2018년은 사이버보안의 필요성이 하드웨어 시스템, 암호화폐거래소, 클라우드서비스로 본격 확대되는 해였다.
컴퓨터 중앙처리장치(CPU)에서 민감한 정보를 노출하는 하드웨어 취약점이 공개됐다. 중국 컴퓨터 메인보드 제조공장에서 미국 제조사 모르게 부착된 미세부품을 통한 해킹 피해 가능성도 제기됐다.
하드웨어 취약점을 직접 이용하는 시도나 제품 생산과정에서 하드웨어를 침해하는 공급망 기반 공격은 고난도 기법에 속한다. 그러나 국가 지원을 받는 해커집단을 통해 치명적인 사이버위협을 수행하려는 경우 실행에 옮길 가능성이 있다는 점에서 주요 위협으로 대두된다.
유명세를 얻은 암호화폐 거래환경과 기업 인프라에 확산이 시작된 클라우드 관련 보안 강화 움직임도 가시화됐다. 암호화폐 거래 환경과 클라우드 인프라의 보안 위협과 기술은 함께 확대될 전망이다.
시장에서 클라우드와 맞물린 보안 트렌드는 정보유출방지 및 데이터 흐름 통제를 클라우드영역으로 확장한 ‘클라우드보안’과, 보안 솔루션을 클라우드서비스 방식으로 활용하는 ‘서비스형보안’이라는 두 가지 양상으로 나타났다. 국내외 보안 기업들이 이런 흐름에 뛰어들고 있다.
기업들에게 클라우드서비스는 여러 국가와 지역 시장에 대응하기 위한 전략의 하나로 구체화된 사업모델이다. 이를 활용하거나 제공하는 사업자들에게 민감한 변수로 유럽에서 시행된 GDPR이 떠올랐다.
GDPR은 해당 지역에 진출했거나 현지 거주자의 개인정보를 다뤄야 하는 각국 기업에게 적용된다. 대기업과 온라인서비스 업체 중심으로 개인정보 처리 절차와 수단을 GDPR에 맞춰 개선하는 방향에 대한 고민과 리스크 해소방안이 화두다.
공개키기반구조(PKI) 기술을 활용한 인증기술 시장 환경 변화 흐름도 감지됐다. 근로기준법 개정에 따른 노동시간 단축 정책이 연중무휴를 전제하는 보안관제 시장 변수로 떠올랐다.
국내서 PKI 기술은 공인인증서 이용환경을 중심으로 보급돼 왔다. 사용자에게 웹용 플러그인 설치를 요구하는 방식이 주류였다.
이 불편을 상쇄하는 흐름으로 생체인증을 접목한 FIDO 기반 모바일 및 웹기반 사용자인증과 전자서명 기술이 확산하고 있다. 아직 공인인증제도 폐지 목적으로 나온 전자서명법 개정안이 국회 계류 중이나, 폐지 흐름을 거부하는 조직적 움직임은 눈에 띄지 않고 있다.
■ CPU 보안 버그로 놀란 업계, 의혹 많은 해킹칩 소식에도 '화들짝'
문제가 있음을 알더라도 IT제품을 사용하는 개인과 기업 사용자가 사실상 어찌할 수 없는, 하드웨어 보안취약점을 이용한 사이버위협 우려가 고조됐다.
지난해 구글 보안연구조직 '프로젝트제로' 소속 연구원들이 대다수 PC, 서버, 모바일 기기에 사용되는 인텔, AMD, ARM 아키텍처의 범용 중앙처리장치(CPU)에서 하드웨어 기반 보안 버그 3건을 찾아냈다. 1건은 인텔 CPU에서만 발견된 '멜트다운'이었고 다른 2건은 제조사 3곳의 CPU에서 공통으로 발견된 '스펙터'였다. CPU 설계 결함으로 노출돼선 안 되는 메모리 데이터를 외부에 드러낼 수 있다는 게 문제였다.
올해 1월 이 사실이 발표됐고, IT업계가 발칵 뒤집혔다. 해커가 이 버그를 악용하면 이론상 공격 대상 컴퓨터에 흔적을 남기지 않고 메모리에서 민감한 데이터를 가져올 수 있었다. 특히 여러 사용자가 물리적 CPU를 공유할 수 있는 클라우드서비스 환경에서의 불안이 고조됐다. CPU 및 컴퓨터 제조사가 펌웨어 업데이트를 내놓고 운영체제(OS) 개발업체와 클라우드서비스 사업자가 패치를 배포하며 진화에 나섰다.
