Home > 전체기사
진화하는 사이버 위협, 서울시와 KISA는 이렇게 대응한다
  |  입력 : 2017-08-17 17:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국내 주요 CISO 40여명, CISO 포럼 참석해 전략과 정보 나눠

[보안뉴스 오다인 기자] 사이버 위협이 진화할수록 CISO의 잠 못 이루는 밤은 많아진다. 한국인터넷진흥원(KISA) 사이버위협 정보공유센터의 김정희 센터장은 한 장의 그림을 통해 이를 보여줬다. 마틴 디넬(Martin Dinel)의 ‘자는 자세(Sleeping Position)’라는 그림에서 CEO는 대자로 자고, CFO는 옆으로 자고, COO는 새우잠을 자지만, CISO는 침대에 없다. 아예 잠자리에 들지도 못한 것이다.

▲CISO 포럼에서 발표가 진행 중이다 [사진=보안뉴스]


자고 나면 발생하는 새로운 사이버 위협, 이에 대처하는 CISO의 전략과 대책에는 어떤 것들이 있을까? 어제(16일) 오후 6시부터 8시까지 서울 더플라자 호텔에서 열린 CISO 포럼에 40여명의 국내 주요 CISO들이 모인 이유다. CISO 포럼은 한국CISO협회(이하 ‘협회’)가 매월 개최하는 행사로, 국내외 사이버 보안과 관련한 최신 정보와 전략을 공유하는 장이다.

최동근 협회 부회장은 이날 인사말에서 “상반기 랜섬웨어 대응으로 분주했는데 최근 L사의 랜섬웨어 사고로 기업들이 다시 긴장하고 있다”고 말한 뒤 “을지연습을 비롯해 여러 현장점검을 앞두고 국내 사이버 위협과 보안을 논의하기 위해 두 분을 모셨다”며 발표자를 소개했다. 이날 포럼에서 김완집 서울특별시 정보기획관 정보통신보안담당관이 ‘서울특별시 사이버 보안 종합대책’을 주제로, 김정희 센터장이 ‘CISO와 사이버 위협 정보 공유’를 주제로 발표했다.

“서울 시민이 안심할 수 있는 사이버 보안 도시 만들 것”

▲김완집 서울시 정보통신보안담당관
[사진=보안뉴스]

서울시는 지방자치단체 최초로 정보보호 조직을 구성했다. 서울시 정보기획관 정보통신보안담당관은 서울시 및 산하기관의 정보보호 정책을 총괄하는 자리다. 즉, 서울시의 정보보호를 총괄하는 컨트롤타워가 바로 정보통신보안담당관이라고 볼 수 있다. 정보통신보안담당관 아래 △정보통신기획팀 △통신망관리팀 △정보보호정책팀 △개인정보보호팀 △통합보안관제팀 △공사업PC관리팀이 있다.

김완집 정보통신보안담당관은 발표에 앞서 “사물인터넷 등 각종 보안 문제가 대두하고 있는데 서울시에서 선도적으로 해볼 수 있는 것들이 많은 것 같다”고 말했다. 김 담당관은 박원순 서울시장이 “서울 시민의 안전을 위해 사이버 안전이 필수적”이라고 지적한 점을 언급하며 서울시가 그동안 진행해온 사이버 보안 업무 및 향후 종합계획에 대해서 발표하겠다고 밝혔다.

서울시의 정보보호 조직은 2003년 1월 정보통신담당관이 개설된 데서 출발한다. 이후 2004년 12월 사이버침해사고대응팀(CERT)가 신설되고, 2006년 4월 사이버보안팀이 정식 출범하게 된다. 개인정보보호팀이 신설된 것은 2007년 4월, 보안관제팀이 신설된 건 2009년 12월이다.

김 담당관은 서울시 전용 초고속 통신망인 ‘e-Seoul Net’과 ‘u-Seoul Net’을 언급하면서, “e-Seoul Net으로 연결된 서울시 직원 PC가 약 50,000대 정도 되는데 이를 모두 컨트롤할 수 있는 환경은 구축돼 있다”고 말했다. e-Seoul Net은 서울시가 지하철 터널을 이용해 25개 자치구와 본부 등 36개 주요행정기관을 연결한 광통신망이다. u-Seoul Net도 e-Seoul Net과 같은 광통신망이나 생활·환경·교통 등 복지와 관련한 네트워크 인프라를 말한다. 김 담당관은 “e-Seoul Net은 행정에, u-Seoul Net은 시민 와이파이나 CCTV 같은 대(對)시민 서비스에 주로 사용한다”고 설명했다.

