전산보안 및 정보 보호의 중요성이 한층 강조되고 있는 가운데 한국전산원은전자신문 및 국가안전기획부의 후원으로 지난해에 이어 두번째로 22일 상공회의소 국제회의실에서 "전산보안세미나"를 개최한다. 국가 기간전산망에대한 안전과 보안의식을 고취하기 위해 마련된 이번 세미나에서는 최근들어앞다퉈 구축되고 있는 정보시스템에 대한 사례 및 현황 등이 소개된다. 오늘발표될 주제발표 내용을 요약, 소개한다. <편집자주>
<> 정보시스템 안전성관련 법제동향 대응책
"신각철 법제처 법제연구관"
정보 고속도로가 제대로 구축되고 정착되기 위해서는 무엇보다도 컴퓨터시스템과 정보통신망 전반에 대해 안전성과 신뢰성이 확보돼야 한다.
또한 컴퓨터와 정보통신 시스템에 대한 안전조치는 관계법령에서 엄격하게규정하는 한편 물리적.기술적 보안조치를 강구해야 한다.
그러나 최근에 이에 대한 안전성을 위협하는 사고가 종종 발생했는데, 고교생이 인터네트를 통해 전국 17개 대학과 기업체 전산망에 침입해 각종 자료를 복사하거나 열람한 사건, 대학생이 PC통신의 홈뱅킹 서비스를 이용해다른 회원의 예금을 불법인출한 사건이 대표적이다.
이에 대한 형사처벌 등 법적 대응방안을 살펴보면 패스워드 파일조작, ID번호 도용은 "비밀침해죄", 예금절취 등 컴퓨터 사용 사기행위는 "컴퓨터 사용사기행위"에 해당하며, 홈뱅킹시스템에 해커가 접근해 금융업무를 방해한경우 새로 개정된 형법의 정보처리와 관련한 "업무방해죄"에 해당한다.
공공기관이나 기업 등의 전산망에 침투해 데이터를 위조 변작하는 행위는형법의 "공전자기록 위작.변개"에 해당한다. 이와 같은 현행법상의 처벌규정외에 안전대책은 전산자원을 운용하고 있는 기관 내부의 지침 등에 의해서또는 관련 법률에 보호조치를 명문화하고 위반시의 처벌 등 제재규정을 두어야 한다.
즉 "형벌법규에 의한 전산자원의 보호문제"는 보다 강력한 보안대책의 실효성을 확보하는 데 필요하다.
그러나 중요한 행정업무를 전산화하기 위해 전산정보처리조직에 대한 법적근거는 각 단행법에 명문화하면서, 전산자원에 대한 보안조치 규정은 매우미흡하다.
예를 들면 주민등록법에 의해 주민등록업무를 전산화할 수 있도록 규정하면서도 이와 관련된 전자계산조직.디스켓 관리 등 전산자원에 대한 보호조치의강구의무와 위반시 처벌규정이 미흡하다.
따라서 전산망 안전관리를 위한 현행 관련 법령을 보완, 강화해 나가야 한다.
<> 국내 시큐리더 산업 동향
"신홍식 동양SHL 상무"
국내 보안관리는 지난 20여년간 대부분의 전산센터에서 주로 메인프레임보호차원의 안전사고 방지를 위한 물리적 보안에 치중해왔다. 즉 외부인 출입금지, 화재 등 재해방지, 도난사고 등의 예방 및 관리가 주류를 이루었다.
그러나 기관 및 기업의 정보시스템환경이 점차 클라이언트서버 컴퓨팅환경으로 전이하면서 분산환경이 되어 공격에 더욱 취약하게 되었다. 따라서 정보보안은 과거처럼 기술적인 사항으로 머물지 않고 비즈니스의 우선적 과제가됐다.
