공지사항

과기정통부,‘산하기관 정보보호 개선방안’마련

작성자 : 관리자 작성일 : 2021-09-02

 

 

 “출연연  사이버 위기 대응체계 강화한다!

과기정통부,‘산하기관 정보보호 개선방안’마련

      - 정보보호 최고책임자 지정·운영  전담조직/인력 확보 -

      - 정보보호 투자 확대  사이버 모의 침투 훈련 실시 -

      - 정보보호 관련 기관운영평가 제도 개선 -

      - 정보보안 감사지원시스템 도입 -

 

 

 과학기술정보통신부(장관 임혜숙이하 ‘과기정통부’) 최근 정부·공공기관에 대한 사이버 침해(해킹) 시도가 늘어나는 추세라는 지적에 따라출연연  산하기관과 함께 사이버 위기 대응체계를 강화하기 위해 개선방안을 마련하였다고 밝혔다.

 

 ‘산하기관 정보보호 개선방안’의 주요내용 다음과 같다.

 

정보보호 조직․인력 강화 >

 

  산하기관이 정보보호 업무를 전문적이고체계적으로 수행할  있도록 기관규모 등을 고려하여 22~23년까지 정보보호 전담 조직을 신설 계획이다.

 

 

연도

대상 기관

22

한국과학기술원광주과학기술원한국생산기술연구원,  한국항공우주연구원한국에너지기술연구원한국핵융합에너지연구원한국원자력의학원울산과학기술원 8개 기관

23

대구경북과학기술원녹색기술센터,  한국기초과학지원연구원한국천문연구원 등 41개  기관

 

     ※ 연도와 관계없이 산하기관 자체적으로 정보보호 전담조직의 조속한 추진

 

   최근의 사이버 침해는 특정목표 하에  수단과 기법이 보다 치밀하게 계획되는  보다 조직화되고 있는 추세 있음을 고려할 , 이러한 조치는 적절한 것으로 평가된다.

 

 「정보보안 기본지침」을 개정하여 산하기관이 최소한으로 확보해야  정보보호 전담 인력의 기준도 상향 계획이다.

 

     ※「정보보안 기본지침」 과기정통부 및 소속기관산하 공공기관이 수행하여야 할 정보보안 관련 기본 업무를 규정

 

기관 인원수* 기준

현행

개선

200명 미만

1

2

200명 이상 ~ 300명 미만

2

3

300명 이상 ~ 500명 미만

3

4

500명 이상∼ 1,000명 미만)

4

5

(1,000명 이상 ∼ 2,000명 미만)

6(추가)

(2,000명 이상 ∼)

7(추가)

 

      기관 인원수 연 평균 총인원으로 정원 외에 계약직·박사과정 학생 포함

 

  아울러현재 재직 중인 정보보호 담당직원은 정보보호 전문자격증 취득하거나, 정보보호 전문기관의 교육이수 의무화토록  계획이다.

 

정보보호 투자 확대 >

 

  정보보호 투자의 안정성을 도모하기 위해 정보보호 사업예산을 정보화사업  다른 사업과 분리하고정보화사업 예산대비 15%이상 반영하는 것을 의무화 방침이다.

 

  또한산하기관의 정보보호 수준을 높이되업무 편의성을 함께 고려하여 내부망과 외부망을 분리 나갈 방침이다.

 

  망분리 방식은 크게 물리적 망분리와 논리적 망분리 방식이 있는데가장 안전한 물리적 망분리 방식 우선적으로 고려하여 추진할 계획이다.  

 

   ※ 물리적 망분리 통신망을 물리적(업무용과 인터넷용)으로 분리하여 2대의 PC를 사용

      논리적 망분리 서버(가상 PC 생성또는 PC(가상 OS 생성)를 소프트웨어적으로 분리하여 1대의 PC를 사용

 

 

  아울러외부에서 내부통신망 접속이 불가능하도록 공인IP 사설IP 전환하고무선침입방지시스템암호화 솔루션  다양한 정보보호시스템도 확대 도입할 계획이다.

