꿈꾸는코난

정보보호를 위한 노력과 컴플라이언스가 반드시 공존을 해야 할 필요는 없을지 모르지만, 구체적인 가이드를 제공하고 이를 만족해야만 주요 정보 자산과 이를 위한 시스템 등을 보호할 수 있다는 관점에서 컴플라이언스는 정보보호를 위한 노력의 일환으로 반드시 필요하다. 또한 이를 위한 가이드를 제공할 수 있는 자체 심사 도구와 심사 후 조치사항에 대한 우선순위를 평가할 수 있는 분석 도구가 요구되며 이는 전적으로 컴플라이언스를 기반으로 제공되어야만 가능하다. 컴플라이언스는 반드시 필요하며 이는 개인 혹은 조직을 규제하기 위한 수단이 아닌 정보보호를 위한 가이드라인으로써 준수해야할 표준의 하나로 인식돼야 한다.

지난 4월 11일은 필자에게 있어서 개인적으로 굉장히 중요하고 정신없이 바쁜 날을 가르는 기준점이었다. 이날은 ‘장애인차별금지법’안의 1단계 발효일이었으며 이 날을 기준으로 모든 공공기관, 특수교육기관, 종합병원 및 300인 이상 사업장과 국가기관은 웹 접근성에 대한 가이드라인을 준수하도록 강제화되었기 때문이다. 지난 3월에 있었던 웹 접근성 세미나 이후 필자는 엄청난 양의 이메일과 전화로 문의를 받았는데 대부분이 “웹 접근성을 이루기 위한 노력이 반드시 필요한지, 이를 위반하는 경우 어떤 제제가 있는지, 웹 접근성을 제공하는 것 자체가 강제화 된 것인지, 현재 웹 사이트에서 웹 접근성을 제공하라는 것은 무리가 아닌지, 어떻게 해야만 이러한 접근성 관련 문제를 해결할 수 있는지, 대신 작업을 한다면 어느 정도 기간이 소요되는지” 등등, 높은 관심과 시급한 처리를 요구하는 일들이라는 문의가 많이 있었다.

웹 애플리케이션 보안과 웹 사이트 컴플라이언스에 주요 비즈니스를 진행하던 필자는 이런 생각이 들었다. ‘장애인차별금지’ 법안과 관련되지 않고 웹 접근성을 해야 한다고 의무사항이 아닌 참고사항으로만 이야기가 나왔다면 이런 많은 질문과 이를 진행해야 하는 필요성이 있었을까? 

컴플라이언스 준수를 위한 다양한 해외 법규 

IT 강국, 대한민국을 만들어낸 것은 정부의 정책이었다고 해도 과언이 아닐 만큼, 초고속 인터넷 사업은 대한민국 내 지역에 따른 정보통신 이용 격차를 해소했고 다양한 기술을 통해 유·무선으로 인터넷 접근성을 높여왔다. 그리고 이를 일반 사용자에서 소외된 계층까지 확대시킬 수 있도록 ‘장애인차별금지법’이 지난 2008년 4월 11일에 발효되고 올해 ‘1단계 시행령’이 발효되었다. 하지만 이러한 접근성과 이용성을 위한 법률과 의무화 뒤로 이러한 다양한 정보에 접근하고 이용하는 사용자들에 대한 보호기술과 기업의 정보보호 의무는 어떻게 되어가고 있는가? 이러한 생각이 머리에서 계속 맴돌았다. 

정보보호기반시설에 관한 법률과 정보보호안전진단 제도에 관련된 내용을 제외하고는 그다지 기업이나 조직 내에 정보보호를 위한 수단 혹은 대상을 지정하는 법규가 제공되고 있지 않은 것이 IT 강국의 현실이고 이것조차도 정보보호 기술 인력이 등재된 정보보호안전진단 업체에서만 수행이 가능하고 자체 심사를 위한 툴이나 관리도구가 없는 상황에서 전적으로 수행기관에 의존적이며 정보보호안전진단의 경우 1년에 한 번 다가오는 통과의례라고 생각하고 간단히 받고자 하는 사례도 존재한다. 

