|
보 도 자 료 |
2012. 11. 29(목) |
|
작성 |
일반행정정책관실 과장 서영석/사무관 전희선 (Tel. 2100- 2436) |
||
행정안전부 정보보호정책과 과장 황규철/사무관 정군식 (Tel. 2100- 3634) |
|||
|
11. 29(목) 15시부터 사용하시기 바랍니다. |
배포 |
공보기획비서관실 정책홍보행정관 이진원 (Tel. 2100- 2106) |
“스턱스넷 등 새로운 유형의 사이버 공격 대비책 마련”
- 제16차『정보통신기반보호위원회』개최 -
❏ 스턱스넷 등 新유형의 사이버공격에 대비한 정보통신기반시설 보호 대책 마련 ❏ 주요정보통신기반시설에 대한 취약점 분석·평가 기준 강화 ❏ 교통신호 및 상수도 제어시설 등을 주요정보통신기반시설로 신규 지정 |
□ 정부는 11.29.(목) 제16차『정보통신기반보호위원회』(위원장 임종룡 국무총리실장)를 개최하고, 새로운 유형의 사이버공격에 대비한 정보통신기반시설* 보호강화 대책 등을 논의하고,
ㅇ 국가 기간정보통신시설을 보호하기 위한 각종 제도와 기준 등을 새롭게 정비하였다.
* 정보통신기반시설 : 안보‧행정‧국방‧치안‧금융‧통신‧운송‧에너지 등 관련 전자적 제어‧관리시스템 및 정보통신망(정보통신기반보호법 제2조)
- 1 -
□ 이날 회의에서 정부는 스턱스넷* 등 고도화된 컴퓨터 바이러스 등으로부터 각종 제어시설을 안전하게 보호할 방안과 함께
ㅇ 주요정보통신기반시설에 대한 취약점 분석·평가 기준을 개정하여 기간정보통신시설에 대한 체계적인 관리체계를 마련하였다.
* 스턱스넷(Stuxnet)은 원자력발전소, 송유관, 공장생산시설 등 국가기반시설을 마비·파괴 목적으로 개발된 컴퓨터바이러스
□ 이에 따라 앞으로는 주요정보통신기반시설에 대한 보안수준이 전반적으로 강화될 것으로 기대되고, 시스템의 취약점에 대한 분석과 평가도 더욱 정밀해질 것으로 기대된다.
□ 이날 논의된 안건의 주요내용은 다음과 같다.
① 정보통신기반시설의 취약점 분석·평가 기준 개선
- 종래 2년마다 실시하였던 취약점 분석평가를 앞으로는 매년 실시토록 하여 평가주기를 단축하였고
- 새로이 등장하는 취약점에 대응하기 위해 취약점 점검 항목을 대폭 신설·확대하였다.
② 제어시설 보호강화를 위한 유관기관 협조체계 강화
- △전문가 T/F구성 △제어시스템 전용 백신개발 △제어시스템테스트환경 지원 등 분야별로 한국인터넷진흥원, 보안업체, 제어시설 관리기관 등 유관기관의 역할 및 협력방안을 표준화하였다.
* 한국인터넷진흥원에 제어시설 보호 전담지원센터 설립 예정
- 2 -
- 아울러, 디도스, 사이버 해킹 등 산업바이러스의 보안위협에 선제적으로 대응하기 위해 올해 말까지 ‘산업 제어시스템 테스트베드’를 구축할 계획이다.
③ 교통·정수시설 등 국민생활과 밀접한 관련이 있는 제어시설에 대한 강화된 보호대책 추진
- 주요정보통신기반시설의 제어시스템 보안 강화를 위해 중요 제어망은 외부망과 물리적으로 분리 운용할 수 있도록 전용 방화벽을 설치·운용하고
- 내‧외부 업무망과 연동이 필요할 경우 반드시 일방향 통신 등 안전한 망 연동기법을 사용토록 하며
- 폐쇄망 운용 제어시설의 경우에도 USB 등 비인가 정보통신기기의 사용이 불가능하도록 전용솔루션을 도입할 계획이다.
