2012 국가정보화백서 National Informatization White Paper
제4 편 신뢰할 수 있는 정보이용환경 조성 제1장 안전한 사이버환경 조성 제2장 개인정보보호 활동 강화 제3장 건전한 정보문화 기반 강화 제4장 정보격차 해소 추진
제1장 안전한 사이버환경 조성 제1장 안전한 사이버환경 조성 제1절 정보보호 정책 수립 1. 우리나라 정보보호 현 위치 1987년부터 20여 년간 추진한 우리나라의 국가정보 화는 성공적인 결실을 맺어 2010년에 이어 2회 연속 UN 전자정부평가에서 1위를 받는 등 세계적인 선도 국가로 인정받고 있다. 그러나 최근 사이버공격은 공격기법이 지능화되고, 피해규모도 대형화되는 등 전자정부의 안전성을 위협 하는 수준에 이르고 있다. 특히, 사이버공격 대상이 불 특정 다수에서 특정기관 시스템으로 변화하고 있다. 공격 대상을 선정하여 장기간 취약점을 분석하고 일시 공격하는 방식(APT : Advanced Persistent Threat) 이 증가하고 있으며, 공격목적도 실력과시나 재미에 서 금전적 이득 취득이나 사회적 혼란 야기 등의 형태 로 변경되고 있다. 그럼에도 그동안 정보화 1등 국가라는 타이틀에 맞 지 않게 국가 정보보호에 대한 투자가 선진국에 비해 미흡하여 정보보호 인프라가 2011년 84%의 기술적 보안수준으로 나타나고 있으며, 중앙행정기관의 정보 화 예산 대비 정보보호 예산비율도 2010년 8.2%에서 2011년 6.2%로, 2008년 미국의 9.7% 수준에도 못 미 치고 있다. 그림 4-1-1-1 정보화 예산 대비 정보보호 예산 그림 4-1-1-2 정보보호 인프라 도입 수준 407
제4편 신뢰할 수 있는 정보이용환경 조성 정부기관에 대한 사이버위협은 지능화 대형화되 어 국가의 안전을 위협하고 있으며 이에 대한 대비책 마련이 지속적으로 제기됨에 따라, 행정안전부에서는 전자정부 정보보호에 대한 체계적 종합적 정책 추진 을 통해 국가 전반의 정보보호 수준을 세계 선도국가 수준으로 향상시키고자 노력하고 있다. 그림 4-1-1-3 2011년 민간부문 침해사고 접수처리 건수 (단위 : 건) 정기관에서 구축 운영하고 있는 세금, 무역, 입찰, 주민 등 각 분야(G4C, G4B, G4G)의 전자정부 서비 스에 대한 보안수준 실태조사를 실시하고 이를 토대 로 종합적인 보안수준 향상대책을 수립 추진해 오 고 있다. 2007년 처음 실시한 전자정부 서비스 보안수준 실 태조사에서는 전국 295개 중앙부처 지방자치단체의 홈페이지 등 501개 서비스를 대상으로 제도적 관리 적 기술적 보안수준에 대한 서면 및 방문조사를 실 시하였다. 매년 조사결과를 바탕으로 미비점에 대한 개선대 책과 각 서비스별로 개선조치 사항을 마련하여 각급 행정기관이 보안 인프라를 확충하게 하였다. 이와 함 께 행정안전부는 2009년 6월 행정안전부와 지방자치 자료 한국인터넷진흥원, 인터넷 침해사고동향 및 분석월보, 2011.12. 그림 4-1-1-4 개인정보침해 사고 (단위 : 건) 단체에 적용하는 정보통신보안업무규정 (행정안전부 훈령)을 개정하여 제도적 보안체계를 강화하였다. 관 리적 인적 보안체계 강화를 위해 2010년부터 2년간 전자정부 정보보호 관리체계 구축을 지원하고, 2011 년 정보보호 담당인력 60명(중앙부처 45명, 시도 15 명)을 증원하였다. 또한 시군구 DDoS 대응시스템 구 축 및 행정기관 웹 사이트 보안 취약점 점검 개선(행 안부 소관 1,500개 사이트 점검 및 개선) 등 기술지원 을 강화하였다. 자료 한국인터넷진흥원 2. 전자정부 서비스 보안수준 제고 행정안전부는 전자정부법 제24조에 의거하여 행 이러한 노력을 통해 2011년 중앙부처 및 지방자치 단체가 운영하고 있는 1,518개 주요 전자정부 서비스 의 실태조사 결과, 기술적 보안수준이 84%로 2010 년 80.1% 대비 4% 포인트 향상된 것을 비롯하여, 전 체 보안수준도 2010년도에 86.6%에서 2011년에는 87.8%로 향상되었다. 408
제1장 안전한 사이버환경 조성 행정안전부는 실태조사 결과를 바탕으로 취약점 개 선을 위한 보안 인프라 확충 등 보안수준 제고를 위한 활동을 지속적으로 추진하여 국민에게 안전하고 신뢰 할 수 있는 전자정부 서비스를 제공할 수 있도록 노력 할 계획이다. 그림 4-1-1-5 보안수준 실태조사 종합 수준 3. 정보보호 교육 홍보 지난 2009년 7.7 DDoS 공격, 2011년 3.4 DDoS 공격에서와 같이 최근 사이버공격은 지능화 대형화 되어 피해규모가 재난 수준으로 증가하는 등 국민생 활 및 사회안전을 위협하는 수준에 이르고 있다. 정부 의 정보보호 인력 부족으로 급변하는 사이버위협 대 응에 한계에 이르고 있다. 그동안 해킹 등 특정분야에 대한 전담조직 인력의 전문성 부족과 단편적 기술 위주의 교육이 이루어졌다. 2009년 전자정부 대민서 비스 정보보호 실태조사 결과에 의하면 정보보호 인 력의 업무 담당 기간이 2년 미만이 절반 이상(1년 미 만 29.5%, 2년 미만 24.4%)으로 업무경험이 부족하 고, 정보보호 인력 171명 중 27명(15.8%)만 정보보호 관련 자격증을 보유하는 등 현 정보보호 인력의 상당 수가 정보보호 전문지식이 부족한 것으로 나타났다. 이에 따라 행정안전부에서는 전자정부 서비스의 안 정적 제공을 위해 2011년부터 정보보호 전담인력에 대 한 교육과정 통합, 신규과정 개발 및 체계적 지속적 교육 추진을 통해 전문성 향상을 위한 전문교육을 실 시하게 되었으며, 당해 6개 과정 15회의 정보보호 교 육을 추진하여 475명의 수료자를 배출하였다. 2011년 교육을 바탕으로 2012년에는 보다 내실 있는 전문교 육을 실시하기 위해 전문과정의 신설, 교육과정 개편, 지역별 순회교육을 통해 정보보호 업무 신규 배치 인 력 및 기존 인력에 대해 분야별 특화된 전문교육을 실 시하고 있다. 관리자, 정보보호 담당자, 보안관제 인 력 등 수요자 중심으로 정보보호 기본실무, 심화과정 등 단계별 교육과정을 운영하여 2012년 상반기에는 726명이 수료하는 등 정보보호 전담인력의 전문성 향 상에 기여하고 있다. 향후, 2013년부터는 2012년 교육성과를 바탕으로 교육과정의 조정과 정보보호 담당자가 보다 쉽게 교 육에 참여할 수 있도록 사이버 교육과정을 신설할 예 정이다. 표 4-1-1-1 2011년도 행정기관 정보보호 교육자 현황 연도 이수 인원 중앙부처 지자체 소계 본부 소속기관 소계 시도 시군구 2011 475명 294명 100명 194명 181명 37명 144명 409
제4편 신뢰할 수 있는 정보이용환경 조성 그림 4-1-1-6 정보보호 전문인력 양성교육 현장 표 4-1-1-2 2012년도 정보보호 담당자 교육과정 구분 기본 과정 직무 일반 과정 직무 전문 과정 교육과정명 교육 시간 교육 횟수 교육목표 인원 1 정보보호 신규자 초급과정 24 5회 200 2 정보보호 신규자 고급과정 24 2회 80 3 사이버침해 사례 대응방안 16 2회 80 4 해킹의 원리 및 대응기술 24 2회 80 5 정보보호 업무실무 24 4회 160 6 정보보호 자격증 과정 32 2회 80 7 보안관제 기술실무 24 4회 160 8 기반시설 실무자 과정 8 1회 23 9 정보보호 신기술 과정 16 2회 80 10 침해사고 대응을 위한 체계 구축 24 2회 80 11 사이버침해 유형분석 과정 24 2회 80 12 기반시설 관리 책임자 소양 교육 4 3회 120 정보화 발전에 역점을 두고 각 분야의 정보화를 위해 노력과 투자를 아끼지 않았다. 그 결과 인터넷 강국으 로서 전세계의 주목을 받고 있다. 그러나 정보화의 발 전과 함께 정보사회의 역기능도 증가하여 해킹, 웜 바이러스 등에 대응하는 정보보안은 더욱 중요한 사 회문제가 되고 있으며 인터넷 침해사고는 점점 지능 화 고도화되고 있다. 2009년 공공부문 침해사고는 1만 659건으로 2008 년 7,965건에 비해 25.3% 증가하였다. 이 중 지방자 치단체의 사이버 침해사고 발생건수는 4,398건으로 전체의 41%를 차지하여, 지속적인 지방자치단체의 침 해사고 대응활동에도 불구하고, 공격 방법은 날로 발 달되고 있음을 보여준다. 제2절 사이버 침해사고 예방 및 대응 표 4-1-2-1 공공분야 사이버 침해사고 발생현황 (단위 : 건) 연도별 합계 국가기관 지방 자치단체 산하기관 교육기관 기타 2008 7,965 1,187 3,067 1,490 1,867 354 2009 10,659 1,734 4,398 1,287 2,653 587 1. 사이버 침해사고 발생현황 우리나라는 선진 정보사회 구현을 위해, 지금까지 자료 국가사이버안전센터ʼ에서 발표한 침해사고 현황 민간부문에서 접수 처리한 해킹 침해사고는 2010 년과 비교하여, 모든 유형이 감소하면서 전체건수도 410
제1장 안전한 사이버환경 조성 2011년 1만 1,690건으로 2010년 1만 6,295건에 비해 28% 감소하였다. 표 4-1-2-2 민간분야 사이버 침해사고 발생현황 (단위 : 건) 연도 합계 스팸 릴레이 피싱 경유지 단순침입 시도 기타 해킹 홈페이지 변조 2008 15,940 6,490 1,163 3,175 2,908 2,204 2009 21,230 10,148 988 2,743 3,031 4,320 2010 16,295 5,216 891 4,126 3,019 3,043 2011 11,690 3,727 365 2,961 2,783 1,854 자료 한국인터넷진흥원, 인터넷 침해사고 동향 및 분석월보, 2011.12. 2. 사이버침해 예방 대응체계 강화 행정안전부는 국가정보원과 함께 중앙부처 지방 자치단체 및 산하기관, 연구기관 등의 정보통신망, 정 보시스템 등에 대해 해킹 징후, 바이러스 탐지 차단, 사이버 침해사고 분석 조사, 취약점 점검, 사이버위 협 발생시 피해확산 방지를 위한 대응책 수립 등 사이 버위협을 24시간 365일 실시간 감시 대응하고 있다. 2011년에는 3 4 DDoS 공격시 비상대응근무 실시 및 정부기관간 정보공유 등 사이버 침해사고에 대한 공동대응 활동을 체계적으로 수행하기 위한 분야별 협 력체계를 구축하였다. 또한, 지방자치단체의 사이버침해에 대응하기 위 해 2009년 16개 시도에 사이버침해대응센터와 한국 지역정보개발원에 사이버침해대응지원센터를 구축하 였으며, 2011년에는 시군구 정보시스템까지 관제범위 를 확대하는 보강사업과 중앙 지방 사이버 대응체계 를 통합하는 후속작업을 진행하였다. 이와 함께, 행정기관의 공무원 PC에 웜 바이러스 가 확산되는 것을 방지하기 위해 시군구에 PC해킹 방 지시스템을 구축하였고 전자정부 핵심 대민서비스인 웹 서비스의 안정성과 신뢰성을 제고하고자 주요사이 트 1,500여 개에 대하여 보안성 취약점 점검 개선을 추진하였다. 특히, 2011년 3 4 DDoS 공격 이후 국가적인 사 이버위기에 대응하기 위해, 국가정보원, 행정안전부, 방송통신위원회, 경찰청, 금융결제원 등 유관기관이 합동으로 국가 사이버안보 마스터플랜 (2011.8)을 마 련하는 등 국가적인 대응이 필요한 사이버공격에 대 해 범정부적인 공조체제를 가동하고 있으며, 지자체 (시군구) 위협정보 연계 확대를 위한 위협정보 분석시 스템(관제 Agent 보급 245개 시군구)을 보강하였다. 제3절 전자서명인증체계 구축 1. 공인전자서명인증체계 활성화 가. 공인전자서명인증체계 개요 정부는 1999년 2월 전자서명법 을 제정하였다. 정 보통신기술의 발달로 인터넷 및 전자거래가 급속도로 확산됨에 따라 전자문서의 안전 신뢰성 확보, 전자 거래의 안전한 이용환경 조성과 공인인증기관을 효율 적으로 관리할 필요성이 제기되었기 때문이다. 411
제4편 신뢰할 수 있는 정보이용환경 조성 그림 4-1-3-1 공인전자서명인증체계 자료 한국인터넷진흥원 전자서명인증관리센터, 2012.6. 전자서명법 제정에 따라 정부는 한국인터넷진흥원 을 최상위 인증기관으로 지정하고, 공인인증서를 발 급 관리할 수 있는 공인전자서명인증체계를 구축하 였다. 공인인증서 이용 활성화를 위해 공인인증서 상호연 동 제도를 2001년 12월에 도입하여 시행하고 있다. 공 인인증서 상호연동이란 발급기관과 관계없이 어느 하 나의 공인인증기관에서 범용 공인인증서를 발급받으 면 금융뿐만 아니라 모든 전자거래에 범용 공인인증서 를 이용할 수 있다는 것을 의미한다. 상호연동 이전에 는 공인인증서를 사용 분야에 따라 인터넷뱅킹용은 금 융결제원, 사이버 증권거래용은 코스콤, 일반전자거 래는 한국정보인증이나 한국전자인증, 무역용은 한국 무역정보통신에서 따로 발급받아야 하는 불편을 감수 해야 했다. 공인인증서 상호연동 제도 도입으로 국민 들은 모든 전자거래에 하나의 공인인증서만 사용하면 되어 이용자 편의성이 대폭 제고되는 계기가 되었다. 나. 공인인증기관 지정 및 공인인증서 발급 현황 1) 공인인증기관 지정현황 정부는 2000년에 한국정보인증, 코스콤을 공 인인증기관으로 지정한 이래, 총 6개 공인인증기관을 지정하여 운영하였다. 그과정에서 국가 공인인증업무 를 보다 효율적으로 운영하고, 중복투자도 방지해야 한다는 여론이 발생하였다. 그동안 공공분야의 인증 업무는 한국정보화진흥원(NIA)이 담당하였다. 여론 등을 감안하여 공공분야 인증업무를 2008년 6월 30 일로 종료시킴에 따라 현재는 5개 공인인증기관이 운 영되고 있다. 412