이제 진정 국면에 들어섰다. 이미 팔린 CPU는 어쩔 수 없었지만, 세계 최대 CPU 제조사 인텔은 하반기부터 설계를 변경해 보안 버그를 해결한 CPU를 출하하기로 예고했다. 이후에도 해외 연구자들이 후속 연구를 통해 CPU 버그를 악용한 공격기법의 변종을 찾아냈고, 악성코드 제작자들이 이 버그를 악용한 맬웨어를 테스트한 정황도 발견됐지만, 하반기 실제 공격과 피해 사례가 발생했다는 소식은 들리지 않았다.
10월초 하드웨어를 매개한 사이버위협 우려가 다시 대두됐다. 블룸버그 비즈니스위크가 애플과 아마존을 포함한 미국 소재 기업과 미국, 영국 정부기관에 공급된 서버 하드웨어에서 해킹 목적의 소형 칩이 발견됐다고 보도하면서다. 문제의 해킹용 소형 칩을 통해 광범위한 해킹을 시도한 주체는 중국 정부였고, 중국에 메인보드 제조공장을 둔 슈퍼마이크로의 서버가 이용됐다는 게 보도 요지였다.
하지만 블룸버그 보도 직후 피해자에 해당하는 애플, 아마존, 슈퍼마이크로 등 각 기업과 미국 정부기관 및 영국 첩보기관에서 나란히 보도 내용을 적극 반박하거나 공식 인정하기 어렵다는 입장을 연달아 내놓았다. 일부 기업은 공식적으로 블룸버그에 보도 철회를 요구했다. 한국에선 정부 국정감사 기간중 불거진 해킹칩 보도에 주목한 의원들의 질의와 공공부문 슈퍼마이크로 서버 현황 조사 요구가 있었다.
국내외서 블룸버그 보도 내용을 전적으로 신뢰한다는 보안전문가를 찾기는 드물다. 기술적으로 가능하더라도 실제 해킹이 목적이라면 더 효율적인 방법을 썼을 것이라는 견해도 있다. 내용의 기술적인 엄밀성과는 별개로, 블룸버그 보도를 트럼프 대통령 취임 후 미국과 중국 정부가 벌이고 있는 '무역전쟁'의 틀로 받아들이는 이들도 상당수다.
■ 암호화폐거래소·암호화폐지갑 보호기술 관심
비교적 새로운 유형의 IT서비스 분야에도 보안 기술과 솔루션이 필요하다는 인식이 강해졌다. 흥행에 성공한 블록체인 활용 사례인 암호화폐 거래 환경과, 성장세를 맞은 클라우드서비스 영역에서다.
암호화폐거래 환경의 보안은 거래소 해킹사고로 주목받기 시작했다. 지난해 암호화폐 투자 열풍이 불고 국내 대형 암호화폐거래소 대상 해킹사고가 발생하면서 보안대책이 촉구됐다. 이에 주요 보안업체들이 암호화폐거래소를 대상으로 한 보안솔루션 사업을 추진하기 시작했다. 또 암호화폐 거래자를 직접 겨냥한 다양한 하드웨어 기반 암호화폐지갑 제품을 내놓았다.
거래소 대상 보안솔루션으로 수산INT는 하이퍼바이저 인트로스펙션 기반의 엔드포인트보안솔루션 '이레드(eRed)'를 내놨다. 펜타시큐리티시스템은 '크립토익스체인지'라는 이름으로 데이터암호화, 웹보안, 인증보안기술을 제공한다. 무선네트워크보안업체 노르마도 네트워크 및 디바이스 스캔 기술과 위협리스트 DB기반 보안서비스를 거래소 대상 솔루션으로 알리고 있다.
암호화폐를 거래시 필요한 키를 안전하게 관리할 수 있는 하드웨어 월렛 제품 개발 및 출시 소식도 줄이었다. 펜타시큐리티는 '크립토월렛'을 개발했다. 케이사인은 자회사 에스씨테크원과 함께 '터치엑스월렛'을 출시했다. 키페어는 '키월렛'과 '키월렛터치' 등을 선보였다. 지란지교시큐리티도 회사가 투자한 아이오트러스트와 함께 '디센트'를 출시했다. 브릴리언츠는 '퓨즈더블유'를 내놨다.
