한국자산관리공사 '시스템 보안에서 컨텐츠 보안으로'

DB보안 강화로 비인가자 접근제어 및 암호화 구축

한국자산관리공사는 금융기관 부실자산의 효율적 정리를 통한 공적자금 회수, 국유재산 등 국가위임자산의 관리 및 부실기업의 경영정상화를 지원하는 국내 유일의 종합자산관리전문기관으로 중요 정보자산과 개인 신용정보 등을 보유·관리하고 있다. 이곳 전산정보부 기획팀에서 보안을 담당하고 있는 이이진 과장은 “보안은 이제 내부자로부터 내부자원을 안전하게 지키는 것이 큰 비중을 차지하고 있기 때문에 시스템 보안에서 컨텐츠 보안으로 그 영역이 확대되고 있다”고 말했다.

현재 사내 최대 보안 이슈는 무엇인가?

현재 모든 기업의 최대 보안이슈는 개인정보 보호라고 생각한다. 지난 해 발생한 옥션의 해킹사고 및 GS칼텍스 고객정보 유출 사고 등 개인정보 유출사고 발생으로 대부분의 기업이 개인정보 보호에 대한 인식을 새롭게 하게 되었다. 이는 최근 보안 패러다임이 네트워크, 시스템 보안 분야에서 컨텐츠 보안으로 변화하고 있는 것과 무관하지 않다.

또한 고객의 개인정보나 기업의 기밀정보 등이 이메일, 인스턴트 메시징 서비스, P2P 등을 통해 무분별하게 유출될 수 있다. 그동안 보안은 외부의 공격으로부터 내부의 자원을 안전하게 지키고자 하는 부분에 집중되어 왔지만 이제는 내부자로부터 내부자원을 안전하게 지키는 것이 보안의 영역에서 큰 비중을 차지하는 방향으로 그 패러다임이 변화하고 있다.

사내 보안팀 규모와 주요 업무는?

사내 정보보안 담당자는 총 2명으로 구성되어 운영하고 있다. 하지만 각 부점별 분임보안담당자를 선정하여 각 부점별로 보안을 책임지고 있다. 정보보안 담당자의 주요 업무는 정보보호정책 관리, 대외보안 협력, 보안예산 수립 등, 보안 기획·전략 등을 수립하는 보안계획(PLAN)업무와 보안시스템 도입 및 구축, 보안지침 이행, 보안점검/개선, 보안사고 대응 등의 보안운영과 관리 업무가 있다.

또 보안취약점 및 위험 분석, 보안 개선방안 제시, 정보보안 감사 등 보안진단·감사를 하는 보안평가(CHECK)업무와 보안지침 개선, 보안기술 및 동향 분석, 정보보호 교육 등 보안관리 업무의 보안개선(ACT) 업무이다.

현재 정보보안을 위한 시스템은 어떠한 것들이 구축·운영되고 있는가?

기본적으로 갖추어야 할 보안 시스템은 이미 구축되어 있다. 즉 네트워크 시스템 보안을 위해 방화벽, IPS, 웹방화벽, VPN, Secure OS, ESM 등을 운영하고 있으며 업무용 PC 보호를 위해 Anti Virus, PC보안관리 솔루션 등을 운영하고 있다. 이 외에도 DB보호를 위해 DB접근제어 솔루션과 가장 최근에 도입한 DB암호화 솔루션을 구축·운영 중에 있다.

해킹이나 DDoS 공격 등, 최근 증가하고 있는 보안 위협에 어떻게 대비하고 있는가?

최근 빈번하게 증가하고 있는 보안 위협에 대해 기술적 측면에서는 IPS(침입방지시스템)와 웹방화벽 등의 보안장비를 통해 침해사고에 대비하고 있다. IPS를 통해서 바이러스 웜이나 불법침입/분산서비스 거부 공격(DDoS) 등의 비정상적인 이상 신호에 대해 대응하고 있고 국가사이버안전센터의 보안관제서비스를 통해 침해사고 조기 탐지 및 대응체계를 구축하여 보안성을 강화하고 있다.

또한 최근 웹 환경의 확대로 웹 해킹이 급증하고 있는데, 이는 웹방화벽을 통해서 방화벽이 차단할 수 없는 웹서버 해킹 등을 차단하고 있다. 관리적 측면에서는 주기적으로 전산개발자 대상 웹 애플리케이션 개발 보안 교육을 실시하여 공사에서 운영하는 웹서비스의 침해사고(해킹 등) 대응능력을 강화하고 있다.