제1장 안전한 사이버환경 조성 표 4-1-3-1 공인인증기관 지정현황 기관명 지정일 주요 이용분야 기관 유형 한국정보인증 2000. 2. 전자상거래 주식회사 코스콤 2000. 2. 온라인증권 주식회사 금융결제원 2000. 4. 인터넷뱅킹 비영리기관 한국전자인증 2001. 11. 전자상거래 주식회사 한국무역정보통신 2002. 3. 전자무역 주식회사 자료 한국인터넷진흥원 전자서명인증관리센터, 2012.6. 그러나 최근에는 인터넷 주택청약, 전자민원, 연말정 산 및 소득신고, 전자조달 등 모든 전자상거래로 확 산되고 있다. 2012년 6월 말 기준으로 총 2,795만건 이 발급된 공인인증서는 증가세를 끊임없이 이어오 고 있다. 다. 추진내용 2) 공인인증서 이용 및 발급 현황 공인인증서는 아이디와 비밀번호를 이용하는 전통 적인 신원확인 방법보다 개인정보보호 기능이 뛰어나 다. 또한 전자상거래를 할 때 핵심적으로 요구되는 부 인방지기능도 갖추고 있다. 이러한 강점에 힘입어 인 터넷뱅킹(2002.9) 및 온라인 증권거래(2003.3)에 공 인인증서의 이용이 의무적으로 적용되었다. 2005년 11월에는 공인인증서 이용이 전자상거래 신용카드 결 제 영역까지 확대되기도 하였다. 공인인증서는 도입 초기에는 인터넷뱅킹, 온라인증 권거래 등 전자금융 분야에 주로 이용되는 추세였다. 1) 공인전자서명 관련 법 제도 개선 전자서명법 은 전자문서의 안전성과 신뢰성을 확 보하고 전자서명에 관한 기본적인 사항을 정하는 데 주요목적이 있다. 동법은 1999년 2월에 법률 제5792 호로 제정되고 동년 7월부터 시행되었다. 법 시행 이 후 공인인증서 사용 인구가 급속히 증가하면서 공인 인증서의 안전성과 신뢰성 확보가 절실히 요구되었 다. 또한, 전자서명법 적용에 따른 여러 가지 문제 점도 제기되었다. 이러한 환경변화를 고려하여 인증 업무의 영역구분, 보험가입 의무화 등을 주요내용으 로 하는 전자서명법 개정안이 발의되어 2005년 12 그림 4-1-3-2 연도별 공인인증서 이용자 수 변화추이 (단위 : 만 건) 자료 행정안전부, 공인인증서 이용자 통계, 2012.6. 413
제4편 신뢰할 수 있는 정보이용환경 조성 월 개정 완료되었다. 개정 전자서명법 은 공인인증시장의 공정경쟁 환 경 조성을 위해 비영리법인의 공인인증업무 영역을 제한하여 지정할 수 있도록 하였다. 공인인증서비스 의 신뢰성 확보 차원에서 공인인증서의 이용범위나 용도를 벗어나 부정 사용하거나 타인에게 함부로 양 도 대여하는 경우에는 처벌을 할 수 있도록 하였다. 또한, 공인인증서를 발급할 때에는 신청인을 직접 대 면하여 신원을 확인하도록 직접대면 신원확인 원칙을 확립하였다. 한편, 공인인증업무 수행 중에 장애가 발생할 경 우에 대비하여 공인인증서 가입자의 권익보호를 위 해 공인인증기관이 행정안전부 또는 한국인터넷진흥 원에 그 사실을 반드시 신고하고 장애 대응 조치하도 록 하였다. 또한, 공인인증기관이 공인인증업무 수행 중에 가입자에게 발생한 손해를 배상할 수 있도록 공 인인증기관의 보험가입도 의무화하였다. 2011년에는 보이스피싱이라 부르는 전화금융 사기 가 급증하기 시작하였다. 전화금융 사기범들이 공공 기관 등을 사칭하여 피해자들로부터 얻어낸 개인정 보를 이용해 온라인으로 공인인증서를 부정 발급받 는 일이 빈번해졌다. 정부는 전화금융 사기로 인한 국 민들의 피해 방지를 위하여 온라인으로 공인인증서를 재발급받을 때는 신청인의 신원확인 방법을 보다 강 화하도록 하는 전자서명법 시행규칙 개정(안)을 2012 년 6월에 입법예고하였다. 개정안에는 신청인의 신원 확인 방법 강화를 위해 전화승인, 단말지정 등 본인확 인 수단을 추가적으로 이용하여야 한다는 내용이 담 겨 있다. 2) 공인전자서명인증체계의 안전성 강화 최근 공인인증서를 이용하는 인터넷뱅킹, 온라인 증권거래 등 전자금융거래 규모는 공인인증서 도입 초기에 비해 급증하고 있다. 한국은행 자료에 따르면 공인인증서 도입 초기인 2002년 당시 공인인증서를 이용하는 인터넷뱅킹의 하루 이용건수는 589만 건, 이용금액은 7조 원에 불과하였다. 그러나 2012년 1분 기에 이르러서는 하루 이용건수가 4,523만 건, 이용 금액은 일평균 33조원 규모로 증가하였다. 공인인증 기관 인증시스템이 장애나 해킹 등으로 인해 공인인 증서비스가 중단되면, 그 피해가 국가 경제 사회 전 반으로 확산될 수 있는 수준에 이르렀다. 이러한 피해 를 미연에 방지하기 위해서 공인인증서비스의 안전성 강화 대책 마련이 절실히 요구되고 있다. 행정안전부는 2005년부터 최상위인증기관 및 공인 인증기관이 참여하는 합동 비상대응 훈련을 실시하고 있다. 만에 하나 발생할지도 모를 공인인증서비스의 장애 발생에 대비하여 신속히 대응 조치를 취하기 위 해서다. 비상대응 절차 및 조치사항 등을 규정한 공인 인증업무 비상대응 매뉴얼을 2007년 5월에 개발하여 보급한 이래 지속적으로 개정작업을 하고 있다. 한편, 보안토큰 기반의 공인인증서 이용기술을 표 준화하고 최상위 인증기관을 통해 보안토큰 구현적합 성 평가도 시행하고 있다. 2007년 6월 표준화와 평가 를 위해 한국인터넷진흥원, 공인인증기관, PKI(공개 키 기반구조 : Public Key Infrastructure) 전문보안 업체, 보안토큰업체와 공동 작업을 한 바 있다. 2012 년 6월까지 총 33종의 제품에 대해 구현 적합성을 평 가 인증하였다. 이러한 평가 인프라에 힘입어 다수 414
제1장 안전한 사이버환경 조성 의 전자상거래 업체가 보안토큰 기반의 안전한 공인 인증서비스를 제공하고 있다. 보안토큰은 피싱 해킹 등으로부터 전자서명 생성키가 들어 있는 공인인증서 의 유출을 방지할 수 있는 휴대용 저장장치다. 원리적 으로 안전한 동 장치는 전자서명이 저장장치 내부에 서 생성되고, 저장된 전자서명 생성키는 저장장치 외 부로 유출되지 않는 특성을 갖고 있다. 공인인증서비스의 안전성을 위협하는 또 다른 요소 중 하나는 컴퓨터의 성능 향상이다. 컴퓨터의 성능 향 상이 공인인증서비스 안전성에 영향을 미치는 이유는 바로 공인인증서에 포함된 전자서명키의 길이 때문 이다. 현행 공인인증서는 1,024비트의 키 길이를 사 용한다. 최근 향상된 컴퓨팅 연산 성능으로 볼 때 위 험에 노출될 수 있다는 의견이 국제 보안연구기관들 에 의해 지속적으로 제기되었다. 전자서명키 길이 문 제에 적극 대처하기 위하여 행정안전부는 한국인터넷 진흥원과 함께 키 길이를 2,048비트로 상향하는 공인 인증서 암호체계 고도화를 2012년 1월에 시행하였다. 국내의 모든 공인인증서의 전자서명키 길이 증가 를 위해서는 1,125개의 전자거래 서비스업체가 참여 해야 하는 작업으로 결코 쉬운 일은 아니었다. 그러 나 국민에게 큰 불편을 끼치지 않고 2,048비트로 고 도화된 소프트웨어로 전면 교체할 수 있었다. 성공 배 경은 국민 인식을 제고한 점과 각 업체를 대상으로 충 분한 홍보, 설명과 지원이 병행되었기 때문이다. 그동 안 신문, 보도자료, TV 등을 통한 홍보와 8차례 설명 회를 실시한 게 주요했다고 볼 수 있다. 이러한 노력 에 따라 키 길이에 따른 공인인증서 안전성은 2030년 까지는 확보되었다. 흔히 발생하는 일은 아니지만 주민등록증처럼 공인 인증서를 분실하는 사례도 가끔 발생하는 일이다. 분 실에 대한 최고 대책은 신속한 신고다. 그럼에도 불구 하고 그동안 공인인증서 분실신고는 쉽지 않았다. 신 고 가능한 창구가 국민이 최초 발급 신청한 기관으로 제한된 탓이다. 정부는 이러한 문제점을 찾아내어 하 나의 창구로 간편하게 신고할 수 있는 체계를 만들었 다. 한국인터넷진흥원(KISA) 118 서비스는 국민의 눈으로 바라본 노력의 결실이다. 2011년 8월부터 운영 을 개시한 동 서비스는 2012년 6월 현재 총 1만 2,840 건 공인인증서 분실신고를 처리하고 있다. 24시간 접 수 체계도 확립되어 있어 국민의 신고 접근성 제고에 크게 기여하고 있다. 3) 공인인증서 이용환경 개선 웹 기술이 지속적으로 발전하고, 웹 브라우저는 인 터넷 익스플로러 중심에서 점차 다양해지고 있다. 또 한, PC 수준의 모바일 플랫폼을 탑재한 스마트폰 및 스마트패드의 출시로 인터넷 이용환경이 진화되고 있 다. 이에 따른 국민들의 IT 수준이 높아지면서 다양한 운영체제, 웹 브라우저 환경과 모바일 환경의 공인인 증서비스 수요도 증가하고 있다. 그동안 공인인증서비스를 이용하는 기관들은 개발 의 편리성 등을 이유로 특정업체에 종속적인 액티브 엑스 기술을 주로 채택해 왔다. 그로 인해 국내기업의 소프트웨어 편향성이 발생하여 국민의 선택 폭이 제 한되는 결과를 초래했다. 정부는 이러한 문제점을 개 선하고자 공인인증서 이용기술 가이드라인(자바 기반 의 공인인증서 소프트웨어 구현 가이드라인, 2007)을 415
제4편 신뢰할 수 있는 정보이용환경 조성 개발하여 보급한 바 있다. 2010년에는 모바일 환경에서도 공인인증서비스를 이용할 수 있도록 기술규격을 제 개정했다. 또한, 아 이폰 등 스마트폰으로 공인인증서를 이용할 수 있도록 KT와 공용 앱을 공동으로 개발하여 배포한 바 있다. 장애인 차별금지 및 권리구제 등에 관한 법률 이 시행(2009.4)되면서 공인인증서를 이용하는 장애인 을 위한 웹 접근성 강화 필요성이 제기되었다. 시각장 애인이 스크린리더 등 보조기술을 사용하여 공인인증 서비스를 받을 수 있도록 장애인 웹 접근성 제공 가이 드라인 을 제작 배포하였다. 2010년에는 한국정보통 신기술협회를 통해 장애인 웹 접근성 제공을 위한 소 프트웨어를 표준화했다. 전자거래 서비스업체가 소프 트웨어를 교체할 때는 장애인의 웹 접근성 기술이 적 용하도록 지속 독려하고 있다. 한편, 2011년 3월 스마트폰 가입자가 1,000만 명을 돌파했다. 동년 11월에는 2,000만 명을 돌파하면서 스 마트폰 보급이 폭발적인 증가세를 보이고 있다. 정부 는 동년 10월부터 스마트폰의 대중적인 보급에 착안 하여 스마트폰의 범용가입자 식별모듈(USIM)을 공인 인증서 저장매체로 활용하는 방안을 검토 중에 있다. 그동안 공인인증서비스는 모바일기기에는 적용이 어려웠다. 널리 보급된 액티브엑스 기술을 모바일에 서 사용할 수가 없기 때문이다. 정부는 이러한 폐단을 극복하기 위해 2012년에 웹 브라우저에 별도의 소프 트웨어를 설치하지 않고도 전자서명을 이용할 수 있는 기술 표준을 개발했다. 한발 더 나아가 웹 표준화 단체 인 W3C를 통해 웹 브라우저의 표준기능에 전자서명 을 추가하는 방안을 추진할 예정이다. 최근 개인정보보호가 핵심이슈로 부상했다. 주민등 록번호 등 개인 식별 정보의 수집 및 이용을 제한하 는 게 주요내용이다. 개인정보의 중요성이 부각됨에 따라 정보통신망법은 주민등록번호의 수집을 금지하 고 있다. 이러한 점을 고려하여 공인인증서를 이용하 여 주민등록번호를 사용하지 않고도 본인을 확인할 수 있는 기술을 개발하고 있으며, 전자민원서비스에 시 범 적용을 검토 중에 있다. 국내 공인인증서는 2012년 6월 말 기준으로 2,795 만 건이 발급되었다. 이는 15세 이상 경제활동 인구 (2,594만 명, 통계청자료)를 초과한 것으로 이용활성 화의 바로미터라고 할 수 있다. 그럼에도 발급 지역이 국내에 한정되어 국외에 거주하는 재외국민은 서비스 를 받을 수 없는 제약이 존재했다. 260만 명으로 추 산되는 재외국민이 해외에서 공인인증서를 발급받을 수 있도록 재외공관발급시스템 구축을 추진하고 있 다. 2012년 연말부터 제한적이지만 일부 재외공관을 통해 발급서비스를 시범 실시할 예정이다. 4) 공인인증서 안전이용 홍보 강화 국내의 공인인증서 이용수준은 전세계적으로 비교 해 보아도 타의 추종을 불허할 정도로 활성화되어 있 다. 이제는 활성화보다 공인인증서비스의 안전한 이 용에 홍보의 주안점이 있다고 하여도 과언이 아닐 정 도이다. 그동안 안전성은 기술적인 측면에 주안점을 두어온 경향이 높다. 그러나 기술적으로 아무리 안전 해도 이를 이용하는 사용자의 수준이 떨어지면 안전성 은 저하되기 마련이다. 정부는 기술적 안전성을 보완하는 측면에서 공인인 416