■ ‘클라우드를’ 보호하라…CASB-클라우드 컨설팅 수요 형성
기업이 업무 환경을 기존 온프레미스 환경에서 클라우드 환경으로 전환하면서 클라우드 보안은 피할 수 없는 흐름이 됐다. 내부 IT영역에 적용했던 데이터 보호 및 접근제어 정책을 클라우드 영역에도 적용케 해주는 클라우드접근보안중개(CASB) 솔루션이 주목받기 시작했다.
가트너는 2014년 CASB를 주요 10대 기술로 선정하며, CASB는 ▲가시성(Visibility) ▲규정 준수(Compliance) ▲데이터 보안(Data Security) ▲위협 방어(Threat Protection) 4가지 핵심 기능을 제공해야 한다고 제시했다. 가트너는 2020년 CASB를 사용하는 기업이 사용하지 않는 기업보다 많을 것이라 전망했다.
CASB는 멀티클라우드 환경에 적합한 차세대 클라우드 보안 기술로도 주목받고 있다. CASB는 클라우드 사용자와 클라우드 서비스 공급자(CSP) 사이에 위치해 클라우드 내 데이터 유출 방지와 사용자 접근 제어, 가시성 확보 등을 가능하게 해 클라우드 내 데이터를 보호하는 기술이다. 이점에서 일부 CASB 업체는 여러 CSP에 동일한 보안 정책을 적용할 수 있다는 점을 강조한다.
현재 CASB 시장은 글로벌 업체가 선도하고 있다. 시만텍은 작년 스카이큐어를 인수해 CASB 사업에 뛰어들었다. ‘클라우드SOC(CloudSOC)’라는 CASB 솔루션을 출시해 데이터유출방지(DLP), 웹보안, 엔드포인트 보호 등 다른 시만텍 솔루션과 통합해 사용 가능하게 지원한다.
포스포인트도 CASB 솔루션 업체 스카이펜스를 인수, ‘포스포인트CASB’ 솔루션으로 클라우드 보안 거버넌스 구축 및 섀도IT(Shadow IT) 발견 등 기능을 제공하고 있다. 맥아피는 올 1월 CASB 선두 기업인 스카이하이네트웍스를 인수, ‘클라우드 시큐리티 스위트’, ‘클라우드 워크로드 시큐리티’ 등 클라우드 보안 플랫폼을 제공하고 있다.
국내 업체 중에는 SK인포섹이 CASB 사업에 나섰다. SK인포섹은 최근 미국 CASB 업체인 비트글라스와 파트너십 계약을 맺었다. CASB에 보안관제, 컨설팅, 위협 인텔리전스 등을 추가해 클라우드 환경에서의 보안을 강화할 계획이다.
SK인포섹 관계자는 “국내는 아직 해외보다 클라우드 활성화가 더디고, 서버 측면에서의 보안을 주로 하기 때문에 CASB에 뛰어드는 국내 업체가 적은 것 같다”고 국내 CASB 시장을 바라봤다. SK인포섹은 클라우드 보안 사업을 더욱 확대해 나간다는 계획이다.
자체 기술로 대응하겠다는 국내 업체도 등장해 눈길을 끈다. DLP 솔루션 전문 업체인 워터월시스템즈는 내년 사용이력 로그를 남겨 보안을 강화하는 CASB 솔루션을 준비하고 있다. 국내 시장에서 검증 받은 후, 일본 시장에서도 서비스할 계획이다.
■ ’클라우드로’ 보호하라…방화벽, 보안관제, 악성코드 탐지 등 SECaaS
CASB라는 솔루션 등장과 별개로 서비스형보안(SECaaS)이라는 키워드도 한층 주목받고 있다. SECaaS는 구축형 솔루션으로 제공하던 보안 기능을 클라우드서비스 기반으로 제공하는 방식이다. 기업들이 자체 인프라에 별도 장비나 솔루션을 구축하지 않고도 클라우드를 통해 보안 서비스를 사용할 수 있게 해준다.