 

   특히 정보보호가 취약한 개별 연구단위 연구용 서버의 정보보호 수준을 자가진단   있는 정보시스템을 도입할 예정이다.

 

사이버 침해 대응훈련 실시 >

 

  사이버 침해를 예방하고 대응력을 높이기 위한 사이버 모의 침투 훈련도 올해 처음으로 25 산하기관을 대상으로 실시하기로 하였다.

 

    ※ 1.한국과학기술원, 2.한국과학기술연구원, 3.한국전자통신연구원, 4.한국항공우주연구원, 5.한국생산기술연구원, 6.한국에너지기술연구원, 7.한국생명공학연구원, 8.한국과학기술정보연구원, 9.한국핵융합에너지연구원, 10.광주과학기술원, 11.대구경북과학기술원, 12.한국기초과학지원연구원, 13.한국재료연구원, 14.한국지질자원연구원, 15.한국건설기술연구원, 16.한국화학연구원, 17.한국식품연구원, 18.한국기계연구원, 19.울산과학기술원, 20.한국표준과학연구원, 21.한국철도기술연구원, 22.한국원자력연구원, 23.한국한의학연구원, 24.한국전기연구원, 25.한국천문연구원

 

   화이트 해커를 통해 외부에서 이들 25 기관의 보안취약점을 뚫어 내부 정보시스템으로 침투해  예정으로훈련 결과는 해당 기관에 통보함으로써 보안취약점을 보완토록  방침이다.  

 

  사이버 위기대응 체계를 점검하기 위해 과기정통부-사이버안전센터-산하기관 등이 참여하는 연합훈련(도상) 실시하기로 하였다.

 

정보보호 중요성에 대한 인식 개선 >

 

  먼저산하기관의 모든 구성원들이 정보보호의 중요성을 인식할  있도록 기관운영평가 제도를 개선 계획이다.

 

   기관운영평가 현재의 정보보호 배점 1.05점을 1.5점으로 상향하고기관의 정보보호 예산확보 실적도 평가에 반영한다.

 

     ※ 기관운영평가(100)에서 정보보호가 차지하는 배점은 ’18년∼’20년 상반기까지 0.20.3점이었고20년 하반기∼현재까지는 1.05점임

 

   이는 기존 배점과 비교하면 1.4~7배가량 기관운영평가 결과에 영향 미칠  있는 수준이다.

 

  아울러정보보호를 기관의 중요 정책으로 추진할  있도록 산하기관의 부원장이나 부총장선임본부장  고위 임직원을 ’정보보호 최고책임자‘로 지정·운영하기로 하였다.

 

   그동안 대부분의 산하기관이 정보보호 최고책임자가 없어 정보보호 업무를 실무자급에 맡겨 놓는 경우가 있었다.  

 

정보보안 감사의 효율적 추진 >

 

  산하기관의 정보보호 정책․사업에 대한 이행 점검을 강화하기 위해 ‘정보보안 감사지원시스템’을 도입하고정보보호 관련 외부 전문가 투입을 확대 계획이다.

 

   특히내․외부 분리가 어려워 인터넷과 연결·사용 중인 외부 접점에 있는 정보보호 장비와 DMZ* 구간 등에 대한 점검을 강화 계획이다.

 

    * Demilitarized Zone : 외부에 서비스 제공 시내부 자원을 보호하기 위해 내부망과 외부망 사이에서 접근 제한을 수행하는 영역  

 

 과기정통부 이태희 기획조정실장은 “국가  기술패권 경쟁이 심화되는 상황에서 원자력항공위성 분야  국가 핵심기술에 대한 해킹이 발생할 가능성이 높기 때문에 이에 대한 대비가 어느 때보다 중요하다고 본다.”며,

 

  “앞으로 과기정통부는 우리나라의 국가 핵심기술을 사이버 침해로부터 안전하게 보호하기 위해 더욱 노력하겠다.”고 밝혔다.  .