김승주 교수, “포렌식 준비제도 의무화 필요” 주장

매뉴얼에 기반한 보안대응에는 한계 있어

최대한의 보안대책 수립하도록 유도하는 정책이 바람직!!

[보안뉴스 김정완] 지난 4월 발생한 농협 전산망 마비사태와 관련해 고장난 농협 전산망 구조에 대해 살펴보고, 그러한 사태 발생의 교훈을 통해 포렌식 준비(Forensic Readiness) 제도의 의무화가 필요하다는 주장이 제기됐다.

▲김승주 고려대학교 정보보호대학원 교수는 12일, 디지털포렌식산업포럼 조찬 세미나 발표자로 나서 ‘농협사태로 본 디지털포렌식 준비도’란 주제로 포렌식 준비 제도 의무화가 필요하다고 주장했다. ＠보안뉴스.

디지털포렌식산업포럼(회장 이홍섭)이 12일, 삼성동 그랜드 인터컨티넨탈호텔에서 개최한 조찬 세미나에서 김승주 고려대학교 정보보호대학원 교수가 ‘농협사태로 본 디지털포렌식 준비도’란 주제로 이와 같은 주장을 펼쳤다.

이날 김승주 교수는 먼저 농협 전산망 마비사태에 대한 개괄적인 설명을 마친 뒤, “해외 비영리 보안 연구단체인 허니넷 프로젝트(Honeynet Project)의 포렌식챌린지 연구결과에 따르면 30분 정도 소요된 해킹에 대한 증거를 수집하고 원인을 밝히는데 수사관 1명당 34시간 정도가 소요된다”며 “특히 이번 농협의 경우와 같이 신속한 복구가 필요한 경우에는 증거수집 및 분석에 더욱 많은 시간이 필요하다”고 진단했다.

또한 김승주 교수는 이번 농협 전산망 마비사태를 통해 “천편일률적인 정형화된 매뉴얼 또는 가이드라인으로는 TGIF(Twitter-Google-iPhone-Facebook)로 촉발된 최근의 급속한 상황변화에 대처하기 어렵고 설혹 대응한다 하더라도 효과를 기대하기 어렵다”는 교훈을 얻을 수 있었다며 “그러므로 각 업체가 자신이 소유한 유·무형 자산의 가치에 따라 창의적으로 최대한의 보안대책을 수립하도록 유도하는 정책이 바람직하다”고 강조했다.

특히 김승주 교수는 창의적이면서 최대한의 효과를 발휘할 수 있는 보안대책으로 ‘디지털포렌식 준비도’를 지목하고 포렌식 준비 제도의 필요성을 주장했다. 이에 김 교수는 개인정보 유출로 인한 손해배상 소송 결과나 최근 발생한 메가스터디 서버 공격 사건 등을 예로 들며, 포렌식준비제도의 도입 필요성을 뒷받침했다.

즉 김승주 교수는 “보안은 업체가 자발적으로 최선을 다하도록 유도하고, 책임규명설비 구축을 의무화해 문제 발생시 피해보상을 확실히 하는 것이 중요하다”고 말하고 “시장 활성화 측면에도 효과적”이라며 포렌식 준비 제도의 의무화 필요에 대해 피력했다.

포렌식 준비도(Forensic Readiness or Forensic Preparedness)란 자신의 조직 내에 포렌식 장비들을 미리 설치해 놓고, 만약의 경우 사고가 발생했을 때 사고와 관련된 증거들을 신속하게 확보해 빠른 원인 분석은 물론 효과적인 대응을 가능케 하는 것을 일컫는다.

영국은 국민 400만명의 주민정보가 유출된 사고 발생 이후, 정부기관들로 하여금 지난 2009년부터 정보보호정책프레임워크에 의무적으로 포렌식 준비도 정책·계획을 포함시킬 것을 의무화했다.

한편 이날 김승주 교수는 포렌식 준비도 발표와 함께 금융보안의 현황에 대해서도 언급했다. 김 교수는 한국과 미국·일본의 인터넷뱅킹 현황을 비교하며 한국은 특정 보안리스크에 대한 보안대책을 직접 규율하고 있는 반면 미국·일본은 은행이 인터넷뱅킹과 관련된 리스크를 직접 평가하고 적절한 보안대책을 채택하고 있는 보안에 대한 접근방법의 차이에 따른 장·단점에 대해서 첨언했다.

즉 김승주 교수는 금융보안에 대한 접근방법에 따라 “한국은 어떤 은행을 이용하는가에 상관없이 최소한의 보안수준을 확보할 수 있다는 장점이 있지만 은행의 능동적 보안대책 시도 부족 및 보안기술간 경쟁을 저하할 수 있는 단점이 있다”고 말하고, “미국·일본은 은행이 보안문제에 대해 좀 더 적극적으로 개입하도록 유도할 수 있는 장점이 있는 반면, 인터넷뱅킹 발전이 우리나라에 비해 상대적으로 더딜 수 있다는 단점이 있다”고 밝혔다.

[김정완 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)