[데일리시큐]정부, ‘범부처 정보보호 종합대책’ 발표…“총력 대응” 밝혔지만 실효성·지속성 논란

내용 요약

한국 정부는 최근 공공기관·민간기업에서 발생한 연속적인 해킹 사고에 대응해, 국가안보실 주도로 5개 부처가 공동 수립한 범부처 정보보호 종합대책을 발표했습니다. 이 대책은 1,600여 개 핵심 IT 인프라(공공·금융·통신) 전수 점검, CEO 책임 강화, 정보보호 등급제 도입, 펨토셀 등 통신 인프라 폐기 가능성 검토 등을 포함해 국가 전반의 사이버 보안 체계를 강화합니다.

핵심 포인트

• 전면적인 시스템 전수점검: 1,600개 이상의 공공·금융·통신 IT 시스템을 한눈에 파악해 취약점을 신속히 식별·정복
• CEO 책임 강화: 최고경영자 수준의 보안 책임 부여로 보안 의사결정 주도권 확보
• 정보보호 등급제 도입: 보안 수준을 등급별로 분류해 일관된 보안 정책과 대응 절차를 표준화

기술 세부 내용

1️⃣ Information Protection Leveling System (등급제)

단계	설명	기대 효과
① 등급 정의	고위험(Top‑Secret), 중위험(Medium‑Risk), 저위험(Low‑Risk) 등 3개 레벨을 정의하고, 각 레벨별 보안 요구사항(접근 통제, 암호화, 모니터링)을 명문화합니다.	보안 정책을 레벨 기반으로 일관되게 적용 가능
② 레벨링 프로세스	IT 자산(서버, 애플리케이션, 데이터베이스 등)에 대해 자산식별 → 위험분석 → 레벨 지정 → 승인 절차를 거칩니다.	자산별 보안 우선순위 설정과 관리 효율화
③ 정책 적용	레벨별로 정기점검 주기, 패치 적용 정책, 접근 제어 정책를 자동화합니다. 예를 들어, 고위험 레벨은 24시간 모니터링, 주기적 침투 테스트를 요구합니다.	위험에 따른 대응 수준을 자동화해 인적 오류 최소화
④ 인증 및 보고	외부 감사를 통해 레벨링의 정확성을 검증하고, 각 부처에 정기 보고서를 제공해 투명성을 확보합니다.	법적·규제적 요구사항 충족과 신뢰성 향상

주요 기술: ISO 27001, NIST SP 800‑53, SOAR(보안 오케스트레이션, 자동화 및 응답) 플랫폼을 활용해 정책 실행과 자동화가 결합됩니다.

2️⃣ Full Audit of Core IT Systems (핵심 IT 시스템 전수점검)

단계	절차	사용 도구	비고
① 자산 인벤토리 구축	1,600여 개 시스템을 식별하고, 운영 체제, 미들웨어, 애플리케이션, 네트워크 장비 정보를 수집합니다.	Open‑source Asset Discovery Tools (Nmap, Masscan)
② 취약점 스캔	Nessus, Qualys, OpenVAS 같은 스캐너로 CVE 기반 취약점 점검을 수행합니다.	자동화 스케줄링을 통해 주기적 스캔
③ 위험 평가	CVSS 점수와 비즈니스 영향도를 결합해 위험 등급을 산정합니다.	Risk Matrix를 통해 비즈니스 영향과 기술적 위험을 시각화
④ 보안 정책 일관성 검증	CIS Benchmarks, NIST SP 800‑53 체크리스트를 적용해 설정이 정책에 부합하는지 확인합니다.	체크리스트 결과를 CMDB(구성 관리 데이터베이스)에 연동
⑤ 시정 조치 및 재검증	취약점이 발견되면 패치 적용, 설정 변경, 보안 강화 조치를 수행하고 재검증합니다.	Change Management와 Patch Management 프로세스를 통합
⑥ 정기 보고 및 개선	각 부서별 보안 상태를 월간 보고서에 반영하고, KPI(주요 성과 지표)를 설정해 지속 개선	KPI: 보안 취약점 해결 속도, 재점검 발생 빈도 등

핵심 기술: SIEM(보안 정보 이벤트 관리) 플랫폼을 통해 로그 수집·분석을 한 곳에서 수행하며, 위협 인텔리전스 피드(Threat Intelligence Feed)와 연계해 최신 위협을 실시간 반영합니다.

