정보통신 기반시설에 대한 정보보호 강화방안 마련
- 작성자 : 임은정
- 등록일 : 2011.04.28
- 조회수 : 9795
정보통신 기반시설에 대한 정보보호 강화방안 마련
□ 정부는 최근 금융권의 잇따른 보안사고로 국민들의 불안감이 확산됨에 따라 4.28(목)
오후 제13차 정보통신기반보호위원회(위원장 : 임채민 국무총리실장)를 개최하여
금융.통신.에너지 등 국민생활과 밀접한 정보통신기반시설*을 안전하게 보호하기
위한 "정보통신기반시설 정보보호 강화방안" 을 마련하였다.
* 정보통신기반시설(정보통신기반보호법 제2조) : 안보.행정.국방.치안.금융.통신.운송.에너지등
관련 전자적 제어·관리시스템 및 정보통신망
□ 최근 정보통신기반시설에 대한 사이버 공격은 갈수록 지능화되고 피해규모도 대형화
되어 국민생활 및 사회안전을 위협하고 막대한 경제적 손실을 초래하는 수준에
이르고 있다.
○ 이에 따라 정부는 소관 주요 정보시스템에 대한 관리.운영 실태 현장점검을 실시
하고 정보보호 관리실태 및 문제점을 분석하여 "정보통신기반시설 정보보호 강화
방안" 을 마련했다.
□ 이날 행정안전부가 위원회에 보고한 정보보호 강화방안의 주요내용을 살펴보면
다음과 같다.
① 첫째, 정보보호 분야 예산투자를 확대하고 정보보호 인력의 전문성을 높인다.
○ 올해 6% 수준인 정보보호 예산을 선진국 수준으로 확대한다.기반시설의 정보보호
투자비율 등에 관한 지침을 마련하고, 공공기관 경영평가에 인력.예산 등 정보보호
수준을 반영할 계획이다.
○ 특히, 행정기관부터 선도적으로 개인정보 관리체계 강화를 위한 개인정보 암호화,
신종 DDos 대응장비 및 접근권한 관리시스템 확충 등 분야에 집중투자하여 정보
보호 예산을 9% 수준으로 대폭 확대할 계획이다.
○ 또한, 정보보호책임자(CSO)가 정보보호 업무에만 전담하도록 하고, 정보보호
담당자가 일정시간(책임자 : 연 16시간, 실무자 : 연 40시간) 이상 정보보호
교육을 받도록 의무화하는 한편, CSO포럼, 컨퍼런스 등을 통해 정보보호 관련 현안
공유 및 토론을 정례화한다.
○ 아울러, 정보보호 전문인력을 양성하기 위해서 정부.공공기관 담당자를 대상으로
정보보호 석사과정(야간.주말)을 신규 개설하고, 고용연계형 석사과정 프로그램을
확대할 계획이다.
② 둘째, 기반시설에 대한 침해 예방 및 복구체계를 강화한다.
○ 최근의 사이버침해 요인을 감안한 취약점 분석 및 평가기준을 마련하고, 중앙행정
기관의 기반시설 정보보호 대책 이행여부 확인을 의무화할 계획이다.
○ 또한, 재난이나 사이버공격에 대비한 원격지백업시스템 구축을 확대하고, 연 1회
이상 백업 모의훈련 실시를 의무화한다.
③ 셋째, 협력업체 직원에 대한 관리.감독을 강화한다.
○ 협력업체 직원에 대한 시스템관리자(root) 권한부여 금지 등 보안관리 지침을
마련하고 보안관리 실태점검을 강화한다.
※ 의무준수 사항 : 주요 명령어 입력시 사전 승인, 운영PC 인터넷(유·무선) 연결 금지, 시스템
변경 작업시 내부직원과 공동 실시, 노트북 원칙적 반입금지 등
○ 또한, 서버 접속시 공인인증서 등 보안성이 강화된 인증수단을 사용하도록 하고,
원격접속제어시스템, 자료유출검사시스템 등을 기반시설 관리기관이 조기에
설치하도록 권고해 나갈 계획이다.
