정부가 지방자치단체 정보시스템의 보안성을 강화하기 위해 망 분리 조치 확대를 추진한다.
신승인 행정안전부 정보기반보호정책과장은 10일 서울 잠실 롯데호텔월드에서 열린 국제 정보보호 컨퍼런스(ICIS)에서 '행정분야 정보보호 정책추진 방향'을 주제로 발표하면서 지방자치단체의 정보보호 강화 관련 기술적 대책의 일환으로 해당 계획을 소개했다.
지자체는 상대적으로 중앙 정부에 비해 정보보호에 대한 관심도가 낮고, 기관 내부 전문 인력과 투자가 부족한 편이다. 이 때문에 보안 수준 하락이 촉발되고 있다는 설명이다. 인프라 영역에서는 이같은 보안 강화 조치를 시행한다는 것.
신 과장에 따르면 논의 과정에서 클라우드 기반의 서버 기반 컴퓨팅(SBC)으로 망 분리 환경을 구축하는 방안도 제시되고 있다. 전국에 분산돼 있는 지자체 정보 시스템 장비를 각 광역시 전산실에 모아 관리하고, 지방재정관리시스템 등의 정부 서비스를 인터넷으로 내려받는 것이다. 이는 우정사업본부도 채택한 방식이다.
정부는 그 외 지방의 정보보호를 지원하는 한국지역정보개발원의 인력 보강과 관리 강화 차원의 정보보안 감사 실시 등 지자체 시스템의 구조 개편도 보안 강화 대책으로 고려 중이다.
■전자정부서비스 SW 개발보안 의무화 추진
신 과장은 이날 발표에서 행안부가 현재 추진 중인 정보보안 강화 정책과 현황도 언급했다. 발표에 따르면 정부는 전자정부 서비스에 SW 개발보안(시큐어코딩) 도입을 활성화할 방침이다. SW 개발보안은 SW 개발 초기 단계부터 보안 위협을 최소화하는 방식이다.
우선 전자정부법 개정안에 SW 개발보안 도입을 명시해 법적 근거를 확보할 계획이다.
적용 범위 확대도 검토한다. 의무 범위를 기존 5억원 이상 규모의 감리대상 사업에서 5억원 미만의 정보화사업 전체로 변경하는 것이 골자다.
SW 개발보안 이행 점검 체계도 만든다. 정보시스템 구축·운영 지침, 전자정부법 시행령 등에 이행점검 근거를 확보한 뒤 점검 기준을 마련, 시행에 들어갈 예정이다.
보안 취약점을 효과적으로 진단하기 위해 데이터셋을 구축하고, 알고리즘 연구 결과를 적용해 보안 취약점 탐지 정확도를 10% 이상 향상시킨다는 계획도 세웠다.
■실무자 의견 수렴 거쳐 정보 시스템 등급별 보안 가이드 개정
재정적, 자원적 투자 여력이 한정돼 있는 만큼, 정부는 정보 시스템에 등급을 나누고 보안 관리를 차별화해 효율성 향상을 추구해왔다.
정부는 지난 2017년 정보 시스템 등급별 보안관리 가이드라인을 개발했다. 이후 지난해 3월에는 정보시스템 등급제 적용 근거를 행정안전부 고시인 '정보시스템 구축·운영 지침'에 담았다. 등급제에 대한 근거 조항을 신설하고, 적용을 의무화하는 내용을 담은 전자정부법 개정안이 국회 행정안전위원회에서 심의를 앞둔 상황이다.
정부는 법제 통과, 시행에 앞서 등급별 보안관리 가이드 등을 개정해 배포할 계획이다. 등급분류 기준과 등급별 보안관리 기준 등 관련 가이드 배포는 이달부터 세 달간, 관련 가이드 현장 업무 담당자 의견수렴을 통한 가이드 정비, 개정은 다음달부터 5개월간을 시행 기간으로 잡았다.
광역 지자체의 전체 정보시스템에 대한 등급제 적용도 확산한다. 지난해까지 10대 광역시도에 등급제 적용 컨설팅을 제공한 데이어 올해는 이달부터 세 달간 7개 광역시도에 추가로 컨설팅을 제공한다.
아울러 중앙·지자체 정보보호·시스템 운영 담당자를 대상으로 설명회와 교육 실시 계획도 수립했다.
■전체 주요정보통신기반시설 현장점검 실시
정보통신기반보호법상 주요정보통신기반시설은 국가안전보장·행정·국방·치안·금융·통신·운송 등의 업무와 관련된 전자적 제어관리 시스템과 정보통신망으로 정의된다. 행안부 소관의 주요정보통신기반시설 102개 중 행안부가 직접 관리하는 시설은 11개다. 나머지 91개는 지자체가 관리하고 있다.
주요정보통신기반시설 관련 취약점 분석, 평가 외 지난 2016년부터는 모의해킹을 실시해 취약점을 점검하고 있다. 현재까지 전체 시설 중 약 95%에 대해 모의해킹을 지원했으며, 올해는 20개 기관에 대해 모의해킹을 추진 중이다.
일방향 전송장비, 망 간 자료 전송장비 등 핵심 보안장비도 확충하고 있다. 올해는 13개 기관에 장비 지원이 이뤄졌다.
관련기사
- 정부, 10일 '정보보호의 날' 기념식 개최2019.07.10
- 공공사이트에 매번 가입 안 해도 된다2019.07.10
- 정부, 공공기관 'SW 개발 보안' 요구 강화한다2019.07.10
- 정부도 '노플러그인' 정책 수혜 볼 수 있다2019.07.10
신 과장은 "올해는 특히 주요정보통신기반시설의 사이버 보호 능력을 강화하기 위해 전체 시설 102개에 대한 현장점검을 진행할 계획"이라고 말했다.
그 외 행정기관의 정보보호 조직·인력 확대도 지속적으로 추구할 방침이라고 언급했다. 신 과장은 "지난 2011년부터 2019년까지 중앙부처 대상 정보보호인력을 꾸준히 보강, 총 256명을 증원했다"고 설명했다.