국내에서 보안관리는 아직도 거의 보안개념조차 잘 이해되지 않는 수준이지만 점차 금융권을 중심으로 확산추세에 있다. 국내에서 공급되는 분산환경을위한 통합적 보안 관리툴은 신원확인, 권한 부여, 감사 등의 여러가지 보안기술을 결합해 중앙집중형으로 전체 분산 시스템을 관리할 수 있는 기능을제공하고 있다.
대표적인 제품으로 데이터게이트사의 옴니가드 시리즈 및 동부산업의 "OpenV*Security"를 들 수 있다. 특히 국내 각 기관 및 기업들의 정보시스템이인터네트에 연결되면서 인터네트상의 보안문제에 관심이 높아지고 있다. 따라서 인터네트를 통한 침투로부터 내부 정보시스템을 보호하기 위한 인터네트 방화벽 제품을 비롯해 원격 액세스 인증장비 등 네트워크 보안툴 시장이활기를 띠고 있다.
대표적인 방화벽 제품으로는 체크포인트 소프트웨어 테크놀로지사의 "Firewall-1", 랩터사의 "Eagle", 시큐어컴퓨팅사의 "Sidewinder 2.2", 트러스티드인포메이션시스템스사의 "Gauntlet 3.0"등이 있다.
국내의 인터네트 서비스 공급자들, 기상청 등 정부기관, 일부 주요기업들도이같은 방화벽을 이용해 시스템을 구축했거나 현재 그 도입을 추진하고 있다.
한편 해외동향을 살펴보면 미국의 NCSA(National Computer Security Association)는 이미 지난 91년에 AVPD(Anti-Virus Product Developer)컨소시엄을조직한 바 있고, 지난해에는 방화벽 제품 개발자(FPD) 컨소시엄을 조직했다.
<> 금융전산망 정보보호 현황 및 향후 전망
"이순주 금융결제원 차장"
모든 전산망에서 현재 역기능에 대한 충분한 대비책을 강구하지 않을 경우국가사회적으로 큰 혼란이 야기될 수 있다. 뿐만 아니라 개인의 재산적 가치가 이전되는 금융전산망의 경우 금융거래의 전자금융의 가속화로 인해 사회전체의 의존도가 높아짐에 따라 해커 등 비인가자에 의한 정보유출이나 장애나 재해에 의한 금융정보시스템 마비시 국가경제 전체에 심각한 타격이 예상되며, 금융거래의 네트워크화로 인한 지급결제시스템의 신뢰성을 무너뜨리고매우 커다란 결제리스크를 야기할 수 있기 때문에 이러한 역기능을 사전에차단하고 고객의 금융거래정보를 보호하기 위한 각종 대비책에 대한 중요성이 날로증대되어 가고 있는 실정이다.
현재 금융전산망은 한국은행의 거액결제망, 은행자체 전산망, 공동전산망,타행환공동망, 신용정보공동이용망, ARS공동망, 판매대금자동결제망, CMS 공동이용망, SWIFT망 등으로 구성돼 있다.
이들 금융망에 대한 정보보호는 데이터의 부정조작, 부정입수, 누출, 컴퓨터의 무권한 사용, 컴퓨터파괴 등의 유형으로 나누어 은행.통신회선구간.중계센터.공중전화망으로 그 보호대상을 정해 행해야 한다.
지난 94년부터 이같은 금융전산망 안전대책관련 업무를 전문적으로 연구검토하기 위해 금융전산망안전대책위원회를 운영하고 있다.
현재 보안대책으로는 금융전산망 네트워크를 이중화하고 직불카드 공동망암호화 장비를 도입, 사용하고 있으며 금융전산망 중계센터 안전대책 등을수립, 운용하고 있다. 향후에는 백업(Back-up)센터 건립 등을 통해 듀얼 사이트 백업(Dual Site Back-up) 체계를 구축할 예정으로 있다.