앞서 지란지교시큐리티가 '지란 더 클라우드'를 출시하며 SECaaS 형태의 이메일보안 서비스를 출시했다. 지니언스는 미국, 유럽, 일본 등 해외시장을 겨냥해 네트워크접근제어(NAC) 솔루션 지니안NAC를 클라우드서비스로 선보였다. 펜타시큐리티시스템은 웹방화벽 '와플'의 클라우드 버전을 내놨다.
안랩은 클라우드 영역에서의 정보보호를 위한 컨설팅을 제공하는 한편, SECaaS 방식의 방화벽 및 이메일 랜섬웨어 보안 서비스를 제공한다. 아마존 웹 서비스(AWS), 마이크로소프트 애저, IBM 클라우드 등 다양한 클라우드 환경에서 원격보안관제 서비스도 제공하고 있다. 이에 더해 안랩 관계자는 “CASB는 클라우드 보안에서 피할 수 없는 흐름”이라며 “CASB 출시도 준비하고 있다”고 언급했다.
삼성SDS도 SECaaS 사업을 벌이고 있다. 현재 클라우드 보안관제 서비스와 방화벽, 악성코드탐지 등의 보안 소프트웨어를 클라우드로 제공하는 상황이다. 향후 클라우드 보안 서비스 사업을 강화하고 라인업을 확대한다는 계획이다. CASB 출시도 이어질지 주목된다.
시장에선 SECaaS가 비용을 절감하고 더욱 효율적인 운영을 할 수 있을 것이란 기대로 검토되고 있다. 다만 단일 클라우드 환경마다 개별적으로 보안 서비스가 적용되기 때문에 멀티 클라우드 환경에는 적합하지 않다는 지적도 있다.
■ 유럽 GDPR 발효따라 국내 기업 GDPR 컨설팅, 솔루션 대응
기업의 정보보호 영역이 더 이상 기업 내부에만 존재하지 않게 되면서 기업의 데이터 유출 위험은 더욱 커졌다. 따라 유럽에서는 EU 일반개인정보보호법(GDPR)이 지난 5월 발효됐다.
GDPR은 개인정보보호 강화를 위해 EU가 제정한 통합 규정으로, 사용자가 본인 데이터 처리 관련 사항을 받을 권리, 열람을 요청할 권리, 개인정보 이동 권리 등 EU 거주자의 개인정보에 대한 보호 정책을 담고 있는 법이다. 쉽게 말하면 유럽에서 수집한 개인정보를 유럽 밖으로 유출하기 어렵게 하는 것이다.
기업이 GDPR을 위반했을 경우 전년도 전 세계 연 매출 4% 또는 2천만 유로(약 262억 4천 900만 원) 중 더 높은 금액의 과징금이 부과된다. 한국 기업 가운데 유럽회사와 계약을 하거나, 유럽에서 수집한 개인정보를 처리할 때는 GDPR을 따라야만 한다.
이에 대응하기 위해 국내 보안업체들은 GDPR 관련 컨설팅과 솔루션을 선보였다. SK인포섹은 글로벌 로펌 DLA파이퍼와 함께 GDPR 컨설팅 서비스를 제공한다. 올 상반기에는 DLA 파이퍼와 함께 고객사를 대상으로 GDPR 세미나를 진행하기도 했다.
지란지교소프트는 GDPR에 대응하기 위해 서버 개인정보 보호 솔루션인 ‘서버필터’에 EU회원국의 개인정보 패턴을 추가했다. 서버필터가 자동적으로 여러 파일에서 EU회원국의 개인정보를 찾아 해당 정보를 암호화하거나 삭제 조치할 수 있게 했다.
소만사도 정보유출방지(DLP) 솔루션과 DB접근제어 솔루션 새 버전에 유럽 주요국가 개인정보 패턴(개인식별정보, 운전면허번호, 휴대전화번호, 여권번호)을 추가했다. 소만사는 "이를 통해 기업들이 PC, DBMS, 파일서버에 방치된 EU지역 거주자 개인정보를 검색, 삭제해 외부 반출을 통제할 수 있다"고 설명했다.
■ 연내 GDPR ‘적정성 평가’ 통과 실패...개인정보보호 규제 3법 개정안 발의
국가 차원에서는 EU의 개인정보 국외이전을 허용하는 ‘적정성 평가’를 받기 위한 움직임이 있었다. 적정성 평가를 통과하게 되면 제3국에 소재한 기업들은 EU의 개인정보를 별도 허가 없이도 해당 국가 영토로 전송할 수 있다.
