“스턱스넷 등 새로운 유형의 사이버 공격 대비책 마련”

- 제16차『정보통신기반보호위원회』개최 -

□ 정부는 11.29.(목) 제16차『정보통신기반보호위원회』(위원장 임종룡 국무총리실장)를 개최하고, 새로운 유형의 사이버공격에 대비한 정보통신기반시설^* 보호강화 대책 등을 논의하고,

ㅇ 국가 기간정보통신시설을 보호하기 위한 각종 제도와 기준 등을 새롭게 정비하였다.

* 정보통신기반시설 : 안보‧행정‧국방‧치안‧금융‧통신‧운송‧에너지 등 관련 전자적 제어‧관리시스템 및 정보통신망(정보통신기반보호법 제2조)

- 1 -

□ 이날 회의에서 정부는 스턱스넷^* 등 고도화된 컴퓨터 바이러스 등으로부터 각종 제어시설을 안전하게 보호할 방안과 함께

ㅇ 주요정보통신기반시설에 대한 취약점 분석·평가 기준을 개정하여 기간정보통신시설에 대한 체계적인 관리체계를 마련하였다.

* 스턱스넷(Stuxnet)은 원자력발전소, 송유관, 공장생산시설 등 국가기반시설을 마비·파괴 목적으로 개발된 컴퓨터바이러스

□ 이에 따라 앞으로는 주요정보통신기반시설에 대한 보안수준이 전반적으로 강화될 것으로 기대되고, 시스템의 취약점에 대한 분석과 평가도 더욱 정밀해질 것으로 기대된다.

□ 이날 논의된 안건의 주요내용은 다음과 같다.

① 정보통신기반시설의 취약점 분석·평가 기준 개선

-  종래 2년마다 실시하였던 취약점 분석평가를 앞으로는 매년 실시토록 하여 평가주기를 단축하였고

-  새로이 등장하는 취약점에 대응하기 위해 취약점 점검 항목을 대폭 신설·확대하였다.

② 제어시설 보호강화를 위한 유관기관 협조체계 강화

-  △전문가 T/F구성 △제어시스템 전용 백신개발 △제어시스템테스트환경 지원 등 분야별로 한국인터넷진흥원, 보안업체, 제어시설 관리기관 등 유관기관의 역할 및 협력방안을 표준화하였다.

* 한국인터넷진흥원에 제어시설 보호 전담지원센터 설립 예정 

- 2 -

-  아울러, 디도스, 사이버 해킹 등 산업바이러스의 보안위협에 선제적으로 대응하기 위해 올해 말까지 ‘산업 제어시스템 테스트베드’를 구축할 계획이다.

③ 교통·정수시설 등 국민생활과 밀접한 관련이 있는 제어시설에 대한 강화된 보호대책 추진

-  주요정보통신기반시설의 제어시스템 보안 강화를 위해 중요 제어망은 외부망과 물리적으로 분리 운용할 수 있도록 전용 방화벽을 설치·운용하고

-  내‧외부 업무망과 연동이 필요할 경우 반드시 일방향 통신 등 안전한 망 연동기법을 사용토록 하며

-  폐쇄망 운용 제어시설의 경우에도 USB 등 비인가 정보통신기기의 사용이 불가능하도록 전용솔루션을 도입할 계획이다. 

-  아울러, 일부 정보보호 관리수준이 낮은 제어시설 관리기관을 위한 사고 유형별 대처 방안 등 정보보호 가이드라인을 마련하고, 관리자 교육 및 외주 용역업체 대상 보안 관리도 강화키로 하였다.

④ 협력업체 직원에 대한 관리‧감독 강화

-  특히 기반시설 유지보수에 참여하는 협력업체 직원에 대한 시스템 관리자 권한부여 금지 등의 정보보호관리지침을 마련하고 보안관리 실태점검을 강화할 예정이다.

- 3 -

⑤ 주요정보통신기반시설 신규 지정

-  국민생활에 중대한 영향을 미치는 교통신호, 상수도 등을 주요정보통신기반시설로 신규지정(14개)하여 보호대책을 수립하고 체계적인 예방 및 대응체계를 마련할 계획이다. 

□ 이날 회의에서 위원장인 임종룡 국무총리실장은 “18대 대통령 선거가 20여 일 앞으로 다가온 만큼, 국가 기간 정보통신시설에 대한 사이버 테러 등 위협 행위 가능성이 높다”고 말하고

ㅇ 각 기관은 발생 가능한 모든 유형의 사고를 염두에 두고, 시설 보호대책을 수립, 차질 없이 이행해 나갈 것을 당부하였다.

□ 또한, 본격적인 동절기에 대비한 원활한 전력 공급을 위해 발전소 전력 제어시스템, 송배전 시스템 등을 철저히 관리하여 우리 경제와 국민 생활에 불편함이 없도록 조치해 줄 것도 거듭 강조하였다.