- 아울러, 일부 정보보호 관리수준이 낮은 제어시설 관리기관을 위한 사고 유형별 대처 방안 등 정보보호 가이드라인을 마련하고, 관리자 교육 및 외주 용역업체 대상 보안 관리도 강화키로 하였다.
④ 협력업체 직원에 대한 관리‧감독 강화
- 특히 기반시설 유지보수에 참여하는 협력업체 직원에 대한 시스템 관리자 권한부여 금지 등의 정보보호관리지침을 마련하고 보안관리 실태점검을 강화할 예정이다.
- 3 -
⑤ 주요정보통신기반시설 신규 지정
- 국민생활에 중대한 영향을 미치는 교통신호, 상수도 등을 주요정보통신기반시설로 신규지정(14개)하여 보호대책을 수립하고 체계적인 예방 및 대응체계를 마련할 계획이다.
□ 이날 회의에서 위원장인 임종룡 국무총리실장은 “18대 대통령 선거가 20여 일 앞으로 다가온 만큼, 국가 기간 정보통신시설에 대한 사이버 테러 등 위협 행위 가능성이 높다”고 말하고
ㅇ 각 기관은 발생 가능한 모든 유형의 사고를 염두에 두고, 시설 보호대책을 수립, 차질 없이 이행해 나갈 것을 당부하였다.
□ 또한, 본격적인 동절기에 대비한 원활한 전력 공급을 위해 발전소 전력 제어시스템, 송배전 시스템 등을 철저히 관리하여 우리 경제와 국민 생활에 불편함이 없도록 조치해 줄 것도 거듭 강조하였다.
- 4 -
참고1 |
정보통신기반보호위원회 개요 |
□ 근 거
ㅇ 「정보통신기반보호법」 제3조에 따른 국무총리 소속 위원회
제3조(정보통신기반보호위원회) ① 제 8조의 규정에 의하여 지정된 주요정보통신기반시설의 보호에 관한 사항을 심의하기 위하여 국무총리 소속하에 정보통신기반보호위원회를 둔다. |
□ 위원회 기능
ㅇ 주요정보통신기반시설 보호정책 수립‧조정
ㅇ 주요정보통신기반시설에 관한 보호계획의 종합 조정
ㅇ 주요정보통신기반시설 보호계획의 추진 실적에 관한 사항
ㅇ 주요정보통신기반시설 보호 관련 제도 개선 등 심의
□ 위원회 구성
ㅇ 위원장 : 국무총리실장(정보통신기반보호법 제3조제③항)
ㅇ 정부위원 : 관계중앙행정기관 차관급 공무원 16인(시행령 규정)
* 기재부,교과부,외교부,법무부,국방부,행안부,지경부,복지부,고용부,국토부,국정원,금융위, 방통위, 국회, 선관위, 헌법재판소
- 5 -
참고2 |
안건 주요내용 |
행안부 소관 주요 정보통신기반시설 신규지정 확대안 |
□ 주요내용
o 지정확대 방향
- 사이버 침해발생시 파급도가 크고 국민생활에 중대한 영향을 미칠 수 있는 인터넷 및 업무시스템, 교통신호 및 상수도 제어시설 등 지정확대
o 지정확대 대상 : 14개 확대지정(현행 51개 시설 → 변경 65개 시설)
- 인터넷 및 업무시스템 : 세종특별자치시 1개
※ 16개 광역 자치단체 기지정(금번 세종특별자치시 포함 총17개 지정)
- 교통신호 제어시설(8개) : 인구 50만명 이상 광역도 및 기초 지자체 교통신호
※ 7개 광역시 기지정(금번 8개 포함 총 15개 지정)
- 상수도 제어시설(5개) : 급수인구 수 70만명 이상 정수장
※ 8개 급수인구 수 100만이상 기지정(금번 5개 포함 총13개 지정)
o 관리기관 신규지정 현황 : 12개 관리기관 지정(중복기관(2개) 제외)
구 분 |
관리기관(12개) |
비 고 |
행정(1개) |
세종특별자치시 |
|
교통신호 (6개) |