제1장 안전한 사이버환경 조성 증서의 적법하고 안전한 사용을 위한 국민의 인식 제 고를 차츰 강화해 오고 있다. 2007년 7월, 공인인증 기관을 통해 공인인증서 부정발급 및 불법양도의 위 법성을 알리는 안내문을 공지한 바 있다. 동년 10월에 는 공인인증서 안전이용 온라인 퀴즈를 실시하기도 하 고, USB 등 안전한 이동식 저장매체로 옮기는 캠페인 도 개최하였다. 2008년 9월에는 공인인증서 안전이용 홍보용 플래시 애니메이션을 제작하여 공인인증기관, 은행, 증권 등 400여 개 전자거래 업체의 홈페이지를 통해 배포하기도 하였다. 2009년 9월에는 공인인증서 안전이용 수칙을 홍보물로 제작하여 수도권 지하철과 4대 광역시인 부산, 대구, 대전, 광주의 지하철 차량 내에 홍보물을 게시하였다. 또한 2010년 1월에는 지역민에 대한 공인인증서 안 그림 4-1-3-3 공인인증서 분실신고 서비스 홍보 제작물 그림 4-1-3-4 공인인증서 암호체계 고도화 홍보물 자료 한국인터넷진흥원, 공인인증서 암호체계 고도화 지면 광고, 2011.9. 전이용 홍보를 위해 부산 및 광주 지역 민영방송을 통 해 공인인증서를 안전 사용방법에 대한 캠페인을 홍 보했다. 2011년에는 전국 지역 TV 캠페인과 포털사이 트를 통한 배너 게시, 리플렛 배포 등 홍보 채널도 다 양화하였다. 또한 홍보 내용도 안전한 공인인증서 이 용, 118 분실신고 서비스, 암호체계 고도화 등으로 다 채롭게 구성했다. 2. 전자문서 진본확인시스템 확산 가. 추진배경 자료 한국인터넷진흥원, 공인인증서 분실신고 서비스 TV캠페인, 2011.9. 온라인을 통한 전자민원의 신청 및 발급이 활성화되 고, 행정기관 업무처리가 지속적으로 정보화되고 있 다. 이러한 시대변화에 따라 전자문서의 이용과 유통 이 증가하는 추세이며, 더불어 위 변조 위협도 지속 적으로 높아졌다. 이에 따라 전자문서 활용에 따른 부 작용을 미연에 방지하고 나아가 활성화를 위한 인프라 마련이 필요하게 되었다. 417
제4편 신뢰할 수 있는 정보이용환경 조성 미국, 일본 등 선진국도 전자문서의 시점확인 및 진 본성 확보를 위해 타임스탬프(Time Stamp : 진본확 인마크)를 발급하고 검증하는 서비스를 제공하고 있 다. 또한, 정부 차원에서 이들 서비스를 관리하는 인 증제도를 실시하고 있다. 우리 정부도 날로 증가하는 전자문서 위 변조 위 협에 대한 경각심을 갖고, 2008년부터 진본확인시스 템을 구축하게 되었다. 이로써 전자문서 위변조의 사 이버범죄를 예방하고, 행정 신뢰성을 한층 드높일 수 있게 되었다. 전자문서 진본확인시스템에서 타임스탬프는 핵심 개념으로 일종의 전자 도장이다. 전자문서가 어느 특 정 시점에 존재하였음을 증명하고 즉 존재증명, 그 시 각 이후에 문서의 내용이 변경되지 않았음을 증명, 즉 내용을 증명한다. 이 기술은 국제 표준으로 확립된 전자적 기술이다. 행정안전부 전자문서진본확인센터 (GTSA: Government Time Stamp Authority)는 각 기관이 생성 발급하는 전자문서에 타임스탬프를 발 급하여 전자문서의 진본성을 확인해 주고 있다. 나. 추진목표 전자문서 진본확인서비스는 전자문서 위 변조 여 부를 누구나 쉽게 검증할 수 있도록 해 준다. 전자문 서 활용 촉진을 유도하여 종이 없는(Paperless) 녹 색행정 실현 의 기반을 제공한다. 민원서류를 전자파 일로 유통할 수 있는 환경을 구현하여 민원인의 편의 를 도모함과 더불어 행정의 신뢰성 제고를 목표로 추 진하였다. 그림 4-1-3-5 전자문서진본확인센터에서 제공하는 진본확인서비스 처리절차 418
제1장 안전한 사이버환경 조성 다. 추진내용 2008년에 전자문서 진본확인시스템 시범사업 을 추진하여 전자문서 진본확인서비스를 제공하기 시작 하였다. 2009년에는 전자문서 진본확인시스템 확산 사업 을 추진하게 된다. 동 사업을 통해 시스템을 이중 화하고, 백업체계를 구축함으로써 전자문서 진본확인 서비스의 안정성이 강화되었다. 2010년에는 전자문서 진본확인시스템 2단계 확산사업을 추진하여 13개 기 관 21개 업무에 진본확인 서비스를 적용하였다. 2012 년 6월 현재, 국세청 연말정산, 행정안전부 민원24 민 원서류발급 등 16개 기관 26개 업무에 진본확인서비 스를 제공하고 있다. 진본확인시스템 구축과 더불어 법제도 기반도 강화 되었다. 2010년에는 전자정부법 에 관련조항을 개정 하였다. 동 법에 민원 신청 처리에 전자화 문서를 도 입하는 근거를 마련하고, 전자문서와 전자화 문서를 종이문서와 같은 효력을 갖도록 명시하였다. 또한 동 법 시행령에 전자화 문서의 진본성 확인에 대한 근거 규정도 마련하였다. 다음은 활용현황이다. 진본 문서의 발급은 2009 년 12만 7,000건에서 2010년 1,192만 4,000건, 2011 년에는 2,859만 2,000건, 2012년 1,932만 9,000건 (2012.6 기준)으로 이용이 활성화되는 추세이다. 진본 확인 서비스는 민원24, 국세청 연말정산, 특허청 전자 연구 노트 등 다양한 분야로 서비스가 확대되고 있다. 2011년 11월, 행정안전부는 전자문서 진본확인서 비스 연계 기술규격 을 고시한 바 있다. 동 고시에는 이용기관 진본확인 S/W와 행정안전부 진본확인센터 간 연계 데이터 규격 등을 표준화 사항을 담았다. 이 를 통해 각 기관에 S/W 선택권을 제공하고, 서비스의 이용활성화 및 품질을 제고하는 계기를 마련하였다. 현재 타임스탬프의 유효기간이 경과한 전자문서는 효력이 없는 것으로 나타나는 한계가 있다. 이러한 폐 단을 없애기 위하여 2012년에는 전자문서 진본확인시 스템의 장기검증 서비스를 시범 구축할 계획이다. 동 시스템이 구축되는 연말부터는 전자문서의 유효성을 영구적인 검증이 가능하여 유효기간 만료에 따른 이용 자 혼란을 방지할 수 있게 된다. 라. 추진성과 전자문서 진본확인서비스는 일반국민이 전자문서 의 진본성을 육안으로 확인할 수 없던 문제를 개선하 는 계기가 되었다. 이를 통해 전자문서의 진본성에 대 한 분쟁발생시 누구나 손쉽게 전자문서의 진본성을 확 인할 수 있게 되었다. 또한, 전자문서 위 변조를 예방할 수 있게 됨에 따 라 전자(화)문서의 생산 보관 유통에 따른 보안성 이 강화되는 효과도 얻었다. 전자문서로 민원발급 및 제출을 자유롭게 할 수 있음에 따라 종이 사용 보관 비용, 관리비 등이 절감할 수 있게 되었다. 이에 따라 종이 없는(Paperless) 행정실현으로 CO 2 저감효과도 달성하였다. 419
제4편 신뢰할 수 있는 정보이용환경 조성 3. 차세대 통합인증체계 구축 및 확산 가. 추진배경 그동안 행정기관은 정보시스템을 운영을 함에 있어 업무 시스템별로 상이한 사용자 인증 및 접근권한 관 리를 하였다. 이때 중요한 정보시스템이 아이디와 패 스워드만으로 단순 관리되는 등 정보유출의 위험성이 내재된 경우도 있었다. 또한 직원의 인사이동이 발생 하면 기관내 모든 시스템의 계정정보 및 접근권한 정 보를 변경해야 하는 문제도 있었다. 이로 인해 시스템 담당자의 업무 부담이 야기되고, 퇴직자 정보가 제때 반영되지 않아 휴면계정이 존재하는 등 정보보호의 취 약성이 존재했다. 한편, 직원들은 각 전자정부시스템 을 이용할 때마다 매번 로그인을 해야 하는 불편에 직 면했다. 이러한 제반문제를 해결하고 신뢰성 있는 전 자정부 서비스 제공을 위한 단일인증체계의 구축이 필 요하게 되었다. 또한 아이디와 패스워드, 전자서명 등 단일 인증 이 상의 보안성이 필요한 업무를 지원할 필요성도 제기 되었다. 이에 따라 1회용 비밀번호(OTP : One Time Password) 등 추가인증을 받을 수 있는 인증기반 마 련이 필요하게 되었다. 나. 추진실적 및 계획 행정안전부는 차세대 통합인증체계 구축 ISP 사업 을 2008년 12월부터 2009년 6월까지 6개월간 수행 그림 4-1-3-6 통합인증 게이트웨이 시스템 개념도 420
제1장 안전한 사이버환경 조성 하였다. 동 사업에서 정부기관의 전자인증 권한관리 현황 및 외국 선진사례를 조사하고, 통합인증 프레임 워크를 수립하였다. 또한, 통합인증 게이트웨이 구축 방안을 마련하고, 정보신기술 환경 분석을 통해 유비 쿼터스 환경 기반의 인증서비스 방안 등을 수립하였 다. ISP 결과를 반영하여 2009년에는 서울시를 모델 로 한 통합인증 게이트웨이 표준 모델을 수립하고, 1회용 비밀번호 통합인증센터를 구축하였다. 2010년에는 차세대 통합인증체계 확산사업 을 추 진하였다. 동 사업을 통해 범정부 차원의 통합인증 구 현을 위한 통합인증센터를 구축하고, 행정정보 공동 이용, 민원24 공무원 창구 연계 등 행정안전부 통합인 증 게이트웨이를 구축하였다. 또한 2010년 12월에는 행정안전부 고시로서 통합인증 게이트웨이 기능 규 격을 고시하였다. 2012년에는 행정 공공기관에 인증수단 적용강화 를 위하여 1회용 비밀번호 등의 적용을 적극 추진할 계획이다. 1회용 비밀번호의 이용 편의성 및 안전성 을 제고할 수 있는 방안 마련하고, 설명회 수요 조사 등을 통해 지속적으로 이용확대를 추진할 계획이다. 이트웨이에는 다양한 보안기능이 구현되었다. 주요기 능은 다음과 같다. 첫째, 정보시스템별 보안등급 평가 및 인증수단을 적용하는 신뢰수준관리이다. 둘째, 통 합계정관리 및 단일인증 기능과 업무 서비스 DB 서버 등 권한정보의 통합관리이다. 셋째, 업무 서비 스 DB 서버 등의 통합 접근제어 및 DB 암호화 기 능이다. 또한, 감사 및 모니터링 기능도 구축하였다. 2010년에는 기관 게이트웨이를 상호 연계해 주는 센 터 게이트웨이를 구축하였다. 전자정부법 시행령에 행정기관이 신원확인 및 접 근권한 관리시스템 을 구축하도록 규정하였다. 이로 써 차세대 통합인증체계 구축의 제도적 기반이 마련 되었다. 현재 기관 통합인증 게이트웨이를 구축한 기 관은 행정안전부, 서울시, 교육과학기술부이다. 또한, 정부 OTP 인증센터 서비스도 활용되고 있다. 주요 활 용 업무는 5개 기관 7개 시스템으로 행정안전부의 공 공 아이핀, 인증관리센터, 서울매트로의 모바일오피 스시스템 등이다. 라. 추진성과 다. 추진내용 통합인증체계 수립을 위해 ISP 사업을 통해 먼저 차 세대 통합인증 프레임워크를 수립하였다. 프레임워크 에는 서비스 위험도에 따른 신뢰수준 도출방안이 제 시되었고, 신뢰수준에 따른 인증수단 적용 기준도 수 립되었다. 2009년 서울시를 모델로 구축한 기관 통합인증 게 통합인증체계 구축은 정보시스템의 보안 등급에 따 른 인증 수단 적용 및 접근권한 관리가 가능한 환경을 조성하였다. 이를 통해 전자정부 서비스에 일정 수준 이상의 보안을 유지할 수 있는 기반을 마련하였다. 또 한 보안사고 발생시 신속한 원인 파악 및 대처를 할 수 있게 되었다. 다음은 업무 편의성 향상 차원 관점이다. 각 기관 의 응용서비스, DB, 서버접근에 대한 단일창구를 제 421
제4편 신뢰할 수 있는 정보이용환경 조성 공하였다. 이로써 기관내 시스템 재인증이 불필요하 게 되었고, 인사정보 변경에 따른 사용자 계정 발급 회수, 접근권한이 자동화되어 관리 효율성이 제고되 었다. 또한, 공동이용 업무에 대한 기관간 단일인증이 가능한 환경이 조성되었다. 제4절 정보통신기반시설 보호 1. 제도개요 정부와 국민이 이용하는 주요 인프라 및 서비스는 정보통신기반시설을 통해 긴밀하게 연계되어 있으므 로 행정, 방송통신, 에너지, 금융분야의 정보시스템 사이버침해 행위가 타 분야의 시스템으로 파급될 가능 성이 높다. 특히 국가기반시설을 연결하고 각 정보시 스템에 영향을 주는 정보통신기반시설에 대한 침해사 고는 국가기능 전반의 장애를 초래할 수 있어 더욱 위 험하다. 이러한 이유로 정보통신기반시설 보호가 사 회 경제의 안정과 발전을 위한 핵심요소로 인식되어 정부는 2001년 정보통신기반보호법 을 제정하였다. 이 법을 근거로 국가적으로 중요한 정보시스템 및 정 보통신망은 주요 정보통신기반시설로 지정되어 취약 점 분석 평가, 보호대책 및 보호계획 수립 등을 통해 전자적 침해사고를 예방하고 유사시 적절한 대응 및 복구를 할 수 있는 토대가 마련되었다. 2. 주요내용 최근 들어 스턱스넷(Stuxnet), 그 변형인 듀큐 (Duqu) 등 악성프로그램 유포를 통한 전자적 침해 행 위의 수법이 고도화 지능화됨에 따라 그 피해위험도 날로 증가하고 있다. 이러한 상황에서 주요 정보통신 기반시설을 신속하고 효과적으로 보호하기 위하여 정 보통신기반보호위원회가 중앙행정기관에 주요 정보 통신기반시설의 지정을 권고할 수 있도록 하는 조항 을 신설하고, 위원회의 구성 운영 및 보호대책의 이 행여부 확인 등 현행제도의 운영과정에서 나타난 미 비점을 개선 보완하는 등 제도개선 필요성이 제기 되었다. 이에 정부는 2001년 제정된 정보통신기반보호법 의 개정을 각계 의견수렴 등을 통하여 착수하여 2007 년 12월 다음과 같은 내용으로 개정을 완료하였다. 먼 저 정보통신기반보호위원회의 구성 운영에 관한 사 항(제3조 제3항 및 제4항 개정)에 있어 정보통신기반 보호위원회 위원장의 직위를 국무총리에서 국무총리 실장으로 조정하였다. 또한 기존의 소관부처에서 위 원회에 주요 정보통신기반시설로 지정 요청하는 방식 을 행정안전부장관과 국가정보원장이 주요 정보통신 기반시설로 지정할 필요가 있는 시설을 발굴하여 중 앙행정기관에 기반시설로 지정토록 권고할 수 있는 근 거(제8조의 2)를 마련하였다. 그리고 보호대책에 대한 사후관리체계 마련(제5조의 2 신설, 제11조 제1항 개 정)을 위하여 행정안전부 장관과 국가정보원장이 보 호대책에 대한 이행여부를 확인할 수 있도록 하였다. 아울러 보호지원을 요청할 수 있는 관리기관 및 지원 422
