하고있다. 사이버전에대비범국가사이버모의훈련및합참주관정보작전방호태세 (INFOCON) 훈련에동참하여사이버전대응훈련을실시하고있으며, 보안점검용소프트웨어를자체제작하여중앙보안감사시원격전산보안진단업무에활용하고있다. 특히, 정보통신기반보호법 및국방정보통신기반보호규정에의거군내주요정보통신시설에대한취약성분석 평가실시등보안측정 원격진단과국방정보통신보안컨설팅등의임무를수행하고있다. 사이버상황분야는국방전산망및인터넷에대한 24시간침해정보탐지 분석, 각급부대 CERT에대한조정통제는물론, 침해사고예방등의임무를수행하고있고 2004년 1월부터는국가사이버안전센터와연동하여군인터넷홈페이지를대상으로보안관제임무를지원하고있다. 다. 주요활동 (1) 사이버침해사고수사체계운영사이버침해사고수사체계는 2002년구축이후국방부및각군 CERT와연동하여운영중에있으며매년지속적으로성능을보강하고있다. 각군에설치되어있는침입탐지시스템과침입차단시스템및침입방지시스템에서정보를수집하여통합보안관제를실시하면서전군 IP 주소와사용자를 DB화하여실시간확인이가능하게되었고, 해킹및바이러스에의한사고를조기에탐지 차단하고있다. 관제지원, 실시간확인외에원격삭제 복구, 주요정보체계에대한무결성검사및취약성진단시스템은물론침해사고발생시디지털증거수집 복구 분석시스템도갖추고있다. (2) 인터넷관제체계운영 2004년 2월국가사이버안전센터개소와병행하여구축된인터넷관제체계는국방부등군인터넷홈페이지를대상으로침해사고예방을위한관제 분석임무를수행하면서동시에 50 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 국가사이버안전센터에동일한정보를제공하여종합 분석토록지원하는등강화된관제임무를수행하고있다. (3) 사이버수사체계탐지정보분석시스템수집된대량의데이터를효율적으로분석하기위해국방정보전대응센터가자체기술력으로개발을추진하여 2004년부터국방특성에부합되는분석시스템을운영중에있다. 분석시스템은전문요원에의하여해킹시도를탐지하여근원지 IP를확인하거나해킹으로추정되는특정행위에대하여실시간분석하는기능을제공한다. (4) 국방분야침해사고발생시긴급대응 조사및복구지원국방정보전대응센터는각종사이버위협및침해사고에대한보안권고문과웜 바이러스정보, 정보보호소식, 침해사고사례및정보보호자료등국방사이버안전관련정보를각군및예하부대에실시간전파하여보안대책을강구토록지원하고있다. 또한침해사고발생시기무부대전문요원이사고원인조사와함께신속한복구를지원함으로써피해확산을방지하고, 시스템안정화를위한안전진단등을통해유사사고의재발을방지하고있다. 제 2 편국가정보보호현황 (5) 민군공동 국방정보보호학술행사 개최기무사는 2003년부터매년국방정보보호컨퍼런스를공동개최, 민 관 군 산 학 연간협력의장을만들어교류를활성화시키고미래사이버위협에능동적으로대응하고급변하는정보화환경에부합하는국방사이버위기관리체계를성공적으로수립추진토록국방정보보호중요성에대한인식과공감대를넓혀나가고있다. 또한국방정보전대응센터 (www.dsc.mil.kr) 에서는 2007년 11월강원도속초에서 국방정보보호발전공동워크숍 을개최하였다. 미래정보전대비를위한국방정보보호발전정책과제도출을목적으로개최된워크숍에서는전문연구원 15명과국방부 한국정보보호산업협회 기무사정보보호관계자 20명등총 42명이참가하여안보현장견학을통한안보관고취에이어 정보통신기반시설정보보호지원방안, 정보보호관리체계인증제도소개 등에대한주제발표와 정보보호기술협력및정보보호시스템군적용방안 등에대한토의를진행되었다. (6) 한 미 CERT 기술교류워크숍및정보수사기관간담회개최국방정보전대응센터에서는 2003년부터한 미정보보호 ( 보증 ) 및침해사고대응을위한기술교류워크샵을전반기에는주한미군주관으로하반기에는한국군국방정보전대응센터 제2장국가정보보호담당기관 51

제 2 편 제 2 장국가정보보호담당기관 주관으로매년개최하고있다. 2007년에는공군회관및미8군 South-Post에서 300여명이참석한가운데 한 미정보작전방호태세발전방향 등연합작전효율성제고를위한워크샵을개최하였고, 분기별정보수사기관간해킹및바이러스사고발생에따른디지털증거분석활용방안등공조체계를지속강화하고있다. 제 2 편국가정보보호현황 (7) 국방분야정보보호전문인력양성국군기무사령부에서는 2007년 1월국방분야정보보호전문인력을양성하기위해국군기무학교에 국방정보보호교육센터 를개소하고전군정보보호실무자및 CERT 요원들을대상으로정보보호전문화교육을실시하고있다. 국방정보보호교육센터에서는국방부정보화기획관실및국방정보전대응센터를통해국내정보보호업무를지원하면서축적한노하우를바탕으로대정보전, 네트워크보안, 주전산기보안, 응용체계보안, PC보안등정보보호전분야에대한전문지식과해킹대응교육을국방실무에서곧바로적용가능하도록맞춤형으로실시하고있다. 국방정보보호교육센터의교육장은군에서사용하는모든운영체제와주전산기등최신장비와시스템은물론, 최신해킹대응실습이가능한온라인홈페이지를구축하여전군최초로국내최고수준의정보보호전문교육장으로평가받고있다. 동교육센터에서는정보보호정규과정으로초 중 고급수준별전문화교육을실시하고있는데, 2007년한해 3개과정을교육하였고, 2008년에는교육과정및대상을대폭확대하여단기과정및관리과정을포함, 총 11개과정을교육할예정이다. (8) 군최초해킹방어대회개최국군기무사령부에서는 2007년 5월군내정보보호우수인재를양성하고, 국방정보체계에대한사이버침해대응역량을강화하는한편, 국방정보보호에대한관심을제고하기위해 2007 국방정보보호컨퍼런스 행사의일환으로국군기무학교내국방정보보호교육센터에서국방부및각군에서엄격한선발과정과준비를거친최고수준의컴퓨터전문가 4명으로팀을구성한국방부 수호신, 육군 강한 CERT 사이버육군, 해군 해신, 공군 보라매 등총 4개팀이참가한해킹방어대회를개최하였다. 기무사에서는앞으로해킹방어대회가숨어있는우수한정보보호인재들을발굴하고최신해킹방어기술을실제로시험해볼수있는군내최고의정보보호대회로발전할것으로기대하고있다. 52 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 (9) 기타지원국방정보전대응센터에서는 [ 그림 2-2-2-1] 과같은정보보호전용홈페이지를개설하여정보보호신기술 동향전파및정보보호관련정보제공등각급부대의정보보호업무를지원하고있다. 또한, 정보보호전문인력확보를위해우수자원특별채용및정보보호관련전문자격증획득등전문성향상은물론정보보호담당관들의대외위탁교육을실시함으로써각분야별전문가양성에노력하고있다. 제 2 편국가정보보호현황 [ 그림 2-2-2-1] 국방정보전대응센터홈페이지 제2장국가정보보호담당기관 53

제 2 편 제 2 장국가정보보호담당기관 제 3 절정보통신부 제 2 편국가정보보호현황 정보통신부는지식정보사회를더욱안정적으로발전시키고, 글로벌사이버위협에신속하게대응하여전국민이안전한사이버환경에서생활할수있도록민간부문의정보보호관련업무를담당하고있다. 정보통신부는사이버침해사고예방및대응을위한법제도정비, 주요정보통신기반시설보호제도를운영한다. 또한전자상거래활성화를위한정보보호기반구축, 정보보호안전진단제도운영, 정보보호컨설팅전문업체지정, 개인정보보호정책, 스팸예방및대응업무를총괄하고있으며정보화역기능방지를위한기술개발및산업육성, 정보보호인식제고를위한정보보호문화운동등의업무를수행하고있다. 정보통신부의업무는 정보통신망이용촉진및정보보호등에관한법률, 정보통신기반보호법, 전자서명법 등의정보보호관련법률에근거를두고있다. 특히, 해킹 바이러스유포등사이버침해사고에능동적으로대처하기위해 정보통신망이용촉진및정보보호등에관한법률 에의거정보통신서비스제공자 (ISP : Internet Service Provider), IDC(Internet Data Center), 백신업체등정보통신관련사업자로부터침해사고관련정보와신고를받고있고민간부문에대한침해사고예 경보조치를하고있다. 아울러정보통신부는정보보호업무의효율적집행을위해 1996년한국정보보호진흥원을설립하여그운영을지원하고있다. 특히인터넷침해사고예방 대응업무를 365일 24시간수행하기위해 2003년에인터넷침해사고대응지원센터를설치하여 2007년현재까지일반국민의악성코드감염피해예방및분산서비스거부공격대응등인터넷침해사고로인한피해를사전에예방하기위해노력하고있다. 2007년에는초고속인터넷서비스가입자정보등대량의개인정보가유출되고국내ㆍ외인터넷카페, 게시판등에서회원 ID가대량으로거래되는등금전적이득을목적으로하는개인정보유출사고가빈발하였다. 이에정보통신부는인터넷상주민번호등개인정보노출점검을강화하였으며주요웹사이트를대상으로보안서버를지속적으로보급하고인터넷상개인식별번호 (i-pin) 를도입하는등관련대책을추진하였다. 그결과민간부문에총 17,966개의보안서버가구축되었고 i-pin은총 85개기관에도입되어 99,000여건이발급되었다. 2007년에는이메일스팸은줄어들고원링등휴대폰스팸이늘어나는경향을보였다. 이에정보통신부는휴대전화스패머에대하여 1,111건의과태료를부과하고 14,410건의이용제한을요청하는등스패머에대한단속을강화하였다. 54 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 1. 인터넷침해사고대응지원센터 가. 일반현황 인터넷침해사고대응지원센터 (KISC : Korea Internet Security Center) 는국내인터넷망의상시모니터링을통해취약점, 웜 바이러스등보안위협및인터넷이상징후를조기에탐지한다. 그다음분석, 경보발령을통해인터넷침해사고를사전에예방하고피해확산을방지하는역할을수행한다. 특히, 국내정보통신서비스제공자, 백신업체, 보안관제업체등과상시적인정보공유, 신속한공동대응체계를통해인터넷망에대한안전성및신뢰성을확보하는것이주된임무이다. 인터넷침해사고대응지원센터는민간부문의인터넷침해사고에대응하고, 보안업체, 인터넷서비스제공사업자등과협조체제를구축하며, 국제적침해사고대응을위한창구역할을수행하기위해 2003년 12월에설치되었다. 동센터는주요통신사업자및관제업체의네트워크정보를실시간으로제공받아 365일 24시간모니터링을실시하고, 신규출현취약점과웜 바이러스의위험도를분석하고홈페이지등을통해국민들에게대응방법을신속하게전파함으로써침해사고를조기대응할수있는체계를갖추었다. 또한해킹 바이러스의동향을파악하고, 최신해킹기법을연구 분석하여대응방안을수립하고인터넷침해사고예방및대응관련기술지원을담당하고있으며, APCERT 및 FIRST 등의국제기구참가를통해국제정보교류의창구역할을하고있다. 제 2 편국가정보보호현황 제2장국가정보보호담당기관 55

제 2 편 제 2 장국가정보보호담당기관 인터넷서비스사업자 정보통신부 인터넷이용자 ( 기업, 개인 ) 인터넷소통량변화추이 DNS 이상유무모니터링 민관합동복구지원단 긴급대책본부 민관합동조사단 방화벽자동업데이트바이러스백신보안설정관리대상인터넷옵션자동업데이트윈도우방화벽 제 2 편국가정보보호현황 악성코드은닉여부점검 사이버공격유형정보 취약점, 윔바이러스경보 365 24 상시 Hot-line 확보 인터넷침해사고대응지원센터 취약점평가 공격코드분석 영향력평가 국내인터넷이상징후? 보안패치, 백신업데이트 출처불분명웹사이트 / 이메일주의등 기업내운영중인서버점검 자체침해사고대응팀가동등 경보발령 긴급 유해트래픽차단 [ 그림 2-2-3-1] 인터넷침해사고대응지원센터의업무 * 출처 : 인터넷침해사고대응센터 나. 주요업무 (1) 해킹, 웜 바이러스등인터넷침해사고대응인터넷침해사고대응지원센터의침해사고모니터링및대응체계는 4단계로나누어진다. 1 각처에서관련정보를제공받아수집서버에저장하고이상징후를탐지하는수집 탐지단계, 2 수집된데이터를전문가시스템과통계분석시스템을통해관련취약점, 공격코드, 네트워크영향력을평가하는분석 협의단계, 3 일정수준이상의위험도를가지는바이러스 웜및취약점에대해대응요령및관련정보를 ISP, IDC, 일반사용자들에게전파하는전파 발령단계, 4 대응요령에따라각기관이나사용자들이대응하고피해발생시이를복구하는대응 복구단계이다. 56 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 수집 탐지 분석 협의 전파 발령 대응 복구 이상징후 취약점해외정보 사용자신고 인터넷침해사고대응지원센터 모니터링 전문가시스템통계분석시스템수집서버분석 전문가분석 수집탐지 분석협의 대응지원센터 발령서버 실무협의회 경보발령 메일팩스 SMS 웹 TRS 정보제공업체및 Hot-line 참여기관 ISP/IDC 이동통신 3 사 보안관제업체 백신업체 NIA, NIDA 민간기업 ( 포탈, B2B,B2C) 일반인터넷이용자 방송사언론사국가정보원국방부검찰, 경찰 트래픽모니터링 이용자보호 유해트래픽차단 대응정보경유 백신개발 침해사고신고 공격포트차단 보안패치 로그분석 피해시스템복구 보안패치 바이러스점검 피해시스템복구 대국민알림 정보공유 제 2 편국가정보보호현황 상담복구 * 출처 : 인터넷침해사고대응센터 [ 그림 2-2-3-2] 인터넷침해사고대응지원센터의모니터링및대응 (2) 인터넷침해사고예방활동인터넷침해사고대응지원센터에서는 365일 24시간상시종합상황실을통해국내외에서신규로발표되는보안취약점, 웜 바이러스출현을모니터링하고국내영향력이높은주요취약점과웜 바이러스에대해서는홈페이지보안공지를통하여예방및대책을안내함으로써해당취약점및웜 바이러스로인한침해사고예방활동을수행하고있다. 또한자체적으로운영중인허니넷을통해웜 바이러스샘플을수집하여침해사고대응에활용하고백신업체에해당샘플을제공함으로써국내인터넷이용자의피해를예방하고있다. 또한국내주요인터넷서비스제공사업자와 DNS 싱크홀체계를통해봇에감염된좀비 PC가피싱경유지, 스팸메일발송, 분산서비스거부공격에악용되는침해사고를예방하고있다. (3) 국제협력체계구축인터넷침해사고대응지원센터가운영하는 KrCERT/CC는국가대표 CERT로인정받고있다. 미국, 일본, 중국, 호주 CERT 등과협력체계를유지하고있으며, APCERT( 아 태지역침해사고대응팀협의회 ) 운영위원활동등국제협력활동을강화하고있다. 또한매년 1회국제공동대응훈련을실시함으로써해외유관기관간공조체계를강화하고, 국제적인위상을확보하고있는데, 2007년에는 APCERT 회원국 12개국가 13개 CERT와함께국제침해사고공동대응 제2장국가정보보호담당기관 57

제 2 편 제 2 장국가정보보호담당기관 훈련에참여하였다. 다. 2007 년주요활동현황 제 2 편국가정보보호현황 (1) 바이럿 (Virut) 바이러스에의한분산서비스거부공격대응인터넷침해사고대응지원센터에서는바이럿바이러스에감염된국내 PC로인하여해외특정사이트에대한분산서비스거부공격이발생 (2007년 9월 ) 함에따라과도한유해트래픽유발로국내인터넷망에대한피해를예방하기위하여국내주요 ISP와공조하여국내발공격트래픽을차단하고서비스거부공격을유발하는악성코드샘플을분석하여공격명령제어서버를차단하는등대응활동을실시하였다. 또한향후바이럿에감염된국내 PC로인하여유발될수있는국내사이트에대한서비스거부공격을예방하기위하여보도자료배포를통해대국민피해예방조치를안내하고국내백신업체와공조하여전용백신을보급하는등바이럿바이러스제거캠페인을실시하였다. [ 그림 2-2-3-3] 바이럿바이러스제거캠페인바로가기 58 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 (2) 봇 (Bot) 피해예방강화봇은해커가최신보안업데이트가설치되지않은 PC를공격하여원격지에서마음대로조종할수있도록감염시키는악성프로그램을말한다. 이때감염된 PC를좀비 (Zombie) PC라고하며, 이러한좀비 PC는국내및해외사이트에대한피싱, 분산서비스거부공격, 스팸메일을발송하는등침해사고에악용된다. 인터넷침해사고대응지원센터는봇에감염된좀비 PC가해커의명령 / 제어서버로부터분리되도록하는 DNS 싱크홀 (Sinkhole) 체계를구축 (2005.8) 하여운영하고있다. 2007년 12월말현재국내 8개주요인터넷서비스사업자및 6개케이블 TV 인터넷사업자가이러한대응활동에참여하고있고 2008년에는자체적으로 DNS 서버를운영하는대학, 웹호스팅업체를대상으로지속적으로확대할계획이다. 제 2 편국가정보보호현황 [ 그림 2-2-3-4] 악성봇명령 / 제어서버에대한 DNS 싱크홀개념도 (3) 웹사이트를통한악성코드유포사이트대응국내웹사이트에악성코드를삽입하여보안이취약한 PC를사용하는웹사이트방문자에게악성코드를감염시키는사례가지속발생하여인터넷침해사고대응지원센터는 2005년 12월부터악성코드은닉사이트탐지프로그램을자체개발 적용하였으며악성코드은닉여부 제2장국가정보보호담당기관 59

제 2 편 제 2 장국가정보보호담당기관 제 2 편국가정보보호현황 점검대상을지속확대하고있다. 현재약 100,000 여개국내웹사이트를대상으로악성코드은닉여부를탐지하고있으며 2007년도에총 5,000여개의악성코드은닉사이트를사전탐지하여접속차단또는삭제조치하였다. 최근웹사이트를통해유포되는악성코드는감염시분산서비스거부공격근원지, 특정게임계정탈취등침해사고에악용되므로컴퓨터운영체제를항상최신보안업데이트상태로유지하는등인터넷이용자의각별한인식제고가필요하다. [ 그림 2-2-3-5] 악성코드은닉을통한악성코드감염예시 (4) 중소기업대상정보보호활동정보보호예산및인력이부족한비영리단체, 중소기업등의웹사이트침해사고를예방하기위해인터넷침해사고대응지원센터에서는무료웹취약점점검서비스를제공하고있다. 웹취약점원격점검서비스는신청인의요청에따라해당웹사이트의보안취약점을점검후신청인에게점검결과를피드백하여보완조치토록함으로써국내웹사이트의보안수준을높일수있다. 웹취약점원격점검서비스는관련홈페이지 (https://webcheck.krcert.or.kr) 를통해제공되며, 1년 365일서비스를제공하고있다. 60 2008 국가정보보호백서

제2편 제2장 국가 정보보호 담당기관 제2편 국가 정보보호 현황 [그림 2-2-3-6] 웹 취약점 원격점검서비스 화면 (5) 피싱사고 예방과 대응 홍보 및 교육활동 보안이 취약한 국내 웹 서버를 해외 금융기관 사칭에 악용하는 피싱경유지 사고가 2005년 하반기부터 지속 발생하고 있으며, 특히 2007년 1월에는 국내 은행을 사칭한 피싱사고가 발생 하였다. 이로 인하여 대국민 피싱 보안인식제고가 요구됨에 따라 인터넷침해사고대응지원센터 에서는 2007년도에 피싱에 대한 보안 인식 제고를 위한 홍보 및 교육활동을 강화 하였다. 주요 활동내용으로 국내 피싱사고 사례, 대응요령을 담은 플래시 에니메이션을 제작하여 국내 주요 은행 및 포털, 게임사이트 홈페이지를 통해 배포하였다. 또한 피싱 예방 및 홍보를 위한 리플릿 을 별도로 제작 후 일반인 대상 정보통신윤리 교육기반을 갖추고 있는 한국정보문화진흥원 (KADO : Korea Agency Digital Opportunity & promotion)과의 협력을 통해 일반인 대상 피싱 교육에 활용하는 등 보안인식 제고를 위해 노력하고 있다. [그림 2-2-3-7] 피싱예방 홍보 플래시 화면 제2장 국가 정보보호 담당기관 61

제 2 편 제 2 장국가정보보호담당기관 제 4 절검찰청 제 2 편국가정보보호현황 컴퓨터범죄에대한적극적인대응과조직적인수사를위하여대검찰청, 지방검찰청, 차장검사가있는지청등총 24개검찰청에컴퓨터범죄수사부서를설치 운영하고있다. 이를통해컴퓨터범죄수사체계의구축, 범죄수사기법연구, 전문수사요원양성, 첨단수사장비확보등검찰수사의정보화기반을마련하여컴퓨터범죄의효율적예방및단속을실시하고있다. 검찰의사이버범죄수사관련조직은크게대검찰청첨단범죄수사과및디지털수사담당관실, 서울중앙지검첨단범죄수사부, 일선청컴퓨터범죄수사반으로구분되어있다. 대검찰청첨단범죄수사과에서는컴퓨터등정보처리장치및정보통신매체를사용한범죄사건에대한검찰사무의지휘 감독, 사건에관한범죄현상의분석 연구 수사지침수립및국내 외중요사건사례연구집발간등의업무를수행하고있다. 또한, 전문분야수사능력개발및내부전문인력양성을위해회계분석, 자금추적, 컴퓨터범죄, 기술유출범죄및지적재산권범죄, 선진신문기법과정으로 첨단범죄수사전문아카데미 를신설하여운영하고있고, 전문수사인력의체계적인관리를위해첨단범죄수사전문인재뱅크 DB를구축하여운영하고있다. 또한대검찰청과학수사제2담당관실에서는디지털증거의압수및분석업무를수행하고있다. 서울중앙지검첨단범죄수사부에서는정보처리장치및정보통신매체를이용한범죄사건의수사, 사건관련정보및자료의수집, 그리고관련된증거자료에대한압수 수색및분석등의업무를수행하고있다. 해킹, 바이러스유포, 전자상거래사기, 개인정보침해, 불건전정보유포등인터넷에서발생하는범죄에대해지속적인모니터링을실시한결과인터넷포커게임의사행화를조장한포커머니판매상단속, 해킹등악성프로그램유포사범단속, 인터넷주소창한글단어서비스관련업체적발, 첨단핵심기술국외유출사건적발등의성과를이루었다. 62 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 [ 표 2-2-4-1] 인터넷범죄대응기구설치연혁 구분 대검찰청 서울중앙지방검찰청 22 개지방검찰청및지청 일시 내용 1996. 6 중앙수사부수사기획관실내 정보범죄대책본부 설치 1999. 4 정보범죄대책본부를 컴퓨터범죄전담수사반 으로개칭 2000. 2 중앙수사부내 컴퓨터수사과 신설 2001. 2 [ 대검찰청인터넷범죄수사센터 ] 설치 2005. 2 컴퓨터수사과를 첨단범죄수사과 로개칭 1995. 4 특별수사 2 부내에 정보범죄수사센터 설치 2000. 2 컴퓨터수사부 신설 2001. 2 [ 서울지검인터넷범죄수사센터 ] 설치 2005. 2 컴퓨터수사부를 첨단범죄수사부 로개칭 1997. 4 부산대구광주대전지검 컴퓨터수사반 설치 1998. 6 인천수원청주창원전주지검 컴퓨터수사반 설치 1999. 6 춘천 울산 제주지검, 서울동부 서부 북부지검 컴퓨터수사반 설치 2000. 7 서울남부 의정부지검, 성남 부천부산동부지청 컴퓨터수사반 설치 2002. 12 수원지검안산지청 컴퓨터수사반 설치의정부지검고양지청 컴퓨터수사반 설치 제 2 편국가정보보호현황 * 출처 : 인터넷범죄수사센터, 2007 1. 대검찰청인터넷범죄수사센터 가. 설립배경 정보통신기술의발전과더불어관련분야의새로운범죄가심각한사회문제로등장하여지식정보화선진국을추구하는우리의노력을방해하고있다. 시스템불법침입및파괴, 바이러스유포, 전자상거래사기등첨단범죄가빠른속도로증가하여국민생활의안전을위협하고있다. 그러나이러한컴퓨터범죄는기존의일반범죄와전혀다른특징을지니고있어기존의수사방법으로는단속과처벌이어려운문제를안고있다. 인터넷을통해이루어지는범죄는지리적 공간적제약이없어행위자의신원확인과증거수집의어려움은갈수록가중되고있다. 대검찰청인터넷범죄수사센터는바로이러한첨단인터넷범죄에보다효율적으로대처하기위하여 2001년 2월설치되었다. 한편지방검찰청및일선지청에도인터넷범죄에효율적으로대응하기위하여각각인터넷범죄수사를위한기구를설치 운영하고있다. 서울중앙지방검찰청의경우지난 1995년에 제2장국가정보보호담당기관 63

제 2 편 제 2 장국가정보보호담당기관 특별수사2부내에 정보범죄수사센터 를설치한후 2001년 2월에 서울지검인터넷범죄수사센터 로확대개편하였다. 나. 역할 제 2 편국가정보보호현황 대검찰청인터넷범죄수사센터는대검찰청을비롯하여전국각지검에첨단범죄수사과를두어전국적인활동체계를구축하고있다. 대검찰청첨단범죄수사과에서는컴퓨터등정보처리장치및정보통신매체를사용한범죄사건에대한검찰사무를지휘 감독하는한편증거자료에대한압수 수색및분석지원, 사이버범죄에대한분석, 연구, 수사지침수립및국내 외중요사건에대한사례연구집을발간하고있다. 한편서울지검을비롯한일선청의첨단범죄수사반역시대검찰청첨단범죄수사과와마찬가지로각종사이버범죄사건에대한수사, 정보및자료의수집 정비, 증거자료에대한압수 수색과분석업무를수행하고있다. 대검찰청인터넷범죄수사센터에서는해킹 컴퓨터바이러스유포와같은각종인터넷범죄와전자상거래를이용한사기, 개인정보침해등에중점을두어집중적으로감시활동을전개하고있다. 뿐만아니라각종사이버범죄에대응하기위한대책을수립하고새로운수사기법개발에도많은노력을경주하고있다. 한편사이버범죄에대한신고 상담을위하여대검찰청인터넷홈페이지 (www.spo.go.kr) 를통하여인터넷범죄신고처리시스템을운영하고있으며, 관할주소지에따라전국 24개청첨단범죄수사부서에서신고상담을하고있다. 다. 주요사이버범죄대응활동 대검찰청인터넷범죄수사센터와서울중앙지검인터넷범죄수사센터에서는해킹, 바이러스유포, 전자상거래사기, 개인정보침해, 불건전정보유포등인터넷에서발생하는다양한범죄에대하여모니터링을수행하여인터넷포커게임의사행화를조장한포커머니판매상단속, 해킹등악성프로그램유포사범단속, 첨단핵심기술국외유출사건적발등성과를이루었다. 대검찰청인터넷범죄수사센터는미국과영국, 일본, 노르웨이등 48개국이참여한 첨단범죄 24시간국제네트워크협조체제 에가입, 활동하면서국제적인인터넷범죄에대한수사와정보를교류하고있다. 또한, 검찰청의인터넷범죄수사지원을원활히수행하기위하여디지털수사담당관실에서는디지털증거분석시스템등여러가지첨단수사기법과프로그램을 64 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 연구개발하고있다. [ 표 2-2-4-2] 는컴퓨터범죄유형별처리현황으로전반적으로 2003년을기점으로컴퓨터범죄가급속히증가한후소폭으로증가함을하고있음을알수있으며특히정보통신망법위반및컴퓨터이용사기가많은부분을차지함을볼수있다. 유형 공용전자기록손상등 [ 표 2-2-4-2] 컴퓨터범죄유형별처리현황 연도별처리현황 [ 건 / 명 ( 구속 )] 2002 년 2003 년 2004 년 2005 년 2006 년 2007 년 0/0 2/4 1/2 2/4 1/1 2/2 전자문서관련죄 241/285 535/694 890/1,442 2,406/5,752 3,016/7,051 4,029 /10,580 제 2 편국가정보보호현황 전산업무방해 30/45 26/43 33/39 27/35 84/103 54/100 전자기록비밀침해 8/8 10/16 7/10 3/3 12/19 13/20 컴퓨터사용사기 1,346/1,603 2,403/2,777 1,634/2,040 1,208/1,465 1,127/1,314 1,478/1,650 전자기록손괴 16/20 8/9 12/18 12/12 17/18 18/26 정보통신망법 명예훼손 82/128 837/1,091 1,040/1,420 1,569/2,257 1,911/3,379 2,100/3,850 개인정보누설등정보통신망침해등 음란물유포등 5/6 53/123 51/92 69/143 94/204 136/261 95/110 1,248/1,459 1,204/1,409 1,188/1,450 1,465/1,775 1,487/1,760 38/42 1,145/1,568 2,164/2,663 2,807/3,435 4,729/5,435 6,684/7,796 기타 4,024/5,152 2,248/2,789 1,763/2,191 1,920/2,424 1,746/2,323 3,023/3,499 개인정보보호법 57/85 72/114 75/131 112/215 127/218 160/236 사기 ( 컴퓨터범죄 ) 2,992/3,477 1,741/1,988 668/773 450/525 235/275 기타특별법 1/3 922/1,411 908/2,238 681/1,266 873/1,586 1,467/2,394 합계 5,943 12,501 11,523 12,672 15,652 20,886 /7,487 /15,575 /15,683 /19,234 /23,951 /32,449 * 출처 : 인터넷범죄수사센터, 2007 제2장국가정보보호담당기관 65

제 2 편 제 2 장국가정보보호담당기관 제 5 절경찰청 제 2 편국가정보보호현황 경찰청은사이버범죄수사를위해 1997년 컴퓨터범죄수사대 를시작으로 1999년 사이버범죄수사대 등사이버범죄전담조직을운영해왔다. 그후해킹 바이러스등사이버범죄가날로심각해지자 2000년 7월 사이버테러대응센터 (Cyber Terror Response Center) 로확대개편하였다. 사이버테러대응센터는사이버범죄수사및사이버테러대응, 국제협력및국제공조수사, 디지털증거분석등사이버테러대응수사기관으로서의역할을담당하고있는데, 사이버테러신고접수 상담및수사, 사이버테러예방및수사기법연구, 사이버수사기획및지도, 국내 외사이버수사협력, 해커동향파악, 불법사이트검색, 관계법령및제도연구, 일선지방청 경찰서의사이버수사지원등다양한업무를수행한다. 한편, 2004년 12월 디지털증거분석센터 를신설하여첨단범죄증거분석, 증거분석절차의표준화및보급, 전문수사기법연구개발등의업무를수행하고있다. 2007년말까지서울 충남 전북지방청등 3개지방청에 디지털증거분석실 을구축하고 2009년까지전국 16개지방청에이를전부구축하여각종사이버범죄사범검거성과를높이고자하고있다. 1. 사이버테러대응센터 가. 조직 경찰청사이버테러대응센터는협력운영팀, 수사 1 2 3팀, 기획수사팀, 기술지원팀의 4개팀으로조직되어있고, 사이버테러종합대책을수립 시행하는한편전국사이버수사요원교육, 국제공조수사활동전개, 24시간사이버순찰을통한초동조치및대국민경보발령, 주요사이버테러사건수사, 사이버테러수사기법개발및기술지원등종합적인업무를수행하고있다. 66 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 나. 주요사이버범죄대응활동 [ 그림 2-2-5-1] 사이버수사조직도 제 2 편국가정보보호현황 경찰청사이버테러대응센터는인터넷카드결제시스템의허점을악용신용카드사고객정보를도용하여 1억원의부당이득을취한피의자검거, 해외해커들과연계하여공공기관시스템등을해킹하여개인정보를유출한후휴대폰광고에도용한피의자검거, 은행을사칭하는피싱메일 16억통을발송한피의자검거 ( 일명김하나사건 ), 초고속인터넷가입자정보 400만건을불법유출한피의자검거등개인정보유출및해킹범죄사범검거를위한활동을수행하였다. 또한경찰청사이버테러대응센터는공인인증서를대여받아집중응찰하는방법으로관급공사를부정하게낙찰받은입찰브로커등검거, 수신자부담국제전화로유인한 10만여명에게 56억원상당의통화료를부과케한국제전화사기조직검거, 탈레반인질관련게시물을악의적으로번역 편집하여아랍권및국내 외방송사에전송하고인터넷에유포한피의자검거등사이버관련민생침해사건을수사하였다. 한편, 2005년 10월포렌식기술과법률절차등제반절차를연구하기위해출범된 한국디지털포렌식학회 는 2007년 9월 2007년한국디지털포렌식의 4가지화두 라는주제로 제2회디지털포렌식세미나 를개최하였다. 세미나를통하여최신기술정보를학계및업계와공유하는기회를마련하는등사이버범죄와디지털포렌식분야에서다양한정보교류와연구활동을적극추진하였다. 아울러 2007년 6월에는 제5회인터폴아 태지역 IT범죄수사교관워크샵 을개최하였고, 2007년 10월에는세계 10여개국 500여명이참석한가운데해킹등사이버범죄에대한공조및대응방안을강구하기위해 국제사이버테러대응심포지움 (International Joint Symposium on Cyber Terror Response) 을개최하는등국제협력도강화하고있다. 제2장국가정보보호담당기관 67

제 2 편 제 2 장국가정보보호담당기관 제 6 절전문기관 1. 국가보안기술연구소 (NSRI) 제 2 편국가정보보호현황 과학기술분야정부출연연구기관등의설립 운영및육성에관한법률 제8조제1항의규정에의하여설립된국가보안기술연구소 (NSRI : National Security Research Institute) 는 국가사이버안전관리규정 제 15조, 국가정보보안기본지침 및 국가정보보안기술연구개발지침 등에따라공공분야의사이버안전관련기술확보를위한연구 개발을수행하고있다. 국가보안기술연구소는주요정보통신기반시설등의보호를위한기술개발및지원, 국가 공공기관의정보통신시스템및정보통신망에대한사이버침해에효과적으로대응하기위한기술및정책의개발 지원을목적으로 2000년에설립된정보보호전문연구기관이다. 국가사이버안전관리규정 에따라국가보안기술연구소는국가사이버안전관련기술및정책연구개발전문기관으로써그위상이보다확고해졌다. 국가보안기술연구소는설립이후국가암호기술연구, 해킹대응기술개발, 정보보안기술개발및정책지원, 관련기반구축및지원활동등을통해전문연구기관으로서국가보안기술발전에앞장서왔다. 또한국내정보보호및암호학의연구기반강화와국가통신및전산정보보호의기반조성을위해 1989년도부터매년학술대회 (WISC : Workshop Information Security and Cryptography) 를개최하고있으며, 중앙행정부처및산하기관, 전문연구기관, 기간통신사업자, 학계등국내정보보호업무관계자간의학술교류와유기적인협력관계구축을통하여국가정보보호기술발전에기여해오고있다. 그밖에국내 외정보보호관련최신기술및정책동향등을관련기관에제공해오고있다. 2. 한국정보보호진흥원 (KISA) 1996년설립된한국정보보호센터가 2001년현재의한국정보보호진흥원 (KISA : Korea Information Security Agency) 으로승격되었다. 갈수록증가하는사이버위협에대응할수있도록 정보통신망이용촉진및정보보호등에관한법률 제 52조에의거하여한국정보보호진흥원은인터넷침해사고에대한효과적인대응, 개인정보보호및피해구제, 불법스팸의예방과대응, 전자서명인증관리및이용활성화, 정보통신기반시설의보호, 정보보호제품에 68 2008 국가정보보호백서

제 2 장국가정보보호담당기관 제 2 편 대한보안성평가및산업지원, 정보보호정책및기술개발과표준화, 정보보호인식제고활동등의업무를수행하고있다. 2007년한해동안한국정보보호진흥원에접수된개인정보로인한피해구제상담신고는 2006년보다 11% 가증가한 25,965건이었다. 한국정보보호진흥원은개인정보유출로인한피해가증가함에따라인터넷상주민번호노출을조기에점검하고삭제할수있도록점검주기를개선하여상시점검체계를갖추고개인정보보호수준향상을위해개인정보취급방침의전자적표시도입및신규 IT 서비스프라이버시보호대책수립등의개선노력을기울여왔다. 한편휴대전화스팸의지속증가추세에따라메뉴버튼방식으로신고가능한휴대전화간편신고서비스를 2월부터개시하였고, 인터넷침해사고대응을위해서는홈페이지에대한해킹등침해사고탐지및재발방지기술을지원하는한편인터넷이상징후 24시간상황관제를통한피해예방을추진하였다. 국가공공기관에납품하는정보보호전제품에대한평가가의무화됨에따라제품평가수요가증가하고그에대한적체도늘어나게되었다이에평가대기기간을단축하기위한제도의개선및평가프로세스의개선및평가인력의확충을추진하였다. 한편사이버위협은보안에취약한국내 PC에악성코드를설치후해킹에악용하거나홈페이지해킹및악성코드삽입후방문자 PC에설치를시도하고통신망에는분산서비스거부공격시도가증가하여이에대하여주요인터넷서비스제공사업자와협력을통한악성봇활동을차단하고바이럿바이러스에의한분산서비스거부공격대응, 웹사이트를통한악성코드유포사이트대응활동등을진행하였다. 그리고공인인증서의이용이금융거래, 주택청약, 연말정산등사회전반으로확대되면서안전한공인인증서의사용을위하여공인인증서유출방지를위한보안토큰기술규격및적합성검증기술개발하고비 MS 계열이용자를위한공인인증서소프트웨어규격개발및평가체계마련하는등의노력을기울였다. 제 2 편국가정보보호현황 3. 한국전자통신연구원 (ETRI) 한국전자통신연구원 (ETRI : Electronics and Telecommunications Research Institute) 내의정보보호연구단은통신 방송 인터넷의혁명적대통합 (u-korea) 시대의도래와함께네트워크인프라마비, 불건전 유해정보유통, 개인정보유출및프라이버시문제등유비쿼터스사회로의진입에걸림돌인정보화역기능해소를위한정보보호선도기술을확보하고, 보유기술의신속한산업화를지원하고있다. 제2장국가정보보호담당기관 69

제 2 편 제 2 장국가정보보호담당기관 제 2 편국가정보보호현황 또한지식 / 지능정보및 u-it 서비스의신뢰성이보장되는사회실현이라는비전을가지고, 사용자중심의생활속의 u-정보보호체계수립이라는목표를세우고있다. 이러한목표달성을위해보안응용그룹과융합보안그룹등 2개의연구그룹을중심으로 u-it 인프라보호및무선보안, u-침해확산방지, u-개인정보보호, u-범용인증, u-지식 / 지재권보호등안전한유비쿼터스사회실현에필요한핵심기술개발에집중하고있다. 향후정보보호연구단은유비쿼터스사회에대응하기위해연구영역을 Security Reliability Safety 로확대하고, Human Networking과 Bio Networking을지원하는보안기술도개발할계획이다. 이를위해국내 외유관기관과 MOU를체결하고, 원내기술교류및협력을활성화하는한편과제수주를정보통신부외에국방부등으로다변화하고있다. 4. 금융보안연구원 (FSA) 금융보안연구원 (FSA : Financial Security Agency) 은 2005년 5월국내최초로발생한인터넷뱅킹해킹사고를계기로국민들이안심하고전자금융거래를할수있도록정보통신부, 산업자원부, 금융감독위원회 ( 원 ) 가경제정책조정회의에공동으로보고한 전자금융거래안정성강화종합대책 에따라금융부문의정보보호업무를지원하기위해금융권공동의보안전담기구로서 2006년 10월에설립되었다. 금융보안연구원은전자금융신규보안취약점및위협에대한상시적인분석 대응을위하여국가사이버안전센터, 한국정보보호진흥원등이제공하는위협요소를활용한금융기관의안전성점검및방안수립, 급속히발전하는금융 IT환경에적용되는보안제품에대한적합성테스트, 고객의편의성을높이고금융기관의중복투자를제거하기위한금융기관일회용비밀번호 (OTP : One Time Password) 통합인증센터구축및운영등의업무를수행하고있다. 2007년부터상시취약점점검반을운영하여금융권의홈페이지및보안프로그램취약점점검, 전자금융관리자및이용자보안가이드발간을통해전자금융거래의안전성제고에노력하고있다. 또한, 금융부문의사이버위협으로발생한침해사고에대한신속한대응을위해 KFCERT 구축및한국침해사고대응팀협의회 (CONCERT) 가입, 국가사이버안전센터등국내유관기관과의유기적인협력체계를구축하는동시에, 국제피싱방지워킹그룹 (APWG), 국제침해사고대응팀협의회 (FIRST) 에가입하여해외위협정보에대한공유체계를구축하였다. 한편, 은행, 증권등이공동으로참여하는 OTP 통합인증센터를성공적으로구축함으로써전자금융이용자들이안전한전자금융거래를이용하는데도움을제공하고있다. 아울러, 금융부문의정보보호인식제고를위해제1회금융정보보호컨퍼런스, 기술세미나등을개최한바있다. 70 2008 국가정보보호백서

제 3 장국가정보보호활동 제 2 편 제 3 장 국가정보보호활동 제 1 절국가정보보호정책추진 1. 개요 1987년국가기간전산망사업을시작으로 u-korea까지정보화촉진계획을수립 시행하면서, 우리나라는초고속정보통신망구축을기반으로유비쿼터스사회진입을위하여광대역통합망구축사업을시작하는등 IT 기반정보화강국실현을위한노력을아끼지않고있다. 뿐만아니라, 정부는전자정부사업을통해다양한행정서비스를온라인화함으로써언제어디서나국민의접근과이용이가능한서비스형정부구현을위해행정서비스체계를일원화하고공개함으로써정부의행정서비스업무효율성향상과투명도를높이기위해노력하고있다. 이처럼우리나라는전세계로부터이상적인 IT 테스트베드로평가받을만큼단기간에 IT강국으로급부상한반면, 1.25 인터넷대란, 중국발해킹사건및전자정부인터넷민원서류의위 변조등고도의정보통신인프라를이용한해킹이나사이버테러등에노출되어있는실정이다. 이에 국가사이버안전관리규정 을제정하여국가사이버안전관리체계를공고히하였다. 동규정은중앙행정기관의장에게사이버공격으로부터소관정보통신망의안전성을확보할책임을부여하고, 관계중앙행정기관의장은지방자치단체및공공기관정보통신망의안전성확보를위한제반조치를강구하도록했다. 이를위하여 2007년에는처음으로 99개국가 공공기관을대상으로 정보보안관리실태평가 를실시하여국가전반의정보보안역량평가및정보보안수준제고를위한노력을기울였다. 또한평가적체를해소하기위해국내최초로민간평가기관을 IT보안제품평가기관으로지정하였다. IT보안제품민간평가기관지정은평가적체문제의해소뿐만아니라평가업무의경쟁체제도입에따른평가기술및품질향상으로국내정보보호산업발전을도모할수있을것으로기대되고있다. 그밖에각종보안관리지침시행을통해급속하게변화하는정보통신환경에대응하여안전성을확보할수있는기반을구축하고있다. 제 2 편국가정보보호현황 제3장국가정보보호활동 71

제 2 편 제 3 장국가정보보호활동 2. 정보보안관리실태평가실시 제 2 편국가정보보호현황 국가정보원은정보통신망을위협하는사이버공격이점점첨단화 지능화되고있을뿐만아니라외국으로부터의공격이국가 산업기밀에서부터개인금융정보에이르기까지다양하게전개되고있어국가전반의사이버안전수준제고가필요하다고판단하고주요전산망에대한사이버안전역량을제고하기위해각급기관의정보보안관리수준에대한종합평가를실시하였다. 2007년처음으로실시된 정보보안관리실태평가 는 2006년 50개중앙행정기관을대상으로실시한시범평가결과의문제점을개선 보완하여 9월부터 3개월에걸쳐중앙행정부처 광역자치단체 주요공공기관등총 99개국가 공공기관을대상으로실시되었다. 동평가는해당기관이 1차자체평가하고 2차적으로전문가검증반에의해자체평가에대한검증의단계를통해이루어졌으며정보보안규정운영, 전자우편보안, 악성코드대응등기본항목에서부터 USB 메모리, 노트북, 디지털사무기기등최신보안이슈에이르기까지 9개분야 246개항목에대해종합적으로실시되었다. 동평가결과에따르면국가 공공기관의정보보안관리수준은평균 78점 (100점만점 ) 으로평가되었으며중앙행정기관 ( 평균 80점 ) 이공기업 연구소 (68점) 에비해보안관리수준이전반적으로양호하고행정기관가운데서는국방부 여성가족부 국세청 특허청과지자체중에서는경상남도가높은점수를받았다. 또한, 보호구역출입통제등물리적보안관리는비교적양호한것으로나타났으나정보보안전문인력확보및 USB 메모리 디지털사무기기에대한보안관리를비롯해악성코드대응등사이버침해사고대책은상대적으로미흡한것으로나타났다. 무엇보다도기관장의정보보안관심도가정보보안수준에가장큰영향을미치는것으로확인되었다. 동평가는처음으로국가 공공기관의정보보안관리수준을구체적인수치로공개했다는데의미가있으며국가정보원은평가결과를바탕으로전문가컨설팅등각기관별로맞춤형보안관리서비스를지원하고각기관의정보보안정책수립에도움이되도록평가제도의내실화를지속적으로도모할계획이다. 72 2008 국가정보보호백서

제 3 장국가정보보호활동 제 2 편 3. IT 보안제품민간평가기관지정 우리나라는 1998년부터독자적인 K기준을개발하여정보보호제품평가에활용하여왔으며, 2002년선진각국에서적용한공통평가기준 (CC) 을국내평가기준으로도입하는등국제수준에맞는평가인증체계구축을위해노력하여왔다. 이는우리나라가 2006년 5월국제상호인정협정 (CCRA) 에국제공인인증서발행국으로가입하게되는바탕이되었으며, 2008년에는 CCRA 세계총회 개최지로결정되면서명실상부한 IT보안강국으로서의입지를갖추게되었다. 하지만최근국내정보보호산업이급속히발전함에따라급격히증가하는평가수요에한국정보보호진흥원단독평가기관만으로는대처하기에한계가있고, 또한 CCRA 관리위원회가평가산업활성화를위해국제표준 (ISO 17025) 에맞는평가기관운영을권고하고있어국제수준의평가기관을추가설립 운영할필요성이대두되었다. 국가정보원 IT보안인증사무국 에서는 2006년 12월국제공인시험기관인정업무를담당하는산업자원부기술표준원과협조하여 국가표준기본법 에근거국제표준 (ISO 17025) 규격에맞는 IT보안제품시험기관인정요건 을제정 고시하여민간평가기관설립을위한기반을마련하였다. 2007년 2월 IT보안제품평가기관승인을신청한한국산업기술시험원 (KTL) 에대해평가수행역량심사를거쳐 6월 29일국내최초국제표준 (ISO 17025) 에부합하는민간평가기관으로선정하였으며 8월에는한국시스템보증 (KOSYAS) 을민간평가기관으로선정하였다. 한국산업기술시험원과한국시스템보증이 IT보안제품민간평가기관으로지정되면서그동안한국정보보호진흥원이독자적으로수행해왔던 IT보안제품평가시장에도변화의바람이불것으로전망되고있다. 먼저증가하는평가수요에적시대처가가능하여그동안적체되어왔던평가문제해소에도움이될것이며, 보다신속한평가서비스가제공돼국내정보보호산업발전에가속이붙을것으로예상된다. 또한평가업무가경쟁체제로돌입하게되면서평가기술및품질수준을한단계발전시킬수있는계기가되어국제사회에서평가인증기술강국으로발돋움할것으로기대를모으고있다. 제 2 편국가정보보호현황 제3장국가정보보호활동 73

제 2 편 제 3 장국가정보보호활동 4. 각종보안관리지침시행 제 2 편국가정보보호현황 국가정보원은국가기밀이나중요자료의유출을방지하기위해저장자료삭제기준등이포함된 정보시스템저장매체불용처리지침 을 2006년 3월제정시행하여국가 공공기관이 PC 복사기 팩스등저장매체가내장된정보시스템을폐기 교체 반납할경우저장자료를완전삭제토록하고삭제전용장비또는소프트웨어를도입하기이전국가정보원의보안적합성검증을받도록제도화하였다. 이에따라국가정보원은 2007년 1월 PC 등정보시스템내저장자료삭제소프트웨어 2종에대해성능검증을최초로완료하고국가 공공기관의도입ㆍ활용을승인하였으며 2007년 12월까지디지털복합기 6종, 소프트웨어기반제품 5종및하드웨어기반제품 5종등 ( 총 16종 ) 의검증을완료하고 IT보안인증사무국홈페이지 (www.kecs.go.kr) 에등재하여국가 공공기관은물론첨단산업체등이삭제전용장비나소프트웨어도입시활용토록하였다. 또한국가정보원은국가기관에서 USB 메모리와같이휴대가간편한저장매체를통한중요자료유출사고가빈번히발생함에따라 2007년 1월에는 USB 메모리등보조기억매체보안관리지침 을제정하여 2007년 4월시행하였다. 동지침에따르면각급기관의장은보안기능이탑재된 USB 메모리를도입하고자할경우에그제품의안전성을검증하기위하여국가정보원장에게보안적합성검증을의뢰하여야하며각급기관은기관내에서사용되는각종보조기억매체는반드시등록후사용하여야한다. 특히등록된보조기억매체는업무목적이외사적인용도로사용할수없도록하였다. 74 2008 국가정보보호백서

제 3 장국가정보보호활동 제 2 편 제 2 절국가 공공기관정보통신망보호활동 1. 사이버위협예방및대응활동 국가정보원은국가정보통신망에대한보안관제를실시하여 2007년한해동안 7,588건의국가 공공분야에서발생한사이버침해사고에대해현지출장또는원격조사를통해원인규명및복구지원활동을수행하였다. 또한, 국가 공공기관신 증설전산망등정보화사업 700여건에대한보안성검토를실시하여보호대책을강구토록하였으며전자정부시스템에서사용중인주요프로그램의보안결함을발견하고해당기능을개선토록하였다. 그리고각급기관전산망에대해안전측정을실시하여검증되지않은보안제품사용과내부자료보호대책미흡등의미비점을발견하고중요자료암호화, 검증제품도입, 통합보안시스템구축등의시정조치를지원하였다. 각급기관보안담당자들을대상으로사이버안전교육을수시로실시하여최근사이버위협동향및대책등을설명하고보안의식을제고토록하였다. 제 2 편국가정보보호현황 2. 사이버분야위기대응을위한통합연습실시 국가정보원은 2007년 8월에국가사이버안전센터주관하에을지사이버전모의훈련과사이버분야위기대응통합연습을병행실시하였다. 이번연습은 2007 을지연습 의일환으로진행되었으며 1968년을지연습이시작된이래처음으로병행실시되었다. 이번연습은국가전산망일제점검을통한보안수준향상과사이버공격발생시각단계별상황에대한대응능력을강화하는계기가되었다. 특히이번연습은전산망실태점검과위기발생시필요한담당자의실무지식및대응절차를평가하여대응조치가형식에치우쳤던 2006년도문제점을보완하여실시되었다. 모의훈련에 400여개국가 공공기관이참여하였으며훈련결과 56개의보안관리미흡기관중지방자치단체가다수를차지하여그취약점이두드러졌다. 통합연습에는민 관 군 327개기관이참여하였으며전년에비해 10% 이상우수기관이증가하였다. 반면, 전시연습기간동안평시연습을동시수행하여진행기관의혼선이야기되는등일부문제점도나타났다. 제3장국가정보보호활동 75

제 2 편 제 3 장국가정보보호활동 3. 보안정보및보안도구제작 배포 제 2 편국가정보보호현황 국가정보원은 2007년에도각종사이버위협에각급기관이신속하게대응하여피해발생을예방하고발생시피해를최소화하도록하기위해보안권고문 취약점정보 위협동향분석정보등각종정보를배포함은물론보안가이드라인및보안프로그램을제작 배포하였다. 2007년 9월해커가 28개국가공공기관을대상으로바이러스유포하는것을국가정보원이탐지함에따라감염된 PC를인터넷에서분리토록하는등긴급조치후대응요령이포함된보안권고문을긴급배포하는한편전산망장애가발생한기관에대해서는현장에출동하여바이러스제거를비롯한사고복구작업을수행하였다. 보안권고문을통해 MS Access 등 MS 오피스의신규보안취약점에대한보안대책을지속적으로전파하여대비책을강구토록지원하였으며국산워드프로세서인 글 에서해킹에악용될수있는보안취약점에대한보안패치의설치를각급기관보안담당자에게독려하였다. 한편 USB 메모리등이동형저장장치에상주하면서전파및자료유출등악성행위를수행하는바이러스가급증함에따라이러한바이러스가이동형저장장치에서자동으로실행되는것을차단하기위하여 USB Guard 프로그램을개발하여각급기관에배포하였으며사이버침해사고대응가이드를배포하여사이버침해사고유형을 5개로분류하고유형별사고에대해각급기관이자체적으로사고처리가가능토록지원하였다. 4. 정보보호제품검증및인증활동 국가정보원은정보보호제품검증및인증관련 3가지제도를운영하고있다. 첫째는민간업체가개발한정보보호제품의보안기능을검증하여국가차원에서안전성과신뢰성을보증해주는정보보호제품평가 인증제도이고, 둘째는국가 공공기관에서도입하고자하는상용정보보호제품에대한보안적합성검증제도이며, 셋째는국가정보통신망에서소통되는비밀외자료중중요정보의보호를위해사용되는암호모듈에대한안전성과구현적합성을검증하는암호모듈검증제도를운영하고있다. 정보보호제품평가기관은한국정보보호진흥원을비롯하여한국산업기술시험원, 한국시스템보증 3개기관이며, 정보보호제품보안적합성및암호모듈검증을위한시험기관은국가보안기술연구소이다. 76 2008 국가정보보호백서

제 3 장국가정보보호활동 제 2 편 국가정보원은 2007년 12월까지 157개정보보호제품에대해평가 인증하였고, 기타 216개제품에대해보안적합성검증을완료했으며 6개암호제품을검증하였다. 5. 정보보안인식제고국가정보원은나날이증가하며수법또한지능화 국제화되고있는각종사이버공격에대해국민들의경각심을높이고범국가적차원의보안수준을향상시키기위해제3회사이버안전의날행사를 2007년 3월개최하였다. 2005년부터매년개최되어 3회째인사이버안전의날행사는해를거듭할수록규모나내용에있어발전을거듭하고있으며 2007년행사에는국가정보원장을비롯하여행자부차관등정부인사와정보보호산업협회장, 정보보호학회장, 국가보안기술연구소장등산학연각계각층의사이버안전관계자 700여명이참석하여국내정보보호최대행사로써국민적관심과이목을집중시켰다. 행사는국가정보원장의기념사및유공자포상, 건국대총장의특별강연, 세계적보안업체인 ( 주 ) 시만텍회장의축하영상메시지상영등공식행사와함께국가정보원 국방부 정보통신부실무담당관의민 관 군부문별사이버보안현황및정책방향에대한주제발표등다양한프로그램으로구성되었으며기획이벤트룸을두어사이버테러시연 체험과국내보안업체의정보보호제품전시를병행하였다. 제 2 편국가정보보호현황 제3장국가정보보호활동 77

제 2 편 제 3 장국가정보보호활동 제 3 절민 관협력 1. 국가정보보안연합회 (NISA) 제 2 편국가정보보호현황 국가정보보안연합회 (NISA : National Information Security Alliance) 는정보화로인한각종정보보안위협에효과적으로대응하기위하여국가 공공기관및산 학 연등이자율적으로참여하고, 상호협력함으로써국가정보보안역량제고를추구하기위하여설립된단체이다. 2007년주요활동으로는정부부처 공기업 산학연정보보안책임자등 (150여명) 이참석한가운데 제5회국가정보보안업무발전토론회 를국가정보원및국가보안기술연구소의후원으로 6월개최하였다. 2007년다섯번째를맞이한업무발전토론회는 안전한지식기반사회의지평을열며 라는주제의초청강연과패널토의, 전문강좌, 교양강좌및정보보안기반시설방문등으로진행되었다. 패널토의에서는전자정부보안관리방안에대해다양한의견발표와열띤토론을벌였다. 또한 10월에개최된 산학연 공기업정보보안업무발전토론회 에서는국가정보보안연합회회원및유관기관관계자등 ( 총 70명 ) 이참석하여 국가정보보안지침체계개선 및 정보보안관리수준평가제도 등주요정보보안현안을토론하고의견을공유하였다. 이밖에패널토론에서는정보보안핫이슈로 영화속의일, 현실에서가능한가 에대한심도깊은토론이이루어졌으며에너지 ISAC 설립및운영과관련한공개발표도이루어졌다. 또한, 회원간의친목의장에서는정보보안업무와관련한활발한토론을통해정보공유및상호협력의장을마련하였다. 국가정보보안연합회는지난 5년동안괄목할만한성장을하였고 2007년에 5개기관 ( 통신 ISAC, ETRI 정보보호연구단, 금융보안연구원, 한국정보통신대학교, 한양대학교 ) 이추가로가입함에따라연합회는총 102개회원사로늘어나명실상부한국내최고의정보보안협의체로발돋음하게되었다. 이외에, 좀더나은정보보안에관련된정보교류, 정책제안및상호협력을위하여기존에공기업협의회에가입되어있던 3개연구소가산학연협의회로옮겨활동함으로써각기관간의협력증진을강화하도록하였다. 78 2008 국가정보보호백서

제 3 장국가정보보호활동 제 2 편 [ 표 2-3-3-1] 국가정보보안연합회회원현황 정부부처협의회 (26 개기관 ) 공기업협의회 (23 개기관 ) 산학연협의회 (54 개기관 ) 행정자치부산업자원부외교통상부통일부국무조정실기획예산처비상기획위원회재정경제부교육인적자원부국방부기무사령부과학기술부정보통신부보건복지부건설교통부환경부해양수산부국세청관세청기상청병무청해양경찰청경찰청방송위원회대통령비서실국가청소년위원회 한국전력공사인천국제공항공사건강보험심사평가원공무원연금공단국민건강보험공단국민연금관리공단금융감독원대한무역투자진흥공사대한주택공사한국가스공사한국공항공사한국농촌공사한국도로공사한국방송공사한국수력원자력 ( 주 ) 한국수자원공사한국은행한국자산관리공사한국전력거래소 KOSCOM 한국지역난방공사한국철도공사한국철도시설공단 KT 삼성전자한국정보보호산업협회 (KISIA) 국가보안기술연구소 (NSRI) 국방과학연구소 (ADD) 한국원자력연구원 (KAERI) 한국정보사회진흥원 (NLA) 한국정보보호진흥원 (KISA) 한국사이버테러정보전학회한국정보보호학회성균관대학교 KAIST 경기대학교고려대학교충남대학교서울여자대학교포항공과대학교순천향대학교 LG데이콤 SK텔레콤두산니트젠닉스테크이글루시큐러리더존정보보호서비스소프트런 소프트포럼시큐아이닷컴안랩코코넛어울림정보기술이니텍테스텍파수닷컴나일소프트소만사슈프리마안철수연구소에스티지시큐러티엘지엔시스인젠인포섹잉카인터넷정보보호기술지란지교소프트지모컴펜타시큐리티시스템에이쓰리시큐리티컨설팅 ( 사 ) 통신ISAC ETRI정보보호연구단금융보안연구원한국정보통신학교한양대학교 제 2 편국가정보보호현황 * 가입자순 2. 한국정보보호산업협회 (KISIA) 한국정보보호산업협회 (KISIA : Korea Information Security Industry Association) 는국내정보보호산업발전에기여하기위해 1997년 8월정보보호산업협의회로출범하고이듬해인 1998년 7월협회로재출범했다. 이후정보보호산업의중요성및전략적육성필요성에따라 2004년 9월에 정보통신망이용촉진및정보보호등에관한법률 제 68조의2항에따라법정법인으로거듭나게되었다. 2007년 12월현재네트워크보안, 백신및 PC보안, 콘텐츠보안등정보보호전분야의관련기업 113개사가회원사로활동중이다. 제3장국가정보보호활동 79

제 2 편 제 3 장국가정보보호활동 제 2 편국가정보보호현황 한국정보보호산업협회가수행하는주요사업으로는정보보호관련법제도의효율적인개선방안건의, 혁신적인기술개발을위한산 학 연공동연구및전문인력양성지원, 정보보호산업의현황파악및정책수립을위한시장동향및통계조사, 산업체애로사항공동타개및회원사의견의정부정책에반영, 정보통신부및관련기관과의일원화된업무로인한신속한정보공유가있다. 또한, 국내 외정보보호관련전시회참가지원사업및세미나지원사업, 그리고정보보호산업과관련하여정부및관계기관과의공동연구수행등이있다. 2007년한국정보보호산업협회는국내정보보호산업전반에대한통계조사사업과국내 DRM기업관련산업현황을조사하는연구조사사업등을수행해관련기관및기업들에게정책수립과경영계획수립에필요한중요한기초정보를제공했다. 또한국내기업들의해외진출지원을고도화하기위해미국및일본의정보보호전문전시회에한국공동관을구성해현지바이어와의비즈니스미팅및세미나를진행했고, 중국에는시장개척단을파견하여한 중정보보호세미나를개최해양국의정보보호산업현황에대한이해와교류를활성화할수있는기회를갖기도했다. 국내시장마케팅지원을위해서는분야별 이슈별사안에대한컨퍼런스및세미나를개최해관련정보를기업및기관종사자들에게제공했으며, 유관기관들과의공동전시회개최등을통해우수정보보호제품이효과적으로전시홍보될수있는장을다양하게제공했다. 특히 2007년처음으로개최된 제1회정보보호인력채용박람회 는국내대표적인정보보호기업및기관 25개사가참가해정보보호전공학생및유관분야전공학생들에게회사및제품소개를했으며, 현장에서채용인터뷰를진행해인력채용에어려움을겪고있던정보보호기업들에게우수한인재를채용할수있는효과적인기회를제공하기도했다. 또한, 국내우수정보보호인력을양성하기위해맞춤형정보보호교육을진행했고, 정보보호관련전문자격증취득을위한정보보호전문자격증교육도아울러진행했다. 자치단체및체신청등유관기관전산관리자를대상으로정보보호신기술을소개하는단기교육과정을운영해국가보안체계강화및대국민서비스의질적수준을향상시키는데기여하기도했다. 이밖에한국정보보보산업협회는주무부처및관련유관기관과의긴밀한협조를통해산업계의의견을수시로전달해기업경영의애로사항을해결하는데많은지원을아끼지않고있으며, 국내정보보호산업시장을활성화할수있는다양한정책개발과사업을추진하고있다. 80 2008 국가정보보호백서

제 3 장국가정보보호활동 제 2 편 3. 한국침해사고대응팀협의회 (CONCERT, CONsortium of CERT) 한국침해사고대응팀협의회는민간기업및기관에소속된침해사고대응팀이자발적으로참여해구성된협의체로 1996년설립되었으며민간기업및기관이자율적으로참여하는조직의특성을최대화하기위해지난 2005년 6월사단법인으로재출범하였다. 한국침해사고대응팀협의회의주요업무로는신속한정보교환을위한연락체계구축, 정보통신망침해사고관련정보및기술상호교환, 국제적인정보통신망침해사고대응을위한제반활동, 정보통신망운영기관들의 CERT 구성지원, 침해사고대응기술력향상을위한교육및세미나개최등이있으며, 민간기업및기관내정보보호관련조직구성을위한지원도함께이뤄지고있다. 한국침해사고대응팀협의회는정회원 ( 정보통신망을운영하는기관중침해사고대응팀혹은대응업무부서를운영중인단체또는회사 ), 준회원 ( 정보통신망을운영하는기관중침해사고대응팀혹은대응업무부서를준비중인단체또는회사 ), 협력회원 ( 정보보호관련서비스 / 시스템을제조, 판매하는업체 ) 으로구분되어있으며정회원 105개사, 준회원 169개사, 협력회원 90개사등총 364개기업및기관이회원으로활동하고있다. 2007년 3월에기업정보보호트렌드를가늠해보는 기업정보보호 7대이슈전망 보고서발간과컨퍼런스세미나인 CONCERT FORECAST 2007 을개최하여새롭게등장할이슈와더불어기업및기관정보보호의연간활동방향을제시하였다. 또한, 2007년 6월에정보보호솔루션선택시기업정보보호관계자들이필요로하는기능이무엇이고, 보안제품에대한사용자의선택기준은무엇이어야하는지를제시하기위한노력의일환으로, 지난해많은관심을끌었던 UTM 솔루션들의주요기능과선택기준을살펴보는 2007 UTM Contest 를개최했다. 특히, 행사이후발간된 UTM CONTEST 결과 Report 는 UTM 솔루션을사용할사용자가고려해야할다양한선택기준과활용방안을제시하였다는점에서큰의의가있었다. 2007년 9월에는국내기업정보보호관리자및전문가들과공동으로 2007 CERT 구축및운영가이드 를제작해 CERT 혹은정보보호관련부서의신설과운영에필요한가이드라인을제시하였으며, 이를토대로 2007년 10월에는기업 CERT 구성원및정보보호담당자들을대상으로한교육프로그램 CERT 구축및운영교육 을실시하였다. 한편, 제11회해킹방지워크샵 을 2007년 11월에개최해민간분야의정보보호수준강화와 CERT 및정보보호부서의자체역량강화를위한침해사고대응사례와보안활동사례를공유하고토론할수있는장을마련하였다. 제 2 편국가정보보호현황 제3장국가정보보호활동 81

제 2 편 제 3 장국가정보보호활동 한국침해사고대응팀협의회에서는 2008년한해에도민간기업및기관 CERT와정보보호관련부서에필요한정보를전달하고공유하기위한다양한컨퍼런스 세미나 교육프로그램을개최하는한편, 민간기업및기관의정보보호활동을지원하기위한다양한자료집과보고서를제작 발간할예정이다. 제 2 편국가정보보호현황 4. 한국정보보호학회 (KIISC) 한국정보보호학회 (KIISC : Korea Institute of Information Security and Cryptology) 는정보보호를위한학술및기술의진흥과관련분야의발전과학술적연구및이에필요한사업을목적으로 1990년 12월창립되었다. 한국정보보호학회에서는정보보호에관한학술연구발표회및평론회의개최, 학술적 기술적연구조사및발간사업, 표준및규격의제정에관한연구, 기술의보급및발전을위한사업, 전문가양성을위한기반조성사업등을수행한다. 한국정보보호학회주관으로다양한국내외학술대회를개최할뿐만아니라지역사회의특성을고려하여지부별학술활동을수행하고있다. 또한, 전문성이높은분야별학술연구를위해 16개의연구회를두고있다. 학회산하연구회로는디지털포렌식연구회, 리눅스보안연구회, 바이러스및해커대책연구회, 생체인증연구회, 소프트웨어보안연구회, 암호연구회, 유비쿼터스정보보호연구회, 전자선거연구회, 정보보호교육연구회, 정보보호조기경보시스템연구회, 정보보호표준연구회, 홈네트워크보안연구회, IT보안성평가연구회, 멀티미디어보호연구회, OTP 연구회, 정보보호관리및정책연구회가있다. 각연구회에서는해당분야의권위있는전문가들을초청하여최근연구결과와국내외기술동향을집중적으로논의하는각종워크샵을정기적으로개최하고있다. 2007년 3월에정보보호관리및정책연구회의발기인대회를시작으로 4월에는 OTP 연구회에서 OTP의기술동향및사례에대한 OTP 응용워크샵을개최하였다. 6월에는정보보호교육연구회에서정보보호분야의교육을담당하고있는전문가들을대상으로교과과정, 교육내용, 교육사례등을발표하는정보보호교육워크샵 (WISE : Workshop on Information Security Education) 을개최하였고, 유비쿼터스정보보호연구회에서는유비쿼터스정보보호워크샵을개최하여지식정보산업의핵심이되는유 무선기반의차세대유비쿼터스정보보호기술과응용기술에대한전문기술교류의장을만들었다. 이외에도정보보호표준연구회의정보보안기술표준화워크샵, 홈네트워크보안연구회와 OTP연구회의공동으로주최한 u-홈보안 / 82 2008 국가정보보호백서

제 3 장국가정보보호활동 제 2 편 OTP 공동심포지엄, 디지털포렌식연구회의안티포렌식대응기술워크샵등다양한학술행사를개최함으로써학술활동을활성화하고있다. 2007년 4월정보통신망정보보호워크숍 (NETSEC-KR) 은 Upcoming Network Security Challenge 라는주제로최근기술동향과연구성과는물론국가적으로필요로하는정보보호기술및대안수립을위한실질적인토론의장이었다. 또한, 2007년 6월, 정보보호와관련된모든분야의최신연구결과를발표 토론할수있는하계종합학술대회 (CISC-S/W) 와 2007년 12월에동계학술대회를개최하였다. 국제학술행사로는 2007년 8월네트워크보안과응용보안에특화된국제학술행사로써국제정보보호응용워크샵 (WISA : Workshop on Information Security Applications) 을개최하였다. 또한, 11월에암호이론중심의국제학술대회인정보보호암호국제학술회의 (ICISC : International Conference on Information Security and Cryptology) 를개최하여학자및연구원들에게차세대암호기술관련연구결과발표의장을제공하였다. 그리고 12월에는디지털콘텐츠기술부문의디지털워터마킹기술 ( 영상, 동영상, 음악등각종멀티미디어데이타의저작권보호, 인증, 불법유통방지를위한중요한기술 ) 의최신국제연구동향을파악하고정보를교환하며미국이나유럽등지의연구자들과의직접적인정보교류의장을마련하기위해디지털워터마킹국제학술대회 (IWDW : International Workshop on Digital Watermarking) 를중국광저우에서개최하였다. 국가간정보교류를넓히기위해한국과일본의학자들을중심으로구성된정보보호조인트워크샵 (JWIS) 이일본에서 8월에개최되었고 10월에는정보보호표준에관련된발표와토론의장인한 중 일표준화워크샵 (CJK SWIS) 을개최하였다. 제 2 편국가정보보호현황 5. 한국사이버테러정보전학회 (KIAS) 한국사이버테러정보전학회 (KIAS : Korea Information Assurance Society) 는사이버테러및정보전에관한학문연구 기술개발 기반구축을도모하고국내 외관계기관과학술교류와정보교환을통해회원상호간의전문지식을배양하고, 궁극적으로는국가중요정보기반구조의보호를목적으로 2001년 12월군 관 산 학 연전문가에의해출범하였다. 출범이후 사이버테러와정보전 (Cyber Terror & Information warfare) 을주제로일반인및관련분야전문가를대상으로정기적인컨퍼런스와학술대회를개최해오고있다. 사이버테러 정보전컨퍼런스 를통해국가사이버안보체계정립과정보보안기술개발방향을제시 제3장국가정보보호활동 83

제 2 편 제 3 장국가정보보호활동 제 2 편국가정보보호현황 하는데노력해왔으며정기적인학술대회를통해사이버테러대응및정보전에관련한개념연구, 전략 / 전술, 정보시스템에기반한 C4ISR체계및관련기술에대한이론및연구개발에일조하였다. 특히, 실제적인군의정보보호전문인력양성을위해학회는국방부로부터 국방정보보호전문가과정 에대한교육을위탁받아국방정보보호전문인력을배출하고있다. 2008년부터는산하 사이버범죄수사연구소 에사이버범죄수사과정을설치하여날로증가하고있는사이버범죄를대처할수있는전문인력양성을준비하고있다. 학회에서는 8개분야별연구회를두고있고년 4회정보보안논문지와년 1회사이버테러정보전학회지의발간을기본으로정보전기술에대한발표및학술토의를열거나사이버테러및정보전에관련한국내외유수의전문가들과함께국제컨퍼런스를개최하는등활발한학술연구활동을진행하고있다. 이러한활동들을통해한국의정보전대응능력의배양과전문성이고취되고있으며, 이렇게집약된기술및지식들은논문지 학회지를통해배포되고있다. 6. 한국 CPO 포럼 한국CPO(Chief Privacy Officer) 포럼은개인정보보호가중요해짐에따라 2007년 7월 21개대기업개인정보보호담당임원들을중심으로첫모임을가진이후, 2008년 3월사단법인으로공식출범하였다. 한국CPO포럼은조직의의사결정권을가진경영진이참여하여개인정보관련현안이슈에대한정보를공유하는장을마련하고, 이를해결하기위한방향을모색하는데그설립목적이있다. 현재포럼은월례모임을통해개인정보 / 프라이버시에관한새로운정보를공유 논의해오고있으며향후국제심포지엄을통해해외선진기업의동향및사레분석, 연구를소개함으로써국내프라이버시보호수준의향상을도모할계획이다. 84 2008 국가정보보호백서

제 3 장국가정보보호활동 제 2 편 제 4 절국제협력 1. 국제공조및지원 가. 제4차 ARF(Asean Regional Forum) 사이버테러리즘세미나개최 2007년 10월부산에서국가사이버안전센터와외교부공동주관으로 제4차 ARF 사이버테러리즘세미나 가개최되었다. 이번행사에는 27개회원국중 25개국 91명이참석하여이전세미나에비해최대성황을이루었으며주제발표및토의외에도 사이버테러시연회 와 첨단정보보호제품전시회 를함께개최함으로써참가자들의관심을배가시킬수있었다. 금번세미나에서우리나라는회원국간협력체계강화및원활한정보공유를위해사이버테러리즘대응방안연구를위한워킹그룹구성을제안하였고대다수회원국의지지를얻어유일하게 ARF 본회의에상정되는성과를거두었다. 한편, 국내에서개최된사이버안전관련세미나에처음으로북한이 4명의대표단을파견하였으며특별발언을통해사이버테러리즘대응을위한국제적협력의필요성을제기하는등적극적으로참여하는모습을보여다른국가참석자들의관심을높이는역할도하였다. 제 2 편국가정보보호현황 나. 제 8 차국제상호인정협정 (CCRA) 정기총회참석 국가정보원은 2007년 9월이탈리아에서개최된제8차 CCRA 정기총회및국제공통평가기준컨퍼런스에우리나라인증기관자격은물론 CCRA 인증서발행국자격으로참석하였다. 정기총회에서국가정보원은 2006년개발한인증업무종합관리시스템을소개하였고한남대는평가기간및비용추정과관련한연구결과를발표하였다. 또한, 한국정보보호진흥원은통신단말기관련보호프로파일 (PP) 을발표하였다. 향후, 2008년 9차정기총회는우리나라제주도에서개최될예정이다. 제3장국가정보보호활동 85

제 2 편 제 3 장국가정보보호활동 다. MERIDIAN 2007 참가 제 2 편국가정보보호현황 G8 정상회의에서는비상시를가정한긴급연락체계및신뢰할수있는환경의정보공유체계구축을제안함에따라 G8 국가를중심으로 2005년부터 MERIDIAN 회의를개최하기시작했다. 동회의는특히주요기반시설보호를위한민관협력의손익을분석하고벤치마킹할수있는모범사례 (best practice) 를공유할수있는기회를마련하였다. MERIDIAN 2007 회의에는총 45개국 120여명이참가하였다. 특히, ENISA, EU, ITU 등국제기구도참가하였다. 금번회의에서는 MERIDIAN이주요정보통신기반보호를위해국가간정보교환과협력의중요한장 ( ) 이되기를기대하면서주요정보통신기반보호를위한공공-민간협력방안, 공정제어시스템보안 (PCS Security) 및국제정보교환에대한심도깊은토론이이루어졌다. 2008년회의는싱가포르에서개최될예정으로중국을비롯한많은아시아, 중동국가와 OECD, APEC 등국제기구도신규참가할것으로예상되고있다. 라. 말레이시아 MCMC 와정보보호협력을위한공동성명서체결 한국정보보호진흥원은 2007년 4월말레이시아통신멀티미디어위원회 (MCMC : Malaysian Communications and Multimedia Commission) 와인터넷침해사고대응협력등네트워크정보보호분야협력을위한공동성명서를작성했다. 말레이시아 MCMC는통신, 방송, 멀티미디어분야의정책조정및감독기구로공동성명서에서는안전한사이버환경구축을위해네트워크정보보호분야에서상호협력이무엇보다도필요하다는것에인식을같이함은물론, 이분야에서의협력관계를지속적으로발전시켜나가는것에합의하였다. 한국정보보호진흥원은공동성명서체결을통해서침해사고대응분야에서말레이시아와더욱긴밀한협조체계를구축하게됨은물론, 아태지역에서의국가간침해사고대응협력을우리나라가주도적으로추진해나가는계기가될것으로내다보고있다. 86 2008 국가정보보호백서

제 3 장국가정보보호활동 제 2 편 2. 국제공동연구및국제기구활동 가. 아시아바이오인식컨소시움 (ABC) 초대사무국유치 한국정보보호진흥원바이오인식정보시험센터는 2007년 5월싱가폴에서개최된아시아바이오인식컨소시움 (ABC : Asian Biometrics Consortium) 창립총회에서초대사무국으로결정되었다. 아시아바이오인식컨소시움은아시아 8개국 ( 한국, 일본, 중국, 싱가폴, 대만, 홍콩, 말레이지아, 인도 ) 산 학 연 관전문가그룹으로구성하여아시아지역바이오인식산업진흥을위해발족되었다. 한국정보보호진흥원은향후 3년간초대사무국으로아시아바이오인식제품경진대회와산학연관전문가학술대회및제품전시회를주도함으로써국내산업의아시아시장진출및국제협력을통한기술경쟁력강화지원에전력을기울일계획이다. 제 2 편국가정보보호현황 나. 국내정보보호기술의국제표준화활동강화 한국정보보호진흥원은 2007년 4월스위스제네바에서열린 ITU-T 표준화회의에서바이오정보보호기술및홈네트워크보안, 멀티캐스트보안등다양한응용서비스보안기술에대한기고서를발표해국제표준에반영하는성과를올렸다. 특히, 멀티캐스트보안분야의 멀티캐스트보안요구사항및프레임워크 가 ITU-T 신규추진과제로채택됐을뿐만아니라, 국내연구원이에디터로선임돼멀티캐스트보안기술에대한국제표준을선도하기위한발판을마련하였고, 스팸대응분야에서도 IP 멀티미디어스팸대응프레임워크 권고초안의협력에디터로임명됐었다. 이외에도국내의바이오정보보안기술분야의 통신상의바이오정보보안대책, 바이오정보통신보안프로토콜, RFID 보안기술분야의 RFID 프라이버시보호가이드라인 등에대한기고서가권고초안에반영됐다. 다. 아시아 PKI 컨소시엄 아시아 PKI 포럼이 2007년 11월중국서안에서정기회의를개최하고아시아 PKI 컨소시엄으로거듭났다. 제3장국가정보보호활동 87