④ 넷째, 신규 주요정보통신기반시설 지정을 확대한다.
○ 제2금융기관 중 핵심 시스템을 운영중인 기관에 대해 금년 중 신규로 주요정보통신
기반시설로 지정하고, 유통, 물류, 석유·화학, 철강 등 정보시스템과 제어시설에
대한 전면 실태조사를 실시하여 신규 지정을 권고할 계획이다.
⑤ 다섯째, 정보통신기반 보호관련 법.제도를 정비한다.
○ 정보통신기반보호법을 개정하여 전자적 침해행위 뿐만 아니라 인적.물리적 위협으로
부터 기반시설을 보호하도록 하고, 침해사고 발생시 기반시설 관리기관이 관계중앙
행정기관, 국가정보원, 한국인터넷진흥원 등에 사고통지를 하도록 의무화한다.
○ 또한, 시행령을 개정하여 기반시설 보호에 필수적인 핵심시스템 이중화, 원격지
백업시스템 등에 관한 사항을 추가 규정하고, 취약점 분석·평가 주기를 1년으로
단축하는 한편, 신규 기반시설 지정권고에 대한 절차·방법 등 필요한 사항을 규정
할 계획이다.
□ 앞으로 행정안전부는 정보통신기반보호법 및 시행령 개정안을 6월까지 마련하고,
각 중앙행정기관 책임하에 소관시설을 점검하고 취약점을 보완한 후 위원회에
6월까지 보고하도록 하는 한편, 협력업체 직원에 대한 보안관리 지침을 7월까지 마련
하는 등 정보보호 강화방안을 적극 추진해 나갈 계획이다.
□ 이날 회의에서 임채민 국무총리실장(정보통신기반보호위원회 위원장)은 “금융권의
잇따른 보안사고로 국민들의 정보보호에 대한 관심과 우려가 증대되었지만, 이번
위기를 기회삼아 정보보호 강화방안을 적극적으로 추진하여 우리나라가‘사이버안전
대한민국’으로 거듭날 수 있도록 해야 한다.”고 강조했다.
오후 제13차 정보통신기반보호위원회(위원장 : 임채민 국무총리실장)를 개최하여
금융.통신.에너지 등 국민생활과 밀접한 정보통신기반시설*을 안전하게 보호하기
위한 "정보통신기반시설 정보보호 강화방안" 을 마련하였다.
* 정보통신기반시설(정보통신기반보호법 제2조) : 안보.행정.국방.치안.금융.통신.운송.에너지등
관련 전자적 제어·관리시스템 및 정보통신망
□ 최근 정보통신기반시설에 대한 사이버 공격은 갈수록 지능화되고 피해규모도 대형화
되어 국민생활 및 사회안전을 위협하고 막대한 경제적 손실을 초래하는 수준에
이르고 있다.
○ 이에 따라 정부는 소관 주요 정보시스템에 대한 관리.운영 실태 현장점검을 실시
하고 정보보호 관리실태 및 문제점을 분석하여 "정보통신기반시설 정보보호 강화
방안" 을 마련했다.
□ 이날 행정안전부가 위원회에 보고한 정보보호 강화방안의 주요내용을 살펴보면
다음과 같다.
① 첫째, 정보보호 분야 예산투자를 확대하고 정보보호 인력의 전문성을 높인다.
○ 올해 6% 수준인 정보보호 예산을 선진국 수준으로 확대한다.기반시설의 정보보호
투자비율 등에 관한 지침을 마련하고, 공공기관 경영평가에 인력.예산 등 정보보호
수준을 반영할 계획이다.
○ 특히, 행정기관부터 선도적으로 개인정보 관리체계 강화를 위한 개인정보 암호화,
신종 DDos 대응장비 및 접근권한 관리시스템 확충 등 분야에 집중투자하여 정보
보호 예산을 9% 수준으로 대폭 확대할 계획이다.