웹 사이트 컴플라이언스는 이미 10여 년 전부터 해외에서는 이슈가 되어 왔으며 이를 준수할 수 있도록 하는 다양한 법령과 법규가 시장에서 기업과 조직이 따라갈 수 있도록 가이드로 존재하고 있다. 다음의 예들은 개인정보보호에 대해서 각국에서 얼마나 많은 관심과 노력을 기울이고 있고 그러한 노력의 일환으로 다양한 대상에 대한 법령들이 제정되어 이용되고 있음을 보여주는 사례이다. 

• California Assembly Bill No. 1950 and Senate Bill 1386(AB 1950 & SB 1386)
  캘리포니아 거주자에 대한 개인정보를 유지하는 기업들 및 이들의 서드파티에게 요구하는 보안요구 사항으로 개인정보에 대한 보호를 위한 보안 절차 구현과 유지보수에 대한 내용과 이에 대한 관리와 이용 및 취득에 관련된 법안이며 Best Practice를 구현할 수 있는 시스템 혹은 솔루션과의 연계를 통한 준수 확인을 기본으로 하고 있어 이에 대한 법적 제제 및 수정이 가능하도록 되어있다.
• Children Online Privacy Protection Act(COPPA)
  미연방무역위원회에서 발표하고 시행한 법률로 13세 이하 어린이의 개인정보를 수집하고 사용하는 행위를 방지하는 법이며 이는 Safe Harbor를 고려할 수 있도록 하고 있어 아동에 대한 개인정보를 보호하는 수단으로 이용되고 있다.
• Data protection Act
  1984년 영국에서 개인 정보에 대한 보호를 위해 발효된 정책이며 이를 1998년도에 개정하여 2000년 3월 1일 시행되었다. 해당 법은 개인정보에 대한 정의와 의미를 새롭게 했으며 개인정보와 중요 개인정보를 차별화함으로써 원래 법의 범위를 확대했다. 해당 법에서는 개인정보의 ‘확보’, ‘보유’ 및 ‘공개’의 개념이 통합되어 있으며 이를 위한 8가지의 정보보호방침이 제시되어 있다.
• DCID 6/3
  다양한 수준에 대한 기술과 정보에 대한 무결성과 기밀성 및 이용성에 대한 법률의 목록이며 이들 모두가 위반사항이 있는지를 찾기 위한 컴플라이언스이다. 이를 준수함으로써 기업 및 조직은 정보자산에 대한 보호가 안전하게 이루어지고 있음을 확인할 수 있다.
• European Directive 1995/46/EC 및 European Directive 2002/58/EC
  모든 사람의 기본적인 권리와 자유를 보호하기 위한 것이며 특히 개인정보의 처리와 관련하여 개인정보보호권리를 보호하기 위한 것이다.
• Federal Information Security Management Act(FISMA)
  의회에서 통과되어 대통령이 ‘Electronic Government Act of 2002’로 이 법안을 채택했다. 이 법은 연방 정보 및 자산을 보호하기 위해 종합적인 조치를 수행하는 체제를 제공하는 것이다. 이는 국가 보안에 중요한 준수사항으로 정부차원에서 철저하게 검사되는 최상의 준수사항이며 해당 요구사항을 준수했다는 연간보고서를 제공하고 이를 평가 및 관리하여 새로운 조치 방안 계획을 포함하는 다양한 테스트 및 계획의 유효성을 종합적으로 검증할 수 있도록 한다.
• Financial Service(Gramm-Leach-Billy Act : GLBA)
  1999년에 제정된 Financial Service Modernization Act의 일부로 금융 기관이 보유하고 있는 이용자의 개인금융정보를 보호하는 규정을 말한다. 이 법은 금융, 보험, 주식을 분리한 장벽을 폐지함으로써 미국 금융서비스 제공자가 상호협력하여 상대편 시장에 진출할 수 있도록 하며 웹 사용 가능한 환경을 통해 해커가 접근할 수 있는 중요한 고객 정보를 금융기관이 보하도록 하기 위한 것이다. 이 보안 규칙은 2003년도에 시행되었으며 고객 정보의 보안을 위한 사전 준비가 필요하며 미국 금융업계의 현대화를 위한 목적과 개인정보보호 및 보안을 위한 부분을 포함하고 있다.
• Health Insurance Portability and Accountability Act(HIPPA)
  건강과 관련된 조직간에 안전한 방법으로 건강 정보를 공유할 수 있도록 하는 것이 목표다. 이 안에는 개인정보의 취득에 대한 방법과 수집된 정보가 안전한지, 개인 건강 정보가 서드파티에 전달되지 않도록 하며 정보의 보안, 무결성에 대한 위협 혹은 유해성이 존재하는 지와 정보의 무산 사용 및 공개 등에 관한 문제를 확인할 수 있도록 한다. 물론 데이터 무결성, 기밀성, 사용 가능성을 보호하기 위한 전문적인 보안 서비스를 제공할 수 있도록 가이드하며 이를 위한 시스템 활동을 기록하고 조사할 수 있는 감사 제어 메커니즘을 확립할 수 있도록 강제화 하고 있다. 
• Personal Information Protection Act(PIPA)
  일본에서 비즈니스를 수행하는 회사의 경우 이 법을 통해 개인정보의 실용성을 유지하는 동시에 개인의 권리와 복지를 보호받으며 이용되는 개인정보의 관리, 처리 등에 관한 내용을 법으로 지정하고 있는 것이다.
• Privacy Act of 1974
  미국 연방행정관리국에서 수행하는 개인정보의 수집, 유지보수, 사용 및 보급을 규제하기 위한 포괄적인 ‘공정 정보 사례법’이며 이는 개인 정보가 보관되는 방법을 설명하고 관계없는 기록을 보관함으로 개인 프라이버시가 불필요하게 침해되는 것을 방지하는 법령으로 이를 위한 다양한 준수사항을 제공하고 있다.
• Safe Harbor
  미국 상무부에서 미국에 있는 기업들이 EU 지침을 준수하는 과정을 간소화하는 규정으로 개발 배포한 것이다. 이는 유럽연합의 포괄적인 개인정보보호 규정인 Directive Data Protection이 유럽연합국이 아닌 국가 및 지역의 경우 충분한 수준의 개인정보보호를 제공하는 경우에만 개인정보를 전송하도록 하여 제한하기에 발생하는 문제를 해결하기 위해 미국 본사, 미국 이외의 국가 및 지역에 있는 미국 계열사, 유럽 기업의 비즈니스 파트너에 적용되도록 했다.   

