[테마특강] 기업전산망 보안대책

급변하는 정보기술 환경은 인터넷, 유무선통신, PCS 등 정보통신기술의 급속한 확산 그리고 시스템 및 DB의 분산·개방화 물결속에 기업들이 생존, 성장하기 위한 수단을 제공하고 있다. 정보기술, 특히 클라이언트/서버 환경은최근의 정보화시대를 주도하고 있으며 빠르게 파급되고 있다.

정보기술이 사용자 측면에서의 효율성, 편리성 등 순기능적인 측면만 있는것은 아니다. 클라이언트/서버 컴퓨팅시스템은 개방형 프로토콜을 운용, 해커들의 침투 대상이 되고 있다. 특히 인터넷 등 정보고속도로망은 불특정 다수의 사용자들에게 그 길을 연결시켜 주기도 한다. 이처럼 정보화의 순기능을 제공하면서도 권한없는 사용자의 불법침입, 중요정보의 유출 및 변경, 훼손, 불법사용, 개인정보 누출 등 그 역기능들은 날로 증가하고 있으며 이로인한 피해 또한 심각한 수준에 이르고 있다. 실제 미국의 경우 정보보안 미비로 인해 회사의 정보시스템이 마비되거나 기밀정보의 유출 등으로 존립위기에 처한 경우도 있다고 한다.

따라서 정보인들이 기업 전산망 자원의 순기능을 더욱 효율적으로 사용하기 위해 비밀성과 무결성을 보장하면서 가용성을 최대화 할 수 있는 보안통제 대책이 수립돼야 한다.

기존 메인프레임이든 개방형 클라이언트/서버 컴퓨팅 시스템이든 보안에관한 쟁점 및 대상은 변하지 않는다. 정보시스템이 갖추어야 할 비밀성, 무결성, 가용성은 항상 유지되어야 한다.

미래의 정보기술은 인터넷을 비롯 네트워크의 확산, 정보고속도로, 멀티미디어, 異기종 컴퓨터의 접속 등을 이용한 상용서비스가 제공될 것이다. 정보보안이 해결되지 않는다면 개인의 프라이버시를 비롯 고객정보 및 자산의 보호 측면에서 많은 문제를 일으키게 된다. 이러한 문제는 클라이언트/서버 컴퓨팅 환경에서 데이타의 분산관리, 개방형시스템의 보안 취약성, 사용자의보안의식 부족, 네트워크를 통한 불특정 사용자의 접속, 바이러스의 감염,컴퓨터 범죄의 발생 등 여러가지 형태로 발생하게 될 것이다.

그러므로 정보보호 산업은 앞으르도 지속적인 발전과 함께 중요한 정보산업의 한 요소로 자리잡게 될 것이 분명하다.

기업 전산망을 구성하는 정보시스템의 보안대책을 위한 구성요소로는 크게네가지로 나눠 볼 수 있다.

첫째, 법적·제도적 보안대책이다. 정보시스템의 안정성, 신뢰성, 가용성을 확보하기 위해 기본사항에 대한 보호책을 법제정 또는 사규, 규정 등의차원에서 대응케 하기 위함이다.

여기에 관리적인 요인들로 함께 고려돼야 한다. 기업은 보안정책 수립과함께 운영보안, 사용자 지침서 등의 절차들이 작성되어 운영될 수 있도록 해야 한다.

둘째, 기술적인 보안대책이다.

이는 다시 세부적으로 시스템을 구성하는 하드웨어와 소프트웨어, 데이타,네트워크대책으로 나눌 수 있다. 기술적 보안대책 수립은 패스워드의 관리,암호화, 감사 및 송수신 자료의 보호대책이 강구돼야 한다.

특히 기업망 또는 국가 기간산업망은 외부의 불법적인 사용을 막기 위해방화벽(Firewall)시스템에 준하는 정도의 보안대책이 마련돼야 한다. 또한기술적인 보안대책은 구성요소별 보안기능을 충분히 활용할 수 있다면 시스템에 대한 안전한 상태를 유지할 수 있다. 이러한 활동 자체가 요소간 상호작용 등 보안기능 설치에 어려움이 있는 것이 현실이다.

셋째, 정보시스템에 대한 접근을 통제하여 물리적인 피해를 막는 대책이다. 전산실의 통제 및 출입인원에 대한 출입관리 등이 포함된다.

다시말해 전산센타의 시설물 설치 및 관리, 전재지변이나 화재 등 자연 환경적인 장애요인 방지대책, 재난복구 계획, 출입관리 등이다.

전산센타의 보안을 위해 고려되어야 할 사항은 사고발생을 예방하기 위한활동들을 계획하고 수행하는 것이다. 이를 위해 활동계획에 입각한 연1회 정도의 예방훈련이 실시돼야 한다. 또한 비상사태시 정보시스템을 보호하기 위한 절차수립 및 훈련이 병행돼야 한다. 이는 화재예방 활동 및 감지시스템,기계적 손실방지, 환경파괴, 출입통제 등의 절차를 수립하여 관리되도록 해야 한다. 가능하다면 재난 복구센타를 설치, 전산센타의 백업도 고려해야 할것이다.

