올해부터 국가 주요 정보통신기반시설에 대해 물리보안에 대한 보안평가와 관리감독이 크게 강화된다.
22일 정부기관과 보안업계에 따르면 지난해 말 정부가 '주요정보통신기반시설 취약점 분석, 평가기준' 개정 고시를 발표함에 따라 2년마다 실시한 보안평가를 매년 실시하고, 보안평가시 물리보안에 대한 관리감독도 크게 강화될 예정이다.
그동안 정보통신기반시설에 대한 보안규정은 침입탐지시스템(IDS), 방화벽, 네트워크 보안, 암호인증 등 대부분 소프트웨어(SW) 방식의 정보보안에 집중돼 있었다.
올해부터 적용되는 새 보안기준은 USB드라이브, 하드디스크 등 이동형 미디어 장치에 대한 관리와 반출입, 제어 시스템과 정보시스템에 내장된 USB 등 통신포트 보안관리 등 '물리보안'을 염두해 둔 구체적인 보안규정이 크게 늘어나게 된다.
'보안감사(보안취약점 분석, 평가)'은 지난해에 비해 훨씬 까다로워진다. 정부 각 부처와 국가정보원이 2년마다 실시하는 보안감사가 올해부터는 매년 실시된다. 필요한 경우 감독기관이 수시로 보안감사를 벌일 예정이다.
감사를 받는 대상도 늘어난다. 보안업계에 따르면 지난해 186개 주요정보통신기반시설이 올해 안에 확대 지정될 것으로 예상된다. 행안부는 올해 제2금융기관, 유통, 물류, 석유, 화학, 철강 관련 회사들을 선별해 신규 기반시설로 지정고시할 계획이다. 이에 따라 보안감사 대상은 220여개로 늘어날 전망이다.
정부가 정보통신기반시설 보안평가를 대폭 강화하고 나선 것은 원자력발전소, 송유관 등 국가기반시설을 공격하기 위해 개발된 멀웨어 '스턱스넷'이 새로운 보안 위협으로 등장하고 있기 때문이다. 실제로 스턱스넷은 외부에서 들여온 USB드라이브를 통해 시스템이 감염됐다.
지난해 미국 국제전략문제연구소는 군사대국 15국 가운데 12국이 현재 사이버 전쟁 프로그램을 만들고 있고, 각국 정부 지원을 받은 해커들이 초유의 사이버 전쟁을 벌일 것이라고 밝힌 바 있다.
실제로 작년 8월 사우디 원유기업 사우디아람코가 사이버 공격으로 PC 3만대가 마비됐으며, 원유공급에 차질을 빚어 엄청난 손실을 입었다. 같은 해 9월에는 미국 대형은행들이 해커의 공격을 받기도 했다.
관련기사
- 물샐틈 없이 막아라…'융합보안'에 주목2013.01.22
- 금융권 보안UP, '물리보안 시스템'으로2013.01.22
- 가상자산, 미국은 변하는 데 한국은 왜 안 바뀌나2024.11.25
- 폐지 앞둔 단통법, 효과는 물음표2024.11.25
보안업계에 따르면 현재 방송통신위원회, 교육과학기술부, 고용노동부, 보건복지부 등과 일부 산하기관에서는 물리보안이 구축돼있지 않다.
안창훈 컴엑스아이 대표는 정부가 올해부터 국가 핵심 인프라인 주요정보통신기반시설에 대한 물리보안 보안감독이 크게 강화됐고, 정보보호 예산도 9%로 늘어난 것은 고무적인 일이라며 악성 해킹과 사이버 전쟁에 대비해 SW정보보호 시스템과 통신포트 물리보안 시스템을 균형있게 운용할 필요가 있다고 밝혔다.