제1장 안전한 사이버환경 조성 표 4-1-4-1 국내외 전자적제어시스템 피해사례 시기 발생국 피해내용 비고 2003.1 미국 미국 오하이오 주 Davie-Besse 원자력발전소의 사설 컴퓨터 네트워크에 슬래머웜이 침투 안전감시시스템 5시간 동안 정지 원자력 www.nrc.gov/reading-rm/doc-collectlons/news/2003/03-108.html 2003.1 한국 ISP의 DNS 등이 슬래머웜에 감염 수 시간 동안 운행중단 www.krcert.or.kr/index.jsp 통신 2003.8 미국 동부 지역의 철도신호시스템이 소빅-F웜에 감염 수 시간 동안 운행중단 www.cbsnews.com/storises/2003/08/21/tech/main569418.shtml 교통 2007.3 미국 DHS 주관 미국발전소 제어시스템 모의해킹 발전기 가동 사이클을 변경하여 발전기 파괴 전력 www.cnn.com/2007/us/09/26/power.at.rlsk/index.html#cnnstctext 2008.1 폴란드 14세 소년이 TV리모콘을 개조하여 트램교차로 불법조작 4대의 트램 탈선 및 12명 부상 교통 www.telegraph.co.uk/news/worldnews/1575293/schoolboy-hacks-into-citys-tram-system.html 2008.5 미국 회계감사원(GAO) 주관 미국 최대 국립전력회사인 TVA사 제어시스템을 모의해킹 발전소 제어시스템 침투성공 전력 www.cnn.com/2008/us/05/21/cyber.attack/index.html 2009.8 러시아 수력발전 댐의 터빈제어시스템 장애 발전기 터빈 폭발, 75명 사망 en.wikipedia.org/wiki/2009_sayano_sayano-shushenskaya_hydro_accident 수자원 2010.7 이란 스턱스넷 바이러스 원자력발전소 제어시스템 침투 이란 나탄즈 원자력원심분리기의 일부분 기능 마비 원자력 en.wikipedia.org/wiki/stuxnet 2011.11 미국 일리노이 주 상수도 시설 시스템 침투 펌프 작동 시스템 파괴 www.bbc.co.uk/news/technology-15817335 수자원 사항의 범위를 확대(제7조 제1항 개정, 제11조 제2항 삭제)하여 전문기관 등에 기술적 지원을 요청할 수 있 는 관리기관의 범위를 국가기관 또는 지방자치단체의 장인 관리기관에서 모든 관리기관으로 확대하였다. 2007년 개정으로 인해 주요 정보통신기반시설의 지 정 대상이 국가 공공기관뿐 아니라 민간이 운영 관 리하는 정보통신기반시설을 포함되어 사이버침해행 위 발생시 국가안보, 국민의 기본생활 및 경제안정에 중대한 영향을 미치게 되는 국가안전보장 행정 국 방 치안 금융 방송통신 운송 에너지 등의 업무 와 관련된 전자적 제어 관리시스템과 정보통신망 등 이 포함되게 되었다. 2011년에는 기반시설 신규지정 예상기관을 대상으 로 지정 타당성을 검토하기 위해 신규지정 후보기관이 보유하고 있는 시설에 대해 현장조사를 실시하여 주요 정보통신기반시설로 지정할 시설현황 파악 및 시설별 정보보호 관리 실태를 조사하였다. 그 결과 총 33개의 신규지정 대상을 최종 선정하였으며 해당 중앙부처에 지정을 권고하였다. 각 중앙행정기관의 장은 소관분야의 정보통신기반 시설 중에 해당 관리기관이 수행하는 업무의 중요성 등 5가지 기준에 의하여 전자적 침해로부터 보호해야 423
제4편 신뢰할 수 있는 정보이용환경 조성 그림 4-1-4-1 주요 정보통신기반시설 보호체계 정보 신 보 수 정보 신 정보 신 보 할 필요가 있다고 인정되는 시설에 대하여 주요 정보 통신기반시설로 지정할 수 있다. 정보통신기반보호법 에 명시된 5대 지정기준은 <표 4-1-4-2>와 같다. 표 4-1-4-2 주요 정보통신기반시설 지정기준 구분 지정기준 1 해당 관리기관이 수행하는 업무의 국가 사회적 중요성 2 관리기관이 수행하는 업무의 정보통신기반시설에 대한 의존도 3 다른 정보통신기반시설과의 상호 연계성 4 침해사고가 발생한 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위 5 침해사고의 발생 가능성 및 복구의 용이성 3. 지정현황 주요 정보통신기반시설의 지정대상은 국가 공공 기관뿐 아니라 민간이 운영 관리하는 정보통신기반 시설을 포함하며 사이버침해 행위 발생 시 국가안보, 국민의 기본생활 및 경제안정에 중대한 영향을 미치 게 되는 국가안전보장 행정 국방 치안 금융 방 송통신 운송 에너지 등의 업무와 관련된 전자적 제 어 관리시스템과 정보통신망이 해당된다. 각 중앙행정기관의 장은 소관분야의 정보통신기반 시설 중에 해당 관리기관이 수행하는 업무의 국가 사 회적 중요성, 관리기관이 수행하는 업무의 정보통신 기반시설에 대한 의존도, 다른 정보통신기반시설과의 상호 연계성, 침해사고가 발생한 경우 국가안전보장 424
제1장 안전한 사이버환경 조성 표 4-1-4-3 주요 정보통신기반시설 분야별 시설 지정현황 (단위 : 개) 분야 계 행정 국방 금융 정보통신 운송 에너지 보건복지 기타 시설 수 186 36-50 31 14 35 8 12 과 경제사회에 미치는 피해규모 및 범위, 침해사고의 발생가능성 및 복구의 용이성 등을 기준으로 전자적 침해로부터 보호해야 할 필요가 있다고 인정되는 시설 에 대하여 주요 정보통신기반시설로 지정할 수 있다. 2001년 7월 정보통신기반보호법 의 시행 이후 주 요 정보통신기반시설로 지정된 시설은 1차 2001년 4개 부처 23개를 시작으로, 2002년 5개 부처 66개 시 설, 2004년 (구)정보통신부 소관 7개 시설, 2005년 중앙선거관리위원회 소관 1개 시설, 2006년 (구)정보 통신부 소관 5개 시설, 2007년 3개 부처 10개 시설, 2008년 2개 부처 8개 시설, 2009년 4개 부처 21개 시 설, 2010년 4개 부처 28개 시설, 2011년에는 6개 부 처 33개 시설이 지정되었다. 2012년 3월 현재 12개 관 계중앙행정기관 115개 관리기관 186개 기반시설이 지 정 관리되고 있다. 4. 보호대책 및 보호계획의 수립 주요 정보통신기반시설을 관할하는 관계 중앙행정 기관의 장은 정보통신기반보호법 에 따라 매년 소관 분야 주요 정보통신기반시설에 관한 보호계획을 수 립 시행하여야 한다. 보호계획은 주요 정보통신기반 시설을 관리하는 기관에서 제출한 보호대책을 종합 조정하여 작성하며, 관계 중앙행정기관의 장은 다음 연도의 보호계획을 정보통신기반보호위원회에 제출 하여 심의를 받는다. 위원회에 제출된 보호계획은 심 의 과정을 통해 종합 조정하는데 여기서는 사전에 공 지된 보호계획 수립방향 및 주요 고려사항의 준수여 부, 수정 보완이 필요한 사항, 타 부처로 확대 적용할 수 있는 모범사례 등을 종합적으로 검토한다. 주요 정보통신기반시설에 대한 보호대책과 보호계 획은 기본적으로 주요 정보통신기반시설을 보호하기 위한 관리적 물리적 기술적 측면에서의 정보보호 관련 대책 및 사업을 도출한다는 측면에서는 동일한 목적을 갖고 있기 때문에 내용 구성이 대동소이하다. 다만 보호대책은 개별 주요 정보통신기반시설에 대한 취약점 분석 평가에 의해 식별된 위험을 줄이기 위한 구체적이고 세부적인 정보보호 대책과 사업으로 구성 되는 반면 보호계획의 경우 이들을 보다 상위 수준에 서 통합하거나 특정 보호대책 중 모범사례에 해당하 는 사업을 선별하여 소관 관리기관에 확대 적용하는 등 관리기관별로 제출한 보호대책을 중앙행정기관 차 원에서 재정리한다는 점에서 차이가 있다. 관계 중앙행정기관에서 작성하는 보호계획은 관리 기관에서 제출된 보호대책을 토대로 만들어진다. 주 요 정보통신기반시설에 대한 취약점 분석 평가부터 보호계획의 수립과 그 시행까지의 일련의 과정을 도식 화하면 <그림 4-1-4-2>와 같다. 관리기관에서는 매년 주요 정보통신기반시설에 대 425
제4편 신뢰할 수 있는 정보이용환경 조성 그림 4-1-4-2 주요 정보통신기반시설 보호계획 수립절차 한 보호대책을 수립하여 관계중앙행정기관에 제출한 다. 2001년 정보통신기반보호법 시행 이후, 2002년 도에 최초로 총 17개 관리기관에서 총 23개 시설에 대 하여 보호대책을 제출한 것을 시작으로 매년 소관 주 요 정보통신기반시설에 대한 보호대책을 제출하고 있 다. 2010년도에는 총 90개 관리기관 126개 시설에 대 한 보호대책을 제출하였다. 또한 2007년도 이후에 수 립된 보호대책은 행정안전부 장관과 국가정보원장 등 이 관리기관에서 작성한 보호대책의 이행 여부를 확인 할 수 있도록 정보통신기반보호법 이 2007년도에 개 정되었다. 보호계획은 크게 전년도 계획 대비 실적을 기술하는 부분과 다음 연도 계획을 기술하는 부분으로 나눈다. 다음 연도의 보호계획 중 현황 및 실적 부분은 전년도에 계획한 침해사고 예방 대응 복구 계획의 추진내역과 이에 대한 평가를 기술한다. 일반적으로 보호계획에 포 함된 사업 계획은 관계 중앙행정기관뿐만 아니라 관리 기관에서도 직간접적으로 관련된 경우가 많기 때문에 보호대책의 사업추진실적을 통합하여 정리하게 된다. 다음 연도에 추진할 정보보호 관련 사업 역시 보호대 책에 기술된 관리기관별 사업계획을 검토하여 전체적 으로 확대할 사업을 도출하거나 중앙행정기관 차원에 서의 추진이 필요하다고 여겨지는 사업을 발굴하였다. 5. 정보통신기반보호위원회 활동 강화 주요 정보통신기반시설 보호에 관한 사항을 심의하 기 위하여 국무총리 소속하에 정보통신기반보호위원 회(이하 위원회)를 두며, 위원장은 국무총리실장이 되 고 위원은 시설을 소관하는 중앙행정기관의 차관급 공 무원과 위원장이 지명하는 자로 구성된다. 위원회의 주요기능은 기반시설 보호정책, 보호계획 의 종합 조정과 추진실적, 보호와 관련된 제도의 개 선 등에 관한 사항을 심의하는 것이며, 2002년 구성된 이후 중앙행정기관이 수립한 보호계획에 대한 검토와 426
제1장 안전한 사이버환경 조성 심의를 서면으로 진행해 왔다. 그러나 최근 발생된 스턱스넷 웜바이러스 확산, DDoS 공격, 금융권의 해킹 등 사이버테러 사고가 연 이어 발생함에 따라 기반시설 정보보호 중요성이 더 욱 강조되고 있으며 국가 안보 차원의 보호에 대한 요 구가 증가되고 있다. 이에 위원회는 2011년 2월 회의를 대면으로 처음 개 최했으며 이후 각 부처의 시설보호계획의 심의 의결, 주요 제어시설에 대한 정보보호 강화대책, 현대캐피 탈 및 농협의 전산사고 현황 및 대응방향 등에 대한 검 토와 토론 등을 통해 시설에 대한 정보보호 활동을 더 욱 촉구하고 있다. 또한, 행정안전부는 2010년 9월 스턱스넷 바이러스 의 제어시스템 감염사실 보도에 따라 대책방안을 마 련하여 제12차 정보통신기반보호위원회에 심의를 통 해 추진하였고(2011.2), 2011년 4월 농협 전산망 장애 와 현대캐피탈 해킹으로 국민생활과 밀접한 정보통신 기반시설을 안전하게 보호하기 위한 정보통신기반시 설 정보보호 강화방안 을 수립, 제14차 정보통신기반 보호위원회에 보고 추진하였다(2011.4). 제12~13차 위원회 보고(건)에 대한 추진상황을 제14차 정보통신 기반보호위원회에서 보고하고, 향후 추진방향을 수립 하여 추진하였다(2011.7). 주요 추진사항으로 주요 제어시설의 운영 및 보호 현황을 전면 실태 조사하여 정보보호 가이드라인 마 련하였고, 아울러 제어시설 연구포럼 개설, 테스트베 드 구축을 2012년 완료 목표로 추진하여 제어시설의 보안산업 및 연구분야 활성화를 위한 기본 인프라를 마련하게 되었다. 제5절 정보보호시스템 평가 인증 제도 운영 1. 정보보호시스템 평가 인증 제도 추진배경 및 경과 정보보호시스템 평가 인증 제도는 기관의 정보보 호 수준을 향상시키고 정보화 역기능으로부터 주요자 산을 보호하기 위하여 정보보호제품에 대한 보안성 평 가 인증 정보를 사용자에게 제공하여 안전한 정보보 호제품을 선택하고 사용할 수 있도록 하는 제도이다. 정보보호시스템 평가 인증은 국가정보화기본법 제38조 및 동법 시행령 제35조, 정보보호시스템 평 가인증지침(행안부고시)을 기반하여 운영된다. 1998 년 국내 실정에 적합한 평가기준(K 기준)을 개발 고시함으로써 본격적인 평가를 시행하였으며 1998 년 침입차단시스템, 2000년 침입탐지시스템, 2002 년 가상사설망, 2003년 운영체제보안시스템 지문인 식시스템 스마트카드로 점차 평가대상을 확대하였 다. 2005년에는 모든 정보보호제품으로 평가대상을 확대함으로써 제품의 다기능화 및 통합화 추세에 대 응하였다. 2006년에는 공통평가기준(이하 CC)에 따 른 평가 인증결과를 회원국간 상호인정하는 국제상 호인정협정(CCRA : Common Criteria Recognition Arrangement) 에 가입과 동시에 인증서 발행국으로 서의 지위를 획득함으로써, 국내 정보보호업체가 국 내 평가인증결과를 활용하여 해외로 진출하는 데 일조 427
