김완집 서울시 정보보안과장 "사이버보안 조례 9월 공포 목표"

"사이버보안 조례를 오는 9월까지 만드는게 목표입니다. 쉽지는 않습니다. 다른 조례와 충돌과 중앙부처간 문제 등 해결할 게 매우 많습니다."

김완집 서울시 정보보안과장(전국 정보보호정책협의회장)은 디지털데일리가 20일 전국은행연합회 은행회관 국제회의실 2층에서 '디지털신뢰 새 패러다임, 제로트러스트 적용 전략'을 주제로 개최한 컨퍼런스에서 연사로 나와 이 같이 밝혔다.

이날 김 과장은 '서울시 EDR 및 제로트러스트 추진 현황과 전략'을 주제로 발표했다.

올해 시는 제로트러스트 확산을 위해 위협탐지 및 대응 솔루션(EDR, Endpoint Detection&Response)과 데이터 손실 방지(DLP, Data Loss Protection) 솔루션을 도입하고 유해차단 솔루션을 고도화할 예정이다. 제로트러스트는 '아무도 믿지 않는다'는 컨셉하에 기존 외부망 외에 내부망 접근도 엄격히 제한하는 새로운 보안 조류다. 미국과 우리나라에서 관심이 유독 높다.

앞서 서울시는 작년 7월 지자체 최초로 정보보안과(5개팀)를 신설하며 전담 인력도 역대 최대 규모인 28명으로 늘렸다. 올해 정보보안 예산은 전년 69억원에서 약 50% 증가한 103억원으로, 정보보호와 사이버 공격 대응에 적극 투자한다.

김 과장은 정보보호 공학박사로 2006년~2010년 정보보호정책 팀장과 사이버보안 팀장, 사이버침해사고 대응 팀장 등을 맡으며 서울시 정보보호 체계 수립 및 시스템 도입에 큰 역할을 했다. 시가 작년 7월 정보보안과를 신설하면서 초대 과장을 맡아 재직하고 있다.

김 과장은 전국정보보호정책협의회 회장이기도 하다. 지방자치법 제 169조에 의거해 작년 10월 결성된 이 단체는 17개 광역시도 226개 기초, 122개 공공기관의 정보보호 책임자 및 담당자가 회원 대상인데, 올 2월 기준 130개 기관 286명이 회원으로 있다. 작년 11월 과기정통부와 국정원 협력을 얻어 제 1회 정기총회를 개최했고, 지난 18일에는 개인정보보호위원회와 합동으로 첫 세미나를 열었다.

김 과장에 따르면 서울시 정보보호 정책은 지난 20여년간 4단계를 거치며 발전했다. 즉 초창기인 ▲정보보호 체계 조성(2003~2011년)을 지나 ▲정보보호체계 적용 확대(2012년~2017년) ▲정보보호체계 고도화(2018년~2024년) ▲제로트러스트 적용 확대(2015년~)로 진화했다.

김 과장이 이끄는 정보보안과는 5개 팀(정보보안정책팀, 정보보안관리팀, 정보보안점검팀, 개인정보보호팀, 사이버안전센터팀)으로 구성됐다. 김 과장은 "서울시 초고속 자가 정보통신망인 'e서울넷(e-Seoul Net)'과 'u서울넷(u-Seoul Net)'의 효율적 외부 경계보안을 하고 있다"면서 서울시 전 기관을 24시간 365일 모니터링하며 사이버공격을 실시간 탐지하고 대응하는 사이버안전센터를 운영하고 있다"고 들려줬다.

이 센터에는 여러 보안 제품들이 들어가 있다. 1999년 방화벽을 시작으로 2002년 백신, 2004년 안티스팸메일, 작년에는 NAC를 고도화했다. 올해는 EDR과 DLP를 도입하는 한편 유해차단을 고도화 할 예정이다.