이와 같이 더 나열하기 어려울 만큼의 많은 규정과 법령이 존재하며 이 중에는 ISO 17799/27001, Sarbanes-Oxley Act, PIPED Act 등도 존재하고 이들은 모두 하나의 가이드라인이자 법규로서 정보보호, 혹은 개인정보보호를 위해 조직과 기업들이 무엇을 지켜야 하는지를 알려주며 위반사항에 대해서 판별할 수 있도록 하는 툴과 같이 활용할 수 있는 이중성을 가지고 컴플라이언스의 활용성을 높이고 있다. 

효율적인 비즈니스를 위한 컴플라이언스

전 세계적인 상황이 이렇다면 우리도 IT 강국으로서 개인정보 및 다양한 정보 시스템에 대한 보안을 효과적으로 이루기 위한 자체적인 가이드라인과 이를 평가하기 위한 도구를 활용할 수 있도록 하는 복합적인 목적의 컴플라이언스를 정보 혹은 산업계에서 개발하여 준수할 수 있도록 하는 것이 필요하다.

이는 단순히 누군가를 옭아매자는 것이 아니라 하나의 Best Practice를 구현하여 모든 조직과 기업이 자기의 정보시스템과 해당 시스템에 존재하는 다양한 민감한 정보에 대한 보호를 위한 노력이 단순히 얼마를 이용했으며 이게 투자대비효과라는 ROI관점에서만 논의될 것이 아닌, 의무사항으로 기업이 반드시 준수하여 자기의 자산과 이에 관련된 정보를 보호하는데 이용될 수 있도록 하는 노력을 기울여야 할 것이다. 앞에서 언급한 ‘장애인차별금지법’은 하나의 좋은 예라고 할 수 있다. 해당 법령은 시행령을 기반으로 무엇을 어떻게 준수해야 하는 가를 제공하며 이를 위한 국가표준 가이드라인의 준수를 이야기하고 있으며 이를 준수하기 위한 다양한 기술적인 검토를 위한 정보를 제공하고 있다. 

이러한 노력은 이미 오래 전부터 기업과 조직이 정보보호를 이루기 위한 다양한 노력에서도 나타나고 있었지만 이를 적용하고 유지하고 개선하기 위한 정책적인 배려가 없었기에 더 많은 관심과 지원이 이루어지지 않았다고 보고 있다.