제4편 신뢰할 수 있는 정보이용환경 조성 하였다. 2007년에는 CC기반의 평가 인증제도를 기 존 국제용에서 국내용을 추가 시행함으로써 평가기간 을 단축하여 중소 정보보호업체의 경제적 부담을 대폭 완화하였다. 2010년에는 중소업체의 요구사항을 수용 하여 국내용 평가제도를 더욱 간소화하였다. 2011년 에는 공공기관용 평가 인증 대상을 24종으로 선정하 여 운영하고 있으며, 2012년 2월부터는 평가인증받은 정보보호제품의 품질을 보다 강화하기 위해 국내용 정 보보호제품 보안요구사항을 발간하였으며, 인증서 유 효기간제(3년)을 신설하였다. 2. 정보보호시스템 평가 인증 체계 및 절차 정보보호시스템 평가 인증 체계는 역할과 책임에 따라 정책기관, 인증기관, 평가기관이 있다. 정책기관 인 행정안전부는 평가 인증 관련 정책수립 및 기준 지침을 고시하고, 인증기관인 국가정보원은 평가결과 승인 및 인증서 발급, 평가기관 지정 등 평가기관 관리 등의 역할을 수행하며, 법으로 평가기관으로 지정된 한국인터넷진흥원(KISA)과 국가정보원이 승인한 4개 민간 평가기관(한국정보통신기술협회, 한국산업기술 시험원, 한국시스템보증, 한국아이티평가원)은 정보 보호제품 평가 등의 역할을 수행한다. 정보보호시스템 평가 인증 절차는 평가준비 단계, 평가진행 단계, 인증단계, 사후관리 단계로 구분된다. 평가준비 단계는 평가 신청업체의 평가신청 및 평가계 약 등이 이루어지는 단계이며 평가진행 단계는 정보보 호 제품의 안전성 및 신뢰성을 검증하기 위해 설계오 류 검증과 같은 제출물 평가 및 보안기능 시험, 취약 성 검증 등을 수행하는 단계이다. 인증단계는 평가가 그림 4-1-5-1 정보보호시스템 평가 인증 체계 428
제1장 안전한 사이버환경 조성 가종료되고 인증서가 교부되는 단계이며 사후관리 단 계는 인증제품의 보증등급을 유지하기 위해 인증서를 보유한 업체에서 인증제품의 형상이 변경된 경우 인 증효력 유지 신청 및 시험 등이 이루어지는 단계이다. 3. 평가 인증 제도 운영현황 가. 평가 인증 관련 통계 2012년 6월 30일 기준으로 CC평가 인증받은 정보 보호제품 수는 국내용 307건, 국제용 59건 등 총 366 건이며, 국내용 평가 인증 제품의 경우 방화벽, 침 입방지시스템, 접근통제시스템 등 네트워크 보안장 비유형이 192건으로 국내용 인증제품 수 대비 약 63% 로 가장 많은 인증제품 유형이며, 국제용 평가 인증 제품에서는 스마트카드 16건, 디지털복합기 13건으 로 국제용 인증 제품의 약 50% 이상을 차지한다. 이와 같이 2003년 이후 CC평가 인증 정보보호제품 수는 꾸준한 증가세를 보이고 있다. 나. 평가수수료 할인정책 운영 2008년 8월부터 한국인터넷진흥원은 중소 정보보 표 4-1-5-1 등급별 CC 평가 인증 현황 (2012.6.30 기준, 단위 : 건) 구분 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 합계 EAL1 국내용 0 EAL2 국제용 0 국내용 4 27 16 36 16 99 EAL2+ 국제용 0 국내용 1 2 1 4 EAL3 국제용 7 1 8 국내용 2 14 17 14 11 58 EAL3+ 국제용 4 2 1 1 3 11 국내용 2 9 16 9 4 8 5 8 1 62 EAL4 국제용 6 6 1 1 14 국내용 8 22 20 13 9 11 83 EAL4+ 국제용 1 4 2 14 2 23 국내용 1 1 EAL5+ 국제용 2 1 3 국제용 합계 0 0 0 11 8 6 2 24 3 5 59 국내용 합계 2 9 17 9 12 36 68 54 61 39 307 합계 2 9 17 20 20 42 70 78 64 44 366 429
제4편 신뢰할 수 있는 정보이용환경 조성 호업체 지원을 위해 국내용 평가수수료를 중소기업체 에 한해 50% 할인정책을 운영하고 있다. 이는 상당수 중소업체에 해당하는 정보보호업체의 경제적 부담을 절감하기 위한 것이며, 할인정책 적용 후 지금까지 36 개 업체가 약 10억 원의 할인 혜택을 받아 평가수수료 절감 혜택을 보았다. 표 4-1-5-2 평가수수료 할인정책(KISA) 구분 주요내용 적용기간 세부 내용 국내용 평가시 중소업체당 연 1건에 한해 50% 수수료 할인 2008년 8월 이후~ 평가환경을 고려하여 적용기간 등이 변경될 수 있음 다. 평가역량 국제 경쟁력 강화 및 홍보 2006년 CCRA 가입 이후, 인증서발행국으로서 의 위상 제고를 위한 국제 표준화활동 추진을 위하 여 CCDB(개발위원회), CCES(집행위원회), CCMC (관리위원회)로 구성된 CCRA 국제회의에 참석하여, 국내 정보보호제품 평가 인증 현황을 발표하고 국제 평가기술 및 평가정책 동향 등을 분석하는 활동을 수 행하였다. CCRA와 더불어 아시아 CCRA 가입국의 평가인증 관련 정책 및 기술 공유를 도모하고, 아시 아 국가의 CCRA 인증서 발행국 가입지원 등의 국제 협력을 강화하기 위해 2009년부터 AISEC(Asian IT Security Evaluation and Certification) 포럼이 발 족되었다. 2010년 7월 말레이시아에서 개최된 AISEC 회의에서 한국인터넷진흥원은 EAL5+ 등급의 국제용 전자여권 평가결과 및 기술을 발표하여, 고등급 평가 기술 보유국으로서의 역량 및 경험을 발표하였다. 현 재 전세계적으로 스마트카드에 대한 고등급 평가 인 증 사례는 7개국에 한정될 만큼 스마트카드 평가를 위 해서는 설계, 개발, 시험 및 취약성 분석 등 소프트웨 어 개발 전 단계에 걸쳐 전문기술과 역량이 요구된다. 아시아에서는 현재 한국, 일본, 대만 등이 스마트카드 평가기술을 보유하고 있으며, 말레이시아 또한 스마 트카드에 대한 평가기술 확보를 위해 5개년 계획을 마 련해 체계적인 노력을 수행하고 있다. 특히, 2012년 11월에는 CCRA 재심사 수검이 예정 되어 있다. CCRA 규정에 의거 CCRA 인증서발행국 은 정기적(5년 주기)으로 재심사를 받아야 한다. 심사 국으로 프랑스와 일본이 선정되었으며, 심사국 인증 기관은 11월에 5일간 우리나라를 방문하여 우리나라 의 평가 인증제도 운영상태 및 인증역량에 대한 현 장실사를 수행할 예정이다. 이러한 재심사에 대비하 기 위하여 국가정보원은 한국인터넷진흥원 등과 함께 3월부터 재심사 수검준비 TF를 구성 운영하고 있으 며 재심사에 필요한 제도적 기술적인 사항을 차질없 이 준비하고 있다. 4. 향후 추진방향 2010년 제도중심의 개선, 2011년은 정보보호제품 품질과 평가기술 강화, 2012년에는 CCRA 인증서발 행국 위상유지를 위한 재심사 수검에 초점을 맞추어 평가인증 제도를 운영할 계획이다. 또한 평가기관이 정보보호제품을 일관되게 평가할 수 있도록 평가인증 430
제1장 안전한 사이버환경 조성 대상 제품군에 대한 평가기준을 개발하여 개발업체와 평가기관이 활용할 수 있도록 제공하고, 평가 중 발생 하는 평가현안을 협의하여 일관되게 평가에 적용하기 위한 정보보호제품 평가인증 기술검토협의회 를 월 1회 운영해 나갈 계획이다. 또한, 국내용 인증서유효 기간제(3년)을 신설 운영함으로써 사용자가 평가인 증 받은 정보보호제품을 언제든지 믿고 사용할 수 있 도록 해 나갈 것이다. 표 4-1-5-3 최근 1년 CC평가 인증 정보보호제품 목록 기간 : 2011.7~2012.6 총인증제품 수 : 79건(51업체) 국제용 국내용 : 8건/71건 번호 제품명 제품유형 신청기관 인증일 보증등급 평가구분 1 AhnLab TrusGuard V2.1.oc FW+VPN 안랩 2012-06-15 EAL4 국내용 2 AhnLab TrusGuard V2.1 FW+VPN 안랩 2012-06-15 EAL4 국내용 3 vwormhole V2.0 자료유출방지 유폴로지 2012-06-15 EAL2 국내용 4 SNIPER VF V3.0 VoIP 방화벽 윈스테크넷 2012-06-15 EAL3 국내용 5 REALSCAN BIZ 1.2 개인정보보호 한국모바일인증 2012-06-15 EAL2 국내용 6 Safe.PrivacyKeeper V1.0 개인정보보호 포스트디 2012-06-15 EAL2 국내용 7 SPass NX V1.0 on S3CT9KW/S3CT9KC/ S3CT9K9 전자여권 삼성SDS 2012-06-15 EAL4+ 국제용 8 AXGATE V1.0 FW+VPN 엑슨네트웍스 2012-05-21 EAL4 국내용 9 SNIPER IPS V8.0 IPS 윈스테크넷 2012-05-21 EAL4 국내용 10 Safezone XDDoS V3.0 DDoS 대응 LG CNS 2012-05-21 EAL4 국내용 11 Guard-Zone R4 V3.0 매체제어 킹스정보통신 2012-05-21 EAL2 국내용 12 AhnLab TrusZone V2.0 PC 가상화 안랩 2012-05-21 EAL3 국내용 13 reversewall-mds 3.0 망간자료전송 시큐에버 2012-05-21 EAL4 국내용 14 Secuguard WSE V2.1 취약점 점검도구 나일소프트 2012-04-24 EAL2 국내용 15 UC FRONT V1.0 VoIP 방화벽 바인젠 2012-04-24 EAL3 국내용 16 Samsung SCX-8030 SCX-8040 SCX- 8038 SCX-8048 CLX-9250 CLX-9350 디지털복합기 삼성전자 2012-04-24 EAL3+ 국제용 CLX-9258 CLX-9358 MultiFunctionPrinter 17 PC스캔 V2.0 개인정보보호 컴트루테크놀로지 2012-04-24 EAL2 국내용 18 V3 Internet Security 8.0 SP3 PC 백신+PC 보안 안랩 2012-03-30 EAL3 국내용 19 SubGATE V1.3 L2보안시스템 한드림넷 2012-03-30 EAL2 국내용 20 SubGATE V1.2 L2보안시스템 한드림넷 2012-03-30 EAL2 국내용 21 Samsung SCX-5637FR/SCX-5639FR Control Software V2.00.03.00 디지털복합기 삼성전자 2012-03-30 EAL3+ 국제용 22 Samsung SCX-5737FW/SCX-5739FW Control Software V2.00.03.00 디지털복합기 삼성전자 2012-03-30 EAL3+ 국제용 23 SSCOS V1.0 on S3CC9LC 전자여권 삼성SDS 2012-03-30 EAL4+ 국제용 24 SNIPER FW V2.0 FW+VPN 윈스테크넷 2012-03-12 EAL4 국내용 25 SSiART ShellMonitor V1.6 기타(웹쉘탐지) 유엠브이기술 2012-03-12 EAL2 국내용 26 WeGuardia SSLplus V1.0 FW+VPN 퓨쳐시스템 2012-03-12 EAL4 국내용 431
제4편 신뢰할 수 있는 정보이용환경 조성 번호 제품명 제품유형 신청기관 인증일 보증등급 평가구분 27 AirSafe V1.0 PC 보안 한국정보보안연구소 2012-03-12 EAL2 국내용 28 Pre-Guard V2.0 PC 보안 멜리타 2012-02-20 EAL2 국내용 29 ComVoy 1.6 개인정보보호 지인소프트 2012-02-20 EAL2 국내용 30 PCFILTER V2.0 개인정보보호 지란지교소프트 2012-02-20 EAL2 국내용 31 Petra Cipher V3.1 DB 암호화 신시웨이 2012-02-20 EAL3 국내용 32 SNIPER WAF V4.0 웹 방화벽 윈스테크넷 2012-02-20 EAL4 국내용 33 SNIPER TSMA V4.0 통합보안관리 윈스테크넷 2012-02-20 EAL4 국내용 34 TESS WebTRUST V2.0 DDoS 대응 정보보호기술 2012-02-20 EAL3 국내용 35 TESS TMS V5.0 IDS 정보보호기술 2012-02-20 EAL3 국내용 36 Samsung SCX-5835NX/SCX-6555NX/ SCX-6545NX/CLX-8385NX/CLX-8540NX 디지털복합기 삼성전자 2012-01-25 EAL3+ 국제용 Control Software V2.00.03.00 37 SIMBA-HV V2 PC 보안 세인트시큐리티 2012-01-25 EAL2 국내용 38 YANIS-S V3.0 무선랜 인증시스템 네오티스 2012-01-25 EAL4 국내용 39 SECUI CM V3.2 통합보안관리 시큐아이닷컴 2012-01-25 EAL2 국내용 40 Soligate RxIPS V3.1 IPS+VPN 인프니스네트웍스 2012-01-25 EAL3 국내용 41 X-cure V1.0 IPS+VPN 삼덕전기 2012-01-04 EAL3 국내용 42 NetGuard V2.0 유해사이트차단 플랜티넷 2012-01-04 EAL2 국내용 43 ViRobot Internet Security 2011 and VMS 4.0 for Linux PC 백신+PC 보안 하우리 2012-01-04 EAL3 국내용 44 Secuve TOS 3.0 for Windows 접근통제제품 시큐브 2012-01-04 EAL3 국내용 45 Mobiledesk VPN v1.0 VPN 삼성SDS 2011-12-29 EAL3 국제용 46 Chakra Max Core v2.0 DB 접근통제 웨어밸리 2011-12-29 EAL4 국제용 47 VIPER-S V1.0 VoIP 방화벽 나온웍스 2011-12-20 EAL3 국내용 48 HRX-AOSP V2.1 다중영역구분보안 한싹시스템 2011-12-20 EAL2 국내용 49 ssbridge V3.0 다중영역구분보안 에스큐아이소프트 2011-12-20 EAL2 국내용 50 Ubigate ies4200 L2 보안시스템 삼성전자 2011-12-20 EAL2 국내용 51 TiFRONT-AntiBot V2.0 PC 보안 파이오링크 2011-12-20 EAL2 국내용 52 Virus Chaser 8.0 for Server and SGA-SC 2.0 바이러스 백신 에스지에이 2011-12-20 EAL2 국내용 53 Virus Chaser 8.0 for Desktop and SGA- SC 2.0 바이러스 백신 에스지에이 2011-12-20 EAL2 국내용 54 Anyclick AUS V6.0 무선랜인증 유넷시스템 2011-12-20 EAL4 국내용 55 SafePC Enterprise V4.0 자료유출방지+ 개인정보보호 닉스테크 2011-11-08 EAL2 국내용 56 WATCH i ESM V1.2 통합보안관리 워치아이시스템 2011-11-08 EAL3 국내용 57 HyBoost Webkeeper for DLP V8.0 유해사이트 차단시스템 소만사 2011-11-08 EAL2 국내용 58 WeGuardia SMC V1.0 보안관리시스템 퓨쳐시스템 2011-11-08 EAL4 국내용 59 SECUI MF2 V1.0 FW+VPN 시큐아이닷컴 2011-11-08 EAL4 국내용 432