제 2 편 제 3 장국가정보보호활동 제 2 편국가정보보호현황 우리나라를비롯해중국, 대만, 인도, 베트남등 8개회원국대표가참석한이번정기회의에서는조직의회원자격을일반기업및기관과개인, 비영리조직등으로넓히는한편, 활동영역도 PKI분야를포함해스팸방지, 교육훈련, 컨설팅서비스등정보보호전반으로확대하는새로운조직구성방안을확정했다. 각회원국대표와전세계 PKI 전문가 200여명이참석한가운데열린제1회아시아 PKI 컨소시엄국제심포지엄에서는전자거래보안의미래, 차세대인증기반구축방안, 각국전자인증구축현황및발전전망등에대해전문가들의발표와열띤토론이있었다. 아시아 PKI 컨소시엄의전신인아시아 PKI 포럼은지난 2001년설립이후, 국가간상호연동기반구축을위한정책적, 기술적해결방안과 PKI 비즈니스활성화를위해노력해왔으며, 우리나라역시 2년간의장국을맡는등주도적인역할을해오고있다. 라. OECD 정보보호작업반회의 정보보호작업반 (WPISP) 연례회의참석을통해 2008년 6월한국에서개최될예정인 OECD 정보통신장관회의의정책프레임워크마련및이에포함되는주요정보통신기반시설보호, 악성소프트웨어방지, RFID 프라이버시보호방안, ID 도용방지, 국가간법집행공조향후과제등에대한회원국간협의를추진하였다. 아울러디지털 ID 관리를위한정책도출을위해자발적그룹으로참여하고, 지속적으로우리의견을개진 반영하였다. 또한우리나라가개발한국가정보보호지수의국제화를위해회원국의적극적인참여를이끌어내기위한노력을기울였다. 3. 국제전문전시회참가 2007년도는국내정보보호업체의해외진출이매우활발하게전개되었다. 협소한국내정보보호시장을벗어나해외로진출하고자하는기업이점차증가하고있으며분야별제품에따라매우활발히해외진출이이루어지고있다. 국내기업이전략적으로진출하고자많은준비를하고있는국가는일본이다. 일본은 2005년개인정보보호법의시행으로관련수요가급증하고있으며 2008년시행을앞둔 SOX법에따라다시한번정보보호관련수요가급증할것으로보이기때문이다. 다음으로준비중인국가는중국으로국내정보보호기업들이꾸준히진출을꾀하고있다. 이밖에북미와제품에따라서는유럽과중동에까지다양하게진출하고 88 2008 국가정보보호백서

제 3 장국가정보보호활동 제 2 편 있다. 2007년도국내정보보호기업은한국정보보호산업협회주관국내정보보호기업의전략적시장진출대상국인일본의전시회에 2회참가했고, 미국전시회에한국공동관을구성해참가하는등 3회참가했고, 그밖에시장개척단을 1회파견해업체들이효과적으로수출할수있는기회를제공했다. 가. 해외전문전시회참가한국정보보호산업협회는 2007년 5월일본에서개최된정보보호관련전시회중최대규모를자랑하는 IST 2007 전시회에바이오인식, DRM 및위협관리전문업체등 10개사로구성된한국공동관을운영해일본진출을희망하는전문기업들에게최적의기회를제공했다. IST(Information Security Expo) 전시회는일본에서개최되는최대의정보보호전문전시회로한국정보보호산업협회는 2005년부터 3년째이전시회에한국공동관을구성해참가하고있다. 주요전시제품은네트워크보안관련전제품과안티바이러스및안티스팸솔루션, PC보안관련제품, 바이오인식제품등정보보호관련전제품이대상이다. 또한 10월동경에서개최된 SS(Security Solution) 2007 전시회에기업보안관리전문기업을비롯해 DRM 개발기업, 바이오인식기업체등 11개사로구성된한국공동관을구성해참가하기도했다. 이전시회는지방자치단체와공동으로지역의특화주력업체들인 DRM관련제품을공동브랜드로전시해참관객들의높은호응을얻었다. 특히, 상대적으로경쟁력이열악한지방의정보보호기업들이공동브랜드를이용해전략적으로시장에진출할수있는가능성을보여준기회였다. 동전시회에서는유관기관과의협력을통해사전비즈니스매칭을통해 1:1 비즈니스상담회를개최했으며, 현장에서도관심기업들을공동관으로안내해비즈니스상담회를진행하는등적극적인전시참가지원으로업체들에게유용한기회를제공했다. 또한 11월에는북미최대의정보보호전문전시회인 CSI(Computer Security Institute) 2007에내부정보유출방지및워터마킹관련기업등 7개회사로구성된한국공동관을구성참가해북미시장진출을계획하고있는기업들에게효과적인비즈니스기회를제공했다. 동전시회는협회가 2004년부터 4년째한국공동관을구성해참가하고있고지속적인참가로한국의인지도가점차높아지고있는상황이다. 제 2 편국가정보보호현황 제3장국가정보보호활동 89

제 2 편 제 3 장국가정보보호활동 나. 시장개척단파견 제 2 편국가정보보호현황 2007년에는해외전문전시회참가와더불어시장개척단파견도활발히진행되었다. 7월에는제2회한중정보보호제품설명회및교류회를개최해참가기업들에게효과적인마케팅기회를제공했다. 동시장개척단파견은바이오인식전문기업을포함해네트워크보안, PC 보안기업등분야별유망기업 9개사가참가했으며, 상담회에앞서참가기업들의제품및보유기술을소개하는세미나를개최해좋은반응을얻었다. 북경및상해에서 2회진행된중국시장개척단파견으로국내기업들은 IT관련수요와더불에급증하고있는정보보호수요국으로부상하고있는중국에보다효과적으로진출할수있는기회를확보했다. 또한현지협력파트너와채널을발굴하는좋은기회를갖기도했다. 2008년도올림픽개최를앞두고 IT관련수요가급증하고있는중국은정보보호에대한인식도매우빠르게확산되고있어향후국내정보보호기업들이전략적진출을적극적으로추진해야할것으로보인다. 이밖에협회차원에서아시아주요국및유럽, 북미국가에서방문한바이어와국내정보보호업체가미팅을주선해상호협력할수있는기회를많이제공했다. 특히, 정보보호산업포털사이트 (www.koreasecurity.or.kr) 에서는국내정보보호기업과제품에대한소개를영문, 중문및일본어등 4개국어로해외바이어와관련기관들에게관련정보를제공하고있다. 90 2008 국가정보보호백서

제 4 장전자정부정보보호활동 제 2 편 제 4 장 전자정부정보보호활동 제 1 절정부암호이용시스템구축 1. 추진배경전자정부통합망구축으로기관간전자문서유통이확대되면서사이버침해로인한국가기밀유출에따른피해가우려되어주요행정정보를암호화하고안전하게유통 보관할수있는정보보호체계구축이필요하게되었다. 또한, 전자정부통합망을통한전자문서유통이확대되었지만비밀문서를전자적으로생산 유통할수있는보안시스템이없어인편으로비밀문서를수발하였다. 이러한불편함을해소하기위해비밀문서를안전하게온라인으로유통이가능하도록하는비밀문서생산관리전용시스템의개발과보급에대한필요성이제기되었다. 이에따라, 정부는이러한요구를반영하여 2003년 8월 정보보호체계구축사업 을전자정부로드맵 31대과제의하나로선정하고 정부암호이용시스템구축사업 을추진하였다. 제 2 편국가정보보호현황 2. 추진실적및계획 정보보호체계구축사업 에대한공동주관기관인국가정보원, 행정자치부는전자정부암호이용기반시스템 (GKMI) 과행정전자서명 (GPKI) 간연계를통해안전한전자정부서비스정보보호체계를수립하여일반전자문서에서부터비밀문서등중요전자문서까지안전한유통을보장하였다. 또한, 암호키분실 훼손등으로발생할수있는행정정보의손실을방지함으로써행정업무의연속성을보장하는것을목표로 정부암호이용시스템구축사업 을추진하였다. 본사업은중요전자문서유통의암호화인증기반을제공하기위한 정부암호이용시스템 과일반전자문서의암 복호화시데이터신뢰성제고를위한 행정전자서명인증체계 (GPKI) 제4장전자정부정보보호활동 91

제 2 편 제 4 장전자정부정보보호활동 제 2 편국가정보보호현황 [ 그림 2-4-1-1] 전자정부암호이용시스템활용개념도 내암호키관리시스템 구축및안전한전자문서시스템구축 운영방안을제시하기위한 전자정부정보보호기반적용방안 수립으로추진되었다. 정부암호이용시스템 ( 비밀관리시스템 ) 은전자정부의중요자료를암호화하여생산 유통 보관할수있는보안인프라와사용편리성과신뢰성을위해보안이강화된하드웨어방식 (USB형) 암호모듈및각급기관의다양한응용프로그램에적용가능한암호화표준보안모듈 API(Application Programming Interface) 를제공하고있다. 암호키관리시스템은암호용키를위탁 복구하는시스템으로행정기관간전자문서유통의연속성과안전한복구를보장한다. 암호키관리체계의주요기관별역할은 [ 표 2-4-1-1] 과같다. 92 2008 국가정보보호백서

제 4 장전자정부정보보호활동 제 2 편 [ 표 2-4-1-1] 암호키관리체계기관및역할 기관명 최상위암호인증기관 역할 최상위암호인증서발급 암호이용기반시스템보안관리총괄 사용자암호키분할 분산관리 암호인증기관 암호키관리기관 암호키관리기관 ( 각급기관 ) 에암호용인증서발급 사용자암호키분할 관리 사용자암호인증서등록 분산관리 사용자암호키생성 복구 발급 사용자암호키분할 관리 마지막으로전자정부정보보호기반적용방안수립은전자문서처리단계별보안적용지침, 전자문서시스템구축시활용가이드및전자문서위 변조방지방안제시를통하여일반전자문서및행정정보에대한안전한전자문서시스템의구축 운영방안을제시한다. 한편, 2006년 5월대통령비서실등유관기관간업무협의에서비밀문서의전자적처리방안을마련하도록결정되어 12월부터전자정부암호이용기반시스템확충사업으로비밀문서관리시스템개발방안마련을위한정보화전략계획 (ISP) 수립이추진되어독립적인비밀문서관리시스템을통한비밀문서의유통방식이제시됨에따라 2007년 12월부터개발사업을추진하고있다. 본사업은일반전자문서뿐만아니라대외비이상의비밀전자문서의생산 결재 유통및이관등모든처리절차가온라인으로수행되는것을목표로하고있으며 2008년 6월개발완료를목표로추진중에있다. 제 2 편국가정보보호현황 3. 기대효과 정부암호이용시스템구축사업은비밀문서의온라인유통이가능케하여시간적, 인적, 물적비용을절감하고, 범정부차원의통합정보보호체계구축을통해정보시스템별정보보호체계구축 운영에대한비용절감효과를기대할수있다. 또한, 백업및이중화체계를구축하여안정적운영과지속적인가용성을확보하고, 암호키분실 훼손으로암호화된행정정보복구불가의역기능방지와안전한중요전자문서유통을보장하여, 일반전자문서에서부터중요전자문서까지종이없는안전한전자정부서비스구현에이바지하게될것이다. 제4장전자정부정보보호활동 93

제 2 편 제 4 장전자정부정보보호활동 제 2 절행정전자서명인증시스템고도화 1. 추진배경및목적 제 2 편국가정보보호현황 전자정부법개정에따른행정정보공유, 전자문서유통확대및정부업무관리시스템확대보급에따라인증서발급및검증서비스의많은수요발생이예상되고있지만현재운영중인행정전자서명인증시스템의 50% 이상이 5년이상경과된노후장비로, 장비단종으로인해 CPU 및메모리증설이불가능하고, 보안패치지원중단등문제가발생하였다. 또한, 그동안의행정전자서명인증시스템개발 구축사업은부분적인시스템도입과업그레이드에따라전체시스템에대한최적화가미흡하였고, 개인정보보호, 해킹등사이버위협에대비해행정전자서명인증시스템전반에대한보안성강화가필요하여동시스템고도화사업을추진하였다. 2. 추진실적및계획 행정전자서명인증시스템고도화사업은행정전자서명인증서발급대상을공공 금융기관까지확대하고수요증가와장비의노후화에따라최적의시스템으로재구축하여안정적인행정전자서명인증서비스를구현한다. 또한, 전자문서유통등온라인행정수요의증가에따라주요행정정보및개인정보유통시위 변조및훼손방지, 송수신정보의암호화유통을통한기밀보호, 사이버상에서의신원확인등을위해 [ 그림 2-4-2-1] 과같이안전하고신뢰할수있는전자행정인프라확보를목표로하고있다. 94 2008 국가정보보호백서

제 4 장전자정부정보보호활동 제 2 편 사용자인증서관리영역 서비스영역 등록관리자 관리자 인증서등록신청 행정기관 사용자 행정업무 문서유통센터 행정정보공동이용 G4C 기타업무 인증서등록 / 발급요청 인증 권한관리서비스 행정기관용인증관리시스템 CA 인증서발급 / 폐지 인증관리기반시스템 인증센터용페이지 인증서발급신청 통합검증 통합인증서검증인계 인증유효성검증시스템 사용자권한관리시스템권한인증원인저장 사용자인증서비스 RA 인증서등록 OCSP 실시간인증서유효성검증 공공금융기관용인증시스템 인증관리기반시스템 웹관리도구디렉토리웹관리도구 인증서발급및사용 인증서발급및사용 CRL목록검색자정보관리자정보통합관리 인증서정보 Root CA 최상위인증기관 TSA 시험확인시스템 권한정보저장서비스 CA 인증서발급 / 폐지 인증유효성결증시스템 OCSP 실시간인증서유효성검증 RA TSA 시험확인시스템 사용자권한관리시스템권한인증원인저장 사용자인증서비스 인증서등록 인증서정보 권한정보저장서비스 인증서등록 / 발급요청 인증 권한관리서비스 등록관리자 관리자 인증서등록신청행정기관 사용자 정보이용 행정정보공동이용 G4C 기타업무 사용자인증서관리영역 서비스영역 제 2 편국가정보보호현황 인프라영역 행정기관 행정전자서명인증관리시스템 공공금융기관 모니터링시스템 백업시스템 메일시스템 보안 보안관제 일반모니터링시스템 통제시스템 각시스템정책통계등 백업서버 백업시스템 스토리지 용량증설 메일시스템 전자메일발송 벨방어벽 웹에플리케이션보안 키보드보안 DB접근제어 DB접근제어 [ 그림 2-4-2-1] 행정전자서명인증시스템개념도 * 출처 : 행정자치부, 2007 2007년에는행정전자서명인증시스템확충, 행정전자서명인증및암호키관리시스템고도화와비밀문서관리시스템개발을주요사업으로추진하였다. 행정전자서명인증시스템확충은온라인인증서비스의수요에대응하기위해하드웨어장비를확충, 응용시스템업그레이드및확대구축을추진하는한편정책통계시스템을구축하였다. 행정전자서명인증및암호키관리시스템고도화는행정기관공무원을대상으로인터넷을통한인증서발급및온라인암호이용서비스를제공하기위해인터넷에서의인증및암호서비스제공을위한보안게이트웨이구축, 암호키관리시스템기능고도화, 통합검증및권한관리에대한부하량과제어관리시스템도입및디스크저장공간확충을수행하였다. 비밀문서관리시스템개발은행정기관의중요전자문서생산 유통 보관에대한안전성을제공하기위해비밀문서관리시스템및비밀기능분류시스템을구축하는것이다. 2008년에는백업체계구축, 전자문서무결성확인및검증시스템구축등최신기술발전경향과업무변화등을고려하여전자정부서비스의보안을강화할수있는사업을지속적으로추진해나갈계획이다. 제4장전자정부정보보호활동 95

제 2 편 제 4 장전자정부정보보호활동 제 3 절정부온라인원격근무서비스 (GVPN) 개선 1. 추진배경및목적 제 2 편국가정보보호현황 정부온라인원격근무서비스는공무원들의일하는방식을혁신하고, 업무효율성을증대시키기위해전자결재나메일등의업무처리를사무실에서와마찬가지로집또는출장지에서도처리할수있도록지원하는 GVPN(Government Virtual Private Network) 서비스이다. 최근주5일제, 재택근무, 탄력근무등의시행으로공무원이인터넷을통해원격접속업무처리수요는지속적으로증가하고있으나, 현정부온라인원격근무서비스는기능및용량부족으로접속과이용이어려워시스템용량증설및기능개선의필요성이제기되었다. 또한사용자개인용 PC의해킹경유지악용, 웜 바이러스감염등행정내부에유입되는사이버위협이커지고있고정부온라인원격근무서비스프로그램을사용자가이용하는데에많은어려움이있어지속적인보완요구가제기되었다. 2. 추진실적및계획 정부온라인원격근무서비스는 2003년 6월구축되었다. 동서비스는개선사업을통해노후화된시스템기능및용량확충, 보안성강화를추진하였고웹기반포탈시스템을구축하여사용자들이보다편리하고안전하게업무에활용할수있도록개선하였다. 2007년 12월현재정부온라인원격근무서비스를사용하는공무원 42,879명이며활용하고있는업무수는 380개이다. 특히 2007년도에는개선사업을통해사용자수를현재 3만5천명에서 10만명까지확대수용할수있도록시스템용량을확충하였다. 이기종 GVPN 게이트웨이호환성확보를통한관련기관간에시스템확장성을향상시켰고, 사이버위협에대응하기위한정보보호시스템보강및운영인프라고도화를통해서비스의안전성 신뢰성확보및이용활성화의토대를마련하였다. 96 2008 국가정보보호백서

제 4 장전자정부정보보호활동 제 2 편 C-to-G 중앙행정기관 원격자공무원 지방자치단체 원격자공무원 C-to-G 전자정부통합만미역계기관 원격자공무원 범례 업그레이드증설기존신규구축 인터넷망 Gateway관리 Gateway 중앙집중관리 Gateway 동작현황모니터링 Gateway 정보관리 Firmware 자동업데이트 사용자관리 부처별사용자관리 사용자레밸설정 사용자그룹및관리 인증 (CA) 등록 (RA) OCSP서버 정부원격근무지원시스템 (GVPN) GVPN 통합관리시스템정책작성관리로그관리보고서관리 GVPN사용자포털시스템 GVPN 관리자포탈시스템 장애처리지원 GVPN신청및접속 프로그램설치 사용자관리 장애관리 장애처리지원 GVPN 사용신청 프로그램자동설치 GVPN 사용자관리 장애업무처리자동화 장애저리접수관리 로그인 / 인증 - GVPN Client프로그램자동 GVPN사용신청관리 -장애처리접수 장애처리이력관리 - GVPN 로그인 설치 GVPN 사용자등록안정관리 -장애처리담당자할당 장애처리원격지원 - GVPN 인증 - 보안프로그램버전관리 GVPN 사용기록 설치프로그램안내보안정보제공 -장애처리결과통보 장애처리상태및현장관리 장애처리메일발송 - GVPN신청내역조회 - 이용가능업무조회 장애처리 장애사항계시 장애처리신청 장애처리상태및결과조회 장애원격지원프로그램설치 행정전자서명인증관리센터 사용자프로그램설치현황 정보제공 GVPN 소개 업무절차및장애처리절차소개 수동설치를위한프로그램자료실 공지사항, 뉴스, FAQ, Q&A 등정보공유채널 Gateway 동신정책관리 업무선별법통신정책관리 정책그룹및관리 사용자레벨및그룹별통신정책관리 빛깔정책적용가능 정책업그레이드가능 보안게시판 보안정책보고서 혁신위협및보안관련뉴스제공 장애법긴급대체방법커뮤니티관리 게시판권한관리 게시판범위관리 게시판? 턴후관리 사용자 / 업무게시판관리 장애처리결과발신 담당자할당메일발신 Gatway 이벤트로그 GVPN 통신로그 접속케어로그 Cllem 프로그램설치로그 로그관리서버로전송 로그통계리포팅 통계및리포트 사용통계 -GVPN 사용자통계 -GVPN 접속통계 -업무시스템접근통계 장애통계 -장애접수현황 -장애처리현장 원격지원 Client 자동설치 원격연결 이용자현황 보안이력관리 장애원인분석 장애처리현황 로그분석가능 장애유형관리 장애유형분류 유형별처리단계관리 처리단계별담당자정보관리 유형별표준사례관리 메일시스템원격지원시스템사용자역추적시스템패킷수집시스템위협관리시스템 부정사용자권고 추적위한이벤트제어와조건처리 GVPN 인정패킷수집 패킷분류 사용자 DB Gatway 정보 DB 정책정보 DB 장애 DB 통합로그 DB 통계 DB 정보관리 DB 트래픽모니터링 // 분석조회 GVPN 전송지현황로그분석조회 Client to Gateway Gateway to Gateway 전자정부통신망 대상기관 중앙행정기관 행정자치부, 법무부, 해양수산부등 37개중앙행정기관 지방자치단체 16 개시도기관및 127 개시군구기관 서비스영역 대상업무 전자문서유통재정정보시스템 전자우편전자결재 중앙행정기관 100 개활용없무 시 도지방자치단체 47 개활용업무 시, 군구자치단테 164 개활용업무 제 2 편국가정보보호현황 * 출처 : 행정자치부, 2007 [ 그림 2-4-3-1] 정부온라인원격근무서비스시스템개념도 향후정부는온라인원격근무서비스이용활성화방안을수립 추진하여모든공무원들이시간과공간제약이없이편리하게원격지에서근무를할수있도록인지도를제고하고, 홈페이지를포함한다양한경로를통해교육기회를제공할계획이다. 또한, 수요증가및모바일환경을대비하여향후시스템발전방향을수립하여지속적으로추진할계획이다. 제4장전자정부정보보호활동 97

제 2 편 제 4 장전자정부정보보호활동 제 4 절전자정부사이버공격대응체계구축 제 2 편국가정보보호현황 행정자치부는 2008년초부터전국 16개시 도에 지방사이버침해대응센터 를설치하여지자체가독자적으로사이버위협에대응할수있는체계를갖추게함으로써전자정부에대한사이버공격을중앙과지방이공동대응하는범정부적인전자정부사이버공격대응체계구축을추진중이다. 지방센터는지자체에서보유하고있는 6,300여대의서버를 24시간모니터링하여해킹 바이러스등사이버공격의사전탐지 차단을수행하되그동안 국가사이버안전센터 와 전자정부사이버침해대응센터 가산발적으로지자체사이버공격징후를체크하여신속한대응에한계가있었던문제점을해결할것으로보인다. 지방센터는앞으로웹 바이러스 해킹등실시간모니터링, 방화벽 침입방지시스템등보안장비를통한사이버공격사전차단, 사이버공격상황전파및침해사고대응, 사이버위협분석및예방대책수립, 사이버위협상황및보안정보상호공조체계유지및재발방지대책수립등의역할을수행하게된다. 98 2008 국가정보보호백서

제 5 장정보통신기반시설보호활동 제 2 편 제 5 장 정보통신기반시설보호활동 제 1 절주요정보통신기반시설보호활동 국가기반구조가정보통신기반으로연계되어상호의존적인구조를형성하고, 주요시설에대한침해행위나시스템의장애는에너지, 물류, 금융, 생활기반구조등다른분야에연쇄적으로파급되어, 개별시스템의장애가전체시스템에미치는영향이매우커지고있다. 특히, 국가기반구조를연결하고각정보시스템에영향을주는정보통신기반구조의침해사고는국가전반의장애를초래할수있다. 이러한배경으로정보통신기반보호를사회 경제의안정과발전을위한핵심요소로인식하여정부는 2001년 정보통신기반보호법 을제정하는등대응체계를구축하였다. 이에따라국가적으로중요한정보시스템및정보통신망은주요정보통신기반시설로지정되어취약점분석 평가와보호대책및보호계획의수립등의조치로각종전자적침해사고를사전에예방하고유사시적절한대응및복구를할수있는토대가마련되었다. 제 2 편국가정보보호현황 1. 정보통신기반보호제도현황 2001년 정보통신기반보호법 이제정된이래해킹, 컴퓨터바이러스, 기타악성프로그램유포를비롯한전자적침해행위의수법이급속히발전함에따라그피해도증가하고있다. 이러한현실에비추어주요정보통신기반시설을신속하고효과적으로보호하기위하여정보통신기반보호위원회가중앙행정기관에주요정보통신기반시설의지정을권고할수있는조항을신설하고위원회의구성 운영및보호대책의이행여부확인등현행제도의운영과정에서나타난미비점을개선 보완하는등제도개선필요성이제기되었다. 이에정보통신부와국가정보원은각계의견수렴등을통하여 정보통신기반보호법 개정작업에착수하여 2007년 12월다음과같은내용에대한개정을완료하였다. 먼저 정보통신기반보호법 이 정보통신기반보호법 으로개칭되었다. 정보통신기반보호위원회구성 운영에관한사항 제5장정보통신기반시설보호활동 99

제 2 편 제 5 장정보통신기반시설보호활동 제 2 편국가정보보호현황 ( 제3조제3항및제4항개정 ) 을개선하여, 정보통신기반보호위원회위원장의직위를국무총리에서국무조정실장으로조정하고기반보호실무위원회를공공및민간분야로이원화하여구성운영하도록하였다. 또한, 기존의주요정보통신기반시설지정방식 ( 제8조의2 신설 ) 을개선하여, 정보통신부장관과국가정보원장이주요정보통신기반시설로지정할필요가있는시설을발굴하여중앙행정기관에기반시설로지정토록권고할수있는근거를마련하였다. 또한보호대책에대한사후관리체계마련 ( 제5조의2 신설, 제11조제1항개정 ) 하여, 정보통신부장관과국가정보원장은보호대책에대한이행여부를확인할수있도록하였다. 아울러, 보호지원을요청할수있는관리기관및지원사항의범위를확대 ( 제7조제1항개정, 제11조제2항삭제 ) 하여, 전문기관등에기술적지원을요청할수있는관리기관의범위를기존국가기관또는지방자치단체의장인관리기관에서모든관리기관으로확대하였다. 이와같은개정을통해주요정보통신기반시설지정이활성화되고, 공공및민간분야로이원화된정보통신기반보호실무위원회에의해좀더효율적인주요정보통신기반시설의관리가이루어질것으로예상된다. 정보통신기반보호법 은 2007년 12월에개정되었고, 2008년도에시행령및시행규칙의개정을통해보다능동적인주요정보통신기반시설의관리가이루어질전망이다. 2. 주요정보통신기반시설지정현황 주요정보통신기반시설의지정대상은국가 공공기관뿐아니라민간이운영 관리하는정보통신기반시설을포함하며, 사이버침해행위발생시국가안보, 국민의기본생활및경제안정에중대한영향을미치게되는국가안전보장 행정 국방 치안 금융 통신 운송 에너지등의업무와관련된전자적제어 관리시스템과정보통신망이해당된다. 각중앙행정기관의장은소관분야의정보통신기반시설중에해당관리기관이수행하는업무의국가사회적중요성, 관리기관이수행하는업무의정보통신기반시설에대한의존도, 다른정보통신기반시설과의상호연계성, 침해사고가발생한경우국가안전보장과경제사회에미치는피해규모및범위, 침해사고의발생가능성및복구의용이성을기준으로, 전자적침해로부터보호해야할필요가있다고인정되는시설에대하여주요정보통신기반시설로지정할수있다. 제도시행이후주요정보통신기반시설로지정된시설은 1차 2001년 4개부처 23개시설, 2차 2002년 5개부처 66개시설, 3차 2004년정보통신부소관 7개시설, 4차 2005년중앙선거관리위원회소관 1개시설, 5차 2006년정보통신부소관 5개시설이지정되었다. 2007년에는 100 2008 국가정보보호백서

제 5 장정보통신기반시설보호활동 제 2 편 인터넷전화 (VoIP) 이용확대에따른 8개인터넷전화서비스, 정부기관시스템의정부통합전산센터로의이전에따른전자정부통합망, 고용보험업무를처리하는고용보험전산망등을추가로지정하였다. 한편, 하나로텔레콤의 ( 구 ) 두루넷합병, 증권및은행기관간합병등에따라 11개시설이지정취소되어, 2007년 12월현재 11개부처 73개관리기관 101개기반시설이지정되어있다. 인터넷접속망등 [ 표 2-5-1-1] 분야별주요정보통신기반시설현황 인터넷뱅킹시스템등 급전자동화시스템등 공항운영시스템등 보험관리시스템등 (2007 년 12 월현재 ) 정보통신금융에너지건설 교통사회복지기타 선거시스템등 * 출처 : 국가정보원 정보통신부, 2007 제 2 편국가정보보호현황 또한, 정보통신부장관과국가정보원장은특정한정보통신기반시설을주요정보통신기반시설로지정할필요가있다고판단되는경우에중앙행정기관의장에게해당정보통신기반시설을주요정보통신기반시설로의지정을권고할수있도록 정보통신기반보호법 이 2007년 12월에개정되어지정이활성화될전망이다. 3. 주요정보통신기반시설보호대책및계획의수립 시행 주요정보통신기반시설을관할하는중앙행정기관의장은 정보통신기반보호법 에따라매년소관분야주요정보통신기반시설에관한보호계획을수립 시행해야한다. 보호계획은주요정보통신기반시설을관리하는기관에서제출한보호대책을종합 조정하여작성되며, 관계중앙행정기관의장은다음연도의보호계획을정보통신기반보호위원회에제출하여심의를받는다. 위원회에제출된보호계획은심의과정을통해종합 조정하도록하고있으며, 각부처별보호계획에대한실제적인검토는공공과민간으로이원화된정보통신기반보호실무위원회에서이루어진다. 여기서는사전에공지된보호계획수립방향및주요고려사항의준수여부, 수정 보완이필요한사항, 타부처로확대적용할수있는모범사례등을종합적으로검토하게된다. 주요정보통신기반시설에대한보호대책과보호계획은기본적으로주요정보통신기반시설 제5장정보통신기반시설보호활동 101

제 2 편 제 5 장정보통신기반시설보호활동 제 2 편국가정보보호현황 을보호하기위한관리적 물리적 기술적측면에서의정보보호관련대책및사업을도출한다는측면에서는동일한목적을갖고있기때문에내용구성이대동소이하다. 다만, 보호대책은개별주요정보통신기반시설에대한취약점분석 평가에의해식별된위험을줄이기위한구체적이고세부적인정보보호대책과사업으로구성되는반면보호계획의경우이들을보다상위수준에서통합하거나특정보호대책중모범사례에해당하는사업을선별하여소관관리기관에확대적용하는등관리기관별로제출한보호대책을중앙행정기관차원에서재정리한점에서차이가있다. 관계중앙행정기관에서작성하는보호계획은관리기관에서제출된보호대책을토대로만들어진다. 주요정보통신기반시설에대한취약점분석 평가부터보호계획의수립과그시행까지의일련의과정을도식화하면다음과같다. [ 그림 2-5-1-1] 주요정보통신기반시설보호계획수립절차 관리기관에서는매년주요정보통신기반시설에대한보호대책을수립하여관계중앙행정기관에제출한다. 2001년 정보통신기반보호법 시행이후, 2002년도에최초로총 17개관리기관에서총 23개시설에대하여보호대책을제출한것을시작으로매년소관주요정보통신기반시설에대한보호대책을제출하고있다. 2007년도에는총 69개관리기관에서총 94개시설에대한보호대책을제출하였다. 또한, 2007년도이후에수립된보호대책은정보통신부장관과국가정보원장등이관리기관에서작성한보호대책의이행여부를확인할수있도록 정보통신기반보호법 이 2007년도에개정되었다 정보통신기반. 보호법 에서는보호계획에포함되어야할내용을다음과같이규정하고있다. 102 2008 국가정보보호백서

제 5 장정보통신기반시설보호활동 제 2 편 1. 주요정보통신기반시설의취약점분석 평가에관한사항 2. 주요정보통신기반시설의침해사고에대한예방및복구대책에관한사항 3. 그밖에주요정보통신기반시설의보호에관하여필요한사항 보호계획은크게전년도계획대비실적을기술하는부분과다음연도계획을기술하는부분으로나뉘어진다. 다음연도의보호계획중현황및실적부분은전년도에계획한침해사고예방 대응 복구계획의추진내역과이에대한평가를기술한다. 일반적으로보호계획에포함된사업계획은중앙행정기관뿐만아니라관리기관에서도직 간접적으로관련된경우가많기때문에보호대책의사업추진실적을통합하여정리하게된다. 다음연도에추진할정보보호관련사업역시보호대책에기술된관리기관별사업계획을검토하여전체적으로확대할사업을도출하거나중앙행정기관차원에서의추진이필요하다고생각되는사업을발굴하기도한다. 2002년도에는 1차로지정된주요정보통신기반시설을관할하는정보통신부, 행정자치부, 외교통상부, 보건복지부등 4개부처에서보호계획을처음수립하였다. 2007년도에는 1차부터 5차에걸쳐지정된총 10개부처에서보호계획을수립하여제출하였다. 제 2 편국가정보보호현황 4. 취약점분석 평가 관리기관은주요정보통신기반시설의취약점으로인한침해사고발생시파급효과및기존대책을식별하고분석 평가하여주요정보통신기반시설에대한경제적이고실효성있는보호대책을수립하기위하여취약점분석 평가를수행한다. 취약점분석 평가는매 2년마다정기적으로수행하고있고정기취약점분석 평가를수행한다음해에는대상기반시설에대하여간이취약점분석 평가를수행하고있다. 정보통신기반보호법제9조에따라관리기관은 취약점분석 평가전담반 을구성하여소관시설에대한취약점분석 평가를수행할수있다. 또한관리기관은소관시설의취약점분석 평가업무를정보통신기반보호법제9조제3항에의거하여국가보안기술연구소, 한국정보보호진흥원, 정보공유 분석센터, 정보보호컨설팅전문업체에소관시설의취약점을분석 평가를의뢰할수있다. 제5장정보통신기반시설보호활동 103

제 2 편 제 5 장정보통신기반시설보호활동 5. 정보보호컨설팅전문업체 제 2 편국가정보보호현황 정보통신기반보호법 및동법시행규칙에서는주요정보통신기반시설에대한취약점분석 평가및보호대책수립업무를지원하기위하여정보보호컨설팅분야의전문능력과안전 신뢰성이있는기업을정보보호컨설팅전문업체로지정하고, 주요정보통신기반시설의취약점분석 평가업무를정보보호컨설팅전문업체에게위탁할수있도록하고있다. 또한, 정보보호컨설팅전문업체는주요정보통신서비스제공자 (ISP), 집적정보통신시설사업자 (IDC), 쇼핑몰등을대상으로정보보호지침의준수여부를점검하는정보보호안전진단을수행한다. 정부는 정보통신기반보호법 시행규칙제7조및정보보호컨설팅전문업체의지정심사에관한고시에서정해진심사기준에따라서류심사, 현장실사, 종합심사를거쳐정보보호컨설팅전문업체를지정한다. [ 표 2-5-1-2] 는정보보호컨설팅전문업체지정심사기준을보여준다. 심사기준 [ 표 2-5-1-2] 정보보호컨설팅전문업체지정심사기준 심사내용 판정기준 인력요건 고급인력 5명이상, 일반기술인력 10명이상 적합여부 자본요건 납입자본금 20억원이상 적합여부 설비요건 보안설비, 업무수행도구등보유여부 적합여부 정보보호요건 정보보호관리규정및준수여부 적합여부 업무수행능력요건 계량평가 : 경험, 전문화, 기술개발실적 (70 점 ) 비계량평가 : 종합심사 (30 점 ) 70 점이상 또한, 정보보호컨설팅전문업체사후관리를위해 정보통신기반보호법 시행규칙제7조제3항에따라년 1회의사후관리현장실사를수행하고있다. 이는정보보호컨설팅전문업체로지정된업체들이지정당시의지정요건들을충족하고유지하고있는지점검하여정보보호컨설팅전문업체의보안컨설팅전문성을지속시키고나아가주요정보통신기반시설보호업무의수준을제고하기위함이다. 정부는정보보호컨설팅전문업체로 2001년 1차 9개업체, 2002년 2차 4개업체를지정하여총 13개업체를지정하였으나, 컨설팅사업폐지, 재지정탈락등으로 5개업체가지정취소되고, 안랩코코넛이안철수연구소에합병되어 2008년 1월현재 [ 표 2-5-1-3] 과같이총 7개업체가정보보호컨설팅전문업체로활동중이다. 104 2008 국가정보보호백서

제 5 장정보통신기반시설보호활동 제 2 편 [ 표 2-5-1-3] 정보보호컨설팅전문업체현황 순번 업체명 최초지정일재지정일비고 1 ㄜ시큐아이닷컴 2001.11.30 2007.11.29 2 ㄜ에이쓰리시큐리티컨설팅 2001.11.30 2007.11.29 3 ㄜ인젠 2001.11.30 2007.11.29 4 ㄜ에스티지시큐리티 2001.11.30 2007.11.29 5 ㄜ안철수연구소 2001.11.30 2007.11.29 6 ㄜ이니텍 2005.04.01 2007.11.29 7 인포섹ㄜ 2002.10.08 2005.10.08 지정만료일 (2010.11.28) 지정만료일 (2008.10.7) * 출처 : 한국정보보호진흥원, 2007 제 2 편국가정보보호현황 한편, 정보보호컨설팅전문업체에대한지정을취소하고자하는경우에는반드시청문절차를거치도록하여지정취소처분에신중을기하고, 사업자의권익보호및권리구제에만전을기하고자 2007년 12월에 정보통신기반보호법 제 21조제2항이신설되었다. 제5장정보통신기반시설보호활동 105

제 2 편 제 5 장정보통신기반시설보호활동 제 2 절정보통신서비스제공자등의정보보호 1. 정보보호안전진단 제 2 편국가정보보호현황 정보통신망이용촉진및정보보호등에관한법률 개정을통해 2004년 7월에도입된정보보호안전진단제도는정보통신서비스제공자의정보통신망에대한침해사고예방을위하여정보통신서비스제공자 (ISP), 집적정보통신시설사업자 (IDC), 쇼핑몰등안전진단대상자가의무적으로준수해야할정보보호조치및안전진단방법 절차 수수료에관한지침 ( 정보통신부고시제2007-9호 ) 에대한이행여부를정보통신부로부터지정받은안전진단수행기관에게매년확인받는제도를말한다. 안전진단대상자는 [ 그림 2-5-2-1] 과같이정보보호지침에대한관리적 기술적 물리적보호조치를이행하고안전진단수행기관과의계약을통해안전진단을받음으로써정보통신망및정보통신서비스에대한안정성및신뢰성을확보할수있으며서비스이용자의만족도를제고할수있다. [ 그림 2-5-2-1] 정보보호안전진단개념도 106 2008 국가정보보호백서

제 5 장정보통신기반시설보호활동 제 2 편 가. 안전진단수행결과및주요활동 안전진단대상자의제도에대한인식제고를위해정보보호안전진단설명회에서는분기별할인율을적용하여자율적조기수검을유도하였다. 특히신규안전진단대상자, 영세사업자등의안전진단에대한이해와수검준비를돕기위해안전진단도우미시스템을개발 배포하였다. 또한, 영세업체의원활한수검지원을위해한국인터넷호스팅협회, 한국정보보호산업협회와상호협력체계를강화하였고, 현장방문을통해취약점점검및기술자문을지원하였다. 안전진단품질향상을위해안전진단과관련해서, 지침등을개정 배포하였고, 안전진단기준을명확하게세우고이행점검에대한객관성을높이기위해각보호조치에대한주요점검항목을제시하는세부체크리스트를수정 배포하였다. 안전진단제도의실효성확보를위해 2007년부터안전진단주기를매년 7월 30일부터익년 7월까지에서기업의회계연도와동일하게매년 1월1일부터 12월31일까지로변경하였다. 따라서 2006년 7월 30일부터 2007년 7월 29일까지의 2007년안전진단주기는 2007년 12월 31일까지로연장되었다. 2007년에안전진단필증획득업체수는 2006년 160개업체보다 47개업체가늘어난 207개업체로모두가안전진단수검을완료하여안전진단수행기관으로부터안전진단필증을취득하였다. [ 표 2-5-2-1] 은안전진단제도시행이후부터안전진단을받은업체현황을보여준다. 제 2 편국가정보보호현황 [ 표 2-5-2-1] 안전진단수검업체 안전진단대상자구분 2005 년대상업체수 ( 수검완료율 ) 2006 년대상업체수 ( 수검완료율 ) 2007 년대상업체수 ( 수검완료율 ) 정보통신서비스제공자 (ISP) 집적정보통신시설사업자 (IDC) 집적정보통신시설재판매사업자 (VIDC) 쇼핑몰등기타정보통신서비스제공자 합계 13개 (100%) 12개 (100%) 12개 (100%) 24개 (100%) 24개 (100%) 25개 (100%) 39개 (100%) 45개 (100%) 65개 (100%) 66개 (100%) 79개 (100%) 105개 (100%) 142개 160개 207개 * 출처 : 한국정보보호진흥원, 2007 제5장정보통신기반시설보호활동 107

제 2 편 제 5 장정보통신기반시설보호활동 2007년안전진단수행기관으로활동한업체수는 2006년과같이 18개업체였으나, 이중안랩코코넛이안철수연구소에합병됨으로써 2008년에는 17개업체가수행기관으로활동할것으로보인다. 제 2 편국가정보보호현황 [ 표 2-5-2-2] 안전진단수행기관인정업체업체명에이쓰리시큐리티컨설팅, 인포섹, 안철수연구소, 시큐아이닷컴, 인젠, 에스티지시큐리티, 이니텍, KT, 넷시큐어테크놀러지, 정보보호기술, 인젠시큐리티서비스, 한국통신인터넷기술, 씨에이에스 (CAS), 한국전산감리원, 한국IT감리컨설팅, 안진회계법인, 한영회계법인 * 출처 : 한국정보보호진흥원, 2008.1 나. 안전진단수행성과및향후계획 2007년안전진단은시행초기의제도에대한인식부족으로발생했던문제점이대부분해결됨으로써원활하게진행되었다. 이것은 2007년도안전진단대상자다수가 2006년에안전진단을경험한바있고, 기수립된정보보호체계를통해기본적인의무사항인관리적 기술적 물리적보호조치를성실히이행하고있다는결과로볼수있다. 특히안전진단수검주기를기업의회계연도에맞도록조정함으로써일부대상업체들이겪어야했던수검비용예산확보의어려움이나인력부족의문제를해결할수있었다. 2007년안전진단시행결과를보면 2006년에비해정보보호에대한관심이증대되고안전진단수검의무에대한부정적인식이개선되었고, 기술적보호조치에대한이행노력이활발하게이뤄졌다는점이다. 그리고신규로편입된안전진단대상업체들은본제도를통해자사의보안체계를새롭게수립하는계기가되었던것으로나타났다. 안전진단대상자 207개업체를대상으로정보보호안전진단제도의효율성을묻는질문에서대부분의대상업체 (88%) 가안전진단을통하여 임직원인식제고, 보안관리체계수립, 보안역량강화 에도움이되었다고답하였다. 안전진단의원활한진행을위해서는담당자의수검을위한교육지원, 실무자를위한보안지침개발및보급, 안전진단해설서등의보급이필요하다고조사되었고, 안전진단을통해받을수있는혜택이다양화되어야한다는의견도적지않았다 (34%). 또한안전진단대상자중절반이상의업체가수행기관선정에어려움을느끼고있었으며, 안전진단수검이서류점검위주의형식적인진단으로그친다는등의부정적의견도 108 2008 국가정보보호백서

제 5 장정보통신기반시설보호활동 제 2 편 있었다. 그밖에수검절차가복잡하다거나작성해야할문서내용이많다는의견도있는것으로조사되었다. 향후안전진단제도도입취지를살려안전진단을통한실질적효과를발휘하기위해서는다음과같은사항들이중점적으로추진되어야할것이다. 첫째, 수준높은안전진단이이루어지기위해서는안전진단수행기관에대한관리 감독을강화하여야한다. 수행기관이갖추어야할인정기준에대한만족여부를주기적으로점검하는가하면, 수행기관의인정유효기간, 인정취소요건등의규정을마련함으로써안전진단의수검품질을높여야할것이다. 둘째, 최근이슈화되고있는 u-city와웹2.0 등신규 IT서비스의정보보호강화를위해안전진단점검항목개발에대한사전검토를통해앞서가는최상의서비스가이루어질수있도록하여야할것이다. 셋째, 안전진단수검전후성과측정도구를개발 보급함으로써안전진단대상업체스스로가안전진단을통한가시적인효과를측정할수있도록지원해야한다. 넷째, 안전진단대상자의인식제고를위해워크숍및세미나를지속적으로개최하고침해사고예방을위한정보제공서비스와다각적인교육프로그램을운영하여보안수준능력을제고할수있도록해야한다. 제 2 편국가정보보호현황 2. 정보보호관리체계인증 정보보호관리체계 (ISMS : Information Security Management System) 인증제도란 ISO9001( 품질경영시스템 ) 과같이품질보증을위한기업내일련의활동에대한인증과유사한개념으로정보보호를위한기업내의일련의활동 ( 정보보호관리체계 ) 에대해한국정보보호진흥원으로부터객관적인심사를거쳐인증을취득하는제도이다. 정보보호관리체계는정보통신망의안정성을확보하고조직의정보자산을보호하기위해기술적, 관리적, 물리적정보보호대책을구현하여지속적으로관리 운영하는종합적시스템이다. 이를통해단편적이고일회적이었던조직의정보보호활동을체계적이고지속적인관리가가능하게함으로써전사적으로균형잡힌정보보호활동을할수있다. 특히, 핵심산업기술과고객의개인정보 ( 금융정보, 의료정보, 학사정보등 ) 를취급하고있는기업에서는정보보호관리체계수립을통하여이러한정보를효과적으로보호할수있는체계를마련하게된다. 제5장정보통신기반시설보호활동 109

제 2 편 제 5 장정보통신기반시설보호활동 제 2 편국가정보보호현황 [ 그림 2-5-2-2] 정보보호관리체계기본개념도 정보화역기능으로부터주요정보를보호하기위해체계적인정보자산관리의필요성이대두되면서국제적으로정보보호관리에대한관심이고조되고있다. 특히, 일본에서는정보보호관리체계인증제도를경제산업성 ( 經 ) 산하의일본정보처리개발협회 (JIPDEC : Japan Information Processing Development Corporation) 에위탁하여운영 관리하고있으며, 일본중앙정부가정보보호의중요성을인식하여정보보안관련정책을강력히추진한결과 2007년 12월기준으로 ISMS 인증서발급누적건수가 2,300여건을상회하고있다. 특히국가조달에참여하는기업은 ISMS를받도록유도하고있다. 지방자치단체에서는기업들의정보보호수준제고를위해일본 ISMS 인증획득을위해적극적인지원을하고있고 ISMS 인증제도를민간기업뿐만아니라공공기관에도확대적용하고있다. 우리나라도정보보호관리체계인증제도에대한연구를 2000년부터진행하여 2001년 정보통신망이용촉진및정보보호등에관한법률 을개정하여공표함으로써정보보호관리체계인증제도를도입하게되었다. 도입배경으로는국내환경에적합한정보보호관리모델을개발 보급함으로써 BS7799 등국외인증제도의국내진출로인한기업비용부담을최소화하고국외인증기관이국내주요기반시설을대상으로인증심사를하여발생할수있는정보유출을방지하는데있다. 이에따라, 세부심사기준및업무지침등을마련하여 2002년 4월정보보호관리체계인증제도를본격시행하였고인증제도의활성화를위해인증심사, 인증상담, 기술자문, 지침배포, 사전인증심사자문, 인증심사원양성및교육을하고있으며인증 110 2008 국가정보보호백서

제 5 장정보통신기반시설보호활동 제 2 편 제도및기준의지속적인개선을통해인증제도의수준을고도화하고있다. 제 2 편국가정보보호현황 [ 그림 2-5-2-3] 인증절차기본흐름 의료, 학사, 회원정보등민감한개인정보를대량으로취급하는분야, 핵심산업기술을개발하여보유하고있는기업, 고객의정보를아웃소싱하는기업, 정보보호수준이경영평가및회계감사등에영향을미치는기업, 입찰참여기업등은정보자산의안전한관리및효율적인이용이반드시필요하다. 따라서앞서언급된관련분야의기업들은정보자산의안전한관리및고객들에대한신뢰감확보를위해정보보호관리체계수립과동시에인증취득이필요한분야라고할수있겠다. 가. 주요활동및사업성과 2007년에는의료정보, 학사정보등민감한개인정보를관리하고있는의료분야, 교육분야로인증대상을확대하여신규인증심사 8건, 사후관리및갱신심사 29건을성공적으로수행하였다. 기업들은인증심사를통해정보보호에취약한부분을발견하고이에적절한보완조치를함으로써내부직원에대한정보보호인식을제고하는한편내부정보보호관리프로세스의수준을한층더향상시킬수있는있는기회가되었다. 그동안환자진료정보등민감한개인정보를다루고있음에도통신및금융분야에비해상대적으로정보보호수준이낮았던의료및교육분야에서최초로인증을취득한사례는동분야에대해서도정보보호관리의 제5장정보통신기반시설보호활동 111

제 2 편 제 5 장정보통신기반시설보호활동 제 2 편국가정보보호현황 [ 그림 2-5-2-4] 정보보호관리체계인증이필요한분야 중요성을부각하게된의미있는일이라고할수있다. 특히, 정보보호관리체계인증획득기업에대한혜택이확대된점은매우주목받을만한성과라고할수있다. 그동안정보보호관리체계 (ISMS) 인증을받은기업들은대외이미지제고라는단편적인기대효과만을기대할수있었으나, 이번혜택마련을통해인증을받은기업들은보다다양한혜택을누릴수있게되었다. 즉, 정보보호관리체계인증을받은기업은정보보호관련보험에가입하거나입찰에참가하는경우, 기업이신용평가를받을경우할인율을적용받거나가점을부여받을수있게되었다. 이는자발적으로높은수준의정보보호조치를이행하고정보보호관리체계인증을취득한기업들에게혜택을부여한다는점에서매우당연한조치라고할수있다. 이러한조치는시작단계에불과하며, 앞으로이들기업들이보다많은혜택을받을수있도록관련부처및기관과협력하여정책을마련하고추진할계획이다. 112 2008 국가정보보호백서

제 5 장정보통신기반시설보호활동 제 2 편 [ 표 2-5-2-3] 정보보호관리체계인증혜택 혜택구분 시행기관 세부혜택내용 요금할인 보험사 인증취득기업이정보보호관련보험 ( 배상책임보험등 ) 가입시할인혜택부여 : 5% 15% 할인율적용하고협의에따라 30% 추가할인가능 가산점부여 한국정보보호진흥원교육부 신용평가기관 기술보증기금 민간기업 국가 공공기관 과제선정, 입찰시 ISMS 인증취득기업에가점부여 원격대학평가시가점부여 한국신용평가정보등의경우기업신용평가시가점 5 점부여 중소기업이기술평가보증을받고자할때가점 3 점부여 IT 아웃소싱업체선정시인증취득업체에대해가점부여등 ( 기업별자체시행 ) 국가 공공기관용역사업선정시평가항목인문서 시설 장비등보안관리계획에대한평가시우대 ( 기관별자체시행 ) 예 ) 정통부중소기업지원사업가점부여 - 우수기술지원사업 (2 점 ) - 산업경쟁력강화지원사업 (2 점 ) - 협업기술개발사업 (2 점 ) 제 2 편국가정보보호현황 면제정통부인증을받은당해년도안전진단면제 또한, ISMS 인증취득기업의모범사례집을발간하여배포하였고, 정보보호관리체계인증제도소개를위해지하철광고를하는등대국민홍보및교육을강화하였다. 2008년한해에도정보보호관리체계수립교육프로그램을개발하고지역별세미나를개최하는등대국민인식제고를위한사업들을추진할예정이다. 더나아가정보보보호관리체계기준및향후개발하게될분야별정보보호관리체계수립지침을국내 TTA 표준으로재정또는개정하고더나아가 ITU-T, ISO, RAISE 포럼등의국제기구의표준으로추진하여정보보호관리체계인증제도의글로벌환경을구축할계획이다. 나. 인증서발급현황및향후계획 2002년 5월첫인증서를발급한이후 2008년 1월현재총 46건의인증서를발급하였다. 2004년까지는통신, 금융, 정보보호컨설팅전문업체에인증이집중되었고 2005년이후운송, 포털등의분야로확대됨으로써인증제도활성화의전환점을마련하였고 2006년에는개인정보를대량으로취급하고있는대형포탈, 금융시스템, 콜센터분야에서신규인증을취득하였다. 특히 2007년에는진료기록, 학사정보등개인정보보호를취급하고있는의료분야, 제5장정보통신기반시설보호활동 113

제 2 편 제 5 장정보통신기반시설보호활동 교육분야로인증대상을확대하여진료정보, 학사정보관리에대한중요성을부각시킬수있는계기를마련하여의미있는한해였다. 2008년에는의료분야, 교육분야에대한인증을활성화할뿐만아니라지속적으로인증취득기업에대한혜택방안을마련하여추진함으로써기업들이자발적으로정보보호관리체계를수립할수있는기반을마련하고기업의자발적인정보보호노력에대한정당한보상을받을수있도록할계획이다. 제 2 편국가정보보호현황 우편 / 콜센터 5% 포털 5% 감리 / 컨설팅 5% 학교 2% 공인인증기관 2% 항공운송 2% 정보보호업체 29% 공공기관 7% 금융 7% 통신사업자 9% IDC 27% [ 그림 2-5-2-5] 인증취득기관분류 다. 인력양성 국가정보원 IT 보안인증사무국은 2007년 7월고려대, 성균관대와양해각서 (MOU) 를체결하고석 박사과정에 IT제품보안평가론 강좌를개설하였다. 이는 2006년 5월우리나라의국제상호인정협회 (CCRA) 가입으로평가수요는증가하고있는반면평가전문인력부족으로발생하는적체현상을해소하기위한것으로강좌이수자중 A 학점이상취득자에게는 정보보호제품수습평가자 자격을부여하여, IT제품평가업무에종사할수있게하는한편향후정보보호학과를운영하는여타대학에서강좌개설요청시확대지원하는방안을계획하고있다. 114 2008 국가정보보호백서

제 6 장개인정보보호활동 제 2 편 제 6 장 개인정보보호활동 개인정보란 생존하는개인에관한정보로써, 특정개인을식별하거나식별할수있는일체의정보 이다. 개인정보의종류로는성명, 주민등록번호등의인적사항부터사회 경제적상태, 건강 의료, 재산, 문화활동및정치적성향과같은내면의비밀까지그종류와범위가매우다양하고포괄적이다. 이렇게포괄적인개인정보의종류와범위는사회발달에따라계속증가하고있다. 본장에서는사회발달에따라계속증가하는개인정보를보호하기위한활동을공공부문과민간부문으로나누어각각설명하였다. 제 2 편국가정보보호현황 제 1 절 공공부문의개인정보보호 1. 공공부문개인정보보호개요 한국은전자정부를통해정부혁신을이룬대표적국가로인식되고있다. 이는 UN 전자정부평가에서도우수한성적을거두는등세계정상의전자정부수준을공고히하고있다. 그러나전자정부를가능하게했던다양한행정정보활용이개인정보침해사고로이어지는경우가발생되고있어자칫성공적인전자정부서비스에걸림돌이될수있다. 그러므로전자정부가발전할수록그수준에걸맞는개인정보에대한철저한보호가필요하다는의미에서개인정보보호는전자정부의성공을위한선행조건이자필수조건이된다. 개인정보보호는선진전자정부추진과동시에과도한개인정보의수집및이용을방지하고정보주체의권리가보장되어야한다. 결국개인정보를취급함에있어공공업무의적정한수행을도모함과아울러국민의권리와이익보호를목적으로해야한다. 제6장개인정보보호활동 115

제 2 편 제 6 장개인정보보호활동 2. 주요추진현황 가. 법 제도적기반강화 제 2 편국가정보보호현황 정부는공공기관의개인정보보호를강화하고, 국민의정보인권을보장하기위해 2007년 5월 공공기관의개인정보보호에관한법률 을개정공포하였고 2007년 11월시행하였다. 주요내용은다음과같다. 첫째, 개인정보를취급함에있어서지켜야할원칙을명시하였는데이는 OECD 개인정보보호 8원칙등국제적인개인정보보호기준을참고하여구체적인사항을법률로명문화하였다. 둘째, 개인정보의안전하고체계적인관리체계를마련하였다. 개인정보파일의 사전통보제 를 사전협의제 로변경하여개인정보의보유요건을보다엄격히하였고, 보유목적의달성등으로인해불필요하게된경우에는이를지체없이파기하도록하였다. 또한, 각기관별로개인정보관리책임관을지정하여개인정보보호관련계획의수립, 실태조사및감독, 민원의처리등그기관의개인정보의보호및관리에관한사무를총괄하고책임지도록하였다. 셋째, 개인정보관리의투명성을제고하였다. 개인정보의수집, 위탁관리, 목적외이용및제공, 폐기등모든처리과정에걸쳐관련사실을투명하게인터넷을통해공시하도록하였다. 넷째, 정보주체의자기정보통제권을강화하였다. 현행정보주체의본인정보의열람 정정청구권외에삭제청구권을신설하여본인이원치않을경우본인의정보에대해삭제할수 [ 표 2-6-1-1] 개인정보침해신고처리절차 구분주체절차 1 신고 2 사실확인 신고인 행자부장관에게신고 ( 서식 ) 행자부장관 행자부장관 신고접수 해당기관장에게접수사실통보 사실확인위해관련기관장에게협조요청 신고인등은의견제출가능 해당기관장에게확인결과통보 3 처리 4 처리결과통지 해당기관장 행자부장관 관련자징계 고발, 안전성확보조치등처리 처리결과를행자부장관에게통보 ( 서식 ) 통보받은처리결과를신고인에게통지 * 2008 년정부조직법개정에따른조직변화는부록 4. 2008 정부조직법개정주요내용 참조 116 2008 국가정보보호백서

제 6 장개인정보보호활동 제 2 편 있도록하였으며 개인정보침해사실신고제도 를도입하여공공기관으로부터개인정보에관한권리또는이익을침해받은자는행정자치부장관에게그침해사실을신고할수있도록하였다. 다섯째, 공공기관 CCTV에대한법적규제를신설하였다. CCTV는개인의화상정보를무작위적으로 ( 본인의동의없이 ) 수집한다는측면에서프라이버시및인권침해논란이있어왔지만, 공공기관의 CCTV에대한설치및운영에대한본격적인법적규제의토대가마련되었다. 나. 개인정보관리점검체계강화공공기관의컴퓨터에의하여처리되는개인정보가적법하고안전하게관리되는지매년상 하반기 2회에걸쳐 50여개기관에대해실태조사를실시하고있다. 조사결과를보면, 시민단체및언론을통해개인정보노출등이자주문제됨에따라개인정보보호의중요성에대한일반적인인식은점차높아지고있다. 그러나각급기관별로개인정보보호관련자체교육을실시하지않는경우가많았고, 안전조치를확보하지않은채개인정보파일을타기관에제공하는경우가있는등세부적인관리측면에서는미흡한점이발견되었다. 정부는앞으로도개인정보의적법하고안전한관리등을지속적으로점검하는한편, 공공기관자체적으로개인정보관리역량을강화할수있도록지원을계속할계획이다. 제 2 편국가정보보호현황 다. 개인정보유출및노출방지 개인정보유출등법률위반사례는 2004년 5건에서 2005년 13건, 2006년 15건으로점차증가하는추세이다. 유출원인을살펴보면, 주로개인정보를취급하고있는담당자들의인식부족과관리소홀이주된원인으로파악된다. 개인정보의불법적인유출등을방지하기위해정부는공공기관에서개인정보를취급하고있는직원교육을강화하여개인정보보호에대한인식을제고해나가는한편, 법률개정에따라기관별로지정되어있는 개인정보관리책임관 을중심으로내부점검및감사등을통해지속적으로개인정보에대한관리를강화하도록할계획이다. 정부는 2006년부터공공기관홈페이지및구글 DB를대상으로개인정보노출을모니터링하여, 약 17만건의개인정보를발견하여해당기관에통보하고삭제조치하였다. 제6장개인정보보호활동 117

제 2 편 제 6 장개인정보보호활동 [ 표 2-6-1-2] 연도별개인정보노출점검결과및삭제현황 연도 2006 상반기 2006 하반기 2007 상반기 2007 하반기합계 건수 기관수 11,973 72,927 25,423 67,159 73 428 325 721 177,482 제 2 편국가정보보호현황 * 2007 하반기는 5 차례반복점검 삭제조치한누적수치임 정부에서는공공기관홈페이지상에개인정보노출점검을지속적으로사업화하고취약기관을추가하여직접점검대상범위를점차확대할계획이며, 담당자위법사항에대해서는처벌을강화할계획이다. 라. 개인정보보호인식제고및사회적공감대형성 개인정보보호에있어서무엇보다중요한것은실제개인정보의처리를담당하고있는실무담당자의개인정보보호에대한인식과전문성이다. 따라서개인정보보호를직접담당하는업무담당자들에대한교육을강화하여전문성을향상시키고, 이들이각기관별로전파교육을실시할수있도록지원하는것이필요하다고할것이다. 이를위해서정부는전문교육기관지정, 구체적인업무매뉴얼제공등공공기관의개인정보보호전문인력을육성하도록할것이다. 2007년도의경우공공기관홈페이지담당자들을대상으로학습토론회를실시하였고, 민 관 학공동으로 공공기관개인정보보호컨퍼런스 를개최하여업무수행과관련한정보제공, 최신기술소개등개인정보보호업무담당자들의인식및역량제고를도모하였다. 또한, 매월 1일을 공공기관개인정보보호의날 로지정, 공공기관업무관리시스템에개인정보보호수칙을게시하여개인정보보호에대한인식이제고될수있도록노력하고있다. 정부는안전하고신뢰받는전자정부를구현하고개인정보침해의근원적예방을위해공공기관개인정보보호종합대책을마련중이다. 그주요내용으로, 웹사이트상개인정보노출에대한상시점검강화및위반사항에대한실효성있는대응조치방안마련과개인정보보호수준측정을위한진단지표를적용 확산및온라인상주민번호를대체할 인터넷본인확인서비스 (G-PIN) 도입등이다. 향후행자부는전자정부의핵심적사업으로개인정보보호업무를강화함으로써국민이공공기관에믿고맡긴소중한개인정보를보다안전하고투명하게관리함으로써 전자정부에대한국민적신뢰기반을강화 해나갈것이다 118 2008 국가정보보호백서

제 6 장개인정보보호활동 제 2 편 제 2 절민간부문의개인정보보호 1. 개인정보보호현황 가. 민간부문개인정보보호개요개인정보는과거부터다양한형태로존재했으나최근들어세상의이목이집중되고있다. 이는현대자본주의의발전, 시민사회의성장, IT 기술의눈부신진보에기인한다. 현대의기업들은고객정보가기업활동의중요요소라는것을알게되었다. 따라서마케팅등을위해개인정보에많은관심을기울이게되었다. 시민은국가와기업에의해자신들의사생활이쉽게감시당할수있다는사실을알게되었다. 이러한침해위험성으로인해자신의개인정보와프라이버시침해에대해그어느시대보다높은우려감을나타내게되었다. IT 기술의발전은인간에게인터넷이라는새로운기회를제공해주었다. 그러나 IT 기술은개인자신보다자신의정보를더욱정확하고세밀하게수집및분석하게해주어활용여부에따라서는개인의프라이버시침해에가장커다란적이될가능성을제공하고있다. 제 2 편국가정보보호현황 나. 개인정보보호현황 2007년정부가개인인터넷이용자를대상으로실시한설문조사결과에의하면, 전체응답자중 16.4% 가개인정보또는프라이버시침해로인한피해경험이있는것으로나타났다. 대표적인침해유형으로는 개인정보무단수집후텔레마케팅에이용하거나무단회원가입 이 61.9% 로가장많았다. 그다음으로는 동의없이개인정보를본래목적이외의용도로이용 (58.0%), 사업자관리소홀로개인정보유출 (47.1%), 주민번호도용, 경제적피해 (36.2%), ID 및비밀번호도용 (35.2%) 순으로나타났다. 언론에나타난개인정보관련주요이슈들을살펴보면 2007년 1월공공기관에서의개인정보노출문제가제기되었다. 8월의경우국내주요기간통신사가 5,000만건에해당하는초고속가입자정보를이용해서자사포탈사이트에무단가입하고위탁업체에고객정보를임의로제공해서사회적인문제가된바있다. 이에따라공공분야에서는개인정보관련주무부처인행정자치부에서개인정보전담팀을 제6장개인정보보호활동 119

제 2 편 제 6 장개인정보보호활동 제 2 편국가정보보호현황 신설하여개인정보에대해본격적으로대응하는원년이되었다. 또한공공기관의개인정보보호에관한법률을개정하여공공기관에의한개인정보보호수준을제고했다. 중장기대책등도마련하여개인정보보호에대한장기적인비전도함께제시한한해였다. 민간에서는정보통신부및한국정보보호진흥원이중심이되어개인정보문제해결을위해많은노력을기울였다. 개인정보기본법에대한논의를본격화하여법률신설을위해노력했다. 또한주민번호가지속적인문제로제기되자보다근원적인문제해결을위해주민번호노출점검주기를단축했고, 주민번호대체수단보급에심혈을기울였다. 이에따라 2006년대비노출문제를 91% 나개선한것으로나타났다. 개인정보전송구간의신뢰성확보를위해서는보안서버를적극보급하기도했다. IT 기술발전에따라 RFID 프라이버시보호, CCTV 영상정보보호, 바이오정보보호, 개인위치정보보호에대한연구도활발히진행되었다. 70 60 50 40 ( 단위 : %) 2005 년 2006 년 2007 년 30 20 10 0 2005년 2006년 2007년 텔레마케팅 / 무단회원가입 개인정보무단도용 사업자관리소홀개인정보유출 주민번호도용 / 경제적피해 ID 및비밀번호도용 43.2 45.2 52.3 38.8 37.8 51 44.4 45.7 39.8 39.3 61.9 58 47.1 36.2 35.2 * 출처 : 한국정보보호진흥원, 2007 년정보보호실태조사 [ 그림 2-6-2-1] 유형별개인정보 / 프라이버시피해경험률 * 기준 : 개인정보 / 프라이버시침해를경험한이용자 (13 세이상 59 세, 월 1 회이상인터넷이용 ) * 해당항목모두선택 ( 복수응답 ) 120 2008 국가정보보호백서

제 6 장개인정보보호활동 제 2 편 2. 개인정보보호법 제도발전 가. 개인정보보호정책현황 민간부분의개인정보보호는 1999년 정보통신망이용촉진등에관한법률 에민간부문의개인정보보호를위한내용을포함시키면서시작되었다. 2000년 2월에는당시정보통신부정보화기획실 정보이용보호과 내에개인정보관련직제를처음신설했다. 2000년 4월에는한국정보보호진흥원 ( 당시한국정보보호센터 ) 내에 개인정보침해신고센터 를설치하여개인정보침해민원을해결하기시작했다. 2001년 12월에는 개인정보분쟁조정위원회 를구성해개인정보침해에따른각종분쟁을처리하기시작했다. 2002년 1월에는 개인정보보호지침 을최초로고시하였고, 2002년 4월에는이에대한해설서를마련 배포하여개인정보보호법제에대한사업자및이용자의이해를돕고정보통신망법령의부족한부분을보완했다. 한편 2002년 2월부터는개인정보보호에대한민간자율규제를활성화하는차원에서한국정보통신산업협회에서 개인정보보호마크제도 를도입 시행했다. 이후개인정보보호업무가확대되어정보통신부정보보호기획단내에개인정보보호전담부서인 개인정보보호팀 이설치되어운영되고있다. 또한한국정보보호진흥원개인정보보호지원센터아래에 4개팀, 1개민원센터 ( 개인정보침해신고센터 ) 가설치되었다. 개인정보분쟁조정위원회 도사업자와이용자간분쟁조정업무를지속담당하고있다. 제 2 편국가정보보호현황 나. 개인정보보호법률개정연혁 민간부분의개인정보를보호하기위해포괄적으로적용되는법률로는 정보통신망이용촉진및정보보호등에관한법률 이있다. 이는 1999년제정된 정보통신망이용촉진등에관한법률 에정보통신서비스이용자의개인정보보호제도에관한사항이대폭추가됨에따라 2001년 1월법개정과함께명칭을변경한것이다. 이법률은 OECD에서제시한개인정보보호 8원칙을수용하고, 유럽연합의개인정보보호지침을고려해국민의프라이버시보호를위한개인정보의수집 이용 제공에따른제반사항을규정하고있다. 정보통신망이용촉진및정보보호등에관한법률 의개인정보관련한조항은현재까지총 7회제 개정되었다. 그동안의법률개정방향은이용자의권리를보장하고사업자의의무부과를강화하는방향으로진행되었다. 가장최근에개정된법령또한개인정보의수집 제6장개인정보보호활동 121

제 2 편 제 6 장개인정보보호활동 이용 제공에대한고지 동의제도및취급위탁에따른사업자의관리 감독을강화하도록개정되었다. [ 표 2-6-2-1] 개인정보보호법령제 개정현황 제 2 편국가정보보호현황 일자 1999.2.8 2000.1.16 주요개정내용 정보통신서비스이용자의개인정보수집시동의, 목적외이용및제3자제공금지조항신설 이용자자신의개인정보열람및오류정정요구권신설 정보통신서비스제공자가개인정보위탁시수탁자의행위에대한책임조항신설 준용사업자를규제대상에포함 14세미만아동의개인정보수집시법정대리인의동의조항신설 분쟁조정위원회설립및운영근거조항신설 2002.12.18 2004.1.29 한국정보보호진흥원에개인정보침해시자료제출및검사권한부여조항신설 개인정보부정목적으로제공받은자처벌조항신설 개인정보수집시쿠키설치에대한사항이용약관에명시조항신설 개인정보제3자에게제공내역열람요구조항신설 분쟁조정위원회에 5인이하의분쟁조정부조항신설 2004.12.30 정보통신부에서개인정보보호기술의개발및보급시책마련조항신설 사업자규모및서비스에따른개인정보관리책임자지정조항신설 2006.10.4 2007.1.26 사업자가개인정보오류정정요구에대한수용이어려운경우필요한조치를취한후개인정보제공및이용할수있도록조항수정 개인정보의수집 이용 제공에대한고지및동의제도개선 보완 개인정보의취급위탁에따른관리 감독강화 3. 개인정보피해구제및실태점검 가. 개인정보피해구제및상담유형 2007년한해동안총 25,965건의개인정보피해구제상담 신고가접수되었다. 이는 2006년에접수된 23,333건에비해약 11% 가증가한수치이다. 개인정보피해구제상담및신고접수유형을분석해보면신용정보침해등의정보통신망정보법적용대상이외의개인정보침해관련건수가전체의 48.1%(12,497건 ), 주민등록번호등타인정보의훼손 침해 도용이 35%(9,086건 ) 로전체접수유형의 83.1% 를차지하고있다. 122 2008 국가정보보호백서

제 6 장개인정보보호활동 제 2 편 [ 표 2-6-2-2] 유형별개인정보 / 프라이버시피해건수 침해유형 건수 2006 년 2007 년 비율 (%) 건수비율 (%) 증감율 (%) 이용자동의없는개인정보수집 개인정보수집시고지또는명시의무불이행 2,565 10.9 1,166 4.4 55 27 0.1 7-74 과도한개인정보수집 고지 명시한범위를초과한목적외이용또는제 3 자제공 개인정보취급자에의한훼손 침해또는누설 개인정보처리위탁시고지의무불이행 영업의양수등의통지의무불이행 개인정보관리책임자미지정 기술적 관리적조치미비로인한개인정보누출등 61 0.3 51 0.2 16 917 3.9 1,001 3.9 9 206 0.91 23 0.5 40 5 0.1 2-60 11 0.1 14 0.1 27 23 0.1 10-57 632 2.7 522 2.0 17 제 2 편국가정보보호현황 수집또는제공받은목적달성후개인정보미파기 동의철회 열람또는정정요구등불응 동의철회, 열람 정정을수집방법보다쉽게해야할조치미이행 법정대리인의동의없는아동의개인정보수집 주민등록번호등타인정보의훼손 침해 도용 정보통신망법적용대상이외의개인정보침해 ( 신용정보침해등 ) 소계 266 1.1 146 0.6 45 923 4.0 865 3.3 6 484 2.14 61 1.8 5 23 0.1 14 0.1 39 10,835 46.4 9,086 35.0 16 6,355 27.2 12,497 48.1 96 23,333 100 25,965 100 11 * 출처 : 한국정보보호진흥원, 2007 특히 2006년과비교해보면 정보통신망이용촉진및정보보호등에관한법률 적용대상이외의개인정보침해관련접수건수가전년대비 96% 증가한 12,497건을차지하고있다. 이는 2006년도하반기부터발생한공공기관또는금융기관을사칭한전화사기 ( 일명 보이스피싱 (Voice Phishing)) 가 2007년도에기승을부렸기때문이다. 또한고지 명시한범위를넘어선이용또는제3자제공관련접수건수가전년대비 9% 증가한 1,001건으로나타났다. 반면, 이용자의동의없는개인정보수집, 기술적 관리적보호조치미비로인한개인정보누출등과주민등록번호등타인정보의훼손 침해도용관련접수건수가각각 55%, 17%, 16% 감소했다. 이는개인정보관련법제강화및주민번호노출점검활동등이주요한원인으로판단된다. 제6장개인정보보호활동 123

제 2 편 제 6 장개인정보보호활동 나. 개인정보보호실태점검 제 2 편국가정보보호현황 (1) 사업자개인정보실태현장점검정부는 2007년한해동안총41건의현장점검을실시했다. 주요조사내용으로는초고속인터넷, 게임, 포탈등의개인정보실태점검 (9월, 9개사 ), 대입원서접수대행및입시컨설팅사업자실태점검 (9월, 7개사 ), 백화점등유통업체의무선랜암호화조치현황조사 (10월, 29개사 ), 초고속통신사업자해지고객정보남용관련현장점검 (11월, 1개사 ), 대형할인점개인정보실태현장점검 (12월, 9개사 ) 이다. (2) 인터넷웹사이트법규준수율모니터링 2007년도는 40,000개웹사이트를대상으로개인정보수집여부및법규준수율을조사했다. 조사결과전체의약 60% 인 24,106개웹사이트가개인정보를수집하고있는것으로나타났다. 개인정보를수집하고있는웹사이트중 정보통신망이용촉진및정보보호등에관한법률 제22조제2항의규정에의한고지의무를준수하고있는사업자비율은 43%(10,408개 ) 였다. 계도조치를통해이수치가 92%(22,188개 ) 까지제고된것으로나타났다. 항목별조사결과를보면개인정보수집항목은평균 7.5개로전년 (8개) 과비교해서커다란차이를보이지않았다. 업종별로는취업 (10개 ), 결혼정보 (9.4개), 음악사이트 (9.1개) 가상대적으로개인정보를많이수집하는것으로나타났다. 반면 P2P 사이트 (3.7개) 와병원 (5.2개) 은개인정보를수집비율이낮았다. 주로수집하는개인정보항목은이름 (94%), 이메일주소 (92%), 휴대전화번호 (77%) 순으로나타났다. [ 표 2-6-2-3] 개인정보수집율 구분 기간통신사업자 준용사업자 ( 여행사 학원 백화점 콘도등 ) 인터넷사업자 홈페이지운영 개인정보수집 비율 (%) 300 234 78.0 5,492 3,731 68.0 34,208 20,141 58.8 합계 40,000 24,106 60.0 * 출처 : 한국정보보호진흥원, 2007 124 2008 국가정보보호백서

제 6 장개인정보보호활동 제 2 편 (3) 구글검색DB 주민번호노출점검 2007년인터넷상에노출되어있는주민번호를점검한결과 44,225개의주민번호가신규노출된것으로나타났다. 2006년조사결과노출된 278,357건에비해약 84% 가개선된수치이다. 350,000 300,000 250,000 200,000 150,000 ( 단위 : 건수 ) 제 2 편국가정보보호현황 100,000 50,000 0 건수 2005년 2006년 2007년 292,697 278,357 44,225 * 출처 : 한국정보보호진흥원, 2007 [ 그림 2-6-2-2] 최근 3년간주민번호노출탐지건수 ( 신규건수기준 ) 인터넷상에주민번호가노출되는원인은이용자가고객상담게시판등에 ID/PW 분실문의를하면서본인임을입증하기위해스스로주민번호를기재하는경우등이용자의개인정보보호인식부족등에의한경우와웹사이트운영자또는해당기관종사자등이웹사이트에파일등의자료를올려놓거나글을게시하면서공개하지말아야할개인정보를올려놓는경우가많은것으로조사되었다. 한편, 웹사이트운영자가기본적인보안사항을적용하지않거나실패하여검색엔진이인증없이도관리자페이지에접근하여개인정보를가져가는경우도노출의원인인것으로조사됐다. 인터넷웹페이지에노출된주민번호를조기에탐지및삭제하기위해정부는 2007년 7월부터 구글검색DB 주민번호노출상시점검체계 를도입했다. 2개월에 1번씩점검하던점검주기를매근무일로단축한것이다. 또한구글검색DB에노출된주민번호의신속한삭제를위하여구글본사와협력을강화했다. 협력강화를통해구글검색DB에노출된주민번호가 5일이내에삭제될수있도록조치했다. 관리자페이지노출문제감소를위해서는검색엔진에 제6장개인정보보호활동 125

제 2 편 제 6 장개인정보보호활동 의한관리자페이지노출원인을분석하고대응방법등을기술한가이드 홈페이지 ( 개인정보노출원인과대응방법 ) 를제작및배포 (1,500부) 했다. 책자배포와더불어관리자페이지가노출된 60개업체를대상으로상 하반기각 1회씩예방교육을실시하기도했다. 그결과 2006년 12월에 10,184건이던주민번호노출건수를 2007년 12월 910건 ( 하루평균 ) 으로감축하여약 91% 를감축하는성과를거두었다. 제 2 편국가정보보호현황 [ 그림 2-6-2-3] 구글검색 DB 주민번호노출점검방식 2007년에이어 2008년에도인터넷상에개인정보노출은지속적으로나타날것으로예상된다. 따라서이를방지하기위한다각적인노출원인분석및대응기술개발, 사업자예방교육, 관련기관과의협력체계구축이필요하다. 이와함께개인정보보호인식제고를위한지속적인교육및홍보도병행되어야할것이다. 126 2008 국가정보보호백서

제 6 장개인정보보호활동 제 2 편 [ 표 2-6-2-4] 개인정보노출통계 구분 노출사이트노출페이지노출인원비고 2 월 521 2,185 5,122 4 월 839 2,075 6,263 격월 1 회점검 6 월 455 959 3,458 7 월 1,406 3,330 5,377 8 월 947 2,114 3,572 9 월 641 930 1,290 10 월 932 1,219 1,743 11 월 525 660 974 12 월 424 556 910 o 매근무일점검 o 노출건수는일평균 * 출처 : 한국정보보호진흥원, 2007 제 2 편국가정보보호현황 (4) P2P 개인정보노출점검정부는 2006년 11~12월두달동안 P2P 상에노출된개인정보 ( 주민번호외에도성명, 전화번호, 이메일주소, 주소등을포함 ) 를점검했다. 점검결과 7개사이트에서 17,789개의개인정보를발견했다. 2007년부터는점검을정기적으로실시했다. 정기점검결과점검대상 24개사이트중 10개사이트에서 283,659개의개인정보를탐지해냈다. 정부는 P2P에서공유되고있는개인정보문제를해결하기위해 2007년 4월 10개국내주요 P2P 사업자와회의를개최했다. 회의를통해 P2P 업체에게해당사이트에개인정보가주로노출되는검색단어에대한필터링, 개인정보주요공유자에대한 3진아웃제적용, 개인정보보호권고문게시등을실시하도록권고했다. 2007년 7월부터는 P2P 상에공유되고있는개인정보를조기에탐지하기위해서 P2P 개인정보자동탐지시스템 을개발했다. 개발대상 P2P 사이트는 2006년에개인정보가노출됐던 7개사이트였다. 자동탐지시스템을통해탐지한개인정보가공유된파일은해당 P2P 업체에통보했다. 통보된파일은해당사업자가자신의 P2P 사이트에서공유되지않도록자체적으로조치를취하게했다. 제6장개인정보보호활동 127

제 2 편 제 6 장개인정보보호활동 4. 개인정보보호수준향상 가. 개인정보취급방침의전자적표시도입 제 2 편국가정보보호현황 정보통신서비스제공자는개인정보를수집하는경우그목적, 보유기간등에관한내용을포함한개인정보취급방침을이용자에게공개하고있다. 그러나기존의텍스트형태로만고지되고있는개인정보취급방침은이용자가찾아보기힘들거나분량이많아내용을정확히읽어보지않는경우가많다. 2007년한국정보보호진흥원의정보보호실태조사결과에의하면전체응답자의 68.8% 가개인정보취급방침을확인하지않거나모른다고답변했다. 개인정보취급방침의전자적표시 ( 이하 전자적표시 ) 는이러한문제점을개선한소프트웨어이다. 웹사이트의개인정보취급방침을손쉽게확인할수있도록개인정보취급방침의내용과형식을표준화된방식으로표시했기때문이다. 웹사이트이용자는 전자적표시 를자동인식하는소프트웨어 ( 체크프라이버시 ) 를통해방침내용을일일이읽지않고도핵심적인사항들을이미지등으로손쉽게확인할수있다. 정부는 전자적표시 제도도입의안정화를위해 2007년 7월부터웹사이트를통해개인정보취급방침공개시전자적표시를함께하도록법적근거를마련했다.( 정보통신망이용촉진및정보보호등에관한법률 시행규칙 ( 제3조의2), 정보통신부고시 ( 제2007-40호 ) 를제정하여구체적인작성및적용방법을명시하기도했다. 또한, 정부는전자적표시보급활성화를위해 개인정보취급방침의전자적표시소프트웨어 를개발하여 2007년 8월부터홈페이지를통해보급하고있다. 12월현재포털, 기간통신사등주요사업자를포함하여 5,800여개웹사이트에전자적표시가도입됐다. 이용자용소프트웨어인 체크프라이버시 는 12월부터보급을시작하여한달여동안 1,500여명이다운로드받았다. 128 2008 국가정보보호백서

