[보안뉴스]배경훈 과기정통부 장관 “보안 체계 전반 개선할 것”...취임 50일 기자간담회

내용 요약

정보보호 체계 전반을 강화하기 위해 류제명 2차관 중심의 태스크포스를 조직하고, 관련 전문가·부처·기관과 협력해 정책·계획을 수립할 예정입니다.

핵심 포인트

• 보안 거버넌스 구축: 조직 차원의 보안 책임 구조와 정책 수립
• 위험 관리 체계 도입: 자산별 위험도 평가와 우선순위 결정
• 사이버 사고 대응 체계 완성: 인시던트 대응 프로세스와 복구 절차 마련

기술 세부 내용

1️⃣ 보안 거버넌스 (Security Governance)

• 정책 수립
  1. 보안 목표·범위 정의 → 조직 전반에 적용 가능한 보안 정책 초안 작성
  2. 법·규정 검토 → 관련 법령(예: 개인정보보호법, 전자정부법)과 부합하도록 조정
  3. 승인 절차 → 최고경영진(CEO) 및 관련 부서(IT, HR, 법무) 승인
• 역할 및 책임 정의
  1. 보안 책임자(CISO) 지정 → 보안 정책 실행 주도
  2. 부서별 보안 담당자 지정 → 각 부서의 보안 실무 책임 부여
  3. 업무 매뉴얼 배포 → 역할·책임을 명문화해 인식·준수 확보
• 모니터링·평가
  1. KPI 설정 → 보안 성과 지표(침해 발생률, 대응 시간 등) 정의
  2. 정기 보고 → 분기별 보안 현황 보고서 작성
  3. 개선 주기 → KPI 미달 시 정책·프로세스 수정

2️⃣ 위험 관리 (Risk Assessment & Management)

• 자산 인벤토리
  1. IT 자산 리스트 작성 → 서버, 네트워크 장비, 소프트웨어, 데이터 등
  2. 가치 평가 → 비즈니스 영향도(고객 신뢰, 재무, 규제) 기준으로 등급 부여
• 위협·취약점 식별
  1. 외부 스캐닝 → 취약점 스캐너(예: Nessus)로 공통 취약점 탐지
  2. 내부 감사 → 보안 정책 위반 사례 수집
  3. 서드파티 리스크 → 협력사/외부 서비스의 보안 수준 평가
• 위험 평가
  1. 확률·영향도 매트릭스 작성 → 위험 수준(높음/중간/낮음) 결정
  2. 우선순위 지정 → 고위험 항목부터 우선 대응
• 완화 조치
  1. 보안 컨트롤 배치(방화벽, IDS/IPS, MFA)
  2. 패치 관리 체계 구축 → 취약점 패치 주기 정의
  3. 교육·인식 프로그램 → 직원 보안 인식 강화

3️⃣ 인시던트 대응 (Incident Response & Recovery)

• 대응 조직 구성
  1. IR 팀(Incident Response Team) 조직 → 보안 담당자, 기술자, 커뮤니케이션 담당
  2. 역할 정의 → 사고 조사, 법적·규제 대응, 내부/외부 커뮤니케이션 담당
• 프로세스 정의
  1. 탐지·신고 → 모니터링 툴(예: SIEM)과 내부 신고 체계 구축
  2. 초기 격리 → 감염된 시스템을 네트워크에서 분리
  3. 분석·원인 파악 → 포렌식 도구(FTK, EnCase) 활용
  4. 복구·복원 → 백업에서 시스템 복구, 패치 적용
  5. 사건 보고 → 내부 보고서 작성 및 외부 규제 기관에 보고
• 연습·검증
  1. 테이블탑 훈련 → 시나리오별 대응 연습
  2. 실제 테스트(보안 실험실) → IR 절차 실전 검증
  3. 개선점 도출 → 훈련 결과로 프로세스 업데이트

이와 같은 단계별 접근법을 통해 태스크포스는 정보보호 체계의 안정성과 신뢰성을 한층 강화할 수 있을 것입니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139241&kind=&sub_kind=