주요 정보통신기반시설 취약점 분석ㆍ평가

By CarlsenColumn

주요 정보통신기반시설이란 국가와 사회의 안정적인 운영을 위해 필수적인 정보통신 기반을 제공하는 시설을 의미합니다. 만약 이 시설이 사이버 공격이나 물리적 침해로 인해 마비될 경우, 국가 안보는 물론 경제와 국민 생활에 심각한 영향을 미칠 수 있습니다.

1. 법적 근거

앞서 말씀드렸듯이, 주요 정보통신 기반시설은 국가 필수 서비스 제공을 위한 핵심 인프라로서, 사이버 위협으로부터 보호하기 위해 관련 법령을 기반으로 취약점 점검을 수행해야 합니다.

이를 위한 주요 법적 근거는 다음과 같습니다.

(1) 정보통신기반 보호법

이 법은 국가 주요 정보통신 기반시설 보호를 위한 법적 기반을 제공하며, 기관이 정기적으로 취약점 분석·평가를 수행하도록 규정하고 있습니다.

  • 제8조(취약점 분석·평가): 지정된 기관은 주요 정보통신 기반시설의 취약점을 분석·평가하고 보호 대책을 수립해야 합니다.
  • 제9조(보호대책의 수립·시행): 취약점 분석 결과를 바탕으로 기관별 보호 대책을 마련하고 이행해야 합니다.

(2) 정보통신산업진흥법

이 법에서는 정보보호 전문서비스 기업 지정을 의무화하고 있습니다.

  • 제48조의2(정보보호 전문서비스 기업의 지정 및 육성)에 따라, 일정 요건을 충족하는 기업을 정보보호 전문서비스 기업으로 지정할 수 있으며, 이러한 기업이 주요 정보통신 기반시설의 취약점 분석·평가를 수행할 수 있습니다.

(3) 주요정보통신기반시설 취약점 분석·평가 기준

행정안전부가 정한 「주요정보통신기반시설 취약점 분석·평가 기준」은 법령을 바탕으로 취약점 점검 수행 절차와 방법론을 구체적으로 정의하고 있습니다.

2. 주요 정보통신기반시설의 지정 현황

우리나라의 주요 정보통신기반시설은 크게 공공, 금융, 에너지, 교통, 의료 등 다양한 분야에 걸쳐 지정되고 있습니다. 대표적으로 다음과 같은 기관 및 시스템이 포함됩니다.

  • 정부 및 공공기관: 중앙 행정기관의 주요 시스템, 전자정부 인프라
  • 금융: 은행 전산망, 증권거래 시스템
  • 에너지: 전력망, 가스 공급 시스템
  • 교통: 항공 관제 시스템, 철도 운영망
  • 통신: 이동통신망, 인터넷 백본망
  • 의료: 국가 의료 데이터 시스템

최근에는 클라우드 데이터센터, 스마트시티 인프라, 5G 통신망 등 새로운 형태의 기반시설도 주요 정보통신기반시설로 지정되는 추세입니다.

3. 취약점 분석·평가 수행 주체 및 주기

(1) 수행 주체

  • 취약점 분석·평가는 주요정보통신기반시설의 관리기관이 직접 수행하거나 외부기관에 위탁하여 실시할 수 있습니다.
    • 관리기관이 직접 수행할 경우, 자체 전담반을 구성하여 수행합니다.
    • 관리기관이 외부기관에 위탁할 경우, 정보통신기반 보호법 제9조제3항에 따른 전문기관(한국인터넷진흥원, 정보공유·분석센터, 한국전자통신연구원, 정보보호 전문서비스 기업 등)에 위탁하여 수행할 수 있습니다.
    • 정보보호 전문서비스 기업은 정보보호산업의 진흥에 관한 법률 제23조에 따라 과학기술정보통신부 장관이 지정한 기업을 의미합니다.

(2) 수행 주기

  • 주요정보통신기반시설로 지정된 후 6개월 이내에 취약점 분석·평가를 수행해야 합니다.
    • 6개월 이내 수행하지 못할 경우, 관할 중앙행정기관의 장의 승인을 받아 최대 3개월 연장(총 9개월)이 가능합니다.
    • 지정일 6개월 이전에 이미 취약점 분석·평가를 수행한 경우, 해당 평가가 본 기준에 부합할 경우 수행한 것으로 간주됩니다.
  • 최초 취약점 분석·평가를 수행한 이후에는 매년 정기적으로 평가를 실시해야 합니다.
    • 취약점 분석·평가 시, 취약점 분석·평가 계획 수립 → 가용 자원과 대상 시설 식별 → 자산의 중요도 산정 → 해당 시스템 정밀 분석을 수행해야 합니다.
    • 주요정보통신기반시설에 중대한 변화가 발생하거나 관리기관의 장이 필요하다고 판단하는 경우, 1년이 되지 않아도 추가적인 취약점 분석·평가를 실시할 수 있습니다.