제 6 장개인정보보호활동 제 2 편 [ 그림 2-6-2-4] 개인정보취급방침의전자적표시원리개념도 제 2 편국가정보보호현황 나. 신규 IT 서비스프라이버시보호대책수립 신규 IT 서비스가지속도입됨에따라서비스도입전 후에개인정보침해여부를파악하여개선하는것이중요해지고있다. 2007년에수행한신규 IT 서비스관련프라이버시보호대책은 RFID 프라이버시보호, 바이오정보보호, CCTV 영상정보보호, 개인위치정보보호분야에서이루어졌다. 2007년도에위분야들과관련한활동은자율규제를지원하고사업자의보호역량을강화하는방향으로진행됐다. 우선기존에마련해놓은가이드라인을개정 (RFID, 바이오정보, 개인영상정보 ) 하고, 해설서를제작 (RFID, 바이오정보, 개인영상정보 ) 했다. 가이드라인준수여부를사업자가자율적으로점검할수있는체크리스트개발 (RFID, 바이오정보 ) 및보급하였다. 또한 RFID, 바이오정보, 개인위치정보에대한이용기관및이용자를대상으로개인정보보호의식및이용실태등을조사했다. 실태조사결과는향후정책방향수립을위한참고자료로활용할예정이다. 이외에개인위치정보분야에서는위치정보사업자대상허가심사및위치정보심의위원회를운영했다. 제3자위치확인서비스를제공하는 20개사업자를대상으로위치정보보호조치실태도점검했다. 제6장개인정보보호활동 129

제 2 편 제 6 장개인정보보호활동 다. 주민번호대체수단 (i-pin) 보급및이용활성화 제 2 편국가정보보호현황 정부는인터넷웹사이트에서주민번호의과도한수집 사용으로인해발생하는도용및침해문제를해결하기위하여 2005년에주민번호대체수단 (i-pin) 을마련한바있다. i-pin은주민번호실명확인을위해공인인증서, 핸드폰등본인확인절차를거쳐발급받는 13자리개인식별번호이다. 웹사이트는 i-pin 도입을통해주민번호를제공하지않고도회원가입이가능한방법을이용자에게제시함으로써이용자의선택권을보장할수있다는장점을가질수있다. 또한인터넷사업자들은 i-pin을도입함으로써개인정보관리에대한부담을줄이고본인임이확인된이용자확보를통해내실있는회원 DB를구축할수있다는장점이있다. 정부는 2006년 10월에 인터넷상의주민번호대체수단가이드라인 을통해 i-pin 서비스를제공하는본인확인기관의요건과서비스안정성확보를위한정기점검방안등을확정하여발표하였다. 이러한 i-pin 서비스안정성을바탕으로 2007년에는총 85개기관이도입하였으며 99,000여건의 i-pin이발급되었다. [ 그림 2-6-2-5] i-pin 발급방법 130 2008 국가정보보호백서

제 6 장개인정보보호활동 제 2 편 특히, 주요포털사이트인 MSN, 네이버, 다음등은회원가입이나게시판글쓰기서비스에 i-pin을본인확인수단으로도입하여주민번호비사용자를위한선택권을부여함으로써이용자로부터신뢰를얻고있다. 포털사업자외에도정보통신부와한국정보보호진흥원은 i-pin 서비스를확대보급하기위해 i-pin 홍보물의제작 배포, 인터넷사업자대상 i-pin 도입설명회개최및이용자대상 i-pin 발급이벤트개최등대국민인식제고에노력을기울이고있다. 라. 보안서버보급확산보안서버는인터넷상에서개인정보를암호화하여안전하게전송하는서버로서개인정보를취급하는웹사이트에서는기초적으로갖추어야할개인정보보호수단이다. 보안서버는별도의하드웨어장치가아니라기존에운영중인웹서버에 SSL(Secure Socket Layer) 인증서를설치하거나별도의암호화기능을추가하는소프트웨어적인방식으로구축하게된다. 정부는 2006년 9월국무회의를통해서 개인정보보호강화를위한보안서버보급확대방안 을보고하고민간부문을포함한범부처적인보안서버확산기반을조성했다. 이후보안서버보급확대를위해 2006년 10월부터 3개월에걸쳐국가기관 지자체및민간주요웹사이트 19,584개의담당자를대상으로안내메일을발송하고전화상담을실시했다. 12월에는 정보통신망이용촉진및정보보호등에관한법률 에의한 개인정보의기술적 관리적보호조치기준 에개인정보송 수신시보안서버구축등을명기한개정안을마련했다. 또한 2007년 10월에는보안서버구축에대한이해를돕기위해 보안서버구축가이드 를발간하여보급했다. 2007년에는민간부분에총 17,966개의보안서버를구축했다. 이를위해한국정보보호진흥원에서는상장사및일일방문자수 1만명이상 2,243개주요웹사이트를중점관리대상으로선정했다. 선정된사업자중보안서버미구축사이트에대해서는개선권고및전화계도를실시했다. 일일방문자수기준으로 15,000개웹사이트를선정하여보안서버구축실태를점검하고미구축웹사이트를대상으로계도활동도수행했다. 제 2 편국가정보보호현황 제6장개인정보보호활동 131

제 2 편 제 6 장개인정보보호활동 5. 개인정보보호교육 제 2 편국가정보보호현황 정부는 2007년 4월부터 11월까지총 7회에걸쳐서 개인정보보호전문교육 을실시했다. 교육은개인정보보호정책현황및법률에대한이해와 2008년부터본격적으로실시할예정인개인정보영향평가를수행할수있는전문가양성을목표로진행됐다. 이를통해 188명의개인정보보호및영향평가수행전문가를양성했다. 2007년 4월부터 12월까지한국정보문화진흥원의지원을받아수도권 87개초 중 고교, 47,590명의학생, 학부모, 교직원등을대상으로개인정보기본교육을실시했다. 교육은개인정보에대한이해와피해예방을목적으로진행됐다. 온라인교육의경우총 4종 ( 개인정보영향평가, 개인정보취급방침, 개인정보법관련사업자역량강화, 위치정보법 ) 의교재를개발했다. 교육은관련콘텐츠를개발후한국정보보호진흥원개인정보침해신고센터홈페이지 (www.1336.or.kr) 에해당콘텐츠를올려놓고교육이필요한사람들이자율적으로수강할수있도록했다. 132 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 제 7 장 국민생활정보보호활동 제 1 절전자서명이용활성화 1. 전자서명인증체계현황국내 외전자상거래시장이급속도로발전함에따라, 전자문서및전자상거래의활성화를위해공신력있는기관을통하여전자서명에대한법적효력의필요성이제기되었다. 이에따라, 전자문서의안전성과신뢰성을확보하고, 전자서명의안전한이용환경조성과공인인증기관의효율적인관리를위해 1999년 2월전자서명법을제정하였다. 1999년 3월에한국정보보호진흥원은전자서명인증관리센터를구축하기위하여준비반을구성하였고, 같은해 7월 7일부터최상위인증기관으로서의공인인증업무를개시하게되었다. 제 2 편국가정보보호현황 가. 공인인증기관현황 공인인증기관을전자서명법에의하여가입자에게공인인증서를발급하고이를관리하며, 기타공인인증서비스제공등의업무를수행한다. 현재총 6개기관이공인인증기관으로지정 운영되고있다. [ 표 2-7-1-1] 공인인증기관지정현황 기관명 지정일설립목적기관성격 한국정보인증ㄜ 2000. 2. 공인인증서비스 주식회사 ㄜ코스콤 2000. 2. 증권분야전산인프라구축 주식회사 금융결제원 2000. 4. 은행간결제 비영리기관 한국정보사회진흥원 2001. 3. 국가정보화집행 공공기관 한국전자인증ㄜ 2001.11. 공인인증서비스 주식회사 ㄜ한국무역정보통신 2002. 3. 무역업무자동화 주식회사 * 출처 : 한국정보보호진흥원, 2007.12 제7장국민생활정보보호활동 133

제 2 편 제 7 장국민생활정보보호활동 제 2 편국가정보보호현황 공인인증기관은공인인증시스템을안전하게구축 관리할수있는기술력, 재정능력, 시설및장비등을갖추어야한다. 이를위해서는최소 80억원의자본금, 12명이상의전문인력과공인인증서를안전하게발급 관리할수있는시스템등엄격한기준을충족해야한다. 공인인증기관으로지정되기위해서는시설 인력등에대한심사를거쳐해당심사를통해기준을갖춘경우정보통신부장관으로부터공인인증기관으로지정을받게된다. 이렇듯공인인증기관으로지정되기위해엄격한기준을갖추어야하는이유는인증서의발급 폐지등공인인증서를안전하게관리할수있어야하고, 전자거래등가상공간에서의신뢰성확보가가능하며, 공인인증기관사업자가사고발생시배상등의책임을질수있어야하기때문이다. 나. 전자서명상호연동체계마련 공인인증서비스초기, 각공인인증기관은독자적인인증시스템을구축하여하나의공인인증기관으로부터공인인증서를발급받은사용자는해당인증서로모든전자거래서비스업체에사용할수없었다. 이에전자서명이용을활성화하고공인인증서이용자의편의성을높이기위해공인인증서상호연동의필요성이제기되었다. 정부는 2001년 12월전자서명법개정을통해누구든지공인인증서를이용하여전자서명을확인하는경우정당한이유없이특정공인인증기관의공인인증서만을요구하여서는안된다는조항을마련하였고, 이를바탕으로 6개공인인증기관의상호연동을추진하였다. 정부는상호연동가능여부를확인하기위해 2003년과 2004년두차례에걸쳐 396개전자거래서비스업체를대상으로상호연동실태조사를실시하였고, 그결과상호연동이제공되지않는전자거래서비스업체에대해시정조치를완료하였다. 상호연동기반마련을위한지속적인노력에도불구하고이를간과하는전자거래서비스업체가생겨나면서공인인증서상호연동에대한상시적인점검체계의필요성이제기되었다. 이에따라, 2004년 4월상시적인상호연동점검체계를마련하고, 전자거래서비스업체의상호연동위반신고를접수 처리할수있는 공인인증서상호연동지원센터 를최상위인증기관내에운영하고있다. 134 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 2. 공인인증서비스안전성강화및대국민인식제고 가. 공인인증서발급현황 2000년공인인증서비스를시작한이래 2007년 12월현재공인인증서발급수는 1,715만건을넘어섰으며, 공인인증서발급수는최근 3년간매년평균 21.9% 씩꾸준히증가하고있다. [ 표 2-7-1-2] 연도별공인인증서발급수 ( 기준, 단위 : 건 ) 종류 2000년 2001년 2002년 2003년 2004년 2005년 2006년 2007년 서버 38 228 384 634 697 697 923 1,047 제 2 편국가정보보호현황 개인 18,470 1,293,850 4,376,203 7,088,509 8,724,889 10,140,241 13,348,604 15,881,954 법인 8,337 207,457 557,556 735,225 772,333 859,135 1,025,461 1,272,332 계 26,845 1,501,535 4,934,143 7,824,368 9,497,919 11,000,073 14,374,988 17,155,333 * 출처 : 정보통신부, 2007.12 ( 만건 ) 2000 1800 1,715 1600 1,437 1400 1200 1000 800 600 493 782 950 1,100 400 200 0 3 150 2000 년 2001 년 2002 년 2003 년 2004 년 2005 년 2006 년 2007 년 [ 그림 2-7-1-1] 연도별공인인증서발급수변화추이 * 출처 : 정보통신부, 2007.12 제7장국민생활정보보호활동 135

제 2 편 제 7 장국민생활정보보호활동 공인인증서용도별현황을살펴보면, 개인용공인인증서의경우범용공인인증서가 175만장이발급되었고용도제한용공인인증서는 1,413만장이발급되었다. [ 표 2-7-1-3] 이용용도별공인인증서발급수 ( 기준, 단위 : 건 ) 제 2 편국가정보보호현황 개인 종류 공인인증서발급수 서버 1,047 범용 1,751,223 용도제한용 14,130,731 법인 1,272,332 계 17,155,333 * 출처 : 정보통신부, 2007.12 나. 공인인증서이용분야 공인인증서를이용하고있는전자거래서비스는인터넷뱅킹, 사이버증권거래, 전자입찰, 전자세금계산서, 쇼핑몰, 전자의료, 온라인보험, 주택청약등이있으며, 2007년 12월기준으로, 공인인증서를이용하여전자거래서비스를제공하는기관은약 770여개기관이다. 3. 공인인증서비스안전성강화및대국민인식제고 가. 공인인증서사용자소프트웨어점검체계수립 공인인증서사용자소프트웨어는인터넷뱅킹이나쇼핑몰등에서공인인증서를이용하여계좌이체나전자결제하기위해사용되는도구로써온라인전자거래에서공인인증서사용을위해필요한프로그램을말한다. 공인인증서가주택청약, 연말정산, 의료등생활전반에보급됨에따라, 공인인증서사용자소프트웨어또한다양한분야에서개발및이용하게되었고, 이에대한상호연동성및안전성관리가필요하게되었다. 이에, 정부는그동안공인인증기관을대상으로하였던공인인증서사용자소프트웨어의표준준수여부와안전성에대한점검을전문보안업체등으로확대하여공인인증서비스에적합한지에대한평가를실시하기로하였다. KISA는 2007년 12월부터이니텍, 소프트포럼, 드림시큐리티등주요 PKI 전문보안 136 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 업체의공인인증서사용자소프트웨어에대해서도구현적합성평가를진행중이다. 나. 공인인증업무비상대응매뉴얼개발 정부는 2007년 5월공인인증기관의시스템및네트워크장애, 전자서명생성정보유출등에따른공인인증서비스의중단또는그와동등한사고발생을대비하여신속한대응및복구조치를위해정보통신부, 한국정보보호진흥원, 공인인증기관등의대응절차및조치사항을규정한공인인증업무비상대응매뉴얼을개발하였다. 제 2 편국가정보보호현황 [ 그림 2-7-1-2] 공인인증업무비상대응체계 * 출처 : 한국정보보호진흥원, 2007.12 공인인증업무비상대응매뉴얼은공인인증기관시스템및네트워크장애로공인인증서비스중단등국민생활에피해가발생하거나그와동등한사고가발생할우려가있는경우, 공인인증업무관련기관및업체와비상대응업무공조시에적용된다. 공인인증업무비상대응매뉴얼에는공인인증업무에대한비상상황을 주의, 경계, 심각 등으로구분하여, 각등급에해당하는비상상황의종류및해당기관에서신속하게대응해야하는절차등을명시 제7장국민생활정보보호활동 137

제 2 편 제 7 장국민생활정보보호활동 하였다. 공인인증업무비상대응매뉴얼은 2007년 5월말공인인증정책추진심의위원회의심의를통해공인인증기관및유관기관등에배포하였고, 본매뉴얼을기반으로 2007년 6월부터 12월까지총 4회에걸쳐공인인증기관합동비상대응훈련을실시하여공인인증체계전반의안전 신뢰성제고에기여하였다. 제 2 편국가정보보호현황 다. 공인인증서안전이용홍보정부는공인인증서이용활성화를위해서는국민들의공인인증서안전이용에대한인식제고가무엇보다도중요함을감안하여한국정보보호진흥원과공동으로안전한공인인증서저장매체및비밀번호설정방법과공인인증서부정발급및불법양도 양수금지에대한홍보를통해일반국민이공인인증서를보다안전하게이용할수있도록홍보하였다. 2007년 7월에는공인인증기관을통해공인인증서의부정발급및불법양도의위법성을알리는안내문을홈페이지와배너로공지하였고, 9월부터 10월까지한국정보보호진흥원과한국PKI포럼이공동주관으로공인인증서안전이용온라인퀴즈및공인인증서를 USB 등안전한이동식저장매체로옮기는캠페인을개최하여사용자의공인인증서안전이용에대한인식이향상될수있도록하였다. 또한 공인인증서안전이용안내 소책자와온라인배포용플래쉬를제작하여일반국민에게배포함으로써공인인증서에대한대국민안전이용인식제고와이용확산에기여하였다. 4. 공인인증서이용자환경개선노력 가. 보안토큰기반의공인인증서이용기반구축 보안토큰은전자서명이저장장치내부에서생성되며, 저장된전자서명생성키는저장장치외부로나오지않기때문에피싱 해킹등으로부터공인인증서 ( 전자서명생성키포함 ) 유출을방지할수있는휴대용저장장치이다. 정부는공인인증기관, PKI 전문보안업체, 보안토큰관련업체와협의를통해 2007년 6월보안토큰기반의공인인증서이용기술을표준화하였다. 정부는 2007년 9월부터업체마다서로상이한보안토큰이기술규격에따라구현되었는지 138 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 여부에대해구현적합성평가를시행하고있는데, 2007년 11월위노블, 세이프넷코리아등보안토큰 2종제품이국내최초로 KISA 인증을통과하였고, 농협은해당보안토큰을활용하여 2007년 12월국내최초로보안토큰기반으로안전한공인인증서비스를제공중에있다. 보안토큰기반의안전한공인인증서비스는기존 OTP에의존하던인터넷뱅킹 1등급이체 ( 한도 1억원 ) 거래에도이용될수있기때문에, 은행에서보안토큰기반의안전한공인인증서비스를도입할것으로예상된다. 무엇보다도공인인증서가주택청약, 연말정산, 의료등생활전반에서이용되고있는상황에서금융, 조달, 민원등중요하고민감한거래가보다안전하고신뢰성있게수행될수있는계기를마련하였다는데서큰의미를찾을수있다. 2008년에보안토큰보급활성화원년을달성하기위해서는 770여개전자거래서비스업체의공인인증서사용자소프트웨어교체가선행되어야하는만큼, 공인인증기관, PKI전문보안업체, 전자거래서비스업체의협조가절실히요구된다. 제 2 편국가정보보호현황 나. 자바기반의공인인증서이용기반확대 국내에서인터넷뱅킹, 전자상거래, 온라인주식거래등에서공인인증서비스를이용하기위해서사용자들은마이크로소프트사의윈도우운영체제와인터넷익스플로러만을이용해야했다. 하지만다양한웹브라우저의출현, 웹관련기술의발전과같이인터넷이용환경이다양해지고이용자들의 IT수준이높아짐에따라윈도우운영체제와인터넷익스플로러이외의환경에서도공인인증서비스를이용하고자하는요구가증가하게되었다. 이러한요구를수용하기위해 2007년 2월부터다양한인터넷응용기술이검토되었고, 마이크로소프트사의 ActiveX 컨트롤기술과같이웹브라우저에서동적으로실행되는응용프로그램환경을제공할수있는 Java Applet 기술에주목하게되었다. Java Applet은마이크로소프트사의윈도우를포함하여리눅스, 매킨토시등의운영체제와파이어폭스, 사파리, 오페라웹브라우저등다양한이용자인터넷환경을지원한다. 또한 Java Applet은 ActiveX 컨트롤기술과같이인터넷이용자와동적으로상호작용이가능한특징을가지기때문에공인인증서비스제공을위한알맞은환경을제공할수있다. 공인인증서비스를 Java Applet을이용하여제공하기위해우선적으로공인인증서소프트웨어가갖추어야할기술적요구사항을분석하고이러한요구사항을만족시키기위해관련기술을분석하였다. 2007년실무작업반을통해공인인증서비스를위한요구사항및대응방안을분석하고구현의적합성여부를테스트하기위한기반환경을구축하였다. 또한전문 제7장국민생활정보보호활동 139

제 2 편 제 7 장국민생활정보보호활동 제 2 편국가정보보호현황 보안업체를통한프로토타입소프트웨어구현및테스트를통해자바기반의공인인증서소프트웨어에대한구현가이드라인을제작하였다. 자바기반으로공인인증서소프트웨어프로토타입을제작하고개발된프로토타입에대해구현적합성을테스트하여구현가이드라인을개발함으로써사용자들이윈도우뿐만아니라리눅스, 매킨토시등다양한운영체제에서공인인증서비스를이용할수있는기반이확대되었으며다양한환경에서공인인증서비스를이용하고자하는사용자에대한만족도가제고되었다. 다. 윈도우비스타에서공인인증서비스안전성및가용성확보마이크로소프트사의인터넷익스플로러를이용하여인터넷을이용하는경우악성코드가사용자의 PC에임의적으로설치되는등의문제가제기되어왔다. 마이크로소프트사는이러한문제를해결하기위해윈도우비스타에서는사용자의허가없이인터넷익스플로러를통해임의적인소프트웨어설치및악성코드유입을방지할수있도록사용자의권한을제어하는보안정책을적용하였다. 결국윈도우비스타에서의보안정책강화로인해악성코드뿐만아니라기존의공인인증서소프트웨어또한윈도우비스타환경에서작동하지않는문제가발생할수있었다. 이에따라윈도우비스타출시전인 2006년 9월부터공인인증기관, 전문보안업체와마이크로소프트사로구성된실무작업반을통해윈도우비스타환경에서인터넷익스플로러를이용하여공인인증서비스이용시발생할수있는영향을분석하고관련대책을마련하였다. 공인인증기관과전문보안업체는실무작업반을통해합의된해결방법에따라윈도우비스타에서 실행프로그램권한상승 방법을통해실행이가능하도록공인인증서소프트웨어를수정하였다. 결국 2007년초윈도우비스타출시와함께사용자가윈도우비스타환경에서안정적인공인인증서비스를이용할수있는기반을제공할수있었다. 140 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 제 2 절불법스팸메일방지 스팸 (spam) 은수신자가원치않음에도불구하고이메일이나휴대전화등의정보통신서비스를통해일방적으로무분별하게전송되는영리목적의광고성정보를말한다. 일반적으로스팸은대량으로반복하여전송되기때문에수신자에게짜증을유발하고필요한정보수신을방해하며메일서버의과부하를초래하는등많은문제점을야기하는대표적인정보화역기능의하나이다. 정보통신의비약적인발달에따라스팸의유통또한빠르게증가하였고, 이를차단하거나걸러내기위한기술들도함께발달하였다. 다양한필터링기술들의활용으로인해실제로이용자에게최종적으로도달하는스팸의양은점차줄어들고있으나, 이를만회하기위해스패머들이더많은스팸을전송함에따라전체적인유통량은갈수록증가하고있는실정이다. 더욱이최근에는이메일이나휴대전화로스팸메시지를전송하는고전적인방식외에도, 인터넷게시판등에스팸을게시하거나개인 PC에광고프로그램 (adware) 을설치하는등스팸을전송하는매체가더욱다양해졌고, 기법또한갈수록지능화 고도화되어가는추세이다. 제 2 편국가정보보호현황 1. 스팸현황 가. 이용자 1 인당일평균스팸수신량 스팸으로인한피해정도의파악및적절한대응을위해한국정보보호진흥원은 2003년부터매년일반이용자 1,000명을대상으로 1인당일평균스팸수신량을조사하고있다. 스팸수신량은정부의스팸대응정책수립을위한기초적인근거자료이자정책집행의효과를측정하는데있어중요한기준지표라할수있다. 이메일스팸수신량의경우, 인터넷이용자비율 ( 한국인터넷진흥원, 2006년하반기정보화실태조사 ) 과성별, 연령별인구분포를고려하여선정한 10~50대일반이용자 1,000명의 PC에조사를위한프로그램을설치하고일정조사기간동안이용자가등록해놓은계정으로수신되는모든이메일을확인하여분류하는방식으로측정이이루어진다. 제7장국민생활정보보호활동 141

제 2 편 제 7 장국민생활정보보호활동 2007년에는예년과달리분기별로조사를실시하였고, 최종 4/4분기이메일스팸수신량은 2006년하반기의 5.3 통에비하여약 18.9% 감소한 4.3 통으로조사되었다. 이메일스팸수신량의감소가꾸준히이어지고있으나, 2006년부터는이전에비해감소세가점차둔화되고있음을알수있다. 제 2 편국가정보보호현황 건 30 25 20 15 29.1 13.8 10 5 6.9 5.3 50% 감소 4.3 0 2003년 2004년 2005년 2006년 2007년 * 출처 : 한국정보보호진흥원, 2007.12 [ 그림 2-7-2-1] 연도별이메일스팸수신량변동추이 조사결과를바탕으로이용자의이메일수신행태를살펴보면, 2006년과비교하여업무나사적인용도로이용되는이메일이 3배이상크게증가하고수신자의수신동의를얻어전송하는정상광고메일도소폭증가한반면, 스팸만감소한것으로나타났다. [ 표 2-7-2-1] 수신이메일의유형별구분 구분 사적메일 수신동의광고메일 스팸메일 합계 2006 년 0.9 건 (4.0%) 16.5 건 (72.7%) 5.3 건 (23.3%) 22.7 건 2007 년 3.2 건 (11.1%) 21.4 건 (74.0%) 4.3 건 (14.9%) 28.9 건 * 출처 : 한국정보보호진흥원, 2007 142 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 2007년스팸수신량조사결과에서주목할만한것은, 스팸을콘텐츠별로구분하였을때전년에비하여금융대출을알선하는내용의광고는 1/3 수준으로크게줄어들었으나, 제품판매또는서비스제공과같은일반광고는크게증가하여전체의약 70% 를차지하였다는것이다. 이는불법유통의약품이나크리스마스와연말을앞두고모조품 ( 일명 짝퉁 ) 판매에관한스팸이급증했기때문인것으로보인다. [ 표 2-7-2-2] 이메일스팸의콘텐츠별구분 구분 일반광고 성인광고 대출광고 합계 2006년 2.0건 (37.7%) 0.2건 (3.8%) 3.1건 (58.5%) 5.3건 2007년 3.0건 (69.8%) 0.3건 (7.0%) 1.0건 (23.2%) 4.3건 * 출처 : 한국정보보호진흥원, 2007 제 2 편국가정보보호현황 또한, 대다수의이용자들이주로이용하는포탈의웹메일은계정당 1일스팸수신량이 0.53통으로 2006년에비해크게감소한반면, 일반기업이나학교등에서자체적으로서버를운영하는일반메일의스팸수신량은 15.2건으로전년에비해증가함에따라, 둘간의격차는약 29배로더욱크게벌어진것으로나타났다. 이는전년에비해서도 3배이상격차가커진것이다. 따라서일반메일서버운영기관 업체의스팸대응수준제고를위한다각적인노력이더욱강화되야할것이다. [ 표 2-7-2-3] 웹메일과일반메일의스팸수신량비교 구분 웹메일 ( 포탈 ) 일반메일 (POP3) 비고 2006 년 1.4 건 / 계정 / 일 11.8 건 / 계정 / 일 8.4 배 2007 년 0.53 건 / 계정 / 일 15.2 건 / 계정 / 일 28.7 배 * 출처 : 한국정보보호진흥원, 2007 한편, 2004년부터시작된휴대전화스팸수신량조사는이동통신사별시장점유율및성별인구분포를고려한만 10세이상의휴대전화이용자 1,000명을대상으로일정조사기간동안수신한음성통화및문자메시지 (SMS) 등에대한개별설문조사를통해이루어진다. 2007년휴대전화스팸수신량은 2006년의 0.47통에비하여약 21.3% 증가한 0.57통으로조사 제7장국민생활정보보호활동 143

제 2 편 제 7 장국민생활정보보호활동 제 2 편국가정보보호현황 되었다. 휴대전화스팸은매년상반기에일시적으로증가하다가하반기에는다시크게감소하는패턴을보였으나, 2007년에는 1분기부터증가하기시작한스팸이 3분기정점 (0.64통) 을이루었다가 4분기에소폭감소하는행태를보였다. 당초목표였던 0.5통을달성하기위해선불폰에대한착신전환을금지하고대리운전스팸에대한규제를강화하는한편, 통신사및 SMS 발송대행사에대한실태조사등의다각적인대응활동을추진하였으나, 휴대전화스팸의증가추세를효과적으로억제하지는못하였다. 향후에는휴대전화스팸의발생원인별로보다근본적인대책의마련과시행이필요할것으로보인다. 건수 2 1.7 1.5 1 0.74 0.5 0.47 0.57 50% 감소 0 2004 년 2005 년 2006 년 2007 년 [ 그림 2-7-2-2] 연도별휴대전화스팸수신량변동추이 * 출처 : 한국정보보호진흥원, 2007.12 이용자들이수신한스팸을콘텐츠별로살펴보면, 일반광고는전년과동일하게조사되었으나, 성인광고와대출광고내용의스팸이전년에비하여증가한것으로나타났다. 특히, 대출스팸은전년에비해 0.08통이늘어나전체적인스팸수신량증가의주요원인이되었다. 이는경기침체및소득양극화로인해약 266만명 (2007년 9월기준 ) 의신용불량자 ( 금융채무불이행자 ) 가여전히상존하고있는사회적현황과무관하다할수없다. 또한대출스팸의경우, 대부업체, 브로커, TM, 전송자등여러단계별로분업화가이루어지고있는데다법망을피하기위한전문성이점차강화됨에따라, 여타스팸에비해특히단속이어렵다는것도대출스팸이차지하는비중이높게나타나는이유이다. 144 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 [ 표 2-7-2-4] 휴대전화스팸의콘텐츠별구분 구분 일반광고성인광고대출광고합계 2006 년 0.17 건 (4.0%) 0.11 건 (72.7%) 0.19 건 (23.3%) 0.47 건 2007 년 0.17 건 (30%) 0.13 건 (23%) 0.27 건 (47%) 0.57 건 * 출처 : 한국정보보호진흥원, 2007.12 휴대전화스팸의전송방식은전년에비하여음성통화의증가폭이더욱컸던것으로나타났다. 전년대비문자메시지 (SMS) 스팸은 0.03건 (8%) 증가한반면, 음성스팸은 0.07건 (70%) 증가하여전체스팸중음성스팸이차지하는비중이약 30% 로늘어나게되었다. 이는부재중전화발신번호표시를남김으로써수신자의호기심을자극하는 원링 (one-ring) 스팸이나중국등해외에서인터넷전화 (VoIP) 를이용한음성스팸이증가하였기때문으로풀이된다. 제 2 편국가정보보호현황 [ 표 2-7-2-5] 휴대전화스팸의전송방식별구분 구분 문자메시지 (SMS) 음성통화합계 2006 년 0.37 건 (78.7%) 0.10 건 (21.3%) 0.47 건 2007 년 0.40 건 (70.2%) 0.17 건 (29.8%) 0.57 건 * 출처 : 한국정보보호진흥원, 2007.12 나. 불법스팸신고 정부는스팸으로인한국민의불편해소를위하여 2001년부터스팸관련상담및신고를접수하여처리해왔으며, 2003년 1월 불법스팸대응센터 를별도로설치한이후점차기능을확대 강화하여보다강력히스팸을규제하고있다. 불법스팸대응센터는인터넷홈페이지 (www.spamcop.co.kr) 와전화, 팩스, 우편등을통해스팸수신차단및대처요령에대한전문상담을실시하는한편, 불법스팸메일신고를접수하여사실조사를수행하고있다. 조사결과법위반사실이확인된피신고인에대해서는직접계도조치하거나관할체신청에행정처분을의뢰하고, 형사처벌대상의경우에는검찰과경찰에수사를의뢰한다. 불법스팸대응센터로접수되는스팸신고건은해마다큰폭으로증가하여왔다. 그러나 제7장국민생활정보보호활동 145

제 2 편 제 7 장국민생활정보보호활동 제 2 편국가정보보호현황 2007년의경우, 이메일스팸신고는약 60% 감소한반면, 휴대전화스팸신고가 3배이상폭증함에따라총신고건수도 2.7 배가량크게증가하였다. 이메일스팸수신량이지속적으로감소한탓도있겠지만, 일반국민들이체감하는불편이상대적으로휴대전화스팸에집중되고있음을반증하는것이라하겠다. 아울러전체신고건에서차지하는비중은여전히작지만, 팩스, 게시판스팸에대한신고건도전년에비해큰폭으로증가했다. 연도별불법스팸신고접수현황은아래 [ 표 2-7-2-6] 과같다. [ 표 2-7-2-6] 연도별불법스팸신고접수현황 ( 단위 : 건 ) 구분 2001년 2002년 2003년 2004년 2005년 2006년 2007년 이메일 254 24,241 42,117 93,588 109,872 78,691 33,286 휴대전화 - 4,864 36,813 219,684 278,609 580,271 2,176,287 팩 스 - - 21 172 193 361 880 게시판 - - - - 161 649 1,969 기 타 - - 32 1,030 536 267 234 합 계 254 29,105 78,983 314,474 389,371 660,239 2,212,656 * 출처 : 한국정보보호진흥원 2007 년한해동안의스팸유형별신고접수현황을월별로살펴보면다음과같다. [ 표 2-7-2-7] 월별불법스팸신고접수현황 ( 단위 : 건 ) 2007 년 1 월 2 월 3 월 4 월 5 월 6 월 7 월 이메일 3,418 2,784 3,563 2,585 3,698 3,440 2,923 전 기 합 화 타 계 44,831 46,132 73,269 85,316 84,384 96,670 152,592 177 145 190 127 87 182 227 48,426 49,061 77,022 88,028 88,169 100,292 155,742 2007 년 8 월 9 월 10 월 11 월 12 월 합계 이메일 2,469 1,517 1,846 1,777 3,266 33,286 전 기 합 화 타 계 237,883 241,728 329,897 365,792 417,793 2,176,287 325 330 338 497 458 3,083 240,677 243,575 332,081 368,066 421,517 2,212,656 * 기타유형 : 팩스, 게시판, 기타스팸 * 출처 : 한국정보보호진흥원, 2007 146 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 2007년휴대전화스팸신고건이급증한가장큰이유는휴대전화간편신고서비스가 2월부터개시되었기때문이다. 간편신고기능이탑재된단말기이용자는자신이수신한스팸을단말기상에서간단한메뉴버튼조작만으로 KISA에신고할수있다. 단말기의보급과대국민홍보활동으로인해간편신고기능을통해접수된신고건은폭발적으로증가하여 12월에는전체신고건의약 88% 에달하였다. 만 45 417,793 40 전체 신고건수 365,792 88.3% 35 간편신고를 통한 스팸 신고건수 329,897 86.0% 30 237,883 241,728 25 78.4% 제 2 편국가정보보호현황 20 15 10 5 0 73,269 85,316 84,384 96,670 46,132 1.9% 13.4% 22.7% 39.2% 50.9% 152,592 57.9% 64.2% 73.1% 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 * 출처 : 한국정보보호진흥원, 2007.12 [ 그림 2-7-2-3] 2007 년월별휴대전화스팸신고접수유형별추이 다. 국가별스팸전송순위 스팸이전세계적으로중요한사회적문제로인식된이래한국은항상주요스팸발송국의하나로꼽혀왔다. 그러나정부의강력한규제시행과 ISP 등사업자의자율규제강화로인하여 2005년이후부터한국으로부터전송되는스팸은꾸준히감소하고있는추세이다. 제7장국민생활정보보호활동 147

제 2 편 제 7 장국민생활정보보호활동 45% 40% 미국 42.1% 35% 30% 26.8% 28.4% 제 2 편국가정보보호현황 25% 20% 15% 10% 5% 0% 13.4% 한국중국브라질프랑스 2004년 8.4% 3.3% 1.4% 22.0% 18.4% 19.8% 19.6% 15.9% 17.0% 7.5% 8.4% 7.4% 7.0% 3.9% 5.4% 6.5% 5.2% 4.1% 4.1% 4.9% 3.7% 3.5% 2.4% 3.1% 3.3% 3.6% 2005년 2006년 2007년 4월 2007년 7월 2007년 10월 * 출처 : 소포스 (SOPHOS) [ 그림 2-7-2-4] 국가별스팸전송비율변동추이 영국에기반을두고있는글로벌보안업체의하나인소포스 (SOPHOS) 사 ( ) 는자사의스팸트랩과모니터링결과를토대로스팸전송량이가장많은 12개국가순위를정기적으로발표하고있다. 동통계자료에따르면, 2006년전체한국발스팸의비율은 7.4% 로미국과중국에이은 3위였으며, 2007년에도꾸준히감소세가이어져 3분기에는 5.2% 까지하락했다. 그러나미국을제외하고는중국, 프랑스, 브라질등상위권국가들의비중이모두감소한데다하위권및순위권밖기타국가들의비중이전반적으로증가함에따라, 한국의순위는 3분기현재 2위로상승했다. 이는스패머들이국내규제를피하여다른나라에위치한오픈프락시나봇넷을경유지로이용함에따라스팸전송국가가점차다변화되고있기때문으로풀이된다. 2007년도전세계스팸유통에있어서가장주목할만한것은중국의비중이전년대비 2007년 3분기에는약 63% 나감소한것이다. 이는 2006년국가차원의사이버통제종합감시시스템 ( 일명 Great Firewall ) 구축이나최근중국인터넷협회 (ISC : Internet Society of China) 를중심으로한스팸규제및대응의강화가주요원인이된것으로추정된다. 148 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 2. 스팸대응활동 가. 법 제도개선 2005년 12월개정된 정보통신망이용촉진및정보보호등에관한법률 과 2006년개정된 스팸방지가이드라인 을통해스팸에대한법적규제가이전보다강화되긴하였으나, 여전히스팸발송으로인해이용제한조치를당한이후에도반복적으로서비스에재가입하여스팸을전송하는사례가만연하고, 법집행사각지대를악용하는악성스팸발송자는근절되지않고있다. 특히, 스팸전송으로해당통신사로부터서비스이용계약을해지당한자가타사통신서비스를통해스팸을지속적으로전송하는악성스패머의경우는별도의 DB를관리하여사업자간공유할필요성이대두되었다. 이를위해 악성스패머사업자간정보공유 에대한근거를마련하고자 정보통신망이용촉진및정보보호등에관한법률 개정 ( 안 ) 을마련하여입법예고및공청회를실시 (2007년 8월 ) 하였다. 악성스패머정보공유에관한정보통신망법개정안은관계부처의견수렴을거쳐 2008년도에국회에제출할예정이다. 이외에도정보통신부와공정거래위원회의스팸중복규제를해소하기위해정보통신망법상전화스팸에대한 Opt-in 예외규정을축소하는정보통신망법개정안을마련하여관계기관과협의를하고있고, 동법률개정안도 2008년입안을목표로진행하고있다. 스팸규제와관련하여 2007년정기국회에제출된법률 ( 안 ) 으로는 스팸발송광고주에대한형사처벌근거 를마련하고자과정위소속류근찬의원실에서제출한정보통신망법개정안이있다. 류근찬의원은영리목적의광고성정보 ( 이하 스팸 ) 가최근정보통신부의지속적인단속에도여전히근절되지않고있다고지적하였다. 그이유로스팸광고발송위탁자 ( 스팸광고주 ) 에대한형사처벌의근거가없기때문이라고밝혔다. 2007년한해동안스팸관련법률개정 ( 안 ) 이통과된것은없지만, 향후스팸관련독립법제정을위하여스팸법제연구반을구성하여 ( 가칭 ) 스팸방지법 초안을마련하는등법제도적개선을위한다각도의노력을기울여오고있다. 따라서향후스팸방지법이제정되면광고성정보전송제한관련원칙과개념이명확히정립되어변화하는통신환경에적절히대응할수있는스팸방지체계가마련될것으로기대된다. 제 2 편국가정보보호현황 제7장국민생활정보보호활동 149

제 2 편 제 7 장국민생활정보보호활동 나. 사업자실태조사강화 제 2 편국가정보보호현황 정부는 2007년한해동안불법스팸방지를위한사업자의자율적인규제를유도하기위해국내주요기간통신사업자및 SMS 발송대행사, 대리운전중계업체및솔루션제공업체를대상으로사업자실태조사를강화하였다. 먼저, 2007년기간통신사업자실태조사결과약관위반등위법성이있는사업자에대해서는통신위원회에과징금부과등을의뢰하였다. SMS 발송대행사는발송단가가저렴하고대량발송시발송비용이더낮아져불법대부업체등이주로서비스를많이이용하고있고, 휴대전화스팸증가의주요원인이되어왔다. 이러한문제점을개선하기위해 SMS 발송대행업체를대상으로본인확인절차를강화하고, 불법스팸전송행위에대한제재를자사약관에반영하도록유도하여 SMS 발송대행사가스팸발송에이용되는문제점을보완하도록하였다. 대리운전스팸은국내주요 3대스팸 ( 대출, 성인, 대리운전스팸 ) 의하나로대두될만큼최근기승을부리고있다. 대리운전스팸의문제는기존거래관계가있는경우사전수신동의를받지않고도광고를전송할수있는정보통신망법의 Opt-in 예외규정을교묘히악용하여스팸을발송하는데있다. 이같은대리운전광고의불법적인관행을근절하고자한국정보보호진흥원은대리운전스팸감축을위한종합적인대응책을마련하였고, 사업자간담회등을통하여이에대한설명과사업자의협조를요청하였다, 2008년도에는기존거래관계에따른사전수신동의예외규정을악용하는대리운전스팸을방지하기위하여법정기간 ( 예 : 3개월 ) 이내에전송할수있도록법개정을추진할계획이다. 다. 기술적대응 정부는 2005년부터여러경로를통해수집한국내 외스팸정보를토대로차단기준, 중복도, 과거등재기록등을종합적으로분석 확인하여생성하는 IP 기반의 실시간스팸차단리스트 (RBL : Real-time Blocking List) 를국내주요포탈등에제공해왔다. 2007년에는 RBL의정확도향상및보급을확대하여 2006년 533건대비보급률을 4.3배 (2,279건) 확대하였다. 메일서버등록제 (SPF : Sender Policy Framework) 는 2006년 9월도입된이래, 등록기관이 3,450여개에서 2007년 7,590여개로 120% 증가하였다. 휴대전화스팸트랩시스템 의성공적인운영에힘입어 2007년에는 이메일스팸트랩시스템 을개발하여국내외에서발송되는스팸을직접수집하여증거자료로보존할수있게 150 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 되었다. 이메일스팸트랩시스템은 화이트도메인서비스 및 KISA-RBL 과연동하여정상메일발송자의메일전송을도와, 악성스패머의스팸발송등을적극적으로차단하는데사용될전망이다. 라. 인식제고정부는최근증가조짐을보이고있는휴대전화스팸으로부터이용자를보호하기위하여이동통신 3사와공동으로 스팸차단 5가지실천사항 을알리는등 휴대전화스팸방지캠페인 을시행하였다. 이번캠페인은 060, 음란성 URL, 원링스팸등이증가함에따라국민들이휴대폰스팸차단에대한관심이높아졌으나, 아직까지국민각자가휴대전화스팸을줄이는실천사항을지키고생활화하지못하고있어, 이를알리고자마련된것이다. 캠페인방법으로는길거리홍보물배포, 지방지하철의공익광고, 이통사의일괄차단문자안내메시지발송등을통해홍보하였다. 먼저서울시내주요지하철역에서 휴대전화스팸차단을위한 5가지실천사항 이담긴홍보물을시민들에게나누어주고그자리에서직접일괄차단신청을접수받는등길거리홍보를하였다. 또한 2007년 8월부터 9월까지 2개월동안인천, 부산, 대구, 대전, 광주시내모든지하철역사내승강장안내판에공익광고를하였다. 인천, 부산, 대전, 광주에서는이용객들의시선을강하게유도하고통행인구가많은역에서광고효과큰것으로알려진 LED형전광판광고를하였다. 여기에는전국 529개역사가포함되었다. 대구시내 56개역사에서는승객들이승하차시보기가쉽고, 시각적반복노출효과로시선을집중시킬수있는대합실포스터형광고를하였다. 스팸을줄이기위해서는정부, 이통사의노력외에이용자스스로도휴대전화스팸필터링기능등을적극이용하는것이스팸을효과적으로차단할수있는좋은방법이다. 특히, 이용자가스팸을인식하지못한상태에서스팸에응답을하면해당업체로부터계속해서스팸을받거나, 스패머간정보가공유되어더많은스팸을받게될수도있다. 이용자들이손쉽게휴대전화스팸을줄일수있는 5가지실천사항에는 1 이통사에 060 080 일괄차단신청하기, 2 스팸에많이이용되는단어를필터링하기, 3 060등의심되는스팸전화에응답하지않기, 4 간편신고기능이있는휴대전화를활용하기, 5 1336 (www.spamcop.or.kr) 으로신고하기등이다. 제 2 편국가정보보호현황 제7장국민생활정보보호활동 151

제 2 편 제 7 장국민생활정보보호활동 휴대전화스팸차단을위한 5 가지실천사항 제 2 편국가정보보호현황 휴대전화스팸차단어 Top 10을자신휴대폰의스팸필터링등록하기 간편신고기능이있는휴대폰은반드시스팸신고하기 이동통신회사의 060 일괄차단서비스신청하기 휴대전화에서이동통신사고객센터 ( 국번없이 114번 ) 로신청가능 ( 무료 ) 060 등스팸전화로의심되는경우일체응답하지않기 불법스팸은 1336(www.spamcop.or.kr) 으로신고하기 마. 국제협력정부는점차심화되고있는국경간스팸전송을효과적으로방지하기위하여 2007년한해동안기존의아태지역다자간 MOU나한중일정보보호실무협의체, 런던활동계획등을통해주요국가의스팸대응기관들과국가간스팸전송을효과적으로차단하기위한발판을마련하였다. 또한국가별로신고접수및자체탐지등을통해확보한스팸정보를공유할수있는 아태지역실시간스팸차단리스트 (AP-RBL) 시스템을구축키로합의하였다. 152 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 제 3 절정보보호홍보및인식제고활동 1. 일반네티즌의정보보호역량강화를위한교육 홍보 개방 과 자율 을양대정신으로탄생한인터넷에 보안 과 규제 는어울리지않는개념이다. 하지만오늘날의인터넷에는이두개념을어느정도아우른 정보보호 가필수적으로요구된다. 정보보호가제대로이루어지지않고서는정보의바다라불리는인터넷이걷잡을수없이오염될수있기때문이다. 산이높으면골이깊듯이인터넷은그무진장한편익만큼이나해킹, 바이러스, 스팸메일, 개인정보침해등의부작용에휘말릴수있다. 흔히이부작용을 정보화역기능 이라부른다. 안전한디지털사회구현의걸림돌이되는위협요소를제거하려면정부와공공기관, 기업의노력만으로는불충분하며 PC와인터넷사용자인개인과단체들의자발적인정보보호활동이무엇보다중요하다. 이에따라정부는개인과단체들의정보보호인식을크게높이고정보보호에관한책임과의무를강조하는민간자율의정보보호문화운동을대대적으로추진해나가고있다. 정보보호의개념이처음대두되던 1990년대중반만해도일부전산담당관계자들만정보보호에신경을쓰면됐으나, 최근에는개인사용자의정보보호역량이점차중요해지고있다. 이에따라, 일반네티즌이자신의정보보호책임을인식하고실천할수있도록다양한수단을통해교육 홍보하는데주력하고있다. 특히, 국민들이쉽게접할수있는매체인라디오, 일간지, 무가지를통해손쉬운정보보호실천방법을홍보하였고, 지하철, 놀이공원등인구밀집지역에서광고, 캠페인등을집중실시하였다. 정부는정보보호문화의대대적인확산을꾀하기위해 2004년부터매년 6월셋째주를정보보호주간으로설정해집중적이고효과적인정보보호캠페인을실시, 국민적인관심을촉구하고있다. 이러한정보보호주간의설정은 1년 365일항상정보보호를생활화하자는취지였으며이주간에만정보보호활동을하자는것은아니다. 특히, 2007년부터는국민들에게한걸음더다가갈수있도록 건전한인터넷이용주간 으로명칭을변경하고, 그내용도정보보호, 정보윤리등으로확대하여시행하였다. 제 2 편국가정보보호현황 제7장국민생활정보보호활동 153

제 2 편 제 7 장국민생활정보보호활동 2. 세부추진내용 가. 정보보호 5 대실천수칙전파 제 2 편국가정보보호현황 2007년정보보호실태조사 (KISA) 결과, 일반네티즌의 96.5% 가 정보보호가중요하다 고답하였으나, 정보보호를실천하는네티즌은 30% 미만으로인식과실천사이의괴리가있었다. 특히, 실천을기피하는이유로 정보얻는곳을모름, 정보량이많고복잡, 용어어려움 등정보보호관련정보를접하기어렵거나내용의어려움을꼽은네티즌이 70% 이상을차지하였다. 이에한국정보보호진흥원은인터넷과컴퓨터를사용함에있어필수적으로실천해야할다섯가지정보보호수칙을이해하기쉽고간편하게실천할수있도록구성하고, 다양한방법을통해홍보하는데주력하였다. 나. 언론홍보강화 언론은현상을알리기위한손쉬운수단이라는점과이를통해긍정적여론을형성할수있다는점등두가지측면에서중요한의미를갖는다. 특히 정보보호 와같이일반인이쉽게접하기어려운사안의경우언론홍보활동이무엇보다중요하다. 언론을통해해킹, 바이러스, 스팸, 개인정보침해등정보화역기능의심각성에대한경각심을불러일으키고, 대응방법, 실천요령등에대해적극적으로홍보하며, 정보보호관련정부정책을효과적으로전달해긍정적여론을형성해야한다. 정부와한국정보보호진흥원은홍보콘텐츠를적극발굴하여언론을통해홍보함으로써대국민정보보호인식제고및실천확산에주력하고있다. 다. 정보보호홍보관개설 2007년상반기정보화실태조사 (NIDA) 결과를보면만 3살에서 5살유아의인터넷이용률은 51.6% 로 50대의인터넷이용률 45.6% 보다높았다. 이제유아역시정보보호에있어예외일수없는것이다. 정부는정보보호취약계층으로분류될수있는유아및어린이의인식제고를위해정보보호교육및게임소프트웨어체험, 정보보호영상상영, 바이오인식정보체험등을할수있는 정보보호체험관 을설치 운영하였다. 연간약 16만명의유아어린이, 교사, 학부모가방문하여정보보호의중요성을교육받고체험할수있는기회를가졌다. 154 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 [ 그림 2-7-3-1] 정보보호체험관 제 2 편국가정보보호현황 라. 정보보호만화게재및발간 정보보호용어의생소함과내용의난해함은일반네티즌이정보보호를배우고실천하는데있어가장큰걸림돌이다. 정보통신부와한국정보보호진흥원은필수적으로알아야할정보보호주요용어및정책이슈를만화형태로신문에연재하여일반네티즌의정보보호인식제고및생활속정보보호실천을유도하는데주력하였다. 내용은보안서버, 주민번호대체수단등 30개의정보보호주요용어및정책이슈로구성되었고, 무가지노컷뉴스에매일연재하였다. 마. 라디오공익캠페인 라디오공익캠페인은일회성광고에그치지않고반복적방송노출에의해핵심메시지를전달할수있는장점을가지고있다. 특히규제성이강하거나수칙을전파하는데있어서는청각적인홍보가효과적이다. 정보통신부와한국정보보호진흥원은일반네티즌의정보보호인식함양및실천장려를위해개인정보보호및인터넷침해사고예방을주제로 CBS방송에각각 1개월씩 2개월간 (1일 3회 ) 라디오공익캠페인을추진하였다. 제7장국민생활정보보호활동 155

제 2 편 제 7 장국민생활정보보호활동 바. 정보보호테마열차 제 2 편국가정보보호현황 최근휴대전화스팸, 인터넷상불법 유해정보및악성코드유포등에대하여이용자들이백신프로그램등을설치하거나신고를통해대처해오고있으나, 여전히다수의네티즌이나휴대폰이용자들은구체적인방법을몰라서피해를당하고있는것으로지적되고있다. 이에정부는한국정보보호진흥원, 한국정보문화진흥원, 정보통신윤리위원회와공동으로총 16개의콘텐츠를 2개월동안광고주목율이높은지하철 4호선과 5호선열차내에장착하여정보보호실천방법을홍보하였다. 정부는휴대전화스팸차단을위해 오빠, 전화해줘 ~, 허위악성코드제거프로그램에대해서는 백신은다몸에좋다? 등 10종, 한국정보문화진흥원에서는청소년들의인터넷중독예방을위한 나와라, 인터넷세상밖엔더즐거운세상이있다 등 3종을마련하였고, 정보통신윤리위원회에서도불법청소년유해정보신고센터홍보등 3종의콘텐츠를제작하였다. 이번지하철홍보를위해제작된광고는단순히정보를나열하는 알리기식광고 에서탈피해참신한아이디어로시민의눈길을끈점이주목되었다 사. 정보보호플래시애니메이션 국정홍보처는정부부처에서제출한콘텐츠를심사하여선정된우수콘텐츠에한하여홍보용플래시를제작지원하고있다. 정보보호 5대실천수칙 이 2007년하반기정부홍보정책으로선정되어플래시애니메이션으로제작되었고, 주요포털, 블로그, 카페, 미니홈피및우체국인터넷플라자, 전광판등을통해활용되었다. 아. 정보보호표어포스터공모전및전시회 미래사회의주역인초 중 고교생을대상으로하는정보보호표어포스터공모전은 2007년 6회째를맞이하며그규모와활용이크게증대되었다. 표어포스터약 9,000점이접수되어전년대비 3배의참여율을보이는등청소년의정보보호에대한관심도가대폭증가하였다. 정보통신부장관상등 107작품을우수작품으로선정하였으며, 일본정보처리추진기구 (IPA) 와우수작을상호공동전시하는등국제정보문화교류에도기여했다. 특히 8개체신청과연계하여지역별로공모전및전시회를개최하는등지역간정보보호격차해소에일조했다. 156 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 [ 그림 2-7-3-2] 정보보호표어포스터공모전광고 제 2 편국가정보보호현황 자. 정보보호블로그운영 정부는국정홍보처에서운영하는 대한민국정책포털국정브리핑 에 따뜻하고안전한디지털세상블로그 (blog.korea.kr/sjsj) 를개설하여, 정보보호관련정책및소식을전하는등국민들의눈과귀를향해한발짝가까이다가갔다. 주요내용은정보보호실천수칙등을알리는 그것이알고싶다, 개인정보침해사례와법적대응방안을소개하는 솔로몬의선택 및 개인정보지킴이, 전자서명을부탁해, 스팸추적 1336, 긴급출동SOS 118 등생활속의정보보호실천확산에관한것이다. 차. 해킹방어대회 하루가다르게발전하고있는해킹기술에대응하기위해서는정보보호담당자들의침해사고대응능력이관건이된다. 이에정부는정보보호전문가의기술수준제고를위해 2004년부터해킹방어대회를개최하게되었다. 해킹방어대회는참가자들의공격기법을측정하던기존해킹대회방식과는달리, 침해사고를당한가상의서버를분석하여공격방법, 피해정도, 공격자추적방법등대응능력도함께평가하였다. 전년에비해약두배증가한 195개팀 349명이참여하여실력을겨룬본대회는일반인들의관심사인해킹에관한궁금증을해소하고경각심을높이는데기여했다. 제7장국민생활정보보호활동 157

제 2 편 제 7 장국민생활정보보호활동 카. 정보보호대상 ( ) 제 2 편국가정보보호현황 정부는 2002년민간의정보보호수준을제고하기위해정보보호우수실천기업을포상하는 정보보호대상 제도를마련하였다. 이는정보보호를모범적으로실천하는기업을발굴 포상하고, 모범사례 (Best Practice) 를적극적으로홍보하여민간의자율적인정보보호활동을장려하고, 기업 CEO로하여금정보보호에대한투자와관심을제고하도록하기위한것이다. 정보보호대상수상기업에는정보보호우수실천기업임을식별할수있는 ISA마크를수여하였다. 2007년 6회째를맞아개인정보보호분야의심사를강화하였고, 기업별편차를없애기위해부문별로완전히독립시켜심사를하였다. 인터넷부문 ( 주 ) 케이티, 금융부문 ( 주 ) 한국개인신용, 제조 / 서비스부문 ( 주 ) 대한항공등 3개기업에정보보호대상을시상하는등총 11개기업에상을수여하여 2006년도에이어민간기업들의정보보호인식을높이는데기여하였다. 158 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 제 4 절불건전정보유통대응 1. 불건전정보유통현황 정보통신기술의발달로인하여유 무선인터넷은우리의일상생활에서필수적인요소가되었다. 또한, 우리는시간과공간의제약으로부터자유롭게되었고사이버공간을통해보다많은활동을하게되었다. 이제인터넷은현실공간과거래의확장, 투명성제고에서나아가문화와관계의변화까지요구하면서유비쿼터스사회 (u-society) 로의도래를가속화시키고있으며, 우리국민생활전반에혁신적인변화를가져왔다. 그러나이러한급속한사회변화는국민의막연한불안감을야기하면서불건전정보의범람, 비윤리적행태의급증등부정적인측면을낳게되었다. 즉, 인터넷의익명성, 신속전파성, 대중성등을악용한음란 도박등불법 청소년유해정보가증가하고사이버명예훼손, 성폭력등인권침해사례가빈번하게발생하고있다. 또한음란정보를비롯한자살, 폭력, 도박등반사회적불건전정보는사회의기본가치를파괴하고사회안정을침해하며청소년의건전한인격형성을저해하는등인터넷의역기능발생요인이되고있어사회적으로큰문제가되고있다. 특히, 인터넷상의불건전정보에무방비로노출되어있는청소년들이익명성이라는인터넷특성을통해호기심에의한아노미 (anomie) 현상을나타내고있으며, 이로인해인터넷상의무분별한상업성및유해성정보로부터피해를보고있는실정이다. 정보통신윤리위원회가심의한불건전정보는 2001년 25,210건, 2003년 79,134건, 2006년 156,734건, 2007년 216,224건으로급증하였는데이는 2001년에대비하여무려약 9배가증가한것이다. 이렇듯불법 청소년유해정보가급증하게된주된이유는우리나라가정보화를꾸준히추진하여인터넷이용인구가전국민의 76.3%(2007년 12월국내만 6세이상인터넷이용자수 3,482만명,.kr 도메인 93만개 ) 를넘어서면서인터넷이용환경도크게변화하였음에도불구하고이용자의올바른정보통신윤리의식은성숙되지못한것이원인으로파악된다. 제 2 편국가정보보호현황 제7장국민생활정보보호활동 159

제 2 편 제 7 장국민생활정보보호활동 ( 단위 : 건 ) 220,000 216,224 제 2 편국가정보보호현황 200,000 180,000 160,000 140,000 120,000 100,000 80,000 60,000 40,000 20,000 0 심의 시정요구 79,134 29,607 23,477 25,210 32,221 5,655 14,016 17,108 2,032 598 2,137 6,346 12,682 19,729 15,44021,502 11,033 18,031 119,148 69,292 156,734 44,280 42,643 34,035 112,220 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 [ 그림 2-7-4-1] 정보통신윤리위원회연도별심의실적 * 출처 : 정보통신윤리위원회. 2007 한편정보통신윤리위원회의불건전정보심의현황은 [ 표 2-7-4-1] 과같다. [ 표 2-7-4-1] 정보통신윤리위원회심의현황 ( 단위 : 건 ) 심의 시정요구 위반내용 2005년 2006년 2007년 2005년 2006년 2007년 음란 86,191 93,546 73,995 29,898 21,974 35,163 명예훼손 2,316 1,595 12,959 1,513 1,018 8,254 폭력 / 잔혹 / 혐오 4,350 2,639 42,802 2,667 1,694 38,572 사행심조장 1,414 9,280 17,875 250 5,036 11,957 사회질서위반 24,816 49,630 68,593 8,315 14,567 18,274 비심의대상 61 44 0 0 0 0 합계 119,148 156,734 216,224 42,643 44,289 112,220 * 출처 : 정보통신윤리위원회. 2007 정보통신망을통해유통되고있는음란, 명예훼손, 폭력 잔혹 혐오, 사행성조장, 사회질서위반등위반내용별불법 청소년유해정보에대한심의현황을살펴보면, 2006년도에대비하여 2007년도심의및시정요구는현저히증가했다. 특히, 음란정보는꾸준히심의건수가 160 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 증가함에따라이에대한시정요구도증가하였다. 성적인욕구를자극하거나정상적인성적수치심을해하여일반인의공분 ( 公 ) 을일으키는음란정보는대체로남녀의성기, 국부, 성행위를노골적으로묘사한것이었다. 아동, 청소년, 여성을비하해성적유희의대상으로삼기때문에이러한정보를이용한네티즌들이여성을하나의인격체로보지않고성에대한그릇된가치관을가질수있어서가장사회적문제가되고있는것으로파악된다. 한편, 두드러진특징중하나는폭력 잔혹 혐오정보가비약적으로증가하였는데, 게시판댓글중명예훼손등명백한불법에해당된다고보기어려우나, 저속한욕설등이포함된언어폭력및잔혹성내용의악플등에대하여당사자개인뿐만아니라많은관계기관에서신고및모니터링활동을전개함에따라이를처리하는업무량이급격히증가하였고정보이용자들의윤리의식및바른정보이용에대한공감대가형성되는등인식변화에영향을미쳤던것으로파악된다. [ 표 2-7-4-1] 은도박등의사행성범죄정보및범죄를목적으로하거나범죄를교사 방조하는내용의정보들을유통하여사회질서를문란하게하는위반정보도비약적으로증가하였음을나타낸다. 제 2 편국가정보보호현황 2. 불건전정보유통방지활동 정보통신윤리의식을제고시켜정보통신망상에서불법 청소년유해정보의유통을방지하기위한활동은크게교육, 기술, 법 제도개선등이다. 가. 정보통신윤리교육 음란 폭력, 언어폭력, 사이버성폭력등인터넷역기능실태와대처방안, 올바른인터넷활용방법등에대한교육을청소년, 학부모, 교사, 정보통신사업자등을대상으로실시하고있다. 2005년은지역별로체신청, 교육청, 언론기관등이참여하는 정보통신윤리교육지역협의회 를구성하여정보통신윤리교육필요성에대한공감대를형성하였고, 정보통신윤리교육교재 2종발간, 교수대상워크샵등을통해 인터넷윤리 과목개설대학을 2004년말 7개에서 2006년까지 80여개로확대하였다. 현재정보통신윤리교육은정보통신윤리위원회와한국정보문화진흥원에서분담하여실시하고있다. 한편, 2005년은정보통신윤리교육활동을강화 제7장국민생활정보보호활동 161

제 2 편 제 7 장국민생활정보보호활동 제 2 편국가정보보호현황 하여전년도에대비하여 34만명이증가하였고, 2006년은정보화역기능예방교육을위한지원전문강사를양성하는데주력하였는데, 2006년 12월기준으로총 8기 345명의전문강사를배출하였다. 2007년은초등 중등학생등대상별로정보통신윤리교육교재를개발 보급하고, 정보화역기능예방교육용콘텐츠를제작 보급하는데주력하였고, 2008년도는이명박대통령의대선공약에서도파악할수있듯이사이버폭력, 음란물등청소년에유해한환경을개선하기위해정보통신윤리를강화할계획이다. 나. 인터넷내용등급서비스제공인터넷내용등급서비스는정보제공자가자신의정보내용을객관적평가를거친등급기준으로분류하여이용가능한등급정보를표시하면, 정보이용자및청소년보호자가해당정보내용을필터링또는블로킹 ( 선별또는차단 ) 소프트웨어를사용하여해당정보내용을기존의영화등급이나도서관의분류된자료처럼참고할수있도록하는것이다. 자율등급표시서비스는국내정보제공자가노출, 성행위, 폭력, 언어, 기타등 5개범주 5단계 (0-4 등급 ) 의등급기준에따라자율적으로등급을표시하면, 내용선별소프트웨어에의해정보이용자가인터넷정보를선별하여이용할수있도록하는것이다. 또한, 제3자등급서비스는해외의음란 폭력정보등을중심으로등급DB를구축하여정보이용자에게제공하는것을의미한다. 이와같이인터넷등급시스템은자율등급서비스와제3자등급서비스를가능하게해주는시스템이라할수있다. 이러한인터넷내용등급서비스는현재국제적으로시행되고있는 RSACi, ICRA, ENC의등급기준과의호환성을고려하여우리실정에맞게만들어진것이다. 한편, 인터넷내용등급서비스는해외음란 폭력정보등이날로증가하고있어청소년등정보이용자들을유해사이트로부터보호할수있도록해외의음란폭력정보등을체계적으로검색하고효율적인등급DB를구축하여사회안전망역할을수행하고있다. 162 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 구분 [ 표 2-7-4-2] 정보내용자율등급표시시정요구자율등급표시건수 ( 국내 ) 등급DB구축 ( 국외 ) 합계 ( 단위 : 건 ) 2001 1,701 119,914 121,615 2002 3,255 51,224 54,479 2003 1,088 39,035 40,123 2004 396 31,204 31,600 2005 269 56,716 56,985 2006 169 124,283 124,452 2007 3,407 145,227 148,634 합계 10,285 567,603 577,888 * 출처 : 한국정보보호진흥원 제 2 편국가정보보호현황 * 정보통신윤리위원회에서는해외의불법 유해정보를자체적으로모니터링하여, 인터넷내용등급서비스기준 (SafeNet) 에따라해당정보의성행위, 폭력성등에대한등급을부여하고있으며, 이는위원회의내용선별 S/W 기술을이전받은업체에제공하고있음 * 등급 DB 에대한최적화작업 (2001~2007) 을통하여접속불능 ( 폐쇄 ) 데이터를일괄삭제하여 2008 년 1 월부터누적건수변경 다. 유해정보차단프로그램개발및보급 음란 폭력등불법 청소년유해정보를차단하기위한소프트웨어개발이국내 외에서유 무료로제공되고있는데, 학교, 도서관등의 LAN이구축된환경에서사용하는서버용제품으로는스마트필터 (Smart Filter), 리틀브라더 (Little Brother) 등이있다. 국내에서는한국정보사회진흥원이개발중이던개인용유해정보차단소프트웨어인 NCA패트롤의핵심기술을몇몇기업에이전한이후수호천사를비롯해안티-X, 녹스2, 인터넷지킴이등개인용제품과수호천사 XEXT, 넷아거스등서버용제품이개발되었다. 한편, 정보통신윤리위원회에서개발하여보급중인스팸체커, 내용선별소프트웨어, 청소년유해매체물차단소프트웨어, 게임정보알림이등은청소년등정보이용자를보호하기위한대표적인유해차단프로그램이다. 제7장국민생활정보보호활동 163

제 2 편 제 7 장국민생활정보보호활동 제 2 편국가정보보호현황 [ 표 2-7-4-3] 청소년유해정보차단소프트웨어보급및다운로드 ( 단위 : 건 ) 구분 스팸체커 내용선별 S/W 청소년유해게임정보매체물차단 S/W 알림이 2001 - - 45,441-2002 - 95,499 126,386-2003 249,778 305,624 99,594-2004 800,302 558,029 21,767-2005 332,206 252,376 5,533 17,544 2006 234,640 329,999 17,463 27,588 2007 199,959 305,154 2,768 28,824 합계 1,816,885 1,846,681 318,952 73,956 * 스팸체커 ( 청소년유해스팸차단 S/W) : 2003 년 11 월부터 spam.kiscom.or.kr 에서무료다운로드제공 * 내용선별 S/W : 2001 년 12 월기술개발완료, 현재 59 개기술이전업체에서다양한내용선별 S/W 제품개발및출시중 * 청소년유해매체물차단 S/W(youth.rat) : 2001 년 10 월부터무료다운로드제공 * 게임정보알림이 : 2005 년 8 월부터무료다운로드제공 라. 제도개선및자율규제강화 (1) 법률반영사이버폭력근절및정보통신망상에서의이용자의권익을보호하고피해를방지하기위하여 2007년 1월에 정보통신망이용촉진및정보보호등에관한법률 을개정함으로써정보통신망상의역기능에체계적으로대응할수있는기틀을마련하였다. 정보통신망을이용한신규서비스의보급및이용확산등정보통신환경의변화에따라새롭게등장하는정보이용자의인격권및재산권의침해문제는그위험수위가용인할수없는정도로높아져적극대처할필요가있게되었다. 따라서정보통신망의특성상익명성등에따라발생하는역기능현상에대한이용자의자기책임의식을함양하며, 사회적영향력이큰정보통신서비스제공자의책임성을확보 강화하기위하여제한적본인확인제도를도입하였다. 또한, 권리를침해받은자의삭제요청이있는경우그피해확산을방지하기위하여이용자의접근을정보통신서비스제공자가임시적으로차단할수있도록하는임시조치제도를도입하는등현행제도의운영과정에서나타난일부미비점을개선 보완하게된것이다. 한편, 불법정보에대한정보통신부장관의취급제한명령권및불법 청소년유해정보의심의기능을수행하는정보통신윤리위원회의설치및직무근거를종전의 전기통신사업법 에서 정보통신망이용촉진및정보보호등에관한법률 로 164 2008 국가정보보호백서

제 7 장국민생활정보보호활동 제 2 편 이관하여, 법집행의효율성및실효성을제고하는등법체계를개선하였다. (2) 임시조치제도도입정보통신망에유통되는정보로인하여권리의침해를받은자가해당정보의삭제요청을한경우로써그침해여부를판단하기어렵거나이해당사자간에다툼이예상되는경우, 정보통신서비스제공자가해당정보에대한일반이용자의접근을임시적으로차단할수있는임시조치제도를도입하였다. 또한, 이해당사자의요청이없는경우에도타인의권리를침해한다고판단되는정보에대하여는정보통신서비스제공자가임의로임시조치를취할수있도록하며, 임시조치를취한경우에는이로인한정보통신서비스제공자의배상책임을면제할수있는근거를마련하였다. 정보통신서비스제공자가신속하게임시조치할수있는제도를도입함으로써정보통신망을통한권리침해등피해의확산을최소화하고, 자율적판단에의한임시조치를취할수있도록하여정보통신서비스제공자의적극적이고신속한피해방지및구제노력을유도함으로써피해구제의실효성을높일수있을것으로기대된다. 제 2 편국가정보보호현황 (3) 제한적본인확인제도입인터넷상의익명성은활발한커뮤니케이션을촉진하는한편명예훼손 언어폭력등폐해를발생시키는원인중하나로작용하고있어익명성의순기능과역기능에대하여균형적접근이필요하고, 집중적폐해가발생하는정보통신서비스제공자의게시판에대한근본적인대책마련이필요하게되었다. 그대책중가장핵심적인제도는정보통신서비스유형별일일평균이용자수 10만명이상의정보통신서비스제공자및공공기관등이운영 관리하는게시판 ( 개인이운영 관리하는게시판은제외 ) 은정보를게재하기위하여먼저해당이용자가본인여부를확인받아야함을내용으로하고있다. 다만, 제한적본인확인제를전면적으로시행할경우발생할수있는혼란을최소화하고실효성을확보하기위하여본인확인조치의무자의범위를일일평균이용자수 30만명이상의포털서비스와 UCC, 20만명이상의인터넷언론서비스제공자로한정하였다. 이제도의시행에따라인터넷이용자의자기책임의식을높이고, 사회적영향력이큰정보통신서비스제공자의책임성을강화하는한편, 인터넷상표현의자유와권익보호간의균형과조화를도모할수있을것으로기대된다. 제7장국민생활정보보호활동 165

제 2 편 제 7 장국민생활정보보호활동 제 2 편국가정보보호현황 (4) 명예훼손분쟁조정제도도입및운영신속히전파되는정보통신망의특징으로인한개인의사생활침해및명예훼손의피해가일단발생하면그범위가급격히확산됨을감안할때, 신속하게피해자의권리를보호하기위한대체적분쟁해결방법이필요하다는점에서명예훼손분쟁조정제도를도입하게되었다. 분쟁조정업무를효율적으로수행할수있도록명예훼손분쟁조정부를정보통신윤리위원회내에두었다. [ 표 2-7-4-4] 명예훼손분쟁조정실적 ( 단위 : 건 ) 시정요구 구분 계 명예훼손 ( 모욕 ) 성폭력 스토킹 기타 2007 189 175 1 2 11 마. 기타 불건전정보의유통방지를위한단속, 기술보급, 법 제도마련외에건전한정보통신윤리의식함양을위한자발적인사이버명예시민운동전개, u-clean Korea 전국캠페인, 청소년권장사이트발굴 보급, 사이버명예훼손 성폭력상담서비스, 인터넷중독상담및치료등의다양한활동을전개하고있다. 166 2008 국가정보보호백서

제 3 편 국가정보보호기반조성현황 제1장정보보호법 제도분야제2장정보보호기술및개발분야제3장정보보호교육및인력분야제4장정보보호산업분야

제 1 장정보보호법 제도분야 제 3 편 제 1 장 정보보호법 제도분야 우리헌법은모든국민에대해인간으로서의존엄과가치및행복추구권을인정함과동시에국가에대하여는이들기본적인권을확인 보장할책무를부여하고있고 ( 헌법제10 조 ), 다른한편으로는이러한목적달성을위해모든국민의자유와권리는국가안전보장 질서유지또는공공복리를위해필요최소한의범위에서법률로써제한될수있음 ( 헌법제37조제2항 ) 을규정하고있다. 정보통신분야에있어서헌법의이러한목적을달성하기위해대통령을수반으로하는정부조직법제16 조에서는국가안전보장에관련되는정보 보안및범죄수사에관한사무를담당할국가정보원을대통령소속하에두되그조직과직무범위에관하여는법률로정하도록하였다. 이에근거한국가정보원법은국가정보원에대해국외정보및국내보안정보 ( 대공 대정부전복 방첩 대테러및국제범죄조직 ) 의수집 작성및배포, 국가기밀에속하는보안업무, 국가의안전을위협하는범죄에대한수사등의업무를부여하고있다. 한편, 정부조직법제38 조에서는정보통신부에대해정보통신 전파관리등에관한사무를부여하여, 개별작용법을토대로정보통신등에있어서국가안전보장및사회공공의안녕 질서유지를토대로헌법상보장된개인자유의최대보장과최소제한의책무를수행할국가기관및그소관사무를규정하고있다 ([ 그림 3-1-1-1]). 제 3 편국가정보보호기반조성현황 [ 그림 3-1-1-1] 정보통신분야국가정보원과정보통신부의역할 제1장정보보호법 제도분야 169

제 3 편 제 1 장정보보호법 제도분야 이장에서는이러한헌법의취지와국가정보원및정보통신부의책무수행과관련하여국내정보보호법 제도의발전을제1절에서다루고, 제2절에서는주요제 개정법령들을살펴보기로한다. 제 1 절국내정보보호법 제도발전 제 3 편국가정보보호기반조성현황 1. 정보보호법 제도발전가. 20세기정보사회초기단계 ( 1999년) 우리나라의정보보호법률은초기 국가정보원법 과동법제3조제2항에근거한 보안업무규정 및 정보및보안업무기획 조정규정, 국가보안법 군사기밀보호법 등국가기밀에대한보안업무를규정한데서시작되었다고할수있다. 이후 1980년대부터추진되어온국가차원의정보화발전과동시에이에따른역기능이부상하면서정보보호관련법령이새로이정비되기시작하였다. 1986년에제정된 전산망보급확장과이용촉진에관한법률 은우리나라최초의정보화에관한법률로정보화에대한국가적시책과제도를규정하였다. 동법은전산망의보호를위한일부규정을포함하고있으나정보보호의중요성을인식하고이에초점을맞춘법률은아니었다. 민간부문에서정보보호에대한중요성이부각되고정보보호시책의강구및정보보호시스템에대한기준고시등관련제도가마련되기시작한것은 정보화촉진기본법 이라고할수있다. 1995년에제정된 정보화촉진기본법 은정보화촉진에관한내용과더불어정보보호에관한기본적인규정도마련되었다. 또한 1995년에는형법이개정되어전자기록위조 변조죄및전자기록에대한비밀침해죄등이규정되었고, 인터넷보급의본격화에의한인터넷전자상거래의이용증가에따라 1999년에는개인및기업의정보유통과중요정보를보호하기위하여 전자서명법 의제정을비롯하여 전산망보급확장과이용촉진에관한법률 을 정보통신망이용촉진등에관한법률 로전면개정하는등정보화역기능에대한규정의전면적인재정비작업이이루어졌다. 170 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 나. 21 세기고도정보사회진입단계 (2000 년 ~2007 년 ) 2000년대에들어서면서정보통신시스템에대한국가와사회의의존도가심화됨에따라국가안보차원에서정보보호법제를재정비하여야할필요성이대두되었다. 그이유는국가 사회의핵심정보와정보통신시스템에대한파괴와침해는국가의안위를위협하고, 사회 경제적손실을야기함은물론개인의자유와권리를위협하는수준에이르렀기때문이다. 2001년에는금융 통신 에너지등국가와사회의중요한정보통신기반시설을보호하기위한특별한체계를주요내용으로하는 정보통신기반보호법 이제정 공포되었고, 컴퓨터등정보처리장치에허위정보나부정한명령을입력하여타인의재산을빼앗는온라인사기행위를벌하는형법규정이신설되었다. 또한, 정보통신망이용촉진등에관한법률 도명칭을 정보통신망이용촉진및정보보호등에관한법률 로변경하면서정보보호와관련된규정을대폭강화하였다. 동법은 2003년에 1 25인터넷대란을계기로침해사고대응관련규정을보완하였고, 2004년과 2005년에개인정보침해및광고성정보전송으로인한이용자피해를해소하기위해처벌규정을강화하는등관련규정을정비하였다. 2005년에는국가안보를위협하는해킹 컴퓨터바이러스등사이버공격으로부터국가정보통신망을보호하기위해사이버안전에관한조직및운영에대한사항을체계적으로정립한 국가사이버안전관리규정 이대통령훈령으로발령되었다. 이와아울러지식정보화사회로의발전에따라다양한정보시스템이도입 운영되고있으나이를체계적으로관리할수있는체제가마련되지못해발생하는중복투자및시스템간연계미흡등의문제점을해소하기위하여 정보시스템의효율적도입및운영등에관한법률 이제정되었다. 이법은정보시스템을효율적으로구성하기위하여정보기술아키텍처의활용을촉진하고, 정보시스템감리제도를확립함으로써공공기관등에정보시스템이효율적으로도입 운영될수있는기반구축을목적으로한다. 2006년에는국가핵심기술의수출이국가안보에심각한영향을줄수있는경우또는신고하지아니하거나허위로신고하고국가핵심기술을수출한경우에는그국가핵심기술의수출중지 금지 원상복귀등의조치를취할수있도록하는내용을담은 산업기술의유출방지및보호에관한법률 이제정되었다. 2007년에는종래의 전자정부구현을위한행정업무등의전자화촉진에관한법률 을 전자정부법 으로그명칭을개정하고행정정보에대한보안기능을강화하기위해행정자치부장관을위원장으로하는전자정부서비스보안위원회의구성과행정기관의장에대한국가정보원장이안전성을확인한보안조치를행할의무및국가정보원장의이행여부확인책무 제 3 편국가정보보호기반조성현황 제1장정보보호법 제도분야 171