서울시의 사이버 위협 탐지율은 매년 “폭발적으로 증가”하고 있다. 전년 대비 증가율을 보면, 2015년 78.3%, 2016년 306%, 2017년 22.5%로 나타났다. 서울시는 3개 층위에서 정보보호시스템을 운영하고 있는데 서울사이버안전센터에서 보안관제시스템을, 보안관제대상기관에서 네트워크 보안관리시스템을, PC와 서버 등 단말기에 대한 보안관리로 구성돼 있다.

사이버 보안 종합대책에 대해 김 담당관은 △주요 정보통신 기반시설에 대한 모니터링 강화 △사이버 위협에 대한 방어 시스템 최적화 및 고도화 △정보보호 관리체계 표준화 및 적용 확대를 추진 전략으로 제시했다. 서울시 소속기관의 정보보호 수준 향상을 위해 “서울시 정보보호관리체계(ISMS) 표준”을 수립하고 각 기관이 인증을 획득할 수 있도록 지원하겠다고도 말했다.

김 담당관은 “상하수도나 병원과 같은 사회 기반 시설에 대한 사이버 위협 관리와 정보보호 관리는 앞으로 서울시사이버안전센터가 수행할 수 있도록 비전을 가져야 할 것”이라고 말했다. “형식적인 조치가 아니라 전사적으로 보호할 수 있는 시스템을 구축하려고 노력하는 중”이며 “정보보안 전담 인력도 확보하기 위해 노력하는 중”이라고 덧붙였다.

또한, 김 담당관은 “서울시에서 보유한 직원 PC 50,000대를 활용해서 블록체인을 시험적으로 도입해볼 수 있을 것 같다”고도 말했다. 아직 구체적인 계획이 잡히진 않았으나 서울 시민의 사이버 보안을 향상시킬 방안 중 하나로 블록체인을 선도적으로 도입해볼 수도 있다고 밝힌 것이다. 블록체인을 이용해 ‘분산형 사이버 보안 체계’를 마련할 수 있을 것 같다고 김 담당관은 말했다.

“사이버 위협 정보공유는 전략적/관리적/기술적 분야별로 추진해야”

▲김정희 한국인터넷진흥원
사이버위협 정보공유센터 센터장 [사진=보안뉴스]

이어 김정희 센터장이 ‘CISO와 사이버 위협 정보 공유’를 주제로 발표했다. 김 센터장은 “사이버 위협의 범주에 어떤 것이 들어갈 수 있는지, 그리고 KISA가 CISO에게 어떤 실질적인 도움을 드릴 수 있을지 고민했다”고 밝혔다.

김 센터장은 올해 상반기 사이버 공격이 정치 사회적 혼란을 유도하는 양상을 띠었다고 분석했다. 대통령 탄핵 문제, 사드(THAAD) 배치 문제 등 어수선한 정국을 틈 탄 사이버 공격이 두드러졌다는 것이다. 워너크라이 랜섬웨어 사태나 인터넷나야나 사태, 금융권에 대한 디도스 공격 협박 등의 사례에서 볼 수 있듯 금전적 이득을 목적으로 한 사이버 공격도 2분기에 부각됐다고 설명했다.

김 센터장은 CISO 지정 신고제 시행 이후 우리나라에 총 6,700여명의 CISO가 신고돼 있다고 밝혔다. CISO 지정 신고제는 △유해사이트 차단 보급사업자 △상시 종업원 수 1천명 이상 사업자 △음란물, 사행성게임물 차단 사업자 △ISMS 인증 사업자 △웹하드 업체 △종업원 수 5명 이상 통신판매업자 등의 기준에 해당하는 기업에 “사내 정보보호 활동을 총괄하는 임원급의 CISO를 지정할 것”을 규정한 제도다.

김 센터장은 “KISA는 지역 균등을 고려해야 하는 조직이기도 하다”며 “우리나라 CISO의 76%는 서울 및 경기 지역 기업에 분포하고 있는데 이런 불균형을 해소하기 위해 노력할 것”이라고 말했다. KISA는 지난 7월 나주로 이전했다.

CISO는 정보보호 업무를 총괄하는 사람으로서 조직의 전략과 운영, 관리에 개입한다. 일반적인 조직 관리의 측면에서는 정보보호 관리체계를 수립하고 운영하는 것, 정보보호 취약점을 분석하고 평가한 뒤 개선하는 것, 침해사고를 예방하고 대응하는 것 등이 있으며, 중요 정보의 암호화 및 보안서버의 적합성을 검토하는 것 등 기술적인 부분까지도 세부적으로 운영을 담당하고 있다.