넷째, 인적자원의 보안대책이다.

정보시스템에 대한 보안대책들이 완벽하게 구축됐다 할지라도 시스템을 운영하는 운영자나 사용자 자신들의 보안의식이 없다면 모래위에 세운 성이나마찬가지다. 컴퓨터 범죄의 80% 이상이 내부자의 소행으로 나타나 있는 것은대부분의 보안사고가 인적자원 관리가 허술하거나 보안의식이 소홀한데서 발단된다고 볼 수 있다. 그러므로 내부의 운영요원이나 사용자에 대한 지속적인 보안마인드 제고와 함께 보안 교육프로그램을 통해 인적자원 관리에도 관심을 두어야 할 것이다.

정보시스템의 보안대책을 수립하기 위해서는 다음의 5단계 활동들이 순차적으로 그리고 지속적으로 수행돼야 한다.

정보시스템의 보호를 위해 가장 먼저 해야 할 작업은 기업이 보유하고 있는 자산중 보호해야 할 가치가 있는 자원들을 선정하는 작업이다. 이는 각자산이 차지하고 있는 비중에 대해 가치분석을 통해 평가, 결정하는 것이다.

정보자산이 가지고 있는 중요도 및 영향도 분석을 통해 자산의 가치를 평가하게 된다.

둘째, 위험분석 작업으로 보호할 가치가 있는 자산에 대한 위험요소 분석을 통해 어떠한 위협요인이 존재하고 있으며, 어떠한 대비책을 세워야 하는지 평가하는 것이다.

셋째, 정보의 보호수준을 결정하는 것이다.

보호할 자산과 위검이 분석되면 어느정도의 보안수준을 갖추어야 하는지,비용은 어느정도 소요되는지 등의 수준을 결정하여야 한다.

이는 자산의 중요도와 위험요인의 분석을 통해 보안수준을 결정하게 되는것이다. 이때 보호수준의 결정에 필요한 고객의 요구사항은 반드시 고려되어야 한다.

넷째, 보호해야 할 자산과 보호수준이 결정되면 보안대책(법적/제도적보안, 기술적보안, 물리적보안, 인적자원의 보안)을 수립하여야 한다.

이렇게 함으로써 정보시스템에 대한 안전한 보안대책을 확보할 수 있는 것이다.

마지막으로 감사활동이 필요하다.

정보시스템에 대한 불법사용자, 권한외 사용자 등을 지속적으로 모니터링/피드백하고, 주기적으로 보안감사 활동을 전개함으로써 보안사고를 사전에예방할 수 있다.

그리고 감사활동의 결과로 보고되는 사항들을 중심으로 중요자원의 설정,위험분석 순으로 재차 보안활동을 전개해야한다.

기업 전산망 보안활동은 비단 기업만이 보안에 대한 투자와 교육을 통해달성될 수는 없다 . 무엇보다 정보산업에 종사하고 있는 전체 정보인들이 보안의 중요성에 대한 마인드를 확고히 가져야 하며 정부는 정보시스템 보안에대해 주도적인 활동을 전개해 해야 한다.

국가기간 산업망과 초고속 정보통신망의 구축은 보안이 함께 고려되어 진행돼야 하며 이를 통해 민간기업 및 각급기관들이 기본적인 보안통제하에 보호받을 수 있게 되는 것이다.

정부 및 관련기관은 불법적인 활동을 제재할 수 있는 법제정을 해야하며보안에 대한 기술개발 및 보안소프트웨어를 설계, 생산할 수 있도록 제반여건을 성숙시켜야 할 것이다.

기업은 순기능 요소뿐 아니라 역기능에 대처할 수 있는 기술의 개발에 많은 투자를 해야한다. 대부분의 보안용 소프트웨어가 외국의 제품인 만큼 향후 우리의 정보가 외국으로 유출되지 않는다고 볼 수는 없는 것이다.

따라서 국내 정보기술을 집약여 국산 보안소프트웨어를 제작하고 생산해야한다.

그래야만 국내 정보산업 보호뿐 아니라 수출도 할 수있는 계기를 마련 할수 있다.

정보사회에 대한 보안은 비단 정보인만이 고심하여 해결되는 문제가 아니다. 정부 ,기업, 연구단체 및 정보인 전체가 보안마인드 제고 및 보안활동에관심을 가져 정보보안 문화를 정착시켜야 할것이다. 기업은 최고 경영층으로부터 보안의식을 고취하고 이를 전사적으로 파급시켜 나가야 하며, 정부는기본적인 보안환경 구축에 관심을 기울여야한다.

또 자라나는 세대들에게 정보보안 문화를 자생적으로 가질 수 있도록 기반을 조성해 주는 것도 중요하다.

이런한 노력들이 결실로 이어질 때 우리의 정보사회는 정보시스템의 순기능적인 요인을 더욱 효과적으로 활용할 수 있을 것이다.