- 4 -

□ 근 거 

ㅇ ｢정보통신기반보호법｣ 제3조에 따른 국무총리 소속 위원회

□ 위원회 기능

ㅇ 주요정보통신기반시설 보호정책 수립‧조정

ㅇ 주요정보통신기반시설에 관한 보호계획의 종합 조정

ㅇ 주요정보통신기반시설 보호계획의 추진 실적에 관한 사항

ㅇ 주요정보통신기반시설 보호 관련 제도 개선 등 심의

□ 위원회 구성

ㅇ 위원장 : 국무총리실장(정보통신기반보호법 제3조제③항)

ㅇ 정부위원 : 관계중앙행정기관 차관급 공무원 16인(시행령 규정)

* 기재부,교과부,외교부,법무부,국방부,행안부,지경부,복지부,고용부,국토부,국정원,금융위, 방통위, 국회, 선관위, 헌법재판소

- 5 -

□ 주요내용

o 지정확대 방향 

-  사이버 침해발생시 파급도가 크고 국민생활에 중대한 영향을 미칠 수 있는 인터넷 및 업무시스템, 교통신호 및 상수도 제어시설 등 지정확대

o 지정확대 대상 : 14개 확대지정(현행 51개 시설 → 변경 65개 시설) 

-  인터넷 및 업무시스템 : 세종특별자치시 1개

※ 16개 광역 자치단체 기지정(금번 세종특별자치시 포함 총17개 지정) 

-  교통신호 제어시설(8개) : 인구 50만명 이상 광역도 및 기초 지자체 교통신호

※ 7개 광역시 기지정(금번 8개 포함 총 15개 지정) 

-  상수도 제어시설(5개) : 급수인구 수 70만명 이상 정수장

※ 8개 급수인구 수 100만이상 기지정(금번 5개 포함 총13개 지정) 

o 관리기관 신규지정 현황 : 12개 관리기관 지정(중복기관(2개) 제외)

- 6 -

󰊱 개정 필요성

o 스턱스넷 등 새로운 유형의 보안위협 및 취약점 등장 등 환경변화에 적극 반영하기 위해

-  제어‧DB‧PC분야별로 취약점 분석항목을 신설‧확대 

-  특수 정보시스템에 대한 취약점 점검기준을 제시하는 등 현행 취약점 분석평가기준의 운영상 나타난 일부 미비점을 보완 

󰊲 주요내용

o 정보통신기반보호법 시행령 개정(5.23)에 따라 관리기관의 장에게 매년 정기적으로 취약점의 분석・평가를 실시하도록 의무화

o 새로이 발견되는 취약점에 적극대응하기 위해 제어시스템, DB, PC분야별로 취약점 분석항목 신설‧확대(82개)* 

* 신설・확대(82개): 확대 25(관리・물리적), 신설 66(제어22, DB24, PC20), 폐지 9(유닉스4,원도우5)

※ 총 취약점 점검항목 수 : 기존(371개) → 변경(453개)

o 특수한 정보시스템의 점검기준은 현행 점검기준을 준용하여 적용할 수 있도록 근거제시

※ 예시 : 특수한 정보시스템(VMS OS/2) 점검기준은 일반적인 정보시스템(Unix, Windows) 점검기준을 조정하여 점검항목으로 사용 

o 현재 취약점 분석평가 점검항목별로 상‧중‧하로만 평가하던 것을 점수로 환산하여 기관별로 정보보호 수준을 정량적으로 평가할 수 있는 방법 추가 

- 7 -

□ 주요 내용 

o 주요 정보통신기반시설 제어시설 보안수준 강화

-  중요 제어망은 인터넷‧업무망 등 외부망과 물리적으로 분리 운용하고 

-  내외부 업무망과 연동할 경우 일방향 통신 등 안전한 망연동 기법사용

-  USB・노트북 등 비 인가 정보통신기기의 연결 금지

o 제어시설 담당자 사이버 위협에 대한 인식제고

-  정보보호 사고 유형별 대처방안 등 정보보호 가이드라인을 마련‧배포

-  기반시설 관리자 및 실무자 대상으로 교육프로그램 개발 및 분기별 교육 실시

-  기반시설에 접근하는 외주 용역업체의 보안관리 강화 

o 제어시스템 취약점 분석 검증 등 테스트 베드 구축 

-  철도‧정수장‧교통신호 등 현장에서 사용중인 제어시설의 샘플 환경 구현 

-  현장설비는 시뮬레이터 구현하고 테스트베드의 이용 편의성 제공 방안 마련

-  교육기관, 연구기관 등 외부에서 접속할 수 있도록 전용 네트워크 환경 구축

o 제어시스템 테스트 베드 이용활성화 

-  산‧학‧연 기술연구 및 백신‧업계 제품 개발을 위한 시험실로 사용

-  피해 확산 방지 및 조기해결을 위한 처리절차 및 유관기관 협력체계 마련

-  한국인터넷진흥원에 기반시설 보호를 위한 전담지원센터를 설립하여,사이버침해 정보공유 및 유관기관 협력체계 구축 등 역할 수행

※ 진흥원 : 악성코드 수집, 테스트 환경 제공, 보안업체 : 백신개발, 현장확인 등

□ 향후계획 

o 제어시스템 테스트 베드 구축 시범 운영             : 13.1~

o 테스트 베드 활용을 위한 수요기관과 협력체계       : 13.3~

o 제어시스템 취약점 분석 및 신규 취약점 도출        : 13.9~

- 8 -