경기수원・성남, 충남천안, 전북전주, 경북포항, 경남창원 |
충북, 제주 관리기관 기지정 |
상수도(5개) |
서울 광암, 대구고산, 인천부평, 대전월평, 경기복정 |
급수인구 70만 이상 |
- 6 -
주요 정보통신기반시설 취약점 분석‧평가 기준 개정안 |
개정 필요성
o 스턱스넷 등 새로운 유형의 보안위협 및 취약점 등장 등 환경변화에 적극 반영하기 위해
- 제어‧DB‧PC분야별로 취약점 분석항목을 신설‧확대
- 특수 정보시스템에 대한 취약점 점검기준을 제시하는 등 현행 취약점 분석평가기준의 운영상 나타난 일부 미비점을 보완
주요내용
o 정보통신기반보호법 시행령 개정(5.23)에 따라 관리기관의 장에게 매년 정기적으로 취약점의 분석・평가를 실시하도록 의무화
o 새로이 발견되는 취약점에 적극대응하기 위해 제어시스템, DB, PC분야별로 취약점 분석항목 신설‧확대(82개)*
* 신설・확대(82개): 확대 25(관리・물리적), 신설 66(제어22, DB24, PC20), 폐지 9(유닉스4,원도우5)
※ 총 취약점 점검항목 수 : 기존(371개) → 변경(453개)
o 특수한 정보시스템의 점검기준은 현행 점검기준을 준용하여 적용할 수 있도록 근거제시
※ 예시 : 특수한 정보시스템(VMS OS/2) 점검기준은 일반적인 정보시스템(Unix, Windows) 점검기준을 조정하여 점검항목으로 사용
o 현재 취약점 분석평가 점검항목별로 상‧중‧하로만 평가하던 것을 점수로 환산하여 기관별로 정보보호 수준을 정량적으로 평가할 수 있는 방법 추가
- 7 -
스턱스넷 등 사이버공격대비 주요정보통신기반시설 보호강화 대책안 |
□ 주요 내용
o 주요 정보통신기반시설 제어시설 보안수준 강화
- 중요 제어망은 인터넷‧업무망 등 외부망과 물리적으로 분리 운용하고
- 내외부 업무망과 연동할 경우 일방향 통신 등 안전한 망연동 기법사용
- USB・노트북 등 비 인가 정보통신기기의 연결 금지
o 제어시설 담당자 사이버 위협에 대한 인식제고
- 정보보호 사고 유형별 대처방안 등 정보보호 가이드라인을 마련‧배포
- 기반시설 관리자 및 실무자 대상으로 교육프로그램 개발 및 분기별 교육 실시
- 기반시설에 접근하는 외주 용역업체의 보안관리 강화
o 제어시스템 취약점 분석 검증 등 테스트 베드 구축
- 철도‧정수장‧교통신호 등 현장에서 사용중인 제어시설의 샘플 환경 구현
- 현장설비는 시뮬레이터 구현하고 테스트베드의 이용 편의성 제공 방안 마련
- 교육기관, 연구기관 등 외부에서 접속할 수 있도록 전용 네트워크 환경 구축
o 제어시스템 테스트 베드 이용활성화
- 산‧학‧연 기술연구 및 백신‧업계 제품 개발을 위한 시험실로 사용
- 피해 확산 방지 및 조기해결을 위한 처리절차 및 유관기관 협력체계 마련
- 한국인터넷진흥원에 기반시설 보호를 위한 전담지원센터를 설립하여,사이버침해 정보공유 및 유관기관 협력체계 구축 등 역할 수행
※ 진흥원 : 악성코드 수집, 테스트 환경 제공, 보안업체 : 백신개발, 현장확인 등
□ 향후계획
o 제어시스템 테스트 베드 구축 시범 운영 : 13.1~
o 테스트 베드 활용을 위한 수요기관과 협력체계 : 13.3~
o 제어시스템 취약점 분석 및 신규 취약점 도출 : 13.9~
- 8 -