최근에 강화된 보안 시스템이 있다면?

최근 기존 DB보안 솔루션을 확대했다. DB접근제어 솔루션을 통해 DB에 대한 비인가자의 접근통제 및 사용자별, IP별, 그리고 시간별, 응용프로그램별로 접근 통제를 하고 있다. 또 가장 최근에는 DB암호화를 도입, 개인정보 등, 중요자료를 안전성이 검증된 암호화 S/W로 암호화해 자료가 유출되더라도 데이터의 안전한 보호가 가능하도록 강화했다. 아울러 PC매체제어 솔루션을 운영하고 있어 내부 중요자료의 USB메모리, CD-RW 등의 보조기억매체를 통해 외부로 유출되는 것을 사전 차단하고 있다.

지난해 기업이나 금융권의 보안 사고와 관련해서 변화된 부분은?

지난 2007년 초부터 공사에서 운영중인 보안장비의 보안정책을 Default-Allow(차단된 트래픽을 제외한 모든 트래픽을 허용하는 방식)에서 Default-Deny(허용된 트래픽을 제외한 모든 트레픽을 거부하는 방식) 정책으로 변경하여 운영중이다.

그리고 침해사고 등 보안사고 발생시 원인자 추적 및 증거확보가 가능하도록 로그서버를 운영하고 있다. 또한 개인정보 등 중요자료의 유출사고 방지를 위해 앞서 언급한 것과 같이 DB 접근제어 및 암호화 시세템 등을 구축해 DB보안을 강화하게 됐다.

올해 최대 보안 이슈를 꼽는다면?

개인정보 보호를 제외하면 올해 최대 보안 이슈는 End PC단의 보안이 될 것이라고 생각한다. 사용자 컴퓨터가 바이러스, 웜, 트로이목마, 스파이웨어, 스팸 메일, 피싱 등으로 구분되는 악성코드에 노출된다면 악의적인 목적을 가진 사용자에 의해 컴퓨터를 제어당하거나 정보가 유출될 수 있다. 때문에 기술적, 물리적 보안이 아무리 훌륭한 기업이라도 일반 직원의 PC단까지 보안을 유지하기는 쉽지 않다.

현재 한국자산관리공사는 매월 셋째 주 수요일을 ‘사이버보안진단의날’로 시행중이다. 이 날에는 보안취약성 점검 및 보완 조치를 하고 온라인 교육자료를 배포하여 전 직원의 보안의식 강화 교육을 실시하고 있다.

국내 보안환경의 문제점은 무엇이라고 생각하는가?

가장 중요한 것은 정보보호에 대한 인식부족이라고 생각한다. 아직도 많은 기업들이 당장 매출에 직결되지 않는 보안 투자를 꺼리는 경향이 강하다. 지난 2008년 미국 연방정부의 정보보호 관련 예산은 약 60억 달러(약 6조원)로 전체 IT 예산의 9.2%에 달하는 반면, 한국은 전체 정부 IT예산에서 차지하는 비중이 고작 2~3%에 불과하다.

이렇게 한국은 다른 IT 분야에 비해 정보보호에 대한 투자는 매우 인색하다. 옥션사고나 1.25 인터넷 대란과 같이 기업들이 적은 돈을 아끼려다가 낭패를 볼 수도 있다.

보안과 관련해서 꼭 개선되어야 하는 것은?

급변하는 보안환경의 변화 및 해킹기술의 고도화로 정보보호담당자의 역할은 커지고 있으나 각 기업의 정보보호인력의 대응능력은 시간이 지날수록 뒤쳐질 수 밖에 없다. 각 기업의 정보보호 담당자가 기업의 중요자료를 보호할 수 있는 역량을 갖출 수 있도록 범 국가적으로 정보보호인력의 재교육 제도화가 필요하다고 생각한다.

또한 비(非)전문가 출신이 순환 보직에 의해 보안업무를 맡는 것이나 소규모 전담인력만으로 보안업무가 운영되는 것은 보안사고 발생의 위험성을 고려하면 상당히 위험하다고 생각한다.개인적으로 기업의 CSO(Chief Security Officer : 보안최고책임자)가 되는 것이 목표인데, 이제는 기업들이 CSO의 역할을 고민해야 할 때라고 생각한다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제103호 (info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)