이러한 국가 혹은 산업계 차원의 규정을 통한 정책적인 지원이 이루어진다면 이는 향후 다양한 정보를 제공하고 제공받는 온라인 환경에서 이루어지는 다양한 비즈니스가 국경을 초월하여 효과적으로 이루어 질 수 있도록 하는 기반이 될 것이며 이를 통해 IT 강국으로서 시장을 선도하는 조직 및 기업 가치를 확대해 나갈 수 있을 것임을 믿어 의심하지 않는다.

규정과 법령을 통한 정책적인 지원은 당연시되는 정보보호를 위한 기본적인 노력이 기업 및 조직 내에서 이루어 질 수 있도록 도움을 제공할 것이며 이러한 노력이 정말 필요한 것인지를 확인할 수 있고 이에 대한 투자대비효과라는 평가는 사라지고 이를 통한 컴플라이언스 준수여부를 통해 정보보호에 대한 진정성을 평가 받을 수 있게 될 것이다.

이는 단순히 정보보호를 위한 보안시스템이나 감시, 감사도구에 대한 내용뿐만 아니라, 이를 운영하고 관리하는 주체에 대한 효율적인 평가와 관리 방법으로 이용될 수 있을 것이다. 

컴플라이언스는 정보보호 위한 가이드라인

필자는 늘 보안성을 높이기 위해서는 다음의 4가지 주체에 대한 정의, 개발, 관리, 유지가 필요하다고 말한다. 이는 사람, 기술, 프로세스 및 규정(Compliance)으로, 이러한 4가지 주체가 정상적으로 존재하고 적용된다면 기본적인 보안성을 이룰 수 있다고 말한다. 마지막으로 이러한 것을 고려한 컴플라이언스의 좋은 예를 한 가지만 소개하고자 한다.  PCI-DSS는 잘 아는 것처럼 Payment Card Industry·Data Security Standard로 규정이 존재하고 이를 확인하기 위한 Self-Assessment Tool을 제공하며 이를 검증받기 위한 Qualify Security Assessor의 라이센싱과 이용을 권고하며 평가를 위한 Authorized Scanning Vender를 제공할 수 있는 규칙과 라이센스를 제공하고 있고 평가 후 개선시 우선순위를 평가하기 위한 Prioritized Approach를 제공하고 있다. 이 외에도 지속적인 툴과 업데이트를 제공하기 위한 노력을 하고 있는데 이러한 노력이 정부 혹은 산업 표준 차원에서 계속적으로 이루어져 다양한 컴플라이언스를 통한 가이드를 제공한다면 우리가 논하는 정보보호를 위한 기업 혹은 조직의 노력에 대한 평가가 명확히 이루어 질 수 있을 것이며, 이는 복잡한 비즈니스 환경과 프로세스 및 다양한 연관성에서 나타나는 많은 문제점들에 대한 해결책으로 이용될 수 있을 것이다. 

컴플라이언스는 반드시 필요하며 이는 개인 혹은 조직을 규제하기 위한 수단이 아닌 정보보호를 위한 가이드라인으로써 준수해야할 표준의 하나로 인식될 수 있도록 정부 차원 및 산업계 차원에서 노력해 나아가야 할 것이다.

<글 : 이동일 시드시스템 대표(jaisonyi@gmail.com)>

웹센스(Websense) CTO인 댄 허버드가 설명하는 기업이 소셜 웹에서 위협과 손상으로부터 자사 정보를 보호하는 4가지 방법이다.

1) 블로그와 포럼에 있는 웹 게시물 대부분이 실제로 원하지 않는 콘텐츠라는 점을 인지

블로그, 포럼 및 대화방 같이 사용자가 생성하는 콘텐츠를 허용하는 사이트에서 사용자들의 상호 작용이 점점 늘어나면서 스패머와 사이버 범죄자들이 메모를 남기고 이를 악용하여 스팸을 전파하고 자신의 웨어로 돌아오는 링크를 게시하며 악의적인 사이트로 사용자를 유도하는 일이 발생했다. 

웹센스의 연구 결과에 따르면, 블로그와 포럼에 있는 모든 웹 게시물의 85%가 스팸과 맬웨어 등 원하지 않는 콘텐츠이며, 5%는 실제로 맬웨어, 사기 및 피싱 공격이라는 것을 보여주고 있다. 활동하는 블로그에 매달 평균 8,000에서 1만 개의 링크가 게시되므로 사용자들은 분명 이러한 사이트에 있는 링크를 클릭하기를 주저하게 될 것이다.  