제1장 안전한 사이버환경 조성 번호 제품명 제품유형 신청기관 인증일 보증등급 평가구분 60 Soligate NMS V3.0 보안관리시스템 인프니스네트웍스 2011-11-08 EAL2 국내용 61 AhnLab TrusGuard DPX v1.1 DDoS 대응 안랩 2011-11-08 EAL4 국내용 62 SNIPER BPS Manager V2.0 통합보안관리 윈스테크넷 2011-10-07 EAL2 국내용 63 Blue X-ray V1.0 개인정보보호 블루데이타 2011-10-07 EAL2 국내용 64 SyncI for AIX V4.1 다중영역구분보안 알에프정보 2011-10-07 EAL2 국내용 65 Anymon PLUS V3.0 통합로그관리 유넷시스템 2011-10-07 EAL2 국내용 66 i-connect V2.0 다중영역구분보안 엘케이컴즈 2011-10-07 EAL3 국내용 67 AhnLab TrusWatcher ZPX V1.0 IDS 안랩 2011-10-07 EAL3 국내용 68 Eagleye V2.0 개인정보보호 인포섹 2011-09-09 EAL2 국내용 69 AhnLab TrusZone V1.5 자료유출방지 안랩 2011-08-26 EAL2 국내용 70 MirageWorks idesk 2.0 자료유출방지 미라지웍스 2011-08-26 EAL3 국내용 71 CrossNet Suite V1.0 다중영역구분보안 소프트위드솔루션 2011-08-26 EAL2 국내용 72 AIRTMS V1.0 무선침입탐지 정보보호기술 2011-08-26 EAL2 국내용 73 CODE-RAY V2.0 취약성 점검도구 트리니티소프트 2011-08-26 EAL2 국내용 74 UTMP V2.0 보안USB 채울 2011-08-24 EAL2 국내용 75 AhnLab Policy Center Appliance 4.0 보안관리시스템 안랩 2011-08-24 EAL3 국내용 76 AhnLab Policy Center 4.0.3 보안관리시스템 안랩 2011-08-24 EAL3 국내용 77 VIPER-N v1.0 VoIP 방화벽 나온웍스 2011-07-22 EAL3 국내용 78 PPX-AnyLink v4.0 무선랜 인증시스템 엔트로링크 2011-07-22 EAL4 국내용 79 SPiDER-FM v1.0 보안관리시스템 이글루시큐리티 2011-07-22 EAL2 국내용 표 4-1-5-4 공공기관 도입 정보보호시스템 중 CC인증 필수 제품군 목록(총 24종) (2012.6.30 기준) 구분 제품군 용도 CC등급 비고 1 침입차단 네트워크 유입 유출 트래픽 통제 EAL2 이상 2 침입탐지 네트워크 유해트래픽 자동탐지 EAL2 이상 3 침입방지 유해트래픽 침입탐지 및 자동차단 EAL2 이상 4 통합보안관리 보안이벤트 통합모니터링 및 분석 EAL2 이상 5 보안관리서버 복수의 보안제품에 대한 중앙통제 수행 EAL2 이상 6 웹 방화벽 웹 기반 유해트래픽 탐지 및 차단 EAL2 이상 7 DDoS 대응 DDoS 공격 탐지 및 차단 EAL2 이상 8 VoIP 보안 인터넷전화 관련 유해트래픽 탐지 및 차단 EAL2 이상 9 무선침입방지 未 인가 무선장비 등 탐지 및 차단 EAL2 이상 10 무선랜 인증 인증된 사용자만 무선랜 접속허용 EAL2 이상 11 가상사설망 IPSEC 또는 SSL 방식 가상사설망 EAL2 이상 12 네트워크 접근통제 보안프로그램 설치 PC만 네트워크 접속허용 EAL2 이상 13 스팸메일차단 스팸메일 차단 및 해킹메일 여부 검사 EAL2 이상 14 바이러스백신 바이러스 등 악성코드 탐지 및 삭제 EAL2 이상 433
제4편 신뢰할 수 있는 정보이용환경 조성 구분 제품군 용도 CC등급 비고 15 PC 매체제어 USB등 매체제어 및 화면캡처 방지 EAL2 이상 16 PC 침입차단 PC에 설치, PC의 유입 유출 트래픽 통제 EAL2 이상 17 콘텐츠보안 네트워크에 설치, 불법 정보유출 등 탐지 및 차단 EAL2 이상 18 자료유출방지 서버기반컴퓨팅 및 가상화를 통한 문서보안 EAL2 이상 19 메일보안 메일 메신저의 첨부파일 모니터링 EAL2 이상 20 서버보안 접근권한 통제 및 주요파일 보안설정 EAL2 이상 21 DB 접근통제 DB 접근권한 통제 및 접근이력 관리 EAL2 이상 22 다중영역구분 보안 비보안영역간 데이터 및 정보흐름 통제 EAL2 이상 23 보안 USB USB메모리 접근통제 및 분실시 자동삭제 EAL2 이상 24 패치관리시스템 중앙 서버에서 다수 PC에 대한 보안패치 적용 EAL2 이상 제6절 정보보호관리체계와 소프트웨어 개발보안체계 Security Management System)란 기관의 정보보호 를 적절한 수준으로 보호하기 위한 정책과 프로세스의 체계를 의미하며, G-ISMS 인증제란 기관이 수립한 정보보호관리체계의 적정성을 전문적인 제3자가 심사 1. 전자정부 정보보호관리체계(G-ISMS) 가. 전자정부 정보보호관리체계(G-ISMS) 인증제도 개요 하여 인증하는 제도이다. 행정안전부는 G-ISMS 인증을 위해 훈령 전자정 부 정보보호관리체계 인증 등에 관한 지침 을 제정하 그림 4-1-6-1 G-ISMS 인증체계 급증하는 신종 사이버 침해사고에 효과적으로 대 응하기 위해서는 보안장비의 도입뿐만 아니라, 기존 의 단순 일회성 단편적 보호대책 중심에서 관리적 기술적 보호대책을 종합한 정보보호관리체계가 중요 하다. 이를 위해 행정안전부는 2009년 12월 ISO 27001 국제표준을 토대로 전자정부 서비스에 최적화된 정 보보호관리체계 인증제를 마련하였다. 전자정부 정보 보호관리체계(G-ISMS : Government Information 434
제1장 안전한 사이버환경 조성 여 제도적 기반을 마련하고, 이에 따라 인증기관 지정 (현재 한국인터넷진흥원), 인증심사원 양성과 인증심 사 등을 추진하고 있다. G-ISMS 인증제도는 원활하고 효율적인 운영과 제 도의 공정성 및 객관성을 확보하기 위해 크게 정책기 관, 인증기관, G-ISMS 도입기관(인증심사 신청기관) 등으로 분류하는 인증체계를 갖추고 있다. 행정안전 부는 G-ISMS 인증 정책 및 제도의 수립, 인증기관 의 지정 및 감독, G-ISMS 인증위원회 구성 및 관리, G-ISMS 인증심사원 위촉 등의 역할을 수행하며, 한 국인터넷진흥원(인증기관)은 G-ISMS 인증심사, 인 증서 발급 및 관리, G-ISMS 인증상담 및 기술자문 등의 역할을 수행한다. 성하여 신청기관이 심사기준에 적합하게 G-ISMS를 구축 운영하고 있는지 심사하는 단계이다. 인증심사 는 서면 심사와 기술 심사로 나누어 이루어지며, 인증 심사 과정에서 일부 부족한 사항이 발견되면 개선조치 를 요청한다. 신청기관에서 수정 보완하여 개선조치 결과보고서를 제출하면 심사팀이 다시 현장을 방문하 여 조치가 완료된 것을 확인한다. 그 후 최종 심사결과 보고서를 작성하여 인증위원회에 제출한다. 인증단계는 인증심사 결과에 대한 최종 심의를 거쳐 신청기관에 인증서를 발급하는 단계이다. 인증위원회 는 인증기관으로부터 제출된 심사 결과보고서를 심 의하고 결과를 인증기관에 통보한다. 심의결과 적합 그림 4-1-6-3 G-ISMS 인증심사 기준 나. G-ISMS 인증절차 및 인증심사 기준 G-ISMS 인증은 준비, 심사, 인증 및 유지 관리의 4단계로 구분된다. 그림 4-1-6-2 G-ISMS 인증절차 문서화 과정 준비단계는 신청기관이 인증을 신청하기까지의 과 정이다. G-ISMS 신청기관은 자체적으로 G-ISMS를 적합하게 구축하고 운영하는 등 준비과정을 거쳐 인 증을 신청한다. 심사단계는 인증기관이 심사팀(보통 5~6명)을 구 435
제4편 신뢰할 수 있는 정보이용환경 조성 하다고 판정하여 통과될 경우, 인증기관은 신청기관 에 인증서를 발급하게 되며 3년간 효력을 갖게 된다. 유지 관리 단계는 인증의 효력을 유지하기 위한 단계로서 인증을 유지하기 위해 매 1년마다 중간 심 사를 받아야 한다. 인증을 받은 이후 G-ISMS 인증 범위 내에서 중대한 변경이 발생한 경우에는 재심사 를 받아야 한다. G-ISMS 인증심사 기준은 ISMS 수립 및 관리과정, 문서화, 정보보호대책(12개 분야)으로 구성되며, 전체 174개 통제항목을 포함하고 있다. ISMS 수립 및 관리과정은 15개 통제항목으로 구성 된다. 해당 기관에 알맞게 정보보호관리체계를 수립 하여 운영하고 수정 보완 등 개선하는 과정으로 계 획(Plan), 실행(Do), 점검(Check), 조치(Act) 등의 순 환적인 프로세스(P D C A P D C A)로 구성 되어 있다. ISMS 수립 및 운영 근거를 마련하기 위한 문서화 과정은 3개 통제항목으로 문서화 요구사항, 문서의 통 제, 기록의 통제를 포함하고 있다. 정보보호 대책은 12개 분야, 156개 통제 항목으로 구성된다. 이 항목들을 모두 선택하여 구현해야 하는 것은 아니며 ISMS 수립 및 관리과정에서 위험관리를 통해 해당 기관에 필요한 항목을 선정하여 구현한다. 다. G-ISMS 인증제도 운영실적 2010년 상반기에 정부통합전산센터, 광주 정부통 합전산센터, 서울시, 관악구 등 4개 기관에 대한 시범 인증을 시작으로 행정안전부, 안성시, 평택시 등 27개 표 4-1-6-1 전자정부 정보보호관리체계(G-ISMS) 인증 취득현황 (2012.6.30 기준) 구분 건수 인증 취득기관 중앙행정기관 5 정부통합전산센터, 광주정부통합전산센터, 정부민원포털(민원24), 행정정보공유시스템, 국가인재데이터서비스 지방자치단체 20 서울특별시, 대전시, 경기도, 안성시 등 20개 서비스 공공기관 17 한국지역정보개발원 e-지킴이 등 17개 서비스 기관 42개 서비스에 대해 인증을 부여하였다. G-ISMS 인증심사원은 4년제 대학 졸업 이상 또는 동등학력을 기본요건으로 정보기술 실무경력 6년 이 상(정보보호 실무경력 2년 이상 포함)을 만족하는 전 문인으로서, 인증심사원 양성교육(40시간)을 이수하 고 시험에 합격(80점 이상)한 사람이다. 2010년도부 터 양성교육을 시행하여 공무원심사원 98명을 포함, 226명의 인증심사원을 양성하였다. 또한 정부 공공기관의 체계적인 정보보호 활동이 가능하도록 행정기관, 공공기관, 대학교 등 2010년 30개 기관, 2011년 40개 기관을 대상으로 구축 지원 컨설팅을 수행하였다. G-ISMS 구축 컨설팅을 지원 받는 기관에게는 현행 정보보호 현황분석, 위협 취 약성 점검, 위험평가, 정보보호계획 및 정보보호대책 수립, G-ISMS 구축 교육 등이 제공되었다. G-ISMS을 통해 단편적 일회적 대응과 관리에서 벗어나 종합적인(관리적/기술적/물리적) 정보보호 대 책을 수립하고 침해사고에 대한 능동적인 예방체계 구축함으로써, 전자정부 서비스의 안전성과 신뢰성을 제고할 것으로 기대된다. 436