시는 침해사고대응팀(S-CERT)도 구성, 운영하고 있다. 중대침해사고 발생(1등급 이상)시 정보보안과장이 CISO가 돼 한국인터넷진흥원 등과 협력해 상황에 대처한다. 김 과장은 "원격근무와 클라우드 도입 확대로 '내부 경계'가 흐려지고 있다"면서 "서울시는 2020년 6월 1만명이 동시 사용할 수 있는 원격근무시스템을 도입했고 올 2월 기준 시민용 클라우드 서비스 20개를 운영중"이라고 밝혔다. 이어 기존 경계기반 보안체계를 뚫는 신(新)사이버위협이 증가하고 있다면서 현 보안장비인 IPS(Instrusion Prevention system), APT(네트워크 레벨), 앤티바이러스로는 한계가 있다고 짚었다.

서울시의 EDR(Endpoint Detection & Response) 도입 전략도 소개했다. EDR시스템은 단말기의 모든 행위 정보를 탐지 및 분석후 악성코드를 차단하는 시스템인데, 현재의 안티바이러스가 갖고 있는 한계를 극복한 제품으로 각광받고 있다. 시는 작년 1단계로 EDR 도입계획을 수립한데 이어 올해는 2단계로 본청 5600대 PC에 적용 및 시범운영한다.

내년에는 3단계로 사업소 7400대에 도입해 SIEM-SOAR(Security Orchestration Automation and Response)과 연계하고 4단계로 2027년에는 자치구 및 산하기관과 연계할 계획이다. 김 과장은 EDR 시스템 도입 기대 효과로 네 가지를 들었다. "첫째, 패턴 기반 안티바이러스 솔루션 한계를 극복하고 둘째, 경계선 보안의 사각지대를 해소하며 셋째, 파일리스(fileless)와 랜섬웨어 공격 대응에 효과적이며 넷째, 샌드박스 기반의 APT 솔루션 우회 탐지를 극복할 수 있다"고 설명했다.

이어 서울시의 제로트러스트(ZT) 모델 도입 전략도 밝혔다. 제로트러스트는 어떤 사용자도 신뢰할 수 없다는 가정아래 추가인증을 완료한 후 시스템에 접근할 수 있는 권한을 부여하는 새로운 보안 개념이다. 원격근무 등 다양한 근무환경에서 보안성을 높이는 새로운 보안 모델로 주목받고 있다. 미국이 원조고 한국도 서서히 열기가 고조되고 있다. 서울시의 원격근무 시스템 이용량은 증가세다. 실제, 2023년 6558건이였는데 2024년엔 7482건으로 늘었다. 특히 작년 8월 육아공무원 재택근무 의무화와 제도 시행으로 원격근무 시스템 이용이 증가했다.

원격근무시 제로트러스트를 적용해야 하는 이유는 현재 많이 쓰는 VPN(Virtual Private Network)이 보안위협 발생이 높기 때문이다. 이의 극복 방안으로 SDP(Software Defined Perimeter)가 주목받고 있는데, 이는 신원을 기반으로 시스템 접근을 제어하는 것이다. 장비 인증에 더해 선 인증후 접속할 수 있다. 시는 1단계인 사용자 인증 요청부터 내부망 보안접속까지 6단계로 된 제로트러스트 원격근무시스템 접속 프로세스를 마련, 시행하고 있다.

김 과장은 제로트러스트 원격근무시스템 구축 기대 효과로 네 가지를 들었다. 첫째, SDP 개념 도입으로 강화된 보안 기능 제공 둘째, 선인증 후접속으로 업무시스템 트래픽 감소 셋째, 장비인증 추가로 계정 유출에 대한 보안성 강화, 넷째, 사용자 인증 강화를 위한 2Factor 인증 적용 등이다.

올해 진행하는 네트워크관리시스템(NAC) 고도화 계획도 설명했다. 올해 예산은 4억9100만원인데, 작년(1단계)에 시범운영에 이어 올해는 본청과 사업소에 1만6000대를 적용하고 내년에는 3단계로 전 기관으로 도입을 확대한다.