또한 국내에서 개발한 암호화 장비도입을 신중하게 검토하고, 전자자금이체의 비중이 급격히 증가함에 따라 폭증하는 위협에 효과적으로 대처해 나갈계획으로 있다. 지금 세계 각국은 현금없는 사회로의 전환을 위해 다각도로노력하고 있으며, 이를 위해 시스템을 관리하고 보호하는 능력을 배양하는데도 게을리하고 있지 않다.
<> 컴퓨터 범죄 및 정보시스템 오남용 사례분석
"이재우 한국전산원 박사"
가속화하는 정보통신 기술의 발전은 생활의 질을 높여주고, 업무효율을 향상시키는 순기능적 기여를 하고 있으나 시스템의 확산과 더불어 그에 반하는역기능적 측면이 증가하고 있다.
따라서 범죄적 역기능의 특성과 시스템 오남용의 경향을 파악해 그에 합당한효율적인 보안대책을 수립하는 것이 무엇보다 중요하다.
73년부터 95년까지 국내에서 발생한 역기능 사례를 체계적인 분류기준에따라 자료유출, 정보기기 관련 범죄, 내부자료 변조 및 파괴, 부정 정보처리,해킹, 금융범죄, 비윤리적 행위, 컴퓨터바이러스, 기타로 분류하고 사례유형별.연령별.발생기관별.피해액별 관점에 따라 통계낸 자료를 분석할 수있다.
95년도의 경우 총발생건수 1백건중 비윤리적 행위가 20건으로 가장 많았고,그 다음으로 해킹이 17건, 자료유출 14건, 기타 자료변조 등으로 나타났다.
따라서 95년도에 발생한 역기능 사례에 입각해 세부 대책과 전망을 나누어볼때 지능화한 부정입력, 자료변조 및 비밀번호 도용 등으로 기술적 범죄가계속 증가할 우려가 크며, 대학과 연구소.PC통신업체에서 발생한 해킹사례는단순 침입 외에 자료의 삭제.파괴 등 그 악의성이 점점 커지고 있어 대학이나 연구소뿐만 아니라 국가기간전산망.기업전산망도 국내 해커의 목표가 될우려가 높다.
특히 전세계적으로 오픈된 인터네트를 통해 외국 해커의 침입이 빈번할 것으로 예상된다. 이에 대한 대책으로는 우선 관리층은 물론 조직원 전체가 정보보호의 중요성에 대해 강한 인식과 실천의지를 갖는 게 중요하고, 미시적이고 일시적인 대책이 아니라 총괄적.지속적.중첩적으로 보안대책이 이루어져야 한다.
잘 수립된 보안정책과 더불어 필요한 보안장비 및 SW를 갖추어야 한다. 물리적인 접근통제 장치와 인증시스템, 디지털 서명, 방화벽SW 등이 설치되어야한다.
<> 정보 시스템 범죄 대응 동향
"한봉조 서울지검 검사"
컴퓨터 기술에 대한 사회의 의존도가 심화될수록 컴퓨터가 사회에 기여하는긍정적인 측면 못지 않게 부정적이고 위험한 측면을 간과할 수 없는 형편이다.
이로 인한 사회적.경제적 불안감이 야기되고 새로운 범죄양상의 등장이 예고되고 있다.
이러한 범죄에 대해서는 민.사법적 손해배상에 따른 대응으로는 미흡하며형사법적인 대응체계를 확고히 정비할 필요가 있다. 정보시스템 범죄의 사례로는 컴퓨터 해킹, 바이러스, 신용카드 복제, 폰 프리킹(Phone Phreaking),홈뱅킹 계좌이체, 단말기 부정조작, 통신망 이용범죄 등 많은 유형이 발생하고있다. 이들 정보시스템 범죄의 특징은 발생시 대규모적인 피해를 유발할뿐만 아니라 전문적 기술을 이용한 범죄이므로 범죄적발과 입증이 어렵고 사이버 스페이스로 인한 공간의 무제약성 등으로 인해 반복성의 특징을 가지고있다.