제1장 안전한 사이버환경 조성 2. 소프트웨어 개발보안체계 가. 사업개요 내포될 수 있는 보안취약점 원인, 즉 보안약점을 최소 화하는 한편, 사이버 보안위협에 대응할 수 있는 안 전한 소프트웨어를 개발하기 위한 일련의 보안활동을 의미한다. 광의적 의미로는 소프트웨어 개발생명주기 2011년 사이버공격은 55억건으로 2010년 대비 81% 증가 1) 하는 등 최근의 사이버공격은 침입차단시스템 등 보안장비를 우회하거나, 보안패치가 발표되기 이 전의 보안 취약점을 악용하는 제로데이 공격, 웹 사이 트 해킹 등이 많은 부분을 차지하고 있으며, 주로 소 프트웨어 자체의 보안 취약점을 이용하는 경우가 대 부분 2) 이다. 사이버 침해사고에 근본적으로 대응 및 예방하기 위해서는 소프트웨어 개발단계에서부터 보안 약점을 제거하는 것이 가장 효과적인데, 국립표준기술연구 소(NIST)의 연구결과(<표 4-1-6-2> 참조)에 따르 면 초기단계 보안약점 제거 비용이 개발완료 후에 발 견 조치되는 것보다 최대 30배 절감효과가 있음을 확인할 수 있다. (SDLC : SW Development Lifecycle)의 각 단계별로 요구되는 보안활동을 모두 포함하며, 협의적 의미로는 소프트웨어 개발과정 중 소스코드 구현단계에서 보안 약점을 배제하기 위한 시큐어코딩(Secure Coding) 으 로 생각할 수 있다. 소프트웨어 개발단계에서 보안약점 제거는 소프트 웨어 보안품질 제고를 위한 근본적인 접근방법으로 써, 행정안전부에서는 2009년 국가정보화실행계획 수립을 통해 정보시스템 보안성 강화체계 마련 계획 을 발표하였으며 그 일환으로 정부 소프트웨어 개발 시 보안약점을 사전에 진단 및 제거하기 위한 보안체 계 구축 강화 사업을 추진하고 있다. 나. 추진실적 및 현황 소프트웨어 개발보안 은 소프트웨어 개발과정에서 개발자 실수, 논리적 오류 등으로 인해 소프트웨어에 표 4-1-6-2 소프트웨어 개발단계별 결함 수정 비용분석 구분 설계단계 코딩단계 통합단계 베타제품 제품출시 설계과정 1배 5배 10배 15배 30배 코딩과정 - 1배 10배 20배 30배 통합과정 - - 1배 10배 20배 자료 NIST, The Economic Impacts of Inadequate Infrastructure for Software Testing, 2002.5. 정보시스템 소프트웨어 보안성 진단체계 구축사업 은 2009년 6월에 행정안전부의 전자정부지원사업으 로 시작해 2010년부터 한국인터넷진흥원 출연사업으 로 추진하고 있다. 행정안전부는 소프트웨어 개발 시 보안약점을 최소화하기 위한 안전한 코딩기법을 제시 하기 위해 2011년 6월에 소프트웨어 개발보안 가이드 를 개발 배포한 이후, 2012년 6월에 소프트웨어 개 1) Symantec, Internet Security Threat Reportʼ, 2011 Trends, Vol.17, 2012.4. 2) 가트너 社 (2005년 5월)에 따르면, 사이버공격의 약 75%가 응용프로그램의 취약점을 악용한 것이라고 함 437
제4편 신뢰할 수 있는 정보이용환경 조성 발보안 가이드를 개정 배포하였으며, 개발보안을 점 검하기 위한 소프트웨어 보안약점 진단가이드를 제 정 배포하였다. 소프트웨어 개발보안 가이드에는 C, JAVA, Android JAVA 등 개발언어 3종에 특화된 보 안약점 및 이에 대응한 코딩예제를 제공하는 시큐어 코딩 가이드 3종이 포함되어 있으며, 2012년 하반기 에 개정 배포할 예정이다. 또한 행정안전부는 전자정부지원사업 등을 대상으 로 2009년 2개 사업, 2010년 10개 사업, 2011년 23 개 사업에 대해 시범적으로 소프트웨어 보안약점 진 단 및 관련 보안조치를 권고하였으며, 2012년 하반기 에 30개 주요 정보화 사업을 대상으로 시범진단을 진 행할 예정이다. 추가적으로 2011년부터 한국인터넷진 흥원내에 모바일 전자정부 서비스 앱 보안성 검증센 터를 오픈하여 중앙정부 및 지자체에서 개발하는 앱에 대한 보안성 검증을 수행함으로써 모바일 전자정부 서 비스에 대한 보안성을 제고하고 있다. 소프트웨어 개발보안 인식 제고 및 홍보를 위해 2009년부터 정보화 사업 담당 공무원 및 개발자를 대 상으로 안전한 소프트웨어 개발방법론, 소스코드 레 벨에서의 보안약점 진단 제거 방법 등에 대한 개발보 안 교육(2009년 109명, 2010년 266명, 2011년 1,019 명)을 실시하였으며 2011년부터는 모바일 앱에 대한 개발보안 과정을 추가로 개설하였다. 또한 2010년에 는 시큐어코딩 제도 마련을 위한 토론회와 소프트웨 어 보안강화 심포지움을, 2011년에는 2011 소프트웨 어 개발보안 토론회를 각각 개최하였다. 2012년에는 소프트웨어 보안약점 진단원 양성과정을 포함하여 소 프트웨어 개발보안 교육과정을 운영하고 있다. 2012년 6월에 정보시스템 구축 운영 지침(행정안 전부고시 제2012-25호, 2012년6월27일) 을 개정 고 시하여, 2012년 12월부터 정보시스템 감리대상 정보 화 사업(개발비 40억 원 이상)을 대상으로 소프트웨 어 개발보안 의무화를 시행한다. 2015년까지 전체 감 리대상 정보화 사업으로 의무화 대상이 확대된다. 지 침은 행정기관 및 공공기관이 정보화 사업을 추진함에 있어 소프트웨어 개발보안을 적용 점검하기 위한 기 준과 절차 등을 명시하고 있으며, 소프트웨어 개발사 업자가 반드시 제거해야 할 SQL 삽입, 크로스사이트 스크립트 등 43개 보안약점 기준(지침 별표3 참고)과 소프트웨어 보안약점 진단원 자격기준(지침 별표4 참 고) 등을 규정하고 있다. 개정된 지침에 따라 행정기관 및 공공기관이 정보 화 사업을 추진함에 있어 소프트웨어 개발보안에 관 한 기준 및 절차를 준수하여 정보시스템 개발단계부 터 보안약점을 제거하는 등 소프트웨어 개발보안체계 가 한층 강화되어 안전한 전자정부 서비스를 제공할 것으로 기대된다. 다. 주요이슈 및 향후계획 2009년부터 추진하여 온 소프트웨어 개발보안체계 는 2012년 6월에 정보시스템 구축 운영 지침(행정안 전부고시 제2012-25호, 2012년 6월 27일) 에 소프트 웨어 개발보안을 반영하여 소프트웨어 보안약점 기준 등 제도적 요소와 진단도구, 진단원 등 기반환경 조성 에 필요한 사항을 구체화하였다. 소프트웨어 개발보안 적용 의무화는 사업범위에 따 438
제1장 안전한 사이버환경 조성 라 2012년 12월(개발비 40억 원 이상 사업)부터 단계 적으로 의무화가 됨에 따라 정보화 사업 담당자, 개발 자, 감리원(감리법인), 진단원 등을 대상으로 소프트 웨어 개발보안 교육을 지속적으로 실시하고, 각 부처 30개 주요 정보화 사업을 대상으로 소프트웨어 개발 보안 적용 진단을 지원하는 등 소프트웨어 개발보안 제도가 효과적으로 정착될 수 있도록 지속적으로 추 진할 계획이다. 439
제4편 신뢰할 수 있는 정보이용환경 조성 제2장 개인정보보호 활동 강화 제1절 개인정보보호 현황 및 정책 나, 그에 따라 개인정보 유출 오남용 등 침해사건도 끊이지 않고 있다. 또한 개인정보와 관련한 일반법이 존재하지 않아 일부 침해사건에 대해서는 처벌을 할 수 없는 등 개인정보보호의 사각지대가 발생해 왔다. 1. 개인정보보호 현황 급속한 정보통신기술의 발달로 인해 정보의 가치가 날로 중요해지면서 개인정보의 이용이 증가하고 있으 개인정보와 관련한 이러한 문제점을 해소하고 국제 수준에 부합하는 개인정보보호체계를 마련하기 위하 여 개인정보보호법(법률 제10465호) 이 2011년 3월 29일 제정되어 9월 30일부터 시행되었다. 개인정보보호법의 주요골자는 개인정보보호위원회 그림 4-2-1-1 개인정보보호법 주요내용 정 보 보 조 440
제2장 개인정보보호 활동 강화 설치, 개인정보처리의 단계별 보호기준 마련, 주민등 록번호 등 고유식별정보의 처리제한 강화, 영상정보 처리기기의 설치제한 근거 마련, 개인정보 침해가 우 려되는 경우에 대하여 영향 평가 실시, 개인정보 유 출사실의 통지 신고제도 도입, 정보주체의 열람 정 정 삭제 청구 및 처리정지 요구 등 권리행사 방법 규 정, 개인정보 분쟁조정위원회 설치, 집단분쟁조정제 도 및 단체소송의 도입 등이다. 행정안전부는 개인정보보호추진단 을 구성하여 개 인정보보호법 하위법령 제정 등 법 시행을 위한 후속 조치를 진행하였다. 우선 개인정보보호법 시행을 위하여 개인정 보 안전성 확보 조치, 개인정보 영향평가의 대상 기준 설정 등 법률에서 위임된 사항과 법률의 시행 에 필요한 사항을 규정하기 위해 개인정보보호 법 시행령(대통령령 제23169호, 2011.9.29. 공 포, 9.30. 시행)과 개인정보보호법 시행규칙(행정 안전부령 제241호, 2011.9.29. 공포, 9.30. 시행) 을 제정하였다. 이 외에도 표준개인정보처리방침, 개인정보의 안전성 확보조치 기준, 개인정보 영향 평가에 관한 고시 등을 제정하여 2011년 9월 30일 개인정보보호법 시행에 필요한 후속 법령 제정 작업 을 차질없이 완료하였다. 행정안전부는 법 제정 후 시행일까지 6개월밖에 되 지 않은 점을 고려, 개인정보보호법이 연착륙될 수 있 도록 법 시행일부터 6개월간(2011.9.30~2012.3.29)을 계도기간으로 운영하여 준비기간이 부족한 중소사업자 와 개인사업자 및 신규 법적용 대상자들을 집중적으로 지원하였다. 표 4-2-1-1 개인정보보호법 하위규정목록 구 분 시행령 시행규칙 고시 지침 가이드 라인 하위규정목록 개인정보보호법 시행령 (대통령령 제23169호 / ʼ11.9.30) 개인정보보호위원회 규정 (대통령령 제23174호 / ʼ11.9.30) 개인정보보호법 시행규칙 (행안부령 제241호 / ʼ11.9.30) 개인정보 영향평가에 관한 고시 (행안부장관 고시 제2011-39호 / ʼ11.9.30) 개인정보의 안전성 확보조치 기준 (행안부장관 고시 제2011-43호 / ʼ11.9.30) 표준 개인정보보호지침 (행안부예규 제45호 / ʼ11.9.30) 뉴미디어 서비스 개인정보보호 (행정안전부 / ʼ12.1) 공공기관 영상정보처리기기 설치 운영 (행정안전부 / ʼ12.3) 민간분야 영상정보처리기기 설치 운영 (행정안전부 / ʼ12.3) 개인정보 위험도 분석기준(행정안전부 / ʼ12.4) 계도기간 중 공공기관과 민간사업자 등을 대상으 로 지역별 순회교육을 실시하고, 중소소상공인 및 영 세소상공인의 개인정보보호 인식 제고를 위하여 무료 컨설팅을 실시하였으며, 백신을 무료 지원하는 등 취 약분야의 기술지원을 하는 한편 필수조치 사항 등을 집중 계도하였다. 2. 개인정보보호 정책 추진 행정안전부는 개인정보보호법 제9조 및 제10조에 따라 2012년부터 2014년까지 개인정보보호 기본계획 과 2012년 및 2013년도 시행계획을 마련하였다. 기본계획 및 시행계획에 따라 2012년 행정안전부에 441
제4편 신뢰할 수 있는 정보이용환경 조성 그림 4-2-1-2 연도별 추진목표 보 수 제 제 정 표 4-2-1-2 2012 2013년도 개인정보보호 추진계획 개인정보보호 제도 개선 개인정보 수집 이용 제도 개선 범정부적 정책 수립 추진 위한 관련부처 협의체 구성 운영 개인정보 국외 유출사고 예방 및 대응 위한 국제협력 강화 개인정보 침해예방 및 대응 강화 개인정보 노출 모니터링 대상 전면 확대 온라인 검사와 현장검사를 통한 효과적 침해예방 및 대응 개인정보처리자의 개인정보보호 역량 강화 중소 사업자 지원 위한 개인정보보호 기술지원센터 운영 강화 전중소 사업자 대상 개인정보보호 수준 자가진단 프로그램 제공 중소 사업자 대상 컨설팅 집중 실시 개인정보보호법 집중 교육 홍보 및 자율규제 촉진 유관단체와 합동으로 업종별 지역별 순회교육 실시 개인정보 영향평가 전문인력 교육 인증 민간 사업자 단체와 소관 부처간 자율규제 협약 체결 추진 서 추진하고 있는 개인정보보호를 위한 주요정책을 살 펴보면 다음과 같다. 첫째, 주민등록번호 유출 및 침해에 대응하기 위해 방송통신위원회 및 금융위원회와 함께 주민번호 수 집 이용 최소화 종합대책 을 마련하여 4월 20일 국 가정책조정회의에 보고하였다. 이에 따라 개인정보의 불필요한 수집 이용을 제한 하기 위하여 행정(민원)서식, 금융 통신 주요 업종 계약서 등 주민번호를 사용하고 있는 서식 개선작업 을 추진 중에 있다. 또한, 개인정보 DB의 안전한 관리를 위해 관리자 PC와 인터넷망의 분리 의무화와 주민번호 재위탁 시 보호조치 강화를 추진하고 있으며, 개인정보에 대한 침해에 유기적으로 대응하기 위해 범정부 통합대응체 계 구축을 추진하고 있다. 둘째, 주민번호 수집 유통을 최소화하기 위해 주 민번호를 사용하는 공공기관을 대상으로 I-PIN, 공 인인증서 등 주민번호 대체수단을 적용하였으며, 인 터넷 홈페이지를 이용한 정보주체 수가 일평균 1만 명 이상인 47개 민간 웹 사이트도 2012년 8월 말까지 대 442