“우리나라뿐만 아니라 전 세계적으로 CISO 지정 제도가 많이 도입되고 있습니다. 사이버 위협으로 인해 천문학적인 피해가 많이 발생하고, 이를 효과적으로 관리해야 할 필요가 있기 때문입니다. 법과 제도부터 이사회 보고 등 실제 조직 운영과 관련한 사이버 보안 정보 공유가 중요합니다. 정보 공유를 포함한 조직 관리 전체가 일반적인 CISO 업무의 영역에 포함됩니다.” 김 센터장의 설명이다.

김 센터장은 CISO에게는 전략가이면서 조언자이고, 보호자이면서 기술자인 역할이 요구된다고 설명했다. “향후 융복합 시대에서는 복잡한 리스크를 확인하기 위해 정보보호 업무에 대한 전문적인 지식과 더불어 전략적인 사고가 필요할 것으로 보입니다.”

많은 CISO들이 외부의 정보가 중요하다는 생각을 하고 있지만 왜 활용은 잘 못하고 있을까? 이에 대해 김 센터장은 “서로 다른 층위의 이야기를 하고 있기 때문”이라고 분석했다. “KISA가 정보를 제공하더라도 CISO들은 ‘그래서 어떻게 하라는 거지?’라고 생각하시는 분이 많다”고 김 센터장은 설명했다.

CISO들이 실질적으로 활용할 수 있는 정보 공유 방안은 “C-레벨에서 행동이 취해질 수 있는, 즉 관리자나 운영자 수준에서 유용한 정보를 파악해야 한다”고 김 센터장은 제시했다. “예컨대, 워너크라이 랜섬웨어 사태를 보죠. ‘랜섬웨어 공격이 영국에서 시작해서 퍼지고 있는데 공통된 취약점을 이용한 거라고 한다’는 정보를 우선 공유한 뒤, ‘그럼 관리자 레벨에서 위협에 대처할 때 나는 무엇을 할 수 있나’라는 행동(action)을 실제 고민해봐야 합니다.” 그래서 김 센터장이 CISO의 역량 중 강조한 것은 의사소통 능력이다.

김 센터장은 사이버 위협 정보에 대해 CISO가 몇 가지 질문을 던져볼 수 있다고 말했다.

* 자사 혹은 동종 기업을 공격하는 주체가 누구이며 어떤 교훈이 있는가? 새로운 사건과 트렌드가 우리 조직에 어떤 영향을 미칠 수 있는가?
* 현재 우리 조직이 가장 많이 노출되어 있는 위협과 취약점은 무엇인가?
* 중요한 자산을 보호하기 위해 보안프로그램을 어느 정도 갖추고 있는가?
* 위협 환경 및 동종 업체들의 상황과 비교할 때 우리 조직의 성숙도는 어떤가?
* 얼마나 효과적으로 사이버 사고를 모니터링 및 탐지하고 있는가?
* 정보 공유를 위해 산업 단체에 참여하거나 법 집행기관 또는 정보기관과 협력하는가?


이어 김 센터장은 사이버 위협에 대한 정보공유 프레임워크를 세 부분으로 나누어 설명했다. 가장 하단에 기술, 중간에 관리, 상위에 전략으로 구성된 피라미드 형태다. “위협이 나타났을 때, 이것에 우리가 어떻게 대응해야 할 것인지가 주요한 논의를 이뤄야 합니다. CISO를 위한 취약점 보고서와 글로벌 위협 보고서 등이 많이 나오고 있는데, 이런 것들을 국내외로 파악하는 것도 실제 내부의 전략을 마련하는 데 도움이 될 수 있습니다.”

CISO가 사이버 위협 정보를 실제 활용할 수 있으려면 △전략적(Strategic) △관리적(Operational) △기술적(Tactical) 분야로 나누어 정보를 공유해야 한다고 김 센터장은 설명했다. 기업의 보안은 매우 민감한 문제이다 보니 정보 공유 자체가 어려울 수 있는데, 이를 예방하기 위해 세 가지로 구분해 정보 공유를 진행하면 훨씬 더 원활할 것이라는 분석이다.

끝으로 김 센터장은 “KISA에서 분기별로 많은 정보를 제공하고 있다”며 “C-레벨에서 리스크를 줄이기 위한 여러 전략과 대책을 수립하는 데 활용할 수 있다”고 밝혔다. 또한, “CISO들이 협업할 수 있도록 현실적인 방안을 만들어내고, 사각지대에 있는 분들까지도 협업하실 수 있도록 고민하고 있다”고 말했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)