○ 또한, 정보보호책임자(CSO)가 정보보호 업무에만 전담하도록 하고, 정보보호
담당자가 일정시간(책임자 : 연 16시간, 실무자 : 연 40시간) 이상 정보보호
교육을 받도록 의무화하는 한편, CSO포럼, 컨퍼런스 등을 통해 정보보호 관련 현안
공유 및 토론을 정례화한다.
○ 아울러, 정보보호 전문인력을 양성하기 위해서 정부.공공기관 담당자를 대상으로
정보보호 석사과정(야간.주말)을 신규 개설하고, 고용연계형 석사과정 프로그램을
확대할 계획이다.
② 둘째, 기반시설에 대한 침해 예방 및 복구체계를 강화한다.
○ 최근의 사이버침해 요인을 감안한 취약점 분석 및 평가기준을 마련하고, 중앙행정
기관의 기반시설 정보보호 대책 이행여부 확인을 의무화할 계획이다.
○ 또한, 재난이나 사이버공격에 대비한 원격지백업시스템 구축을 확대하고, 연 1회
이상 백업 모의훈련 실시를 의무화한다.
③ 셋째, 협력업체 직원에 대한 관리.감독을 강화한다.
○ 협력업체 직원에 대한 시스템관리자(root) 권한부여 금지 등 보안관리 지침을
마련하고 보안관리 실태점검을 강화한다.
※ 의무준수 사항 : 주요 명령어 입력시 사전 승인, 운영PC 인터넷(유·무선) 연결 금지, 시스템
변경 작업시 내부직원과 공동 실시, 노트북 원칙적 반입금지 등
○ 또한, 서버 접속시 공인인증서 등 보안성이 강화된 인증수단을 사용하도록 하고,
원격접속제어시스템, 자료유출검사시스템 등을 기반시설 관리기관이 조기에
설치하도록 권고해 나갈 계획이다.
④ 넷째, 신규 주요정보통신기반시설 지정을 확대한다.
○ 제2금융기관 중 핵심 시스템을 운영중인 기관에 대해 금년 중 신규로 주요정보통신
기반시설로 지정하고, 유통, 물류, 석유·화학, 철강 등 정보시스템과 제어시설에
대한 전면 실태조사를 실시하여 신규 지정을 권고할 계획이다.
⑤ 다섯째, 정보통신기반 보호관련 법.제도를 정비한다.
○ 정보통신기반보호법을 개정하여 전자적 침해행위 뿐만 아니라 인적.물리적 위협으로
부터 기반시설을 보호하도록 하고, 침해사고 발생시 기반시설 관리기관이 관계중앙
행정기관, 국가정보원, 한국인터넷진흥원 등에 사고통지를 하도록 의무화한다.
○ 또한, 시행령을 개정하여 기반시설 보호에 필수적인 핵심시스템 이중화, 원격지
백업시스템 등에 관한 사항을 추가 규정하고, 취약점 분석·평가 주기를 1년으로
단축하는 한편, 신규 기반시설 지정권고에 대한 절차·방법 등 필요한 사항을 규정
할 계획이다.
□ 앞으로 행정안전부는 정보통신기반보호법 및 시행령 개정안을 6월까지 마련하고,
각 중앙행정기관 책임하에 소관시설을 점검하고 취약점을 보완한 후 위원회에
6월까지 보고하도록 하는 한편, 협력업체 직원에 대한 보안관리 지침을 7월까지 마련
하는 등 정보보호 강화방안을 적극 추진해 나갈 계획이다.
□ 이날 회의에서 임채민 국무총리실장(정보통신기반보호위원회 위원장)은 “금융권의
잇따른 보안사고로 국민들의 정보보호에 대한 관심과 우려가 증대되었지만, 이번
위기를 기회삼아 정보보호 강화방안을 적극적으로 추진하여 우리나라가‘사이버안전
대한민국’으로 거듭날 수 있도록 해야 한다.”고 강조했다.