제2장 개인정보보호 활동 강화 체수단 적용을 완료할 예정이다. 셋째, 개인정보의 보호조치 의무화 시행에 따라 개 인정보보호 기술지원센터를 설치하여 중소사업자 및 영세소상인을 위한 전문상담 및 컨설팅 지원, 보호조 치 솔루션 보급 중에 있으며, 자가진단 프로그램 등을 적극 지원하고 있다. 넷째, 개인정보 침해예방 및 대응을 강화하기 위하 여 개인정보 노출 모니터링 대상 사이트를 2011년 5만 에서 2012년 10만으로 확대하여 모니터링을 실시하고 있으며, 모니터링 대상에 기존 공공 홈페이지 외 비영 리법인 및 친목단체까지 포함시켰다. 다섯째, 민간부문의 자율규제를 지속적으로 촉진하 기 위해 계도기간 종료(3월 29일)와 동시에 개인정보 보호 범국민운동본부 를 출범시켰으며, 준수사항의 자 율적 이행 및 전파를 위하여 각종 협회 단체 및 중간 매개 업체 등과 개인정보보호를 위한 협력을 지속적으 로 유지하고 있다. 또한 민간의 자율규제를 지원하기 위하여 분야별 특성에 맞는 개인정보보호 가이드라인 을 마련 중에 있다. 마지막으로 국가간 개인정보 이전이 활발해짐에 따 라 이에 따른 국민들의 개인정보가 유출 오남용되는 피해가 발생하지 않도록 국제협력체계를 강화하고 있 다. APEC CPEA(APEC 개인정보 감독기구 협의체) 가입(2012.5), GPEN(국제 개인정보 감독기구 네트워 크) 가입(2011.4) 등 국제기구 활동에 참여하고 있으 며, 특히, APEC에서 추진 중인 CBPRs(국가간 개인 정보 이전 보호체계) 구축에 적극 참여하고 있고, 이를 국내에 도입하는 방안을 검토 중에 있다. 또한, 개인정보 국외이전시 준수사항과 권장사항을 망라한 개인정보 국외이전 가이드라인 을 마련 중에 있다. 제2절 웹 사이트 개인정보보호 강화 1. 공공 아이핀(I-PIN) 의무 적용 추진 행정안전부는 인터넷상에서 불필요한 주민번호 수 집과 사용으로 인하여 발생하는 주민번호 유 노출 등 의 문제점을 해결하기 위하여 인터넷상 주민번호대체 수단인 공공 I-PIN 서비스 를 개발 보급하고 있다. 공공 I-PIN 서비스는 인터넷상 개인 식별번호를 의 미하며, 홈페이지 회원가입, 글쓰기시 주민번호를 사 용하지 않고도 본인임을 확인할 수 있는 개인정보보 호서비스로 2008년 8월, 민간 분야의 아이핀(I-PIN : Internet-Personal Identification Number)과 통 합 연계되어 서비스를 제공하고 있다. 개인정보보호법 제24조 제2항에 따라 2012년 3월 30일부터 모든 공공기관과 일평균 홈페이지 이용자 1만 명 이상의 개인정보처리자는 정보주체가 인터넷 홈페이지를 통해 회원으로 가입할 경우, 주민등록번 호 이외의 I-PIN, 공인인증서, 전자서명 등의 대체 회원가입 방법을 의무적으로 제공하여야 한다. 이와 관련하여 행정안전부에서는 회원가입시 주민등록번 호를 사용하는 1만 5,000여 개 공공기관 웹 사이트 443
제4편 신뢰할 수 있는 정보이용환경 조성 표 4-2-2-1 공공 아이핀(I-PIN) 현황 (2012.6.30 기준) 구 분 합계 2008년 2009년 2010년 2011년 2012년 공공 아이핀 보급 웹 사이트 12,021개 201개 3,015개 763개 3,129개 4,913개 그림 4-2-2-1 공공 아이핀(I-PIN) 서비스 구성도 수 에 대해 3,407개 웹 사이트는 주민등록번호 미수집 전환을 유도하고, 1만 2,021개 웹 사이트는 주민등록 번호 외의 회원가입 방법으로 I-PIN 적용 등의 조치 를 완료하였다. 또한 전년도 말 기준 직전 3개월간 해 당 인터넷 홈페이지를 이용한 정보주체의 수가 하루 평균 1만 명 이상인 47개 민간 웹 사이트를 지정 공 고하여 I-PIN, 공인인증서, 핸드폰인증 등 주민등록 번호 대체수단 적용을 2012년 8월까지 완료토록 할 예정이다. 앞으로 공공기관에서 주민등록번호를 이용한 회원 가입 기능이 포함된 웹 사이트를 신규로 제공하는 경 우에는 반드시 I-PIN, 공인인증서, 핸드폰인증 등 의 주민등록번호 대체수단을 적용해야 한다. 공공 아이핀을 이용하기 위해서는 공공 아이핀 웹 사이트 (www.g-pin.go.kr)에 접속하여 아이핀에 가입할 수 있으며, 사용자가 직접 읍 면사무소 또는 주민센터 를 방문하여 공공 아이핀에 가입할 수 있다. 2. 공공기관 웹 사이트 개인정보 모니터링 강화 최근 스마트폰 확대에 따라 개인정보를 이용한 각종 서비스와 마케팅 방법이 광범위하게 개발 이용되는 등 개인정보에 대한 수요가 폭발적으로 늘어나고 있 는 추세이다. 공공부문에서도 행정효율, 원스톱 서비 스 제공, 정보공개 활성화 등으로 공공기관 간 또는 공 공기관과 민간기관간 개인정보 열람 공유 사례가 늘 444
제2장 개인정보보호 활동 강화 어나고 있다. 이러한 서비스들은 대부분 인터넷 웹 사 이트를 통해 국민과 접하고 있어서 편의성을 제공하는 반면, 개인정보 노출에 대한 위협 또한 상존하고 있다. 2008년 2월, 인터넷쇼핑몰 옥션의 해킹에 의한 1,000만 회원정보 유출을 시작으로 하나로 텔레콤, 다음 등 대형 웹 사이트의 개인정보 유출사고가 연이 어 발생하였다. 급기야 GS 칼텍스의 내부직원에 의한 1,100만 회원정보 유출, SK컴즈의 해킹에 의한 3,500 만 회원정보 유출은 국내 최대 규모의 개인정보 유출 사고로 기록되면서 개인정보보호의 사각지대에 대한 논란을 유발시켰다. 2010년에 들어서는 주요 대형 인 터넷쇼핑몰이 중국발 해킹 등에 의해 6,000만 건 이상 의 회원정보가 불법 유통되는 등 개인정보 유출이 갈 수록 대형화, 지능화되어가고 있는 추세를 보이고 있 다. 최근 이 같은 개인정보 유출 사건들은 국내외 해커 등 범죄 집단이 계획적이고 조직적으로 개입하여 전 문적으로 개인정보를 수집하고 있으며 국내 기업이나 개인에게 공공연하게 판매되고 있다는 점에서 큰 충 격을 주고 있다. 불법적으로 거래된 이들 개인정보는 범죄 집단에 넘어가거나 무분별한 마케팅에 활용되어 보이스 피싱, 스팸메일에 악용되는 등 제2, 제3의 피 해로 이어지고 있다. 이에 따라 정부는 2011년 개인정보보호법을 제정하 여 개인정보보호의 사각지대를 해소하고 유출기관의 유출신고, 유출통지 의무를 부과함으로써 2차 피해를 예방할 수 있도록 하고 있다. 외부 침입에 의한 해킹사고든 내부 직원의 고의적 또는 부주의에 인한 것이든 개인정보 유출은 결과적으 로 국민 개개인이 고스란히 피해자가 된다. 이러한 문 제들은 국민 스스로 각자의 개인정보를 안전하게 관리 하는 것만으로는 해결될 수 없으며 개인정보를 보유하 고 있는 기업이나 기관이 보다 철저하고 안전하게 개 인정보를 관리해야만 해결될 수 있다. 다행인 것은 최근 연달아 터진 개인정보 유출 사고 로 국민의 관심이 높아지고, 사회적 우려가 팽배해짐 에 따라 기업 및 공공기관이 개인정보 유 노출 방지 를 위한 관리적 기술적 보호조치에 보다 많은 관심을 갖고 대처하려는 노력을 하고 있다는 것이다. 중앙행 정기관 및 지방자치단체의 인터넷 웹 사이트에 개인정 보 노출을 방지하는 시스템이 매년 증가 추세에 있으 며, 2011년 2월 조사결과 총 7,900여 사이트의 71.3% 가 개인정보 노출을 방지하는 기술적 조치를 적용하여 운영하고 있는 것으로 조사되었다. 행정안전부는 2006년부터 공공기관 웹 사이트 및 구글 검색사이트를 대상으로 주기적으로 모니터링을 실시하고 있으며, 노출발견시 해당기관에 노출된 개 인정보를 즉시 삭제토록 조치하고, 홈페이지 설계, 오 류 개선 등 재발방지를 위한 대책 시행을 요구하고 있 다. 모니터링 대상도 2006년 304개 사이트에서 2011 년도에 5만여 개 사이트로 지속적으로 확대해 나가고 있다. 이러한 노력으로 주민등록번호 노출건수가 현 저하게 감소하였으며, 노출비율(노출 홈페이지 수/점 검 홈페이지 수)도 2007년 10.1%에서 2011년 0.08% 로 대폭 줄어들었다. 2010년도에는 모니터링 대상기관 확대의 한계성을 극복하기 위해 전용 모니터링 시스템을 구축하여 4만 5,000여 개 전 공공기관 사이트로 확대하고 본격적으 로 모니터링을 수행하였으며, 2011년에는 일부 민간 445
제4편 신뢰할 수 있는 정보이용환경 조성 사업자까지 포함하여 5만 3,000여 사이트로 모니터링 대상을 확대하였다. 한편, 취약기관에 대해서는 집중적인 보안컨설팅을 실시하고 있으며, 노출원인의 대부분이 업무 담당자 부주의(66%)로 인한 것임을 감안하여 개인정보보호 교육 홍보를 지속적으로 실시하고 웹 사이트 담당자 를 위한 개인정보 노출방지 가이드라인을 보급하는 등 정보유출에 적극 대처하고 있다. 그러나 여전히 개인 정보가 노출되고 있고 모니터링 대상에 포함되지 않 은 많은 사이트가 개인정보 노출에 취약점을 갖고 있 어 모니터링 사각지대 해소 및 지속적인 모니터링이 요구되고 있다. 2012년에는 모니터링 장비를 추가적으로 보강하여 협회, 비영리법인 등 공공 민간 대상 10만 개 사이트 로 점검을 확대하고 점검유형도 주민번호, 여권번호, 운전면허번호 3종에서 외국인등록번호를 추가하여 4종으로 확대하였다. 제3절 개인정보보호 관리수준 제고 1. 개인정보 영향평가제 도입 사회 전반에 걸쳐 전산 처리가 일반화되면서 각 기 관에서 보유하는 개인정보가 대규모로 집적화되고 있 어 개인정보 침해 가능성이 더욱 커져가고 있다. 실제 로 크고 작은 개인정보 침해사고가 발생할 경우, 개인 정보의 유출로 인해 막대한 피해를 입을 수 있다. 또 한 정보시스템의 특성상 한번 구축된 시스템을 변경 하는 것은 쉽지 않으며 현실적으로도 많은 비용이 들 기 때문에, 정보시스템을 구축하기 전 설계단계부터 안전하게 구축하여 개인정보 침해요소를 사전에 예 방할 수 있게 개인정보 영향평가를 실시하여야 한다. 개인정보 영향평가는 새로운 정보시스템을 구축 운용하거나 변경할 때 개인정보의 침해요인을 미리 조 사 예측 검토하여 대책을 마련하는 체계적인 절차 이다. 따라서 개인정보 영향평가는 일반적으로 시스 템 구축 전 단계인 사업방향 설정 및 업무정의 단계, 시스템 제안단계, 시스템의 예비 설계 및 모형 설정단 계 등에서 수행된다. 또한 기존에 보유하고 있는 개인 정보파일을 다른 기관과 연계하는 경우, 기존 정보시 스템이 운영 중이더라도 개인정보의 수집 이용 및 관 리상에 중대한 침해 위험을 예방하기 위하여 개인정보 영향평가를 수행할 수 있다. 개인정보 영향평가의 과정은 개인정보 영향평가의 필요성 검토를 거쳐 선정된 시스템의 개인정보 수집 부터 파기까지 개인정보 흐름을 분석하여 발생 가능 한 침해요인과 위험요소별 보완대책을 마련하여 개선 하도록 하는 단계로 진행된다. 이미 해외 주요 선진국 에서는 개인정보 영향평가에 대해 법적 근거와 제도 를 마련하여 운영하고 있다. 특히 미국은 2002년 전 자정부법 에 개인정보 영향평가를 명문화하였고 캐나 다, 호주, 뉴질랜드 등에서도 개인정보 영향평가에 관 한 구체적인 가이드라인을 마련하여 실시하고 있다. 우리나라에서도 이러한 요구에 적극 대응하여 공공기 446
제2장 개인정보보호 활동 강화 관에서 사용하는 정보시스템에 대해 개인정보 침해요 인으로부터 개인정보파일을 안전하게 관리하고자 개 인정보 영향평가 에 관한 사항을 개인정보보호법 에 반영하여 2011년 3월에 제정하였다. 공공기관이 일정규모 이상의 개인정보를 취급하는 정보시스템을 대상으로 개인정보 영향평가를 수행하 도록 개인정보보호법 시행령 에 개인정보 영향평가 의 대상범위, 평가기관의 지정, 영향평가 기준 및 방 법 절차, 그 외 고려사항 등을 규정하였으며, 개인정 보 영향평가에 관한 고시를 통해 평가기준과 평가기 관의 선정 및 운영에 대한 세부 사항을 제시하고 있다. 특히 공공기관의 경우는 개인정보 영향평가 대상으 로는 동법 시행령 제35조에 명시하고 있는데, 5만 명 이상의 개인정보파일을 구축 운용하는 경우로서 민 감정보 또는 고유식별정보의 처리할 경우나 50만 명 이상의 개인정보파일을 구축 운용하는 과정에서 다 른 개인정보파일과 연계 또는 연동하는 경우, 100만 명 이상의 개인정보파일을 구축 운용하는 경우 등에 한해 개인정보 영향평가기관을 통해 수행하도록 규정 하고 있다. 행정안전부는 개인정보 영향평가의 정착을 위하 여 2008년 16개, 2009년 10개, 2010년 5개, 2011년 5개의 공공 정보화 사업을 대상으로 개인정보 영향평 가를 수행하여 개인정보의 침해요인분석 및 개선을 지 원하는 시범사업을 추진하였다. 또한 2011년 12월에는 공공기관 개인정보 영향평가 수행 안내서 를 제정하여 일선 공공기관이 자체적으로 영향평가를 수행할 수 있 도록 각 기관에 배포했다. 안내서는 각 기관이 개인정 보 영향평가를 이해하기 쉽게 일반적인 개념에서부터 언제 어떻게 영향평가를 수행해야 하는지 등 영향평 가 업무에 필요한 세부내용을 담고 있다. 이 밖에도 행 정안전부에서는 개인정보 영향평가를 수행할 전문인력 양성을 위하여 전문교육과정을 운영하고 있으며, 개인 정보 영향평가를 쉽게 이해할 수 있도록 지원하는 교육 및 홍보 컨텐츠와 소규모 시스템에 대해 자체 점검할 수 있는 온라인 프로그램(www.pia.go.kr)을 배포하였다. 앞으로 개인정보 영향평가의 안정적인 정착을 위하 여 개인정보 영향평가 전문교육과정을 확대하고 영향 평가결과에 대한 검증 및 평가기관의 인증 등을 철저 하게 수행할 계획이다. 또한 앞으로 각종 정보화 사업 수행시 개인정보 영향평가를 반드시 준수하도록 하여 안전한 지식정보사회를 구현하는 데 기여하고자 한 다. 이를 위해 2012년에는 개인정보 영향평가에 관 한 전문성을 검증하고, 평가기관의 품질을 높이기 위 한 방안으로 전문인력 양성방안을 마련할 계획이다. 2. 개인정보 관리실태 검사 개인정보 관리실태 검사는 현장 및 온라인 분야 실 태 검사를 통해 공공 민간 기관에 대한 개인정보보호 법 의무사항의 미비점을 개선 보완하여, 개인정보의 안전한 관리를 통한 국가사회의 전반적인 개인정보보 호 강화에 그 목적이 있다. 행정안전부는 공공 민간기관 개인정보 관리체계 강화를 위해 개인정보보호법 제63조(자료제출 요구 및 검사)에 의거 공공기관과 민간기업에서 개인정보 의 침해 유출 사건이 발생하였거나 발생우려가 현 447