또한 사이트의 평판이 좋다고 해서 안전한 것은 아니다. 소니 픽쳐스(Sony Pictures), 디그(Digg), 구글(Google), 유튜브(YouTube) 및 워싱턴 주립 대학(Washington State University)에서 운영하는 블로그와 메시지 보드에도 최근 악의적인 내용의 스팸이 게시되었으며 My.BarackObama.com은 악의적인 내용의 스팸으로 감염된 적이 있다.

2) 구글 세이프(Google Safe)의 상위 검색 결과를 믿을 수 있을까?

검색 엔진 감염이 계속 인기를 끌면서 사이버 범죄자들이 악의적인 코드나 스팸이 있는 웹 사이트 링크를 상위로 끌어 올리는 데 사용되고 있다. 많은 사용자들이 상위 검색 결과는 안전할 것으로 여기지만 실제로는 감염된 웹 사이트로 이동하게 만다. 예를 들어, 3월에는 구글 검색창에 "March Madness(3월의 광란)"라고 입력하고 상위 검색 결과 링크를 클릭한 야구 팬들이 실제로 "허위 안티바이러스(rogue antivirus)" 소프트웨어에 감염된 웹 사이트로 이동한 일이 있다(3번 참조).

3) 다운로드하기 전 보안체크 필수  

과거에는 사이버 범죄자들이 신용 카드 정보와 기타 개인 정보 등을 웹 사용자로부터 얻기 위해 "허위 안티바이러스(rogue antivirus)"라는 것을 많이 사용했다. 일반적으로 허위 안티바이러스 제작자는 트래픽을 자신의 사이트나 감염된(위에서 설명) 사이트로 이동시키기 위해 검색 엔진 감염을 사용한다. 종종 자신이 통제하는 악의적인 사이트로 이동시키는 링크를 블로그와 포럼에 게시한다. 사용자가 이러한 웹 사이트를 방문하면 컴퓨터가 맬웨어에 감염되었다는 경고창이 표시된다. 그런 다음 이 시스템을 치료하려면 비용을 지불해야 하며 "안티바이러스" 소프트웨어 프로그램을 다운로드할 것인지 묻는다. 실제로 공격자는 허위 소프트웨어 비용을 지불하기 위해 사용자의 신용 카드 정보를 알려주도록 유도하고 컴퓨터에 성공적으로 맬웨어를 설치하게된다. 한 가지 예는 전세계 수 많은 컴퓨터를 감염시킨 것으로 알려진 콘피커 웜이 있다. 콘피커 웜에 감염된 일부 사용자에게서 컴퓨터에 파일이 다운로드된 것이 관찰됐다. 파일을 실행하지 마자 사용자에게 "발견된 위협"을 제거하려면 49.95달러를 지불할 것을 요구했다.

안티피싱 워킹 그룹(Anti-Phishing Working Group)은 최근 허위 바이러스 프로그램 수가 2008년 7월에서 2008년 12월까지 225% 증가하여 7월부터 발견된 허위 안티바이러스 프로그램 수보다 3배 이상 늘었다는 몇 가지 흥미로운 통계를 발표했다.  

컴퓨터 사용자가 감염되지 않았고 안티바이러스 프로그램을 설치할 필요가 없는 데도 웹 사용자들을 불안하게 하여 돈을 갈취하려는 것이 허위 안티바이러스 공격의 책략입니다.

4) 소셜 네트워크의 친구 메시지도 쉽게 믿지 말라

웹센스 보안 연구소(Websense Security Labs)는 최근 "개인 Web 2.0 소셜 네트워크를 통해 전달되는 웹 위협은 새로운 것이 아니다. 친구에게서 온 것이라도 의심되는 메시지는 무조건 믿지 말라"고 권고했다. 소셜 네트워킹의 성장은 위협을 전달하는 새로운 방법을 만들어냈다. 웹 사용자는 단축 URL이 있는 트위트(tweets), 페이스북 페이지에 게시된 동영상 링크, 자신들의 소셜 네트워킹 사이트에서 보낸 이메일 메시지를 받으면 대부분의 사람들이 보낸 사람을 신뢰하기 때문에 주저하지 않고 링크를 클릭하는 데 익숙해져 있다는 것을 악용하는 방법이다.