4. 수행 방법 및 절차

취약점 분석·평가는 체계적인 절차에 따라 진행되며, 아래와 같은 단계를 거쳐 수행됩니다.

(1) 취약점 분석·평가 계획 수립

  • 취약점 분석·평가 수행 일정 및 방법을 수립합니다.
  • 평가 대상 및 평가 기준을 명확히 정의합니다. 취약점 분석ㆍ평가 수행주체(자체ㆍ외부위탁), 수행절차, 소요예산, 산출물 등을 포함한 자체 세부계획 등의 항목이 포함됩니다.

(2) 평가 대상 선별

  • 주요정보통신기반시설 내 평가 대상 시스템과 자산을 선정합니다.
  • 가용 자원 및 보호 수준을 고려하여 평가 범위를 설정합니다.
  • 정보시스템, 제어시스템 등 자산을 식별하고, 유형별(네트워크, 보안, 시스템)로 그룹화하여, 취약점 분석ㆍ평가 대상 목록 작성하고, 상중하 또는 1~3 등급으로 정의합니다.

(3) 취약점 분석

  • 취약점 분석요령은 세부 점검항목표에 따라 관리적/물리적/기술적으로 구분하여 확인합니다.
  • 취약점 분석 과정에서 다음과 같은 접근 절차를 활용합니다.
    • 관리적 점검 요령은 정보보호 정책/지침 등 관련 문서 확인과 정보보호 담당자, 시스템 관리자, 사용자 등과의 면담으로 확인
    • 물리적 점검 요령은 전산실, 현관, 발전실 등의 통제구역을 실사하여 확인
    • 기술적 점검 요령은 점검도구(툴), 수동점검 모의해킹 등을 통해 확인
    • 직전년도에 발견된 취약점에 대해서는 중점적으로 확인

(4) 취약점 평가

  • 취약점 분석 결과를 바탕으로 위험등급(상·중·하)을 부여합니다.
    • 비밀성, 무결성, 가용성을 고려하여 위험등급을 정의합니다.
    • 위험등급 “상”은 조기 개선, “중”·”하”는 중·장기 개선 계획을 수립합니다.
  • 취약점 분석·평가 결과는 *별도 산출식의 참고를 통해 100점 만점의 정량적 점수로 산출할 수 있으며, 이를 통해 객관적인 평가가 가능합니다.

* 주요정보통신기반시설 취약점 분석·평가 기준 [붙임4] 취약점 분석ㆍ평가 점수 산출식 예시

  • 다음과 같은 경우, 해당 취약점을 ‘조치불가 취약점’으로 분류하고 증빙자료 및 보완 대책을 마련하여 보호 대책에 반영해야 합니다.
    • 기술적 취약점에 대한 보호 조치 방안이 존재하지 않는 경우
    • 취약점 조치 시 주요 정보통신 기반시설 서비스 운영이 불가능한 경우

5. 결론

앞으로도 정보통신기반시설은 지속적으로 확대될 것으로 예상됩니다. 최근 범국가적인 디지털 트랜스포메이션이 가속화되고 있고, 클라우드, AI, 양자암호통신과 같은 신기술이 국가 기반시설에 도입되면서 보안 요구사항도 한층 더 강화되고 있는 추세입니다.

정부와 기업은 변화하는 보안 환경에 발맞춰 선제적인 보호 조치와 지속적인 보안 점검을 통해 주요 정보통신기반시설을 안전하게 운영할 수 있도록 대비해야 한다고 생각합니다.

참고자료 :
1. 정보통신기반 보호법 – https://www.law.go.kr/법령/정보통신기반보호법
2. 주요정보통신기반시설 취약점 분석·평가 기준 – https://www.law.go.kr/행정규칙/주요정보통신기반시설%20취약점%20분석·평가%20기준
3. 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 – https://www.kisa.or.kr/2060204/form?postSeq=12&lang_type=KO&page=1

Post Views: 241