현재 국내에서 적용되는 정보시스템 범죄에 대한 법적 규제는 "컴퓨터관련업무 방해죄"가 신설돼 컴퓨터 이용사기, 전자기록손괴, 공전자기록 위작.변작, 비밀침해 등에 관한 범죄를 처벌한다. 또한 "전산망보급확장과 이용촉진에 관한 법률"은 개정형법에서 전자기록 등의 비밀침해나 손괴 등의 행위를처벌하는 규정을 두었다.
정보시스템 범죄 대응체계의 해외 동향을 보면 미국에는 FBI.USSS.DEA 등의연방기관이, 영국에는 NCI 등이 있으며, 우리나라도 검찰에 정보범죄수사센터, 경찰청에 해커수사대 등이 설치돼 대응체계를 구축하고 있다.
민간기구로는 미국에 CERT.COAST 등이 있으며, 우리나라에는 한국전산원의보안기술팀이 국내 전산망의 보안대응책을 수립하고 보안사고 발생시 지원활동을 하고 있다.
정보화 촉진기본법에 따라 정부기구로서 정보보호센터가 설립될 예정이다.
<> 한국정보보호센터 임무와 기능
"서영길 정통부 정책심의관"
최근 국내외적으로 초고속정보통신망의 확충 등 정보통신기술의 급속한 발전으로 고도정보사회로 진입하고 있으며, 이러한 정보화가 진전될수록 개인정보 누설, 전산망 해킹 등과 같은 역기능 현상은 국가.사회적으로 심각한문제점으로 등장하고 있다.
이에 따라 정보보호 대책의 필요성이 정부.공공기관 및 민간부문 등에 폭넓게 확산되고 있어 정보화 역기능 해결뿐만 아니라 정보보호기술의 배양과관련산업 육성을 통해 국제 기술경쟁력 우위를 선점할 수 있는 체계적인 정보보호 대책마련이 필요하게 되었다.
이러한 정책적 수요에 부응해 정보통신부가 정보보호 전담기관으로 설립추진중인 한국정보보호센터의 임무는 건전한 정보통신질서의 확립과 정보의안전한 유통을 위해 정부.공공기관.민간기관 및 개인을 위한 각종 법.제도적인정보보호 대책을 개발하며, 컴퓨터 범죄, 프라이버시 보호 및 정보통신시스템의 안전 운용을 위한 정보보호관련 기술을 연구.개발하고, 관리적 측면에서도 정보보호시스템의 호환성 및 상호연동을 위한 표준화 및 기준.지침을개발 보급하는 것이다.
이러한 임무를 수행하기 위해 센터는 정보보호 관련 정책과 기술을 지원하는정책.기술 지원기관, 정보보호시스템을 연구개발하는 연구.개발기관, 그리고정보보호시스템에 대한 시험.평가기관으로서의 기능을 가진다.
이러한 기능을 효율적으로 수행하기 위해 센터의 조직으로 정책.기술지원부, 연구개발부, 기준평가부를 설치할 계획이다.
앞으로 국내의 정보보호추진체계는 센터를 중심으로 정보보호 관련 기관들인정보화추진위원회 소속의 정보보호추진분과위.정보통신부.국가안전기획부및정보통신망 침해사고 대응조직 등과 유기적 협조체제를 구축해 정보화촉진을위한 정보보호체계를 효율적으로 실현하게 된다.
한국정보보호센터를 설립함으로써 정보화 수준에 부합하는 정보보호시책을효율적이고 균형있게 추진할 수 있게 되며, 신뢰성 있는 정보보호제품 생산을 유도해 관련업체의 기술적 발전을 꾀할 수 있도록 할 예정이다. 또한 민수용 정보보호시스템의 체계적인 개발.공급으로 전산망 해킹, 중요정보 유출등과 같은 정보화 역기능 예방에 효율적으로 대처할 수 있게 될 것이다.