제 3 편 제 1 장정보보호법 제도분야 제 3 편국가정보보호기반조성현황 등을각각규정하였다. 한편, 전자정부관련사업에대한중복투자를방지함으로써전자정부지원사업을효율적으로추진하도록하는외에 전자정부구현을위한개발이익환수에관한법률시행규칙등의개정령 등전자정부구현을위한관련법령개정 3건및 행정정보의공동이용및문서감축을위한공중위생관리법시행규칙등의개정령 등행정정보공동이용및문서감축을위한관련규정의개정 7건등전자정부의구현을위한관련법제의정비가이루어졌다. 그외에정보통신기반보호법을개정하여국가정보원장등으로하여금주요통신기반시설에대한보호대책의이행여부를확인할수있는권한을부여하는한편, 지식경제사회의도래와디지털물류환경으로의변화에따라선진물류체계구축을위해국가물류통합데이터베이스의구축등의내용을담은 물류정책기본법 ( 구 화물유통촉진법 ) 의전부개정등이이루어졌다. 2. 정보보호법 제도현황국내의정보보호법 제도는각각제정목적및기능별로정보보호추진체계관련법령, 국가기밀보호관련법령, 중요정보의국외유출방지에관한법령, 전자서명및인증관련법령, 정보통신망과정보시스템의보호조치관련법령, 정보통신망침해행위의처벌에관한법령등으로분류할수있다. 가. 정보보호추진체계관련법령 국내정보보호추진체계는국가사이버안전체계, 전자정부보호체계, 정보통신기반보호체계및개인정보보호체계로나누어볼수있다. 국가사이버안전체계와관련해서는 2005년 1월대통령훈령으로발령된 국가사이버안전관리규정 에서국가사이버안전전략회의, 국가사이버안전센터등사이버안전관련조직에대한법적근거, 임무, 관련기관간협력사항등에관한사항을규정하고있다. 전자정부보호체계와관련하여서는 2007년 1월개정된 전자정부법 에서전자정부의정보보호를위해대민서비스와관련된보안대책의수립 조정및제도개선, 보안사고발생시대응조치등을심의하기위한전자정부서비스보안위원회를설치하도록하였다. 행정기관의장에대하여는국가정보원장이안정성을보장한보안조치를취하도록하고국가정보원장은보안조치의이행여부를확인할책무를각각규정하였고, 정보통신기반보호체계에대하여는 172 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 2000년 12월에제정된 정보통신기반보호법 에서정보통신기반보호위원회, 침해사고대책본부및각중앙행정기관의역할에관한사항을규정하고있다. 2007년 12월개정된법에서는정보통신부장관과국가정보원장등대통령령으로정하는국가기관의장으로하여금관리기관에대하여주요정보통신기반시설보호대책의이행여부를확인할수있도록하는입법적보완이이루어졌다. 끝으로, 개인정보보호체계와관련된법령으로는공공부문에서 공공기관의개인정보보호에관한법률, 전자정부구현을위한행정업무등의전자화촉진에관한법률 및 주민등록법 등이있으며, 민간부문에서는 정보통신망이용촉진및정보보호등에관한법률, 신용정보의이용및보호에관한법률 등의개별법이존재하고있다. 나. 국가기밀관련법령국가기밀보호관련법령에는침해나유출될경우국가의존립 안전과민주적기본질서유지를위태롭게할정보내지국가기밀에대한침해금지와처벌, 비밀의분류, 국가기밀에속하는문서 자재 시설및지역에대한보안업무등에관하여규정하고있는법령등이포함된다. 예를들면, 국가정보원법 제 3조중국가기밀에속하는문서 자재 시설및지역에대한보안업무와정보및보안업무의기획조정규정, 국가보안법 제 8조회합 통신, 보안업무규정 제 3조보안책임및제2장비밀보호 ( 제5조내지제30조 ), 군사기밀보호법 제 3조군사기밀의구분, 제5조군사기밀의보호조치, 제12조내지제15조군사기밀누설관련조항등이이에해당하며, 형법에는간첩죄, 일반이적죄, 외교상비밀누설죄, 공무상비밀누설죄등다양한규정들이존재한다. 한편종래에주로국가의비밀보호수단으로사용되어온암호는정보통신망상의통신수단및전자상거래등의발전으로민간분야에서도사용이늘고있고, 이에대한법령정비가이루어져왔다. 암호의사용과관련된법령으로는 보안업무규정, 정보화촉진기본법, 전자거래기본법 등이있으며, 암호의부정사용과관련된법령으로는 국가정보원법, 군형법 등이있다. 제 3 편국가정보보호기반조성현황 제1장정보보호법 제도분야 173

제 3 편 제 1 장정보보호법 제도분야 다. 중요정보의국외유출방지에관한법령 제 3 편국가정보보호기반조성현황 국가안전보장과관련된보안정보나국내에서개발된첨단과학기술또는기기의내용에관한정보등국내의산업 경제및과학기술등에관한중요정보가정보통신망을통해국외로유출되는것을방지하기위한대표적인법령으로는 2006년에제정된 산업기술의유출방지및보호에관한법률 이있다. 이법률에서는국내외시장에서차지하는기술적 경제적가치가높거나관련산업의성장잠재력이높아해외로유출될경우에국가의안전보장및국민경제의발전에중대한악영향을줄우려가있는국가핵심기술의지정 변경 ( 제9조 ) 과보호조치 ( 제11조 ) 및수출승인등국가핵심기술의무단유출과침해행위의금지 ( 제14조 ) 등을정하고있다. 공공연구기관에서개발된기술이민간부문으로이전되어사업화되는것을촉진하고, 민간부문에서개발된기술이원활히거래되고사업화될수있도록관련시책을수립 추진함으로써산업전반의기술경쟁력을강화하여국가경제의발전에이바지함을목적으로하는 기술의이전및사업화촉진에관한법률 에서는기술이전 사업화촉진에참여한자는기술이전 사업화촉진에참여하면서알게된공공연구기관및기업의비밀누설을금지 ( 제38조 ) 하고이를어길경우에는 5년이하의징역또는 5천만원이하의벌금으로처벌하도록규정하고있다 ( 제41조 ). 민 군겸용기술의연구개발을촉진하고, 군사부문과비군사부문간의기술이전을확대하며규격을통일함으로써산업경쟁력과국방력을강화하는데에이바지함을목적으로 2007년 12월에개정된 민 군겸용기술사업촉진법 제25조에서는민 군겸용기술사업에참여한자에대해참여과정에서알게된비밀유지의무를부여하는한편제26조에서는이를위반한자에대하여는 3년이하의징역또는 3천만원이하의벌금으로처벌하도록규정하고있다. 그밖에부정경쟁방지및영업비밀보호에관한법률제18조는부정한이익을얻거나기업에손해를입힐목적으로그기업에유용한영업비밀을외국에서사용하거나외국에서사용될것임을알면서제3자에게누설한자는 10년이하의징역또는그재산상이득액의 2배이상 10배이하에상당하는벌금에처할뿐아니라이러한죄를범할목적으로예비또는음모한자에대해서도 3년이하의징역또는 2천만원이하의벌금에처하도록하여중요정보가외국에유출될우려가있는경우까지엄격하게통제하여국부의해외유출을방지하고있다. 174 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 라. 전자서명및인증관련법령 정보시스템과정보통신망의발전으로인한원격지간의거래및업무가활성화됨에따라정보처리시스템에의하여전자적형태로작성되어송신또는수신되거나저장된정보인전자문서의안전성과신뢰성을확보하고그이용을활성화하기위해전자서명및인증관련법적정비가이루어졌다. 전자서명및인증과관련된법령에는공인전자서명과인증을규정하고있는 전자정부법 과공인인증시장의균형적발전과공정한경쟁환경을조성하기위해비영리법인등에대한공인인증제공역무영역을설립목적에맞게구분하여지정할수있도록한 전자서명법 등이있다. 마. 정보통신망과정보시스템의보호조치관련법령해킹, 바이러스유포등사이버침해행위로인하여국가및민간분야의정보통신망과정보시스템에대한위협이증가함에따라국가차원의체계적인보호조치가필요하게되었다. 정보통신망과정보시스템의보호조치와관련한법령으로는 정보화촉진기본법, 정보통신기반보호법, 정보시스템의효율적도입및운영등에관한법률, 정보통신망이용촉진및정보보호등에관한법률, 전자거래기본법, 무역업무자동화촉진에관한법률, 산업기반조성에관한법률 및 물류정책기본법 등이있다. 제 3 편국가정보보호기반조성현황 바. 정보통신망침해행위의처벌에관한법령 침해행위의처벌에관한법령에서는해킹, 바이러스, 서비스거부공격등정보시스템과정보통신망에대한침해등으로피해를야기하고정보의탈취, 위 변조등으로인한국가 사회적피해방지를위해이들행위에대하여벌칙규정을마련하고있다. 정보통신기반보호법 제28조의주요정보통신기반시설침해행위에대한벌칙, 정보통신망이용촉진및정보보호등에관한법률 제 62조의정보통신망침해행위와비밀등의보호의무위반에대한벌칙규정이대표적이다. 또한 전자무역촉진에관한법률 제 30조의무역유관기관의컴퓨터파일에기록된전자무역문서또는데이터베이스에입력된무역정보에대한위조또는변조등의처벌, 물류정책기본법 제 71조의전자문서를위작또는변작하거나그사정을알면서위작또는변작된전자문서를행사한자및종합물류정보망또는국가물류 제1장정보보호법 제도분야 175

제 3 편 제 1 장정보보호법 제도분야 통합데이터베이스에의하여처리 보관또는전송되는물류정보를훼손하거나그비밀을침해 도용또는누설한자, 종합물류정보망또는국가물류통합데이터베이스의보호조치를침해하거나훼손한자등에대한처벌등의벌칙규정이있다. 그밖에형법에서는컴퓨터사기죄를도입하여이에대한처벌규정을두고있다. 사. 개인정보보호관련법령 제 3 편국가정보보호기반조성현황 최근정보통신기술의발달에의해개인정보보호에대한침해가증가하고있어이에대한관심이증가하면서관련법령의정비가지속적으로이루어지고있다. 개인정보보호에관한기본적인법령으로는 정보통신망이용촉진및정보보호등에관한법률 이있는바, 전자서명법 이나 인터넷주소자원에관한법률 상개인정보보호에대하여는모두 정보통신망이용촉진및정보보호등에관한법률 의규정을준용하도록되어있다. 그밖에개인정보보호에관련된법령으로는 공공기관의개인정보보호등에관한법률, 전자정부법, 통신비밀보호법, 신용정보의이용및보호에관한법률, 금융실명거래및비밀보장에관한법률 등이있다. 176 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 제 2 절주요제 개정법령 1. 공공기관의개인정보보호에관한법률 의개정 (2007.5.17. 법률제 8448 호 ) 공공기관이범죄예방ㆍ교통단속등의필요에따라설치ㆍ운영하고있는폐쇄회로텔레비전 (CCTV) 의설치및화상정보보호등에관한법적근거를마련함으로써, 공공업무의적정한수행을도모함과아울러사생활의비밀과자유등국민의기본권을보호하고, 공공기관이보유하고있는개인정보의안전성확보에대한필요성이증대됨에따라처리정보보유기관의안전성확보조치의무를규정하며, 공공기관에의한개인정보의수집 처리등에관한정보를공개하는등공공기관에서처리되는개인정보의보호제도를개선 보완하였다. 1-1. 공공기관의개인정보보호에관한법률시행령 의개정 (2007.11.13. 대통령령제20373호 ) 제 3 편국가정보보호기반조성현황 공공기관이범죄예방ㆍ교통단속등의필요에따라설치하는폐쇄회로텔레비전으로인한개인정보및사생활침해를방지하고, 공공기관이보유하고있는개인정보의안전성을강화하기위하여 공공기관의개인정보보호에관한법률 이개정 ( 법률제8448호, 2007.5.17.) 됨에따라폐쇄회로텔레비전의설치시의견수렴절차, 안내판설치기준등법률에서새로위임된사항과그밖에법률시행에필요한사항을정하였다. 가. 폐쇄회로텔레비전의설치시의견수렴방법규정 ( 제 4 조 ) 일반인이자유롭게출입하는시설이나공공장소에폐쇄회로텔레비전을설치하려는때에는행정예고 공청회 설명회등을통해이해관계인이나관련전문가의의견을듣도록하되, 국가중요시설이나군사시설등에보안목적으로폐쇄회로텔레비전을설치하는때에는해당시설의관리부서의장또는관련전문가의의견을들어이를설치할수있도록하여무분별한폐쇄회로텔레비전설치에따르는사생활침해를사전에방지하고, 불필요한개인정보수집사례가최소화될수있도록하였다. 제1장정보보호법 제도분야 177

제 3 편 제 1 장정보보호법 제도분야 나. 폐쇄회로텔레비전설치안내판의설치기준마련 ( 제 4 조의 2 신설 ) 제 3 편국가정보보호기반조성현황 공공기관이폐쇄회로텔레비전을설치하는때에는설치장소마다설치목적, 촬영범위와시간등을안내하는안내판을설치하도록하되, 과속단속이나산불감시용폐쇄회로텔레비전과같이개인정보침해위험이적은경우에는인터넷홈페이지를통해안내할수있도록함으로써정보주체가자신의화상정보가촬영ㆍ수집되는것을쉽게알수있게하여기본권침해위험이완화되게하였다. 다. 개인정보파일의파기방법등규정 ( 제12조의2 신설 ) 공공기관이보유하던개인정보파일을파기할경우에는개인정보의재생이불가능한방법을사용토록하고, 파기사실을관보나인터넷홈페이지등에공고하도록하여개인정보의불완전한파기에따른개인정보유출가능성을사전에예방할수있도록하였다. 라. 개인정보침해사실의신고절차등규정 ( 제 23 조의 2 신설 ) 행정자치부장관은개인정보침해신고를받은때에는그사실을지체없이해당공공기관에통보하고, 관계기관이나신고인의의견을들어개인정보침해여부를확인한후그처리결과를신고인에게알려주도록하는등개인정보침해에대한구제절차가체계적으로마련될수있도록하여정보주체의신속한권익구제가가능하게하였다. 마. 개인정보관리책임관의자격요건및업무규정 ( 제 24 조의 9 신설 ) 공공기관의장은그소속의고위공무원이나임직원중에서개인정보관리책임관을지정하도록하고, 개인정보관리책임관은해당기관의개인정보관련계획의수립, 실태점검및감독등의업무를수행하도록하여개인정보의종합적이고체계적인관리를통해개인정보보유기관의개인정보보호에대한관심을높이는한편, 보다책임있는관리 감독이가능하게하였다. 178 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 2. 공공기관의개인정보보호에관한법률시행규칙 의개정 ( 행정자치부령제 402 호 ) 공공기관의개인정보보호에관한법률 의개정 ( 법률제8448호, 2007.5.17.) 으로공공기관의개인정보침해에대한신고제도가도입됨에따라개인정보침해사실의신고및그처리결과의통지등에필요한서식을새로마련하는한편, 법률및시행령의개정내용에맞추어관련규정을정비한것이다. 민 군겸용기술사업의업무특성상비밀이누설될경우필연적으로국가이익에중대한침해가발생할수있으므로, 이를미연에방지하기위하여, 민 군겸용기술사업에참여한자가참여과정에서알게된비밀을누설한경우에과하는벌금을 1천만원에서 3천만원으로높이는한편국민이법문장을이해하기쉽게정비하였다. 3. 물류정책기본법 의개정 (2007.8.3. 법률제8617호 ) 국내외적으로물류산업의중요성이증가하고있으나, 물류관련정책기능이여러부처에분산되어있어물류정책을효율적으로추진하기어렵다는문제점이지속적으로제기됨에따라, 종전의 화물유통촉진법 을개정하여법명을 물류정책기본법 으로변경하고물류정책위원회의기능을강화하는등물류정책의종합조정기능을보강하는한편, 국제적인물류경쟁이심화되는여건아래국내물류기업의해외진출촉진및국제경쟁력강화등국제물류의활성화기반을구축하기위한필요한사항을규정하여정보화에따른선진물류시스템구축을촉진하고있다. 제 3 편국가정보보호기반조성현황 가. 선진물류체계의구축 ( 법제 23 조부터제 26 조까지및제 57 조 ) 지식경제사회의도래및인터넷혁명으로물류환경이디지털물류환경으로변화함에따라선진물류체계구축과첨단지식을보급하고지원할필요성이커지고있음을감안하여, 건설교통부장관및해양수산부장관은물류기업에게무선주파수인식및첨단화물운송체계등물류관련신기술을도입하여적용할것을권장 지원하고, 건설교통부장관 해양수산부장관또는산업자원부장관은물류공동화 자동화및물류표준화를촉진하기위해필요한지원을할수있도록하였다. 제1장정보보호법 제도분야 179

제 3 편 제 1 장정보보호법 제도분야 나. 국가물류통합데이터베이스의구축 운영 ( 법제 30 조 ) 물류기업등에게다양한정보를쉽게제공할수있도록통합적인물류관련정보의관리가필요하게된바, 건설교통부장관은해양수산부장관등과협의하여물류현황조사등을통하여수집된정보를가공 분석하고물류관련자료를총괄관리하는국가물류통합데이터베이스를구축 운영하도록하였다. 제 3 편국가정보보호기반조성현황 최근기업의중요하고유용한경제적가치를가지는영업비밀이외국으로유출되는사례가빠른속도로늘어나고있음에따라영업비밀을외국으로유출하는자에대한징역형의법정형을최고 7년이하에서최고 10년이하의징역으로상향조정함으로써영업비밀의유출방지에대한실효성을강화하는한편국민이법문장을이해하기쉽게정비하였다. 4. 산업기술의유출방지및보호에관한법률시행령 의개정 (2007.4.27. 대통령령제20030호 ) 국가안보에영향을미치는국가핵심기술의유출을방지하는등국내산업기술을보호하기위하여산업기술의유출방지및보호에관한기본계획등의수립, 산업기술보호위원회의신설, 국가핵심기술의수출승인제도도입및산업기술분쟁조정위원회의신설등을내용으로하는 산업기술의유출방지및보호에관한법률 ( 법률제8062호, 2006.10.27.) 이제정되었다. 이에따라, 산업기술의유출방지및보호에관한기본계획및시행계획의수립절차, 산업기술보호위원회, 실무위원회및전문위원회의구성과운영, 국가핵심기술의수출승인신청절차등동법에서위임된사항과그시행에필요한사항을정하였다. 가. 산업기술의유출방지및보호에관한기본계획및시행계획의수립 ( 제2조및제3조 ) 법률의위임에따라산업기술의유출방지및보호에관한기본계획및시행계획의수립절차를정하여, 관계중앙행정기관의장은산업자원부장관이 5년마다수립하는산업기술의유출방지및보호에관한기본계획에따라그시행계획을수립하여매년 10월말까지산업자원부장관에게제출하도록하고, 산업자원부장관은이를산업기술보호위원회의심의를거쳐 12월말까지확정하도록하였다. 이로써, 산업기술의유출방지및보호에관한기본계획및 180 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 시행계획의수립절차를정함으로써산업기술의부정한유출을방지하고, 산업기술을보호하기위한시책이체계적으로추진될것으로기대된다. 나. 산업기술보호위원회, 실무위원회및전문위원회의구성과운영 ( 제 4 조내지제 9 조 ) 산업기술보호위원회의위원을재정경제부장관등으로정하고, 산업기술보호위원회에산업자원부차관을위원장으로하는실무위원회를설치하여산업기술보호위원회에상정할안건을사전에검토 조정하도록하며, 산업기술보호위원회에전기전자, 정보통신등의분야에관한전문위원회를각각설치하여산업기술보호위원회의심의사항중전문적인검토가필요하여위임한사항등을처리하도록하였다. 다. 국가핵심기술의수출승인신청 ( 제15조제1항및제2항 ) 국가핵심기술의수출을효율적으로관리하기위하여국가핵심기술의수출승인제도가도입됨에따라그절차를정할필요가있어, 국가핵심기술을수출하려는자는국가핵심기술의매각또는이전계약서등을갖추어산업자원부장관에게제출하고, 산업자원부장관은접수일부터 45일이내에수출승인여부를신청인에게서면으로알리도록하였다. 제 3 편국가정보보호기반조성현황 라. 산업기술보호를위한실태조사 ( 제 22 조제 2 항 ) 법률에서산업기술보호를위한실태조사를실시할수있도록함에따라실태조사의실시주기를 2년으로하고, 산업기술보호위원회에서필요하다고인정하여산업자원부장관에게요청하는때에는따로실태조사를실시할수있도록하였다. 마. 산업기술분쟁의조정절차등 ( 제 31 조 ) 산업자원부장관소속하에산업기술분쟁조정위원회를설치하여산업기술의유출에대한분쟁을신속하게조정할수있게됨에따라산업기술분쟁조정위원회가분쟁조정의신청을받으면그사실을당사자에게알리고, 조정전합의를권고하는등분쟁조정절차등을정하였다. 제1장정보보호법 제도분야 181

제 3 편 제 1 장정보보호법 제도분야 5. 위치정보의보호및이용등에관한법률시행령 의개정 (2007.6.28. 대통령령제20129호 ) 해양경찰청이 재난및안전관리기본법 에따른긴급구조기관으로서 위치정보의보호및이용등에관한법률 제 29조제1항에따라해양사고로인한긴급구조상황발생시신속한초동조치를취할수있도록해양경찰청에 122 특수번호를부여하였다. 제 3 편국가정보보호기반조성현황 6. 전기통신사업법 의개정 (2007.3.29. 법률제8324 호 ; 2007.5.11. 법률제8425호 ) 가. 2007년 3월 29일의개정법률기간통신사업자의겸업을원칙적으로자유화하고, 예외적인경우에한정하여승인대상으로정비하며, 기간통신사업자인법인의해산결의또는해산에대한총사원의동의에대한정보통신부장관의인가규정을삭제하여전기통신시장의자율성을확보하였다. 한편, 다른사람을속여재산상이익을취할목적등으로송신인전화번호를조작하여전기통신을이용하는행위를규제하기위한법적근거를마련함으로써최근송신인의전화번호를조작하여수신자를기만하고범죄에악용하는사례의발생을방지하였다. 나. 2007 년 5 월 11 일의개정법률 기간통신사업의허가조건과별정통신사업의등록조건범위를구체화하여전기통신사업자의예측가능성을확보하고, 주요한전기통신회선설비이외의전기통신회선설비매각의경우현행인가제에서신고제로전환하며, 부가통신사업의신고면제대상의근거를마련하고, 통신위원회의금지행위위반에대한사실조사시자료 물건의일시보관제도를도입하여이용자보호를위한통신위원회조치의실효성을담보하는등현행제도의운영상나타난일부미비점을개선 보완하였다. ⑴ 기간통신사업의허가조건및별정통신사업의등록조건 ( 제5조제5항및제19조제2 항 ) 정보통신부장관이기간통신사업을허가하거나별정통신사업을등록할때붙일수있는조건의범위를공정경쟁촉진, 이용자보호, 서비스품질개선, 정보통신자원의효율적활용 182 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 등에필요한조건으로구체적으로명시하였다. ⑵ 주요전기통신회선설비이외의전기통신회선설비매각의신고제 ( 제13조제1항단서 ) 기간통신사업자가전기통신회선설비를매각하는경우인가를받도록한취지는이용자 공익 경쟁등에미치는영향이매우크기때문이나, 동취지와는달리통신시장에미치는영향이주요한전기통신회선설비이외의전기통신회선설비매각의경우에도예외없이인가를받도록하는인가제도운영의비효율성등문제점을극복하기위해전기통신서비스의안정적제공에영향이없는정보통신부령이정하는주요한전기통신회선설비이외의전기통신회선설비를매각하는경우의인가제를신고제로전환하여규제를완화함으로써사업경영의자율성과효율성이증대될수있도록하였다. ⑶ 부가통신사업의신고면제대상근거규정 ( 제21조 ) 종전법은기간통신사업자가부가통신사업을경영하려는경우에만부가통신사업의신고를면제하고있으므로소규모부가통신사업을경영하려는사업자들은기간통신사업자가아닌한반드시정보통신부장관에게신고하도록하는등이들의부가통신시장에의진입에어려움이있었다. 이에부가통신사업의시장진입규제완화차원에서소규모전기통신설비를이용하여부가통신사업을경영하는경우에도그신고를면제하도록하였다. 향후, 부가통신사업의신고면제범위를확대하고, 그신고대상범위를명확하게규정함에따라시장진입절차가간소화되어부가통신사업에의진입에대한부담이완화되고, 시장이활성화될것으로기대된다. 제 3 편국가정보보호기반조성현황 ⑷ 자료제출명령및일시보관제도 ( 제36조의5제5항 ) 전기통신서비스이용계약의대부분이전기통신사업자의업무를위탁받은자에의하여처리되고있으나, 통신위원회가행사하는자료제출명령권의대상은전기통신사업자에한정되므로그업무위탁을받은자에대하여는자료제출명령권을행사할수없게되어실질적으로관련자료의확보가불가능한경우가빈번하여사실조사에어려움이있었다. 이에통신위원회는전기통신사업자의업무를위탁받은자에대하여도직접자료제출명령을발할수있고, 전기통신사업자및전기통신사업자의업무를위탁받은자가제출한자료나물건에대하여일시보관할수있도록하였다. 이와같이관련조사자료의확보수단을보완하게됨에따라공정한경쟁등을저해하는행위의범위 정도 파급효과등을보다명확히파악하여업무효율성이증대될것으로기대된다. 제1장정보보호법 제도분야 183

제 3 편 제 1 장정보보호법 제도분야 7. 전자거래기본법 의개정 (2007.5.17. 법률제 8461 호 ) 종이문서의전자적보관을촉진하기위하여각법률에서규정하는종이문서의보관의무를전자문서의보관으로갈음할수있도록전자문서의보관요건을보완하고, 공인전자문서보관소의안전성확보를위하여시설및장비에대한점검제도를도입하는한편, 그밖에현행제도의운영상나타난일부미비점을개선 보완하였다. 제 3 편국가정보보호기반조성현황 가. 전자문서보관요건의보완 ( 제5조 ) 종이문서보관에소요되는사회적비용을줄이기위하여종이문서를전자문서로변환하여보관하는것을촉진할수있는제도적기반을마련할필요가있어, 전자문서중종이문서등을스캐너를통하여정보처리시스템이처리할수있는형태로변환하는방법으로작성한전자화문서에대하여는그내용과형태면에서전자화대상문서인종이문서등과동일하게작성되고전자문서의보관요건을갖춘경우에는법령에서정하는문서보관에갈음할수있도록하였다. 나. 공인전자문서보관소에대한정기점검제도도입 ( 제31조의8제4항및제31조의 10 신설 ) 전자문서의안전한보관등을위하여서는공인전자문서보관소의지정후에도시설및장비의적절성에대하여외부의지속적인감독이필요하여, 산업자원부장관은한국전자거래진흥원으로하여금공인전자문서보관소가보유한시설및장비의안정성을정기적으로점검을할수있도록하였다. 다. 공인전자문서보관소영업의양도 합병시이용자에대한통지제도 ( 제31조의14 신설 ) 공인전자문서보관소가다른공인전자문서보관소에게영업을양도하거나합병하는경우이용자에게문서의계속보관여부에대하여선택권을제공할필요가있어, 공인전자문서보관소가다른공인전자문서보관소에영업을양도하거나합병한경우이용자에게영업의양도또는합병하려는날의 60일전까지그사실을통보하도록하였다. 184 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 라. 공인전자문서보관소의영업폐지시보관문서인계제도 ( 제 31 조의 15 신설 ) 공인전자문서보관소가영업을폐지하는등의경우에도문서보관업무의계속성확보가필요하여, 공인전자문서보관소가영업을폐지하려는경우에는보관중인전자문서를다른공인전자문서보관소에인계하도록하고, 인계할수없는경우에는산업자원부장관이한국전자거래진흥원으로하여금보관문서를인수하도록하는등필요한조치를취할수있도록하였다. 7-1. 전자거래기본법시행령 의개정 (2007.11.16. 대통령령제20388호 ) 공인전자문서보관소의이용자를보호하고, 경제적안정을위하여손해배상책임보험의가입금액등구체적인사항을대통령령으로정하도록하고, 보험에가입하지아니하는경우그시정을명할수있도록하는등의내용으로 전자거래기본법 이개정 ( 법률제8461호, 2007.5.17. 공포, 2007.11.18. 시행 ) 됨에따라, 공인전자문서보관소는지정받은날부터 1개월이내에연간보상한도액이 20억원이상인보험에가입하고, 가입을증명하는서류의사본을산업자원부장관에게제출하도록하며, 보험미가입에대한시정명령을이행하지아니한경우업무정지처분에갈음하는과징금의금액을 2천만원으로정하는등같은법에서위임된사항과그시행에필요한사항을정하였다. 제 3 편국가정보보호기반조성현황 7-2. 전자거래기본법시행규칙 일부개정령 (2007.11.16. 산업자원부령제 430 호 ) 전자화문서의신뢰성을확보하기위해전자화문서의작성에사용되는시설또는장비에대한임의인증제도를도입하고, 공인전자문서보관소의안전성을확보하기위해시설또는장비에대한정기점검제도를도입하는등의내용으로 전자거래기본법 이개정 ( 법률제8461호, 2007.5.17. 공포, 2007.11.18. 시행 ) 됨에따라, 산업자원부장관으로부터인증을받을수있는시설또는장비의대상을전자화문서를작성하는데에사용되는작업공간, 정보시스템등으로정한다. 산업자원부장관은한국전자거래진흥원으로하여금공인전자문서보관소의시설또는장비등이지정받을당시의기술기준등을준수하고있는지를매년해당공인전자문서보관소지정일이속하는달에정기적으로점검하게할수있도록하며, 공인전자문서보관소가영업을양도하거나폐지하는경우에는이용자에게문서또는전자우편의 제1장정보보호법 제도분야 185

제 3 편 제 1 장정보보호법 제도분야 방법으로그사실을알리도록하는등같은법에서위임된사항과그시행에필요한사항을정하였다. 8. 전자정부구현을위한행정업무등의전자화촉진에관한법률 의개정 (2007.1.3. 법률제8171 호 ; 2007.5.17. 법률제8448 호 ) 제 3 편국가정보보호기반조성현황 가. 2007.1.3. 개정된법률 ( 법률제8171호 ) 급변하는정보화추진환경에대응하기위해행정정보를공동활용할수있는대상을행정기관외에공공기관등으로확대하고, 행정정보에대한보안기능을강화하며, 전자정부관련사업에대한중복투자를방지함으로써전자정부지원사업을효율적으로추진하도록하는등현행제도의운영상나타난일부미비점을개선 보완하였다. 특히, 전자적대민서비스보안대책과관련하여전자정부서비스보안위원회의위원장인행정자치부장관으로하여금국가정보원장과사전협의를거쳐전자적대민서비스와관련된보안대책을마련하도록하였다 ( 제39조의2). 나. 2007.5.17. 개정된법률 ( 법률제 8448 호 )( 전자정부법으로명칭변경 ) 공공기관이범죄예방 교통단속등의필요에따라설치 운영하고있는폐쇄회로텔레비전의설치및화상정보보호등에관한법적근거를마련함으로써, 공공업무의적정한수행을도모함과아울러사생활의비밀과자유등국민의기본권을보호하고, 공공기관이보유하고있는개인정보의안전성확보에대한필요성이증대됨에따라처리정보보유기관의안전성확보조치의무를규정하며, 공공기관에의한개인정보의수집 처리등에관한정보를공개하는등공공기관에서처리되는개인정보의보호제도를개선 보완하였다. 8-1. 전자정부구현을위한행정업무등의전자화촉진에관한법률시행령 의개정 (2007.7.18. 대통령령제20171호 ) 전자정부구현을위한행정업무등의전자화촉진에관한법률 이개정 ( 법률제 8171 호, 186 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 2007.1.3.) 됨에따라전자정부서비스보안위원회의구성 운영, 전자정부지원사업의선정 관리및정보화책임관협의회의운영등법률에서위임된사항을규정하고, 그밖에현행제도의운영상나타난일부미비점을개선 보완하였다. 가. 표준화고시대상의추가 ( 제 33 조 ) 현재전자정부표준화고시대상이전자공문서, 행정코드, 컴퓨터규격등으로한정되어있으며, 각기관이고시된행정표준을준수하고있는지파악할근거가없어정보시스템간의표준화및상호연계가어렵다. 현행표준화고시대상에정보시스템간연계방식, 행정정보자원관련사항등을추가하고, 행정자치부가표준화현황조사및표준제품이용촉진시책을추진할수있는근거를마련함으로써정보시스템간의표준화및상호연계가활성화됨에따라시스템의공동활용을높이고, 정보시스템의중복투자를방지할수있도록하였다. 나. 전자문서에대한보안조치및이행여부확인절차 ( 제34조부터제36조까지의규정 ) 제 3 편국가정보보호기반조성현황 법률의개정으로전자문서관련보안조치규정이신설됨에따라관련규정을정비하려는것으로전자문서관련보안조치로서국가정보원장이개발하거나안전성을검증한암호장치와정보보호시스템의도입및정보통신망보안대책의시행을규정하고, 이에대한이행여부의확인절차를마련하여전자문서의보관ㆍ유통과관련한보안조치를강화하였다. 다. 민원인의신원확인방법의확대 ( 제 44 조 ) 법률의개정에따라비방문민원처리시민원인의신원확인방법이현행공인전자서명외에대통령령이정하는방법으로다양화되어, 민원인의신용카드등록정보등을이용하여민원인의신원을확인할수있도록하고, 행정기관은민원인의개인정보보호를위하여필요한조치를취하도록함으로써전자적신원확인방법의다양화와함께민원인의편익이증진되고, 전자정부민원서비스의이용률을제고하였다. 제1장정보보호법 제도분야 187

제 3 편 제 1 장정보보호법 제도분야 라. 전자정부지원사업의선정 관리및전문기관의지정 운영사항등규정 ( 제61조및제62조 ) 제 3 편국가정보보호기반조성현황 법률의개정에따라전자정부지원사업의효율적추진과관리를위한행정적 재정적지원과전문기관지정에대한근거를마련하고자하는것으로, 법률의위임에따라행정자치부장관은전자정부지원사업의추진체계등을정하여관련기관이이를알수있게하고, 전자정부지원사업전문기관을지정할수있도록하여전자정부지원사업관리체계의효율성을제고하였다. 8-2. 전자정부구현을위한관련법률시행규칙 의개정가. 전자정부구현을위한개발이익환수에관한법률시행규칙 등의개정 (2007.12.13. 건설교통부령제594호 ) 전자정부구현에따라전자적업무처리를촉진하고대국민서비스향상을위해종전에민원인이행정기관을직접방문하여서면으로제출 ( 신청, 등록, 보고, 통지, 신청, 신고, 통보, 송부 ) 하는것을앞으로는방문하지아니하고전자적인방법으로제출등이가능하도록하고, 각종종이대장이전자적으로작성 관리될수있도록하는내용으로 개발이익환수에관한법률시행규칙 등 30개의건설교통부령을일괄개정하였다. 나. 전자정부구현을위한공연법시행규칙 등의개정 (2007.12.13. 문화관광부령제177호 ) 민원인이정보통신망을통해행정기관에서류를제출할수있도록하고, 행정기관이보유하고있는각종대장을전자적으로작성ㆍ관리하도록하는등전자정부구현을위해 공연법시행규칙 등 5개의문화관광부령을개정하였다. 그구체적인내용으로는민원인이각종등록ㆍ신고등을위해행정기관을방문하거나우편으로제출하는서류를정보통신망에의하여도제출할수있도록하고, 수기로작성하던종이대장을전자적으로작성ㆍ관리할수있도록관련규정을정비하였다. 188 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 다. 전자정부구현을위한공유수면관리법시행규칙 등의개정 (2007.10.18. 해양수산부령제386호 ) 민원인이정보통신망을통하여행정기관에서류를제출할수있도록하고, 행정기관이보유하고있는각종대장을전자적으로작성ㆍ관리하도록하는등전자정부의구현을위하여 공유수면관리법시행규칙 등 9개의해양수산부령을정비하였다. 그구체적인내용으로는민원인이각종등록ㆍ신고등을위하여행정기관을방문하거나우편으로제출하는서류를정보통신망에의해서도제출할수있도록하고, 수기로작성하던종이대장을전자적으로작성ㆍ관리할수있도록관련규정을정비하였다. 8-3. 전자정부구현을위한행정업무등의전자화촉진에관한법률 ( 전자정부법 ) 상행정정보공동이용확대를위한시행규칙등의개정가. 행정정보공동이용확대를위한지방자치단체를당사자로하는계약에관한법률시행규칙 등의개정 (2007.12.13. 행정자치부령제407호 ) 제 3 편국가정보보호기반조성현황 행정기관이보유하고있는행정정보의공동이용을통해국민들의서류제출부담을줄이고, 행정업무를효율적으로처리하기위하여, 주민등록표ㆍ병적증명서ㆍ법인등기부등본등 42종의행정정보에해당하는서류의제출을생략하고, 담당공무원이행정전산망을통하여이를확인하도록하는내용으로 지방자치단체를당사자로하는계약에관한법률시행규칙 등 8개의부령을개정하였다. 나. 행정정보의공동이용및문서감축을위한공중위생관리법시행규칙 등의개정 (2007.11.30. 보건복지부령제423호 ) 행정기관이보유하고있는행정정보의공동이용을통해민원인의서류제출부담을줄이고, 행정업무를효율적으로처리하도록하기위하여지금까지각종인ㆍ허가등을신청하는경우에제출하던국가기술자격증, 법인등기부등본등의서류제출을생략하되, 담당공무원등이행정전산망을통해이를확인하도록의무화하고, 관련서식을정비하는내용으로 공중 제1장정보보호법 제도분야 189

제 3 편 제 1 장정보보호법 제도분야 위생관리법시행규칙 등 4 개의보건복지부령을개정하였다. 다. 행정정보공동이용및문서감축을위한국세기본법시행규칙 등의개정 (2007.10.29. 재정경제부령제579호 ) 행정기관이보유하고있는행정정보의공동이용을통해국민들의서류제출부담을줄이고, 제 3 편국가정보보호기반조성현황 행정업무를효율적으로처리하기위하여지금까지각종인ㆍ허가등을신청하는경우에제출하도록한법인등기부등본등의서류를담당공무원이행정전산망을통해확인할수있는경우그제출을생략하도록하고, 관련서식을정비하는내용으로 국세기본법시행규칙 등 7개의재정경제부령을개정하였다. 라. 행정정보의공동이용및문서감축을위한건설기계관리법시행규칙 등의개정 (2007.10.15. 건설교통부령제584호 ) 행정기관이보유하고있는행정정보의공동이용을통해민원인의서류제출부담을줄이고, 행정업무를효율적으로처리하도록하기위하여, 지금까지각종인ㆍ허가등을신청하는경우에제출하던국가기술자격증사본, 공장등록원부등본, 토지등기부등본등의서류제출을생략하되, 담당공무원등이행정전산망을통하여이를확인하도록의무화하고, 관련서식을정비하는내용으로 건설기계관리법시행규칙 등 11개의건설교통부령을개정하였다. 마. 행정정보의공동이용및문서감축을위한고압가스안전관리법시행규칙 등의개정 (2007.9.21. 산업자원부령제423호 ) 행정기관이보유하고있는행정정보의공동이용을통해민원인의서류제출부담을줄이고, 행정업무를효율적으로처리하도록하기위해, 지금까지각종인ㆍ허가등을신청하는경우에제출하던자동차등록증사본, 운전면허증사본, 사업자등록증사본등의서류제출을생략하되, 담당공무원이행정전산망을통해이를확인하도록의무화하고, 관련서식을정비하는내용으로 고압가스안전관리법시행규칙 등 6개의산업자원부령을개정하였다. 190 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 바. 행정정보의공동이용및문서감축을위한간접투자자산운용업법시행령 등의개정 (2007.6.28. 대통령령제20120호 ) 행정기관이보유하고있는주민등록표등 25종의행정정보를행정기관간공동이용하도록함으로써국민들의서류제출부담을줄이고, 행정업무를효율적으로처리하도록하기위해 1차로 84건의대통령령을일괄개정 ( 대통령령제19507호, 2006.6.12 공포 시행 ) 한데이어, 추가로국가기술자격증등 17종의행정정보에대한행정기관간공동이용을확대하고공공기관에대해서도행정정보의공동이용을확대하여해당서류의제출을생략하도록하는한편, 담당공무원또는공공기관의담당직원이정보주체의동의를얻어행정정보공동이용체계를통하여해당행정정보를확인하도록하는내용으로 29개의대통령령을개정하였다. 9. 정보통신기반보호법 의개정 (2007.12.21 법률제8777 호 ) 해킹, 바이러스등악성프로그램유포를비롯한전자적침해행위의수법이급속히발전하고그피해가급증하고있으므로주요정보통신기반시설을신속하고효과적으로보호하기위하여정보통신부장관과국가보안업무를수행하는기관의장등대통령령이정하는국가기관의장이중앙행정기관에주요정보통신기반시설의지정을권고할수있도록하고, 주요정보통신기반시설보호대책의이행여부를확인할수있도록하는한편, 정보보호컨설팅전문업체에대한지정을취소하려는경우에는반드시청문절차를거치도록하는등현행제도의운영상나타난일부미비점을개선 보완하였다. 제 3 편국가정보보호기반조성현황 가. 주요정보통신기반시설보호대책에관한사후관리체계의개선 ( 법제5조의2 신설및법제11조제2호 ) 종전의 정보통신기반보호법 은주요정보통신기반시설보호대책 계획의수립과시행에관한사항만규정하고있고사후관리를위한확인이나점검등에관한사항이없어보호대책및보호계획이형식화될우려가있어사후관리체계를마련할필요성이제기되어, 정보통신부장관과국가보안업무를수행하는기관의장등대통령령이정하는국가기관의장으로하여금보호대책이행여부확인을수행할수있는근거를마련하였다. 관계중앙행정기관의장은보호대책이행여부확인결과를분석하여별도의보호조치가필요하다고인정하는경우에는 제1장정보보호법 제도분야 191

제 3 편 제 1 장정보보호법 제도분야 관리기관에보호조치명령을할수있도록하는한편, 관리기관의주요정보통신기반시설보호대책에대한이행여부의확인을통하여보호대책의실효성을확보하고, 주요정보통신기반시설의안정적운용을보장하며, 국가안전및국민생활안정을도모할수있도록하였다. 나. 보호지원을요청할수있는관리기관및지원사항의범위확대 ( 법제 7 조제 1 항 ) 제 3 편국가정보보호기반조성현황 종전의 정보통신기반보호법 은기술적지원을요청할수있는주체를국가기관또는지방자치단체의장인관리기관으로한정하고있어다수의민간주요정보통신기반시설은기술적지원을요청할수없는문제점이제기되어, 전문기관등에기술적지원을요청할수있는관리기관의범위를국가기관또는지방자치단체의장인관리기관으로부터모든관리기관으로확대하고, 요청할수있는지원사항에관계중앙행정기관의장이명령 권고한보호조치이행을추가하였다. 다. 주요정보통신기반시설지정방식의개선 ( 법제8조의2 신설 ) 다양한인터넷침해사고로부터정보통신기반시설보호를강화해야함에도불구하고각급관리기관이주요정보통신기반시설의지정에소극적인현실에비추어주요정보통신기반시설지정을독려할수있는제도적장치를마련해야할필요성이제기됨에따라정보통신부장관과국가보안업무를수행하는기관의장등대통령령이정하는국가기관의장이주요정보통신기반시설을발굴하여중앙행정기관에주요정보통신기반시설로지정하도록권고할수있는근거를마련하였다. 라. 청문절차의도입 ( 법제 21 조제 2 항신설 ) 정보보호컨설팅전문업체에대한지정을취소하려는경우에반드시청문절차를거치도록하여당사자의참여를보장함으로써지정취소처분을신중하게하도록하고, 사업자의권익보호및권리구제에만전을기하였다. 192 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 10. 정보통신망이용촉진및정보보호등에관한법률 의개정 (2007.1.26. 법률제8289호 ) 정보통신환경의변화에따라새롭게등장하는개인정보침해문제에적극대처하기위해개인정보의수집 이용 제공등에관한절차를강화하고, 익명성등에따라발생하는역기능현상에대한예방책으로사회적영향력이큰정보통신서비스제공자와공공기관의책임성을확보 강화하기위해제한적인본인확인제도를도입하고, 권리를침해받은자의삭제요청이있는경우그피해확산을방지하기위해이용자의접근을정보통신서비스제공자가임시적으로차단할수있도록하는임시조치제도를도입하였다. 친북게시물과같은불법통신이정보통신망에서유통되었을경우에는사회적영향력이크다는점등을고려하여불법통신과관련된이행명령대상을확대하고불법통신물의삭제절차등을보완하였고, 자료제출요구권등의행사요건을명확히하며행사방법및절차등적법절차규정을신설하여관련공무원에의한불합리하고과도한업무개입을차단함으로써규제의투명성과예측가능성을확보하였다. 가. 개인정보의수집 이용 제공에대한고지및동의제도개선 보완 ( 제22조제1항, 제24조의2 신설 ) 제 3 편국가정보보호기반조성현황 개인정보를수집하는경우에고지하고동의를얻어야할사항을수집 이용목적, 수집하는개인정보의항목등 3가지로명확하게구분하고, 정보통신서비스제공자가이용자의개인정보를제3자에게제공할경우에도그에따른별도의고지를하고동의를얻도록함과아울러제공받은자가개인정보를이용 제공할수있는범위를명확하게규정하였다. 나. 개인정보의취급위탁에따른관리 감독강화 ( 제 25 조 ) 정보통신서비스제공자등이제3자로하여금이용자의개인정보를수집하고취급할수있도록그업무를위탁하는경우에는원칙적으로이용자의동의를얻도록하되, 계약의이행을위해필요한경우에는그위탁업무의내용및수탁자에관한사항을이용자가알수있도록개인정보취급방침을제정하여인터넷홈페이지등에공개하거나이용자에게통지하는것으로갈음할수있도록하고, 수탁자가이용자의개인정보를이용할수있는목적을지정하여지정된목적외로이용또는제공하지못하도록하며수탁자의책임을강화하였다. 제1장정보보호법 제도분야 193

제 3 편 제 1 장정보보호법 제도분야 다. 정보통신서비스제공자가삭제요청을받은유통정보에대한일반이용자의접근을임시차단할수있는임시조치제도의도입 ( 제44조의2 및제44조의3) 지금까지는정보통신망에유통되는정보로인하여법률상이익이침해된자가삭제등의요청을한경우정보통신서비스제공자는지체없이필요한조치를취하도록하여왔으나, 현실적으로정보통신서비스제공자가권리의침해여부를검토 판단하는데에는어려움이 제 3 편국가정보보호기반조성현황 있어신속한조치를취하지못함에따라이용자의피해사례가확산되고있는점을감안하여권리의침해를받은자가유통되는정보의삭제요청을한경우로서그침해여부를판단하기어렵거나이해당사자간에다툼이예상되는경우, 정보통신서비스제공자가해당정보에대한접근을임시적으로차단할수있는임시조치제도를도입하고, 이해당사자의요청이없는경우에도타인의권리를침해한다고판단되는정보에대하여는정보통신서비스제공자가임의로임시조치를취할수있도록하였다. 라. 제한적인본인확인제도의도입 ( 제44조의5 및제67조제1항제1호 ) 국가기관, 지방자치단체, 정부투자기관등공공기관등과정보통신서비스유형별일일평균이용자수 10만명이상으로서대통령령으로정하는일정기준에해당하는정보통신서비스제공자가게시판을설치 운영하는경우에는게시판이용자에대한본인확인을위해필요한조치를취하도록하였고, 정보통신서비스제공자가본인확인을위해필요한조치를취하지않은경우정보통신부장관이시정명령을하도록하고정보통신서비스제공자가이를이행하지않은경우에는과태료를부과하도록하였다. 마. 불법정보의유통금지등 ( 제 44 조의 7) 누구든지정보통신망을통해불법정보를유통하지못하도록규정하고, 정보통신부장관이불법통신의취급을거부 정지또는제한하도록명할수있는대상을정보통신서비스제공자와게시판관리 운영자로규정하였다. 194 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 바. 정보통신윤리위원회의기능강화 ( 제 44 조의 8 내지제 44 조의 10) 정보통신윤리위원회는위원장 1인, 상임위원 5인을포함하여 11인이상 15인이하의위원으로구성한다. 정보통신윤리위원회가불법정보에관한심의등의직무를수행하기위해 1인이상의상임위원이포함된심의위원회를둘수있도록하고, 명예훼손과관련된분쟁의조정업무를효율적으로수행하기위하여 5인이하의위원으로구성된명예훼손분쟁조정부를설치하였다. 사. 자료제출등 ( 제55조 ) 자료제출요구권등의행사요건을법위반사실을발견또는인지하거나법위반에대한신고또는제보를받은경우등으로구체화하고, 관계공무원이자료등의제출또는열람을요구할때에는요구사유, 법적근거, 제출시한또는열람일시, 제출또는열람해야할자료의내용등을명시하여서면 ( 전자문서포함 ) 으로통지하도록하고, 정보통신부장관이자료등을제출받거나현장등을검사한경우에는그결과를해당정보통신서비스제공자등에게서면으로통지하도록하되, 자료등의제출요구, 열람및현장검사등은이법의시행을위해필요한최소한의범위안에서행하도록하고다른목적으로사용하지못하도록하였다. 제 3 편국가정보보호기반조성현황 10-1. 정보통신망이용촉진및정보보호등에관한법률시행령 의개정 (2007.7.27. 대통령령제20199호 ) 정보통신망이용촉진및정보보호등에관한법률 이개정 ( 법률제8289호, 2007.1.26. 공포, 2007.7.27. 시행 ) 됨에따라개인정보와관련된통지및동의획득방법, 게시판이용자본인확인및이용자정보제공청구의방법 절차등법률에서위임된사항과그시행에관하여필요한사항을정하고있다. 가. 개인정보보호를위한통지방법등 ( 제 10 조및제 11 조의 2, 제 11 조 ) 법률의개정으로개인정보와관련된통지및동의획득방법중일부가추가또는변경됨에 제1장정보보호법 제도분야 195

제 3 편 제 1 장정보보호법 제도분야 따라해당사항을시행령에반영하였다. 구체적으로는개인정보취급위탁및영업의양도 합병시정보통신서비스제공자의통지방법을전자우편 서면 모사전송 전화또는이와유사한방법중어느하나의방법등으로정하고, 개인정보수집 이용 제공등에있어서이용자의동의획득방법을인터넷사이트에동의내용을게재하고이용자가동의여부를표시하도록하는방법등으로구체적으로정하여, 개인정보와관련된통지및동의획득방법의구체화를통해이용자의권리를보호하고자기정보통제권이강화될수있도록하였다. 제 3 편국가정보보호기반조성현황 나. 게시판이용자본인확인및이용자정보제공청구 ( 제22조의2부터제22조의6까지 ) 법률의개정으로게시판이용자본인확인및이용자정보제공청구제도의도입과그시행을위한세부절차를마련해야할필요성이있어, 게시판이용자본인확인조치의무자의범위를전년도말기준직전 3개월간의포털서비스일일평균이용자수가 30만명이상인정보통신서비스제공자등으로하고, 이용자정보제공청구가가능한이용자정보를성명 주소 명예훼손분쟁조정부가필요하다고인정하는정보로하는등게시판이용자본인확인및이용자정보제공청구를위한세부절차를구체적으로명시하였다. 게시판이용자본인확인및이용자정보제공청구의방법 절차를구체화하여정보통신서비스제공자및이용자에게제도의도입및운영에필요한가이드라인을제시할수있게되었다. 다. 정보통신윤리위원회기능강화및명예훼손분쟁조정 ( 제22조의7부터제22조의 14까지 ) 정보통신윤리위원회의기능을강화하고명예훼손분쟁조정과관련된세부적인절차를마련하는등법률에서시행령에위임한사항을구체화할필요가있어, 전기통신사업법시행령 의정보통신윤리위원회심의제도등과관련된규정을옮겨오면서심의위원회설치근거를마련하는한편, 명예훼손분쟁조정부의설치 구성 운영및분쟁조정절차등을구체화하였다. 정보통신윤리위원회심의제도및명예훼손분쟁조정제도의운영등을구체화하여불건전정보유통방지활동의실효성을확보하고, 사생활침해및명예훼손등피해자의실질적피해구제수단을마련하는계기가되었다. 196 2008 국가정보보호백서

제 1 장정보보호법 제도분야 제 3 편 10-2. 정보통신망이용촉진및정보보호등에관한법률시행규칙 의개정 (2007.3.16. 정보통신부령제212 호 ; 2007.6.14. 정보통신부령제220 호 ; 2007.7.27. 정보통신부령제224 호 ) 가. 2007.3.16. 개정된시행규칙 ( 정보통신부령제 212 호 ) 정보통신망이용촉진및정보보호등에관한법률 ( 법률제8031호, 2006.10.4.) 이개정됨에따라동법에서위임된개인정보관리책임자지정의무의면제기준을상시종업원수가 5인미만인정보통신서비스제공자등으로하되, 인터넷으로정보통신서비스를제공하는업무를주된업으로하는정보통신서비스제공자등의경우에는상시종업원수가 5인미만으로서전년도말기준직전 3개월간의일일평균이용자수가 1,000명이하인자로하였다. 나. 2007.6.14. 개정된시행규칙 ( 정보통신부령제220호 ) 제 3 편국가정보보호기반조성현황 정보통신망이용촉진및정보보호등에관한법률 이개정 ( 법률제8031호, 2006.10.4. 공포 시행 ) 됨에따라정보통신망표준화의대상 방법및절차등에관한사항을정하는등모법에서위임된사항과그시행에관하여필요한사항을정하였다. 다. 2007.7.27. 개정된시행규칙 ( 정보통신부령제 224 호 ) 정보통신망이용촉진및정보보호등에관한법률 이개정 ( 법률제8289호, 2007.1.26. 공포, 2007.7.27. 시행 ) 됨에따라개인정보취급방침의공개방법등같은법에서위임된사항과그시행에관하여필요한사항을정하고있다. 제1장정보보호법 제도분야 197

제 3 편 제 2 장정보보호기술및개발분야 제 2 장 정보보호기술및개발분야 제 3 편국가정보보호기반조성현황 최근정보보호기술및개발분야는기업의인터넷인프라를위한성능과경제성, 보안성, 관리성을하나의시스템으로충족시켜주는방향으로나아가고있으며, 전용회선이나초고속광랜등다양한회선을복합적으로이용해인터넷회선비용의낭비를막고고성능인터넷인프라를구축할수있게하며, 무선 AP(Access Point) 기능으로유 / 무선네트워크환경을동시에지원한다. 또한네트워크상태를실시간으로파악하여, 어떤사용자가어떤프로그램을많이사용하는지, 웜이나바이러스감염으로네트워크가느려지는지등을확인할수있다. 그외에방화벽과가상사설망, 침입방지시스템, 콘텐츠필터등의보안기능도통합제공된다. 이와같은통합보안추세에맞추어많은기업들이통합보안시스템 (UTM : Unified Threat Management) 을시장에내놓고있다. 방화벽, 가상사설망 (VPN : Virtual Private Network), 침입탐지시스템 (IDS : Intrusion Detecting System)/ 침입방지시스템 (IPS : Intrusion Preventing System), 안티바이러스, 안티스팸, DB(DataBase)/ 웹 / 콘텐츠보안등의다양한보안기능을단일기기형태로통합해놓은것을통합보안시스템이라한다. 최근가상사설망기술은안티바이러스, 침입탐지시스템및방화벽등기존보안기술과통합되고홈네트워크나원격화상회의등을지원할수있는방향으로개발되고있다. 최근에는 IP 공유기에가상사설망서버기능이첨가되어공유기하단에구성된네트워크망에외부에서접속할수있게되어마치하나의네트워크망으로연결된것처럼사용할수있기도하고, 기업용무선침입방지시스템 (WIPS : Wireless Intrusion Preventing System) 에들어가기도한다. 이는유선방화벽과가상사설망기능을무선랜으로확장한솔루션이다. 제1절에서는침입대응솔루션, 제2절에서는악성코드대응기술, 제3절에서는인식및인증관련기술, 제4절에서는무선환경보안기술, 제5절에서는보안관리그리고제6절에서는그밖의정보보호관련기술에대해설명한다. 198 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 제 1 절침입대응솔루션 인터넷이활성화되고네트워크가폭넓게구축되면서과거의지역기반 (Local-based) 바이러스들은그모습을거의감추었다. 그러나웜을비롯한각종침입들은여전히극성을부리고있으며, 새로운형태로진화하면서그횟수가증가하는추세이다. 특히악성코드와결합된형태의피싱공격도나타나고있다. 웜이나각종해킹기법들은프로토콜, 어플리케이션등의새로운취약점을악용한다. 이에대응하여새로운악성코드및공격을탐지하고방지하는다양한솔루션이등장하고있다. 각각의솔루션은침입대응방식에따라침입차단시스템 (Firewall), 침입탐지시스템, 침입방지시스템, 보안운영체제, 가상사설망시스템등으로분류할수있다. 최근에는개별보안솔루션들이기업의인터넷인프라의성능과경제성, 보안성, 관리성을충족하기위해하나의시스템으로통합되고있다. 전용회선이나초고속광랜등다양한회선을복합적으로이용해인터넷회선비용의낭비를막고고성능인터넷인프라를구축할수있게하며무선 AP기능으로유무선네트워크환경을동시에지원한다. 네트워크상태를실시간으로파악하여사용자의프로그램사용현황, 웜이나바이러스감염현상등을탐지할수있다. 이와같은통합보안추세에맞춰통합보안시스템이시장에등장했다. 통합보안시스템은침입차단시스템가상사설망, 침입탐지시스템 / 침입방지시스템, 안티바이러스, 안티스팸, DB/ 웹 / 콘텐츠보안등의다양한보안기능을단일기기형태로통합해놓은것이다. 보안업체들이일제히선보이고있는통합보안시스템은보안의시대적요구에따른제품이라고할수있다. 즉, 과거의보안이침입차단시스템하나만있어도방어가되는개념이었던반면, 최근의보안은애플리케이션의종류가다양해지고, 여러가지 IT 서비스가등장하면서복합적인것을요구하고있다. 또공격의패턴역시갈수록복잡해지고다양해지면서이를효과적으로방어할수있는복합적인장비를요구하고있다. 이처럼단일보안솔루션으로감당하기힘든상황을해소하기위해등장한것이바로통합보안시스템이다. 통합보안시스템제품의최근동향은침입차단시스템, 침입방지시스템, 안티바이러스, IPSec/SSL 가상사설망기술을하나의통합보안솔루션장비로구현, 비용및관리부담을줄여주면서동시에네트워크보안을보장해준다. 통합보안시스템제품은능동적인위협방어기능을통해공격이네트워크전체에확산되기전에공격을중단시키고, 네트워크활동과애플리케이션트래픽을제어하며, 유연한가상사설망연결을제공하는것이특징이다. 제 3 편국가정보보호기반조성현황 제2장정보보호기술및개발분야 199

제 3 편 제 2 장정보보호기술및개발분야 1. 침입차단시스템 제 3 편국가정보보호기반조성현황 침입차단시스템은허용되는서비스와접근을규정하고, 네트워크구성, 호스트시스템및라우터, 그리고진보된인증과같은보안도구와유기적으로보안정책을구현한다. 침입차단시스템의주목적은네트워크외부에서내부로의접근과내부에서외부로의접근을제어한다. 침입차단시스템은통상적으로인터넷사이트통제와같은응용계층형태의게이트웨이로사용되지만, 더작은호스트또는서브넷집합을보호하는고속의하위계층게이트웨이로사용된다. 가. 개인방화벽개인방화벽은웜이나트로이목마와같은악성프로그램에의한정보유출사례가증가함에따라개인컴퓨터에서접근제어를하는침입차단시스템이다. 개인방화벽은개인컴퓨터에있는중요한정보가인터넷과네트워크공유를통해서해킹위협에노출되는것을방지해준다. 개인방화벽소프트웨어들은프로그램별로인터넷접속통제기능을제공하여허용되지않은프로그램이인터넷에접속하는것을제한한다. 이기능을사용하면인터넷접속이허용되지않은프로그램이접속을할경우사용자에게접속허가여부를묻는경고창이표시되어사용자가인터넷접속시도를확인할수있고, 컴퓨터에설치된악성프로그램의외부연결시도를통제한다. 국내의경우초기은행사이트에서 ActiveX 컨트롤을이용한개인방화벽에서시작하여특정윈도우버전에서기본탑재되어널리사용하게되었다. 보안관련회사에서도개인방화벽소프트웨어를제공하고있다. 최근에는안티바이러스소프트웨어, 패치관리시스템 (PMS : Patch Management System) 등과함께하나의기능으로통합되어서비스를제공하는형태로변화하고있다. 국외의경우개인방화벽의개념이확장되어 PDA나스마트폰과같은모바일기기를위한침입차단소프트웨어가개발되고있다. 나. 게이트웨이방화벽 패킷필터링형태의초기방화벽은송신지주소, 수신지주소, 애플리케이션, 프로토콜, 송신지포트번호, 수신지포트번호등의패킷헤더에있는정보를이용하여패킷송수신을 200 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 결정하였다. 그러나이경우정상사용을가장한공격이나, 내부에서외부로역으로연결된트래픽에대해서는소홀하였다. 또한어플리케이션고유의트래픽특성을고려하지못하여응용계층공격에대해서는대응하기어려웠다. 게이트웨이방화벽은네트워크게이트웨이서버에위치하여다른네트워크사용자로부터사설네트워크을보호한다. 최근의스마트방화벽, 인텔리전트방화벽, 능동형방화벽은상태검사기법 (Stateful Inspection) 과패킷세부검사기법 (Deep Packet Inspection) 기법등을발전시켜패킷어플리케이션콘텐츠에대한필터링도제공하고있다. 대표적인콘텐츠기반의접근제어기법으로웹방화벽이있다. [ 그림 3-2-1-1] 은응용레벨게이트웨이방화벽을나타낸것이다. 제 3 편국가정보보호기반조성현황 [ 그림 3-2-1-1] 응용레벨게이트웨이방화벽 다. 웹방화벽 대부분의사용자가인터넷에접속하기위해서사용하는웹은설계및구현상의취약성을악용한웹해킹과내부정보유출등의사례가급증하고있다. 또한기존의침입차단시스템, 침입탐지시스템등의보안제품은웹프로토콜을이해하지못하기때문에웹공격의패턴에대응하지못한다. 따라서웹특성에맞는침입방지시스템이개발되었고이를웹방화벽이라고한다. 웹방화벽은웹서비스를제공하는시스템에설치된형태, 전용하드웨어에설치된하드웨어어플라이언스형태, 스위치장비에보안방화벽기능을탑재한형태의스위치기반의웹방화벽으로구분할수있다. 내부적으로웹프로토콜을이해하는엔진을사용함으로써웹서비스에최적화된보안서비스를제공하고있으며, 단순패턴기반의방식외에상황학습을 제2장정보보호기술및개발분야 201

제 3 편 제 2 장정보보호기술및개발분야 제 3 편국가정보보호기반조성현황 통해서능동적으로규칙을생성하여차단하는기법도적용되고있다. 최근의제품은풀프록시 (Full proxy) 방식의고성능웹방화벽기능을지원한다. 기존시그니처 (Signature) 방식의경우미처알려지지않은변형악성코드가일부분전송돼문제를발생시켰지만최근의제품은악성코드의일부와전체에대한차단이가능하다. 다양한파일형태의첨부파일까지세밀한검사가가능하며, 주민번호나신용정보등의개인정보유출을차단하는높은수준의보안성능을지원하고, 웹보안가속기능을통해웹애플리케이션의응답속도를향상시키고네트워크트래픽의감소를유도해높은업무효율성을제공해준다. 웹방화벽은애플리케이션가속, 보안, QoS(Quality of Service) 기술들을통합하는등앞으로지속적으로발전해갈것으로전망되며침입탐지시스템, 침입방지시스템등을통합한통합보안시스템제품도출시될것으로예상된다. 2. 침입탐지시스템 침입탐지시스템은컴퓨터가사용하는자원의사용을저해하는행위를실시간으로탐지하는시스템이다. 침입탐지시스템은분석데이터의소스에따라호스트기반과네트워크기반으로구분되며, 분석방법에따라시그니처기반의오용탐지 (Signature-based misuse detection) 와프로파일기반의이상탐지 (Profile-based anomaly detection) 로나눌수있다. 산업체에서는공격에대한자동화된대응을할수있는침입방지시스템에대한연구개발이활발하다. 그결과침입탐지시스템이침입방지시스템만으로는대체되고있는추세다. 침입탐지시스템으로만복잡하고지능화되는보안침해에대처하는데한계가있기때문이다. 더욱이침입방지시스템이기존의침입탐지시스템의기능을모두충족하거나, 대용량의트래픽을처리할수있게되면서침입방지시스템의시장을잠식하는추세에있다. 가. 네트워크기반침입탐지시스템 네트워크기반침입탐지시스템 (NIDS : Network-based Intrusion Detection System) 은이미알려진공격시그니처와일치여부를검사하여공격여부를판단하는오용탐지시스템과통계적분석또는기계학습방법을사용한비정상적인형태를탐지하는이상탐지시스템이있다. 하지만오용탐지시스템이일반적인네트워크기반침입탐지시스템이다. 202 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 시그니처기반침입탐지시스템의경우알려진공격에대한빠르게대응할수있지만, 새로운형태의공격을탐지하기어렵다. 따라서통계적인분석이나기계학습등을이용한이상탐지기법으로보완하고있다. [ 그림 3-2-1-2] 는네트워크기반침입탐지시스템의배치를나타내고있다. 제 3 편국가정보보호기반조성현황 [ 그림 3-2-1-2] 네트워크기반침입탐지시스템의배치 나. 호스트기반침입탐지시스템 호스트상에서발생하는이벤트를통해침입을탐지하는호스트기반침입탐지시스템 (HIDS : Host-based Intrusion Detection System) 은초기에는공격탐지에파일감시개념을채용하였다. 호스트기반침입탐지시스템은서버에서중요한시스템파일의변경을감시하고파일이변경되면경보를발생시켜시스템관리자에게통보한다. 시스템콜의발생특이성, 사용자가실행하는명령어의특이성등을활용한침입탐지방법도연구되고있으나상품화는많이이루어지고있지않다. 최근에는 PDA 등임베디드시스템이적용된기기와관련된침입탐지기술이연구되고있다. 제2장정보보호기술및개발분야 203

제 3 편 제 2 장정보보호기술및개발분야 3. 침입방지시스템 제 3 편국가정보보호기반조성현황 네트워크에서공격시그니처를탐지하여자동으로조치를취함으로써비정상적인행위를중단시키는보안솔루션인침입방지시스템은수동적인방어개념의침입차단시스템이나침입탐지시스템과달리침입경고이전에공격을중단시키는데초점을두고있다. 또한해당서버의비정상적인행동에따른정보유출을자동으로탐지하여차단조치를취함으로써인가자의비정상행위를통제할수있다. 침입방지시스템도수집데이터에따라호스트기반과네트워크기반시스템으로분류된다. 가. 호스트기반침입방지시스템호스트기반침입방지시스템의기술적인특징은크게커널과함께동작해커널이벤트를가로채처리하는방식과커널과독립적으로작동하는방식으로구분되며, 전자는대부분접근제어기능을가진트러스트운영체제 (Trust Operating System) 제품들로분류할수있고후자는시그니처와행동기반분석알고리즘을이용특정규칙에위배되는이벤트를필터링하는제품들로분류할수있다. 시장조사전문업체인가트너에서정의한호스트기반침입방지시스템은우선소프트웨어제품이어야하고, 침입차단시스템의룰셋 (rule set) 과같은정책이나정상 / 비정상접근에대한학습을통해취약한응용프로그램을보호할수있어야한다. 나. 네트워크기반침입방지시스템 네트워크라인상에위치하고, 세션기반탐지 (session aware inspection) 를지원할수있는네트워크기반침입방지시스템의기술적인특징은실시간패킷처리, 오탐지를최소화하는기술, 변형공격과오용공격의탐지기술, 그리고각상황에맞는실시간반응이가능한기술이다. 또한다양한종류의방지방법및방식 ( 시그니처, 프로토콜적인비정상행위탐지 ) 을통해악의적인세션을차단할수있어야한다. 대부분의침입방지시스템은패킷의고유정보를통해시간과빈도에따라트래픽의행위패턴을정의하고, 해당네트워크트래픽을일정기간동안 IP별또는서비스별추이에따라값을설정, 비정상트래픽을탐지하는방식에초점을맞추고있다. 침입방지시스템은 10Gbps이상의초고속환경에서적용가능하도록성능개선이이루어질전망이다. 204 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 [ 그림 3-2-1-3] 은침입방지시스템의구성도를나타낸것이다 [ 그림 3-2-1-3] 침입방지시스템구성도 제 3 편국가정보보호기반조성현황 4. 보안운영체제 (Secure Operating System) 컴퓨터운영체제의커널 (Kernel) 에부가적인보안기능을추가한운영체제인보안운영체제는 1970년대후반부터미국의접근제어기능인다중등급보안기능이부가된보안커널로시작되었다. 1985년에미국컴퓨터보안센터 (NCSC : National Computer Security Center) 는신뢰성컴퓨터시스템평가기준인 TCSEC 표준문서를공표하였다. 국내에서는한국전자통신연구원을비롯한여러연구기관과벤처기업에서연구되고있다. 보안운영체제는서버의보호, 시스템접근제한, 시스템관리자에의한권한남용제한, 사용자의권한내정보접근허용, 응용프로그램버그를악용한공격으로부터보호등의기능을지원하여네트워크중심보안제품의한계를보완하고원천적으로악의적인접근을봉쇄한다. 보안운영체제는운영체제수준에서시스템을보호하고, 강력한접근제어를통해소프트웨어오류에의한비정상적인상황발생을최소화하며, 상세한로그기록을통해시스템전체의보안수준과신뢰도를향상한다. 보안운영체제는운영체제커널소스코드에보안기능을추가하거나, 적재가능한커널모듈 (LKM : Loadable Kernel Module) 이라는 제2장정보보호기술및개발분야 205

제 3 편 제 2 장정보보호기술및개발분야 제 3 편국가정보보호기반조성현황 형태로개발된다. 최근의보안운영체제는운영체제수준에서강력한접근제어, TCSEC B1+ 등급의강력한보안기능구현, 통합보안관리환경제공, 시스템자원의엄격한분리, 시스템처리성능의향상, 편리한사용자환경제공을그목적으로하고있다. 현재국내업체들은솔라리스, HP-UX, AIX, 리눅스, 윈도우등주요 OS에대한보안운영체제제품군을모두개발하여한국정보보호진흥원과국가정보원에서실시하는국제공통평가기준인 CC 체계인증을획득하여판매하고있다. 5. 가상사설망 (VPN) 인터넷과같은공중망 (public network) 을마치전용선처럼사용할수있도록구축한방식을가상사설망이라고한다. 가상사설망은기업의통신망과인터넷서비스제공사업자를연결하면되므로별도로값비싼장비나소프트웨어를구입하고관리할필요가없어전용회선에비해비용이대폭절감되는효과를기대할수있다. 일반기업에서는확보하기어려운정보통신관련전문기술을활용할수있다는장점도있다. 또한재택근무자, 출장이잦은직원, 현장근무자들이인터넷서비스제공사업자와전화로접속한다음인터넷을통해회사와연결할수있다는장점도가지고있다. 즉공중망을이용하기때문에사용자가늘어나거나장소를옮기더라도유연하게통신망을사용할수있어본사와지사, 지사와지사간의자료공유가훨씬용이해진다. [ 그림 3-2-1-4] 는가상사설망의통상적인구성도를나타낸다. 206 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 [ 그림 3-2-1-4] 가상사설망의통상적인구성도 제 3 편국가정보보호기반조성현황 하지만가상사설망은인터넷이라는공중망을기본으로하기때문에적절한통신속도및대역폭의보장과, 무엇보다정보에대한보안이확실하지않다는단점이지적되고있다. 최근가상사설망기술은안티바이러스, 침입탐지시스템등기존보안기술과통합되고홈네트워크나원격화상회의등을지원할수있는방향으로개발되고있다. 최근에는 IP공유기에가상사설망서버기능이첨가되어공유기하단에구성된네트워크망에외부에서접속할수있게되어마치하나의네트워크망으로연결된것처럼사용할수있기도하고, 기업용무선침입방지시스템에들어가기도한다. 이는침입차단시스템과가상사설망기능을무선랜으로확장한솔루션이다. 감시센서로 AP(Access Point) 사용현황을실시간으로관찰하고허용하지않은 AP 접속을막는다. 보안취약점을야기할수있는부적절한접속도방지한다. 제2장정보보호기술및개발분야 207

제 3 편 제 2 장정보보호기술및개발분야 제 2 절악성코드대응기술 제 3 편국가정보보호기반조성현황 악성코드는크게바이러스, 웜, 트로이목마, 스파이웨어, 스팸메일, 피싱으로구분할수있다. 각각의악성코드에대응하기위해서는관련연구를토대로구현된제품을이용하여적절한예방시스템을구축해야한다. 최근에는이러한악성코드를모두예방할수있는통합보안시스템이주목받고있다. 1. 웜 바이러스탐지및예방시스템컴퓨터바이러스는컴퓨터의정상적인동작에나쁜영향을미치거나저장된데이터나프로그램을파괴하는프로그램을뜻하며자기자신을복제하여다른컴퓨터에전염시키는특성을갖고있다. 1980년대중반에발견된브레인바이러스 (brain virus) 를필두로많은바이러스가등장하였다. 바이러스는감염수단이나형식에따라부트바이러스, 파일바이러스, 부트와파일바이러스, 매크로바이러스등으로나누어진다. 최초의컴퓨터바이러스로알려진브레인바이러스는플로피디스켓의부트섹터를감염시켜데이터를파괴하였고이후에는실행파일, 매크로파일을감염시키는바이러스도등장하였다. 한편, 1990년대중반이후웜이폭발적으로증가하였다. 웜은사용자의조작없이스스로번식, 전파할수있는능력을가지고있어서네트워크나인터넷을통해연결된컴퓨터에쉽게감염될수있다. 트로이목마가임의의컴퓨터에설치되면악의적인목적을가진사용자에의해컴퓨터를제어당하거나정보가유출될수있다. 최근에는웜의번식력과트로이목마의정보유출기능을결합한형태의악성코드들이다량으로발견되고있다. [ 표 3-2-2-1] 은바이러스, 웜, 트로이목마의특징을구분하여나타내고있다. 208 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 [ 표 3-2-2-1] 바이러스, 웜, 트로이목마의특징비교 구분 바이러스웜트로이목마 자기복제기능 O O X 숙주필요여부 O X X 주요전파방법 감염파일의실행감염디스크를통한부팅 감염대상을자동검색하여전파 전파되지않음 주요전파대상파일및부트섹터네트워크전체전파되지않음 주요악성행위 데이터파괴네트워크마비 데이터파괴네트워크마비 정보유출컴퓨터제어 * 출처 : RFC 1135, RFC 1983, AhnLab 대부분의제품들은인터넷을통해받은데이터를실시간으로검사하고, 주기적인업데이트로새로운바이러스, 웜, 트로이목마프로그램의정보를유지하며, 검사를통해감염된시스템을치료하는기능이있다. 예전의백신제품은바이러스치료가목적이지만, 최근의백신제품은취약점을미리알려주고의심스러운파일을차단한다. 최근에는모바일기기를공격하는악성프로그램이발견되고있다. 다양한기능을갖춘휴대폰은복잡한소프트웨어적제어가필요하게되었고, 사용자의요구에따라파일교환이필수적으로자리잡았다. 휴대폰및모바일기기에대한바이러스의위협으로인해보안관련업체는기존의안티바이러스제품을모바일기기에적합하도록새로운제품을개발하고있다. 제 3 편국가정보보호기반조성현황 2. 스파이웨어탐지및예방시스템 다른사람의컴퓨터에설치되어개인정보를빼가는악성코드인스파이웨어는사용자가특정웹페이지에접속하거나, 웹페이지와관련된소프트웨어를임의로혹은사용자동의로설치할때함께설치되는경우가많다. 또한스파이웨어는 PC 취약점을이용하여사용자몰래설치되기도한다. 스파이웨어는사용자의컴퓨터에서정보를수집하고, 인터넷을통해외부로유출시킨다. 초기에는정보수집을위해서제작되었지만점차정보유출등의악의적인목적으로사용되고있다. 심지어스파이웨어는범죄에도활용되고있다. 2007년에는스파이웨어의발견및피해신고가늘고있을뿐아니라허위안티스파이웨어또한증가하여큰피해를줬다. 악성코드에감염됐다는허위메시지를보여주고치료를유도 제2장정보보호기술및개발분야 209

제 3 편 제 2 장정보보호기술및개발분야 하는허위안티스파이웨어는 2006년에는 67개가발견됐으나 2007년 11월말현재 186개로 3배가까이급증했다. 사용자는차단프로그램이나통합보안솔루선을이용하면스파이웨어를제거, 방지할수있다. 우리나라의경우스파이웨어차단전용솔루션이출시되었고, 해외에서는스파이웨어차단기능을갖춘통합제품이많이출시되고있다. 통합제품은접근제어기능과바이러스나웜의탐지및차단기능을갖추고있다. 제 3 편국가정보보호기반조성현황 3. 스팸메일탐지및예방시스템스팸메일 (spam mail) 은불특정다수를대상으로일방적 대량으로전달되는전자우편으로일반적으로광고, 홍보, 비방등의목적으로전송되는메일을의미한다. 스팸메일은적은비용으로다수의대상에게상품을광고하거나특정종교를포교하거나심지어특정인, 특정상품또는특정기업을비방할목적으로인터넷을통해서유포된다. 현재는사용자에게도착하는스팸메일을차단하거나필터링하는수준의스팸방지가이뤄지고있다. 스팸메일탐지에는 DNS(Domain Name Service) 를이용한방법, 통계기법을이용한방법등이사용된다. DNS 를이용한방법은송신자의이메일주소도메인의진위를확인하기때문에스팸차단정확도가뛰어나지만, DNS를변경해야하고이메일송수신절차를변경해야한다. 통계기법은이메일메시지에포함된단어중에서스팸메일에자주포함되는단어와일반정상메일에자주포함되는단어를분류하고, 통계기법을사용하여가중치를부여하는방식이다. 최근에는인공지능엔진을이용, 기존에파악된스팸메일뿐만아니라신종스팸메일도스스로판단해차단할수있는기능을탑재한하드웨어일체형솔루션이개발되었다. 이미지스팸탐지엔진을이용해이미지스팸메일을차단하고실시간스팸메일탐지필터를적용해전세계의스팸메일및바이러스메일을발생후조기에탐지, 차단하는하드웨어도개발되었다. 210 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 4. 피싱 (Phishing) 탐지및차단기술 피싱이란 개인정보 (private data) 를낚시 (fishing) 하듯낚아챈다 는뜻에서유래되었다. 피싱은보통유명한금융기관이나공신력있는업체의이름을사칭하여메일을보내수신자들이믿도록하고, 수신자들로부터개인정보나금융정보를얻어내범죄수단으로악용하는행위를말한다. 이러한피싱공격은세계적으로확대되는추세이며, 이로인해일반소비자들의인터넷에대한신뢰도가낮아지고있다. 이러한피싱공격을막기위해피싱메일필터링기능을포함한안티피싱애플리케이션등이개발되고있다. 피싱사이트는피싱메일과같이소비자를속이는행위에사용된다. 금융기관이나공공기관사이트를사칭하여소비자로하여근공격자가원하는사이트로들어가게하는기법으로, 소비자는자신이접속한사이트가실제사이트인지제대로확인하지않은상태에서민감한개인정보를공격자에게전달할수있다. 피싱에대처하기위한기법으로는대부분의피싱이이메일로전달되는점에착안하여이메일내부에존재하는하이퍼링크들을불허하는방법이기본적이었다. 그러나, 최근악성코드를이용한사용자 PC의도메인정보를조작하는파밍 (Pharming) 공격이나 VoIP를이용한비싱 (Vishing) 공격과같은지능적인피싱공격으로진화하고있어개인정보입력시진위여부를확인할수있는방법에대한연구개발이시급히요구된다. 제 3 편국가정보보호기반조성현황 제2장정보보호기술및개발분야 211