한국은 작년 1월 일본과 함께 ‘적정성 평가 우선 검토 대상국’으로 지정돼 적정성 평가를 추진해왔다. 하지만 일본과 달리 한국은 연내 적정성 평가 통과에 실패했다. 적정성 평가에 통과하기 위해서는 GDPR 제45조에 따라 EU 집행위원회에게 독립적인 감독기구의 존재를 인정받아야 한다.
하지만 행정자치부 산하의 개인정보보호위원회는 독립성을 인정받지 못했다. 이후, 방송통신위원회에서 정보통신망법에 기초해 추진한 ‘부분 적정성 평가’도 진행 중이지만 긍정적인 상황은 아니다.
이에 따라 전문가들 사이에서는 개인정보 보호 체계를 하루빨리 개선해야 한다는 지적이 나온다. 최근 정부는 방송통신위원회, 금융위원회, 행정안전부 등 여러 기구에 흩어진 개인정보보호 규제, 감독 기능을 개인정보보호위원회로 통합하기로 결정했다. 개인정보 보호와 관련한 규제 3법(개인정보보호법, 정보통신망법, 신용정보보호법) 개정안이 발의됐다.
이 법안이 통과되면 개인정보 감독, 규제 기능은 방통위에서 개보위로 이관되며, 개보위는 국무총리 소속 중앙행정 기관으로 승격된다. 방통위가 추진하던 ‘부분 적정성 평가’는 향후 개보위가 넘겨받아 ‘전체 적정성 평가’로 전환돼 추진할 것으로 보인다. 하지만 개보위의 독립성과 전문성에 대해서는 아직 우려의 목소리가 남아 있어 적정성 평가가 이른 시일 내 통과되기는 힘들 것으로 전망된다.
■ PKI 세계, 공인인증서 퇴출과 FIDO2 표준 확산 시동
공공과 민간 영역에서 공인인증서의 활용 영역과 필요성이 점차 줄어들고 있다. 공인인증서는 올해도 국내 공공 및 민간 온라인 서비스에서 신원 증명과 송금 및 결제를 처리하는 주요 기술 역할을 했지만 곧 달라질 수 있다.
올해 2월 행정안전부는 공공웹사이트에서 공인인증서 발급 및 갱신 프로그램 제거 추진을 위해 기관 인증업무담당자 대상 설명회를 열었다. 11월에는 공인인증서 프로그램을 포함한 공공웹사이트 플러그인 제거 계획 일환으로 가이드라인을 마련했다. 정부는 2020년까지 모든 공공사이트에서 공인인증서 프로그램을 비롯한 모든 액티브X 및 플러그인을 제거하고 그 설치를 요구하던 프로세스를 바꿀 방침이다.
올해 3월 과학기술정보통신부는 공인인증서를 법정 사업자만 발급, 갱신할 수 있도록 정했던 공인인증제도 폐지를 골자로 한 전자서명법 전부개정안을 입법예고했다. 공인인증서와 사설인증서의 법적 지위를 동등하게 만들고 다양한 전자서명 수단이 국내 기술 시장에서 경쟁할 수 있게 한다는 취지였다. 연간 600억여원 규모 공인인증서 관련 시장의 보안인증기술업체간 이해관계가 뒤바뀔 수 있음을 예고했다.
데스크톱용 액티브X 및 플러그인 기반의 공인인증서 발급 갱신 프로그램은 개인 및 기업 사용자들이 민간에서 공인인증서를 요구하는 금융 및 쇼핑 등 온라인서비스 사용자경험에 불만을 품게 하는 요인이었다. 다만 이런 불만은 이미 민간에 보급된 모바일 기기용 앱 설치를 통해 한차례 누그러졌다. 공인인증서 요구환경에 생체정보를 접목해 사용성을 높인 전자서명 및 인증 서비스가 보급된 결과다.
공인인증서 처리시 생체인식 센서를 탑재한 사용자 모바일 기기에 앱을 설치함으로써 편의성을 높인 공신은 최근 수년간 보급된 FIDO 표준이었다. 이어 FIDO2 표준이 올상반기 등장했다. FIDO2는 사용자가 기기에 아무것도 설치하지 않고도 어떤 OS나 웹브라우저로든 더 편리한 인증서비스를 지원할 수 있다. 국내 인증보안업체 상당수가 기존 FIDO에 이어 FIDO2 대응 인증솔루션을 내놓거나 준비하고 있다.