범죄자는 이런 신뢰를 악용하여 맬웨어와 감염된 웹 사이트 링크를 퍼뜨린다는 것은 불행한 현실이다. 웹센스 보안 연구소는 최근 페이스북에서 보낸 이메일 메시지가 실제로는 멀웨어에 감염된 "동영상" 링크를 클릭하도록 유도하는 범죄자에게서 보내온 것임을 발견했다.

출처 : IDG
원문 : http://www.idg.co.kr/newscenter/common/newCommonView.do?newsID=56561 

망분리는 해킹을 원천 차단하고, 기밀 정보의 외부 유출을 방지하기 위해 업무망과 인터넷망 분리를 목적으로 하고 있다. 사용자 입장에서는 하나의 PC에서 업무 및 인터넷을 동시에 사용하는 환경에서 망분리를 통해 기존 PC는 업무용으로만 사용하고, 새롭게 도입되는 인터넷 PC에서는 인터넷 사용이 가능하도록 환경이 달라지는 것이다.

공공기관의 네트워크 분리 사업은 작년부터 본격적으로 사업이 진행되어 19개 기관을 순차적으로 완료하고 2010년까지 30여 국가 주요 기관까지 확대할 계획이다.

망분리의 방법에는 물리적인 분리 뿐 아니라 SBC 기반 논리적인 분리도 있다. 하지만 여기에서는 국가 망분리 사업에 적용되는 물리적인 분리에서의 보안 강화 방안을 알아보고 망분리 사업시 적용되는 보안 솔루션에 대해서 알아보고자 한다. 또한 망분리 사업에서 개선해야 할 사항에 대해서 언급하고자 한다.

망분리 사업은 기존 업무망과 별도의 인터넷망을 추가로 구성하게 된다. 따라서 신규로 구성되는 인터넷 구간에는 내·외부 접속 정책을 정의하는 침입차단시스템, 내부 중요자료의 외부 유출을 감시 및 차단하는 내부정보유출방지시스템이 필요하고, 인터넷망과 업무망의 사용자 PC 혼용 방지를 위해서 네트워크 접근제어시스템, 사용자 PC의 보안을 위한 PC 보안 관리 시스템, 업무 자료 이동 시 보안을 위한 보안USB관리시스템 등의 보안 솔루션 구축이 필요하다. 각 솔루션별 구성 및 기능에 대해 알아보도록 하자.

침입차단시스템

신규로 구성되는 인터넷 구간에는 기본적으로 방화벽을 설치한다. 인터넷 구간은 웹서비스 등 외부로 제공하는 서비스가 없이 내부의 PC가 인터넷을 접속하기 위한 구간이기 때문에 방화벽의 정책은 단순한 설정이 가능하다. 즉, 외부에서 내부로의 접속은 모두 차단하고, 내부에서 인터넷 접속에 대한 정책만 허가해주면 되는 것이다. 침입차단시스템의 주요 기능은 다음과 같다.

● NAT 기능을 통한 인터넷 접속 허가

● 불법적인 접근 시도에 대한 차단

• 외부 인터넷에서 내부로의 불법적인 접근 시도 차단
• 비정상 트래픽(DDoS, 웜) 차단

내부정보유출방지 시스템

망분리의 가장 큰 이유 중 하나가 내부의 중요 정보가 외부로의 불법 유출을 막고자 하는 것이다. 따라서 외부로의 연결 통로인 인터넷 구간에서 내부정보유출방지시스템은 필수적인 보안솔루션이라 할 수 있겠다. 내부정보유출방지시스템은 다음과 같은 기능을 제공한다.

● 내부정보 유출 방지 기능

• 비인가 접속 차단(불법 사이트 차단, 메신저/원격 제어 차단 등)
• 키워드에 의한 콘텐츠 차단
• 주민번호, 신용카드, 계좌번호 등 주요 쪾 개인정보 유출 차단

● 정보 유출에 대한 실시간 모니터링 기능

• 차단 이력 로깅
• 정보 유출에 대한 실시간 확인

네트워크접근제어 시스템

망분리를 통해 인터넷용 PC와 업무용 PC를 분리했다. 이는 인터넷용 PC는 업무망 접속을 차단하고, 업무용 PC는 인터넷망 접속이 되지 않도록 하기 위해 물리적으로 분리된 2개의 LAN 케이블을 사용하는 것이다. 따라서 IP를 인터넷용으로 변경한 후 LAN 케이블을 바꿔 연결함으로써 업무망 PC에서 인터넷 접속이 가능할 수도 있다는 것이다.