제 3 편 제 2 장정보보호기술및개발분야 제 3 절인식및인증관련기술 1. 암호기술동향 제 3 편국가정보보호기반조성현황 언제어디서나네트워크에접근하여경제적이고편리하게정보를교환할수있는유비쿼터스환경이제대로갖추어지기위해서는보안기술이필수적이다. 기존디바이스보다작고, 가볍고, 저렴한디바이스를필요로하는유비쿼터스컴퓨팅및네트워크환경에서기존의보안기술을그대로적용하기는어렵다. 그러므로정보보호기술의핵심인암호기술도유비쿼터스환경에적합한형태로변화및발전되어야한다. 특히유비쿼터스환경을위한구체적인첫걸음인 RFID(Radio Frequency Identification) 와 USN(Ubiquitous Sensor Network) 시스템에적합한암호기술과앞으로의환경변화에서더욱중요성이부각되고있는개인의프라이버시보호를위한암호기술이중요하다. 가. 안전한해쉬함수설계 해쉬함수는주어진입력값을계산하는것은쉬워야하고결과값으로부터입력값을유추하는것은어려워야한다. 또한동일한해쉬값을가지는서로다른입력데이터쌍이없어야하는충돌회피특성이우수해야한다. 즉, 충돌회피특성이높아야안전한해쉬함수라고할수있다. 그러나, MD5, RIPEMD, HAVAL, SHA-1 등의공격기법이 2005년 Crypto 학회에서소개되면서해쉬알고리즘의안전성문제가제기되었다. 이는공격자가전자서명이나메시지인증값을위조할수있음을의미한다. 미국의국가표준기술연구소 (NIST : National Institute of Standards and Technology) 는 2005년과 2006년에 2차례의해쉬함수워크숍을개최하여 SHA-1 알고리즘의공격기법과보다안전한해쉬함수설계를위한논의를진행하였다. NIST는기존미국표준블록암호 AES를선정했던과정과유사하게해쉬알고리즘개발을공모하고제안된알고리즘에대한최저요건, 제출조건, 심사기준을공개하였다. 1라운드후보알고리즘공모는 2008년후반이고최종알고리즘확정은 2011년이다. 새로운해쉬알고리즘의평가및선정기준은안정성, 효율성, 메모리요구최소화, 하드웨어 / 소프트웨어구현적합성, 단순성, 유연성등이다. 212 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 나. 초경량암호설계 현재국내에서는암호화를위한데이터용량이커지지않도록하는 초경량암호 구현방법, RFID 사용환경에서의정보보호기술, 각종해킹과바이러스등을무력화할수있는능동형보호시스템등다양한분야를연구하고있다. 경량화암호는고속처리의필요성이적은 RFID 태그에포함된정보처리를위해서적합하다. 이방식의경우암호방식구현도수천게이트미만의하드웨어를사용할수있다. 표준으로사용되고있는 SHA 해쉬함수의경우에는많은하드웨어연산을필요로하기때문에현재로서는해쉬함수기반인증방식은적합지않다. 물론, 최근미국표준블록암호인 AES(Advanced Encryption Standard) 를구현한사례가발표되면서단방향인증으로활용할수있는가능성을보여주었다. 유럽에서는 NESSIE(New European Schemes for Signatures, Integrity and Encryption) 프로젝트에이어서스트림암호공모사업인 estream이추진중에있으며고속소프트웨어환경용과제한적인하드웨어환경용의두가지분야로진행되고있다. 특히제한적인하드웨어분야에제안된알고리즘들은 RFID 태그에탑재가가능할것으로예상되고있다. 이분야에는 10여개의알고리즘이제안되었고경량의하드웨어로구현가능한알고리즘이다수포함되어있다. 독일에서는기존 DES 블록암호화방식에기반을둔 DESL(DES Lightweight extension) 을개발한바있다. 해쉬함수의경우초경량해쉬함수의설계를위한암호논리가몇가지제안되었으나아직까지이를이용한해쉬함수의설계는이루어지지않고있다. 제 3 편국가정보보호기반조성현황 다. 양자암호기술 국내에서는 25km거리광섬유를통해양자암호의키를전송하는데성공했다. 국내기술은광통신으로양자암호전송이가능하고도청을원천적으로막을수있는수준으로발전하고있다. 국외의양자암호기술은일본의경우, 네트워크설계에서양자암호화를실현할수있도록개발한데이터전송파장에서단일광양자를생성하고측정할수있는기술을공동개발했다. 그리고양자암호기술이쓰인컴퓨터네트워크가세계최초로가동되고있다. 미국의경우, 매사추세츠주캠브리지에위치한 BBN 테크놀로지와하버드대사이에양자암호기술을사용하는 Qnet이라는양자통신망이개설된상황이다. 제2장정보보호기술및개발분야 213

제 3 편 제 2 장정보보호기술및개발분야 제 3 편국가정보보호기반조성현황 양자물리학의핵심원리를이용한양자암호는기존의암호와는다른방식으로암호의안전성을보장한다. 양자물리학의선형성에기인한양자정보의복사불가능성과불확정성원리에의한비가역적 ( 可 ) 측정으로양자정보의도청이불가능함을이용한다. 양자암호는암호키교환에사용하는양자키분배, 양자컴퓨터의개발을전제로하는양자적인암호분석그리고공개키양자암호를포함하는광의의의미이다. 2003년부터미국 DARPA 지원하에 BBN 테크놀로지는하버드대, 보스턴대연구진과공동으로최초의양자키분배네트워크 (QKD : Quantum Key Distribution) 를개발하였고스위스, 일본에서도연구가활발히진행되고있다. 최초의양자암호프로토콜은 1984년 IBM의 H. Bennet에의해발표되어 BB84로명명되었고기초적인원리들은실험을통해상당부분증명된바있으나, 구현에있어서전송거리의확대와암호키생성속도등을개선해야하는문제점이남아있다. 특히제안된방법들이특정공격에는취약한것으로나타나고있어단일광자를이용하는방법이대안으로제시되고있으나, 단일광자를얻어측정및식별, 그리고단일광자의손실을방지하기위해서는단일광자의안정성이보장되어야한다. 국내에서는 2005년과학기술부의창의적연구진흥사업을통해두개의광자다발의편광과회전을이용하여데이터를암호화하는양자암호화방법을개발하였고, 실용화하는데에는 3년에서 8년이걸릴것으로예상하고있다. 양자암호통신시스템은아직경제성확보가어려우나, 국방및금융등핵심기간통신네트워크의안전성강화를위해서는양자암호통신관련기술의지속적인연구와개발이필요하다. 2. 암호기반기술 앞으로의암호기반기술은공개키기반구조 (PKI : Public Key Infrastructure) 와같은인증서기반의전자서명과싱글사인온 (SSO : Single Sign On) 과같이다양한인증메커니즘을단일로그인서비스로하는방식에서, 속성인증서 (AC : Attribute Certificate) 를이용한사용자권한관리기법인 PMI(Privilege Management Infrastructure) 로의전환이예상된다. 214 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 가. 공개키기반구조 (PKI : Public Key Infrastructure) 공개키기반구조는공개키암호기술에기반을둔인증서 (certificate) 의생성관리를담당하는중요한기반기술의집합체라고할수있다. [ 표 3-2-3-1] 은공개키기반구조기술응용분야를나타낸것이다. 공개키기반구조의응용분야는은행들의지불결제시스템구축에서부터기업들의익스트라넷구축, 기업간의전자문서의교환등매우다양하다. 공개키기반구조는전자상거래및각종인터넷서비스환경하에서의법적인문제들을해결해줄수있는대안으로서각광받고있다. 인증기관 [ 표 3-2-3-1] 공개키기반구조기술응용분야 서비스받을객체 재정협회, 은행상인, 카드소지자안전한지불거래등 은행계좌소지자홈뱅킹, 대불 / 저당절차증 정부 국민 응용분야 국민납세를위한소득신고제출, 사회보장제도에대한문의와그에대한응답 제 3 편국가정보보호기반조성현황 정부기업재무상태보고서제출 우체국고객전자소인, 전자적등기메일 의료보험회사, 건강관리조직의사, 병원환자기록에의접근, 치료계획의제출, 안전한치료인가와수행된서비스에대한상환 법기관, 법원판사, 변호사, 법률가법원선서와다른법문서의제출 소프트웨어업체 소프트웨어모듈다운로드할소프트웨어가바이러스에안전함을보장 고객 전자적소프트웨어전송과제공 * 출처 : 한국정보보호진흥원 (KISA) 공개키기반구조는네트워크환경에서보안요구사항을만족시키기위해공개키암호와인증서사용을가능하게해주는인프라이다. 메시지암호화시사용되는공개키와개인키는인증기관에의해같은알고리즘을사용하여동시에만들어지는데, 대부분 RSA(Rivest-Shamir-Adleman) 공개키암호방식을사용한다. 암호화된메시지를송신할때에는수신자의공개키를사용하며, 암호화된서명송신시에는송신자의개인키를사용한다. 암호화된메시지해독시에는수신자의개인키를사용하여복호화하며, 암호화된서명을해독하고송신자를인증하기위해서송신자의공개키를사용한다. 제2장정보보호기술및개발분야 215

제 3 편 제 2 장정보보호기술및개발분야 제 3 편국가정보보호기반조성현황 [ 그림 3-2-3-1] 공개키기반구조기반의공인인증시스템구조 * 출처 : 정보통신정책연구원 (KISDI) 나. 싱글사인온 (SSO : Single Sign On) 싱글사인온는다중패스워드가필요없이단한번의사용자인증및권한부여로그사용자가가진권한범위내에서모든컴퓨터와시스템에접근이가능하다. 싱글사인온는사용자오류, 시스템오류를줄일수있는장점이있지만, 구현이어렵다는단점을가지고있다. 해외에서사용되는싱글사인온시스템들은주로 USB장치를통해구현되며, 가상사설망접근, 웹접근, 네트워크접근, 패스워드기반어플리케이션, 이메일이나파일의암호, 전자인증등을통합관리할수있게해준다. 다. PMI(Privilege Management Infrastructure) 공개키기반구조는사용자인증으로만한정된다. 하지만 PMI는인증뿐만아니라접근권한까지체계적으로관리해준다. 공개키기반구조를핵심기술로하는 PMI는싱글사인온와 EAM 등관련기술과더불어향후보안시장의핵심으로자리잡을것으로예상된다. [ 표 3-2-3-2] 는공개키기반구조와 PMI 두가지기술에대한비교를보여주고있다. 216 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 [ 표 3-2-3-2] 공개키기반구조와 PMI 비교 구분 공개키기반구조 PMI 역할 Repository - 사용자인증 ( 신원확인 ) - 여권과같은의미 - 인증기관과등록기관관리 - X.509 포맷 - 사용자권한 ( 역할확인 ) - 비자와같은의미 - 별도의권한처리기관또는기업내부부서 공통점 3. 스마트카드 - 비대칭키를사용한검증 (RSA 등 ) - 제 3 의기관 ( 장소 ) 에서공신력제공 - 개인별인증, 저장을위한객체관리 * 출처 : SecurityTechNet.com 스마트카드는단말기와직접적으로통신하며, 자체전력을가지고있지않고단말기등의외부장치로부터전력을공급받는다. 카드에부착된칩은크기와비용을줄이기위해가급적제한된명령어를기억하고있는데, 보안을위한암호화알고리즘에사용되는몇가지명령어셋을가지고있다. 스마트카드는사용형태와용도에따라접촉식스마트카드, 비접촉식스마트카드, 콤비스마트카드로분류할수있다. 스마트카드의표준은 ISO 7816 시리즈의 1장부터 10장에걸쳐규정되어있다. 이러한표준은금융 ID 카드표준에서파생한것으로접촉식스마트카드의물리적, 전기적, 기계적특성과애플리케이션프로그래밍인터페이스를설명하고있다. [ 그림 3-2-3-2] 는스마트카드의응용분야를나타낸것이다. 스마트카드는금융거래뿐아니라여러분야에서다양한목적으로사용할수있다. 스마트카드의다른응용분야로는컴퓨터 / 인터넷사용자인증, 부인방지 (non-repudiation), 소매업체의로열티서비스, 네트워크접근, 콘도회원카드, 대중교통카드, 자동도로통행료지불, 제품추적및조회기능, ID 카드, 운전면허증, 여권등이있다. 제 3 편국가정보보호기반조성현황 제2장정보보호기술및개발분야 217

제 3 편 제 2 장정보보호기술및개발분야 제 3 편국가정보보호기반조성현황 [ 그림 3-2-3-2] 스마트카드의응용분야 가. 접촉식스마트카드 접촉식스마트카드는스마트카드와카드리더기간의통신을위해서, 카드리더기내에스마트카드를삽입하는방식을사용한다. 이러한물리적접촉을통해카드와리더기간의데이터전송이이뤄진다. 접촉식스마트카드는사용시리더기내에삽입되어야하는특성때문에암호화알고리즘을수행하기에적합한형태를띄고있다. 따라서고도의보안이필요한금융권에의해발전되었는데, 대표적인규격으로는 EMV(Europay, Master, Visa) 를들수있다. 접촉식스마트카드는 ISO/IEC 7816과 ISO/IEC 7810 표준을따른다. 나. 비접촉식스마트카드 비접촉식스마트카드의편리성을이용해서최근에는신용카드결제수단이시계, 휴대폰, 열쇠고리등다양한품목으로확대되고있다. 비접촉식스마트카드는카드리더기에근접시키는것만으로도통신이가능하다. 비접촉식스마트카드는전송되는모든비트에대해데이터암호화기술을적용하기때문에통신시 218 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 보안을유지할수있다. 현재 ISO/IEC 14443과 ISO 15693 표준을따르는데, 각각의통신가능거리는 10cm, 50cm이다. 다. 콤비스마트카드 하이브리드스마트카드 (Hybrid Smart Card) 는두가지방식의칩을각각내장하고있는하나의카드로써, 기능상으로는접촉식혹은비접촉식으로동작할수있다. 하지만각각의독립된카드애플리케이션을따로개발하고이를관리해야하므로불편함이뒤따른다. 이에반해콤비스마트카드 (Combi Smart Card) 는두가지방식의기능을하나로내장한칩을사용하는카드로써, 기능상으로접촉식과비접촉식으로동작할수있다. 뿐만아니라콤비스마트카드는하나의칩으로동작하기때문에단일애플리케이션을개발, 관리하면되고하이브리드스마트카드보다훨씬효율적이다. 콤비스마트카드를사용하는예로써일본의국가 ID Card 사업과싱가포르의 Combi Card Pilot를들수있다. 일본의국가 ID Card 사업은일본경제산업성에서주도한프로젝트로, 의료, 보험, 교통등에사용하기위해추진되었다. 싱가포르의 Combi Card Pilot의경우, 싱가포르의몇몇전자기업들이전자결제, 보안, 로열티, 그리고고객과기업관리용도로카드를개발하게되었다. 제 3 편국가정보보호기반조성현황 4. 바이오인식시스템 사람마다고유한생체정보등을개인식별의수단으로활용할수있다. 생체정보는보안성과더불어편리성을제공하기때문에차세대보안시스템으로각광받고있다. 생체정보를이용하여다양한보안서비스를제공할수있는데, 특히접근제어분야에서다방면으로활용되고있다. 특정한장소의접근을제어하기위한출입통제용도로는지문인식이가장많이활용되며, 홍채인식도활용되고있다. 전자장치의작동이나제어를위해서는지문이나음성인식등이많이활용된다. [ 표 3-2-3-3] 은바이오인식기술들에대한비교특성을 6가지로분류하고있다. 바이오인식의각기술은장점과단점이모두존재하므로, 인식에사용할신체부위의특성에맞는기술을사용해야한다. 또한사람이불의의사고로신체의일부분이다치게되었을때생체인식기술을하나만사용하게되면정상적인사용자가인식이안되는경우가 제2장정보보호기술및개발분야 219

제 3 편 제 2 장정보보호기술및개발분야 [ 표 3-2-3-3] 바이오인식기술특징비교 바이오인식기술 특징 보편성유일성불변성수집성성능만족도 음성인식중하하중하상 지문인식중상상중상중 망막인식상상중하상하 홍채인식상상상중상하 제 3 편국가정보보호기반조성현황 정맥인식 상 상 상 중 중 중 얼굴인식 상 하 중 상 하 상 * 출처 : The 123 of Biometric Technology 발생할수있고, 복제기술의발달로각부분을복제하여인식기기를속이는경우도발생할수있다. 그래서기술을하나만사용하는것이아니라, 여러가지기술을복합적으로사용하는인식기기가나오고있으며, 인식률을높이기위해서관련연구가진행되고있다. 바이오인식기술은음성, 지문, 망막, 홍채, 정맥인식기술들이있다. [ 그림 3-2-3-3] 은바이오인식기술의적용분야를나타낸것이다. 금융부문 Point of Sale ATM/KIOSK Remote Banking 컴퓨터보안 Computer Access Control Network 보안 전자상거래 통신부문 휴대폰 / PDA Call Center Internet Phone / 전화카드 출입국관리 Passport Control( 입국심사 ) Border Control ( 불법입국자 ) 경찰 / 법조부문 주민등록 ID 선거관리및범죄자관리 Smart Gun 의료부문 환자기록관리 환자신분확인 원격진료및전자처방전 사회복지부문 연금지급관리 실직수당관리 미아찾기 출입관리 근태관리 출입관리 군사보안 보안 Mail PC 및출입제어 N/W 관리 * 출처 : ( 주 ) 디젠트 [ 그림 3-2-3-3] 바이오인식적용분야 2007년국내연구진은위조가불가능한얼굴과홍채로신원을확인하는바이오인식기술을개발하였다. 기존바이오인식기술은얼굴, 지문과같은불변의바이오정보를이용해신원 220 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 확인기능을제공하는것으로바이오정보가유출되거나오 남용시기존인증수단과달리삭제나재발급이어려웠다. 개발된정보보호형바이오인식시스템은 3차원의얼굴영상과홍체를이용하기때문에위변조를사전에방지할수있다. 가. 음성인식 음성인식시스템은원격지에서도전화나인터넷을이용하여신분을확인할수있고, 텔레뱅킹, 홈쇼핑등다른생체인식방법을적용할수없는응용분야에서사용될수있다. 음성인식 (Voice Recognition) 은사람의음성을그대로인식할수있는컴퓨터시스템을디자인하는컴퓨터학문의한분야이다. 음성인식기술은간단히세부분으로그과정이나뉘는데, (1) 미리사람이마이크등을이용하여컴퓨터나음성인식시스템에입력을하면, (2) 그사람의음성에서특징을찾아분석하여인식목록에저장해두었다가, (3) 나중에인식시가장근접한결과를찾아내는기술이다. 음성인식시스템의단점으로는구현비용이비싸다는점과인식한계를들수있다. 많은음성인식시스템은화자가천천히, 뚜렷하게발음을해야확실한인식이가능하였으나최근에는보통사람이자연스러운속도로말해도인식이가능한시스템이개발되고있다. 제 3 편국가정보보호기반조성현황 나. 지문인식 산업자원부의발표에따르면 2007년우리나라의지문인식기술은세계시장점유율세계 1위를차지할만큼큰성장을이뤄냈다. 지문인식이란생체정보중지문정보를이용하여사용자를식별해내는것이다. 두명이상의지문이동일할확률은거의 0% 에가깝기때문에, 지문인식은개인을식별하고인증하기위한시스템으로매우적합하다. 지문인식에있어서중요한문제는손상되지않은지문이미지를채취해내는것인데, 만약채취한지문이미지가손상되어있거나, 지문부위에상처가있어서지문을제대로얻을수없다면정확한지문인식이어려워진다. 최근에는지문의부분적인특성을인식함으로써손상된지문이미지에대해서도식별이가능한기술연구가진행되고있다. 국내의경우금융권의 ATM 등에서본인인증을위해지문인식시스템을사용하고있으며, 개인노트북에서도사용자인증을지문인식으로하는제품들도출시되고있다. 또한건물출입문통제를위해지문인식의상용화사례들도많다. 특히국내기업의지문인식솔루션이 제2장정보보호기술및개발분야 221

제 3 편 제 2 장정보보호기술및개발분야 2007년미국 NIST에이어연방수사국 (FBI) 이발급하는 PIV(Personal Identity Verification) 인증을획득함에따라향후미정부가추진하는바이오인증관련사업에서유리한위치를차지하게될것으로보인다. 다. 망막인식 제 3 편국가정보보호기반조성현황 망막인식은사용자의안구배면에위치한모세혈관의구성이만인부동, 종생불변의특성을지니고있다는점을이용하였다. 이러한망막패턴을읽기위해서는약한강도의연필지름만한적색광선이안구를투시하여망막에있는모세혈관에반사된역광을측정하는방식이기때문에성공적인망막패턴검색을위해서는사용자가안경을벗고검색기에접안해야하며, 접안기의둥근원통내어두운부분중적색광선이방사되는점에눈의초점을맞추어야한다. 이러한방식을이용하여측정하기때문에망막에비추는적외선이인체에해롭지는않으나사용하기에는거부감을줄수있고, 눈을밀착시키는경우에도많은사용자들이이용하는제품들로써거부감을줄수있다. 또망막인식은안구내질병에영향을받으며눈의충혈에도영향을받는한계점이있다. 뿐만아니라, 망막의크기가작고, 망막이미지를식별하는것이어렵기때문에다른바이오인식기술들에비해구현하기가까다롭다. 그러나정확성측면에서는가장뛰어난바이오인식기술중하나이며신뢰성또한매우높은기술이다. 아직국내 외를통틀어범용적으로사용되는곳은없으며일부국한된분야에서다른생체인식기술과더불어사용되고있다. 라. 홍채인식 홍채인식시스템은바이오인식가운데정확성측면에서가장우수한기술로인정받고있다. 개인식별을할수있는특징이지문의경우약 40여개인반면, 홍채패턴은평생토록변하지않으며좌우측도서로다르고일란성쌍둥이도홍채가서로다르다. 또한홍채이미지는살아있는눈만가능하기때문에과학적인방법으로도위조가불가능하다. 또한홍채인식은망막과달리눈의동공주변에위치한홍채의무늬패턴을이용한것으로안구내질병에영향을받지않으며눈의충혈과도상관이없기때문에사용에있어서도편리하다. 국내의경우인터넷뱅킹을위해개인용 PC에장착할수있는수준의제품이개발되어보급될예정이다. 222 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 한편, IBG(International Biometric Group) 는 ITIRT(Independent Testing of Iris Recognition Technology) 최종보고서를통해홍채인식의정확성 (Accuracy), 상호운용성 (Interoperability), 유용성 (Usability) 을평가하였다. 이에따라홍채인식은이주자확인, 여행자등록, 접근제어등다방면으로활용할수있게되었다. 마. 정맥인식 정맥인식시스템은손등이나손목등의고유한정맥특징을이용하는인식및인증기법이다. 초기에는가시광선대역에가까운근적외선을주로사용하였으나, 지금은적외선영상을이용해혈관모양을열형태로읽어들여정밀도를높인제2세대정맥인식시스템까지나와있다. 인식시스템은먼저적외선을손등에조사해혈관을투시촬영한뒤, 반사된영상을소형 CCD 카메라를통해디지털영상으로옮긴다. 여기서정맥의패턴을추출해그특성을메모리에저장한다음, 등록된사용자의정맥패턴과비교해신분을확인한다. 정맥인식기술은한국정보보호진흥원과혈관인식전문업체가 2002년 ISO SC37 창립총회에서표준을제안한지 4년만인 2007년 1월 ISO/IEC JTC1 국제표준화기구로부터 바이오 API 표준적합성시험방법및절차 와 손혈관을이용한바이오인식기술 이표준으로제정되었다. 정맥인식은망막인식이나홍채인식보다일반인의거부감이적기때문에좀더빠르게민간분야에적용될것으로보인다. 현재기관의출입신분확인용및지방자치제직원복무관리용으로적용되고있다. 제 3 편국가정보보호기반조성현황 바. 얼굴인식 얼굴인식방법은생체인식방법중가장자연스러운방법이다. 얼굴인식의장점은특별한접촉이나행동을요구하지않기때문에사용자편의성면에서우수하며, 사진, 이미지파일의등록및저장이가능하고감시등타생체인식기술을응용하기어려운분야에적용가능하다. 그러나조명및표정변화에민감하고변장, 수염의변화, 안경이나모자착용, 성형에의한얼굴형변화에따른인식률저하등의문제점을갖고있다. 제2장정보보호기술및개발분야 223

제 3 편 제 2 장정보보호기술및개발분야 5. 원타임패스워드 (OTP : One Time Password) 제 3 편국가정보보호기반조성현황 지금까지시스템이나네트워크에접근하려는사용자에대한인증은주로사용자가기억하고있는내용즉비밀번호에의존하고있었다. 그러나여러형태의취약점에의해이비밀번호가노출되는경우악의적인접근이가능해진다는문제점을가지고있었다. 원타임패스워드인증은비밀번호가노출되더라도다음번접근시에는다른패스워드를사용하게하는일회용암호방식을의미한다. 따라서, 원타임패스워드인증은사용자가알고있는것과사용자가가지고있는것을활용한인증으로보다안전하다. 현재국내에서는은행권위주로개인및법인사용자에게원타임패스워드기기를배포하여계좌이체시보안카드대신원타임패스워드를활용하고있으며, 온라인게임회사에서도사용자인증에휴대폰을활용한원타임패스워드인증서비스를지원하고있다. 최근에는단순한원타임패스워드기능외에현금카드, 버스카드, RFID 기능이추가된제품들이개발되고있고인증서및개인정보보관을위해 USB메모리와통합된형태의제품개발도시도되고있다. 국내에서는 OTP 통합인증센터를통해 2007년 6월부터인터넷뱅킹거래에이를적용하였다. 금융보안연구원에따르면 2007년말기준, 통합인증센터에참여하고있는 55개회원사중 45개가서비스를하고있으며, 일평균 20만건정도가사용되고있다고한다. 원타임패스워드솔루션들은서버와클라이언트간의암호동기화방식에따라크게 4가지로구분할수있다. 가. 시간동기화방식 시간동기화방식은원타임패스워드기기와서버간사전에시간동기화가필요한방식이다. 원타임패스워드기기는대개 6~8자리의일회용비밀번호를일정시간간격을두고생성해낸다. 따라서새로운암호를생성하는시간간격이너무길면해당시간내에서무작위시도를통해원타임패스워드값을얻을수있는가능성이높아지기때문에보안성이떨어지는단점이있다. 또한사용자가암호를잘못입력한경우재입력을위해정해진시간이경과할때까지기다려야하는불편함이있다. 현재상용화된원타임패스워드기기들은대부분 30~60초간격으로새로운암호가생성된다. 224 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 나. 이벤트동기화방식 이벤트동기방식의원타임패스워드기기는암호발생기를누른횟수가알고리즘의입력값으로사용될수있도록하고있다. 그러나생성된암호를실제로사용하지않는경우원타임패스워드기기와인증서버간의이벤트발생횟수가차이가나기때문에이를동기화시키는기법이적용돼야하며보안상의이유로이벤트발생횟수의차이가한계치보다클경우에는초기화를시켜야하는불편함이발생할수있다. 이벤트동기화방식은일회용비밀번호를생성할때해쉬값의입력으로사용자가암호생성기를누른횟수를사용하는것과같이어떤특정한이벤트가발생한횟수등을함께사용하는방식이다. 다. 질의응답방식질의응답방식은새로운암호를생성하기위해사용자가암호생성기에무언가를입력해야하므로사용자입장에서는다소불편하다. 그이유는인증서버로부터받은난수등을일회용비밀번호생성기에입력하여새로운암호를생성하기때문이다. 원타임패스워드기기는서버에서보내온난수값과기기자체에내장되어있는비밀값을입력으로해서해시함수를작동시켜새로운암호를생성한다. 서버와클라이언트사이에서로질의값과응답값이교환되므로상호인증이가능하지만, 질의값과응답값이동일한것이나오거나자주반복된다면보안성에문제의소지가있기때문에이를피할수있도록조치되어야한다. 제 3 편국가정보보호기반조성현황 라. 혼합방식 혼합방식은시간동기화방식과이벤트동기화방식의단점을보완하기위해, 입력값으로시간과누른횟수를함께사용하는방식이다. 지정된시간간격마다새로운비밀번호를생성하며, 동일시간대내에서새로운비밀번호를생성하고자하는경우에는카운트를증가시켜새로운비밀번호를생성한다. 따라서이방식은동일시간간격내에서도카운트값에따라새로운암호를생성할수있다. 제2장정보보호기술및개발분야 225

제 3 편 제 2 장정보보호기술및개발분야 6. 전자여권 제 3 편국가정보보호기반조성현황 전자여권 (e-passport) 이란바이오정보를내장한집직회로칩이탑재된기계판독식여권이다. 전자여권이도입되게된배경은급속한세계화의진전과더불어국제적인범죄및테러는국제사회의안보를위협하는중대한요소로대두되고있기때문이다. 이같은범죄행위방지방안의일환으로세계각국은여권의보안성강화를위해국제민간항공기구의권고에따라얼굴, 지문정보등바이오정보를수록한집적회로칩이내장된전자여권을도입하게되었다. 국내에서도이러한세계적추세에부응하고우리국민의해외여행시편익을도모하고자 2006년범정부차원의전자여권추진위원회를설치, 부처간긴밀한협의를통해국제적으로신뢰받는전자여권을도입하기위하여최선의노력을경주하고있으며, 2008년하반기중에전국민을대상으로전자여권을발급할예정이다. 전자여권의특징은비접촉식전자칩내장되어있고, 여권전자서명체계를적용하고있다. 전자여권의장점은첫째, 여권의위변조방지를통한여권보안성강화할수있다. 전자칩은 1회에한해정보입력이가능하므로칩에내장된정보를수정 변경하는것은불가능하며, 각전자칩에부여되는일련번호및고유암호키에의해관리되므로전자여권을위변조하는것은불가능하다. 둘째, 해외여행시출입국편의를제공한다. 현재주요전자여권도입국가들은자동출입국심사가가능한무인출입국심사대도입을추진중이며, 국내에서도이같은자동화출입국체계도입을검토하고있다. 무인심사대를이용할경우, 전자칩과여권소지인의실제안면또는지문정보의대조를통해여권소지인의진위확인이가능하므로, 보다빠르고편리한무인출입국심사가가능하다. 전자여권의편의성에도불구하고, 보안위협요인이있다. 위협요인으로는판독기간통신을도청해사용자데이터를노출하거나지문 홍채와같은바이오정보접근가능성, 전자여권판독기를모방한장비를이용해비인가된비접촉식통신채널이용등이있다. 이에대해운영환경에서사용돼서는안되는기능이악용되지않도록기능악용방지가이뤄져야하며바이오정보보호는안면을제외한지문 홍채와같은바이오정보에대해 EAC를통해접근이허가된판독기에만읽기권한을부여해야한다. 또정상적으로사용되는전자여권집적회로칩이누출하는정보가악용되지못하도록대응책을마련해야한다. 226 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 제 4 절무선환경보안기술 무선네트워크의보안취약점은크게물리적취약점과인증및암호화취약점으로나눌수있다. 현재단말기인증과무선구간의암호화를위해 AP와단말기에설정하는 WEP(Wired Equivalent Privacy) 프로토콜이있으나보안기능의미약하다. WEP은상호인증기능을제공하지않기때문에 AP는단말기를인증할수있지만단말기는 AP를인증할수없어단말기입장에서정당한 AP와통신하는지확인이곤란하다. 그리고 WEP 키를주기적으로변경하지않고사용할경우도청에의한복호화의가능성이있다. 무선통신이차지하는비중이커짐에따라그에대한보안문제도대두되고있다. 무선통신을이용한기술들이끊임없이소개되고있는데대표적인것이 RFID와 WiBro, USN이다. 이러한기술들에힘입어유비쿼터스세상이멀지않았음을확인하게되었지만, 새로나오는기술들에대한보안문제가이들의발목을붙잡고있다. 뛰어난성능과편리성을모두갖춘무선네트워크를활용하기위해서는, 무선환경에적합한보안기술을개발하는것이중요한과제라고할수있다. 무선네트워크환경의보안기술의적용대상은크게 RFID/USN, WiBro로분류할수있다. 제 3 편국가정보보호기반조성현황 1. RFID 보안 RFID는무선주파수식별이란말로무선주파수를이용하여사람이나사물을식별할뿐만아니라사람이나사물로부터필요한데이터를주고받는방식이다. 즉어떤사물에소형반도체칩을부착하여무선주파수를이용하는무선인터페이스를통해사람과사물의정보를원격에서주고받을수있는기술이다. RFID 시스템은전자태그 (Transponder), 안테나또는코일, 송수신기 (Transceiver) 로구성된다. 사물에부착된전자태그에서얻어진정보를안테나를통해전파로보내고, 그전파를컴퓨터로해석하여정보를분석하고모으는것이다. RFID는그역할이바코드와비슷하나, 바코드에비해훨씬많은정보의저장이가능하며, 장거리정보송 수신이가능하다는장점을가지기때문에 RFID는바코드나마그네틱카드시장을급속히대체하면서물류관리및출입통제분야에서새로운솔루션으로급부상하고있다. RFID시스템은무선접속방식에따라상호유도방식과전자기파방식으로구분된다. RFID의동작원리는 [ 그림 3-2-4-1] 과같다. 제2장정보보호기술및개발분야 227

제 3 편 제 2 장정보보호기술및개발분야 제 3 편국가정보보호기반조성현황 [ 그림 3-2-4-1] RFID 동작원리 제품에부착된 RFID 태그는제품의종류, 생산이력등을담고있기때문에리더기를가진사람이쉽게이들정보에접근할수있게된다. RFID 시스템의보안위협은 [ 표 3-2-4-1] 과같다. [ 표 3-2-4-1] RFID 의보안위협 위협의종류물리적공격도청스누핑스푸핑서비스거부공격세션가로채트래픽분석 내용 태그를획득하여태그의내용을다른태그로복사하여위장하는공격 RF 통신중정보가암호화되지않은채전달되며근거리에서리더기로부터정보탈취가능 휴대용리더기로태그의내용을읽거나, 위치추적가능 태그의내용을변조하거나정상리더기로위장가능 강한전파송 수신을통해리더기와 RFID간정상적인통신을방해하여서비스를받지못하게하는공격 기인증된세션을가로채거나프로토콜일부를다시실행하여세션을얻는공격 리더와태그간의트래픽을분석을통해식별정보를추적하여존재유무와이동유무를확인할수있게된다. * 출처 : The 123 of Biometric Technology 228 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 RFID 센서의기능이아주단순하기때문에높은보안기술을접목시키기어려운단점이있으며, 동시에연산이나저장능력이다른매체에비해약하여제약사항으로작용한다. 가장널리보급될것으로보이는수동형저가태그의경우하드웨어자원이크게열악하여정보보호에사용할수있는부분은수천게이트이하로예상된다. 이러한상황에따라, 기존의표준암호알고리즘대신물리적인보안대책이다수제안되고있다. [ 표 3-2-4-2] 는 RFID의대표적인보안기술을 5가지로분류하여나타내고있다. 기술 Blocker Tag Kill Command Faraday Cage Active Jamming [ 표 3-2-4-2] RFID 보안기술 개요 리더의모든질의에두가지응답을동시에하는특수태그를 Blocker 태그라하며이를이용하여리더기의동작을방해하는방식 태그에 kill 명령어를전송하면태그가영구적으로비활성화되는방식, 현재 EPC global 의표준 속성박막으로태그를막아무선신호의전달을방해하는방법으로사용범위는극히제한적 특정한방해신호를보내어불법적인리더기의접근을막는방식으로근방의적법한리더기의기능도방해하게되어용도가제한적 제 3 편국가정보보호기반조성현황 Re-Encryption 적법한리더가자신의공개키로태그식별정보를암호화하여생성된정보를태그에저장하는방법 2. USN 보안 USN은필요한모든곳 ( 것 ) 에전자태그를부착하여이것을통해사물에대한정보는물론사물주변의환경정보까지탐지하여네트워크를통해실시간으로정보가관리되는것을의미한다. USN의구조는센서영역, 게이트웨이, 외부네트워크로구분된다. 센서영역은사물에센서를부착하여사물의정보나주변정보를탐지하고전송할수있다. 게이트웨이는센서영역과외부네트워크를연결하는기능을수행하며센서영역의정보를수집하여외부네트워크에전송한다. 센서가수집하는정보는온도, 압력, 지문등다양하며 USN에광대역통합망, IPv6 인프라를덧붙여이를기반으로 RFID 서비스가가능하다. USN은기본적으로 2 3가지의간단한작업을수행하는동질혹은이질의많은수의센서들이존재하며이들은제한된컴퓨팅자원 (CPU, 메모리, 배터리, 통신대역 ) 을가지고있다. 제2장정보보호기술및개발분야 229

제 3 편 제 2 장정보보호기술및개발분야 제 3 편국가정보보호기반조성현황 그리고무선통신을사용함으로써물리적인오류로인한신뢰성저하와전파의간섭으로인한메시지손실을가져올수있다. 이러한악조건에서도센서에의해감지된값에따라어플리케이션수준의즉각적인대처를해야하는실시간처리가요구된다. 안전한 USN의구축을위해 USN을구성하는요소간의보안이필수적이다. 크게태그와리더구간, 리더와로컬서버구간, 유선네트워크구간, 유선네트워크와정보서버구간으로나눌수있고각구간별로요구되는사항은다음과같다. 태그와리더구간에서는안전한태그정보를유지하기위해트리워킹, 메시지인증코드등과같은정보보호기술이요구된다. 리더와로컬서버구간은리더의이동성을보장하기위해무선채널이사용되기때문에 WEP, SSID, WPA와같이 IEEE 802.11i의보안기술을적용할수있다. 다음유선네트워크구간에서는기존유선구간과유사하게공개키기반구조, 무선공개키기반구조 (WPKI : Wireless Public Key Infrastructure) 와같은보안기술이요구된다. 유선네트워크와정보서버구간역시인증알고리즘, SSL 서버인증과같은보안기술이적용되어야한다. 관련연구로는, 국내에서는센서네트워크데이터스트림처리미들웨어에관한연구와차세대인증및데이터접근제어기술에관한연구가진행중이다. 국외의경우센서네트워크상에서침입을탐지할수있는시스템을설계하며그외다중플랫폼기반의센서네트워크환경에서동적리테스킹 (retasking) 및프로그래밍을가능하게하는도구가연구개발중에있다. 이도구는개발언어, 컴파일러, 가상머신, 그리고통합개발환경 (Integrated Development Environment) 을제공한다. 3. 와이브로 (WiBro) 보안 와이브로의경우보안의위협요인은전파간섭, 도청및위변조, 복제단말, DoS 등크게 4가지로나눌수있다. [ 표 3-2-4-3] 은와이브로의보안의위협요인과침해방법에따른대응방안을나타낸것이다. 230 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 [ 표 3-2-4-3] WiBro 의보안침해방법과대응방안 구분 전파간섭 침해방법 위조전파간섭 - 불법주파수임의사용, 전파교란등 대응방안 전파법규규제및예방홍보 ( 간접적인대응 ) - 중앙전파관리연구소에전파간섭사실신고등 도청 / 위변조 복제단말 DOS( 단말 ACR) 802.16e 안전성여부 불법 RAS 시뮬레이션 복제단말기이용, 불법망접속 VoIP 제공시타인통화불법감청 ACR IP starvation 공격 ACR에 TCP Syn 및 ICMP 공격 IP Spoofing 공격 Security Sublayer에서안전한방법제시 - 인증, 안전키교환및암호화제공 단말과서비스네트워크간상호인증 (EAP-AKA에서상호인증메커니즘제공 ) UICC 도입을통한보안강화 - WiBro 단말기의목제및보안사고를방지하고안전한가입자인증수단제공 DOS ACR의 ACL 및 Rate Limit 기능으로 DOS 공격방어 * 출처 : KT 휴대인터넷사업본부 와이브로서비스는휴대형단말기 ( 휴대폰, PDA, 노트북등 ) 를이용하여정지및이동중 (60km/h 보장 ) 에도빠른전송속도 (1Mbps이상) 를제공한다. 기존무선데이터서비스의비싼요금및낮은전송속도의한계를극복하고대용량의멀티미디어데이터서비스를저렴하고빠른전송속도로이용할수있도록하는차세대이동통신서비스이다. 국내일부대학에시험적으로설치되었던와이브로서비스는 2006년부터서울과수도권일부지역을중심으로상용서비스가제공되고있다. 최근에는 3G/WLAN/WiBro 등을포괄하는통합무선네트워크서비스체계를구축하고자하는노력이활발히이루어지고있다. 이때각네트워크간의연동은필수적이기때문에기존의개별네트워크를넘어연동되는네트워크상에서의인증, 키교환및데이터암호화등을가능하게하는연동보안기술이요구된다. IEEE 802.16e 및 TTA에서제정한국내와이브로표준은물리계층, MAC 계층의규격을기술하고있다. 그중 MAC 계층중에서보안기능을제공하는보안부계층 (Security sub-layer) 은보안, 인증, 기밀성보장, 공격에대한방어기능을제공하고있다. 이러한기능을지원하기위해 PKMv2 프로토콜을사용하여단말 / 사용자에대한인증, 세션 / 데이터암호화를위한키생성및교환, 암호화된데이터송수신, 메시지무결성체크와같은기능을수행한다. 제 3 편국가정보보호기반조성현황 제2장정보보호기술및개발분야 231

제 3 편 제 2 장정보보호기술및개발분야 4. 홈네트워크보안 제 3 편국가정보보호기반조성현황 최근기업네트워크에서의통합보안솔루션이부각되고있는가운데홈네트워크보안솔루션역시기업네트워크보안과유사한형태로발전하고있다. 단순히외부의침해에대응하는형태뿐만아니라내부의정보가외부로유출되는것을방지하는기능이포함되고있는것도특징이다. 현재댁내망무선기술인블루투스 (Bluetooth), 지그비 (Zigbee), RFID 등에대한취약성을분석하여이에대응할수있는기술을연구하고있다. 지그비의경우표준규격분석등을통해서도청위협에서서비스거부공격에대한위협에이르기까지다양한형태의공격위협이분석되고있다. 아직까지 PAN(Personal Area Network) 기술이활성화되지않은시점에서이와같은위험을가볍게넘길수도있겠으나무선랜의경우활성화이전에지적된보안취약성이활성화이후에대부분실제적인공격으로나타났음을고려할때, 적용이전에보안서비스의강화는필수불가결한것으로보인다. 현재는해당네트워크를모니터링하는방안이고려되고있다. 홈네트워크에대한사이버위협에대응하기위해서대부분의보안기능을홈게이트웨이에집중하여안전성을강화하는방향으로연구가이루어지고있다. 홈게이트웨이는가정밖의공중망과가정내의네트워크를연결하는역할을하며외부의불법침입에대하여일차적인대응을한다. 방화벽이나가상사설망이일차적으로홈게이트웨이중심의불법침입대응을위한조치로사용될수있다. 홈게이트웨이에서정보가전제어를위한미들웨어도기본적인보안기능을제공하고있으며표준화도활발하게이루어지고있다. 홈네트워크보안기술프레임워크는국내표준화기관인 TTA에서표준으로채택되었고현재 ITU-T에서표준화과정에있다. [ 그림 3-2-4-2] 는이표준안에서제안한홈네트워크보안모델이다. 홈네트워크에대한침해유형은크게홈게이트웨이를경유하는방법과무선댁내망을경유하는방법으로구분할수있다. 전자의경우라면일반적인네트워크에서의보안과유사하게대응할수있다. 232 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 [ 그림 3-2-4-2] 홈네트워크보안기본모델 * 출처 : 전자통신동향분석, 2007. 2 제 3 편국가정보보호기반조성현황 무선댁내망에서는현재의무선랜의취약성을이용하여다양한형태의서비스거부공격과중간자공격 (Man-in-the-middle attack) 이가능하다. 이는 WEP 암호기법및 EAP등의인증방식을통해일부해결할수있지만근본적인해결책이되지못하기에 IEEE 802.11i와같은새로운무선랜보안표준안을적용해야하며, 무선랜전용의침입탐지시스템기술개발이요구된다. 그리고무엇보다도현재댁내망에서사용이예상되는무선기술인블루투스 (Bluetooth), 지그비 (Zigbee), RFID 등에대한취약성을분석하여대응할수있는기술연구가필요하다. 제2장정보보호기술및개발분야 233

제 3 편 제 2 장정보보호기술및개발분야 제 5 절보안관리 1. 통합보안관리 (ESM : Enterprise Security Management) 제 3 편국가정보보호기반조성현황 시장에소개되고있는대부분의통합보안관리제품은패키지형태의제품이라기보다는특정고객의요구에의해보안 SI(System Integration) 성향으로접근되는제품들이주류를이루고있다. 대부분의기업들은여러정보보호제품을구매하여적용시키는부분에서많은어려움을겪고있다. 왜냐하면보안정책을적용하는과정에서 어떠한보안제품들을가지고, 어떠한방식으로해당보안정책들을이끌어나갈것인가 라는또다른문제에당면하기때문이다. 또한대부분의기업네트워크는다양한운영체제를가진시스템으로구성되어있기때문에멀티플랫폼환경을지원해줄수있는기능이필수적이며, 기업의중요한정보들은하나의지역에밀집되어있는것이아니라보통다양한지역에분산되어있기때문에원격관리기능역시통합해서제공해줄필요가있다. 이러한필요성을충족시키기위해서나타난제품이바로앞으로우리가살펴볼통합보안관리이다. 통합보안관리는보안정책을수립하고수립된보안정책에따라서해당하는보안시스템을구현하며, 이를모니터링하거나신속하고효과적인조치를취하기위해서각종경보기능을제공하는등일련의필요한작업들 (Workflow) 을일관되게지원해주는것이다. 따라서통합보안관리는네트워크나시스템자원들의각종위험요소들을분석하고, 모니터링하는일종의 관리도구 로서 IPS, IDS, VPN 등기존의다양한보안업체들로부터쏟아져나온여러가지보안솔루션들을통합 관리함으로써관리의효율성을극대화시키고, 능동적인보안대책을세울수있도록도와주는도구라고할수있다. 가. 멀티벤더 (Multi-Vendor) 보안솔루션기반의순수통합보안관리 멀티벤더보안솔루션들은중앙에서통합관리하고자하는요구에의해서출발한제품이다. 주요특징은이기종의다양한멀티벤더보안제품을중앙에서통제, 관리하고보안제품에서발생하는로그, 이벤트, 감사증거를특정분류기준에의해위험도를통합하여재정의하는것이다. 추가적인기능으로는보안제품별 / 시스템별로발생한데이터를정의된규칙 234 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 (Rule) 에의해경고를발생하고, 보안제품간에발생한이벤트와패턴을실시간혹은배치프로세싱으로상호연계분석하는기능을가지고있다. 또한분석한보안사항을단위보안제품들의보안정책에반영하는한편이에대한 History와처리내역을관리하여순환반복적인보안관리체계의일환으로활용하고있다. 멀티벤더보안솔루션은기존에구축된보안시스템환경을그대로수용하고, 중앙집중적인관리에의한효율성을증대시켜관리비용을최소화시킨다. 이로인해궁극적으로는보안부문에대한 ROI(Return of Investment) 를높일수있게된다. 나. 자사솔루션을관리하기위한관리모듈형태의통합보안관리자사의단위보안솔루션제품을통합관리하기위한필요성에서출발한관리모듈형태의통합보안관리는자사의보안솔루션제품들에대해깊은부분까지통제가가능하다는특징이있다. 고객사에설치한여러대의자사제품을중앙에서유지, 운영관리하는것이주된목적이며, 타사제품과의연동에대한고객요구가급증하고있어솔루션벤더들도크게두가지형태로사업방향이갈리고있다. 첫째는현재주력하고있는솔루션개발에만전력하고, 자사제품에대한통합관리측면에치중하면서멀티벤더제품들에대한부분은기존의멀티벤더기반기업보안관리개발사들과협력관계를갖고공동영업을진행하는경우다. 둘째는기존의자사제품중심적인통합보안관리제품을멀티벤더기반의제품으로개발방향을바꿔추진하고있는형태다. 제 3 편국가정보보호기반조성현황 다. SMS Framework 의일부분으로서보안관리모듈형태의통합보안관리 전체시스템관리제품 (SMS) Framework의일부기능인보안관리부문이시장내에서기업보안관리의한분야로분류되고있다. 국외 SMS 벤더들의경우가대부분이며국외보안솔루션중심으로제품연동이진행되고있다. 국내에서는일부국내보안솔루션업체와협력관계를맺고기술개발제휴를추진하는등의다양한방법을모색하고있으나현재는제한된제품만을지원하고있다. 제2장정보보호기술및개발분야 235

제 3 편 제 2 장정보보호기술및개발분야 2. 통합인증및접근제어관리기술 최근복잡해진기업환경에따라시스템의관리와보안을위해통합된기술을필요로하는요구들이늘어나고있다. 이러한요구에부응하여기업의자원을통합하여효율적이고안전하게관리해줄수있는다양한방식들이개발되었고, 이러한기술들을각기업들에서도입하고있는추세이다. 제 3 편국가정보보호기반조성현황 가. 통합접근관리 (EAM)/ 통합계정관리 (IAM) 솔루션 ID와비밀번호로다양한시스템에한번에접속할수있고, 각각의 ID에따라사용권한을차등적으로부여해주는통합접근관리 (EAM : Extranet Access Management) 솔루션의등장으로관리자들은수많은인증정보를관리해야하는어려움을간단하게해결할수있게됐다. 통합접근관리솔루션은다양한시스템을구축하고있는대형포털이나금융권, 공기업, 대기업을중심으로확산되고있다. 통합접근관리솔루션에관심이커지는이유는무엇보다도싱글사인온기능과권한관리를한꺼번에해주기때문이다. 최근에와서인터넷포털사이트와전사적기업솔루션을도입한업체가늘어나면서매번 ID와비밀번호를입력해야하는불편함을줄이고자싱글사인온과인증권한통합기능을도입하는업체들이증가하고있는추세이다. 통합접근관리솔루션은분산된다양한솔루션의사용자접근권한을중앙에서체계적으로통합관리해준다. 통합접근관리를도입하게되면기업에서는여러업무간에사용자가하나의 ID와비밀번호로접속할수있게되며, 사용자관리를중앙에서집중적으로관리할수있을뿐만아니라분산된환경에서는위임관리도가능하다. 따라서통합접근관리이도입되면기업에서는업무효율화와비용절감의생산성향상을기대할수있다. 사용자인증이나권한정보를중앙에서집중관리할수있어관리업무의효율화를꾀할수있으며, 사용자인증정보의중복관리로인한자원낭비를피할수있다. 최근에는통합접근관리과유사하게기업내의사용자 ID와엑세스권한을관리해주는통합계정관리 (IAM : Identity and Access Management) 솔루션이보급되고있다. 통합계정관리는 ID관리를위해누구에게어떤애플리케이션과데이터베이스및플랫폼에대한액세스권한을부여하고어떤조건하에서그와같은액세스를허가해야하는지를결정하는일련의프로세스와시스템의결합이라고볼수있다. 따라서통합계정관리솔루션은계정관리 (Identity 236 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 Management), 액세스관리 (Access Management), 모니터링및감사 (Monitering and Audit) 의기능을제공해야한다. 나. 네트워크접근제어 (NAC) 네트워크의발달, 기업비즈니스환경의확대등과같은이유로인터넷관문에서네트워크침해를막는방법은한계에부딪치게되었다. 기존의네트워크단의경우웜, 바이러스, 해커로부터의공격등에대한방어방식은내 외부네트워크사이에침입차단시스템, 침입탐지시스템, 침입방지시스템과같은솔루션을적용하였다. 그러나네트워크앞단에서보안이잘되어있다고해도, 각사용자의운영체제 (OS) 에적절한보안패치를수행하지않거나보안제품을업데이트하지않는등의보안관리가취약하면이를이용하여공격이발생할수있다. 이에따라사용자단에대한관리요구가필요하게되었다. 네트워크접근제어 (NAC : Network Access Control) 기술은궁극적으로확산되는보안위협경로를미리차단해사전방어적인네트워크보안체계를구현하는것을목적으로한다. 2007년이내부네트워크및자산을보안위협으로부터보호하기위해네트워크에접속하는모든기기에대한엄격한보안정책을적용할수있는네트워크접근제어등의검토필요성이대두된한해였다면 2008년에는이러한솔루션을구성하고제안하는보안업체의움직임과함께, 실제사이트에서적용하고운용되는사례들을통하여확산가능성이검증받는한해가될것으로보인다. 네트워크접근제어과같은개념이기술적으로기업에적용되기위해서는엔드포인트레벨의보안기술, 패치관리, 네트워크접속및제어를위한네트워크기술등이상호작용해야한다. 네트워크접근제어도입이증가하는상황에서가장고려해야할점은보호하고자하는네트워크의적용범위를정하는것이다. 대표적인적용대상은유 / 무선내부네트워크에접속하는사용자와 VPN을이용하는외부사용자및지사에서본사의망에접속하는지사사용자로구분할수있다. 모든적용대상의사용자에대해일시에적용할수도있지만, 중요도에따라적용범위를결정하고점진적으로확대적용하는것이바람직하다. 다음으로는 사용자별로어떠한접근정책을적용할것인가 이다. 이를위해서는사용자그룹및정책그룹을나누어상호매핑시키는작업이필요하다. 기본적인접근정책을수립하여적용하고향후세부적인정책을개발하여보안을강화해가는것이바람직하다. 접근정책은네트워크접근제어제품들이제공하는정책종류및정책기능이다르기때문에제품선정에있어중요한요소가된다. 제 3 편국가정보보호기반조성현황 제2장정보보호기술및개발분야 237

제 3 편 제 2 장정보보호기술및개발분야 마지막으로고려되어야할사항은 이미보유하고있는보안인프라들과어떻게효과적으로통합할것인가 이다. 네트워크접근제어를구축하면기존네트워크장비, 방화벽, PC 등에설치된소프트웨어에영향을줄수있다. 특히, 네트워크접근제어클라이언트프로그램이다른클라이언트프로그램들과충돌하지않고원활하게작동되어야한다. 네트워크접근제어도입에따라엄청난해체및통합이발생할수있기때문에도입초기인프라와의관계를면밀히파악하고상호연동성에대한충분한테스트가전제되어야한다. 제 3 편국가정보보호기반조성현황 3. 취약성분석시스템취약성분석시스템은서버취약점관리시스템과네트워크취약점관리시스템으로크게두가지형태가있다. 먼저취약점관리시스템은서버에설치되어그서버가가진보안상의취약점을발견하고레포트해주며이에대한대응방안을제시해주는서버취약점관리시스템개발되었다. 사용자는이기술을사용하여빠른시간에보안위협을발견하고사전에이를해결할수있다. 중요구성은다음 [ 그림 3-2-5-1] 과같다. [ 그림 3-2-5-1] 서버취약점관리시스템구성 238 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 네트워크취약점관리시스템은해커의관점에서네트워크의취약점을감사하는시스템이다. 중앙의관리자서버 (Manager) 에서원클릭으로네트워크전체에대한취약점감사를실시할수있으며, 그점검과정이실시간으로그래프에표시된다. 검출된취약점에대해서는취약점의상세내역과구체적인대응책이알기쉽게제시되어공격을받기전에취약점을효율적으로막아낼수있다. 취약성분석시스템이란시스템에존재하는알려진버그 (Bug) 나공격에이용될수있는취약성을진단하는프로그램이다. 네트워크상의버그나취약성은악의적인공격자에의해서언제든지악용되어정상적인서비스를제공하지못하도록네트워크를마비시키거나시스템에침입하기위한발판으로사용된다. 취약성분석시스템과더불어보안패치관리를위한 PMS(Patch Management System) 에대한연구개발이활발하게이루어지고있다. PMS는컴퓨터보안의핵심적인요소인윈도보안패치나바이러스백신을비롯해기업이필요로하는다양한소프트웨어의패치를중앙에서모든컴퓨터에자동으로일괄설치할수있게하는솔루션이다. 제 3 편국가정보보호기반조성현황 4. 내부정보유출방지 내부정보유출방지솔루션의핵심기능은온라인 ( 전자우편, 파일전송, 프린팅, 무선통신등 ) 과오프라인 (USB, PDA, 이동식디스크등 ) 채널을통해발생하는정보의이동을제어하는것이다. 또한조직내의데이터베이스의접근관리도포함한다. 특히조직내에서생성, 유통되는전자문서를암호화하고, 사용권한을지정함으로써허가된사용자가인가된범위안에서만중요문서를사용할수있게통제의필요성이증가되고있다. 데이터베이스보안솔루션은기업의내부 DBMS에접속하는사용자의허가되지않은접근을통제하고모든접속기록을로깅 (logging) 하여분석함으로서중요데이터의변경이나유출을방지를목적으로하고있다. 국외에서는내부자의불법적인행동으로인하여기업의다양한기밀정보가유출되는것을원천차단하기위한솔루션의개발이진행중이며, 이솔류션의중요기능은내부정보유출의핵심이되는내부자의부정행동, 특이행동을감시통제하며정보유출의도구로서활용되는다양한외부저장미디어및모바일단말기, 온라인유출포인트 ( 웹메일, SMTP 등 ) 를원천차단하는내부정보유출방지이다. 이러한기능의개념도는다음 [ 그림 3-2-5-2] 와같다. 제2장정보보호기술및개발분야 239

제 3 편 제 2 장정보보호기술및개발분야 제 3 편국가정보보호기반조성현황 가. 인쇄모니터링 [ 그림 3-2-5-2] 내부유출방지시스템개념도 인쇄를통해정보를외부로유출하는것을감시하는기능을말한다. 인쇄는종이를통한인쇄, 혹은파일을통한인쇄가가능하다. 인쇄모니터링프로그램은사용자의인쇄를허용 / 거부하는기능을가지고있어사용자가허용되지않는문서의인쇄를시도할경우이를차단하거나관리자에게통보할수있다. 경우에따라서는관리자의동의를얻기전에는어떤문서도인쇄할수없도록차단시킬수있다. 나. 저장장치를통한유출방지 저장장치를통한유출방지란, USB, PDA, 이동식디스크등으로정보를빼내는행위를차단하는기술을말한다. 이러한기술을사용하는제품은일반적으로프로그램이메모리에상주하고있다가복사가이뤄지는것을감시하여이를중지시키거나혹은관리자에게복사여부를알려준다. 또는하드웨어적으로저장장치의착탈을감시하는시스템도있다. 과거에는파일자체를암호화하여유출을방지했다면, 최근에는정보가외부로빼내는행위자체를차단한다. 240 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 다. 네트워크를통한유출방지 네트워크상에서발생하는트래픽을감시하여정보가외부로유출되는것을방지하는시스템이다. 일부사용자들은이러한시스템을회피하기위해패킷들을분산시키거나다른정보를섞어서시스템을교란시키는방식으로정보의유출을시도한다. 네트워크를통한정보유출을차단하기위해서는접근제어시스템이나침입탐지시스템과유사한구조의시스템이필요하다. 내부네트워크와외부네트워크사이의게이트웨이에서송수신되는트래픽들을감시함으로써정보유출을사전에탐지, 차단할수있게된다. 5. 지적재산권보호기술 (DRM) 지적재산권보호를위한콘텐츠워터마킹기술, 콘텐츠를패키징하여라이센스메커니즘을통해구매자에게콘텐츠를전달하는유통기술, 콘텐츠별응용서비스기술등이디지털콘텐츠유통기술의핵심이며, 또한지적재산권정보이외에추가로콘텐츠에구매자정보를삽입하여콘텐츠불법복제자를추적하는핑거프린팅기술등도중요한기술이다. DRM 기술중에서 PKI 기반의불법복제방지기술은콘텐츠를소비자의암호화키를이용하여패키징함으로써이를다른사람들이이용할수없도록하는방식을사용한다. 그러나이방법은소비자에게종속적인암호화를수행함에따라콘텐츠배포서버의프로세스부담이가중되고슈퍼배포자와같은기능이없어디지털콘텐츠유통에적합하지않다. 한편 DOI (Digital Object Identifier) 기반의저작권보호기술도있는데, DOI는지적재산권관리정보를바탕으로지적재산권인증을부여하는기술이기때문에불법복제및불법사용방지기능이제공되지않고있어적극적인지적재산권보호를하지못하고있다. 한편, 서로다른 DRM을상호연동시키기위해중간규격을만들어서로다른 DRM을상호호환시키는기술이연구되고있다. 앞으로 DRM 솔루션모델은 ESD(Electronic Software Delivery) 서비스, 하드웨어형태의 DRM 등의형태로다변화할것으로예상된다. 이는초기 DRM 솔루션이콘텐츠제공업자들과의이해관계로성공하지못하고있기때문이다. 따라서완전한제품보다는핵심기술및모듈의판매를통한서비스형태, 디바이스및셋탑박스와같은디지털콘텐츠재생을위한하드웨어에직접포함되는형태로발전될것으로전망된다. 최근에는주요저장매체중 제 3 편국가정보보호기반조성현황 제2장정보보호기술및개발분야 241

제 3 편 제 2 장정보보호기술및개발분야 하나인 DVD에 RFID를적용하여미디어를인증함으로써 DRM 서비스를적용하는연구도진행되고있다. 6. 컴퓨터포렌식 제 3 편국가정보보호기반조성현황 컴퓨터포렌식은전자증거물등을사법기관에제출하기위해데이터를수집, 분석, 보고서를작성하는일련의작업을말한다. 따라서컴퓨터포렌식은컴퓨터관련, 사건 / 수사를지원하며, 각종디지털자료가법적효력을갖도록하는과학적 / 논리적절차와접근방법으로컴퓨터시스템에남겨진기록들이손상되지않게유지될수있도록하는증거보존과삭제된증거의복원을포함한증거수집및분석을제공해야한다. 컴퓨터포렌식의기본절차는수사준비단계 (Preparation), 증거물획득단계 (acquisition), 증거물보관및이송단계 (Presevation), 증거물분석단계 (Examination & Analysis), 보고서작성단계 (Reporting) 로이루어진다. 컴퓨터포렌식에서는디지털증거수집및분석작업을수행하기위해주로메모리덤프나하드디스크이미징을통해자료를수집하고메모리내용을통한실행프로그램을추적하며, 레지스트리, 파일시스템의타임라인분석, 비정상적인파일찾기, 로그분석등이이루어진다. 현재국내에서는주로외산포렌식도구들에의존하는경향이있으며몇몇연구기관과회사를중심으로포렌식도구개발이활발히진행되고있다. 242 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 제 6 절기타 본절에서는앞서언급되지않은차세대보안주제들과보안시스템을소개한다. 1. 의료정보보안솔루션 정보기술이발전함에따라의료기기간혹은의료기관간의상호호환을가능케하고의료정보의접근성을확대시키는 u-헬스케어 (HealthCare) 서비스로진화하고있다. u-헬스케어서비스를실현하기위한기술로프라이버시보호를위한의료정보보호기술이요구된다. 일반적인네트워크를사용하여의료정보를공유한다면개인정보유출문제가발생할수있고, 개인의진료기록에대한변조등으로인해커다란사고가발생할수있다. 따라서의료정보를공유하고전송하기위해서보다체계적이고안전한시스템이필요하게되었다. 병원간의데이터베이스공유, 정보전송, 그리고무선네트워크를통한환자상태실시간점검시스템등의정보를안전하게처리하고전송하기위해서새로운체계의의료특화보안솔루션이필요하게되었다. 현재의기술들은개별기관과업체에서산발적이고독립적으로개발되어상호호환이어려운상태이기에국내 외에서표준을마련하고있다. 국내의경우보건복지부및국내산업표준위원회를중심으로전자건강기록 (EHR : Electronic Health Record) 표준및관련법안을마련중에있으며, 안전한 EHR데이터의보관및교환, 환자의개인프라이버시보호를위한연구가진행되고있다. 미국의경우관련법률로는환자사생활및비밀보장에관한법안인 HIPAA(Health Insurance Portability and Accountability Act) 가있다. HIPAA의보안규칙에서는관리상의안전장치, 물리적인안전장치, 그리고기술적인안전장치를명시하고있다. 의료정보보호기술역시다른정보보호시스템기술과유사하게 TCP/IP기반의네트워크정보보호솔루션이그대로활용될수있으나, 환자의프라이버시보호측면에서의정보접근및활용에대한통제와적절한감사기록들이더욱요구된다. 제 3 편국가정보보호기반조성현황 제2장정보보호기술및개발분야 243

제 3 편 제 2 장정보보호기술및개발분야 2. IPv6 제 3 편국가정보보호기반조성현황 IPv6은인터넷프로토컬버전 6의줄임말이다. 현재사용되고있는 IP 주소체계인 IPv4의단점을개선하기위해개발된새로운 IP 주소체계를말한다. IPv4의여러한계를극복하기위해 DHCP(Dynamic Host Control Protocol) 와 NAT(Network Address Translation) 가고안되었고, 이들을이용하여 IPv4의한계를한시적으로해결할수있었다. 그러나궁극적인해결을위해서주소체계의완전한재검토가요구되었고, IPv6가대안으로제시되었다. IPv6 의특징은다음과같다. 32비트주소표현의한계를뛰어넘은 128비트주소로확장 라우터성능에영향을미치는필드수를 8비트로줄이고 fragmentation을금지하여성능향상 실시간비디오등 Network Service에 priority 필드를적용하여우선순위를부여보안문제에있어 IPv6에서는 Auto configuration of address, AH(Authentication Header) 와 ESP(encapsulated Security Payload) 등을추가한다. 또보안상많은문제가되었던 (DoS 공격에주로이용이되었던 ) 브로드캐스트기능을멀티캐스트가담당하게되면서 IPv4의보안적인한계를극복하게되었다. 3. VoIP VoIP(Voice over IP) 는인터넷을통해통화할수있는통신기술로서음성데이터를데이터패킷으로변환하여기존에사용하던인터넷망을통해송수신하는통신서비스기술이다. 인터넷의특성을그대로이용하여여러명이동시에사용할수있으며, 확장성도뛰어나고요금도기존의국제전화에비해훨씬저렴하다는장점이있다. 세계기술표준은 VoIP를비롯하여 VoFR(Voice over Frame Relay), VoATM(Voice over ATM) 등 3가지가있다. VoIP 통신의경우, 과거에는특정소프트웨어가설치된상태의컴퓨터간의통신에서컴퓨터와전화, 전화와전화간의통신을가능케하고있다. 공중전화망과비교하여 VoIP 기술은전화서비스를제공하기위한기능과이기종망연동을위한시그널및미디어의끊김없는전송을위한게이트웨이기능이추가되었다. 244 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 관련서비스제공업체및제품제조사마다다양한이름의시스템과구조, 프로토콜로구성되지만크게 4개의그룹으로분류할수있다. 1. IP 기반네트워크인프라 (IP Network Infrastructure) 2. 호처리및제어를담당하는게이트키퍼, 서버시스템 (Gatekeeper, Servers) 3. 시그널 미디어게이트웨이 (Media Signaling Gateway) 4. 사용자단말 (Terminal) [ 그림 3-2-6-1] 은일반적인 VoIP망구성도를나타낸것이다. 이더넷스위치 IP 전화기 LAN 프락시서버 GateKeeper Soft Switch(MGC) IP 망백본 Media Gateway(MG) Signaling Gateway(SG) SS7 PSTN 제 3 편국가정보보호기반조성현황 [ 그림 3-2-6-1] 일반적인 VoIP 망구성도 전화기 2005년 2월미국 NIST( 표준기술연구소 ) 에서는 VoIP기술도입에신중할것을경고했으며 2005년 5월과 7월시스코는자사의 IP전화기의 DNS쿼리문제와콜메니저소프트웨어의결함이있음을밝혔고국내 VoIP서비스업체의경우 VoIP관련게이트웨이의해킹으로인해불법적인국제전화피해사례가보고된바있다. VoIP는서비스를제공하는업체마다지원하는보안방법, 서비스등이표준화되어있지않다는문제점을가지고있다. 네트워크를통한데이터전송이라는관점에서도청의가능성이있으며세션성립과미디어트래픽전송과정에서의인증과데이터암호화가요구된다. 그러나, 데이터암호화의경우자칫통화품질저하로이어질수있는문제점이있다. VoIP 서비스를고려한다면그중에서도가장문제가될수있는주요보안위협들은 [ 표 3-2-6-1] 과같다. 제2장정보보호기술및개발분야 245

제 3 편 제 2 장정보보호기술및개발분야 [ 표 3-2-6-1] VoIP 주요보안위협유형 구분 스니핑 (Sniffing) 스푸핑 (Spooling) 정의 음성트래픽을불법으로스니핑하여미디어로재생, 정보를수집하려는시도 TCP/IP 프로토콜의약점을악용하여발신주소를조작, 정상적인사용자로위장 시스템의정상적인보호수단을우회할수있음. 예를들어, 전자서명과같은암호화재사용공격된데이터를주고받을때권한없는공격자가이를복사해두었다가나중에그대로 (Replay Protection) 사용하여합법적이용자로가장하려는시도 제 3 편국가정보보호기반조성현황 중간자공격 (Manin-the-middle attack) 세션가로채기 (Session Hijacking) VoIP 스팸및음성메일폭탄공격 악의적인호발생 비인가장치 (Rogue Devices) 서비스거부 (Denial of Service Attack) 불법적인제 3 자가양단간통신에개입할수있는권한을획득하여정당한통신주체로참여하려는시도 스니핑이서비스결과를불법적으로수집하는데반해, 세션가로채기는공격자가세션에직접개입하여불법정보를발생시킬수있는능동적공격시도 인증받지않은불법 VoIP 단말이나시스템이망에접속하여정상적인시스템으로위장 공격양단간전화통화에개입하여악의적인패킷을통화중에삽입하여통신을방해하는행위 공격양단간전화통화에개입하여악의적인패킷을통화중에삽입하여통신을방해하는행위 SIP Server 같은주요시스템에대한자원을고갈시키거나독점 파괴하여해당시스템이서비스를제공하지못하도록무력화하는공격 악성소프트웨어감염 웜, 스파이웨어등악성소프트웨어가 VoIP 망에전파되어중요서버및단말들이감염될경우, 서버구성정보나개인정보침해등이우려됨 또한일반적으로 TCP/IP 네트워크를이용하기때문에서비스거부공격 (DoS) 이발생할수있고, SIP와같은주요프로토콜의경우세션성립과미디어전송이분리되어동작하는데, 사설망의경우 NAT(Network Address Translation) 과정에서각각다른주소로매핑될수있어원격지로부터의데이터를제대로받지못하게되는경우가발생할수있다. 인터넷전화는인터넷에접속돼있는각기기의일련번호인 IP 주소를찾아냄으로써연결된다. 텔레마케팅회사들은일반전화를사용할경우한통의전화를하기위해단한개의전화선만사용할수있는데반해 VoIP에서는 IP 기술의멀티캐스트및브로드캐스트를이용하여한번에수천개주소에같은음성메시지를보낼수있게되어 VoIP 스팸으로인한사회적부작용은매우심각해질수있다. VoIP 스팸의가장큰폐해는음성메일수신함으로예상된다. 음성메일수신함은수신메시지를모두기록으로남기기때문에사업자들은스팸메시지를처리하기위해불가피하게저장용량을확장해야하는악순환을겪게될것이다. 246 2008 국가정보보호백서

제 2 장정보보호기술및개발분야 제 3 편 VoIP 스팸에는호스팸 (call spam), IM 스팸 (Instant Messaging spam), Presence 스팸등이있다. 호스팸은 VoIP 단말로걸려오는음성, 비디오의통화내용이되고 IM 스팸은이메일과유사하여 SIP 메시지형태로전달되어사용자단말액정에자동적으로보여지는일종의문자메시지스팸이다. Presence 스팸은 IM 스팸과유사하지만, 사용자의전화번호목록에가입을원하는요청메시지를보냄으로써 buddy list 나 white list 에가입하려는시도이다. 이들스팸을해결하기위한방안으로는다음의기술적조치가모색되고있다. (1) 콘텐츠필터링 기존이메일에적용하는컨텐츠필터링을보이스 (Voice) 스팸에도적용. 콘텐츠분석도구를활용하여음성과비디오정보를검색하여특정콘텐츠를필터링하는작업은데이터대상분석보다비효율적임 호스팸보다는 IM 스팸에보다효과적인대책임 (2) 블랙리스트 (Black Llists) 사용자이름이나전체도메인이름등을스팸발송자목록으로관리하여스팸필터링에활용함 주소정보는매우다양하며이메일주소는쉽게스푸핑이가능하므로위조된거짓주소를가진이메일과 SIP 스팸에는효과가크지않음 제 3 편국가정보보호기반조성현황 (3) 화이트리스트 (White Lists) 블랙리스트의반대개념으로정당한송신자의호와메시지만걸러서수신하기위한목록임 리스트내주소의스푸핑여부를검증할강력한인증메커니즘과함께사용하는것이가장좋은예방형태임 단점으로는처음대면하는상대의주소정보가정당한송신자로인정받을수있는방법이문제임 (introduction problem) 특히 IM 스팸에서효과적임 (4) 튜링테스트 (Turing Test) 자동으로녹음되는호스팸을예방하기위한방법 오직사람만이대답할수있는질문 ( 예를들어이미지안의숫자나단어의나열을 제2장정보보호기술및개발분야 247

제 3 편 제 2 장정보보호기술및개발분야 맞추는것등 ) 을맞출경우화이트리스트로간주하여녹음을허용함 호스팸과 IM 스팸을예방할수있음 제 3 편국가정보보호기반조성현황 (5) Consent Framework 화이트 블랙리스트를함께적용. 리스트에존재하지않는 A가 B에게연결을요청하면 (consent), B는나중에A의연결을승낙하거나거부함 IM 스팸및 Presence 스팸에적용하며인증메커니즘과함께적용 (6) SIP 메시지의스팸예방을위한프레임워크 스팸예방을위한단일솔루션은없으며다양한기술의접목이필요 신원확인을위한강력한인증기술 248 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 제 3 장 정보보호교육및인력분야 본장에서는정보보호관련정규교육과비정규교육, 그리고기타부문으로나누어인력양성현황에대하여설명하고 2007년의정보보호인력에대한분석결과를다룬다. 정규교육의경우대학, 대학원, 전문대학등으로구분하고비정규교육에대해서는국가기관이실시한것과민간기관에서실시한것으로나누어 2007 년에양성된정보보호인력현황을조사하였다. 그리고대학이나전문대학에서의동아리활동, 국내외자격증발급현황, 석박사급고급인력양성사업등정규혹은비정규교육으로분류될수없는인력양성프로그램에대하여별도로설명한후, 정보보호산업종사자들에대한조사를바탕으로정보보호관련인력을분석한다. 제 3 편국가정보보호기반조성현황 제 1 절정규교육에의한인력양성현황 현재정보보호와관련된교육은전문대학이상의고등교육뿐만아니라민간교육기관에서도이루어지고있다. 본절에서는대학, 대학원, 그리고전문대학으로구성되는정규교육기관에서의정보보호교육에대하여다룬다. 각학교에서의교육현황을수집하기위해우선교육부의 2007년도대학원석박사통계자료, 대학모집단위별입학정원등의자료를참고하였고관련학과에대한설문조사를병행하였다. 본절에서제시하는결과는설문조사를취합 분석한것이다. 설문조사결과 2007년현재 15개대학교와 5개전문대학에정보보호관련학과들이설치되어있고 9개의일반대학원, 2개의전문대학원, 12개의특수대학원에정보보호관련전공이나학과가운영되고있는것으로파악되었다. 2007년전문대학이상의정규교육기관에의하여배출된인력은 602명, 대학교 272명, 대학원 153명, 전문대학 177명으로조사되었다. 한편 2007년 11월기준재학생은총 3,628명이었는데, 대학이그중에서절반이상에해당하는 2,517명, 대학원이 817명, 전문대학이나머지 300명을차지하였다. 제3장정보보호교육및인력분야 249

제 3 편 제 3 장정보보호교육및인력분야 1. 대학교 제 3 편국가정보보호기반조성현황 대학교에서의정보보호관련학과들은대부분정보통신부의 IT인력양성사업에부응하여 2002년부터새로이개설되었다. 중부대학교가 1996년컴퓨터안전관리학과를신설한것을제외하면모든학교가 2001년이후에정보보호관련학과를설치한것으로조사되었다. 2007년현재 15개교의관련학과에재적생수는 2,511명에이르며전임교원의수는 62명이다. 2007년의배출인력은총 272명이고대부분의정보보호관련학과가최근설치되었기때문에아직인력배출실적이없는학교는 3개이다. [ 표 3-3-1-1] 은각대학교에설치된학과명과함께재적학생수, 2007년배출실적및전임교원수를나타낸다. 각학과의전임교원의확보정도는다른분야보다낮은편인데, 이것은설치기간이짧아서아직안정화단계에이르지못한학교들이많기때문인것으로분석된다. [ 표 3-3-1-1] 대학교정보보호관련학과현황 학교명학부 / 학과 / 전공명설립년도 재적학생수 2007 년졸업생수 ( 단위 : 명 ) 전임교원수 건양대학교정보보호학과 2003 120 39 4 대전대학교전산정보보호학과 2003 123 19 5 동명대학교정보보호학과 2005 102 0 7 동양대학교컴퓨터정보전학과 2005 225 59 6 목원대학교 정보전자영상공학부정보보호공학전공 2002 35 주 1) 3 2 목포대학교정보공학부정보보호전공 2002 110 17 5 백석대학교정보통신학부정보보호학전공 2002 878 주 2) 51 4 서울여자대학교컴퓨터학부정보보호학전공 2002 159 주 2) 21 3 순천향대학교정보보호학과 2001 258 16 4 세명대학교정보보호학과 2002 30 16 2 우석대학교정보보안학과 2006 90 0 1 중부대학교정보보호학과 1996 110 23 3 한국기술인터넷미디어공학부 2003 123 주2) 5 5 교육대학교정보보호학전공 호서대학교정보보호학과 2002 120 3 4 호원대학교 사이버수사경찰학부사이버수사경찰학전공 2006 128 0 7 합계 2,511 272 62 주 1) 정보보호전공이결정된학생수주 2) 2007 재적학생수가운데정보보호전공이결정되지않은학생수포함 250 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 2007년정보보호관련학과들의변동내역을보면, 새로이신설된학교는없으며동명대학교컴퓨터학부정보보호전공이컴퓨터정보전학과로변경되었고세명대학교인터넷정보학부정보보호학전공이정보보호학과로변경되었다. 한중대학교디지털정보공학부사이버보안전공은폐지되었다. 2. 대학원대학원에서의정보보호관련교육및인력양성은다양한방법으로이루어지고있다. 크게일반대학원, 전문대학원, 특수대학원으로구분되는데, 2개의전문대학원과 12개의특수대학원에정보보호관련학과혹은전공이개설되어있고 9개의일반대학원에서도석박사과정이개설되어있다. 일반대학원과전문대학원에는각각박사과정도개설되어있다. 대학원과정에정보보호전공이설치되기시작한것은동국대학교가국제정보대학원을설립한 1998년이다. 2000년대에들어서면서본격적으로정보보호전공이설치되기시작하였고재적학생수가매년늘어나는추세이다. 일반대학원의경우정보보호관련전공이나학과가개설된곳이늘어나는추세이지만아직도컴퓨터혹은정보통신관련학과에서소규모연구그룹이나교수별로정보보호분야의연구를수행하고있는곳이더많은것으로추정된다. 그렇지만설문조사상의기술적인제약으로인하여본백서에서는관련학과가개설된곳으로만한정할수밖에없었기때문에정보보호분야의인력배출실적과전임교원의수는본백서에서의숫자보다많다고볼수있다. 전문대학원은고려대학교정보경영공학전문대학원과과학기술연합대학원대학교가해당되고순천향대학교에는일반대학원과특수대학원에모두관련학과가개설되어있는것으로파악되었다. 한편전문대학원을비롯한일부극소수대학원을제외하면대부분의대학원에서전임교원들이학부교육과대학원교육을병행하는것으로조사되었다. [ 표 3-3-1-2] 는정보보호관련학과가개설된각대학원에대하여석박사학위과정의개설여부, 설립년도, 재적학생수와배출실적, 그리고전임교원의수를보인다. 대학의경우처럼대학원의경우도 2002년부터 2004년사이에설립된학과가많다. 2007년기준으로총재적학생수는 817명에달하고, 2007년의배출인력은 153명이다. 2007년에 15명이상의인력을배출한학교는모두 4개인데, 전문대학원중에서고려대학교정보보호대학원이 41명, 특수 제 3 편국가정보보호기반조성현황 제3장정보보호교육및인력분야 251