3️⃣ Pemtocell Infrastructure Removal (펨토셀 등 통신 인프라 폐기)

단계	설명	기술 세부
① 현황 파악	5G/4G 네트워크 내 펨토셀(고성능 마이크로셀) 설치 현황과 보안 위협(무단 접근, 무단 전송)을 매핑합니다.	3GPP 표준과 NIST 보안 가이드라인을 기반으로
② 위험 평가	펨토셀의 보안 취약점(암호화 미적용, 인증 취약)을 평가하고, 해당 인프라가 핵심 서비스에 미치는 영향도를 분석합니다.	위험지수(W) = 취약점 심각도 × 비즈니스 영향
③ 단계적 폐기 계획	폐기 일정표를 수립해 서비스 중단 최소화와 동시에 물리적/논리적 제거를 진행합니다.	CAPA (Corrective Action and Preventive Action) 절차 적용
④ 대체 인프라 구축	기존 펨토셀을 대신할 보안 강화된 마이크로셀 또는 핵심 타워 기반 인프라를 배치합니다.	Software-Defined Networking (SDN)을 활용해 유연성 확보
⑤ 종료 검증	폐기 후 남은 보안 위험(데이터 유출 가능성, 서비스 지연)을 테스트하고, 최종 승인 절차를 거칩니다.	Penetration Testing과 Network Traffic Analysis 활용
⑥ 문서화 및 교육	폐기 절차, 배치 환경, 보안 설정을 문서화하고, 관련 부서에 교육을 제공합니다.	Security Operations Center (SOC) 연계 교육 프로그램

핵심 기술: 펨토셀의 암호화 프로토콜(5G NSA), 인증 메커니즘(5G AKA), 및 SDN 컨트롤러(ONOS, OpenDaylight)를 통해 인프라 보안을 강화하고, 물리적/가상 자원 관리를 통합합니다.

4️⃣ CEO Accountability Enhancement (CEO 책임 강화)

단계	내용	실행 방안
① 책임 명세	CEO가 보안 정책 승인, 예산 배정, 인시던트 대응을 직접 책임지도록 명문화합니다.	정책 문서에 "CEO 보안 책임 선언"을 삽입
② 보안 KPI 연동	보안 성과를 CEO KPI(성과 지표)와 연결해 보안 인식 제고	예: Zero‑Day Patch 적용률, 보안 사고 대응 시간
③ 정기 보고 체계	SOC, CSIRT(보안 사고 대응팀)로부터 월간 보안 상태 보고를 받도록 합니다.	Executive Briefing 형식으로 비즈니스 언어로 정리
④ 교육 및 인증	CEO를 대상으로 보안 리스크 교육 및 인증(CISM, CISSP) 진행	외부 교육기관과 연계해 연 1회 재교육
⑤ 보안 예산 확보	보안 예산을 CEO가 직접 승인하도록 변경해 예산 투명성 확보	Budget Authority를 보안 부서에 부여
⑥ 리스크 커뮤니케이션	보안 위협 정보를 CEO가 경영진에게 전달하고, 의사결정에 반영하도록 구조화	Threat Intelligence Dashboard 제공

핵심 기술: Executive Dashboard(예: Splunk Enterprise Security, ArcSight)와 KPI 측정 도구를 연동해 CEO가 실시간 보안 상태를 확인하고, 경영진에게 보안 리스크를 효과적으로 전달할 수 있도록 지원합니다.

---

마무리
범부처 정보보호 종합대책은 단순히 기술적 수단을 넘어 조직 문화와 경영 전략까지 포괄하는 종합적 보안 전략입니다. 5개 부처가 협력해 핵심 IT 인프라를 한눈에 점검하고, 등급제와 CEO 책임 강화로 보안 의사결정이 체계화되며, 펨토셀 폐기를 통해 네트워크 기반을 더욱 안전하게 만들고 있습니다. 이로써 한국은 공공·금융·통신 분야에서 발생할 수 있는 대규모 사이버 사고에 보다 강력히 대응할 수 있는 토대를 마련하게 됩니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=201607