“출연연 등 사이버 위기 대응체계 강화한다!” 과기정통부,‘산하기관 정보보호 개선방안’마련 - 정보보호 최고책임자 지정·운영 및 전담조직/인력 확보 - - 정보보호 투자 확대 및 사이버 모의 침투 훈련 실시 - - 정보보호 관련 기관운영평가 제도 개선 - - 정보보안 감사지원시스템 도입 - |
□ 과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’)는 최근 정부·공공기관에 대한 사이버 침해(해킹) 시도가 늘어나는 추세라는 지적에 따라, 출연연 등 산하기관과 함께 사이버 위기 대응체계를 강화하기 위해 개선방안을 마련하였다고 밝혔다.
□ ‘산하기관 정보보호 개선방안’의 주요내용은 다음과 같다.
< 정보보호 조직․인력 강화 >
ㅇ 산하기관이 정보보호 업무를 전문적이고, 체계적으로 수행할 수 있도록 기관규모 등을 고려하여 ’22~’23년까지 정보보호 전담 조직을 신설할 계획이다.
연도 | 대상 기관 |
’22년 | 한국과학기술원, 광주과학기술원, 한국생산기술연구원, 한국항공우주연구원, 한국에너지기술연구원, 한국핵융합에너지연구원, 한국원자력의학원, 울산과학기술원 8개 기관 |
’23년 | 대구경북과학기술원, 녹색기술센터, 한국기초과학지원연구원, 한국천문연구원 등 41개 기관 |
※ 연도와 관계없이 산하기관 자체적으로 정보보호 전담조직의 조속한 추진
- 최근의 사이버 침해는 특정목표 하에 그 수단과 기법이 보다 치밀하게 계획되는 등 보다 조직화되고 있는 추세에 있음을 고려할 때, 이러한 조치는 적절한 것으로 평가된다.
ㅇ「정보보안 기본지침」을 개정하여 산하기관이 최소한으로 확보해야 할 정보보호 전담 인력의 기준도 상향할 계획이다.
※「정보보안 기본지침」 : 과기정통부 및 소속기관, 산하 공공기관이 수행하여야 할 정보보안 관련 기본 업무를 규정
기관 인원수* 기준 | 현행 | 개선 |
200명 미만 | 1명 | 2명 |
200명 이상 ~ 300명 미만 | 2명 | 3명 |
300명 이상 ~ 500명 미만 | 3명 | 4명 |
500명 이상( ∼ 1,000명 미만) | 4명 | 5명 |
(1,000명 이상 ∼ 2,000명 미만) | 6명(추가) | |
(2,000명 이상 ∼) | 7명(추가) |
* 기관 인원수 : 연 평균 총인원으로 정원 외에 계약직, 석·박사과정 학생 포함
ㅇ 아울러, 현재 재직 중인 정보보호 담당직원은 정보보호 전문자격증을 취득하거나, 정보보호 전문기관의 교육이수를 의무화토록 할 계획이다.
< 정보보호 투자 확대 >
ㅇ 정보보호 투자의 안정성을 도모하기 위해 정보보호 사업예산을 정보화사업 등 다른 사업과 분리하고, 정보화사업 예산대비 15%이상 반영하는 것을 의무화할 방침이다.
ㅇ 또한, 산하기관의 정보보호 수준을 높이되, 업무 편의성을 함께 고려하여 내부망과 외부망을 분리해 나갈 방침이다.
- 망분리 방식은 크게 물리적 망분리와 논리적 망분리 방식이 있는데, 가장 안전한 물리적 망분리 방식을 우선적으로 고려하여 추진할 계획이다.
※ 물리적 망분리 : 통신망을 물리적(업무용과 인터넷용)으로 분리하여 2대의 PC를 사용
논리적 망분리 : 서버(가상 PC 생성) 또는 PC(가상 OS 생성)를 소프트웨어적으로 분리하여 1대의 PC를 사용
ㅇ 아울러, 외부에서 내부통신망 접속이 불가능하도록 공인IP를 사설IP로 전환하고, 무선침입방지시스템, 암호화 솔루션 등 다양한 정보보호시스템도 확대 도입할 계획이다.