제 3 편 제 3 장정보보호교육및인력분야 대학원에서아주대학교정보통신대학원이 24명, 성균관대학교정보통신대학원이 16명, 동국대학교국제정보대학원이 15명을각각배출하였다. 학교명 [ 표 3-3-1-2] 대학원정보보호관련학과현황 학과 / 전공명 학위과정개설현황 설립년도 재적학생수 2007 년졸업생수 ( 단위 : 명 ) 전임교원수 제 3 편국가정보보호기반조성현황 건국대학교정보통신대학원주2) 정보보안전공 석사 1997 182 주4) 9 10 주6) 경기대학교대학원주3) 정보보호학과 석사 / 박사 2001 23 7 10 경북대학교대학원주주3) 정보보호학과 석사 / 박사 2002 6 4 25 경원대학교소프트웨어대학원주2) 정보보호학전공 석사 2003 6 3 3 주6) 고려대학교정보보호대학원주1) 정보보호학과 석사 / 박사 2000 163 41 17 과학기술연합대학원대학교주1) 정보보호학과 석사 / 박사 2003 0 0 0 국민대학교법무대학원 정보보안학과주7) 석사 1998 0 0 0 대전대학교대학원 전산정보보호학과 석사 / 박사 2005 0 0 5 동국대학교국제정보대학원주2) 정보보호학과 석사 1997 71 15 0 동명대학교대학원 정보보호학과 석사 2007 1 0 7 부경대학교대학원주3) 정보보호학과 석사 / 박사 2002 18 3 10 성균관대학교정보통신대학원주2) 정보보호학과 석사 1995 73 16 5 순천향대학교대학원주3) 정보보호학과 석사 / 박사 2002 7 4 4 순천향대학교산업정보대학원주2) 정보보호학과 석사 2000 3 0 4 숭실대학교정보과학대학원주2) 정보보안학과 석사 2005 51 7 0 아주대학교정보통신대학원주2) 정보보안학과 석사 2001 129 24 5 전남대학교대학원주3) 정보보호학과 석사 / 박사 2001 41 8 8 전북대학교대학원주3) 정보보호공학과 석사 / 박사 2004 3 0 6 한국기술교육대학교대학원 정보미디어공학과 정보보호전공 석사 2005 4 0 5 한남대학교정보산업대학원 정보보호학과 석사 2004 4 1 2 한서대학교대학원 정보보호공학과 석사 / 박사 2002 1 0 4 한세대학교대학원 정보보호공학과 석사 / 박사 1999 31 11 5 호서대학교대학원 정보보호학과 석사 / 박사 2008 0 0 0 합계 817 153 135 주 1) 전문대학원주 3) 협동과정주 5) 재학생수및전임교원수는 2007년 11월기준주 6) 타학과겸직전임교원수 주 2) 특수대학원주 4) 전공배정받지않은타전공자수포함 주 7) 정보법학과로변경예정 252 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 3. 전문대학 전문대학의정보보호관련학과에서는주로인터넷보안, 해킹등에관한실무교육이이루어지고있고자격증취득을위한교육도활발하다. [ 표 3-3-1-3] 은각학과별로재적학생수와 2007년배출실적, 그리고전임교원수와함께수업연한을나타낸다. 김천과학대학은정보보호관련전공을마치기위해서 3년의수업연한을충족시키도록요구하고있다. 김천과학대학의정보보호전공을제외한모든학과들이 2002년부터설치되었는데이는 IT 환경의변화에빠르게부응하려는전문대학당국의노력에의한것으로분석된다. 2007년에는 5개의학교에서 300명이재적하였고 177명이배출되었다. 전문대학의경우대학이나대학원보다특성화된학과혹은전공들이많이설치되어있는데, 대표적인예가경찰사이버보안관련학과이다. 강릉영동대학과대구과학대학은 2004년에설립되었고동주대학은 2005년에관련학과를설치하여정보보호관련감리를중심으로수사기법등을교육하고있다. 제 3 편국가정보보호기반조성현황 [ 표 3-3-1-3] 전문대학정보보호관련학과현황 학교명학부 / 학과 / 전공명설립년도 재적학생수 2007 년졸업생수 ( 단위 : 명 ) 전임교원수 강릉영동대학사이버경찰과주 1) 2004 16 12 2 김천과학대학인터넷보안과정보보안전공 1999 3 52 2 대구과학대학경찰사이버보안과 2004 81 41 4 대덕대학정보보안해킹과 2002 143 47 3 동주대학 경찰사이버보안학과 2005 57 25 4 합계 300 177 15 주 1) 2009 년폐과예정 제3장정보보호교육및인력분야 253

제 3 편 제 3 장정보보호교육및인력분야 제 2 절비정규교육에의한인력양성현황 1. 국가기관 가. 국가정보원 제 3 편국가정보보호기반조성현황 국가정보원사이버테러대응교육은국가 공공기관의보안담당자와주요정보통신기반시설관리기관의보호책임자등을대상으로실시되며, 필요에따라민간업체정보보호관계자도포함한다. 개설초기에는연 2회실시하였지만교육수요의증가에따라횟수나교육내용이확대되었다. 국가정보원및산업계, 학계, 연구소등에서정보보호전문가를강사로위촉하여국가정보보안정책및관계법령, 해킹사고조사및복구방법, 취약성분석및평가방법, 정보보호시스템운영관리방법, 위험분석방법론등의다양한분야에대한교육이이루어진다. 2007년에는 2006년에이어 2주로교육기간을연장하여실시하였고 5회에걸쳐서과학기술부등을대상으로총 90명을교육하였다. 각교육은 2주간에걸쳐서총 65시간으로구성되어있다. 2007년에실시된사이버테러대응기초과정과전문과정의교육대상과인원은 [ 표 3-3-2-1] 과같다. [ 표 3-3-2-1] 2007년사이버테러대응교육현황 교육명 교육횟수 ( 회 ) 교육인원 ( 명 ) 기초과정 2 37 전문과정 3 53 합계 5 90 나. 행정자치부정보화교육센터 행정자치부정보화교육센터는공무원을대상으로정보화교육을실시하고전자정부관련정책을개발하는교육 연구기관이다. 이전에는행정자치부소속기관이었던정부전산정보관리소가정보보호관련전문인력이나행정인력을양성하기위한교육을담당했었는데, 직제 254 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 개편에의해행정자치부정보화교육센터로명칭과편제가바뀌었다. 2007년도에실시한정보보호관련교육은 [ 표 3-3-2-2] 와같다. 개인정보보호, 해킹및침해사고대응교육등다양한교육내용으로총 60회 1,560명을교육하였다. [ 표 3-3-2-2] 정보화교육센터의교육현황 교육내용 기간 횟수 ( 회 ) 인원 ( 명 ) 개인정보보호관련교육 1일 ~3일 4 80 관리자교육 2일 2 40 네트워크관련교육 1주 ~3주 6 180 운영체제관련교육 1주 ~3주 10 380 정보보호실무교육 3주 2 100 데이터베이스관련교육 3일 ~1주 9 180 PC 관리 3일 ~1주 14 340 해킹및침해사고대응교육 1주 4 80 웹서버관리교육 1주 5 100 정보화보안교육 2주 4 80 합계 60 1,560 제 3 편국가정보보호기반조성현황 * 출처 : 행정자치부정부정보화교육센터 http://www.e-academy.go.kr/ 다. 한국정보보호진흥원 한국정보보호진흥원은정보보호의식제고를위한일반교육과정보보호지식전파를위한전문교육등다양한교육프로그램을실시하고있다. 이러한교육프로그램은일반이용자대상온라인정보보호기초과정, 기업체임직원등일반인대상정보보호순회강연회등정보보호일반교육, 그리고중소기업 IT 담당자대상정보보호실습교육, 정보시스템평가인증교육등정보보호전문교육으로구분할수있다. 2007년의경우정보보호순회강연회등일반교육 44회와 CERT 구축및운영교육등전문교육 32회및일반인을대상으로하는온라인교육을통해총 5,415명을교육하였다. [ 표 3-3-2-3] 은한국정보보호진흥원의교육현황을나타내고있다. 제3장정보보호교육및인력분야 255

제 3 편 제 3 장정보보호교육및인력분야 [ 표 3-3-2-3] 한국정보보호진흥원의교육현황 제 3 편국가정보보호기반조성현황 구분일반교육 전 문 교 육 교육명 대상 횟수 ( 회 ) 인원 ( 명 ) 정보보호기초과정 기업체임직원등일반인 - 2,547 정보보호순회강연 회기업체임직원등일반인 42 2,009 CSO/CPO 양성교육 기업체및중소기업 CEO 2 23 소계 44 4,579 CERT 구축및운영교육 기업정보보호담당자등 2 53 네트워크및웹해킹보안교육 국방부정보보호담당자 2 68 전자서명인증관리체계운영자 교육공인인증기관인증업무운영자 1 22 개인정보보호전문교육 개인정보보호책임자및담당자 7 188 정보보호시스템평가인증교육 정보보호업체평가담당자 4 119 웹어플리케이션보안교육 포탈업체웹개발자등 5 134 정보보호실습교육 중소기업서버관리자 11 252 소계 32 836 합계 76 5,415 라. 기타공공프로그램 2000년대초반실업자들의재취업문제와청년층의미취업문제를해결하기위한목적으로정보통신전환교육지원사업등의공공프로그램이정부주도하에시행되었다. 주로노동부, 산업자원부, 중소기업청등이관련기관을주관사업자로선정하여민간교육기관의교육과정을지원한형태로이루어졌고당시취업시장에서정보통신에대한폭발적관심에힘입어많은교육성과가있었다. 2007년현재지원정도나참여정도는감소하고있지만여전히공공프로그램에의한지원은계속되고있고정보보호관련분야도정보통신분야의다양한교육프로그램중의하나로제공되고있다. 현재대부분의교육은민간교육기관등에서개설되는교육과정에대하여수강료를지원하는형태로이루어지고있는데, 민간교육기관에대해서는다음절에서별도로설명한다. 한편한국정보산업연합회나한국산업기술협회, 한국생산성본부등은노동부직업능력개발사업혹은근로자직업훈련촉진법에의거하여정보통신분야의장단기직무능력개발과정을운영하고있으며, 사업주에게교육비의일부를환급하고있다. 그리고부산 IT직업전문학교, 우성직업전문학교, 대구직업전문학교등에서는일반적인정보통신관련교육에포함시켜서해킹이나시스템관리등정보보호와관련된과정이나교과목을 256 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 개설하여관련분야의인력을양성하고있다. 2. 민간교육기관 정보통신분야에서의민간교육은매우활발한편인데이는교육에대한수요가다양한 형태로존재하기때문이다. 정보통신분야비전공자들은특정단기과정외에도 6개월정도의장기과정을통해전문지식을습득하기를원하는반면, 정보통신분야전공자들은주로자격증과관련된교육을통해정규교육기관에서얻지못하는실용적인교육을원하는것으로파악되고있다. 2007년현재활발하게교육사업을진행하고있는민간교육기관은 14개이며교육과정명과홈페이지에관한정보가 [ 표 3-3-2-4] 에열거되어있다. [ 표 3-3-2-4] 민간교육기관의교육현황 제 3 편국가정보보호기반조성현황 기관명교육과정명홈페이지 넷칼리지 데이터통신보안과정, 정보보호엔지니어전문가과정등 www.netcollege.co.kr 라카데미 정보보호전문가자격증과정 www.lacademy.co.kr 비트캠퍼스 컴퓨터보안이론등 www.bitcampus.co.kr 삼성SDS멀티캠퍼스 CISSP 대비과정, 네트워크보안실무등 www.multicampus.co.kr 디아이세미콘교육센터 CCSA 자격증과정등 www.disemi.co.kr 쌍용정보통신교육센터 보안네트워크프로그램개발자과정등 www.sist.co.kr 썬교육센터 CISA 자격증대비과정등 www.suntraining.co.kr 시스원교육센터 정보보안교육과정등 sysedu.co.kr 아이티뱅크 정보보호전문가자격증과정등 www.itbank.org 아이티뱅크멀티캠퍼스 정보보안전문가과정등 www.itbank21.org 캐드뱅크 System Hacking 등 www.cadbank.co.kr 한국정보보호교육센터 (KISEC) 정보보호전문가과정등 www.kisec.co.kr 한국HP교육 센터정보보호기초과정등 education.hp.co.kr KH정보교육원 보안전문가과정등 www.iei.or.kr 제3장정보보호교육및인력분야 257

제 3 편 제 3 장정보보호교육및인력분야 제 3 편국가정보보호기반조성현황 한국정보보호교육센터는고려대학교정보보호대학원의정보보호기술연구센터, 성균관대학교의정보보호인증기술연구센터, 안철수연구소, STG-Security, 코코넛, 비씨큐어, NDS 등이참여하고있으며정보보호분야의전문교육기관이다. 또한라이지움, 삼성멀티캠퍼스등도민간교육기관으로서의상당한실적을갖고있다. [ 표 3-3-2-4] 에서도볼수있듯이대부분의민간교육기관에서는장기전문가과정외에도단기전문가과정을개설하고있으며자격증과정도활성화된분야중의하나이다. 또한필요에의하여위탁교육도병행하는곳이많이있다. 장단기전문가과정의경우대체적으로정보보호기술일반외에해킹에관련된침해대응실무교육이나시스템혹은네트워크관리과정이많이개설되며컨설팅과정도관심을끄는분야중의하나이다. 자격증대비과정은주로공인정보시스템감리사 (CISA) 자격증과공인정보시스템보안전문가 (CISSP) 자격증이대상이되며정보보호전문가 (SIS) 자격증대비과정도많이개설되어있다. 258 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 제 3 절기타인력양성현황 대학, 대학원, 전문대학에서의정규교육, 국가기관과민간기관에의한비정규교육외에도정보보호관련인력을양성하기위한프로그램은다양하게시행되고있다. 여기서는대학연구센터를중심으로정부지원의고급인력양성프로그램을살펴보고대학과전문대학중심의동아리활동현황, 그리고정보보호관련자격증에대하여기술한다. 1. 정부지원고급인력양성프로그램정보통신부를중심으로산업자원부등에서정보통신분야의인력양성프로그램을다양하게지원하고있다. 본절에서는대학연구센터지원프로그램을중심으로살펴본다. 대학IT연구센터 (ITRC) 사업과지역협력연구센터 (RRC) 사업은각각정보통신부와산업자원부에서추진하는대학연구지원및인력양성사업들이다. [ 표 3-3-3-1] 은 ITRC 사업과 RRC 사업에의하여설립된정보보호관련대학부설연구센터가양성하고있는인력에대한현황을보여주고있다. 현재 ITRC 사업에의한 5개의연구센터와 RRC 사업에의한 1개의연구센터가운영중이다. 6개센터가배출한최근 4년간의석박사급고급인력배출실적은 589명이고 2007년현재연구센터에참여하고있는석박사과정대학원생은 324명이다. 2007년으로한정할경우에도배출인력이 159명인데, 이는 1절에서의대학원배출인력인 153명과비교할때매우큰숫자이다. 이것은대학원에한정된인력양성이정보보호관련학과로국한되지않고컴퓨터혹은정보통신관련학과에서도활발하게이루어지고있음을시사한다. 제 3 편국가정보보호기반조성현황 제3장정보보호교육및인력분야 259

제 3 편 제 3 장정보보호교육및인력분야 [ 표 3-3-3-1] 정보보호관련대학부설연구센터인력현황 센터명 ( 선정년도 ) 경북대학교이동네트워크정보보호기술연구센터 (2000) 고려대학교정보보호기술연구센터 (2000) 성균관대학교정보보호인증기술연구센터 (2000) 연도별졸업생수 현재참여인력 2004 2005 2006 2007 합계 석사 박사 합계 26 15 18 22 81 38 16 54 38 31 35 28 132 57 23 80 25 12 16 24 77 50 24 74 제 3 편국가정보보호기반조성현황 전남대학교리눅스시스템보안연구센터 (2000) 충남대학교인터넷침해대응기술연구센터 (2003) 한남대학교민군겸용보안공학연구센터 (2003) 합계 25 45 34 24 128 19 16 35 17 18 17 37 89 34 17 51 20 19 19 24 82 11 19 30 151 140 139 159 589 209 115 324 가. 정보통신부지원대학정보보호기술연구센터 (ITRC) (1) 경북대학교이동네트워크정보보호기술연구센터 2000년 8월에네트워크보호기술분야의 ITRC로선정되었고 2004년부터유비쿼터스환경에서의정보보호핵심기술을중심으로 2단계연구를수행하고있다. 이동단말기에대한부채널공격, 암호핵심하드웨어개발, 유비쿼터스핵심알고리즘및프로토콜개발, 유비쿼터스네트워크에서의관리및보안설정에관한연구를수행하고있고특히부채널공격및암호프로세서와관련된기술개발에집중하고있다. 또한전력분석공격에도많은실적을갖고있다. (2) 고려대학교정보보호기술연구센터 2000년암호이론분야의 ITRC로선정되었고 2004년 9월부터 2단계연구를수행하고있다. 암호이론분야인블록암호, 스트림암호, 공개키암호, 해쉬함수, 정보보호프로토콜, 무선이동통신보안, 시스템및네트워크보안분야에대해중점연구하고있으며, 이를토대로국가소요정보보호기술인컴퓨터포렌식, 프라이버시보호기술, 정보은닉기술등으로연구영역을확장하고있다. 또한기술과정책을융합한정보보호정책에대한연구도활발히이루어지고있다. 260 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 (3) 성균관대학교정보보호인증기술연구센터 2000년 8월에암호인증기술분야의 ITRC로선정되었고 1단계연구로전자상거래활성화를위한인증기술개발과제를수행하였다. 현재는 2단계에접어들었고 2004년부터 차세대인증및데이터접근제어기술 과제를수행하고있다. 주요연구내용으로차세대초경량 저비용인증원천기술, USN 환경에적합한 AAA(Authentication, Authorization, Accounting) 기술, 정보가전네트워크에서의인증기술, 데이터접근제어및침입감내기술등을연구하고있다. (4) 전남대학교리눅스시스템보안연구센터전남대학교리눅스시스템보안연구센터는 2000년 8월에시스템보안기술분야의 ITRC로선정되었고연구분야는침입감내기술, 침입방지기술, 침입대응기술과같은시스템보안기술을연구하고있다. 특히윈도우운영체제에대응하기위해리눅스보안운영체제기술개발과디지털증거획득을위한컴퓨터포렌식기술개발을하고있다. 기반기술연구보다는산학협력중심센터로서산업체와의유기적인협력관계를구축하여보안제품연구개발에직접참여하는산학일체형연구 교육모델을확립하여실무형정보보호고급인력을양성하고있다. 또한, 한국 중국 일본의리눅스를기반으로하는공개소프트웨어운영체제개발사업에참여하여보안운영체제의국제공동연구를진행하고있다. 제 3 편국가정보보호기반조성현황 (5) 충남대학교인터넷침해대응기술연구센터 2003년 8월에해킹 바이러스분야의 ITRC로선정되었고코어네트워크보안, 액세스네트워크보안, 서비스보안, 조기경보및예측의총 4개세부과제로연구하고있다. 최소 10년이상연구를지속해온참여연구자의전문성을인정받고있고, 정보보호관련기업과의공동연구뿐만아니라, 국내외유관기관과의활발한교류및공동연구를추진하고있어해킹 바이러스분야의세계적인국제화기틀을마련하고있다. 또한지속적인해킹 바이러스등의침해대응기술개발, 산업화와함께침해대응능력을갖춘고급전문인력양성에주력하고있다. 국가차원에서의해킹및바이러스대책수립을위해국내외대학, 산업체및연구소와긴밀한연구협력체제를유지하고있으며, 교육기관이해킹의경유지로많이이용되고있는현실을감안하여 e-secure University 구축사업도전개하고있다. 제3장정보보호교육및인력분야 261

제 3 편 제 3 장정보보호교육및인력분야 나. 산업자원부지원지역협력연구센터 (RRC) 제 3 편국가정보보호기반조성현황 산업자원부에서지원하는지역협력연구센터중에는한남대학교민군겸용보안공학연구센터만이정보보호관련연구를수행하고있다. 한남대학교민군겸용보안공학연구센터는 2003년 6월에과학재단의 RRC로선정되었고 2005년부터사업이과학기술부에서산업자원부로이관되어지원받고있다. 2006년부터 2단계로실시간침입예측및조기경보기술, IT 시스템보안수준평가도구개발, 분산환경에대응하는작전훈련및군수관리보안시스템연구, USN 보안연구를수행하고있다. 특히매년대전및충남지역의 12개정도의벤처기업들이연구비를일부제공하고있으며업체직원들이공동으로참여하고있다. 또한, 2004년 2월육군본부와정보보호분야에대한협약을체결하여공동연구를수행하고있다. 2. 정보보호관련동아리 2000년부터대학생혹은대학원생들의정보보호기술개발을장려하기위해대학내해킹, 암호등을연구하는관련동아리에대한지원사업이시행되었다. 현재동아리지원사업은계속되고있지않지만관심있는학생들을중심으로대학내의동아리활동은꾸준히이어지고있다. 일부학교에서는 2개이상의정보보호관련동아리가활동하고있는경우도있는데, [ 표 3-3-3-2] 는학교별로활동중인동아리현황이다. [ 표 3-3-3-2] 정보보호관련대학동아리현황 소속대학 동아리명 소속대학 동아리명 가톨릭대학교 Cat-Security 아주대학교 HAMER 건양대학교 LocKey 안동과학대학교 SP@CE 경북대학교 KERT 안동대학교 ASA 경원대학교 GNU Zone 안양대학교 C.P.U 경일대학교 KICOM 연세대학교 POOLC 경찰대학교 컴퓨토피아 영남대학교 PowerSupply, Xpert 경희대학교 NET 영진전문대학 해커스랩 계명대학교 R.O.C 우송대학교 SecuLOCK 고려대학교 KUICS 원광대학교 SGI 262 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 소속대학동아리명소속대학동아리명 관동대학교 Hackers 인제대학교 돗-가비 남서울대학교 A-shell 인하대학교 MOD777 단국대학교 RedBeanZ 전남대학교 정보보호119 대구가톨릭대학교 I-Keeper 전북대학교 UPGRADE 대불대학교 DSL forum 전주대학교 Ngel, SAGE 대전대학교 Hacker Craft 조선대학교 HackerLogin 동명대학교 Think 중부대학교 S.C.P, Soul Magic 동부산대학교 SecureMAST 중앙대학교 ISSAC 동서대학교 CNSL 창원대학교 CASPER 동신대학교 All-Multi 충남대학교 ARGOS 동양대학교 MSG 충북대학교 COSMOS 동의대학교 옥쇄지기 포항공과대학교 PULS 동주대학교 Network&Processor, 엑스닷넷 한국과학기술원 GoN 동해대학교 DUST 한국산업기술대학교 B.F.B 목원대학교 이즈 한국정보통신대학교 SIVAL 배재대학교 PUNS 한국항공대학교 I.D.T 부경대학교 W.A.P 한동대학교 GOHST 부산카톨릭대학교 NETF 한라대학교 N.V.N 서울대학교 Guardian 한서대학교 H.I.S.L 서울여자대학교 SWING 한세대학교 AnD 세명대학교 SM-NSP 호남대학교 AntiHackAl 세종대학교 S.S.G 호남대학교 AHA 수원대학교 FLAG 호서대학교 KOINS 숙명여자대학교 SiSS 호원대학교 M.M.S 순천향대학교 Hedgehog, Security First 홍익대학교 HUST 숭실대학교 ACK 카톨릭대학교광주대학교 경북대학교 경북대학교 경희대학교 경희대학교 고려대학교 대구카톨릭대학교 동덕여자대학교 서울여자대학교 수원대학교 PADOCON 숭실대학교 U3CERTS 순천향대학교 ( 대학연합해킹 / 연세대학교 ( 전국대학 CERT 연합 ) 우송대학교 보안컨퍼런스 ) 영남대학교 충남대학교 인제대학교 포항공과대학교 전남대학교 한국과학기술원 조선대학교 한신대학교 창원대학교 한동대학교 제 3 편국가정보보호기반조성현황 제3장정보보호교육및인력분야 263

제 3 편 제 3 장정보보호교육및인력분야 [ 표 3-3-3-2] 의아랫단에열거한것처럼 U3CERTS와 PADOCON은대표적인동아리연합이다. U3CERTS는대학 CERT간연합체이며 PADOCON은해킹 / 보안컨퍼런스를통해각대학의동아리간협력을지향한다. PADOCON은매년 2월말산학연이함께참여하는 파도콘컨퍼런스 를개최하고있으며정기적으로안철수연구소와공동으로보안세미나를개최하고있다. 또한해킹동아리 와우해커 는 코리아해킹챌린지 2007 을개최했고순천향대정보보호동아리는 국방정보보호 제 3 편국가정보보호기반조성현황 컨퍼런스 에참가하여 RFID 해킹기술시연회를열었다. 한국정보보호진흥원에서는 2006년부터매년대학정보보호동아리지원사업을통해연구활동, 기술교류를위한세미나개최, 동아리간의자료공유등을지원하고있다. 영남대학교전자정보공학부동아리 엑스퍼트 는최근한국정보보호진흥원이 2007 대학정보보호동아리지원사업 을평가한결과정보보호분야에서가장우수한대학동아리로선정되었다. 3. 정보보호관련자격증 정보보호분야의중요성이증가하고관련인력의수요가늘어나면서최근정보보호관련자격증에대한관심이커지고있다. [ 표 3-3-3-3] 은국내외정보보호관련자격증이다. [ 표 3-3-3-3] 정보보호관련자격증현황 명칭구분주관기관 국가공인정보보호전문가 (SIS) 1 급, 2 급한국정보보호진흥원 국내 인터넷보안전문가 1 급, 2 급한국정보통신자격협회 정보보안관리사 (ISM) 1 급, 2 급정보통신컴퓨터자격관리협회 국외 정보시스템감리사국외국제공인정보시스템감사사 (CISA) 국제공인정보시스템관리자 (CISM) 국제공인정보시스템보안전문가 (CISSP) 한국정보사회진흥원 ISACA ISC2 264 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 가. 국내정보보호관련자격증현황 정보보호전문가 (SIS, Specialist for Information Security) 와정보시스템감리사는국내에서시행하는정보보호분야의대표적인자격증들이며국가공인을획득했다. 한편공인정보시스템감리사 (CISA, Certified Information Systems Auditor) 와공인정보시스템보안전문가 (CISSP, Certified Information Systems Security Professional) 는대표적인국외자격증들이다. 정보보호전문가자격제도는한국정보보호진흥원이주관하는국내의대표적인정보보호분야국가공인자격프로그램이다. 1급과 2급으로나누어자격증을부여하는데, 2급에이어 1급도 2005년 7월국가공인을획득하였다. 1급의경우정보보호와관련된보안정책의수립, 위험분석및대책수립, 정보보호지침서개발, 관련법규검토와국제적표준안에대한지식및적용, 보안감리및평가등을검정하고 2급은시스템, 네트워크, 인터넷등의활용기술을갖추고보안정책의구현, 보안시스템의운영및모니터링, 정보보호교육및훈련등의업무를담당할수있도록정보보호에대한실무적인이해능력을검정한다. 1, 2급자격을획득하기위해서는시스템보안, 네트워크보안, 어플리케이션보안, 정보보호론등 4개과목으로구성된 1차필기시험과정보보호관련단답형문제, 서술형문제, 실무형문제로구성된 2차실기시험을거쳐야한다. [ 표 3-3-3-4] 를보면, 1급과 2급을모두포함하여총 3,147명이정보보호전문가자격시험에응시해서 9% 에해당하는 285명이자격을취득한것을볼수있다. 제 3 편국가정보보호기반조성현황 연도 [ 표 3-3-3-4] 정보보호전문가자격시험응시자및합격자현황 ( 단위 : 명 ) 1급 2급합계응시자합격자응시자합격자응시자합격자 2002 48 4 677 32 725 36 2003 74 11 172 17 246 28 2004 98 6 266 53 364 59 2005 289 38 294 41 583 79 2006 220 33 280 12 500 45 2007 376 27 353 11 729 38 합계 1,105 119 2,042 166 3,147 285 제3장정보보호교육및인력분야 265

제 3 편 제 3 장정보보호교육및인력분야 제 3 편국가정보보호기반조성현황 정보시스템감리사는정보통신감리분야의국가공인자격증으로서정보시스템감리를수행할전문인력을확보하기위한목적으로한국정보사회진흥원이매년 1회자격시험을실시하고있다. 자격을부여하기위한조건으로정보시스템감리를위하여필요한보안지식도요구한다는점에서정보보호관련자격프로그램의하나로분류하였다. 시험과정을보면, 기술사나기사취득후 7년이상의실무경력, 석사취득후 6년이상의실무경력을갖춘고급기술자를대상으로프로젝트관리, 데이터베이스, 소프트웨어공학, 시스템구조및보안등 4개과목으로구성된 1차필기시험을통해합격자를선정한후, 2주간의이론교육과 1주간의감리실무교육을실시하고정보시스템감리관련전문가로구성된평가위원회의심사를거쳐야한다. [ 표 3-3-3-5] 는최근 3년동안의정보시스템감리사에대한응시자와합격자통계를보여준다. [ 표 3-3-3-5] 정보시스템감리사자격시험응시자및합격자현황 연도 응시자 ( 명 ) 합격자 ( 합격률 ) 2004 280 40(14.3%) 2005 323 40(12.4%) 2006 615 75(12.2%) 2007 815 80(9.8%) 합계 2,033 235(11.6%) 정보보호전문가와정보시스템감리사외에도앞의표에서기술된것처럼인터넷보안전문가와정보보안관리사자격증이있으며, 각각한국정보통신자격협회와정보통신컴퓨터자격관리협회에서시행하고있다. 인터넷보안전문가자격시험은 1급과 2급으로구분하여보안설정, 보안분석, 해킹방지, 서버복구등을통해서버를보호하고서버에대한해킹에효과적으로대처하기위한인터넷보안관련기술력을검정하며, 정보보호개론, 운영체제, 네트워크, 보안등으로구성된필기시험과시스템보안관리, 침해분석, 방화벽구축, 침해사례분석등의실기시험으로구성된다. 한편정보보안관리사는통신망에서발생되는각종정보누출, 도청, 정보변조등의공격과시스템에서발생되는해킹, 바이러스등의다양한침해에대비하여인터넷과전자상거래에서개인정보나거래정보에대한안전하고신뢰성있는전달을담보하기위한능력을검정한다. 266 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 나. 국외정보보호관련자격증현황 공인정보시스템감리사 (CISA) 와공인정보시스템보안전문가 (CISSP) 는 [ 표 3-3-3-3] 에서보는바와같이대표적인국외자격증에해당된다. CISA 자격은 1969년부터국제정보시스템감사통제협회 (ISACA : Information Systems Audit and Control Association) 에의하여관리되고있으며, 현재전세계적으로약 50,000명이상이자격을취득하였다. 또한국제공인정보시스템관리자 (CISM, Certified Information Security Manager) 도 ISACA에의하여실시되는자격증으로고급정보보호관리자를양성할목적으로 2002년이후약 7,000명의자격자를배출하였다. 특히 CISA는영어외에도한국어등 10개국어를포함하여 11개언어로시험을실시하고있는데, 2005년 ISO/IEC 17024에따라 ANSI(American National Standards Institute) 의인증을받았다. 또한매년 6월에한차례만시험을실시하던것을바꿔서 2005년부터는 2회로늘려 6월과 12월에시험이실시되고있다. CISA 자격증시험은정보자산보호 (Protection of Information Assets), 시스템및인프라수명주기관리 (System and Infrastructure Lifecycle Management) 등 6개영역에걸쳐출제되며 4시간동안 4지선다형의 200문제를풀고 450점이상을획득하면합격할수있다. 한편 CISM은최소 5년간정보보호분야의근무경력과최소 3년간정보보호관리업무를담당했던경험이있는사람을대상으로정보보호관리 (Information Security Management), 위험관리 (Risk Management) 등 5개영역에걸쳐서평가한다. 2007년말현재 ISACA에서파악하고있는국내 CISA 자격소지자와 CISM 자격소지자는각 2,536명과 48명인데, 이는국적등에관한정보공개에동의하지않은사람을제외한숫자이며실제국내에서 CISA 자격증이나 CISM 자격증을소지한사람은그이상일것으로추정된다. 2007년국내에서실시된 CISA 자격시험에는약 3,000여명이응시해서 607명이합격하였고, CISM 자격시험에는 24명이응시해서 5명이합격하였다. 1) 국내의 CISA와 CISM 자격시험은한국정보시스템감사통제협회 (http://isaca.or.kr) 에의하여주관되고있다. CISSP은 (ISC)2(International Information Systems Security Certification Consortium, Inc.) 에서시행하는자격증으로 CISA와마찬가지로 ISO 17024에의한인증을받았다. 전세계적으로 4만여명의자격자를배출하였고, 한국에는 1,200여명의자격자가활동하고있다. (ISC)2는 제 3 편국가정보보호기반조성현황 1) 자료작성시점에 12 월합격자발표가끝나지않아서 12 월합격자수는포함되지않음 제3장정보보호교육및인력분야 267

제 3 편 제 3 장정보보호교육및인력분야 제 3 편국가정보보호기반조성현황 CISSP 외에도시스템보안공인전문가 (SSCP, Systems Security Certified Practitioner) 자격증, 정보시스템보안구조전문가 (ISSAP, Information Systems Security Architecture Professional) 자격증, 정보시스템보안공학전문가 (ISSEP, Information Systems Security Engineering Professional) 자격증, 정보시스템보호관리전문가 (ISSMP, Information Systems Security Management Professional) 자격증도운영하고있으며수시로시험을실시한다. CISSP 자격증시험은접근제어시스템및방법론 (Access Control Systems and Methodology), 보안구조및모델 (Security Architecture and Models), 암호학 (Cryptography) 등 10개영역 (domain) 에걸쳐서평가하며, 시험대상 10개영역에서 4년이상의근무경력을만족한경우에만응시할수있다. 단, 학사와석사학위에대하여특정조건을만족할경우 3년의근무경력으로도응시할수있으며, 경력조건을만족하지못하는경우에도합격후에충족시키면정식으로자격증을받을수있다. 2000년부터국내에서도매년 3월, 6월, 9월, 12월에동국대학교에서실시되고있으며, 한국어로응시할수있다. 2006년 7월에 CISSP 한국협회 (CISSP Korea Chapter) (http://cisspkorea.or.kr) 가창립되어운영되고있어서이곳을통하여보다자세한사항을안내받을수있다. 268 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 제 4 절정보보호인력분석 2) 1. 직종및수준별정보보호인력현황 정보보호기업에종사하는전체인력은 2007년에총 4,874명으로집계되었고이는 2006년총 4,627명에비해 5.3% 인 247명이증가한것이다. 정보보호인력을직종별로세분화하여살펴보면, 첫째, 정보보호연구및개발직 에종사하는인력은 2006년 1,966명에서 7.2% 인 141명이증가하여 2007년 2,107명으로전체중 43.2% 를차지하고있다. 둘째, 정보보호관리직 의인력은 2006년 1,628명에서 2.6% 인 43명이증가하여 2007년 1,671명으로기술및연구직종인력전체중 34.3% 를차지하고있다. 셋째, 정보보호영업직 의인력은 2006년 683명에서 12.4% 인 85명이증가하여 2007년에 768명으로조사되었고기술및연구직종인력전체중 15.8% 를차지하고있는것으로나타났다. 넷째, 기타정보보호관련직 의인력은 2006년 350명에서 6.3% 인 22명이감소하여 2007년에는 328명으로기술및연구직종인력전체중 6.7% 를차지하고있는것으로나타났다. 정보보호인력을수준별 3) 로세분화하여살펴보면, 특급 인력은 2006년에 672명에서 4.9% 인 33명이증가하여 2007년에는 705명으로전체등급중 14.5% 를차지하고있는것으로나타났다. 고급 인력은 2006년 883명에서 4.8% 인 42명이증가하여 2007년에는 925명으로전체등급중 19.0% 를차지하고있으며, 중급 인력은 2006년에 1,617명에서 5.1% 인 83명이증가하여 2007년에 1,700명으로전체등급중 34.9% 를차지하고있는것으로조사되었다. 초급 인력은 2006년에 1,455명에서 6.1% 인 89명이증가하여 2007년에 1,544명으로전체등급중 31.7% 를차지하는것으로집계되었다. 제 3 편국가정보보호기반조성현황 2) 통계자료출처 : 2007 국내정보보호산업통계조사, KISA 2007 3) 본책자에서사용하고있는인력수준기준은아래표에서구분하고있는엔지니어링사업대가의기준 ( 과학기술부공고제2007-172호 (2007.10.4) 개정공고 ) 에서명시하고있는 기술자의등급및자격기준 을사용하였다. 제3장정보보호교육및인력분야 269

제 3 편 제 3 장정보보호교육및인력분야 [ 표 3-3-4-1] 2007 년사이버테러대응교육현황 기술구분기술자격및경험기준학력및경험기준 특급기술자 기사자격을가진자로서 10 년이상해당기술분야의업무를수행한자 산업기사자격을가진자로서 13 년이상해당기술분야의업무를수행한자 박사학위를가진자로서 3 년이상해당기술분야의업무를수행한자 석사학위를가진자로서 9 년이상해당기술분야의업무를수행한자 학사학위를가진자로서 12 년이상해당기술분야의업무를수행한자 전문대학을졸업한자로서 15 년이상해당기술분야의업무를수행한자 제 3 편국가정보보호기반조성현황 고급기술자 중급기술자 기사자격을가진자로서 7 년이상해당기술분야의업무를수행한자 산업기사자격을가진자로서 10 년이상해당기술분야의업무를수행한자 - 박사학위를가진자 기사자격을가진자로서 4 년이상해당기술분야의업무를수행한자 산업기사자격을가진자로서 7 년이상해당기술분야의업무를수행한자 - 석사학위를가진자로서 3 년이상해당기술분야의업무를수행한자 석사학위를가진자로서 6 년이상해당기술분야의업무를수행한자 학사학위를가진자로서 9 년이상해당기술분야의업무를수행한자 전문대학을졸업한자로서 12 년이상해당기술분야의업무를수행한자 고등학교를졸업한자로서 15 년이상해당기술분야의업무를수행한자 학사학위를가진자로서 6 년이상해당기술분야의업무를수행한자 전문대학을졸업한자로서 9 년이상해당기술분야의업무를수행한자 고등학교를졸업한자로서 12 년이상해당기술분야의업무를수행한자 초급기술자 기사자격을가진자 산업기사자격을가진자 - 석사학위를가진자 기사자격을가진자 산업기사자격을가진자 - 석사학위를가진자 학사학위를가진자 전문대학을졸업한자 고등학교를졸업한자로서 3 년이상해당기술분야의업무를수행한자 270 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 구분 정보보호연구및개발직 정보보호관리직 인원수 증감율 인원수 증감율 [ 표 3-3-4-2] 직종및수준별정보보호인력현황 ( 단위 : 명 ) 특급고급중급초급합계 2007년 2006 2007 2006 2007 2006 2007 2006 2007 2006 2007 비중 (%) 225 237 402 408 712 771 627 691 1,966 2,107 43.2 5.3% 1.5% 8.3% 10.2% 7.2% 252 255 271 281 569 569 536 566 1,628 1,671 34.3 1.2% 3.7% 0 5.6% 2.6% 정보보호영업직 인원수 증감율 기타인원수정보보호관련직증감율 합계 인원수 증감율 2007 년비중 138 171 161 188 234 251 150 158 683 768 15.8 23.9% 16.8% 7.3% 5.3% 12.4% 57 42 49 48 102 109 142 129 350 328 6.7-26.3% -2.0% 6.9% -9.1% -6.3% 672 705 883 925 1,617 1,700 1,455 1,544 4,627 4,874 100.0 4.9% 4.8% 5.1% 6.1% 5.3% 14.5% 19.0% 34.9% 31.7% 100.0% - 제 3 편국가정보보호기반조성현황 명 1,800 1,600 1,400 1,617 1,700 1,455 1,544 1,200 1,000 800 672 705 883 925 600 400 200 0 2006 년 2007 년 2006 년 2007 년 2006 년 2007 년 2006 년 2007 년 특급고급중급초급 [ 그림 3-3-4-1] 수준별정보보호인력현황 제3장정보보호교육및인력분야 271

제 3 편 제 3 장정보보호교육및인력분야 6.7% 15.8% 43.2% 제 3 편국가정보보호기반조성현황 정보보호연구및개발직 34.3% 정보보호관리직정보보호영업직기타 [ 그림 3-3-4-2] 직종별정보보호인력현황 가. 정보보호연구및개발직의인력현황 정보보호연구및개발직에종사하는인력은 2007년총 2,107명으로, 이인력들을분야별로세분화하여살펴보면, 암호인증기술 분야에종사하는인력은 2006년 696명에서 1.6% 인 11명이증가하여 2007년 707명으로정보보호연구및개발직의 33.5% 를차지하고있는것으로나타났다. 시스템네트워크 분야에종사하는인력은 2006년 861명에서 9.9% 인 85명이증가하여 2007년 946명이며, 응용기술서비스 분야에종사하는인력은 2006년에 409명에서 11.0% 인 45명이증가하여 2007년에 454명으로분석되었다. 정보보호연구및개발직의인력을수준별로살펴보면, 특급 인력은 2006년 225명에서 5.3% 인 12명이증가하여 2007년 237명, 고급 인력은 2006년 402명에서 1.5% 인 6명이증가하여 2007년 408명, 중급 인력은 2006년 712명에서 8.3% 인 59명이증가하여 2007년 771명, 초급 인력은 2006년 627명에서 10.2% 인 64명이증가하여 2007년 691명으로집계되었다. 272 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 구분 암호 인원수 인증기술 증감율 [ 표 3-3-4-3] 정보보호연구및개발직의인력현황 특급고급중급초급합계 2007년 2006 2007 2006 2007 2006 2007 2006 2007 2006 2007 비중 (%) 82 85 138 139 240 257 236 226 696 707 3.7% 0.7% 7.1% -4.2% 1.6% ( 단위 : 명 ) 33.5 시스템 인원수 네트워크 증감율 129 137 207 210 302 320 223 279 861 946 6.2% 1.5% 6.0% 25.1% 9.9% 44.9 명 900 800 700 600 500 400 300 200 100 - 응용기술서비스 합계 인원수 증감율 인원수 증감율 2007년비중 225 14 15 57 59 170 194 168 186 409 454 7.1% 3.5% 14.1% 10.7% 11.0% 237 402 408 2006 년 2007 년 2006 년 2007 년 2006 년 2007 년 2006 년 2007 년 712 771 627 21.6 225 237 402 408 712 771 627 691 1,966 2,107 100.0 5.3% 15% 8.3% 10.2% 7.2% 11.2% 19.4% 36.6% 32.8% 100.0% - 691 제 3 편국가정보보호기반조성현황 특급고급중급초급 [ 그림 3-3-4-3] 정보보호연구및개발직의인력현황 나. 정보보호관리직의인력현황 정보보호관리직의인력현황을살펴보면, 정보시스템관리 분야의인력은 2006년 979명에서 0.5% 인 5명이감소하여 2007년에는 974명이고 정보보호컨설팅 분야의인력은 2006년 649명에서 7.4% 인 48명이증가하여 697명으로기록되고있는것으로조사되었다. 제3장정보보호교육및인력분야 273

제 3 편 제 3 장정보보호교육및인력분야 정보보호관리직의기술수준별현황을살펴보면, 특급 인력은 2006년 252명에서 1.2% 인 3명이증가하여 2007년 255명, 고급 인력은 2006년 271명에서 3.7% 인 10명이증가하여 2007년 281명, 중급 인력은 2006년과 2007년에증감인원없이 569명, 초급 인력은 2006년 536명에서 5.6% 인 30명이증가하여 2007년 566명으로집계되었다. 제 3 편국가정보보호기반조성현황 구분 정보시스템관리 정보보호컨설팅 합계 인원수 증감율 인원수 증감율 인원수 증감율 2007년비중 [ 표 3-3-4-4] 정보보호관리직의인력현황 ( 단위 : 명 ) 특급고급중급초급합계 2007년 2006 2007 2006 2007 2006 2007 2006 2007 2006 2007 비중 (%) 170 161 162 134 346 338 301 341 979 974 58.3-5.3% -17.3% -2.3% 13.3% -0.5% 82 94 109 147 223 231 235 225 649 697 41.7 14.6% 34.9% 3.6% -4.3% 7.4% 252 255 271 281 569 569 536 566 1,628 1,671 100.0 1.2% 3.7% 0 5.6% 2.6% - 15.3% 16.8% 34.1% 33.9% 100.0% 명 600 569 569 536 566 500 400 300 200 100-252 255 271 281 2006 년 2007 년 2006 년 2007 년 2006 년 2007 년 2006 년 2007 년 특급고급중급초급 [ 그림 3-3-4-4] 정보보호관리직의수준별인력현황 274 2008 국가정보보호백서

제 3 장정보보호교육및인력분야 제 3 편 다. 정보보호영업직의인력현황 정보보호영업직에종사하는인력은 2006년 683명에서 12.4% 인 85명이증가하여 2007년 768명으로분석되었다. 수준별로 특급 인력은 2006년 138명에서 23.9% 인 33명이증가해 2007년에는 171명으로집계되었다. 2007년정보보호영업직의인력비중은 특급 인력 22.3%, 고급 인력 24.5%, 중급 인력 32.7%, 초급 인력 20.6% 를각각차지하는것으로고른분포를보이고있다. 영업직 구분 인원수 증감율 2007년비중 [ 표 3-3-4-5] 정보보호영업직의수준별인력현황 ( 단위 : 명 ) 특급고급중급초급합계 2006 2007 2006 2007 2006 2007 2006 2007 2006 2007 138 171 161 188 234 251 150 158 683 768 23.9% 16.8% 7.3% 5.3% 12.4% 22.3% 24.5% 32.7% 20.6% 100.0% 제 3 편국가정보보호기반조성현황 명 300 250 200 150 138 171 161 188 234 251 150 158 100 50 0 2006 년 2007 년 2006 년 2007 년 2006 년 2007 년 2006 년 2007 년 특급고급중급초급 [ 그림 3-3-4-5] 정보보호영업직의수준별인력현황 라. 기타정보보호관련직의인력현황 기타정보보호관련직의인력현황을조사한결과, 정보시스템감리및인증 분야의인력은 2006년 87명에서 9.2% 인 8명이증가하여 2007년 95명, 정보보호교육 분야의인력은 제3장정보보호교육및인력분야 275

제 3 편 제 3 장정보보호교육및인력분야 2006년 17명에서 52.9% 인 9명이증가하여 2007년 26명, 기타 분야의인력은 2006년 246명에서 15.8% 인 39명이감소하여 2007년 207명으로나타났다. 기술수준에따른인력분포를살펴보면, 특급 인력은 2006년 57명에서 26.3% 인 15명이감소하여 2007년에 42명, 고급 인력은 2006년 49명에서 2.0% 인 1명이감소하여 2007년 48명, 중급 인력은 2006년 102명에서 6.9% 인 7명이증가하여 109명, 초급 인력은 2006년 142명에서 9.1% 인 13명이감소하여 2007년 129명으로조사되었다. 제 3 편국가정보보호기반조성현황 구분 암호 인원수 인증기술 증감율 시스템네트워크 응용기술서비스 인원수 증감율 인원수 증감율 [ 표 3-3-4-6] 기타정보보호관련직의수준별인력현황 특급고급중급초급합계 2007년 2006 2007 2006 2007 2006 2007 2006 2007 2006 2007 비중 (%) 29 21 9 11 18 31 31 32 87 95-27.6 22.2 72.2 3.2 9.2 3 6 9 8 5 9 0 3 17 26 100.0-11.1 80.0-52.9 25 15 31 29 79 69 111 94 246 207-40.0-6.4-12.7-15.3-5.8 ( 단위 : 명 ) 29.0 7.9 63.1 인원수 57 42 49 48 102 109 142 129 350 328 100.0 합계 증감율 2007년비중 -26.3-2.0 6.9-9.1-6.3 12.8 14.6 33.2 39.3 100.0 - 명 160 140 142 129 120 102 109 100 80 60 57 42 49 48 40 40-2006 년 2007 년 2006 년 2007 년 2006 년 2007 년 2006 년 2007 년 특급고급중급초급 [ 그림 3-3-4-6] 기타정보보호관련직의수준별인력현황 276 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 제 4 장 정보보호산업분야 2007년도국내정보보호시장은여느해와는달리커다란사고없이지나간한해였지만 2006년보다웜이나스팸및보이스피싱등이증가했고금전적인목적으로개인정보를악용하는사례가많았던한해였다. 개인정보보호와사내업무관련기밀보호에따른사회적관심의증대로웹방화벽이나 PC 보안등이관심을많이받았으며, 전체적으로 2006년도보다약간시장이확대되는모습을보였다. 본장에서는 2007년도국내정보보호산업의전반적인현황과세부분야별구체적인매출현황및수출입현황등에대해살펴본다. 우선제1절에서정보보호산업의정의및범위를통해국내에서정보보호관련산업분류를어떻게하고있는지살펴보고, 제2절에서는시스템및네트워크정보보호제품과정보보호서비스부분에대한구체적인매출현황과향후전망을살펴본다. 제3절에서는분야별정보보호제품에대한수출및수입현황을살펴보고향후시장에대해전망한다. 끝으로제4절에서는국내정보보호기업들의기술개발현황과지적재산권보유현황등에대해서살펴보고자한다. 제 3 편국가정보보호기반조성현황 제 1 절정보보호산업의정의및범위 안전한유비쿼터스 IT사회를실현하는데가장중요한분야인정보보호는짧은역사를가지고있음에도불구하고다른 IT산업분야와마찬가지로기술의발달과시장의수요등에따라급변하고있다. 현재국내에서는정부나공공기관, 학계그리고업계에서공통으로활용하는정보보호산업에대한분류는이루어지고있지않으나, 2004년 1월 정보통신망이용촉진및정보보호등에관한법률 이개정되면서정보보호산업에대한정의가신설되었는데동법제2조에서는정보보호산업에대해 정보보호제품을개발 생산또는유통하거나, 정보보호에관한컨설팅등과관련된산업 으로정의하고있다. 기존에한국정보보호산업협회에서는 IDC(Internatioanl Data Center) 가분류한정보보호하드웨어, 정보보호소프트웨어및정보보호서비스의 3대분류를해왔으나, 현재정보보호 제4장정보보호산업분야 277

제 3 편 제 4 장정보보호산업분야 제 3 편국가정보보호기반조성현황 산업의특성상제품과서비스의통합및융합화가매우빠르게진행되고있어과거의 3대분류는시장의상황을반영하기에부족하다는점들이지적되어왔다. 따라서협회에서는관련기관및정보보호관련다양한분야의전문가들의견을수렴해시스템및네트워크정보보호제품과정보보호서비스등 2대분류를취해국내정보보호산업을분류해활용하고있다. 이하에서는이러한분류기준에근거해 2007년국내정보보호산업의전반적인현황과향후전망등을살펴보고자한다. 시장상황과기술개발등을고려해 2007년에새롭게분류한정보보호제품및서비스분류는 [ 표 3-4-1-1] 과같다. 시스템및네트워크정보보호제품은침입차단 ( 방화벽 ) 시스템, 침입방지시스템 (IPS), 통합보안시스템 (UTM) 및안티바이러스 (Anti Virus), 안티스팸 (Anti Spam), PC 보안등전체적으로 15개의소분류와 35개의세부항목으로분류하고있고정보보호서비스는유지보수, 보안컨설팅등 5개의소분류와 8개의세부항목으로분류한다. [ 표 3-4-1-1] 정보보호제품및서비스분류표 대분류소분류세부항목 침입차단 ( 방화벽 ) 시스템 1. 웹방화벽 2. 네트워크방화벽 3. 시스템방화벽 4. PC 방화벽 시스템및네트워크정보보호제품 침입방지시스템 (IPS) 통합보안시스템 (UTM) 보안관리가상사설망 (VPN) 인증제품안티바이러스 (Anti Virus) 안티스팸 (Anti Spam) 보안운영체제 (Secure OS) PC보안 1. 침입방지시스템 (IPS) 1. 통합보안시스템 (UTM) 1. 기업보안관리 (ESM) 2. 위협관리시스템 (TMS) 3. 패치관리시스템 (PMS) 4. 로그관리 / 분석틀 5. 취약점분석툴 1. 가상사설망 (VPN) 1. 보안스마트카드 2. H/W 토큰 3. 일회용비밀번호 (OTP) 1. Virus 백신 2. Anti 스파이웨어 1. 스팸차단 S/W 1. 보안운영체제 (Secure OS) 1. PC 보안 278 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 대분류소분류세부항목 DB/ 콘텐츠보안 1. DB 보안 2. DB 암호 3. 디지털저작권관리 (DRM) 공개키기반구조 (PKI) 1. 공개키기반구조 (PKI) 정보보호서비스 접근관리바이오인식제품기타제품유지보수보안컨설팅보안관제 1. 네트워크접근제어 (NAC) 2. 통합접근관리 (EAM) 3. 싱글사인온 (SSO) 4. 통합계정관리 (IM/IAM) 1. 지문인식 2. 정맥 ( 혈관 ) 인식 3. 얼굴 ( 화상 ) 인식 4. 다중인식 5. 기타 ( 홍채, 음성, 서명등 ) 1. 무선 / 모바일보안 2. 기타 1. 판매후유료서비스 1. 인증 (ISO, ISMS) 2. 안전진단 3. 기반보호 1. 보안관제서비스 제 3 편국가정보보호기반조성현황 인증서비스 1. 공인 / 사설인증서비스 기타서비스 1. 교육훈련서비스 2. 기타 제4장정보보호산업분야 279

제 3 편 제 4 장정보보호산업분야 제 2 절정보보호산업현황 제 3 편국가정보보호기반조성현황 앞서지적한대로현재정보보호산업계및학계, 연구계등에서공통으로사용하고있는정보보호산업분류체계는존재하지않는다. 이런상황에서한국정보보호진흥원과한국정보보호산업협회는공동으로 2001년부터국내정보보호산업체를대상으로관련통계를일관되게수집 분석해오고있다. 본절에서는향후 2012년까지각분야별매출등전망치를제시하고있는데이는과거수년간의누적데이터를기반으로통계적인시계열분석기법을적용해예측한것이다. 아래에서는 2007년 11월에실시한국내정보보호시장및동향조사에근거해국내정보보호기업들의일반현황에대해살펴본다. 1. 정보보호기업일반현황국내정보보호기업들은 [ 표 3-4-2-1] 에서보는것처럼 80.0% 가넘는 124개기업이서울에소재하고있으며, 다음이대전으로 10개사 (6.5%) 그리고경기와충북에각각 6개사 (3.9%) 와 5개사 (3.2%) 가소재하고있는것으로나타났다. [ 표 3-4-2-1] 정보보호기업의지역별분포 지역 기업수 비율 (%) 서울 124 80.0 대전 10 6.5 경기 6 3.9 충북 5 3.2 대구 4 2.6 전남 2 1.3 충남 1 0.6 인천 1 0.6 광주 1 0.6 부산 1 0.6 합계 155 100.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 280 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 이들기업중 13개사 (8.4%) 만이코스닥에상장된상태였으며, 약 92% 인 142개사는비상장으로조사되었다. 또한비상장기업들의평균자본금은 14억원으로나타난반면코스닥상장기업들의평균자본금은 88억원으로나타나코스닥상장을통해기업을공개한정보보호기업들의평균자본금이훨씬높은것으로나타났다. [ 표 3-4-2-2] 정보보호기업의상장유무별분포및자본금현황 구분 평균자본금 ( 백만원 ) 기업수 비율 (%) 비상장 1,425 142 91.6 코스닥상장 8,829 13 8.4 합계 - 155 100.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 국내정보보호기업들의종업원규모별현황은 30명이하인기업이 86개사로전체의 55.5% 를차지했으며, 다음이 51~99명이하인기업은 30개사 19.4%, 31~50명인기업은 24개사로 15.5% 를차지했다. 또한종업원 100명이상인기업은 15개사로전체 9.6% 로나타났다. 이들기업의평균자본금은 100명이상인기업이가장높게나타났다. 제 3 편국가정보보호기반조성현황 [ 표 3-4-2-3] 정보보호기업의종업원규모별분포 구분 기업수 비율 (%) 누적비율 (%) 평균자본금 ( 백만원 ) 30명이하 86 55.5 55.5 592 31~50명이하 24 15.5 71.0 3,094 51~99명이하 30 19.4 90.4 2,705 100명이상 15 9.6 100.0 7,384 합계 155 100.0 100.0 - * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 국내정보보호기업들의자본금규모별현황은 [ 표 3-4-2-4] 에서보는것처럼 10억원미만인기업이 94개사로전체의 60.6% 를차지했으며, 10~30억원미만인기업은 39개사로 25.2% 로나타났다. 자본금이 100억원이상인기업은전체 5개사 (3.2%) 로나타났다. 제4장정보보호산업분야 281

제 3 편 제 4 장정보보호산업분야 [ 표 3-4-2-4] 정보보호기업의자본금규모별분포 구분 기업수 비율 (%) 누적비율 (%) 10억원미만 94 60.6 60.6 10~30억원미만 39 25.2 85.8 30~50억원미만 4 2.6 88.4 50~100억원미만 13 8.4 96.8 100억원이상 5 3.2 100.0 제 3 편국가정보보호기반조성현황 합계 155 100.0 100.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 국내정보보호기업들의설립년도별현황은 1980년대에설립된기업이전체 6개사로 3.9% 에이르렀으며, 본격적인정보보호에대한국가적제도가실질적으로마련되기전인 1996년까지 16개사 (10.3%) 가설립되었다. 이후 1997년 정보통신망이용촉진및정보보호등에관한법률 이전면개정 시행되면서부터 2003년까지 4년간총 91개 (58.7%) 의정보보호기업들이설립되는등절반이상의기업들이이시기에설립되었다. 단위연도별로가장많은기업이설립된해는 2000년으로전체 21.9% 인 34개기업이설립되었다. 2000년이후에도매년 10여개 [ 표 3-4-2-5] 정보보호기업의설립년도별분포 연도 기업수 비율 (%) 누적비율 (%) 1980년대 6 3.9 3.9 1990년-1996년 16 10.3 14.2 1997년 12 7.7 21.9 1998년 8 5.2 27.1 1999년 21 13.5 40.6 2000년 34 21.9 62.6 2001년 18 11.6 74.2 2002년 8 5.2 79.4 2003년 10 6.5 85.8 2004년 7 4.5 90.3 2005년 12 7.7 98.1 2006년 2 1.3 99.4 2007년 1 0.6 100.0 합계 155 100.0 100.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 282 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 내외의정보보호기업들이꾸준히창업하고있으며, 주로정보보호관련법 제도개선이시행된연도에관련기업의설립이활발하게추진되고있는것으로나타났다. 국내정보보호기업들이취급하는품목분류별특성은 [ 표 3-4-2-6] 에서보는바와같은데, 시스템및네트워크정보보호제품중에서는침입차단 ( 방화벽 ) 시스템을취급하는기업이 53개사 (11.7%) 로가장많았으며, 보안관리는 40개사 (8.8%), DB/ 컨텐츠보안은 36개사 (7.9%) 순으로나타났다. 정보보호서비스분야에서는유지보수가 35개사 (7.7%) 로가장많았으며, 보안컨설팅 28개사 (6.2%), 보안관제 11개사 (2.4%) 등으로나타났다. 시스템및네트워크정보보호제품 정보보호서비스 [ 표 3-4-2-6] 정보보호기업의품목분류별특성 구분기업수 ( 중복응답 ) 비율 (%) 침입차단 ( 방화벽 ) 시스템 53 11.7 침입방지시스템 (IPS) 29 6.4 통합보안시스템 (UTM) 14 3.1 보안관리 40 8.8 가상사설망 (VPN) 22 4.8 인증제품 12 2.6 안티바이러스 (Anti Virus) 21 4.6 안티스팸 (Anti Spam) 16 3.5 보안운영체제 (Secure OS) 19 4.2 PC 보안 14 3.1 DB/ 컨텐츠보안 36 7.9 공개키기반구조 (PKI) 13 2.9 접근관리 22 4.8 바이오인식제품 21 4.6 기타제품 31 6.8 소계 363 80.0 정보보호서비스유지보수 35 7.7 보안컨설팅 28 6.2 보안관제 11 2.4 인증서비스 3 0.7 기타서비스 14 3.1 소계 91 20.0 제 3 편국가정보보호기반조성현황 합계 454 100.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 제4장정보보호산업분야 283

제 3 편 제 4 장정보보호산업분야 2. 정보보호시장매출및향후전망 제 3 편국가정보보호기반조성현황 2007년국내정보보호시장은전년대비전체적으로약 5.4% 로성장하는완만한성장세를보였다. 해당분야별선두업체들위주로시장질서가어느정도형성되는분위기를보이면서일부제품군들에서는신생업체들이선전하는모습을보이며새롭게강자로부상하는모습을보였다. 2007년전체국내정보보호산업은 7,432억원에달한가운데시스템및네트워크정보보호제품이 2006년도보다 2.8% 증가한 6,286억원으로나타났으며, 정보보호서비스는 22.3% 증가한 1,145억원에이른것으로나타났다. 전체정보보호시장에서차지하는비중은시스템및네트워크정보보호제품이 84.6%, 정보보호서비스는 15.4% 를차지했으며전체적으로다른분야와마찬가지로서비스의증가율이높게나타났다. [ 표 3-4-2-7] 정보보호산업의품목대분류별총매출현황 ( 단위 : 백만원 ) 구분 2006년 2007년증감률 (%) 매출비중 (%) 시스템및네트워크정보보호제품 611,606 628,605 2.8 84.6 정보보호서비스 93,641 114,549 22.3 15.4 합계 705,247 743,154 5.4 100.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 전체적으로국내정보보호산업은완만한성장을보이는가운데 2011년에약 1조원의시장규모에이를것으로전망된다. 2007년도 7,432억원이었던국내시장은 2009년에약 9천억원에이르고, 2012년에는약 1조 1천억원에이르는등 2012년까지연평균 7.4% 로성장할것으로전망되는가운데시스템및네트워크정보보호제품은같은기간연평균 6.9% 로성장하고정보보호서비스는 10.5% 성장해서비스분야의성장이조금높게나타날것으로보인다. 284 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 [ 표 3-4-2-8] 정보보호산업의품목대분류별매출액전망 ( 단위 : 백만원 ) 구분 시스템및네트워크정보보호제품 정보보호서비스 합계 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 CAGR1) (%) 611,606 628,605 698,551 752,280 806,008 859,737 913,465 6.9 93,641 114,549 125,918 137,021 148,125 159,228 170,332 10.5 705,247 743,154 824,469 889,301 954,133 1,018,965 1,083,797 7.4 주 1) CAGR( 연평균성장률, Compound Annual Growth Rate) 은수년간의성장률을평균으로환산한것으로 첫회부터매년일정한 ( 평균적인 ) 성장률을지속한다고환산할때의성장률 을의미한다. 매년의성장률을산술평균이아닌기하평균으로계산했는데이는해당지표의증감추이를보다정확하게표현하기위해서이다. 가. 시스템및네트워크정보보호제품 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 시스템및네트워크정보보호제품의전체적인연평균성장률 (CAGR) 은 2012년까지약 6.9% 에달할것으로예측되는가운데통합보안시스템 (UTM) 이가장높게성장할것으로전망되었다. 개별적인보안제품군에서방화벽, 안티바이러스 (Anti Virus), 콘텐츠필터링, 스팸필터등이하나의통합패키지로제공되는통합보안시스템은 2008년도에약 354억원으로시장이확대되고 2012년에는약 513억원 (9.4%) 으로크게증가할것으로전망되었다. 다음은바이오인식제품군으로 2012년에는약 967억원에이르러연평균 9.3% 로성장할것으로예상되는등전통적인보안제품군형태의성장이꾸준하게증가할것으로전망되었다. 제 3 편국가정보보호기반조성현황 제4장정보보호산업분야 285

제 3 편 제 4 장정보보호산업분야 [ 표 3-4-2-9] 시스템및네트워크정보보호제품의매출전망 ( 단위 : 백만원 ) 구분 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 CAGR (%) 침입차단 ( 방화벽 ) 시스템침입방지시스템 (IPS) 통합보안시스템 (UTM) 69,18 570,538 77,751 83,461 89,171 94,881 100,591 6.4 72,830 73,767 83,966 91,850 99,733 107,617 115,500 8.0 29,950 30,249 35,449 39,423 43,398 47,372 51,347 9.4 제 3 편국가정보보호기반조성현황 보안관리 가상사설망 (VPN) 인증제품 안티바이러스 (Anti Virus) 안티스팸 보안운영체제 65,008 65,226 75,105 82,157 89,210 96,262 103,315 8.0 50,501 50,611 58,402 64,272 70,143 76,013 81,884 8.4 19,647 19,763 22,485 24,524 26,562 28,601 30,639 7.7 72,082 75,122 76,642 78,162 79,682 81,202 82,722 2.3 10,610 11,917 12,571 13,224 13,878 14,531 15,185 6.2 22,121 22,143 26,031 28,953 31,874 34,796 37,717 9.3 PC 보안 35,662 36,574 39,786 42,423 45,060 47,697 50,334 5.9 DB/ 컨텐츠보안 공개키기반구조 (PKI) 접근관리 바이오인식제품 기타제품 57,585 59,315 65,573 70,309 75,045 79,781 84,517 6.6 22,081 22,462 22,653 22,843 23,034 23,224 23,415 1.0 17,296 17,369 19,796 21,418 23,040 24,662 26,284 7.2 56,697 63,169 71,198 77,582 83,966 90,350 96,734 9.3 10,351 10,380 11,146 11,680 12,215 12,749 13,28 44.2 합계 611,606 628,605 698,551 752,280 806,008 859,737 913,465 6.9 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 286 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 (1) 침입차단 ( 방화벽 ) 시스템웹방화벽, 네트워크방화벽및시스템방화벽등이포함된침입차단 ( 방화벽 ) 시스템은 2007년 705억원의시장을형성했고 2012년까지연평균약 6.4% 의꾸준한성장을보여약 1,005억원에이를것으로보인다. 이중최근화두가되고있는웹방화벽의증가율이가장높을것으로예측되는가운데 2012년에는약 552억원의시장규모로성장해 8.8% 증가할것으로전망되었다. 네트워크방화벽도 2012년까지약 6.2% 성장해 198억원의시장을형성할것으로보인다. 구분 웹방화벽 네트워크방화벽 시스템방화벽 [ 표 3-4-2-10] 침입차단 ( 방화벽 ) 시스템의매출전망 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 33,275 36,695 40,485 44,183 47,880 51,578 55,275 8.8 13,901 12,575 14,735 16,024 17,312 18,601 19,889 6.2 10,020 10,321 10,472 10,622 10,773 10,923 11,074 1.7 제 3 편국가정보보호기반조성현황 PC 방화벽 합계 11,989 10,947 12,059 12,633 13,206 13,780 14,353 3.0 69,185 70,538 77,751 83,461 89,171 94,881 100,591 6.4 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (2) 침입방지시스템 (IPS) 침입방지시스템 (IPS) 의연평균성장률은전체시스템및네트워크정보보호제품의평균성장률보다높은 8.0% 에이를것으로전망되는가운데 2008년도 839억원에서 2012년에는약 1,155억원에이를것으로보인다. 침입방지시스템 (IPS) 의경우향후에는성능과기능이업그레이드됨에따라시장수요가지속적으로증가할것으로예상되는데특히트래픽증가와신규웜의증가에따른교체수요등이주요성장요인으로작용할것으로보인다. 제4장정보보호산업분야 287

제 3 편 제 4 장정보보호산업분야 구분 침입방지시스템 (IPS) 2006 년 [ 표 3-4-2-11] 침입방지시스템 (IPS) 의매출전망 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 72,830 73,767 83,966 91,850 99,733 107,617 115,500 8.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 제 3 편국가정보보호기반조성현황 (3) 통합보안시스템 (UTM) 정보보호제품군이단순기능에서여러가지기능이통합되어제공되는추세가증가하면서통합보안시스템 (UTM) 에대한수요도증가하고있는데이제품은 2007년 302억원에서 2008년에는 354억원으로증가한후 2012년까지 9.4% 로꾸준히성장해약 513억원에이를것으로전망된다. 여러보안기능이하나의패키지로통합되어제공되는통합보안시스템 (UTM) 은중소기업이나소규모형태의사업장에적합한형태로제공되고있어향후에도그수요가꾸준히증가할것으로보인다. 구분 통합보안시스템 (UTM) [ 표 3-4-2-12] 통합보안시스템 (UTM) 의매출전망 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 29,950 30,249 35,449 39,423 43,398 47,372 51,347 9.4 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (4) 보안관리기업보안관리 (ESM), 위협관리시스템 (TMS) 및패치관리시스템 (PMS) 등이포함된보안관리의매출도 2012년까지약 8.0% 성장할것으로전망된다. 이중패치관리시스템 (PMS) 은 2012년에는약 196억원으로시장이확대되어연평균 15.8% 의높은증가율을보일것으로예측된다. 기업보안관리 (ESM) 와위협관리시스템 (TMS) 도같은기간약 6.4% 와 7.5% 씩성장해각각 2012년에는 422억원과 216억원의시장규모에이를것으로전망되었다. 288 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 구분 기업보안관리 (ESM) 위협관리시스템 (TMS) 패치관리시스템 (PMS) 로그관리 / 분석툴취약점분석툴 합계 2006 년 [ 표 3-4-2-13] 보안관리의매출전망 ( 단위 : 백만원 ) 2007년 2008년 2009년 2010년 2011년 2012년 CAGR (%) 29,114 30,002 32,841 35,192 37,543 39,894 42,245 6.4 14,008 13,016 15,424 16,982 18,540 20,098 21,656 7.5 8,121 11,410 13,055 14,699 16,344 17,988 19,6331 5.8 10,86 18,056 10,195 11,098 12,001 12,904 13,807 4.1 2,904 2,742 3,591 4,187 4,783 5,379 5,9751 2.8 65,008 65,226 75,105 82,157 89,210 96,262 103,315 8.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (5) 가상사설망 (VPN) 관련시장이점차축소내지정체될것으로예상했던가상사설망 (VPN) 시장은시장의예상과는달리꾸준하게시장수요가발생하고있는것으로나타났다. 가상사설망 (VPN) 의시장은 2008년도에약 584억원으로성장하고 2012년에는 818억원으로성장해평균 8.4% 의성장률을보일것으로전망된다. 제 3 편국가정보보호기반조성현황 구분 가상사설망 (VPN) 2006 년 [ 표 3-4-2-14] 가상사설망 (VPN) 의매출전망 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 50,501 50,611 58,402 64,272 70,143 76,013 81,884 8.4 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (6) 인증제품보안스마트카드와 H/W 토큰, 일회용비밀번호 (OTP) 를포함한인증제품의경우전체적으로 2012년까지약 7.7% 성장할것으로전망된다. 이중보안스마트카드의연평균성장률은약 9.1% 에달해 2012년에는 248억원에이를것으로보인다. 아직시장보급률이낮은일회용비밀번호 (OTP) 의경우예상성장률은 3.1% 로낮은편이나 2008년부터는금융기관의시범 제4장정보보호산업분야 289

제 3 편 제 4 장정보보호산업분야 사용단계를넘어실제보급단계로들어설것으로보여향후매출증가가뚜렷히개선될것으로전망된다. 제 3 편국가정보보호기반조성현황 구분 보안스마트카드 H/W 토큰 일회용비밀번호 (OTP) 합계 2006 년 [ 표 3-4-2-15] 인증제품의매출전망 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 14,731 14,589 17,182 19,092 21,001 22,911 24,820 9.1 824 847 859 870 882 893 905 1.6 4,092 4,327 4,445 4,562 4,680 4,797 4,915 3.1 19,647 19,763 22,486 24,524 26,563 28,601 30,640 7.7 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (7) 안티바이러스 (Anti Virus) 갈수록지능적으로범죄화되어가는보안위협에대응하기위해통합보안서비스형태로발전하고있는안티바이러스 (Anti Virus) 시장은 2012년까지다른보안제품군보다는낮은성장률 (2.3%) 이전망되는가운데 Virus 백신의경우 2007년 629억원에서 2012년에는 688억원으로약 2.2% 연평균성장할것으로보이며, 안티스파이웨어는 2012년까지약 3.2% 성장해 138억원에이를것으로전망된다. 구분바이러스백신안티스파이웨어합계 [ 표 3-4-2-16] 안티바이러스 (Anti Virus) 의매출전망 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 60,556 62,920 64,102 65,284 66,466 67,648 68,830 2.2 11,526 12,202 12,540 12,878 13,216 13,554 13,892 3.2 72,082 75,122 76,642 78,162 79,682 81,202 82,722 2.3 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 290 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 (8) 안티스팸 (Anti Spam) 지속적으로증가하고있는스팸메일로인해회사의대체비용이증가하고있는가운데안티스팸 (Anti Spam) 은 2007년 119억원에이르렀으나 2012년까지약 6.2% 의연평균성장률을보여 151억원에이를것으로보인다. 구분 스팸차단 S/W [ 표 3-4-2-17] 안티스팸 (Anti Spam) 의매출전망 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 10,610 11,917 12,571 13,224 13,878 14,531 15,185 6.2 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (9) 보안운영체제 (Secure OS) 기존의운영체제 (OS) 내에보안기능이추가된형태인보안운영체제 (Secure OS) 의시장은 2012년까지전체적으로약 9.3% 성장할것으로예상되는가운데 2008년도에는 260억원에이르고 2012년에는 377억원에이를것으로전망된다. 제 3 편국가정보보호기반조성현황 구분 보안운영체제 (Secure OS) [ 표 3-4-2-18] 보안운영체제 (Secure OS) 제품의매출전망 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 22,121 22,143 26,031 28,953 31,874 34,796 37,717 9.3 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (10) PC보안시장특성상제품적측면이외에서비스적측면인유지보수와커스터마이징의성격을동시에갖고있는 PC보안시장은 2007년에는약 365억원의시장규모를보였으나꾸준히성장해 2012년에는 503억원에이르러평균 5.9% 성장할것으로전망되는가운데향후보안 USB시장과맞물리면서시장이더욱확대될것으로보인다. 제4장정보보호산업분야 291

제 3 편 제 4 장정보보호산업분야 구분 2006 년 [ 표 3-4-2-19]PC 보안의매출전망 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) PC 보안 35,662 36,574 39,786 42,423 45,060 47,697 50,334 5.9 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 제 3 편국가정보보호기반조성현황 (11) DB/ 콘텐츠보안 DB보안및 DB암호, 디지털저작권관리 (DRM) 로구성된 DB/ 콘텐츠보안시장은 2007년에전체 593억원의시장을형성했으나 2012년까지연평균 6.6% 성장해약 845억원에이를것으로전망된다. 이중 DB보안시장의성장이가장높을것으로보이는데 DB보안은 2012년에약 325억원의시장규모로성장해연평균 12.0% 의성장률을보일것으로예측된다. 디지털저작권관리 (DRM) 시장도 2012년 465억원에이르러평균 3.6% 성장할것으로전망된다. 구분 2006 년 [ 표 3-4-2-20]DB/ 콘텐츠보안의매출전망 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) DB 보안 DB 암호 디지털저작권관리 (DRM) 합계 16,512 15,124 19,823 23,000 26,177 29,354 32,531 12.0 3,324 3,921 4,220 4,518 4,817 5,115 5,414 8.5 37,749 40,270 41,531 42,791 44,052 45,312 46,573 3.6 57,585 59,315 65,574 70,309 75,046 79,781 84,518 6.6 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (12) 공개키기반구조 (PKI) 다른보안제품군과는달리관련시장의성장률이낮게예측되는공개키기반구조 (PKI) 는 2007년 224억원의시장을형성했고 2008년에는 226억원, 2012년에는 234억원에이르러 1.0% 연평균성장할것으로전망된다. 공개키기반구조 (PKI) 는최근들어웹 2.0, UCC 등의기술분야에서보안과무선환경, 유비쿼터스등의다양한분야에서의보안이필요함에따라향후시장매출이지속적으로성장할것으로보인다. 292 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 구분 공개키기반구조 (PKI) 2006 년 [ 표 3-4-2-21] 공개키기반구조 (PKI) 의매출전망 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 22,081 22,462 22,653 22,843 23,034 23,224 23,415 1.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (13) 접근관리최근시장의화두가된네트워크접근제어 (NAC) 를포함한통합접근관리 (EAM), 싱글사인온 (SSO) 등이포함된접근관리는 2007년전체 173억원의시장을형성했고 2012년까지연평균 7.2% 성장해 262억원에이를것으로보인다. 이중네트워크접근제어 (NAC) 의증가율이가장높을것으로예측되는가운데 2012년에 124억원에이르러연평균 11.7% 성장할것으로보인다. 구분 네트워크접근제어 (NAC) 통합접근관리 (EAM) 싱글사인온 (SSO) 통합계정관리 (IM/IAM) 2006 년 [ 표 3-4-2-22] 접근관리의매출전망 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 6,415 8,145 9,010 9,875 10,740 11,605 12,470 11.7 3,089 2,060 2,596 2,741 2,886 3,031 3,176 0.5 5,687 5,631 6,224 6,654 7,085 7,515 7,946 5.7 2,105 1,533 1,966 2,147 2,329 2,510 2,692 4.2 제 3 편국가정보보호기반조성현황 합계 17,296 17,369 19,796 21,417 23,040 24,661 26,284 7.2 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (14) 바이오인식제품지문, 정맥 ( 혈관 ) 및얼굴 ( 화상 ) 등이포함된바이오인식제품군의경우 2007년에는 631억원의시장규모를형성했고 2012년까지평균 9.3% 성장해 967억원에이를것으로전망된다. 이중지문시장은 731억원으로성장해평균 10.4% 성장할것으로전망되는등바이오인식제품군중가장높은성장률을보일것으로예측된다. 정맥 ( 혈관 ) 시장은전체적인규모는크지않으나 2007년 42억원에서 2012년에는 59억원으로확대되어평균 9.2% 성장할것으로전망된다. 제4장정보보호산업분야 293

제 3 편 제 4 장정보보호산업분야 구분지문정맥 ( 혈관 ) 얼굴 ( 화상 ) 다중인식 [ 표 3-4-2-23] 바이오인식제품의매출전망 ( 단위 : 백만원 ) 2006년 2007년 2008년 2009년 2010년 2011년 2012년 CAGR (%) 40,512 49,849 54,518 59,186 63,855 68,523 73,192 10.4 3,500 4,200 4,550 4,900 5,250 5,600 5,950 9.2 150 110 137 147 157 167 177 2.8 299 310 316 321 327 332 338 2.0 제 3 편국가정보보호기반조성현황 기타 ( 홍채, 음성, 서명등 ) 합계 12,236 8,700 11,677 13,028 14,377 15,728 17,077 5.7 56,697 63,169 71,198 77,582 83,966 90,350 96,734 9.3 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (15) 기타제품무선 / 모바일보안이포함된기타제품의경우 2007년도 103억원의시장규모를보였으나향후 4.2% 의완만한연평균성장률을보여 2012년에는 132억원에이를것으로전망된다. [ 표 3-4-2-24] 시스템및네트워크정보보호제품의기타제품매출전망 ( 단위 : 백만원 ) 구분 2006년 2007년 2008년 2009년 2010년 2011년 2012년 CAGR (%) 무선 / 모바일보안 기타 합계 6,840 6,493 7,071 7,417 7,764 8,110 8,457 3.6 3,511 3,887 4,072 4,262 4,448 4,638 4,824 5.4 10,351 10,380 11,143 11,679 12,212 12,748 13,284 4.2 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 나. 정보보호서비스 유지보수, 보안컨설팅, 보안관제등의정보보호서비스는 2007년전체 1,145억원의시장규모를보였으나 2012년까지연평균 10.5% 성장해 1,703억원에이를것으로전망된다. 이중인증서비스가가장높은성장률 (11.9%) 을보일것으로예측되는가운데보안관제및유지보수도각각 12.0% 와 9.7% 씩성장할것으로전망된다. 294 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 구분 유지보수 보안컨설팅 보안관제 인증서비스 기타서비스 합계 [ 표 3-4-2-25] 정보보호서비스의매출전망 ( 단위 : 백만원 ) 2006년 24,360 2007년 29,526 2008년 32,109 2009년 34,692 2010년 37,275 2011년 39,858 2012년 42,441 CAGR (%) 9.7 27,045 29,821 32,123 34,161 36,198 38,236 40,273 6.9 29,270 37,391 41,452 45,512 49,573 53,633 57,694 12.0 4,875 7,500 8,813 10,125 11,438 12,750 14,063 19.3 8,091 10,311 11,421 12,531 13,641 14,751 15,861 11.9 93,641 114,549 125,918 137,021 148,125 159,227 170,332 10.5 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (1) 유지보수판매후유료서비스형태로이루어지는유지보수시장은 2007년 295억원에이르렀으나 2012년에는 424억원으로확대되어연평균 9.7% 성장할것으로전망된다. 제 3 편국가정보보호기반조성현황 구분 2006 년 [ 표 3-4-2-26] 유지보수의매출전망 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR % 유지보수 24,360 29,526 32,109 34,692 37,275 39,858 42,441 9.7 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (2) 보안컨설팅인증 (ISO, ISMS), 안전진단및기반보호등의보안컨설팅은 2007년 298억원에이르렀으나 2012년에는 402억원에이르러연평균약 6.9% 성장할것으로전망된다. 이중종합보안컨설팅은 2007년 252억원에달했으나 2012년에는 337억원으로증가해연평균 7.2% 성장할것으로전망되며, 안전진단및인증 (ISO, ISMS) 도각각같은기간연평균 6.6% 와 5.6% 씩증가할것으로예측된다. 제4장정보보호산업분야 295

