[보안뉴스]관세청 보안장비 5대 중 1대 ‘노후화’

내용 요약

관세청의 사이버보안 장비 97대 중 17대가 내용연수(경제적·효과적 사용 기간)를 초과해 노후화된 상태이며, 이는 단순 행정 자산이 아니라 국가안보 장비라는 사실을 감안할 때 정부 차원의 긴급 관리가 요구됩니다.

핵심 포인트

• 노후화된 사이버보안 장비의 위험성 – 내용연수 초과 장비는 성능 저하와 취약점 발생 가능성이 커져 국가 안보에 직결됩니다.
• 자산 수명 주기(Asset Lifecycle) 관리의 필요성 – 정기적인 평가, 교체 주기 설정, 예산 배정 등 체계적 관리가 필수적입니다.
• 국가안보 관점에서의 장비 분류 – 보안 장비를 단순 행정 자산이 아니라 국가안보 장비로 재분류하여 보안 정책과 예산이 재조정되어야 합니다.

기술 세부 내용

1️⃣ Asset Lifecycle Management (ALM) for Cybersecurity Equipment

자산 수명 주기 관리는 획득 → 운영 → 유지 → 폐기 단계에서 장비의 가치를 최적화하고 리스크를 최소화하는 프로세스입니다. 아래 단계별로 자세히 살펴보겠습니다.

단계	핵심 활동	기술 도구	비고
획득	• 장비 선정 기준 정의 (성능, 보안 수준, 확장성) • 벤더 평가 (ISO 27001, SOC 2 등)	RFQ, RFP 관리 시스템	구매 시점에 장비가 현재 요구사항을 충족하도록 보장
운영	• 장비 설치 및 구성 • 정기 보안 패치 적용 • 성능 모니터링 (CPU, 메모리, 네트워크 트래픽)	Configuration Management Database (CMDB) SIEM SNMP/NetFlow	장비가 최적화 상태로 운영되는지 확인
유지	• 주기적인 취약점 스캔 • 라이프사이클 평가 (내용연수, 경제적 수익률) • 교체/보강 계획 수립	Vulnerability Management Tool (Nessus, Qualys) Lifecycle Assessment Model	내용연수 초과 여부를 실시간으로 추적
폐기	• 데이터 완전 삭제 • 물리적 재활용/처리 • 재고 정리	Data Sanitization Software Asset Disposal Policy	장비가 더 이상 사용되지 않을 때 보안 위험을 방지

단계별 실천 가이드

1. 문서화 – 모든 장비의 사양, 구매일, 예상 내용연수, 보안 업데이트 기록을 CMDB에 입력합니다.
2. 정기 점검 – 매월 1회 또는 3개월마다 보안 패치를 적용하고, 성능 지표를 SIEM에 연동하여 이상 징후를 자동 알림합니다.
3. 내용연수 모니터링 – Lifecycle Assessment Model을 활용해 장비의 실제 사용 기간을 계산하고, 기준 연수를 초과하면 Maintenance Alert를 발생시킵니다.
4. 예산 계획 – 예상 교체 주기를 기준으로 예산을 연간으로 분배하고, CAPEX와 OPEX를 명확히 구분합니다.
5. 폐기 절차 – 장비가 교체되면 Data Sanitization 절차를 거쳐 모든 보안 데이터를 영구 삭제하고, 재활용 가능 여부를 평가합니다.

효과

• 리스크 감소: 노후화 장비가 보안 취약점을 유발하는 위험을 크게 줄입니다.
• 비용 절감: 정기적인 평가와 사전 교체를 통해 비상사태 대응 비용을 최소화합니다.
• 정책 일관성: 국가 안보 장비에 대한 규정과 예산이 일관되게 관리됩니다.

---

2️⃣ National Security Classification of Cybersecurity Assets

보안 장비를 단순 행정 자산이 아니라 국가안보 장비로 재분류하면 관리 체계와 예산, 법적 책임이 달라집니다. 아래는 재분류 시 고려해야 할 핵심 요소와 단계별 프로세스를 정리한 것입니다.

핵심 요소

• 보안 영향 범위: 장비가 국가 인프라(전력, 금융, 통신)에 미치는 영향력.
• 민감 데이터 보호: 장비가 처리·저장하는 데이터의 기밀성 수준.
• 공공 신뢰: 국민이 신뢰할 수 있는 보안 수준 보장.
• 법·규정: 국가안보 관련 법령(예: 국가보안법, 정보통신망법)과 부합 여부.

️ 재분류 프로세스

1. 자산 인벤토리 구축
   • 현재 보유 중인 모든 사이버보안 장비 목록화.
   • 사양, 설치 위치, 연결된 시스템, 담당자 등을 CMDB에 기록.
2. 보안 영향 평가
   • Impact Analysis Matrix를 활용해 장비가 어느 국가 인프라에 연결되어 있는지, 얼마나 민감한 데이터를 다루는지 평가.
   • 예: 방화벽, IDS/IPS, DLP 솔루션, 인증서 관리 시스템 등.
3. 정책 및 법적 검토
   • 현재 장비가 적용받는 행정 자산 정책과 비교.
   • 국가안보 장비로 분류 시 필요한 인증(예: 공인 인증기관, 국방부 인증) 및 예산 항목(국가안보 예산, 국방기술보조금) 검토.
4. 재분류 승인
   • 국가안보 장비 명단을 구성하고, 고위관료(총무부, 보안기획국 등)의 승인 절차를 거친다.
   • 승인 문서에 재분류 이유, 예산 배분, 유지보수 책임 등을 명시.
5. 프로세스 및 SOP 재설계
   • 보안 장비 운영 SOP(표준 운영 절차)를 국가안보 기준에 맞게 수정.
   • 예: 비상 시나리오, 비밀번호 관리, 감사 로그 보관 기간 등.
6. 예산 및 자원 재할당
   • CAPEX: 신규 장비 구매, 기존 장비 교체.
   • OPEX: 운영, 유지보수, 교육 등.
   • 재분류에 따른 예산 증가분을 명확히 산정해 국회 예산 심의에 반영.

주요 문서 예시

문서	내용	목적
National Security Asset Register	장비 사양, 위치, 연결된 인프라, 보안 등급	재분류 결과를 공식 기록
Impact Assessment Report	보안 영향, 데이터 기밀성 등	정책 승인 시 근거 자료
SOP for National Security Equipment	운영 절차, 비상 대응, 감사 절차	일관된 운영 보장
Budget Allocation Plan	CAPEX/OPEX 상세	예산 심의용

기대 효과

• 정책 일관성 확보: 장비가 국가안보에 미치는 실제 위험을 정확히 반영한 정책 수립.
• 자원 효율화: 예산이 필요에 따라 정확히 배분되어 불필요한 비용 절감.
• 리스크 대응 강화: 비상 상황 시 명확한 책임 체계와 대응 절차로 빠른 복구 가능.

---

마무리

관세청 사이버보안 장비의 노후화는 단순히 관리 부주의를 넘어 국가안보에 직결되는 리스크입니다.
- Asset Lifecycle Management를 통해 장비가 언제 교체되어야 할지 예측하고,
- 국가안보 장비 재분류를 통해 정책과 예산을 체계적으로 재조정해야 합니다.

이러한 프로세스를 도입하면 장비 노후화로 인한 보안 취약점이 최소화되고, 정부 차원의 체계적 관리가 가능해집니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139734&kind=&sub_kind=