국내기업 중 라온시큐어, 삼성SDS, 드림시큐리티, 와이키키소프트, 한국전자인증, 한국정보인증, 한컴시큐어, 이니텍 등은 FIDO2 인증서버 솔루션을 출시했거나 준비 중이다. 또 라온시큐어, 드림시큐리티, 옥타코, 센스톤, 와이키키소프트, 이더블유비엠 등이 FIDO2 인증장치 제품을 출시했거나 준비 중이다. 다만 FIDO2 대응 서비스가 늘고 지원 OS와 브라우저도 정식 출시돼야 관련 시장이 열릴 것으로 보고 있다.
■ 주52시간 근로기준법 시행, 보안관제 서비스·수요기관 및 기업에 파장
올해 주52시간을 상한으로 명확히 한 개정 근로기준법이 발효되면서 연중무휴 상시근무를 전제하는 보안관제서비스 분야에서도 영향을 줬다.
개정 근로기준법은 올해 7월부터 300인 이상 규모 사업장 소속 근로자의 주당 최장 근로시간을 52시간으로 제한하게 했다. 50~299인 규모 조직은 이를 2020년 1월부터 적용받고 5~49인 규모 조직은 2021년 7월부터 적용받는다. 기존법은 해석상 주당 최장근로시간이 68시간까지 가능했기에 이를 기준으로 인력을 운용했던 조직에서는 인당 최대 주16시간을 적게 일하도록 인력운용방식을 뜯어고쳐야 했다.
이같은 변화가 예고되면서 보안관제업계에서 우려가 제기됐다. 원론적으로 기업이 업무절차를 개선하고 근태관리를 강화함으로써 근로자의 업무시간을 개정된 법의 틀에 맞출 수 있어야 한다는 데 이견은 없었다. 다만 파견 관제인력을 통해 보안환경을 관리 및 유지하던 국가기관을 고객으로 응대하는 보안관제서비스 공급업체들에게는 관제업무의 특성에 따른 애로사항이 발생했다.
24시간 돌아가야 하는 보안관제 파견업무 특성상, 야간 담당자가 오후 6시부터 이튿날 오전 9시까지 연속 15시간 일하는 유형이 흔했다. 개정된 법은 10시간을 초과하는 연속근로와 중간 휴식이 없는 8시간 근로를 할 수 없게 했다. 즉 이를 지키려면 관제업체는 야간근무중 교대를 상시화하고 그에 상응하는 규모의 전문인력을 추가 운용해야 한다. 또 수요기관이 그 방식과 그만큼 늘어나는 비용을 수용해야 한다.
관련기사
- 코인 가격 롤러코스터...블록체인은 진화2018.12.13
- 공공·금융 클라우드 시장에 봄바람 불기 시작2018.12.13
- 비트코인 9만9천 달러 돌파...SEC 위원장 사임 소식에 급등2024.11.22
- "피부 컨설팅 받고 VIP라운지 즐겨요"…체험 가득 '올리브영N 성수' 가보니2024.11.21
특정 수요기관은 '사이버위기경보 단계 상향' 처럼 예측불가한 상황으로 늘어날 수 있는 보안관제서비스 대가를 감당할 수 있을만큼 넉넉한 예산을 배정받아야 한다. 민간기업이 정당하게 발생하는 추가비용을 요구하더라도 기관에 충분히 편성된 예산이 없으면 지급이 불가능하다. 그렇지 않다면 주어진 대가만큼 일하는 게 맞지만 사이버위기경보에 대응하는 류의 특수한 환경에서는 말처럼 쉽지 않다.
정부는 한국정보보호산업협회(KISIA)가 공론화한 업계 의견을 수용해 '공공 보안관제 계약 가이드'를 마련했다. 사이버위기경보 발령시 특별연장근로, 추가업무시 적정비용 지급 등 내용을 담았다. 고용노동부와 기획재정부 등 관계부처와 협의를 거쳤다. 수요기관이 비용을 부담하면서 주 52시간을 준수할 수 있도록 계약을 변경하고 특수상황 발생시 고용노동부 인가로 주당 12시간 특별연장근무를 가능하게 했다.