제 3 편 제 4 장정보보호산업분야 구분인증 (ISO, ISMS) 안전진단기반보호종합보안컨설팅 [ 표 3-4-2-27] 보안컨설팅의매출전망 ( 단위 : 백만원 ) 2006년 2007년 2008년 2009년 2010년 2011년 2012년 CAGR (%) 2,223 1,960 2,308 2,504 2,699 2,895 3,090 5.6 1,254 1,224 1,385 1,498 1,611 1,724 1,837 6.6 1,337 1,420 1,462 1,503 1,545 1,586 1,628 3.3 22,231 25,217 26,968 28,656 30,343 32,031 33,718 7.2 제 3 편국가정보보호기반조성현황 합계 27,045 29,821 32,123 34,161 36,198 38,236 40,273 6.9 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (3) 보안관제자사의정보자산에대한보안을전문보안업체에아웃소싱하여중앙관제센터에서실시간으로감시및분석, 대응하는서비스인보안관제는 2012년까지연평균 12.0% 로높게성장할것으로예측된다. 2007년 373억원이었던시장은 2012년 576억원에이를것으로전망된다. 구분 2006 년 [ 표 3-4-2-28] 보안관제의매출전망 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 보안관제 29,270 37,391 41,452 45,512 49,573 53,633 57,694 12.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 (4) 인증서비스공인및사설인증서비스로대표되는인증서비스분야의매출은 2007년도 75억원이었으나향후 2012년까지약 19.3% 의높은성장을기록해 140억원에이를것으로전망된다. 구분 2006 년 [ 표 3-4-2-29] 인증서비스의매출전망 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 ( 단위 : 백만원 ) CAGR (%) 인증서비스 4,875 7,500 8,813 10,125 11,438 12,750 14,063 19.3 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 296 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 (5) 기타서비스정보보호서비스중교육훈련등기타서비스는 2007년 103억원이었으나 2012년 158억원에달해연평균 11.9% 로성장할것으로전망된다. 이중교육훈련서비스는시장규모는작지만 2012년까지평균 26.1% 성장할것으로예측된다. 데이터복구및 PC 복원등의기타분야도평균 11.5% 성장해 2012년 152억원에이를것으로보인다. 구분교육 / 훈련서비스기타합계 [ 표 3-4-2-30] 정보보호서비스의기타서비스매출전망 ( 단위 : 백만원 ) 2006년 2007년 2008년 2009년 2010년 2011년 2012년 CAGR (%) 161 300 370 439 509 578 648 26.1 7,930 10,011 11,052 12,092 13,133 14,173 15,214 11.5 8,091 10,311 11,421 12,531 13,641 14,751 15,861 11.9 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 제 3 편국가정보보호기반조성현황 제4장정보보호산업분야 297

제 3 편 제 4 장정보보호산업분야 제 3 절정보보호제품수출입현황 2007년국내정보보호기업들의전체수출액은 2006년보다 52.0% 증가한 532억원인것으로나타났다. 아래 [ 표 3-4-3-1] 에서보는것처럼시스템및네트워크정보보호제품은 520억원의수출을기록했고정보보호서비스는 12억원을기록해각각 2006년보다 52.4% 와 36.0% 증가했다. 전체수출비중은시스템및네트워크정보보호제품이 97.7% 그리고정보보호서비스는 제 3 편국가정보보호기반조성현황 2.3% 정도차지하는것으로나타났다. [ 표 3-4-3-1] 정보보호산업의품목대분류별수출액과수출비중현황 ( 단위 : 백만원 ) 구분 시스템및네트워크정보보호제품 정보보호서비스 2006 년 2007 년증감률 (%) 수출비중 (%) 34,105 51,984 52.4 97.7 892 1,213 36.0 2.3 합계 34,997 53,197 52.0 100.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 국내정보보호업체들의 2007년전체수입은 2006년보다 1.2% 증가한 618억원으로나타났다. 이중전체수입중 91.2% 를차지하는시스템및네트워크정보보호제품은 564억원으로 2006년의 559억원보다 0.9% 로증가했으며, 전체의 8.8% 를차지하는정보보호서비스는 54억원으로 2006년의 52억원보다 4.6% 로증가해시스템및네트워크정보보호제품보다수입증가율이다소높게나타났다. [ 표 3-4-3-2] 정보보호산업의품목대분류별수입액과수입비중현황 ( 단위 : 백만원 ) 구분 2006 년 2007 년증감률 (%) 수입비중 (%) 시스템및네트워크정보보호제품 정보보호서비스 합계 55,912 56,399 0.9 91.2 5,202 5,439 4.6 8.8 61,114 61,838 1.2 100.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 298 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 1. 정보보호제품수출및향후전망 국내정보보호기업들이 2007년에수출한시스템및네트워크정보보호제품중가장많은분야는바이오인식제품으로 249억원에이르렀으며, 다음은 DB/ 콘텐츠보안이 70억원, 침입방지시스템 (IPS) 이 54억원으로나타났다. 이밖에안티바이러스 (Anti Virus) 와 PC보안도각각 35억원이상수출한것으로집계되었다. 이들제품들은 2008년에도수출이꾸준히증가할것으로예측되는가운데바이오인식제품과 DB/ 콘텐츠보안, 보안관리등이 20% 이상높게증가할것으로예상된다. 전체적으로시스템및네트워크정보보호제품들은 2008년에약 609억원정도수출할것으로전망된다. [ 표 3-4-3-3] 시스템및네트워크정보보호제품의수출전망 ( 단위 : 백만원 ) 구분 2007년 2008년 증감률 (%) 침입차단 ( 방화벽 ) 시스템 658 808 22.8 침입방지시스템 (IPS) 5,478 6,072 10.8 제 3 편국가정보보호기반조성현황 통합보안시스템 (UTM) 150 168 12.0 보안관리 1,974 2,403 21.7 가상사설망 (VPN) 435 469 7.8 시스템및네트워크정보보호제품 안티바이러스 (Anti Virus) 3,714 2,726-26.6 안티스팸 (Anti Spam) 680 820 20.6 보안운영체제 (Secure OS) 327 432 32.1 PC보안 3,560 4,180 17.4 DB/ 콘텐츠보안 7,026 8,608 22.5 공개키기반구조 (PKI) 105 220 109.5 접근관리 154 520 0.0 바이오인식제품 24,902 30,586 22.8 기타제품 2,960 3,387 14.4 소계 51,984 60,924 17.2 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 정보보호서비스는전체적으로 2008년 13.2% 증가해서 13억원정도수출할것으로전망되는가운데유지보수가 26.2% 로높게증가할것으로보인다. 제4장정보보호산업분야 299

제 3 편 제 4 장정보보호산업분야 [ 표 3-4-3-4] 정보보호서비스의수출전망 ( 단위 : 백만원 ) 구분 2007 년 2008 년증감률 (%) 유지보수 509 643 26.2 정보보호서비스 보안관제 159 143-10.1 기타서비스 545 588 7.9 소계 1,213 1,374 13.2 제 3 편국가정보보호기반조성현황 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 2. 정보보호제품수입및향후전망정보보호제품의수출이증가함에따라상대적으로증가율이낮게나타난수입분야는 2007년에시스템및네트워크정보보호제품중바이오인식제품은 164억원그리고인증제품은 110억원정도수입한것으로나타나가장많은금액을차지했다. 이밖에보안관리와침입차단 ( 방화벽 ) 시스템도각각 104억원과 99억원정도씩수입한것으로나타났다. 이들제품군의 2008년도수입은전체적으로 0.4% 증가할것으로예측되는가운데 DB/ 콘텐츠보안과안티스팸 (Anti Spam) 의수입증가율이 25% 를상회할것으로전망된다. [ 표 3-4-3-5] 시스템및네트워크정보보호제품의수입액전망 ( 단위 : 백만원 ) 구분 2007 년 2008 년증감률 (%) 침입차단 ( 방화벽 ) 시스템 9,900 11,250 13.6 침입방지시스템 (IPS) 2,250 2,475 10.0 시스템및네트워크정보보호제품 보안관리 10,450 8,075-22.7 가상사설망 (VPN) 1,890 1,710-9.5 인증제품 11,047 12,010 8.7 안티바이러스 (Anti Virus) 225 225 0 안티스팸 (Anti Spam) 180 225 25.0 DB/ 콘텐츠보안 4,050 5,175 27.8 바이오인식제품 16,407 15,498-5.5 소계 56,399 56,643 0.4 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 300 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 정보보호서비스분야의수입은유지보수가 30억원으로가장많은비중을차지한가운데 2008년에는전체적으로 2.2% 로증가한 55억원정도에이를것으로전망된다. 이중교육훈련서비스가포함된기타서비스의수입증가율은 7.2% 에이를것으로보인다. [ 표 3-4-3-6] 정보보호서비스의수입액전망 ( 단위 : 백만원 ) 구분 2006 년 2007 년증감률 (%) 시스템및네트워크정보보호제품 유지보수 3,069 3,111 1.4 보안관제 865 856-1.1 인증서비스 507 521 2.8 기타서비스 998 1,070 7.2 소계 5,439 5,558 2.2 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 제 3 편국가정보보호기반조성현황 제4장정보보호산업분야 301

제 3 편 제 4 장정보보호산업분야 4 절정보보호산업기술개발및보유현황 1. 정보보호산업기술개발현황 제 3 편국가정보보호기반조성현황 2007년국내정보보호기업중기업부설연구소를운영하고있는기업은 86개사로나타났으며 (51.2%), 연구개발전담부서를운영하고있는기업들은전체 22개사 (13.1%) 로조사되었다. 기업부설연구소에서근무하고있는연구인력은 1,520명이며연구개발전담부서에서근무하고있는연구인력은 312명인것으로조사되었다. [ 표 3-4-4-1] 기술개발관련자체기술연구소및전담부서운영현황 기업수 ( 중복응답 ) 구분기업부설연구소운영 기업수 ( 개 ) 86 비율 (%) 51.2 보유인원 ( 명 ) 1,520 연구개발전담부서운영 22 13.1 312 운영하지않음 60 35.7 - 합계 168 100.0 1,832 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 국내정보보호기업들이 2007년한해기술개발을위해투자한기술개발투자액은총 113개기업에서 903억원으로나타나 1개업체당평균 8억원정도투자한것으로조사되었다. 이러한평균투자액은 2006년의 6억원보다약 28% 증가한것이며, 2008년에는 2007년보다약 6.5% 증가한 8.5억원정도를기술개발에투자할계획인것으로나타났다. [ 표 3-4-4-2] 연도별기술개발투자액현황 구분기업수 ( 개 ) 전체기업합계액 ( 단위 : 백만원 ) 1개업체당평균금액 2006년 114 71,383 626 2007년 113 90,384 800 2008년 ( 계획 ) 108 92,039 852 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 302 2008 국가정보보호백서

제 4 장정보보호산업분야 제 3 편 국내정보보호기업들의 2007년연간기술개발과제수행현황은아래 [ 표 3-4-4-3] 에서보는것처럼 2~3건이라고응답한기업이 80개기업으로전체 51.6% 를차지해가장많은비율을보였다. 다음은 1건이 26개사 (16.8%), 4건이상은 19개사 (12.3%) 로조사되었다. [ 표 3-4-4-3] 연간기술개발과제수행현황 구분기업수기업수 (%) ( 단위 : 개 ) 4건이상 19 12.3 2~3건 80 51.6 1건 26 16.8 없음 30 19.4 합계 155 100.0 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 2. 정보보호관련지적재산권보유현황 제 3 편국가정보보호기반조성현황 2007년국내정보보호기업들이현재보유한지적재산권은산업재산권이전체 888개, 신지식재산권은 270개로나타났다. 산업재산권중특허권은 500개, 상표권은 330개로나타났으며, 신지식재산권중컴퓨터프로그램은 236건으로조사되었다. 현재출원중이산업재산권은특허권 242건을포함해 270건으로나타났으며, 신지식재산권은 9권이출원중에있는것으로조사되었다. 해외지적재산권의경우현재보유하고있는건수는 68건이며, 현재출원중인건수도 115개로나타났다. 이들전체지적재산권보유는총 1,226건으로나타났고출원중인건수도 394건으로조사되었다. 제4장정보보호산업분야 303

제 3 편 제 4 장정보보호산업분야 구분 [ 표 3-4-4-4] 지적재산권보유및출원현황 현재보유 현재출원중 ( 단위 : 건 ) 특허권 500 242 실용신안권 27 5 산업재산권 의장권 31 3 상표권 330 20 소계 888 270 제 3 편국가정보보호기반조성현황 컴퓨터프로그램 236 8 데이터베이스 14 1 신지식재산권 영업비밀 20 0 소계 270 9 해외지적재산권 68 115 합계 1,226 394 * 출처 : 한국정보보호진흥원, 2007 국내정보보호산업시장및동향조사, 2007 304 2008 국가정보보호백서

제 4 편 통계로보는정보보호

통계로보는정보보호 제 4 편 통계로보는정보보호 정보화의발달로일반개인은물론각종산업의인터넷과정보기술에대한활용도및의존도가급속도로높아졌다. 그러나이러한정보화의발달에따른해킹이나컴퓨터바이러스등의부작용도날로증가되어사회전반에막대한경제적손실을낳고있는실정이다. 세계최고의인터넷인프라를자랑하며인터넷에대한의존도가높은우리나라는정책적, 기술적으로보다철저한대처가필요한상황이다. 이를위해우리나라의정보보호수준에대한정확한이해가필요하며, 효율적인정책활용을위해정보보호실태에대한보다정확한이해가요구되기때문에정보보호와관련한구체적인지표를제공하고자하였다. 이에본백서에서는국가 공공부문및민관부문의정보보호현황을정확히파악하고그결과를정책수립에반영하기위하여정보보호설문조사를실시하였다. 금년설문조사에서는조사대상기관수를국가 공공기관의경우 92개기관에서 723 개로확대하여조사결과의신뢰도를제고하였으며, 윈도우비스타, VoIP 등의사용실태등을추가로조사하여향후정보보안정책수립에활용토록하였다. 제 4 편통계로보는정보보호 민간부문의경우에는종사자수 5명이상, 네트워크로연결된컴퓨터가 1대이상있는전국의 272,764개민간업체중 2,500개업체를표본으로하여한국정보보호진흥원에서 2007년 10월에실시한정보보호실태조사결과를사용하였으며, 일부자료는전국 317 만여개사업체를대상으로실시한한국정보사회진흥원의정보화통계조사결과를사용하였다. 본결과가우리나라의정보보호실태에대한객관적인정보를제공함으로써관련정책의수립및연구에많은도움이될수있을것이다. 통계로보는정보보호 307

제 4 편 통계로보는정보보호 공공부문 1. 정보보호전담부서의운영 제 4 편통계로보는정보보호 전문지식을보유한정보보호전담부서는수많은정보보호침해사고에신속하고정확하게대처함으로써정보를안전하게관리할수있을뿐만아니라그정보가갖는부가가치를높일수있다. 그러므로정보보호에대한인적인프라형성은재정적부분과함께정보보호에대한그나라의의식정도를가늠할수있는매우중요한요소라고할수있다. 정보보호전담부서의현황을살펴보면 2007년전담부서구성비율은 11.8% 로나타났다. 다만지방자치단체및각급교육청을포함한지방자치행정청 ( 이하 지방행정청 ) 을제외한경우에는 20.7% 로나타나 2006년의 23.9% 와비슷하게조사되었다. 현재지방행정청의경우에는정보보호전담부서를구성할수있는규모나여건이마련되어있지않아국가정보원, 행정자치부, 교육인적자원부등정보보호부서를운영하고있는기관에서정보보호관리를지원및수행하고있다. 11.8% 88.2% 전담부서운영 전담부서미운영 [ 그림 1] 정보보호부서운영 308 2008 국가정보보호백서

통계로보는정보보호 제 4 편 20.7% 79.3% 전담부서운영 전담부서미운영 [ 그림 2] 정보보호전담부서운영 ( 지방행정청제외시 ) * 정보보호전담부서 : 정보보호업무만을전담으로수행하며책임자와구성원을둔부서를말함 2. 정보보호인력 제 4 편통계로보는정보보호 정보보호전담부서가있는기관의경우정보보호업무인력은평균 4.5 명으로조사되었다. 대부분의정보보호전담부서는해당기관의정보통신관련업무를수행하는부서에소속되어있으며, 부서명은정보보호또는정보통신보안등의명칭을사용하고있다. 정보보호전담부서의주된업무는정보보호정책수행이며보안관제, 정보시스템유지보수, 보안교육및훈련등도수행하고있는것으로나타났다. 보안컨설팅분야는외주기관또는용역으로추진하고있다. 정보보호전담부서의장은해당기관의정보보호와관련하여모든책임과권한을수반하고있다. 이러한부서장이직급이낮은경우타부서와의공조체계및정보보호업무를수행하는데많은어려움이따르게되어침해사고발생및긴급사항이발생하는경우신속하고체계적인통제가어렵게된다. 현재기관내의정보보호전담부서장의직급구성을살펴보면서기관급이 45.88% 이며, 사무관급은 31.76%, 부이사관급및이사관급이각각 1.18% 로나타났다. 기관에서효율적인정보보호관리를위해서는정보화부서와비교하여직급균형을맞추어야할것으로분석된다. 통계로보는정보보호 309

제 4 편 통계로보는정보보호 1.18% 1.18% 20.00% 45.88% 제 4 편통계로보는정보보호 서기관급사무관급 31.76% 이사관급부이사관급기타 [ 그림 3] 정보보호부서장직급 * 보안관제 : 바이러스, 웜등해킹이의심되는접속흔적을탐지하고모니터링하는업무 * 보안컨설팅 : 기관내정보시스템에대한위협을분석하고이에대한대책을수립하는업무 * 유지보수 : 정보시스템에대한보안패치및업그레이드등을수행 한편, 정보보호전담부서가없는경우, 정보보호담당업무가정보화담당관실등유관기관에서수행한다고응답한기관이 61.1% 로나타났다. 2005년에 86.9%, 2006년에 78.0% 과비교하여정보화담당관실의의존도가점차줄어들고있음을알수있다. 이는정보보호담당업무가타기관또는상급기관에서위탁또는지원하는비중이점차증가하고있음을알수있다. 하지만, 타기관또는상급기관에서정보보호업무를지원한다고해도긴급사태발생에따른대응등에한계가있으므로전문성을가진정보보호전담부서의신설이요구된다. 정보보호전담조직이없는경우, 해당기관에서는정보보호전담직원보다는겸임직원 ( 전산업무등을담당하면서정보보호업무를겸임하는직원 ) 을활용하는것으로조사되었다. 기관평균으로볼때전담직원은 0.12명, 겸임직원은 1.54명으로조사되었다. 310 2008 국가정보보호백서

통계로보는정보보호 제 4 편 100.0% 2005년 2006년 2007년 50.0% 0.0% 2005년 2006년 2007년 정보화담당관실 부서별 외부위탁 기타 / 타기관 86.9% 0.0% 3.1% 0.0% 78.0% 6.0% 3.0% 13.0% 61.1% 12.2% 0.5% 22.5% [ 그림 4] 정보보호전담부서가없는경우 정보보호전담직원또는겸임직원을지정하여운영하고있는기관이 98.1% 를차지하고있다고조사되었다. 아직도 1.9% 의조직은정보보호와관련하여업무를수행하고있지않는것으로분석됨에따라, 기관마다정보보호업무와관련하여책임질수있는전문성을갖추고있는전담직원을최소한 1명이상확보해야할것이다. 제 4 편통계로보는정보보호 3. 정보보호업무수행인력의학위및자격증현황 전담또는겸임직원을확보하고있는기관에서정보보호관련학위를확보하고있는기관은 17.8%, 정보보호공인자격증을가지고있는기관은 13.4% 로나타났다. 2006년과비교하면학위취득인력은증가하였으나정보보호업무추진인력의전문성강화가시급한것으로나타났다. 통계로보는정보보호 311

제 4 편 통계로보는정보보호 25.0% 20.0% 15.0% 11.0% 17.8% 20.0% 13.4% 10.0% 5.0% 0.0% 학위 공인자격증 2006 년 2007 년 제 4 편통계로보는정보보호 [ 그림 5] 학위및공인자격증현황 * 2006년도조사결과는전산관련일반자격증소지자포함 * 정보보호관련학위자 : 정보보호전공또는수학, 전산학등관련학과에서암호, 사이버기술등정보보호분야를세부전공한석사이상의학위소시자 * 정보보호관련공인자격증소지자 : 국제공인정보시스템보안전문가 (CISSP), 정보보호전문가 (SIS), 국제공인정보시스템감사 (CISA) 등국내외공인자격증소지자 정보보호인력의전문 ( 경력 ) 분야를살펴보면시스템운영이 32.9%, 네트워크관리가 21.7%, 정보보호 ( 암호등 ) 와관련한분야는 8.3% 를차지하고있는것으로나타났다. 하지만, 다른분야의경력을가진직원이수행하는것도 25.9% 로조사되어정보보호분야에대한전문화가필요한것으로나타났다. 8.3% 11.2% 32.9% 21.7% 25.9% 시스템운영타전공네트워크관리정보보호암호무응답 [ 그림 6] 정보보호인력의전문분야 312 2008 국가정보보호백서

통계로보는정보보호 제 4 편 4. 정보보호인력의교육 정보보호인력의교육현황을살펴보면정보보호인력의경우에는 연 1회이상수강한다 가 51.9% 를차지하고있고일반직원의경우에는 39.8% 를차지하고있다. 반기 1회이상수강한다 도각각 25.3%, 22.5% 를차지하고있는것으로조사되었다. 하지만실시하지않는경우도각각 16.5%, 31.3% 로나타나정보보호업무능력향상을위한교육강화가요구된다. 반기 1 회이상 연 1 회이상 실시하지않음 16.5% 22.5% 25.3% 31.3% 39.8% 51.9% 제 4 편통계로보는정보보호 무응답 6.4% 6.4% 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% 정보보호인력 일반직원 [ 그림 7] 정보보호교육 * 교육 : 암호, 네트워크보안, 서버보안, 사이버테러방지, 보안정책등정보보호관련과목을수강하는것을의미하며, 단순일반정보통신및컴퓨터관련과목은제외 이밖에, 정보보호인력의세미나 학술행사참석을살펴보면 연 1회이상참석한다 가전체 49.4%, 반기 1회이상참석한다 는 26.0% 를차지하고있으며, 참석하지않는다 도 14.8% 를차지하고있어정보보호실무자간정보교류및상호협력을통한활발한정보보호관련활동이요구되고있다. 통계로보는정보보호 313

제 4 편 통계로보는정보보호 2.6% 7.2% 14.8% 제 4 편통계로보는정보보호 5. 정보보호예산 49.4% 연1회이상참석반기 1회이상 26.0% 참석하지않음분기 1회이상무응답 [ 그림 8] 정보보호인력의세미나 학술행사참석 2007년정보보호예산은정보화예산대비 5% 이상을사용한다는기관이전체 21.7% 를차지하고있으나, 2% 미만도 42.3% 를차지하고있어정보화예산대비정보보호예산의비중이적은것을알수있다. 8.6% 12.4% 42.3% 21.7% 2% 미만 5% 이상 3%~5% 미만 2%~3% 미만 [ 그림 9] 예산지출 314 2008 국가정보보호백서

통계로보는정보보호 제 4 편 하지만, 전년도에비해서도정보보호예산이변동없다 고응답한기관이 32.9%, 감소했다 고응답한기관도 10.5% 가나타났다. 6% 이상증가했다 는기관은 17.3%, 4 6% 증가했다 는 2.1%, 2 4% 증가했다 는 3.5%, 2% 미만 17.2% 로조사되었다. 3.5% 2.1% 10.5% 32.9% 변동없음 16.6% 17.2% 17.3% [ 그림 10] 예산증감률 6% 이상 0~2% 미만감소 2~4% 미만 4~6% 미만무응답 제 4 편통계로보는정보보호 * 정보화예산 : 기관내정보화를위한하드웨어, 소프트웨어, 네트워크등과관련한구입, 유지보수및용역비용 * 정보보호예산 : 정보화지출에포함되는부분으로방화벽, 침입탐지시스템, 침입방지시스템, 바이러스백신, 정보보호컨설팅등정보보호서비스에관련된비용 2007년정보보호예산사용내역을보면정보보호제품구입및업그레이드가 69.8% 를차지하였고정보보호서비스가 19.4%, 기타장비운영유지비등이 10.8% 를차지하였다. 10.8% 19.4% 69.8% 정보보호제품구입비정보보호서비스기타 ( 운영비등 ) [ 그림 11] 정보보호예산집행현황 통계로보는정보보호 315

제 4 편 통계로보는정보보호 주요정보보호예산사용중정보보호제품구입에사용한현황을살펴보면, 기업보안관리, 위험관리시스템, 패치관리시스템, 로그관리분석도구및취약점분석도구등을구입과관련한보안관리를위한제품구입이 23.0% 를차지하고있다. 다음으로개인정보노출진단제품에 12.6%, 웹방화벽등침입차단시스템구입은 11.3%, 안티바이러스및악성코드탐지등백신프로그램을구입하는데 9.8% 를차지하고있다. 제 4 편통계로보는정보보호 보안관리 / 패치 / 취약점분석개인정보노출진단제품침입차단시스템안티바이러스 / 악성코드탐지 DB/ 자료보안가상시설망 (VPN)/ 암호침입탐지 / 방지시스템통합보안시스템서버보안 / 보안운영체계 PC. 노트북 /USB 보안인증제품홈페이지 / 메일보관접근관리물리적보안 ( 소거장비등 ) 키보드보안안티스팸 / 스파이웨어차단공개키기반구조 (PK) 기타 5.4% 4.0% 4.0% 2.7% 2.5% 2.3% 1.4% 1.3% 1.3% 1.2% 0.9% 0.2% 12.6% 11.3% 9.8% 8.8% 7.3% 23.0% 5.0% 10.0% 15.0% 20.0% 25.0% [ 그림 12] 정보보호제품구입사용현황 316 2008 국가정보보호백서

통계로보는정보보호 제 4 편 정보보호서비스분야를세부적으로살펴보면시스템운영비용및임대료가 28.1%, 보안관제가 23.1%, 시스템업그레이드및유지보수비용이 20.9%, 보안컨설팅및보안지도에 20.0% 를차지하는것으로조사되었다. 3.4% 4.3% 0.2% 20.0% 20.9% 23.1% 28.1% 운영비 / 임대료보안관계시스템업그레이드 / 유지보수보안컨설팅 / 보안지도용역비보안교육 / 세미나기타 제 4 편통계로보는정보보호 [ 그림 13] 정보보호서비스 조사결과를분석하면정보시스템에대한해킹및사이버테러예방을위하여패치및취약점점검이활발하게이루어지는것으로나타났다. 침입차단시스템및방지시스템의경우에는대부분의기관에서운영중이거나도입이완료되어시스템에대한업그레이드에한정하여예산이반영되고있어예산비중이점차줄어들고있다. 바이러스방역및안티바이러스에대한대책은꾸준히이루어지고있으며, 데이터베이스보안및비밀정보유출방지시스템은지속적으로증가하고있다. 이외에 2007년정보보호예산특징을살펴보면공공기관개인정보보호와관련한예산이많이반영되었다. 비밀자료의유출사고를막기위한하드디스크에대한기밀정보삭제장비도입이증가하고있는것으로조사되었다. 공개키기반시스템및바이오인식제품에대해서는아직활성화가이루어지고있지않는것으로조사되었다. 기관에서정보보호예산을반영하는이유에대해서는 기관내정보보안사고발생으로인해정보보호의중요성이부각되어서 가 25.7% 로조사되었다. 다음으로는 안전하고신뢰성있는기관이미지부각을위해서 가 18.3%, 장기적으로정보보안사고방지로기관경영평가에기여하기위해 가 17.8% 로나타났다. 기관내정보보호제품및서비스노후화로인한 통계로보는정보보호 317

제 4 편 통계로보는정보보호 업그레이드필요성 은 8.0%, 정부의정보보호관련규제강화 는 4.8%, 정부의정보보호투자활성화정책 은 2.4%, 정보화투자여유예산확보 는 0.4% 로조사되었다. 제 4 편통계로보는정보보호 25.7% 정보보호중요성부각 18.3% 기관이미지부각 17.8% 경영평가에기여 8.0% 업그레이드필요 4.8% 규제강화투자분위기증대투자활성화정책 2.6% 2.4% 0.4% 정보화투자예산확보기타 10.3% 9.7% 무응답 0.0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% [ 그림 14] 정보보호예산반영이유 정보보호예산을반영하는데따른애로사항으로는 아직도정보보호에대한인식이부족하다 가 49.7% 로나타났으며, 다음으로 예산반영이어렵다 가 18.9% 로나타났다. 10.1% 9.3% 12.0% 18.9% 49.7% 정보보호인식부족예산반영미흡무응답정보화우선기타 [ 그림 15] 예산반영애로사항 318 2008 국가정보보호백서

통계로보는정보보호 제 4 편 6. 정보보호의인식수준 정보보호의인식수준을평가해보면임원진이나일반직원모두보통이라고응답하였다. 임원진과일반직원과비교해보면전체적으로일반직원의정보보호인식수준이높은것으로평가되었다. 60.0% 50.0% 40.0% 30.0% 20.0% 10.0% 0.0% 50.5% 52.4% 임원또는부사장일반직원 24.2% 19.8% 12.9% 11.6% 7.1% 5.0% 6.6% 1.1% 0.1% 2.5% 1.5% 0.7% 2.1% 1.9% 매우낮음낮음보통이하보통보통이상높음매우높음무응답 제 4 편통계로보는정보보호 [ 그림 16] 정보보호인식수준 * 매우높음 ( 전문가 ) : 정보보호에대한전반적인내용 (VPN, DRM, PKI, 네트워크접근제어, IPS, 통합보안시스템등 ) 을파악하고있으며기술적인부분까지이해하고있는수준 * 보통 ( 중간 ) : 정보보호와관련된내용과단어를일부알고있고이해하고있는수준 * 매우낮음 ( 문외한 ) : 정보보호와관련된단어 ( 피싱, 방화벽, 바이러스, 해커, 스팸등 ) 를전혀모르는수준 공공부문정보보호업무수행중가장심각한애로사항으로기술인력부족이 36.2% 로가장심각한문제로조사되었고다음으로직원들의인식부족 (23.1%) 순으로나타났다. 다음의표에서보는바와같이전년도에비하여교육 훈련부족이상대적으로증가했으나, 예산부족은전반적으로개선되었음을알수있다. 통계로보는정보보호 319

제 4 편 통계로보는정보보호 기술인력부족 29.1% 36.2% 36.0% 직원의인식부족 18.0% 23.1% 23.6% 예산부족 14.4% 14.6% 24.0% 관리체계 7.2% 10.0% 17.0% 제 4 편통계로보는정보보호 교육훈련미비기관장의인식부족제도미흡기타 / 무응답 6.8% 5.0% 4.3% 5.4% 3.0% 1.5% 1.2% 0.0% 6.5% 0.0% 4.0% 9.1% 2007 년 2006 년 2005 년 0.0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% 35.0% 40.0% [ 그림 17] 정보보호업무수행중애로사항 7. 침해사고대응처리및복구절차 침해사고대응및처리를위하여 조직구성및대책을마련하고있다 는응답이 74.6% 를차지하고있다. 그러나 마련하고있지않다 고응답한기관도 15.2% 를차지하고있어침해사고발생시피해를최소화하기위해서는각기관에서관련대응및처리를위한대책마련을서둘러야할것이다. 320 2008 국가정보보호백서

통계로보는정보보호 제 4 편 2.9% 7.3% 15.2% 74.6% 마련마련하지않음기타무응답 [ 그림 18] 침해사고대응처리및복구절차 사이버침해사고원인및처리결과를 외부전문기관과공유하고있다 는기관이 42.0% 를차지하고있으며, 자체적으로사고를파악하고대응한다 가 38.5% 를차지하고있다. 이는대응조직을운영하고있는기관이 80.5% 를차지하고있는것으로조사되어대부분의기관이사이버공격에대하여침해사고원인을찾아대응할수있다고분석된다. 제 4 편통계로보는정보보호 2.9% 16.6% 42.0% 38.5% 자체대응외부기관공유기타무응답 [ 그림 19] 사이버침해사고원인및처리결과공유 통계로보는정보보호 321

제 4 편 통계로보는정보보호 8. 보안패치 사용자의 PC에대한보안패치는 자동업데이트설정으로항상최신상태를유지한다 가 93.9%, 주기적으로패치정보를입수하여수동업데이트를실시한다 가 3.6% 를차지하고있어 PC의경우보안패치는효율적으로이루어지고있으며최신상태를유지하고있었다. 다만, 관리자가관리하고있는메일 / 웹서버와내부파일서버 / 프린트서버의경우에는 주기적으로수동업데이트를실시한다 는것이각각 36.1%, 23.5% 를차지하고있어공유시스템의경우패치를하는데수동업데이트가많이사용되는것으로나타났다. 제 4 편통계로보는정보보호 100.0% 80.0% 60.0% 40.0% 20.0% 0.0% 93.8% 0.1% 3.6% 0.0% 2.5% 43.0% 36.1% 2.8% 0.3% 14.9% 2.9% 32.9% 33.5% 23.5% 5.1% 1.1% 3.9% 70.5% 6.5% 6.6% 13.4% 0.7% 2.3% 사용자 PC 메일 / 웹서버내부파일서버등정보보호시스템 자동업데이트패치하지않음 주기적인패치보유하지않음 문제발생시마다무응답 [ 그림 20] 보안패치 9. 자체정보보호수준평가 2007년자체정보보호수준을평가해보면 매우높다 가 3.9%, 높은편이다 가 31.0%, 보통이다 는 55.2%, 낮다 가 8.7%, 매우낮다 는 0.3% 이다. 2006년에비하여자체평가결과가전체적으로낮아진것을분석해보면최근해킹및바이러스등사이버테러가급증하고있고, 악성코드에의한감염피해가증가함에따라운영자들의자체정보시스템에대한정보보호대책이부족하다는것을인식하고이에대한대책마련이시급하다는것을파악한것으로분석된다. 322 2008 국가정보보호백서

통계로보는정보보호 제 4 편 60.0% 53.5% 55.7% 55.2% 50.0% 2005 년 2006 년 2007 년 40.0% 31.0% 32.9% 30.0% 31.4% 20.0% 10.0% 0.0% 6.8% 5.6% 3.9% 10. 기타정보보호관련통계 [ 그림 21] 정보보호수준자체평가 각급기관에서사용하고있는 PC 운영체제를살펴보면아직윈도우비스타가활성화가되지않음을알수있다. 전체 89.9% 가 사용하고있지않다 고응답하였다. 기관내에서 1% 이내만사용하고있다 고응답한기관도 5.9% 를차지하고있다. 현재까지윈도우비스타의사용실적이부진한것은소프트웨어및하드웨어호환성문제와기존윈도우 XP의사용에적응되어있기때문으로분석된다. 5.7% 4.6% 8.7% 0.3% 1.1% 0.0% 매우높다높은편이다보통이다낮다매우낮다기타 2.7% 0.0% 0.9% 제 4 편통계로보는정보보호 2.6% 1.6% 5.9% 89.9% 운영안함 1% 이내 2%~5% 이내 6%~10% 이내 [ 그림 22] 윈도우비스타사용현황 통계로보는정보보호 323

제 4 편 통계로보는정보보호 VoIP는음성정보를 IP(Internet Protocol) 을통하여신호를주고받을수있는기술로인터넷을통해기존의전화선을대체하는것이다. 현재운용중인기관은 19.2% 이며, 도입계획이있는기관은 35.0% 이고, 아직계획이없는기관도 42.0% 를차지하고있다. 전체기관의 54.2% 가 VoIP에관심이있는것으로조사되어향후 VoIP에대한종합적인보안대책을수립하여시행할필요가있다. 3.8% 제 4 편통계로보는정보보호 19.2% 35.0% 42.0% 계획없음도입계획중운용중무응답 [ 그림 23] VoIP 시스템운영 비밀이나중요업무자료를무단으로보조기억매체에저장및휴대하지못하도록규정한 USB 메모리등보조기억매체관리지침 을적용하여운영하고있는기관은 31.8% 이며, 도입계획이있는기관은 52.1% 이다. 이는보조기억매체의보안관리에대한중요성이높아지고있으며, 관련대책마련이필요함을나타낸다고할수있다. 324 2008 국가정보보호백서

통계로보는정보보호 제 4 편 3.7% 1.9% 10.5% 31.8% 52.1% [ 그림 24] USB 메모리관리 운영 도입계획중운용중계획없음기타무응답 제 4 편통계로보는정보보호 통계로보는정보보호 325

제 4 편 통계로보는정보보호 민간부문 1. 정보보호전담부서의운영 제 4 편통계로보는정보보호 2007년한국정보사회진훙원의정보화통계조사에따르면전국 317만여개사업체중정보보호전담부서의유무에대한응답결과 2006년말현재, 별도의 정보보호전담부서를구성하여운영 하고있는사업체의비율은 1.4% 로 4만 5천여개사업체가운영하고있는것으로나타났다. 이는 2005년운영률인 1.2% 와비슷한수준이다. 미운영 (44.3%) 1,404,820 개 운영 (1.4%) 45,258 개 해당없음 (54.3%) 1,719,889 개 [ 그림 25] 정보보호전담부서운영여부 * 기준 : 전국의종사자수 1명이상사업체 ( 통계청, 2005년기준사업체기초통계조사 ) * 해당없음 은컴퓨터도보유하고있지않고홈페이지도보유하고있지않은사업체임 * 출처 : 한국정보사회진흥원, 2007 정보화통계조사 326 2008 국가정보보호백서

통계로보는정보보호 제 4 편 2. 정보보호책임자임명및학위 / 자격증소지여부 한국정보보호진흥원의정보보호실태조사에따르면 PC와서버를모두보유한민간사업체 ( 종사자수 5명이상, 네트워크구축 ) 중에서최고정보보호책임자 (CSO) 를임명한기업은조사대상의 25.1% 이며운영하고있지않은기업은 74.9% 로 CSO 구성비율은낮은편으로나타났다. 업종별로는금융및보험업의 CSO 임명률이 46.3% 로가장높게나타나고규모별로는종사자수가많은사업체일수록 CSO 임명율이높아지는것으로분석되었다. 임명 25.1% 제 4 편통계로보는정보보호 비임명 74.9% [ 그림 26] 전담부서책임자 (CSO) 임명여부 * 기준 : 서버를보유한사업체중 ( 총사자수 5명이상, 네트워크구축 ) * 기준변경으로연도별시계열비교시주의 * 출처 : 한국정보보호진흥원, 2007 정보보호실태조사 또한 CSO를임명하고있지않은사업체중정보보호업무를책임지고있는사람이있는지에대해서는 없다 는사업체가 35.4% 로나타났고이경우 총무과또는보안 ( 관리 ) 담당부서장 이정보보호업무를책임지는비율이 43.6% 로나타났다. 통계로보는정보보호 327

제 4 편 통계로보는정보보호 0.1% 6.0% 5.4% 9.5% 제 4 편통계로보는정보보호 43.6% 총무과또는보안관리담당부서장정보관리책임자 (CIO : Chief Infomation Officer) 기타없다 35.4% 대표이사모름 / 무응답 [ 그림 27] CSO가없는경우정보보호책임자 * 기준 : CSO를두고있지않은사업체 ( 종사자수 5명이상, 네트워크연결 PC 및서버보유 ) * 출처 : 한국정보보호진흥원, 2007 정보보호실태조사 최고정보보호책임자인 CSO를임명하고있는민간사업체는 5.3% 에불과하며이들중 CSO가정보보호관련학위나자격증소지비율은 24.0% 로나타났고 CSO가관련학위나자격증을가지고있지않다는사업체가 72.8% 로조사되었다. 4.1% 11.5% 7.1% 11.3% 65.5% 가지고있지않다정보보호관련학위만가지고있다. 정보보호관련공인자격증만가지고있다정보보호관련학위와공인작격증모두가지고있다. 모름 / 무응답 [ 그림 28] CSO 의정보보호관련학위공인자격증소지현황 * 기준 : CSO를두고있는사업체 ( 종사자수 5명이상, 네트워크연결 PC 및서버보유 ) * 출처 : 한국정보보호진흥원, 2007 정보보호실태조사 328 2008 국가정보보호백서

통계로보는정보보호 제 4 편 3. 정보보호관련직원및학위 자격증소지현황 조사대상업체의정보보호전담직원의수는직원 100명당 0.38명이며, 정보시스템사용자 100명당정보보호전담직원수는 0.57명, 전산담당직원 100명당정보보호전담직원수는 13.71명으로추정된다. 18 14 13.71 12 10 8 6 4 2 0 0.38 직원 100 명당정보보호전담직원수 0.57 정보시스템사용자 100 명당정보보호전담직원수 전산담당직원 100 명당정보보호전담직원수 제 4 편통계로보는정보보호 [ 그림 29] 정보보호전담직원수 * 기준 : 종사자수 5명이상이고네트워크로연결된컴퓨터가 1대이상있는사업체 * 출처 : 한국정보보호진흥원, 2007 정보보호실태조사 또한정보보호전담직원이있는사업체를대상으로정보보호관련학위및공인자격증소지현황을질문한결과정보보호관련학위를가지고있는직원을보유하고있는사업체는 16.7% 이고, 사업체당평균학위소지자수는 0.44명으로나타났다. 통계로보는정보보호 329

제 4 편 통계로보는정보보호 100 80 평균 0.40 평균 0.44 평균 0.30 평균 0.37 60 71.0 82.4 80.0 83.3 40 20 0 1.4 1.4 5.1 21.7 4.5 9.4 2006 년 12 월 2007 년 12 월 14.1 7.3 5.2 2.2 2006년 12월 2007년 12월 제 4 편통계로보는정보보호 학위소지자자격증소지자없음 1명 2명 3명이상모름 / 무응답 [ 그림 30] 정보보호관련직원의자격증소지현황 * 기준 : 정보보호전담직원보유사업체 ( 종사자수 5명이상네트워크구축 ) * 출처 : 한국정보보호진흥원, 2007 정보보호실태조사 4. 정보보호교육실시여부 한국정보사회진흥원의정보화통계조사에따르면조사업체중정보보호관련교육을실시하고있는업체는 23.0% 로나타났으며, 업종별로살펴보면금융및보험업 (75.9%), 운수통신업 (37.1%) 의정보보호교육실시율이다른업종에비해상대적으로높게나타났다. 실시 23.0% 비실시 77.0% [ 그림 31] 정보보호교육실시여부 * 기준 : 종사자수 5명이상이고네트워크로연결된컴퓨터가 1대이상있는사업체 * 출처 : 한국정보사회진흥원, 2007 정보화통계조사 330 2008 국가정보보호백서

통계로보는정보보호 제 4 편 5. 정보보호투자 정보화투자대비정보보호투자비율을질문한결과 50.8% 의사업체가 정보보호지출이없다 고응답하였으며, 정보화투자대비지출이 1% 미만 인사업체가 27.5% 로나타나아직까지대부분의사업체가정보보호투자에미진한것으로나타났다. 0.3% 0.8% 2.3% 1.8% 11.4% 5.1% 27.5% 50.8% 정보보호지출이없음 1% 미만 1%~3% 미만 3%~5% 미만 5%~7% 미만 7%~10% 미만 제 4 편통계로보는정보보호 10% 이상 모름 / 무응답 [ 그림 32] 정보화투자대비정보보호투자비율 * 기준 : 종사자수 5명이상이고네트워크로연결된컴퓨터가 1대이상있는사업체 * 출처 : 한국정보보호진흥원, 2007 정보보호실태조사 또한정보보호지출이없는사업체에대하여지출이없는이유를물어본결과 정보보안사고로인한피해가거의없어필요성을느끼지못한다 는응답이 50.1% 로가장많았으며, 다음으로 본부에서일괄하고있다 (15.8%) 등의순으로나타났다. 통계로보는정보보호 331

제 4 편 통계로보는정보보호 80 60 50.1% 59.5% 1순위 1순위 + 2순위 제 4 편통계로보는정보보호 40 20 0 정보보안사고로인한피해가거의없어필요성을느끼지못함 23.4% 22.4% 15.8% 17.2% 15.2% 11.7% 7.8% 4.0% 본부일괄 정보보호에관심이없음 정보보호를위한예산이없음 정보보호를어떻게해야하는지모름 [ 그림 33] 정보보호지출이없는이유 * 기준 : 정보보호지출이없는사업체 ( 종사자수 5명이상, 네트워크구축 ) * 중요도순으로 2개항목복수응답 * 출처 : 한국정보보호진흥원, 2007 정보보호실태조사 3.6% 4.1% 3.0% 4.6% 0.6%0.6% 기타 정보보호에관련하여이미충분한투자가이루어졌음 모름 / 무응답 6. 정보보호투자결정요인 정보보호지출이있는사업체를대상으로정보보호투자를결정하는요인을 1순위와 2순위로질문한결과 1순위를기준으로할때 사내정보보호제품및서비스노후화로인해업그레이드가필요 (35.8%) 하다는응답이가장많았다. 다음으로 사내정보보안사고발생또는취약성의발견으로인해정보보호의중요성이부각 (23.0%) 되었거나 장기적으로정보보안사고방지결과를가져와기업수익에기여하기위해고객에게안전하고신뢰성있는기업이미지를부각시키기위해서 (16.6%) 정보보호투자를결정하는것으로나타났다. 332 2008 국가정보보호백서

통계로보는정보보호 제 4 편 80 60 50.7% 1순위 1순위 + 2순위 40 20 0 33.8% 사내정보보호제품및서비스노후화로인해업그레이드가필요해서 23.0% 33.7% 31% 사내정보보안사고발생또는취약성의발견으로인해정보보호의중요성이부각되어서 16.6% 장기적으로정보보안사고방지결과를가져와기업수익에기여하기위해 14.5% 28% 고객에게안전하고신뢰성있는기업이미지를부각시키기위해 * 기준 : 정보보호지출이없는사업체 ( 종사자수 5명이상, 네트워크구축 ) * 중요도순으로 2개항목복수응답 * 출처 : 한국정보보호진흥원, 2007 정보보호실태조사 9.3% 5.0% 1.4% 5.0% 1.3% 0.7% 0.2% 0.7% 1.4% 1.4% 3.7% 0.8% 경쟁사및산업전반의정보보호에대한투자증대분위기로 정부의정보보호 관련규제강화로 정부의정보보호투자활성화정책으로 [ 그림 34] 정보보호투자결정요인 기타 투자여유자금확보로 모름 / 무응답 제 4 편통계로보는정보보호 7. 정보보호제품사용현황 침입차단시스템 ( 방화벽, Firewall) 을사용하는사업체의비율은 45.9%, 침입탐지시스템 (IDS) 의사용률은 9.5%, 침입방지시스템 (IPS) 의사용률은 9.7%, 웹방화벽의사용률은 18.3% 로나타났다. 통계로보는정보보호 333

제 4 편 통계로보는정보보호 50 45.9% 40 30 20 10 9.5% 9.7% 18.3% 0 방화벽침입탐지시스템침입방지시스템웹방화벽 제 4 편통계로보는정보보호 [ 그림 35] 정보보호제품사용현황 -침입탐지, 차단및방지제품군 * 기준 : 종사자수 5명이상이고네트워크로연결된컴퓨터가 1대이상있는사업체 * 정보보호제품별복수응답수치 * 출처 : 한국정보사회진흥원, 2007 정보화통계조사 그리고컴퓨터바이러스백신 (VMS 포함 ) 을사용하는사업체의비율은 74.7%, 스파이웨어방지제품 (Anti-Spyware S/W) 의사용률은 14.7%, 스팸메일차단솔루션의사용률은 19.6%, 패치관리시스템 (PMS) 의사용률은 5.5% 로나타났다. 그밖에기타제품군으로는가상사설망 (VPN) 을사용하는사업체는 9.6%, 인증 / 암호화제품 (PKI) 은 18.3%, 보안서비스는 16.2%, 통합보안관리도구 (ESM) 은 3.9% 등의사용율을보이고있다. 8. 정보보호인식 : 정보보호수준저하원인 정보보호수준저하원인으로는 정보보호에대한직원의인식부족 (23.9%) 이가장높았고 정보보호관리체계부재 (21.5%), 정보보호관련기술인력부족 (18.6%), 정보보호에대한경영진의인식부족 (16.3%) 순으로나타났다. 334 2008 국가정보보호백서

통계로보는정보보호 제 4 편 80 60 40 20 0 38.6% 35.3% 31.5% 23.9% 21.5% 18.6% 16.3% 21.1% 10.3% 1순위 1순위 + 2순위 23.1% 16.6% 6.4% 4.8% 3.1% 1.6% 2.0% 정보보호에대한직원의인식부족 정보보호관리체계부재 정보보호관련기술인력부족 경영진의인식부족 예산부족 교육및훈련미비 정보보호에대한고객인식부족 기타 [ 그림 36] 사내정보보호수준에대한우려원인 * 기준 : 사내정보보호수준에대해우려하는사업체 - 자체평가점수 3점이하 ( 종사자수 5명이상, 네트워크구축 ) * 중요도순으로 2개항목복수응답 * 출처 : 한국정보보호진흥원, 2007 정보보호실태조사 제 4 편통계로보는정보보호 통계로보는정보보호 335

제 5 편특집 1 주요국의정보보호예산 제 1 장미국 제 2 장유럽연합 제 3 장일본

제 1 장미국 제 5 편 제 1 장 미국 미국연방정부의정보화및정보보호예산은예산관리국 (OMB : Office of Management and Budget) 의 IT 예산보고서인 Report on Information Technology(IT) Spending for the Federal Government 를기초로작성되었다. OMB 의 IT 예산보고서는각기관에서제출한자료를종합하여의회에보고하는과정에서작성되며매년웹사이트 (http://www.whitehouse.gov/omb/budget) 에공개되고있다. OMB 는 IT 예산의적절한사용을보장하기위해서 GAO, 기관, 의회와지속적으로협력하며예산업무를수행하고있다. 제 1 절정보화및정보보호예산규모 미연방전체기관의 2008년 IT 요구예산은 2006년집행액 (enacted) 에비하여약 2.3%(664억불, 약 66조4천억원 ) 가증가한것으로보고하고있다. [ 표 1] 은연방정부별 IT 예산의세부사항을나타내고있다. 한가지주의해야할사항은미국의회계년도 (FY : Fiscal Year) 는우리나라와달리전년도 10월에시작해서다음해 9월에종료한다는것이다. 따라서회계년도 2008년은 2007년 10월부터 2008년 9월까지사용하는예산을말한다. 제 5 편특집 1 주요국의정보보호예산 제1장미국 339

제 5 편 제 1 장미국 제 5 편특집 1 주요국의정보보호예산 [ 표 1] 미연방기관의 IT 예산 ( 단위 : 백만 $) 정보기관 2006년결정액 2007년집행액 2008년요구액 공군부육군부해군부국방부국방관련합계농무부상무부교육부에너지부보건복지부국토안보부주택도시개발부내무부법무부노동부국무부국제개발청교통부재무부퇴역군인부공병기술단환경보호국총무국항공우주국국립기록관리청전미과학재단원자력규제위원회인사관리국중소기업국스미소니언협회사회보장국민간합계연방정부 IT예산총계 $7,352(7조3,520억원 ) $6,897(6조8,970억원 ) $7,112(7조1,120억원 ) $9,972(9조9,720억원 ) $6,618(6조6,180억원 ) $7,409(7조4,090억원 ) $6,360(6조3,600억원 ) $6,596(6조5,960억원 ) $6,480(6조4,800억원 ) $10,373(10조3,730억원 ) $10,368(10조3,680억원 ) $10,502(10조5,020억원 ) $34,057(34조570억원 ) $30,479(30조 4,790 억원 ) $31,503(31조 5,030 억원 ) $1,835(1조8,350억원 ) $2,057(2조570억원 ) $2,232(2조2,320억원 ) $1,613(1조6,130억원 ) $1,684(1조6,840억원 ) $1,852(1조8,520억원 ) $442(4,420억원 ) $496(4,960억원 ) $431(4,310억원 ) $1,983(1조9,830억원 ) $2,013(2조130억원 ) $2,089(2조890억원 ) $5,426(5조4,260억원 ) $5,517(5조5,170억원 ) $5,565(5조5,650억원 ) $3,812(3조8,120억원 ) $4,880(4조8,800억원 ) $5,180(5조1,800억원 ) $307(3,070억원 ) $300(3천억원 ) $305(3,050억원 ) $934(9,340억원 ) $958(9,580억원 ) $953(9,530억원 ) $2,368(2조3,680억원 ) $2,606(2조6,060억원 ) $2,617(2조6,170억원 ) $466(4,660억원 ) $505(5,050억원 ) $531(5,310억원 ) $825(8,250억원 ) $832(8,320억원 ) $905(9,050억원 ) $101(1,010억원 ) $105(1,050억원 ) $96(960억원 ) $2,505(2조5,050억원 ) $2,611(2조6,110억원 ) $2,467(2조4,670억원 ) $2,717(2조7,170억원 ) $2,808(2조8,080억원 ) $2,958(2조9,580억원 ) $1,700(1조7천억원 ) $1,739(1조7,390억원 ) $1,859(1조8,590억원 ) $297(2,970억원 ) $509(5,090억원 ) $320(3,200억원 ) $489(4,890억원 ) $461(4,610억원 ) $436(4,360억원 ) $554(5,540억원 ) $532(5,320억원 ) $538(5,380억원 ) $2,271(2조2,710억원 ) $2,216(2조2,160억원 ) $1,944(1조9,940억원 ) $96(960억원 ) $120(1,200억원 ) $125(1,250억원 ) $46(460억원 ) $60(600억원 ) $58(580억원 ) $104(1,040억원 ) $98(980억원 ) $130(1,300억원 ) $137(1,370억원 ) $170(1,700억원 ) $136(1,360억원 ) $80(800억원 ) $82(820억원 ) $75(750억원 ) $56(560억원 ) $57(570억원 ) $59(590억원 ) $995(9,950억원 ) $1,016(1조160억원 ) $1,043(1조430억원 ) $32,159(32조1,590억원 ) $34,432(34조4,320억원 ) $34,904(34조9,040억원 ) $66,216(66조2,160 억원 ) $64,911(64조9,110 억원 ) $66,407(66조4,070억원 ) * 출처 : http://www.whitehouse.gov/omb/budget/fy2008/sheets/itspending.xls * 미화대비원화비율은 $1:1000 원으로계산됨 340 2008 국가정보보호백서

제 1 장미국 제 5 편 미연방정부의 IT 예산은연방전사적아키텍처 (FEA : Federal Enterprise Architecture) 를적용하여관리하고있기때문에분야별식별이용이하고분야별예산산정이쉽게될수있다. 정보보호예산은연방전사적아키텍처의참조모델인업무참조모델 (BRM : Business Reference Model) 이나서비스참조모델 (SRM : Service Reference Model) 에서항목번호 404로분류되어진예산과목가운데세부항목을 140으로분류한예산을추출하면기본적인정보보호예산을산출할수있다. 하지만, 정보화예산가운데정보보호항목이포함되어있는것으로판단되지만별도의항목으로분류되지않은항목은정보보호예산으로포함하기어려운부분이존재한다. 또한일부항목이항목번호404 - 세부항목140으로분류되지않았지만명확히정보보호예산으로간주할수있는부분도존재한다. 예를들어 E-인증과관련한정보보호예산은대부분의연방정부기관에서항목번호404 - 세부항목140으로분류하고있지만일부기관에서는같은항목을다른분류번호를부여하고있다. 따라서 [ 표 2] 에서나타낸미연방기관의 IT 정보보호예산은회계년도 2008년정보화예산보고발표자료 (Executive Office of the President, Fiscal Year 2008 Information Technology Budget) 에서나타낸정보보호내용을사용하여정리하였다. 제 5 편특집 1 주요국의정보보호예산 제1장미국 341

제 5 편 제 1 장미국 제 5 편특집 1 주요국의정보보호예산 [ 표 2] 미연방의 IT 정보보호예산 ( 단위 : 백만 $) 정보기관 2007년집행액 2008년요구액 정보화대비정보보안비율 국방부 $3,553(3조5,530억원 ) $3,729(3조7,290억원 ) 11.8% 농무부 $103(1,030억원 ) $122(1,220억원 ) 5.4% 상무부 $108(1,080억원 ) $120(1,200억원 ) 6.5% 교육부 $33(330억원 ) $32(320억원 ) 7.3% 에너지부 $277(2,770억원 ) $273(2,730억원 ) 13.0% 보건복지부 $231(2,310억원 ) $236(2,360억원 ) 4.2% 국토안보부 $332(3,320억원 ) $342(3,420억원 ) 6.6% 주택도시개발부 $19(190억원 ) $18(180억원 ) 6.0% 내무부 $100(1,000억원 ) $98(980억원 ) 10.3% 법무부 $234(2,340억원 ) $231(2,310억원 ) 8.8% 노동부 $35(350억원 ) $39(390억원 ) 7.3% 국무부 $103(1,030억원 ) $108(1,080억원 ) 11.9% 국제개발청 $5(50억원 ) $5(50억원 ) 5.4% 교통부 $125(1,250억원 ) $132(1,320억원 ) 5.4% 재무부 $118(1,180억원 ) $114(1,140억원 ) 3.9% 퇴역군인부 $208(2,080억원 ) $208(2,080억원 ) 11.2% 공병기술단 $47(470억원 ) $27(270억원 ) 8.4% 환경보호국 $22(220억원 ) $21(210억원 ) 4.8% 총무국 $50(500억원 ) $46(460억원 ) 8.5% 항공우주국 $85(850억원 ) $79(790억원 ) 4.1% 국립기록관리청 $5(50억원 ) $6(60억원 ) 4.5% 전미과학재단 $8(80억원 ) $7(70억원 ) 12.2% 원자력규제위원회 $16(160억원 ) $22(220억원 ) 16.8% 인사관리국 $12(120억원 ) $9(90억원 ) 6.6% 중소기업국 $5(50억원 ) $5(50억원 ) 6.3% 스미소니언협회 $2(20억원 ) $2(20억원 ) 3.8% 사회보장국 $66(660억원 ) $62(620억원 ) 5.9% 합계 $5,905(5조9,050억원 ) $6,092(6조920억원 ) 9.2% * 출처 : Executive Office of the President of United States, Fiscal Year 2008 Information Technology Budget, 2007 년 5 월 * 정보화대비정보보호비율은 2008 년요구액을기준으로작성됨 * 미화대비원화비율은 $1:1000 원으로계산됨 342 2008 국가정보보호백서

제 1 장미국 제 5 편 미연방기관의전체정보보호예산요구액은 6,092백만불 (6조 920억원 ) 이며전년도에비해전체적으로 3.2% 증가한것으로나타났다. 예산규모로보았을때국방부 (3,729백만불, 3조 7,290억원 ) 가다른기관에비해서월등히높은정보보호예산을요구하고있고국토안보부 (342백만불, 3,420억원 ), 에너지부 (237백만불, 2,370억원 ), 보건복지부 (236백만불, 2,360억원 ), 법무부 (231백만불, 2,310억원 ), 퇴역군인부 (208백만불, 2,080억원 ) 의순으로정보보호예산규모가크다. 정보화예산대비정보보호예산비율이 10.0% 를넘어가는연방기관은원자력규제위원회 (16.8%), 에너지부 (13.0%), 전미과학재단 (12.2%), 국무부 (11.9%), 국방부 (11.8%), 퇴역군인부 (11.2%), 내무부 (10.3%) 순이다. 미연방기관의정보보호예산은전체적으로정보화예산대비 9.2% 를차지하고있어국내정보보호예산과는상당한차이가있다. 하지만, 정보보호예산항목이국내와정확히일치하지않는다는점을고려해야한다. 미연방정부의정보보호예산의증가는 [ 그림 1] 에서알수있는바와같이회계년도 2008년에는완만한증가를나타내고있다. 회계년도 2007년에는정보보호예산이 5,905백만불 (5조 2,370억원 ) 이었고회계년도 2008년에는 6,092백만 (6조920억원) 불이다. FISMA법이통과된 2002년이후회계년도 2004년과 2005년사이에급격한증가를보이다가최근에는완만한증가세를보이고있다. ( 백만불 ) $6,500 6,092 5,905 $6,000 5,512 제 5 편특집 1 주요국의정보보호예산 $5,500 약 5,160 주 1) $5,000 $4,500 $4,000 4,200 회계년도 2004 회계년도 2005 회계년도 2006 회계년도 2007 회계년도 2008 [ 그림 1] 미연방정부정보보호예산증가액추이 주 1) 회계년도 2005 년의정보보호예산증가액을회계년도 2005 FISMA Report 에서는 $5.0Billion 으로나타내고있음 제1장미국 343

제 5 편 제 1 장미국 제 2 절정보보호예산항목 제 5 편특집 1 주요국의정보보호예산 비국방부문의정보보호예산항목은대부분연방정부에서전사적시스템 (Enterprise System) 개발과유지보수, CIO(Chief Information Officer) 요구에따른보안업무수행, 접근통제시스템, 전자정부추진을위한 E-인증, 보안교육및훈련, 침입탐지, 사고대응, 취약성평가, 시스템보안인증에사용되는항목으로구성된다. 다른민간기관에비해많은정보보호예산항목분야를반영하고있는에너지부는시스템보안관리, 데이터에대한사용자계정, 권한, 백업, 저장, 보안설정관리, 전자매체비밀소거 (CREM : Classified Removable Electronic Media), 임무정보보호사업 (MIPP : Mission Information Protection Program), 인증및인가 (IV&V : Independent Validation and Verification) 유지보수, 디지털포렌식연구실 (CFL : Cyber Forensics Lab.) 운영등과같은정보보호예산을사용한다. 국토안보부는 CBP(Custom & Border Protection) 의정보보호사고대응센터 (CSIRC : Computer Security Incident Response Center) 를운영하여 CBP 정보시스템에대한악성코드, 바이러스, 불법접근을모니터링하고 CBP 네트워크관리자와컴퓨터사용자에게알려주는기능을수행하는예산이포함되어있다. 원자력규제위원회와전미과학재단은정보화예산대비정보보호예산의비율은높지만정보화예산규모자체가크지않아정보보호예산비율이높은것으로판단된다. 전미과학재단의보안예산의항목을살펴보았을때 IT 보안활동, 재난복구 (DR : Disaster Recovery), E-인증등에서사용될뿐특이한사항은없다. 원자력규제위원회의정보보호예산항목도원자력보안과사고대응실에서원자력시설의보안관련이벤트를수집하는웹서버보호, 정보보호교육, 보안인식지원, 보안준수여부추적, 사고대응, FISMA 검토수행, 보안테스트등에사용되는 IT 보안항목정도이다. 정보보호예산규모뿐만이아니라정보화예산대비정보보호예산비율에있어서상위를점유하고있는국방부문의정보보호예산항목은정보보증 (IA : Information Assurance) 이라는용어를사용한항목을 6가지로분류하여사용하고있다. 국방부문의정보보증예산항목중첫번째항목은정보자체를보호하기위하여사용되는예산으로 PKI 기반환경, 암호장비현대화, 정보보호, 생체인식, 연합군과의정보공유를위한개발및유지보수에사용되는예산이다. 정보보증의두번째항목은컴퓨터와네트워크를보호하는데사용되는예산으로위협, 취약성, 결함을인지하고대비하는데사용되고있으며두번째예산항목의목표는모든시스템을통제하에있도록하는것이다. 정보보증의세번째항목은상황인지 (Situation Awareness) 및조정통제 (C2 : Command & Control) 에사용되는예산으로 CERT(Computer 344 2008 국가정보보호백서

제 1 장미국 제 5 편 Emergency Response Team) 팀운영등에서사용하는예산이다. 정보보증의네번째항목은부대내혹은부대간의정보보증능력을동적으로지원하기위해사용되는예산으로모든군에서사용하는예산이아니라육군과국방부예산항목에서만이항목을포함하고있다. 정보보증의다섯번째항목은교육훈련에사용되는예산이고여섯번째항목은전투가아닌일반행정업무 ( 계약, 지불등 ) 에대한정보보호을지원하는데사용되는예산이다. 제 5 편특집 1 주요국의정보보호예산 제1장미국 345

제 5 편 제 2 장유럽연합 제 2 장 유럽연합 제 1 절정보보호연구개발예산 제 5 편특집 1 주요국의정보보호예산 유럽연합 (EU : European Union) 의제6차프레임워크프로그램 (FP6 : Framework Program 6) 은범유럽적인공동연구개발을통한유럽의경쟁력강화와 21세기지식기반사회에서 EU의과학기술을유지하는것을목표로 2002년부터 2006년까지수행되었다. FP6는 EU내연구개발의중복, 일관성결여, 파편화등비효율성을제거하고과학기술기반을구축하며 EU 차원의연구개발결과의보급및활용을추진하는사업이라할수있다. FP6 의중점연구사업중정보사회기술 (IST : Information Society Technologies) 은 5년간 36억유로가사용되었으며 IST 프로그램의일환으로수행된정보보호분야의과제는총37개과제로 2억 4천만유로였다 (http://coordis.europa.eu/). 2007년부터 2013년까지추진되는제7차프레임워크프로그램 (FP7) 은 FP6에서추구한노력들을보다현실화하고구체화하는것으로프로그램의기간이 5년에서 7년으로늘어났고투자규모도대폭확대 (FP6의 3배 ) 되었다. FP7에서추진되는정보보호분야의과제는네트워크인프라보호, 서비스인프라보호, ID 관리, 프라이버시, 생체정보, 협력활동등에 9억유로가책정되었다 (http://cordis.europa.eu/fp7/ict/security/projects_en.html). 정보보호관련프로젝트는 [ 표 3] 과같이 IP(Integrated Projects), STREP(Specific Targeted Research Project), NoE(Networks of Excellence), CA(Coordination Actions) 로구분되어진다. 346 2008 국가정보보호백서

제 2 장유럽연합 제 5 편 [ 표 3] 유럽연합의 FP7 정보보호프로젝트예산 ( 단위 : 유로, 원 ) 항목 세부항목 시작일 기간 예산 MASTER 2008년 2월 1일 36개월 15,034.874(21,048,823,600원 ) PRIMELIFE 2008년 3월 1일 36개월 15,065.056(21,091,078,400원 ) IP TAS3 2008년 1월 1일 48개월 13,177.238(18,448,133,200원 ) TECOM 2008년 1월 1일 36개월 9,007.964(12,611,149,600원 ) TURBINE 2008년 1월 1일 36개월 9,914.342(13,880,078,800원 ) ACTIBIO 2008년 1월 3일 36개월 4,359.296(6,103,014,400원 ) AVANTSSAR 2008년 1월 1일 36개월 6,070.955(8,499,337,000원 ) AWISSENET 2008년 1월 1일 26개월 3,097.279(4,336,190,600원 ) CACE 2008년 1월 1일 36개월 4,733.079(6,626,310,600원 ) CONSEQUENCE 2008년 1월 1일 36개월 4,583.509(6,416,912,600원 ) GEMOM 2008년 1월 1일 30개월 4,605.722(6,448,010,800원 ) INTERSECTION 2008년 1월 1일 24개월 4,624.845(6,474,783,000원 ) STREP MOBIO 2008년 1월 1일 36개월 3,988.091(5,583,327,400원 ) PICOS 2008년 1월 2일 36개월 5,951.136(8,331,590,400원 ) PRISM 2008년 1월 3일 24개월 3,219.274(4,506,983,600원 ) SECURESCM 2008년 1월 2일 36개월 3,455.803(4,838,124,200원 ) SHIELDS 2008년 1월 1일 30개월 4,426.188(6,196,663,200원 ) SWIFT 2008년 1월 1일 30개월 5,299.769(7,419,676,600원 ) WOMBAT 2008년 1월 1일 36개월 4,422.746(6,191,844,400원 ) NoE ECRYPT II 2008년 1월 8일 48개월 3,717.604(5,204,645,600원 ) CAAMBER 2008년 1월 1일 24개월 1,050.070(1,470,098,000원 ) FORWARD 2008년 1월 1일 24개월 889.950(1,245,930원 ) CA INCO-TRUST 2008년 1월 1일 30개월 830.000(1,162,000원 ) THINKTRUST 2008년 1월 1일 30개월 580.000(812,000원 ) 제 5 편특집 1 주요국의정보보호예산 * 출처 : http://cordis.europa.eu/fp7/ict/security/projects_en.html * 유로화대비원화환율은 1 유로 :1,400 원으로계산 제2장유럽연합 347

제 5 편 제 2 장유럽연합 제 2 절정보보호연구개발세부항목 제 5 편특집 1 주요국의정보보호예산 MASTER(Managing Assurance, Security and Trust for Services) 항목은 2008년 2월부터 36개월간지속될연구개발항목으로동적인환경을지원하기위한 SOA(Service Oriented Architecture) 보안을위한연구개발을진행하는사업이다. MASTER 사업에서는중앙집중적인도메인, 분산도메인, 아웃소싱도메인에서사용할수있는 SOA 보안기술을개발하게되고시범적으로은행 / 보험시스템과건강시스템에적용된다. PRIMELIFE(Privacy and Identity Management in Europe for Life) 와관련한내용은아직공개되지않았다. TAS3(Trusted Architecture for Security Shared Services) 는 2008년 1월부터 36개월간지속되는연구개발항목으로분산된개인정보를관리하는서비스를제공하는기술을개발하는사업이다. TAS3에서관리되는개인정보는도메인간 (cross domain) 에사용되며건강시스템에적용될예정이다. TECOM(Trusted Embedded Computing) 은 2008년 1월부터 36개월간진행되는연구개발항목으로개인컴퓨터와내장형컴퓨터의신뢰성을증가시키는사업으로모바일전화, 통신, 전자거래와같은산업의보안을향상시킬것으로기대하고있다. TURBINE(TrUsted Revocable Biometric IdeNtitiEs) 은 2008년 2월부터 36개월간진행되는연구개발항목으로개인프라이버시를향상시키는인증기술을개발하는사업이다. 암호기술과지문인식기술을사용하여프라이버시를향상시키는 ID를개발하고생체정보보호와관련된국제표준을개발하는것을 연구개발항목구분 협력활동 (CA) SREPs NoEs 통합프로젝트 (IP) PICOS PRISM SWIFT CONSEQUENCE INTERSECTION 네트워크보호 AWISSENET GEMON ECRYPT Ⅱ 국제협력 INCO-TRUST MASTER 서비스보호 AMBER FORWARE WOMBAT THINK TRUST SecureSCM AVANTSSAR CACE SHIELDS 신뢰성컴퓨팅 TECOM 프라이버시 PRIMELIFE TURBINE TAS3 안전한개발도구 MOBIO 바이오정보보호 ACTIBIO [ 그림 2] 유럽연합정보보호연구개발예산항목의내용별구분 348 2008 국가정보보호백서

제 2 장유럽연합 제 5 편 지원하게된다. ACTIBIO(Unobtrusive Authentication Using Activity Related and Soft Biometrics) 항목의세부내용은아직공개되지않았다. AVANTSSAR(Automated Validation of Trust and Security of Serviceoriented Architectures) 항목은 2008년 1월부터 36개월간진행되는사업으로빠르게변화하는요구와업무변화에대응하기위해사용되는 SOA의신뢰성과안전성을자동적으로유효화하도록하는기술을개발하는사업이다. AVANTSSAR은통신레이어, 응용레이어, 정책 (Policy) 을고려하여서비스조합을수행한다. AWISSENET(Ad-hoc PAN and WIreless Sensor SEcure NETwork) 항목은 2008년 1월부터 26개월간진행되는사업으로개인화네트워크 (PAN : Personal Area Network) 와무선센서네트워크간의보안과복원력을달성하는사업이다. 확장이가능하고안전하며신뢰할만한네크워킹프로토콜을구현하여자체적으로구성을변경하고데이터를안전하게배포하며 PAN/ 무선네트워크간및도메인간서비스가가능하도록하는것이다. CACE(Computer Aided Cryptography Engineering) 항목은 2008년 1월부터 36개월간진행되는사업으로특정한분야의소프트웨어에암호기능을제공하는도구박스를설계하고개발하는것이다. 도구박스를사용하면보안에대한비전문가도높은수준의암호응용체계를개발할수있고안정적인소프트웨어를만들수있게된다. Consequence(Context-aware data-centric information sharing) 항목은 2008년 1월부터 36개월간진행되는사업으로데이터를공유하기위한동적인관리정책을지원하기위해데이터작성, 분석, 관리를위한모델, 알고리즘, 도구를개발하고정책상황인지를통해정책을세부적으로조정할수있는모델을개발하고구현하며데이터공유를통제하는안전한메커니즘을개발한다. GEMOM(Genetic Message Oriented Secure Middleware) 항목은 2008년 1월부터 30개월간진행되는연구개발로복잡하게분산된정보시스템의단말간지능과복원력을증가시키는사업이다. GEMOM 사업을통해서자체적인치료와향상이가능한메시지기반의미들웨어를개발하게된다. GEMOM 연구자들은메시지를전달하는방법으로는공표 (publish) 와구독 (subscribe) 을고려하고있다. INTERSECTION(INfrastructure for heterogeneous, Resilient, SEcure, Complex, Tightly Inter- Operating Networks) 항목은 2008년 1월부터 24개월간진행되는사업으로이종의네트워크와기반환경의보호를보장하는것이목표이다. 이사업은상이한네트워크간의접점에대한취약성보호에중점을두고상이한네트워크취약성분석, 서로다른보안도구를통합하기위한요구사항분석, 네트워크시스템의보안과복구력향상을위한기술및도구개발, 표준개발을수행하게된다. MOBIO(Mobile Biometry) 항목은 2008년 1월부터 36개월간진행되는사업으로 PDA나이동전화같은매체에서생체인식을통한개인인증을지원하기위한기술을개발하는것 제 5 편특집 1 주요국의정보보호예산 제2장유럽연합 349

제 5 편 제 2 장유럽연합 제 5 편특집 1 주요국의정보보호예산 이다. MOBIO의생체인식은얼굴인식과목소리인식을통한인증에중점을둔다. PICOS(Privacy and Identity Management for Community Services) 항목은 2008년 2월부터 36개월간지속되는사업으로온라인커뮤니티에서개인 ID와프라이버시를향상시키기위한기술을개발하는것을목표로한다. PRISM(Privacy-aware Secure Monitoring) 항목의내용은아직공개되지않았다. SecureSCM(Secure Supply Chain Management) 항목은 2008년 2월부터 36개월간지속되는사업으로안전한공급망관리를위해데이터교환기밀성을위한프로토콜을설계하고개발하며개발된결과를항공산업과물류산업에적용하게된다. SHIELDS(Detecting known security vulnerabilities from within designand development tools) 항목은 2008년 1월부터 30개월간지속되는사업으로알려진보안취약성이소프트웨어개발도구에서제거되도록하기위한것이다. 보안전문가의지식이소프트웨어개발도구에적용되어안전한소프트웨어가개발되도록한다. 인터넷상에 SVRS(Security Vulnerabilities Repository Service) 를만들어최신의취약성정보를유지하고이정보가개발도구에적용되거나개발자가활용하도록한다. SWIFT(Secure Widespread Identities for Federated Telecommunications) 항목은 2008년 1월부터 30개월간지속되는연구개발사업으로계층간에 ID를사용할수있도록하는기술을개발하는것이다. 유비쿼터스연결, 사용자중심의이동성, SSO 기반의수직적, 수평적연합을지원하게된다. WOMBAT(Worldwide Observatory of Malicious Behaviours and Attack Threats) 항목은 2008년 1월부터 36개월간지속되는사업으로인터넷을활용하는경제활동자와네티즌을대상으로존재하는위협과새로이등장하는위협을이해할수있는새로운수단을제공하는것이다. 이를위해보안관련원천 (raw) 데이터를수집하고다양한분석기술을제공하며현상에대한정밀조사를통해충분한이해를제공한다. ECRYPTII(European Network of Excellence in Cryptology - Phase II) 항목과관련된내용은아직공개되지않았으며 2008년 8월에공개될예정이다. AMBER(Assessing, Measuring, and Benchmarking Resilience) 항목은 2008년 1월부터 24개월간진행되는사업으로컴퓨터시스템의복원력의기준을정하고상대적인평가를통하여컴퓨터시스템의복원력을벤치마킹하는사업이다. FORWARD(Managing Emerging Threats in ICT Infrastructures) 항목은기반환경에새로이등장하는위협 ( 봇넷, 스파이웨어, 스팸, 피싱 ) 에대응하는사업으로학계와산업계의협력을증가시키고위협대응에대해서지속적인토의와협력을진행하게된다. INCO-TRUST (International Co-operation in Trustworthy, Secure and Dependable ICT infrastructure) 항목은 2008년 1월부터 30개월간진행되는사업으로안전하고신뢰성있는기반환경조성을위해국제적인협력을증진시키는사업이다. 이사업은기본적으로 EU의연구활동간에네트워크를 350 2008 국가정보보호백서

제 2 장유럽연합 제 5 편 마련하고협력을지원하며미국, 일본, 호주의연구자가참여하고캐나다, 한국이실험적으로참여할가능성이높은것으로판단하고있다. THINKTRUST(Think Tank for Converging Technical and Non-Technical Consumer Needs in ICT Trust, Security and Dependability) 항목은 2008년 1월부터 30개월간진행되는사업으로 ICT 기반환경사용자에게지능적이고사용자에게편리한보안환경을마련하는것을목표로한다. 제 5 편특집 1 주요국의정보보호예산 제2장유럽연합 351

제 5 편 제 3 장일본 제 3 장 일본 제 5 편특집 1 주요국의정보보호예산 일본정부의 2007년도정보통신관계예산은총무성 (MIC : Ministry of Internal Affairs and Communications) 정보통신정책국에서발간한 정보통신관계예산 세제 ( 안 ) 개요 를근거로작성되었다. 총무성은통신인프라의보안확보, 지방자치단체의보안확보의시책을실시하고있다. 2002년 7월에 ISP가중심이되어정보공유분석센터 (Telecom-ISAC Japan) 를설립하였고준비기간을거쳐 2003년 3월부터운용을개시하였다. Telecom-ISAC Japan의주된역할은통신관련기업의서비스시발생한침해사고대응에관한정보를수집ㆍ분석하여그결과를업계내에서공유하는것이다. 구체적으로는취약성정보제공, 포털사이트의운영, 침해사고정보수집ㆍ분석시스템의구축등의활동을하고있다. 한편, 총무성은지방자치단체의정보보호대책으로 2003년 12월 지방자치단체에대한정보보호감사가이드라인 을제정해지방자치단체의정보보호감사실시를촉진하고있다. 일본의회계년도는당해년도 4월에시작하여다음해 3월에끝이난다. 예를들어회계년도가 2007년이면 2007년 4월부터 2008년 3월까지를말하는것이다. 일본의 2007년도정보통신관계예산예정액은 994.7억엔으로예산이사용되는주요항목은 [ 표 4] 에서나타낸바와같이 u-japan 정책 의전개-통신 방송융합 제휴추진, 성장력 경쟁력 소프트파워의강화, 안심 안전한유비쿼터스네트워크사회의실현, 유비쿼터스네트워크정비, ICT 활용의고도화, 이용환경정비, 기술전략및국제전략추진등이있다. 352 2008 국가정보보호백서