- 특히 정보보호가 취약한 개별 연구단위는 연구용 서버의 정보보호 수준을 자가진단 할 수 있는 정보시스템을 도입할 예정이다.
< 사이버 침해 대응훈련 실시 >
ㅇ 사이버 침해를 예방하고 대응력을 높이기 위한 사이버 모의 침투 훈련도 올해 처음으로 25개 산하기관을 대상으로 실시하기로 하였다.
※ 1.한국과학기술원, 2.한국과학기술연구원, 3.한국전자통신연구원, 4.한국항공우주연구원, 5.한국생산기술연구원, 6.한국에너지기술연구원, 7.한국생명공학연구원, 8.한국과학기술정보연구원, 9.한국핵융합에너지연구원, 10.광주과학기술원, 11.대구경북과학기술원, 12.한국기초과학지원연구원, 13.한국재료연구원, 14.한국지질자원연구원, 15.한국건설기술연구원, 16.한국화학연구원, 17.한국식품연구원, 18.한국기계연구원, 19.울산과학기술원, 20.한국표준과학연구원, 21.한국철도기술연구원, 22.한국원자력연구원, 23.한국한의학연구원, 24.한국전기연구원, 25.한국천문연구원
- 화이트 해커를 통해 외부에서 이들 25개 기관의 보안취약점을 뚫어 내부 정보시스템으로 침투해 볼 예정으로, 훈련 결과는 해당 기관에 통보함으로써 보안취약점을 보완토록 할 방침이다.
ㅇ 사이버 위기대응 체계를 점검하기 위해 과기정통부-사이버안전센터-산하기관 등이 참여하는 연합훈련(도상)도 실시하기로 하였다.
< 정보보호 중요성에 대한 인식 개선 >
ㅇ 먼저, 산하기관의 모든 구성원들이 정보보호의 중요성을 인식할 수 있도록 기관운영평가 제도를 개선할 계획이다.
- 기관운영평가 시, 현재의 정보보호 배점 1.05점을 1.5점으로 상향하고, 기관의 정보보호 예산확보 실적도 평가에 반영한다.
※ 기관운영평가(100점)에서 정보보호가 차지하는 배점은 ’18년∼’20년 상반기까지 0.2∼0.3점이었고, ’20년 하반기∼현재까지는 1.05점임
- 이는 기존 배점과 비교하면 1.4~7배가량 기관운영평가 결과에 영향을 미칠 수 있는 수준이다.
ㅇ 아울러, 정보보호를 기관의 중요 정책으로 추진할 수 있도록 산하기관의 부원장이나 부총장, 선임본부장 등 고위 임직원을 ’정보보호 최고책임자‘로 지정·운영하기로 하였다.
- 그동안 대부분의 산하기관이 정보보호 최고책임자가 없어 정보보호 업무를 실무자급에 맡겨 놓는 경우가 있었다.
< 정보보안 감사의 효율적 추진 >
ㅇ 산하기관의 정보보호 정책․사업에 대한 이행 점검을 강화하기 위해 ‘정보보안 감사지원시스템’을 도입하고, 정보보호 관련 외부 전문가 투입을 확대할 계획이다.
- 특히, 내․외부망 분리가 어려워 인터넷과 연결·사용 중인 외부 접점에 있는 정보보호 장비와 DMZ* 구간 등에 대한 점검을 강화할 계획이다.
* Demilitarized Zone : 외부에 서비스 제공 시, 내부 자원을 보호하기 위해 내부망과 외부망 사이에서 접근 제한을 수행하는 영역
□ 과기정통부 이태희 기획조정실장은 “국가 간 기술패권 경쟁이 심화되는 상황에서 원자력, 항공, 위성 분야 등 국가 핵심기술에 대한 해킹이 발생할 가능성이 높기 때문에 이에 대한 대비가 어느 때보다 중요하다고 본다.”며,
ㅇ “앞으로 과기정통부는 우리나라의 국가 핵심기술을 사이버 침해로부터 안전하게 보호하기 위해 더욱 노력하겠다.”고 밝혔다. 끝.