제 3 장일본 제 5 편 [ 표 4] 일본정보통신관계예산 ( 단위 : 억엔 ) 항목 2007년예산 성장력, 경쟁력, 소프트파워의강화 140.7(1,266억 3천원 ) 안심, 안전한유비쿼터스네트워크사회의실현 41.4(372억6천만원 ) 유비쿼터스네트워크정비 392.0(3,528억원 ) ICT활용의고도화, 이용환경정비 85.8(772억2천만원 ) 기술전략추진 327.8(2,950억2천만원 ) 국제전략의추진 7.0(63억원 ) 합계 994.7(8,952억3천만원 ) * 엔화대비원화환율은 100 엔 :900 원으로계산 안심할수있고안전한유비쿼터스네트워크사회의실현을위해서는 41.4억엔의예산을 [ 표 5] 와같이예정하였다. 2006년 36.9 억엔에비해 12.2% 가증가한예산이다. 정보보호대책의강화를위해정보보호대책기술의연구개발이신규예산항목으로책정되었고네트워크의보안고도화등의항목과네트워크에관한보안위협의대처등의예산항목이 2006년에이어서계속반영되었다. 정보보호대책의강화항목전체는 2006년 17.0억엔에서약 50% 증가한 25.4억엔이반영되었다. 정보보호대책기술의연구개발에 10억엔이신규로반영되었기때문이나네트워크의보안고도화등의예산은 2006년 5.2억엔에서약 5.9% 삭감된 4.8억엔, 네트워크에관한보안위협의대처등의예산은 2006년 11.8억엔에서약 10.2% 삭감된 10.6억엔으로반영되었다. ICT에의한안심, 안전확보예산은 2006년 11.8억엔에서약 19.6% 이삭감된 16.0억엔이반영되었다. 제 5 편특집 1 주요국의정보보호예산 [ 표 5] 일본안심, 안전한유비쿼터스네트워크사회의실현예산 ( 단위 : 억엔 ) 항목 2007년예산 2006년예산 정보보호대책의강화 ( 소계 )25.4(228억6천만원) ( 소계 )17.0(153억원) 정보보안대책기술의연구개발 10.0(90억원 ) - 네트워크의보안고도화등 4.8(43억2천만원 ) 5.2(46억8천만원 ) 네트워크에관한보안위협의대처등 10.6(95억4천만원 ) 11.8(106억2천만원 ) ICT에의한안심, 안전확보 ( 소계 )16.0(144억원) ( 소계 )19.9(179억1천만원) 합계 41.4(372억6천만원 ) 36.9(332억1천만원 ) * 엔화대비원화환율은 100 엔 :900 원으로계산 제3장일본 353

제 5 편특집 2 정보보호기술연구동향 제1장개요및컨퍼런스동향제2장주제별국제정보보호연구동향제3장국가별국제정보보호연구동향제4장국내정보보호기술연구동향

제 1 장개요및컨퍼런스동향 제 5 편 제 1 장 개요및컨퍼런스동향 제 1 절대상선정및분석방법 기술의변화속도가빠른컴퓨터나정보통신분야에서는시간이많이걸리는논문지에 게재하기보다는권위있는컨퍼런스에신속히발표하는경향이있어논문실적은 2007년 1월이후 1년간의국제컨퍼런스에실린논문만을대상으로했다. 또한전세계의수많은국제컨퍼런스들중에서정보보호분야의학계및산업체에영향력이큰상위 34개의컨퍼런스에실린논문을분석대상으로하였다. 조사대상컨퍼런스의세부선정및분류기준은다음과같다. 논문채택률 (Acceptance ratio) [ 표 1] 조사대상의선정및분류기준 논문채택률은좋은컨퍼런스를선별하는데있어매우중요한지표임에틀림없다. 또한적용하기쉬운방법중에하나이다. 그러나제출수에비해낮은논문채택이라고하여무조건좋은컨퍼런스라고단정하는것은곤란하다. 제 5 편특집 2 정보보호기술연구동향 논문의질과파급효과 논문심사위원들의자질 학술대회등록자수 / 발표논문수의비율 역사적으로정평이나있는유명한논문들이얼마나많이해당컨퍼런스를통해발표되었는가? 해당컨퍼런스에서발표된논문들이정보보호분야에얼마나많은영향을미치는가? 해당컨퍼런스에서발표된논문들을다른연구자가얼마나많이인용하고 ( 피인용도 ) 연구하고있는가? 논문심사위원들의자질은어떠한가, 논문심사위원들이해당분야에서유명한사람들인가, 는해당컨퍼런스의수준을평가하는데있어매우중요한요소이다. 왜냐하면보통좋은논문들은저명한심사위원들이있는컨퍼런스에투고되는경향이있으며, 또한좋은심사위원들은투고되는논문들중에서우수한논문들을선별해낼수있는능력을갖고있기때문이다. 해당분야에파급효과가작은컨퍼런스일수록주로논문을발표하는사람만참석하는반면에파급효과가큰컨퍼런스의경우에는발표자외에도여러사람들이참석해서최신연구동향을들으려고할것이다. 그러므로학술대회등록자수 / 발표논문수의비율은논문채택률과더불어또하나의정량적인지표로써좋은컨퍼런스를선별하는데이용될수있다. 제1장개요및컨퍼런스동향 357

제 5 편 제 1 장개요및컨퍼런스동향 개최장소 컨퍼런스개최장소가교통이편리하고아름다운도시일수록많은사람들이논문을투고하려할것이다. 학술대회연혁역사가오래된컨퍼런스일수록좋은전통과높은명성을갖고있다. 산업체와의연계성 이항목은해당컨퍼런스의산업계에대한영향력을반영한다. 일반적으로산업체에미치는파급효과가큰컨퍼런스일수록업체로부터더많은지원을받을수있을것이고, 이러한지원은다시컨퍼런스의질을높이는데재투자될수있다. 제 5 편특집 2 정보보호기술연구동향 상기 7개의기준을토대로정보보호분야에서영향력있는상위 34개 ( 상 : 총6개, 중 : 총10개, 하 : 총18개 ) 의컨퍼런스를선정해보면다음과같다.(Guofei Gu s Computer Security Conference Ranking and Statistics Page 1) 및 Changyu Dong s Security Conference Ranking Page 2), Computer Science Conference Rankings by The University of Alberta 3), Computer Security and Privacy Conference Ranking by Conference-Ranking.org 4) 참조 ) [ 표 2] 정보보호분야에서영향력있는상위컨퍼런스 등급 컨퍼런스명 S&P IEEE Symposium on Security and Privacy CCS ACM Conference on Computer and Communications Security 상 Crypto International Cryptology Conference Eurocryp teuropean Cryptology Conference Security USENIX Security Symposium NDSS ISOC Network and Distributed System Security Symposium ACSAC Annual Computer Security Applications Conference 중 Asiacrypt BlackHat CSFW Defcon DSN ESORICS ICCC RAID RSA International Conference on the Theory and Application of Cryptology and Information Security BlackHat Briefings IEEE Computer Security Foundations Workshop Defcon The International Conference on Dependable Systems and Network European Symposium on Research in Computer Security International Common Criteria Conference International Symposium on Recent Advances in Intrusion Detection RSA Conference 358 2008 국가정보보호백서

제 1 장개요및컨퍼런스동향 제 5 편 등급 컨퍼런스명 하 ACISP ACNS CHES DRM FC FSE ICICS ICISC IH ISC(ISW) IWIA NSPW PKC SACMAT SASN SEC TCC WORM Australasia Conference on Information Security and Privacy International Conference on Applied Cryptography and Network Security Workshop on Cryptographic Hardware and Embedded Systems ACM Workshop on Digital Rights Management Financial Cryptography Fast Software Encryption International Conference on Information and Communications Security International Conference on Information Security and Cryptology Workshop on Information Hiding Information Security Conference / Information Security Workshop IEEE International Workshop on Information Assurance New Security Paradigms Workshop International Workshop on Public-Key Cryptography ACM Symposium on Access Control Models and Technologies ACM Workshop on Security of Ad-Hoc and Sensor Networks IFIP International Information Security Conference Theory of Cryptography Conference ACM Workshop on Rapid Malcode 1) http://www.cc.gatech.edu/people/home/guofei/sec_conf_stat.htm 2) http://www.doc.ic.ac.uk/~cd04/ranking.html 3) http://www.cs.ualberta.ca/~zaiane/htmldocs/confranking.html 4) http://conference~ranking.org/csp.html 제 5 편특집 2 정보보호기술연구동향 제1장개요및컨퍼런스동향 359

제 5 편 제 1 장개요및컨퍼런스동향 제 2 절컨퍼런스별소개및동향 1. S&P 컨퍼런스 IEEE(Institute of Electrical and Electronics Engineers) 의 Computer Society에서후원하는가장대표적인정보보호관련컨퍼런스로서시스템보안및네트워크보안에대해주로다룬다. S&P 컨퍼런스는 1980년에처음개최된이후매년 5월미국 California에서개최되고있다. S&P 컨퍼런스의평균피인용도 (# of Citations / # of Publications) 는 12.93이다. 제 5 편특집 2 정보보호기술연구동향 2. CCS 컨퍼런스 ACM(Association for Computing Machinery) 은 1947년에설립된컴퓨터분야의학회로서, 현재약 78,000명의회원이있으며뉴욕시에본부를두고있다. CCS 컨퍼런스는 ACM 의 SIGSAC (Special Interest Groups on Security, Audit, and Control) 이후원하는가장대표적인정보보호관련컨퍼런스로서 1993년처음개최된이후매년 10월과 11월사이에개최되고있으며, 그주제도암호에서부터시스템보안, 네트워크보안에이르기까지다양하다. 참고로세계최초의공개키암호알고리즘인 RSA도 ACM에서출간하는저널인 CACM(Communications of the ACM) 에서최초로발표된바있다. CCS 컨퍼런스의평균피인용도는 9.91이다. 3. Crypto 컨퍼런스 Crypto 컨퍼런스는 1981년에처음개최된이후매년 8월 California의 University of California, Santa Barbara에서매년개최되고있다. IACR(International Association for Cryptologic Research) 이후원하는 3대대표암호컨퍼런스중하나로서암호설계이론및암호분석이론을주제로하고있다. Crypto 컨퍼런스의평균피인용도는 8.53이다. 2007년컨퍼런스는암호학전반에관련논문이발표되었고분석에는총 4편의논문이발표되었다. 또한이론에는총 6편의논문이발표되었다. 최근암호학계의큰이슈가없는관계로이론적인논문이증가한것으로판단된다. 360 2008 국가정보보호백서

제 1 장개요및컨퍼런스동향 제 5 편 4. Eurocrypt 컨퍼런스 Eurocrypt 컨퍼런스는 1982년독일에서처음개최된이후매년봄유럽에서개최되고있다. Crypto 컨퍼런스, Asiacrypt 컨퍼런스와더불어 IACR(International Association for Cryptologic Research) 이후원하는 3대대표컨퍼런스중하나로서암호설계이론및암호분석이론을주제로하고있다. Eurocrypt 컨퍼런스의평균피인용도는 6.79이다. 평균참석자수는약 500명인데 2007년에는 400여명으로감소하였으며블록암호등의실용적인암호프리미티브에대한연구가성숙한단계에서새로운연구주제를찾다보니논문이이론연구에치중하는것으로나타났다. 5. Security 컨퍼런스 1975년에설립된 USENIX 학회에서후원하는가장대표적인정보보호관련컨퍼런스로서, 올해로 17회째가된다. 시스템보안, 네트워크보안을주제로하고있다. Security 컨퍼런스의평균피인용도는 8.56이다. 6. NDSS 컨퍼런스 ISOC(Internet Society) 는 1992년에설립된인터넷분야의학회로서, 현재약 80여개의기관회원과약 24,000여명의개인회원이있으며미국워싱턴과스위스제네바에본부를두고있다. NDSS 컨퍼런스는 ISOC가후원하는가장대표적인정보보호관련컨퍼런스로서 1995년처음개최된이후매년 2월에 California, San Diego에서개최되고있다. NDSS는시스템보안, 네트워크보안을주제로하고있다. 특히 NSA, NIST, 구글, IBM 등에서후원하는것으로도유명하다. NDSS 컨퍼런스의평균피인용도는 7.28이다. 제 5 편특집 2 정보보호기술연구동향 7. ACSAC 컨퍼런스 1985년에설립된비영리단체인 ACSA(Applied Computer Security Associates, 옛명칭은 Aerospace Computer Security Conference) 가후원하는컴퓨터보안분야의컨퍼런스로서 1985년처음개최된이후매년개최되고있다. ACSAC 컨퍼런스의평균피인용도는 2.31 이다. 제1장개요및컨퍼런스동향 361

제 5 편 제 1 장개요및컨퍼런스동향 8. Asiacrypt 컨퍼런스 제 5 편특집 2 정보보호기술연구동향 1990년호주, Sydney에서 Auscrypt란이름으로처음개최된이후매년 11월과 12월사이에아시아와호주각지를돌며개최되고있다 (1991년부터 Asiacrypt 란명칭을사용 ). Crypto 컨퍼런스, Eurocrypt 컨퍼런스와더불어 IACR(International Association for Cryptologic Research) 이후원하는 3대대표컨퍼런스중하나로서암호설계이론및암호분석이론을주제로개최되고있다. Asiacrypt 컨퍼런스의평균피인용도는 3.88이다. 2007년발표논문은기반이론을포함하여응용프로토콜까지다양한암호이론분야의내용을다루고있고새로운개념의소개보다는기존의알려져있는결과의개선이나안전성위주의내용이다. 해쉬함수 /MAC 분야는 3편의해쉬함수결합방식설계, 2편의 MAC 계산방식의개선, 2편의해쉬함수분석논문이제안되어다양한세부분야에대한학계의관심을반영하였다. 암호기반이론분야에서는 7편의 Multiparty Computation 논문과 1편의 Zero- Knowledge, 1편의 Quantum Computation 논문이발표되었다. 특히 Multiparty Computation 분야는예년의 3~4 편이발표되던것에비해많은논문이발표되었다. 공개키암호분야는기반문제대한논문분석 (2편, RSA 관련 ), 타원곡선구현 (1편), 프로토콜 (5편), 설계 (2편), 안전성분석이론 (1편) 에이르기까지다양한내용이다루어졌고 RFID에대한안전성개념을소개하는논문이특징적으로발표되었다. 블록 / 스트림암호는이전보다다소비중이적었고이론적인분석내용이주로발표되었다. 그러나최근많은관심을받고있는그래픽하드웨어를이용한블록암호구현논문이발표된것에주목할필요가있다. 9. BlackHat 컨퍼런스 BlackHat Briefings는 1997년 Jeff Moss가컴퓨터보안전문가들을위해만들었다. 기업부문보안전문가들이모여기업환경측면의문제들을논의하는행사로서 Defcon보다는좀더전문화된행사이다. Defcon이일반인들이많이참석하는행사인데비해, BlackHat은현재기업들의보안에관한수준높은기술들에대한논의가오간다. 매년아시아, 유럽, 미국에서각각다른시기에행사가열리고있다. BlackHat Briefing 이외에 BlackHat Training 행사가있는데, 이것은기술적인논의보다는실제기술들을실습해볼수있는교육과정의일종이다. 2007년 BlackHat Briefings에서는커널보안, 응용프로그램보안, 제로데이공격과방어, 역공학, 포렌식등총 14가지주제에대한세미나가개최되었고윈도우및리눅스시스템보안측면에서는새로운기법이나획기적인이슈는발표되지않았다. 362 2008 국가정보보호백서

제 1 장개요및컨퍼런스동향 제 5 편 10. CSFW 컨퍼런스 CSFW는 1986년에 Don Good이쓴논문, The Foundations of Computer Security - We Need Some 을계기로만들어진컨퍼런스로서, 1988년이래매년 IEEE(Institute of Electrical and Electronics Engineers) 의 Computer Society의후원하에개최되고있다. CSFW 컨퍼런스의평균피인용도는 8.20 이다. 11. Defcon 컨퍼런스 1993년부터시작한국제해킹컨퍼런스로서일명 Dark Tangent로불리는 Jeff Moss가창시했으며, 매년 7,000여명의해커들과일반인들이참여한다. 매년 7월말미국 Las Vegas에서열리는 Defcon 행사는크게두가지로나눌수있는데, 하나는세계적인보안전문가와해커들이자신들의기술을발표하고토론하는세미나이다. 다른하나는컨퍼런스에참가한해커들이직접실력을겨루는다양한컨테스트이벤트이다. 2007년 Defcon 15에서는시스템보안과공격, 역공학, 포렌식등 PC관련공격 / 방어에관한주제발표가있었고무선환경, Z-phone, GPS 등주변장치에대한해킹기법이발표되었다. 다수의주제가 BlackHat에서발표된내용과중복되었고방대한분량이 75분의짧은시간동안에간략히발표되어내용자체가개요수준을벗어나지못하는경우가많았다. 컨테스트에서는아마츄어 CTF(Capture the Flag) 및언더그라운드해커들간의 CTF가진행되었다. 한국의 Song of Freedom 팀이본선에진출하여 6위에입상하였다. 제 5 편특집 2 정보보호기술연구동향 12. DSN 컨퍼런스 DSN 컨퍼런스는기존에 IEEE Computer Society가후원하던 FTCS(International Symposium on Fault-Tolerant Computing) 와 IFIP WG 10.4가후원하던 DCCA(Working Conference on Dependable Computing for Critical Applications) 가하나로합쳐져만들어진컨퍼런스로서, dependable computing 분야를주로다루고있다. 또한 30년이상의역사를가진 FTCS 컨퍼런스와 8년이상의역사를가진 DCCA 컨퍼런스를그모체로하고있기때문에좋은전통과높은명성을갖고있다. DSN 컨퍼런스의평균피인용도는 2.00이다. 제1장개요및컨퍼런스동향 363

제 5 편 제 1 장개요및컨퍼런스동향 13. ESORICS 컨퍼런스 ESORICS 컨퍼런스는 1990년에처음개최된이후매년 9월과 11월사이에유럽각지를돌며개최되고있다. 초기에는 2년에한번씩개최되었으나 2002년부터는매년개최되고있다. 주로시스템보안분야를다루고있고 ESORICS 컨퍼런스의평균피인용도는 4.79이다. 14. ICCC 컨퍼런스 제 5 편특집 2 정보보호기술연구동향 ICCC 컨퍼런스는정보보호시스템평가를위한국제기준인 CC(Common Criteria) 와관련된각종정책및기술이논의되는평가 인증분야의최고권위의컨퍼런스로서, 2000년 5월에제1차 ICCC가개최된이래매년 CCRA 가입국들을순회하며개최되고있다. 2007년컨퍼런스에는 215명이등록하여참석자가감소하는추세이고공통평가기준, 인증업무관리, 타표준과의관계, 기술적이슈등 3개트랙에서 65개의논문이발표되었다. 15. RAID 컨퍼런스 RAID 컨퍼런스는 1998년에벨기에에서처음개최된이후매년 9월에개최되고있는침입탐지분야의대표적인컨퍼런스중하나이다. RAID 컨퍼런스의평균피인용도는 3.31이다. 16. RSA 컨퍼런스 RSA 컨퍼런스는 17,000명이상의사람들과 350개이상의업체가참가하는정보보호분야최대규모의전시회겸컨퍼런스로서, 1991년에처음시작된이후매년 4월미국 San Francisco에서개최된다. 지역별로 RSA Conference USA, RSA Conference Europe, RSA Conference Japan 등이있으며, 모두 RSA Security사 (the Security Division of EMC) 에서후원한다.( 자세한사항은 www.rsaconference.com을참조 ) 17. 기타위에서언급된 16개의컨퍼런스외에조사대상이되는 34개의컨퍼런스중다소특징적인것들을살펴보면다음과같다. CHES 2007은 1999년컨퍼런스가시작된이래가장많은참석인원인 300여명이참석하였다. 발표논문은최근몇년동안부채널공격이나공개키암호쪽으로편중된면이있었으나암호구현과관련된다양한분야및주제로균형을맞추기위해노력하였으며학회주최측인 Graz 364 2008 국가정보보호백서

제 1 장개요및컨퍼런스동향 제 5 편 공대에서많은준비를하였다. FSE 2007은해쉬함수 6편, 스트림함수 8편, 블록암호 7편, 기타 7편등총 28편의논문이발표되었다. 해쉬함수분야는 MD4 및 MD5에대한기존공격개선논문과 PANAMA, FORK- 256에대한공격논문, Rijndael과유사한구조의해쉬함수 Grindahl 설계논문이발표되었다. 스트림암호분야는 estream에제안된스트림암호를분석하는논문과스트림암호안전성분석논문이발표되었다. 블록암호분야는기존공격을개선한 slide 공격, related key rectangle 공격논문과 CLEFIA, DESL 등의경량블록암호설계논문이발표되었다. PKC 2007은전자서명 8편, 공개키암호이론 10편, 암호프로토콜 10편, 기타 4편등총 32개논문발표및강연이있었다. 전자서명분야는효율성이나안전성이개선된링 (ring) 시그니처및그룹시그니처 (group signature) 에대한연구결과들이주로발표되었고공개키암호이론분야는격자 (lattice) 기반암호와다변수다항식기반암호에관한설계및분석결과들이발표되었다. 암호프로토콜분야는다자환경에서의 fair exchange에관한안전성모델및구성방법, 그리고 millionaire s problem 해결을위한개선된 secure multiparty computation 기법이소개되었다. 이외에우리나라에서주관하고있는 ICISC 컨퍼런스가있다. ICISC 컨퍼런스는한국정보보호학회가후원하고있는국제암호컨퍼런스로서 1998년에처음개최된이후매년서울에서개최되고있다. ICISC 컨퍼런스의평균피인용도는 0.53이다. 제 5 편특집 2 정보보호기술연구동향 [ 표 3] 기타컨퍼런스의주제별분류 컨퍼런스주제 명칭 대분류 소분류 CHES 암호 암호H/W구현 DRM 시스템보안 DRM FC 암호 금융암호 FSE 암호 대칭키암호 IH 암호 정보은닉 IWIA 시스템보안, 네트워크보안 정보보증 PKC 암호 공개키암호 SACMAT 시스템보안 접근제어 SASN 네트워크보안 센서네트워크보안 TCC 암호 암호이론 WORM 시스템보안, 네트워크보안 악성코드 제1장개요및컨퍼런스동향 365

제 5 편 제 2 장주제별국제정보보호연구동향 제 2 장 주제별국제정보보호연구동향 상위 34개주요정보보호컨퍼런스에발표된 2007년논문들을연구주제별로분석해보면전체 1,514편의논문중암호분야의논문이 31.77% 인 481편으로가장많았고, 그뒤로시스템보안분야가 28.27% 인 428편, 네트워크보안분야가 15.52% 인 235편, 평가 인증분야가 4.56% 인 69편, 해킹 / 바이러스분야가 3.83% 인 58편, 기타가 16.05% 인 243편발표되었다. 제 5 편특집 2 정보보호기술연구동향 3.83% 4.56% 15.52% 16.05% 28.27% 31.77% 암호시스템보안기타네트워크보안 평가인증 해킹 / 바이러스 [ 그림 1] 상위 34 개주요컨퍼런스논문주제별비율 366 2008 국가정보보호백서

제 2 장주제별국제정보보호연구동향 제 5 편 제 1 절암호분야연구동향 암호분야논문수는다음그림과같이암호분석, 공개키암호, 암호이론, 해쉬함수, 특수서명, 다자간연산, 키관리전자서명, 안정성증명, 부채널 / 은닉채널, 암호구현등의순으로발표되었다. 암호분석공개키암호암호이론해쉬함수특수서명다자간연산키관리전자서명안전성증명부채널 / 은닉채널암호구현워터마킹비밀분산전자상거래 VoIP PKI 프로토콜분석프로토콜인증암호화대칭키암호메시지인증개인정보보호 RFID 전자투표소프트웨어구현블록암호하드웨어보안지적재산권보호정보이론정보은닉전자화폐심층암호스트림암호난수생성기 Lattice 전자여권임베디드프로세서양자암호랜덤오라클데이터원격보관 E-mail 보안하드웨어구현타임스탬프취약점분석접근제어장치식별익명통신소수생성기데이터원격접속데이터보관기타 9 8 7 7 6 6 6 6 6 5 5 4 4 4 4 3 3 3 3 3 3 3 3 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 24 24 24 21 19 17 17 15 14 41 35 ( 단위 : 건수 ) 0 20 40 60 80 100 120 96 제 5 편특집 2 정보보호기술연구동향 [ 그림 2] 주제별국제정보보호기술연구동향 - 암호 제2장주제별국제정보보호연구동향 367

제 5 편 제 2 장주제별국제정보보호연구동향 제 2 절시스템보안분야연구동향 시스템보안분야의논문수는다음그림과같이소프트웨어보안, 접근제어, 사용자인증, 하드웨어구현, 악성코드, 운영체제보안, 데이터베이스보안, 개인정보보호, 포렌식, 금융보안등의순으로발표되었다. ( 단위 : 건수 ) 제 5 편특집 2 정보보호기술연구동향 소프트웨어보안접근제어사용자인증하드웨어구현악성코드운영체제보안데이터베이스보안개인정보보호포렌식금융보안역공학 DRM 평가침입탐지시스템생체인식루트킷침투테스트정보누출취약점분석정보보호임베디드보안분산처리해킹정보감사저장장치보안블루투스 RFID MPEG 보안 CAS 파일시스템정책정보은닉전자투표위험분석신뢰컴퓨팅부채널 / 은닉채널보안정책보안사고물리적보안멀웨어게임이론기타 6 5 5 5 5 5 4 4 3 3 3 3 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 14 11 20 26 33 33 47 0 10 20 30 40 50 60 70 80 90 100 57 95 [ 그림 3] 주제별국제정보보호기술연구동향 - 시스템보안 368 2008 국가정보보호백서

제 2 장주제별국제정보보호연구동향 제 5 편 제 3 절네트워크보안분야연구동향 네트워크보안분야의논문수는웹보안이월등히많은건수를나타내고있고무선네트워크, 접근제어, 트래픽분석, 익명통신, 침입탐지시스템, 무선보안, 침입방지시스템, 악성코드, 사용자인증, 개인정보보호등의순으로발표되었다. 웹보안무선네트워크접근제어트래픽분석익명통신침입탐지시스템무선보안침입방지시스템악성코드사용자인증개인정보보호응용보안스팸안전성증명신규위협멀웨어피싱역공학센서네트워크보안 RFID IPv6 로그분석네트워크기반침입탐지 VoIP 회피호스트기반침입탐지취약성분석이상기반침입탐지웜분산시스템내부위협및비정상행위탐지평가키관리침입차단시스템전자상거래은닉채널온라인뱅킹안전성분석부채널 / 은닉채널보안정책 1 1 1 1 1 1 1 1 1 7 7 6 5 5 4 4 3 3 3 3 3 2 2 2 2 2 2 2 2 10 10 9 8 8 8 12 17 16 19 ( 단위 : 건수 ) 0 5 10 15 20 25 30 35 40 45 40 제 5 편특집 2 정보보호기술연구동향 [ 그림 4] 주제별국제정보보호기술연구동향 - 네트워크보안 제2장주제별국제정보보호연구동향 369

제 5 편 제 2 장주제별국제정보보호연구동향 제 4 절평가인증분야연구동향 평가인증분야의논문수는평가정책이대부분을차지하고스마트카드, 소프트웨어, 전자여권, 생체인식, RFID 순으로발표되었다. ( 단위 : 건수 ) 평가정책 51 스마트카드 5 제 5 편특집 2 정보보호기술연구동향 소프트웨어전자여권생체인식 RFID POS/ATM 전자투표운영체계 2 2 1 1 1 1 5 0 10 20 30 40 50 60 [ 그림 5] 주제별국제정보보호기술연구동향 - 평가인증 370 2008 국가정보보호백서

제 2 장주제별국제정보보호연구동향 제 5 편 제 5 절해킹 / 바이러스분야연구동향 해킹 / 바이러스분야의논문수는네트워크보안, 소프트웨어보안, 취약성탐지 / 테스트, 웹보안, 악성코드, 역공학, 사회공학, 부채널 / 은닉채널순으로발표되었다. ( 단위 : 건수 ) 네트워크보안 소프트웨어보안취약성탐지 / 테스트 웹보안 악성코드 역공학 사회공학 2 3 6 6 부채널 / 1 은닉채널 0 5 10 15 20 10 11 19 제 5 편특집 2 정보보호기술연구동향 [ 그림 6] 주제별국제정보보호기술연구동향 - 해킹 / 바이러스 제2장주제별국제정보보호연구동향 371

제 5 편 제 2 장주제별국제정보보호연구동향 제 6 절기타 시스템보안, 네트워크보안, 평가인증, 해킹 / 바이러스외의분야에서는보안정책, 법 제도, 기업동향, 표준등의순으로발표되었다. 제 5 편특집 2 정보보호기술연구동향 보안정책법 제도기업동향표준보안일반포렌식보안응용보안사고처리가상세계정보보안관리보안윤리재해복구위험관리모델보안심리학구현 ROSI 평가암호인증교육 5 5 5 5 4 3 2 2 2 2 1 1 1 1 7 19 22 ( 단위 : 건수 ) 53 50 0 10 20 30 40 50 60 [ 그림 7] 주제별국제정보보호기술연구동향 - 기타 372 2008 국가정보보호백서

제 3 장국가별국제정보보호연구동향 제 5 편 제 3 장 국가별국제정보보호연구동향 제 1 절상위 6 개컨퍼런스연구동향 본절에서는 IEEE의 S&P 컨퍼런스, ACM의 CCS 컨퍼런스, IACR의 Crypto 및 Eurocrypt 컨퍼런스, USENIX의 Security 컨퍼런스, ISOC의 NDSS 컨퍼런스등상위 6개컨퍼런스를대상으로국가별정보보호기술연구동향을분석한다. 여기서 S&P 컨퍼런스, CCS 컨퍼런스, Security 컨퍼런스, NDSS 컨퍼런스등은시스템보안및네트워크보안을중심으로정보보호전분야에대해다루고있는반면, Crypto 컨퍼런스와 Eurocrypt 컨퍼런스는암호분야만을연구대상으로하고있다. 국가별로는전체 192편의논문중미국이 130편 (67.7%) 으로가장많은논문을발표하였고그뒤로프랑스가 9편 (4.69%), 스위스가 8편 (4.17%), 네덜란드와이스라엘이각각 7편 (3.64%), 영국이 6편 (3.12%), 독일이 5편 (2.60%), 덴마크가 4편 (2.08%), 캐나다가 3편 (1.56%), 벨기에와스페인, 오스트리아, 인도, 중국이각각 2편 (1.04%), 룩셈부르크및스웨덴, 싱가폴이각각 1편 (0.52%) 씩발표하였다. 제 5 편특집 2 정보보호기술연구동향 미국프랑스스위스네델란드 / 이스라엘영국독일덴마크캐나다벨기에 / 스페인 / 오스트리아 / 인도 / 중국룩셈부르크 / 스웨덴 / 싱가폴 4.69% 4.17% 3.64% 3.12% 2.60% 2.08% 1.56% 1.04% 0.52% ( 단위 : %) 67.7% 10 20 30 40 50 60 70 [ 그림 8] 상위 6 개컨퍼런스국가별논문비율 제3장국가별국제정보보호연구동향 373

제 5 편 제 3 장국가별국제정보보호연구동향 제 2 절중위 10 개컨퍼런스연구동향 제 5 편특집 2 정보보호기술연구동향 본절에서는 ACSAC 컨퍼런스, Asiacrypt 컨퍼런스, BlackHat 컨퍼런스, CSFW 컨퍼런스, Defcon 컨퍼런스, DSN 컨퍼런스, ESORICS 컨퍼런스, ICCC 컨퍼런스, RAID 컨퍼런스, RSA 컨퍼런스등중위 10개컨퍼런스를대상으로정보보호기술연구동향을분석한다. 여기서대부분의컨퍼런스들은시스템보안및네트워크보안을중심으로정보보호전분야에대해다루고있는반면, Asiacrypt 컨퍼런스는암호분야만을대상으로, ICCC 컨퍼런스는평가 인증분야만을연구대상으로한다또한 RAID 컨퍼런스는침입탐지분야만을연구대상으로하고있다. 국가별로는전체 881편의논문중미국이 657편 (74.57%) 으로가장많은논문을발표하였다. 그뒤로영국이 32편 (3.63%), 독일이 31편 (3.52%), 프랑스가 25편 (2.84%), 이탈리아와일본이각각 13편 (1.47%), 네덜란드, 스페인, 캐나다, 호주가각각 9편 (1.02%), 스위스가 7편 (0.79%), 스웨덴, 오스트리아와한국이각각 6편 (0.68%), 덴마크, 이스라엘, 포르투갈이각각 5편 (0.57%), 브라질과중국이각각 4편 (0.45%), 대만과러시아가각각 3편 (0.34%), 그리스와싱가폴, 아르헨티나, 에스토니아, 폴란드, 핀란드가각각 2편 (0.23%), 기타남아프리카공화국, 뉴질랜드, 룩셈부르크, 멕시코, 벨기에, 아일랜드, 이란, 홍콩등이각각 1편 (0.11%) 씩발표하였다. ( 단위 : %) 미국영국독일프랑스이탈리아 / 일본네델란드 / 스페인 / 캐나다 / 호주스위스스웨덴 / 오스트리아 / 한국 덴마크 / 이스라엘 / 포르투갈브라질 / 중국대만 / 러시아그리스 / 싱가폴 / 아르헨티나 / 에스토니아 / 폴란드 / 핀란드남아프리카공화국 / 뉴질랜드 / 룩셈부르크멕시코 / 벨기에 / 아일랜드 / 이란 / 홍콩 74.5% 3.63% 3.52% 2.84% 1.47% 1.02% 0.79% 0.68% 0.57% 0.45% 0.34% 0.23% 0.11% 10 20 30 40 50 60 70 80 [ 그림 9] 중위 6 개컨퍼런스국가별논문비율 374 2008 국가정보보호백서

제 3 장국가별국제정보보호연구동향 제 5 편 제 3 절하위 18 개컨퍼런스연구동향 본절에서는 ACISP 컨퍼런스, ACNS 컨퍼런스, CHES 컨퍼런스, DRM 컨퍼런스, FC 컨퍼런스, FSE 컨퍼런스, ICICS 컨퍼런스, IH 컨퍼런스, ISC 컨퍼런스, IWIA 컨퍼런스, NSPW 컨퍼런스, PKC 컨퍼런스, SACMAT 컨퍼런스, SASN 컨퍼런스, SEC 컨퍼런스, TCC 컨퍼런스, WORM 컨퍼런스및한국정보보호학회가주관하는 ICISC 컨퍼런스등하위 18개컨퍼런스를대상으로정보보호기술연구동향을분석한다. 여기서다른컨퍼런스들은정보보호전분야에대해다루고있는반면, CHES, FSE, PKC, TCC 컨퍼런스등은암호가주요연구대상이다. DRM(Digital Rights Managements) 컨퍼런스는디지털저작권관리를주요대상이며 WORM 컨퍼런스는네트워크보안을주요연구대상으로하고있다. 국가별로는전체 441편의논문중미국이 99편 (22.45%) 으로가장많은논문을발표하였다. 그뒤로중국이 50편 (11.34%), 독일과일본이각각 33편 (7.48%), 프랑스가 29편 (6.57%), 영국이 21편 (4.76%), 싱가폴이 15편 (3.40%), 네덜란드와캐나다가각각 14편 (3.17%), 벨기에와호주가각각 13편 (2.95%), 오스트리아와한국이각각 12편 (2.72%), 스위스가 11편 (2.49%), 이스라엘이 10편 (2.67%), 이탈리아가 9편 (2.04%), 대만과인도가각각 7편 (1.59%), 남아프리카공화국이 6편 (1.36%), 핀란드가 5편 (1.13%), 이란이 4편 (0.91%), 룩셈부르크, 스웨덴, 스페인이각각 3편 (0.68%), 그리스, 뉴질랜드, 덴마크, 브라질이각각 2편 (0.45%), 노르웨이, 러시아, 말레이시아, 아일랜드, 에스토니아, 폴란드, 푸에르토리코가각각 1편 (0.23%) 씩발표하였다. 제 5 편특집 2 정보보호기술연구동향 제3장국가별국제정보보호연구동향 375

제 5 편 제 3 장국가별국제정보보호연구동향 ( 단위 : %) 제 5 편특집 2 정보보호기술연구동향 미국 중국 독일 / 일본 프랑스 영국 싱가폴 네델란드 / 캐나다 벨기에 / 호주 오스트리아 / 한국 스위스 이스라엘 이탈리아 대만 / 인도 남아프리카공화국 핀란드 이란 룩셈부르크 / 스웨덴 / 스페인 그리스 / 뉴질랜드 / 덴마크 / 브라질노르웨이 / 러시아 / 말레이시아 / 아일랜드 / 에스토니아 / 폴란드 / 푸에르토리코 7.48% 6.57% 4.76% 3.40% 3.17% 2.95% 2.72% 2.49% 2.27% 2.04% 1.59% 1.36% 1.13% 0.91% 0.68% 0.45% 0.23% 11.34% 22.45% 5 10 15 20 25 [ 그림 10] 하위 18 개컨퍼런스국가별논문비율 376 2008 국가정보보호백서

제 4 장국내정보보호기술연구동향 제 5 편 제 4 장 국내정보보호기술연구동향 2007년국내에서연구되고발표된결과들은전반적으로세계최고수준과는다소격차가있으며, 연구주제도시스템보안및네트워크보안보다는주로암호에초점이맞추어져있다. 또한이러한암호분야에서도핵심원천이론을제안하기보다는주로기존에발표된이론의확장또는응용에연구의초점이맞추어져있다. 제 1 절컨퍼런스별국내정보보호기술연구동향 상위 34개주요정보보호컨퍼런스에발표된 1,514편의논문들중에서한국이지난한해동안발표한논문 ( 공동저자포함 ) 은총22편으로 1.45% 를차지하고있다. 이는전체 39개국중에 10위에해당하는실적이며, 아시아국가 9개국중에서 3위에해당한다. 제 5 편특집 2 정보보호기술연구동향 제4장국내정보보호기술연구동향 377

제 5 편 제 4 장국내정보보호기술연구동향 [ 표 4] 국내정보보호기술연구동향 제 5 편특집 2 정보보호기술연구동향 논문주제 컨퍼런스명칭 발표건수 대분류 소분류 CCS 1 암호 전자서명 Asiacrypt 1 암호 해쉬함수 ICCC 3 시스템보안, 네트워크보안 평가 인증, 생체인식 RSA 1 암호 사용자인증 RSA 1 암호 키분배 ACISP 1 암호 해쉬함수 ACISP 1 암호블록 암호 ACNS 1 암호 키관리 ACNS 2 암호 암호구현, 공개키암호 ACNS 1 암호 전자서명 FSE 1 암호 블록암호 ICICS 1 암호 암호구현 ICISC 1 시스템보안 접근제어 ICISC 1 시스템보안 생체인식 ICISC 1 암호 암호구현 IH 1 암호 정보은닉 PKC 1 암호 공개키암호 PKC 1 암호 다자간연산 PKC 1 암호 암호구현, 전자서명 합계 22 - - 378 2008 국가정보보호백서

제 4 장국내정보보호기술연구동향 제 5 편 제 2 절주제별국내정보보호기술연구동향 연구주제별로는한국이발표한 22편의논문중암호가 77.27% 인 17편으로가장많았고시스템보안및네트워크보안, 평가 인증등이 22.73% 인 5편을차지하였다. 또한암호분야중에서도외국은주로암호분석, 공개키암호, 암호원천이론, 해쉬함수, 특수서명, 다자간연산, 키관리등을연구하고있는데비해국내의경우주로암호구현, 해쉬함수, 키관리, 전자서명, 블록암호등을연구하고있는것으로조사되었다. 대분류암호시스템보안, 네트워크보안 [ 표 5] 주제별국내정보보호기술연구동향 논문주제 발표건수 소분류 공개키암호 1 다자간연산 1 블록암호 2 사용자인증 1 암호구현 5 전자서명 2 정보은닉 1 키관리 2 해쉬함수 2 생체인식 1 접근제어 1 평가 인증 3 합계 22 제 5 편특집 2 정보보호기술연구동향 제4장국내정보보호기술연구동향 379

제 5 편 제 4 장국내정보보호기술연구동향 국제컨퍼런스에실린국내정보보호기술논문의주제는다음과같이암호구현 (5건), 평가인증 (3건), 해쉬함수, 키관리, 전자서명, 블록함호 ( 이상 2건 ) 등이었다. ( 단위 : 건수 ) 제 5 편특집 2 정보보호기술연구동향 암호구현평가 인증해쉬함수키관리전자서명블록암호접근제어생체인식정보은닉사용자은닉다자간암호프로토콜공개키암호 0 1 2 3 4 5 6 [ 그림 11] 주제별국내정보보호기술논문수 380 2008 국가정보보호백서

제 6 편 부록 제1장정보보호인증제품목록제2장정보보호전문업체목록제3 장 2007년주요정보보호학술행사제4장정부조직법개정주요내용

제 1 장정보보호인증제품목록 제 6 편 제 1 장 정보보호인증제품목록 [ 정보보호제품인증현황 ] 가. 네트워크정보보호제품군 ( 인증일순 ) 개발사 제품명 평가등급 인증일 어울림정보기술 ( 주 ) SecureWorks ezwall V3.0어 EAL3+ 2003.10. 8 어울림정보기술 ( 주 ) SecureWorks V3.0 EAL3+ 2003.10. 8 ( 주 ) 모보 RAPTUS ICS V2.0 for x86 Solaris 9 EAL3+ 2004.10.21 어울림정보기술 ( 주 ) SECUREWORKS 2000 V4.0 EAL3+ 2004.11.15 어울림정보기술 ( 주 ) SECUREWORKS 1000 V4.0 EAL3+ 2004.11.15 어울림정보기술 ( 주 ) SECUREWORKS 3000 V4.0 EAL3+ 2004.11.15 어울림정보기술 ( 주 ) SECUREWORKS IPSWall 2000 V4.0 EAL3+ 2004.12.30 어울림정보기술 ( 주 ) SECUREWORKS V3.0 for SWOS EAL3+ 2004.12.30 어울림정보기술 ( 주 ) SECUREWORKS IPSWall 3000 V4.0 EAL3+ 2004.12.30 ( 주 )LG CNS SafezoneIPS V2.0(SZ-400) EAL3+ 2005. 6.15 ( 주 ) 시큐브 Secuve IDS 2.0 for SPARC Solaris 8 K4 2005. 4.22 ( 주 ) 윈스테크넷 SNIPER IPS V4.0 EAL3+ 2005. 5.24 시큐아이닷컴 ( 주 ) NXG 500 V1.0 EAL3+ 2005. 6.27 ( 주 )LG CNS SafezoneIPS V2.0(SZ-4000) EAL3+ 2005. 6.15 ( 주 )LG CNS SafezoneIPS V2.0(SZ-2000) EAL3+ 2005. 6.15 ( 주 ) 지모컴 WormBreaker IPS (v2.0) EAL3+ 2005. 7.26 시큐아이닷컴 ( 주 ) NXG IPS 2000 V1.3 EAL3+ 2005. 4.22 ( 주 ) 넥스지 VForce 1200 V1.0 EAL3+ 2005.10.20 ( 주 ) 인프니스 Soligate VPN-ng200 V1.0 EAL3+ 2005.10.20 ( 주 ) 퓨쳐시스템 SecuwaySuite 100 V2.0 EAL3+ 2006. 9.29 어울림정보기술 ( 주 ) SECUREWORKS IPSWall 1000 V4.0 EAL4 2006. 8.30 ( 주 )LG CNS SafeZoneIPS V3.0(SZ-4000) EAL4 2006. 8.30 어울림정보기술 ( 주 ) SECUREWORKS V3.0(for HP-UX) EAL3+ 2006. 3.10 ( 주 ) 퓨쳐시스템 SecuwaySuite 6000 V3.0 EAL3+ 2006. 9.29 제 6 편부록 ( 주 ) 인젠 NeoGuard@ESM Package V3.0 for SPARC Solaris is 8 K4 2006. 7.27 제1장정보보호인증제품목록 383

제 6 편 제 1 장정보보호인증제품목록 제 6 편부록 개발사 제품명 평가등급 인증일 ( 주 )LG CNS SafezoneNet V3.1 for SPARC Solaris 8 K4 2006. 2. 2 ( 주 ) 넥스지 VForce 5200 V1.0 EAL3+ 2006. 4.14 ( 주 )LG CNS SafeZoneIPS V2.0(SZ-2400) EAL3+ 2006. 2. 2 ( 주 ) 윈스테크넷 SNIPER IPS V4.0(A4000) EAL3+ 2006. 3.10 ( 주 ) 윈스테크넷 SNIPER IPS V4.0(A1000) EAL3+ 2006. 3.10 ( 주 )LG CNS SafeZoneIPS V2.0(SZ-4400) EAL3+ 2006. 2. 2 ( 주 ) 퓨쳐시스템 SecuwaySuite 6000 V3.0 +IPS EAL3+ 2006. 9.29 ( 주 ) 인젠 NeoWatcher@ESM Package V4.0 EAL3+ 2006. 2. 2 ( 주 ) 넥스지 Vforce 1700 V1.0 EAL3+ 2006.10.27 ( 주 ) 윈스테크넷 SNIPER IPS V5.0(E4000) EAL4 2006.10.27 ( 주 ) 윈스테크넷 SNIPER IPS V5.0(E2000) EAL4 2006.10.27 ( 주 ) 넥스지 Vforce 2200 V1.0 EAL3+ 2006.10.27 ( 주 ) 정보보호기술 TESS TMS V4.5 EAL4 2006.12.22 ( 주 ) 안철수연구소 수호신 Absolute 100-Firewall (V1.0) K4E 2007. 3.21 시큐아이닷컴 ( 주 ) NXG 2000 V1.0 K4 2007. 5.11 ( 주 ) 안철수연구소 수호신Absolute 1000-IDS(V1.0) K4 2007. 3.21 ( 주 ) 안철수연구소 수호신 Absolute 400-IDS(V1.0) K4 2007. 3.21 ( 주 ) 안철수연구소 수호신Absolute 1000-Firewall (V1.0) K4E 2007. 3.21 ( 주 ) 안철수연구소 수호신Absolute 100-IDS(V1.0) K4 2007. 3.21 ( 주 ) 정보보호기술 TESS V3.5 K4 2007. 3.21 ( 주 )LG CNS SafezoneIPSu V1.0(SZ240U) EAL4 2007. 4. 5 ( 주 )LG CNS SafezoneIPSu V1.0(SZ5XU) EAL4 2007. 4. 5 ( 주 ) 안철수연구소 수호신 Absolute 400-Firewall (V1.0) K4E 2007. 3.21 ( 주 ) 트리니티소프트 WEBS-RAY V2.0 EAL4 2007. 5.11 시큐아이닷컴 ( 주 ) SECUINXG V1.6 EAL4 2007. 6.22 시큐아이닷컴 ( 주 ) NXG IPS 6000 V1.6 EAL4 2007. 6.22 ( 주 ) 안철수연구소 Absolute IPS-NP v1.0 for 2000, 4000 EAL4 2007. 8.21 ( 주 ) 인프니스 Soligate UTM V2.0 EAL3+ 2007. 9.17 ( 주 ) 정보보호기술 TESS UTM V4.5 EAL3+ 2007. 9.17 ( 주 )XN시스템즈 XecureBOX V1.0 EAL3+ 2007.11. 1 ( 주 ) 퓨쳐시스템 FutureUTM V1.0 EAL4 2007.11.16 ( 주 ) 퓨쳐시스템 FutureUTM 100 V1.0 EAL4 2007.11.16 ( 주 ) 퓨쳐시스템 FutureUTM 3000 V1.0 EAL4 2007.11.16 ( 주 ) 퓨쳐시스템 FutureUTM 6000 V1.0 EAL4 2007.11.16 ( 주 ) 윈스테크넷 SNIPER IPS V6.0e EAL4 2007.12.21 * 출처 : IT 보안인증사무국, 2007 년 12 월 31 일기준 384 2008 국가정보보호백서

제 1 장정보보호인증제품목록 제 6 편 나. 정보보호기반제품군 ( 인증일순 ) 개발사 제품명 평가등급 인증일 ( 주 ) 니트젠 endess Professional V1.0 EAL2+ 2005.12.29 삼성SDS( 주 ) MULTOS SM10 R2 EAL4+ 2006. 9.29 어울림정보기술 ( 주 ) ActiveTSM V3.0 EAL4 2006.10.27 ( 주 ) 안철수연구소 V3Net for Windows Server 6.0 and AhnLab Policy Center 3.0 EAL4 2007. 9.17 ( 주 ) 안철수연구소 V3Pro 2004 and AhnLab Policy Center 3.0 EAL4 2007. 9.17 ( 주 ) 윈스테크넷 SNIPER itms V5.0(ETAS) EAL4 2007.12.21 * 출처 : IT보안인증사무국, 2007년 12월 31일 다. 컴퓨팅정보보호제품군 ( 인증일순 ) 개발사 제품명 평가등급 인증일 ( 주 ) 시큐브 Secuve TOS 2.0 EAL3+ 2005. 2.17 ( 주 ) 레드게이트 RedCastle V2.0 EAL3+ 2005. 2.17 어울림정보기술 ( 주 ) SECUREWORKS @Server V1.0 EAL3+ 2005. 2.17 티에스온넷 ( 주 ) REDOWL SecuOS V4.0 EAL3+ 2005. 2.17 ( 주 ) 티맥스소프트 Syskeeper OS Solaris9 V2.0 EAL3+ 2005. 6.27 ( 주 ) 레드게이트 RedCastle V2.0 for HP-UX EAL3+ 2005. 6.27 ( 주 ) 시큐브 Secuve TOS 2.0 for HP-UX EAL3+ 2005. 6.27 티에스온넷 ( 주 ) REDOWL SecuOS V4.0 for AIX EAL3+ 2005. 7.26 ( 주 ) 레드게이트 RedCastle v2.0 for AIX EAL3+ 2005.10.20 ( 주 ) 시큐브 Secuve TOS 2.0 for AIX EAL3+ 2005.11.15 티에스온넷 ( 주 ) REDOWL SecuOS V4.0 for HP-UX EAL3+ 2006. 7.27 ( 주 ) 시큐브 Secuve TOS 2.0 for HP-UX 11.23 EAL3+ 2006. 7.27 ( 주 ) 레드게이트 RedCastle V2.0 for RedHat EAL3+ 2006.12.22 ( 주 ) 레드게이트 RedCastle V2.0 for Asianux EAL3+ 2006.12.22 티에스온넷 ( 주 ) REDOWL SecuOS V4.0 for RHEL4 EAL3+ 2007. 1. 5 티에스온넷 ( 주 ) REDOWL SecuOS V4.0 for MS Windows 2003 EAL3+ 2007. 6.22 ( 주 ) 레드게이트 RedCastle V2.0 for Windows EAL3+ 2007.12.21 제 6 편부록 * 출처 : IT 보안인증사무국, 2007 년 12 월 31 일 제1장정보보호인증제품목록 385

제 6 편 제 1 장정보보호인증제품목록 [ 상용정보보호제품보안적합성검증현황 ] ( 인증일순 ) 제 6 편부록 개발사 제품명 평가등급 인증일 ( 주 ) 에스엠에스 블랙매직 V1.1 가 2007.01.10 ( 주 ) 윈스테크넷 Sniper IPS V4.0(A4000) 가 2007.01.25 Znzhen/ 한국캐드컴 AD-4(12)U, AD-100S 가 2007.04.03 ( 주 ) 이노토브 AnyEraser AED V1.0 가 2007.04.03 ( 주 ) 코엠아이티 KD-1 가 2007.04.03 ( 주 ) 휴먼랩 APM-10 가 2007.04.03 ( 주 ) 데이터텍 EDEw(x) V3.0 가 2007.04.10 ( 주 ) 소프트캠프 Secure KeyStroke V4.0 가 2007.06.04 ( 주 ) 스페이스인터내셔널 Space Eraser V2.0 가 2007.06.07 ( 주 ) 윈스테크넷 Sniper IPS V5.0(E2000) 가 2007.07.13 ( 주 ) 윈스테크넷 Sniper IPS V5.0(E4000) 가 2007.07.13 ( 주 ) 한국쓰리콤 TippingPoint UnityOne V1.2 다 2007.08.24 비엔비솔루션 ( 주 ) USB보안관리시스템 V1.4 가 2007.09.07 ( 주 ) 이우텔레콤 Firebox X Family : Core & Peak Series with Fireware V8.3 가 2007.09.14 ( 주 ) 트리니티소프트 WEBS-RAY V2.0 가 2007.09.14 ( 주 ) 잉카인터넷 nprotect KeyCrypt V4.0 가 2007.09.14 ( 주 ) 인젠 NeoWatcher@ESM Package V4.0 가 2007.10.02 ( 주 ) 파이널데이터 FINALeRASER V2.0 가 2007.11.06 ( 주 ) 소프트포럼 Xecure Express I 가 2007.11.06 ( 주 ) 소프트포럼 Xecure CK 가 2007.11.06 ( 주 ) 제이컴정보 e-pentagon V4.0 가 2007.11.28 ( 주 ) 신도리코 DataOverwriteSecurity Unit Type D 가 2007.12.05 한국제록스 ( 주 ) Fuji Xerox DocuCentre II, ApeosPort 가 2007.12.05 ( 주 ) 이네트렉스 DK-9000 가 2007.12.28 ( 주 ) 엘립시스 utoken Combo & 관리시스템 가 2007.12.28 ( 주 ) 그랜트시스템 ArcSight V3.0 가 2007.12.28 ( 주 ) 정원엔시스템 HC-3000 가 2007.12.28 * 출처 : IT 보안인증사무국, 2007 년 12 월 31 일기준 [ 상용암호모듈검증현황 ] ( 인증일순 ) 개발사제품명평가등급인증일 ( 주 ) 케이사인 KSignCASE V2.1 1 2007.09.06 고려대정보보호기술연구센터 KLIB V1.4 1 2007.12.03 한국정보인증 ( 주 ) SignGATE V1.0 1 2007.12.28 * 출처 : IT 보안인증사무국, 2007 년 12 월 31 일기준 386 2008 국가정보보호백서

제 2 장정보보호전문업체목록 제 6 편 제 2 장 정보보호전문업체목록 ( 가나다순 ) 번호 회원사명 대표이사 대표번호 주력분야 Homepage 1 ( 재 ) 그래픽스연구원 이배용 02-3277-4277 C보안, 데이터보안 www.igi.re.kr 2 나우콤 김대연 02-3412-6077 네트워크보안 www.nowcom.co.kr 3 ㄜ나일소프트 송영호 02-783-0961 취약성점검 www.nilesoft.co.kr 4 ㄜ넥스지 주갑수 02-577-8426 VPN www.nexg.net 5 넷시큐어테크놀러지ㄜ 박동혁 02-3465-7700 침입탐지시스템, 방화벽 www.netsecuretech.com 6 ㄜ뉴테크웨이브김재명 02-2027-0724 안티바이러스 www.viruschaser.com ( 바이러스체이서 ) 7 ㄜ니츠양태연 042-521-1100 가상사설망, 침입탐지 www.nitz.co.kr 8 ㄜ니트젠배영훈 031-451-9400 바이오인식 ( 지문 ) www.nitgen.com 9 닉스테크ㄜ박동훈 02-3497-8900 PC 보안 www.nicstech.com 10 ㄜ대정아이앤씨황규대 02-786-7175 통합보안솔루션 www.djic.co.kr 11 ㄜ더존정보보호서비스이찬우 02-2007-8013 통합네트워크보안솔루션 (UTM) www.duzoniss.co.kr 12 ㄜ데이콤정홍식 02-6220-1000 네트워크솔루션 www.dacom.net 13 듀얼시큐어코리아ㄜ이성재 02-540-5960 웹보안솔루션 www.dualsecure.co.kr 14 ㄜ드림시큐리티황석순 02-2233-5533 PKI, 암호 www.dreamsecurity.com 15 ㄜ디아이세미콘윤여훈 02-546-6977 정보보안솔루션공급개발 www.cybertek.co.kr 16 ㄜ디앤에스테크놀로지이원우 02-771-3985 통합 PC 보안 www.dnst.co.kr 17 ㄜ디엠디양해인 042-630-6600 네트워크보안솔루션 www.dmdworld.com 18 ㄜ디엠엑스코리아김민철 02-558-7170 VoIP 솔루션 www.dmxkorea.com 19 ㄜ디젠트안필현 02-3420-3113 지문인식 www.digent.co.kr 20 주식회사디지털에셋신익섭 02-597-7301 DRM www.digitalasset.co.kr 21 ㄜ레드게이트김기현 02-404-1441 서버보안 www.redgate.co.kr 제 6 편부록 22 롯데정보통신ㄜ오경수 02-2626-4001 그룹정보보호진단, www.idcc.co.kr 정보보호컨설팅 23 리얼아이디테크놀러지ㄜ송종해 02-2108-3260 바이오인증 ( 지문 ) www.realid.co.kr 24 ㄜ마이그룹김진환 055-362-8797 인식시스템, 서명인증 www.mmigroup.net 25 ㄜ명정보기술이명재 043-218-8400 데이터복구 www.myung.co.kr 26 ㄜ모니터랩이광후 02-749-0799 네트워크보안 ( 웹방화벽 ) www.montiorapp.com 27 바이오인식ㄜ이민영 02-853-8257 지문인식 www.biokeysystem.com 28 ㄜ베니트변보경 02-2028-9744 IT 서비스컨설팅업체 www.benit.co.kr 29 ㄜ블루닉스김의선 02-572-7906 지문인식 www.bluenics.com 30 ㄜ비전파워이용악 02-2051-0033 통합 PC 보안 www.vpower.com 31 ㄜ비티웍스권오준 02-2644-6746 보안솔루션개발, 유무선보안 www.somansa.com 32 서울통신기술ㄜ송보순 02-2225-6655 홈네트워크 www.softrun.com 33 ㄜ세이퍼존 권창훈 02-525-1410 통합PC보안시스템 ( 웜방지및정보유출방지 ) www.saferzone.com 34 ㄜ소만사 김대환 02-2164-6300 DB보안 www.somansa.com 제2장정보보호전문업체목록 387

제 6 편 제 2 장정보보호전문업체목록 번호 회원사명 대표이사 대표번호 주력분야 Homepage 35 ㄜ소프트런 황태현 02-3446-9491 보안패치 (PMS) www.softrun.com 36 소프트포럼ㄜ 김상철 02-526-8300 PKI, 암호 www.softforum.com 37 주식회사솔메이즈 전동열 02-2103-2410 사용자인증, 스팸방지특허 www.solmaze.com 38 ㄜ슈프리마 이재원 031-783-4505 지문인식 www.suprema.co.kr 39 시만텍코리아ㄜ 윤문석 02-3468-2000 안티바이러스 www.symantec.com 40 ㄜ시큐브 홍기융 02-2028-1200 PC보안 www.secuve.com 41 시큐아이닷컴ㄜ 김종선 02-3783-6600 네트워크보안 (IPS) www.secui.com 42 ㄜ씨앤씨 최상호 043-236-5114 데이터복구 www.data114.com 43 ㄜ아이리텍 김대훈 02-872-3812 홍채인식시스템 www.iritech.com 제 6 편부록 44 ㄜ아이에스엔이용희 042-471-3446 침입차단, 침입탐지 www.isone.co.kr 시스템공급, 판매 45 ㄜ안랩시큐브레인이병철 02-568-4525 서버보안 www.secubrain.com 46 ㄜ안철수연구소오석주 02-2186-6000 안티바이러스 www.ahnlab.com 47 ㄜ애드시큐김원태 02-525-1991 지문인식 www.adsecu.com 48 어울림정보기술 ( 주 ) 박동혁 02-2142-0500 네트워크보안 (VPN) www.oullim.co.kr 49 에듀위즈주식회사문승주 062-350-2456 보안교육 www.eduwiz.co.kr 50 에스티지시큐리티ㄜ문재철 02-2027-5566 보안컨설팅 www.stgsecurity.com 51 ㄜ에어큐브김유진 02-801-0092 인증서비스 ( 유무선통합인증 ) www.aircuve.com 52 ㄜ에이쓰리시큐리티컨설팅한재호 02-6292-3001 보안관제, 컨설팅 www.a3sc.co.kr 53 ㄜ엑스큐어넷이재형 02-567-0961 백신 www.xcurenet.com 54 ㄜ엔라인시스템김월영 053-942-3177 보안솔루션개발, 해킹방지 www.n-line.co.kr 55 엘에스데이타ㄜ이경훈 02-3485-5500 IT 서비스및성능관리 www.lsdata.co.kr 56 엘지엔시스ㄜ정태수 02-705-3259 네트워크보안 (IPS) www.lgnsys.com 57 엠큐릭스ㄜ박현주 02-2253-8882 유무선보안인증솔루션 www.mcurix.com (GPKI 인증시스템 ) 58 예스인코퍼레이티드정수진 02-579-8844 전자파, 전파무향실 www.yesinc.co.kr 59 오리엔트측기컴퓨터강창구 02-527-8009 하드디스크크러셔 www.orient-jnk.co.kr 서울사무소 60 오픈정보기술ㄜ김정기 053-752-0234 침입차단, 침입탐지 www.opit.co.kr 시스템공급, 판매 61 와이즈파이스트코리아ㄜ박치만 02-6001-3781 PC 보안, 네트워크보안 www.wyse.co.kr 62 ㄜ와치텍박권재 02-783-1334 EMS www.watchtek.co.kr 63 워터월시스템즈ㄜ이종성 02-2142-1010 내부정보유출방지 www.wwsystems.co.kr 64 ㄜ웨어밸리손삼수 02-743-4910 DB 보안 www.warevalley.com 65 ㄜ위너다임강창구 042-866-6551 개인정보보호솔루션, www.wdigm.co.kr 유비쿼터스보안, 컨설팅 66 나우콤김대연 02-3412-6077 네트워크보안 www.nowcom.co.kr 67 ㄜ윈아이티곽남영 042-825-2495 무선취약점진단 www.cqcom.com 68 유넷시스템ㄜ심종헌 02-2028-9000 네트워크접근제어기술 www.unetsystem.co.kr 69 ㄜ유니온커뮤니티신요식 02-3488-3000 지문인식 www.unioncomm.co.kr 70 ㄜ유풍정보기술최영문 070-7019-4554 공급, 판매 ( 침입차단시스템, www.ypit.co.kr VPN, 침입탐지시스템 ) 71 ㄜ이글루시큐리티이득춘 02-3452-8814 통합관젠 (ESM) www.igloosec.co.kr 72 이니텍ㄜ김중태 02-2140-3500 PKI, 암호 www.initech.com 73 ㄜ이비즈네트웍스 박기범 02-1544-7803 통합보안백신 www.pcclear.co.kr 74 ㄜ이비지니스테크놀로지 한재호 02-333-7323 정보자산위험관리시스템 www.ebiztec.com 388 2008 국가정보보호백서

제 2 장정보보호전문업체목록 제 6 편 번호회원사명대표이사대표번호주력분야 Homepage 75 ㄜ인젠임병동 02-3475-4800 네트워크보안 www.inzen.com 76 ㄜ인젠육동현 02-3475-4955 보안관제, 보안컨설팅, www.isservice.co.kr 시큐리티서비스 PC보안, 침입차단, IDS 77 인포섹ㄜ김봉오 02-2104-5114 보안관제, 컨설팅 www.skinfosec.co.kr 78 ㄜ인프니스정규수 02-766-6803 통합보안솔루션 www.infnis.com 79 ㄜ잉카인터넷주영흠 02-6220-8000 PC 보안 www.inca.co.kr 80 ㄜ정보보호기술조명제 02-6003-0999 네트워크보안 (IDS) www.infosec.co.kr 81 ㄜ제이컴정보문재웅 02-6675-7770 통합보안관제 (ESM) www.jcsi.co.kr 82 ㄜ조은시큐리티최성백 02-556-7970 침입방지시스템 www.joeunsecurity.com 83 ㄜ지란지교소프트오치영 02-425-6100 안티스팸 ( 스팸메일차단 ) www.jiran.com 84 ㄜ지모컴한상진 02-420-8952 IPS www.zimocom.co.kr 85 ㄜ케이사인최승락 02-564-0182 PKI, 암호 www.ksign.com 86 케이씨시큐리티주식회사이상훈 02-6090-6060 보안관제, 컨설팅 www.kccsecurity.com 87 크리니티ㄜ유병선 070-7018-0030 메일보안, 스팸브레이커 www.3rsoft.com 88 킹스정보통신ㄜ오충건 02-554-5441 PC 보안, 키로깅방지 www.kings.co.kr 89 테스텍ㄜ박상길 041-529-3000 바이오인식 ( 지문 ) www.testech.co.kr 90 ㄜ테크스피어최환수 02-523-4715 바이오인식 ( 손혈관 ) www.tech-sphere.com 91 ㄜ트루컷시큐리티심재승 02-3448-0880 해킹방지솔루션 www.truecutsecurity.com 92 ㄜ티아이에스에스허창용 051-743-4383 침입차단, 침입탐지 www.tissnet.com 시스템공급, 판매 93 티에스온넷ㄜ임연호 042-360-5000 시큐 OS www.tsonnet.co.kr 94 ㄜ파수닷컴조규곤 02-560-1800 콘텐츠보안 ( 문서보안, DRM) www.fasoo.com 95 ㄜ파이오링크조영철 02-2025-6900 보안장비스위치 (L4~7) www.piolink.co.kr 96 퍼스텍ㄜ전용우 02-556-9233 바이오인식 ( 얼굴인식 ) www.firsteccom.co.kr 97 펜타시큐리티시스템ㄜ이석우 02-780-7728 네트워크보안 www.pentasecurity.com 98 ㄜ퓨쳐시스템김광태 02-6220-7777 네트워크보안 (IPS, 통합보안 ) www.future.co.kr 99 프롬투정보통신 ( 주 ) 김영국 042-864-2500 통합보안 ( 라우터 ) www.from2.co.kr 100 ( 주 ) 하우리김희천 02-3676-1100 백신 www.hauri.co.kr 101 ㄜ한국마이크로소프트유재성 02-531-4841 보안 S/W www.microsoft.co.kr 102 ㄜ한국사이버결제송윤호 02-2108-1000 전자결재 www.kcp.co.kr 제 6 편부록 103 한국 IBM 이휘성 02-3781-7114 보안컨설팅 www.ibm.com/kr 정보보호컨설팅서비스 104 ㄜ한국 IT 감리컨설팅최지윤 02-582-2400 정보보호안전진단, 정보시스템감리기술사업 www.itall.net 105 한국전자인증ㄜ신홍식 02-1566-0566 인증서비스 www.crosscert.com 106 ㄜ한국전자증명원박명길 02-2025-7570 인증서비스 www.evali.com 107 ㄜ한국정보보호교육센터서광석 02-921-1465 보안교육 www.kisec.co.kr 108 한국정보인증주식회사김인식 02-360-3030 인증서비스 www.signgate.com 109 한국통신인터넷기술ㄜ이민수 02-597-0600 보안컨설팅, 보안관제 www.kt-is.co.kr 110 ㄜ한국트렌드마이크로장명정 02-561-0990 안티바이러스 www.trendmicro.co.kr 111 ㄜ한비로권택술 02-1544-4755 스팸차단, 보안서버 hanbiro.com 112 ㄜ한인터네트웍스 김명락 02-860-8000 네트워크통합보안, 문서보안 www.haninter.net 113 ㄜ휴제닉스 이남일 02-568-1593 지문인식 www.hugenics.co.kr * 출처 : 한국정보보호산업협회 (KISIA), 2008.01 * 업체명은가나다순으로정리 제2장정보보호전문업체목록 389

제 6 편 제 3 장 2007 년주요정보보호학술행사 제 3 장 2007 년주요정보보호학술행사 행사명주최일시장소주요내용 제3회사이버안전의날 국가정보원 3.27 르네상스호텔 ( 서울삼성동 ) 행자부 외교부 NSC 등유관부처관계자 700여명참석, 사이버안전대국민홍보 주최 : 한국정보보호진흥원 제 6 편부록 제13회정보통신망정보보호워크숍 (NETSEC-KR) 2007국방정보보호컨퍼런스 주관 : 한국정보보호학회후원 : 정보통신부, 한국전자통신연구원, 한국정보통신기술협회, 한국정보보호산업협회, 전자신문사주최 : 국군기무사령부, 고려대학교, 한국정보보호진흥원후원 : 국가정보원, 정보통신부, 국가보안기술연구소, 한국정보보호산업협회, 한국정보보호학회, 한국사이버테러정보전학회 4.24 ~25 5.22 코엑스 ( 서울삼성동 ) 공군회관 ( 서울대방동 ) 차세대정보보호기술을선도하기위한최근연구결과와국내외기술동향, 표준화에대한심도있는토의를진행유비쿼터스환경에부합하는국가사이버위기관리체계, 미래네트워크중심전을대비한정보보호발전방향과기술들을소개하고, 대학해킹대응동아리에서 RFID 해킹신기술을시연 정보보호교육워크숍 주최 : 한국정보보호진흥원주관 : 한국정보보호학회 6.8 코엑스 ( 서울삼성동 ) 정보보호교육방법및기술동향에대한심도있는토의 제12회정보보호심포지움 (SIS) 주최 : 한국정보보호진흥원후원 : 국가정보원, 정보통신부 6.27 롯데호텔 ( 서울잠실 ) 통합과융합시대의정보보호이슈와전략논의 국내정보보안종사자들에게 제 19 회정보보호와암호에관한학술대회 (WISC2007) 주최 : 국가보안기술연구소주관 : 국가정보원, 국방부, 정보통신부 9. 18 ~ 19 정보통신공무원교육원 ( 천안 ) 교류의장을제공하고정보보안기술향상을위해실무교육, 교양강좌, 논문발표, 장비전시등을수행 금융정보보호컨퍼런스 (FISCON 2007) 주최 : 금융보안연구원후원 : 금융감독위원회, 금융감독원 10.11 전국경제인연합회 ( 서울여의도 ) 최근금융보안이슈및대응전략논의 390 2008 국가정보보호백서

제 3 장 2007 년주요정보보호학술행사 제 6 편 행사명주최일시장소주요내용 제 4 차아세안 지역안보포럼 (ARF) 사이버테러리즘세미나 주최 : 국가사이버안전센터, 외교부 10.16 ~19 파라다이스호텔 ( 부산해운대 ) 필리핀 베트남 중국등 25 개국대표단참석, 국가간사이버테러대응방안협의 신종해킹에대한보안위협을 제11회해킹방지워크샵 주최 : 한국정보보호진흥원, 한국침해사고대응팀협의회 11.21 ~22 교육문화회관 ( 서울양재동 ) 유형별로소개하고, 기업정보보호담당자차원에서정보보호관리업무를수행하는방법토론 금융 ISAC 교육문화회관 기술세미나주최 : 금융결제원 11.28 ( 서울양재동 ) 사이버공격탐지현황및보안관제기법, 인터넷뱅킹웹체계취약점, 은행권정보보호체계구축사례토의 분야별정보보호전문협의회세미나 주최 : 정보보호전문협의회 ( 안전진단, 바이오, 보안서버, Security PR 전문협의회 ) 주관 : 한국정보보호산업협회 12.21 섬유센터 ( 서울삼성동 ) 기업내전산및정보보호담당임직원과전문협의회소속회원사들을대상으로개인정보보호를위한보안서버정책, 스팸동향및대응방안, 바이오인식솔루션을통한효과적인정보보호방법론토의 제 6 편부록 금융ISAC 세미나 주최 : 금융 ISAC 12.27 코스콤 ( 서울여의도 ) 기업 IT 보안전략접근방법토의 * 정부부처명칭은 2007 년기준으로작성됨 제3장 2007년주요정보보호학술행사 391

제 6 편 제 4 장정부조직법개정주요내용 제 4 장 정부조직법개정주요내용 본백서는 2007년 12월현행정부조직을기준으로작성되었다. 독자의이해를돕기위해 2008년 2월전부개정된 정부조직법 을간단히소개하고자한다. 제 6 편부록 2008년 2월정부는국경없는무한경쟁시대에국민에게희망을주는일류정부를건설하기위하여, 기획예산처와재정경제부를통합하여기획재정부를신설하는등정부기능을효율적으로재배치하기위한조직개편을단행하였다. 정부조직법 전부개정법률에따라, 과학기술부, 정보통신부, 해양수산부가폐지되고행정자치부가행정안전부로, 산업자원부가지식경제부로, 건설교통부가국토해양부로확대되었다. 또한, 정부는 2008년 2월법률 8867호로 방송통신위원회의설치및운영에관한법률 을제정 공포하여방송, 통신, 전파연구및관리에관한업무를담당하는방송통신위원회를설치하였다. 대통령비서실 + 대통령경호실 대통령실 국무총리비서실 + 국무조정실 국무총리실 금융감독위원회 + 재정경제부 ( 금융정책 ) 금융위원회 방송위원회 + 정보통신부 ( 정보통신규제 ) 방송통신위원회 기획예산처 + 재정경제부 ( 금융정책제외 ) 기획재정부 교육부 + 과학기술부 ( 기초과학 ) 교육과학기술부 외교통상부 + 통일부 ( 통일정책 ) 외교통일부 행정자치부 + 중앙인사위원회 + 비상기획위원회 + 정통부 ( 전자정부, 정보보호 ) 행정안전부 산업자원부 + 정보통신부 ( 정보통신산업정책 ) + 과학기술부 ( 산업기술 ) 지식경제부 건설교통부 + 해양수산부 ( 항만, 해운물류 ) + 농림부 ( 산림정책 ) + 행정자치부 ( 지적 부동산관리 ) 국토해양부 392 2008 국가정보보호백서

제 4 장정부조직법개정주요내용 제 6 편 제 6 편부록 제4장정부조직법개정주요내용 393

부록 색인 색 인 ㄱ ㅁ 제 6 편부록 가상사설망 (VPN) 206, 289 게이트웨이방화벽 200 경제협력개발기구 (OECD) 8, 86, 88, 116 공개키기반구조 (PKI) 215, 292 공개키암호 215 공공기관개인정보보호심의위원회 39 공공기관의개인정보보호에관한법률 116, 177 공인정보시스템감리사 (CISA) 265, 267 공인정보시스템보안전문가 (CISSP) 265, 267 국가보안기술연구소 (NSRI) 68 국가사이버안전대책회의 33, 35 국가사이버안전센터 (NCSC) 43 국가사이버안전전략회의 33, 42 국가정보보안연합회 (NISA) 78 국방정보전대응센터 49 국제공통평가기준 (CC) 43 국제상호인정협정 (CCRA) 43 금융결제원 133 금융보안연구원 (FSA) 70 기업보안관리 (ESM) 235 ㄴ 네트워크기반침입탐지시스템 (NIDS) 202 네트워크접근제어 (NAC) 237 ㄷ 다자간암호프로토콜 380 대칭키암호 365 디지털기회지수 (DOI) 7 디지털저작권관리 (DRM) 241 메모리해킹 14 무선침입방지시스템 (WIPS) 198, 207 물류정책기본법 179 ㅂ 바이오인식 219 방화벽 200 보안운영체제 (Secure OS) 205, 291 보안토큰 138 보이스피싱 ⅹ, 123 봇넷 148 분산서비스거부공격 (DDoS) 23 블록암호 361, 365, 379 ㅅ 사용자인증 216, 224, 236 사이버테러대응센터 (CTRC) 66 센서네트워크보안 229 스마트카드 217 스파이웨어 209 스팸메일 141, 210 시그니처기반의오용탐지시스템 202 싱글사인온 (SSO) 216 싱크홀 (Sinkhole) 57, 59 ㅇ 아세안지역안보포럼 85, 391 아시아PKI컨소시엄 87 아시아바이오인식컨소시움 (ABC) 87 암호화표준보안모듈 (API) 92 양자암호와이브로 (WiBro) 230 웹2.0 11, 12 394 2008 국가정보보호백서

색인 제 6 편 웹방화벽 201 인터넷범죄수사센터 63 인터넷본인확인서비스 (G-PIN) 118 인터넷침해사고대응지원센터 55 일회용비밀번호 (OTP) 224 ㅈ ㅌ 통합계정관리 (IM/IAM) 236 통합보안시스템 (UTM) 285, 288 통합접근관리 (EAM) 236 트로이목마 200, 208, 209 ㅍ 전자서명 133 전자서명법 170, 175 전자여권 226 전자정부 48, 78, 92, 98 전자정부법 34, 172 접근제어 200, 237 정보보호안전진단 54, 106 정보보호관리체계 (ISMS) 109 정보보호대상 158 정보보호전문가 (SIS) 265 정보보호전문협의회 391 정보보호컨설팅전문업체 104 정보통신기반보호법 99, 191 정보통신기반보호위원회 99 정보통신망이용촉진및정보보호등에관한법률 106, 121, 193 정보통신윤리위원회 161, 195 정부온라인원격근무서비스 (GVPN) 96 좀비 (Zombie) 59 주민번호대체수단 (i-pin) 130 주요정보통신기반시설 36, 99 ㅊ 초경량암호 204, 213 침입방지시스템 (IPS) 287 침입차단시스템 200, 287 침입탐지시스템 202 ㅋ 파밍 9 패치관리시스템 (PMS) 278, 288 피싱 9, 22, 211 ㅎ 한국사이버테러정보전학회 (KIAS) 83 한국전자통신연구원 (ETRI) 69 한국정보보호산업협회 (KISIA) 79 한국정보보호진흥원 (KISA) 68, 255 한국정보보호학회 (KIISC) 82 한국침해사고대응팀협의회 (CONCERT) 81 해쉬함수 (Hash function) 212 행정전자서명인증시스템 (GPKI) 94 호스트기반침입탐지시스템 (HIDS) 203 A AES 213 APCERT 57 ARP 스푸핑 15, 24 Asiacrypt 362 B BlackHat 362 Brute Force 27 C 제 6 편부록 키분배 214 C2 344 CBP 344 색인 395

제 6 편 색인 제 6 편부록 CC 43 CCRA 43, 85 CCTV 117, 177 CERT 47, 57, 70, 81 CISA 267 CISSP 267 CREM 344 CSFW 363, 374 D DARPA 214 Defcon 363 DESL 213 DRM 241 DSN 363 E, F, H ESORICS 364 FISMA 343 HIPAA 243 I ICAO ⅱ, 226 IPv6 244 ISAC 391 ITU-T 232 IV&V 344 M MERIDIAN 86 MIPP 212, 344 N NESSIE 213 NIST 361 NSRI 68 O OMB 339 OTP 224 P PC보안 291 PKI 292 PMI(Privilege Management Infrastructure) 216 PMS 200 R RAID 364 RBL 150 RFID 129, 227 RSA 215 S SHA 212, 213 SIS 390 SOX 88 SSL(Secure Socket Layer) 131 SSO 216 U UCC ⅷ USN 229 V Virut 48, 58 VoIP 101, 244 W WEP 227 WPKI 230 396 2008 국가정보보호백서

2008 국가정보보호백서집필진 1. 주관기관 : 국가정보원, 방송통신위원회 2. 지원기관 : 국가보안기술연구소, 한국정보보호진흥원 3. 협조기관 : 국방부, 행정자치부, 교육인적자원부, 검찰청, 경찰청, 한국정보보호산업협회 ( 가나다순 ) 집필위원 김소정 ( 국가보안기술연구소 ) 김성훈 ( 한국정보보호진흥원 ) 김승주 ( 성균관대학교 ) 김인중 ( 국가보안기술연구소 ) 김희은 ( 한국정보보호진흥원 ) 민복기 ( 한국정보보호진흥원 ) 서형준 ( 국가보안기술연구소 ) 이종화 ( 한국정보보호진흥원 ) 윤준범 ( 한국정보보호진흥원 ) 임을규 ( 한양대학교 ) 정길원 ( 한국정보보호산업협회 ) 정준현 ( 단국대학교 ) 최명길 ( 중앙대학교 ) 최석진 ( 국가보안기술연구소 ) 국가정보원관계자 5명정보통신부관계자 3명 자문위원 김병수 ( 단국대학교 ) 김세헌 (KAIST 산업공학과교수 ) 류재철 ( 충남대학교전기정보통신공학부교수 ) 박동훈 ( 정보보호산업협회장 ) 박석준 ( 국가정보보안연합회산학연협의회장 ) 배영훈 ( 정보보호산업협회장 ) 신경춘 ( 국가정보보안연합회산학연협의회장 ) 이홍섭 ( 한국정보보호학회회장 ) 이철원 ( 국가보안기술연구소정책실장 ) 임종인 ( 고려대학교정보경영공학대학원장교수 ) 정경호 ( 한국정보보호진흥원정책개발단장 ) 정태명 ( 성균관대학교정보통신공학부교수 )

제 6 편

제 6 편 2008 국가정보보호백서 발행일자 발행기관 2008 년 4 월발행 국가정보원 방송통신위원회 본백서내용은국가정보원과방송통신위원회의사전허가없이무단전제를금합니다. 국가정보원 www.nis.go.kr 방송통신위원회 www.bcc.go.kr ( 비매품 )