이러한 가능성에 대한 차단 방법이 네트워크접근제어를 통한 인증 기능을 사용하는 것이다. 인터넷망과 업무망에 각각 시스템을 설치하여 인가 PC에 대한 인증 기능을 제공한다.

따라서 업무용 PC는 업무망에 설치된 시스템을 통해서만 인증이 허가되며 인터넷망으로 연결할 경우는 인터넷망의 시스템을 통해 비인가 PC로 판별되어 네트워크 접속이 차단되는 것이다. 네트워크접근제어시스템은 다음과 같은 기능을 제공한다.

● 인터넷과 업무망의 자원 공유 방지

• 보안인증 PC의 정상적인 네트워크 연결
• 비인가 PC의 네트워크 접근 차단

● 보안정책 준수

• 보안정책 위반 PC에 대한 네트워크 격리 및 복원
• 무결성 실패 PC의 네트워크 격리 및 복원

PC보안관리시스템

PC보안의 기본적인 솔루션으로서 OS, 상용 SW 및 각종 애플리케이션의 보안취약점에 대한 패치 자동 업데이트와 악성코드로부터의 사용자 PC 보호 기능을 제공한다. 간단한 PC 보안은 개인이 Windows 업데이트 기능 설정을 통해서도 패치 업데이트가 가능하지만 업데이트 오류 및 업데이트 시 속도 저하, 사용자 불편 등으로 설정을 해제하여 놓는 경우가 많다. 따라서 PC보안관리시스템을 통한 일괄 보안 관리가 가능하도록 한 것이다. PC보안관리시스템의 기능은 다음과 같다.

● 패치 관리 기능

• 패치 미적용 PC에 대한 강제 적용
• 윈도우 자동 업데이트 수행

● 사용자 PC 보안

• PC 방화벽 설치 및 공유 폴더 제어, 화면 보호기 적용
• 특정 SW 설치 유도, 불법 SW 검사 및 제어

보안USB관리시스템

망분리 시 필수적인 보안솔루션 중 하나가 보안USB관리시스템이다. 업무 수행 시 많은 부분이 인터넷을 사용해야 하는 경우가 발생하는데, 이 때 업무상 내부의 자료를 외부로 보내야 하는 경우가 발생할 수 있다. 이러한 경우 업무용 PC의 자료를 인터넷 PC로 옮길 때 보안USB를 사용한다. 보안USB는 일반 USB와 달리 접속 시 인증 절차를 거쳐야 하고 보안USB를 통한 자료의 이동은 모두 별도의 저장 공간에 이력을 남기도록 되어 있다.

따라서 불법 유출 등이 발생한 경우 추적 관리가 가능하다. 즉, 일반 USB는 허가 및 등록된 경우만 사용이 가능하고, 기타 비인가 보조기억매체는 매체 제어 기능을 통해 차단한다. 보안USB관리시스템은 다음의 기능을 제공한다.

● 국가정보원 보조기억매체 보안관리 지침에 따른 기능 제공

• 사용자 인증 및 식별
• 지정데이타 암복호화
• 저장된 자료의 임의복제 방지
• 분실시 지정데이타 보호를 위한 삭제 기능

● 보안USB 관리 기능

• 보안USB에 의해 저장되는 데이터의 원본 저장 및 로깅
• 보안USB 분실시 데이터 삭제
• 허가된 사용자에 한해 보안USB 사용
• 보안USB를 제외한 보조기억매체 제어 및 포트 차단
• 외부로의 반·출입 관리 기능

공공기관 망분리 사업의 궁극적 목적은 ‘국가 기밀 자료 유출 방지’

이상으로 공공기관 망분리 사업 시 적용되는 보안시스템에 대해 알아보았다. 보안은 아무리 많은 보안시스템을 구축하고 강화한다고 하여도 완벽하다고 자부할 수 없을 것이다. 본 사업을 통해서도 적은 예산으로 다양한 보안시스템을 구축하려다 보니 부족하거나 아쉬운 부분이 생기게 마련이다. 이 부분을 몇 가지 짚어보고자 한다.

단일 구성에 의한 네트워크 단절 우려

기존 업무망은 네트워크 장비, 보안장비 모두 이중화로 구성되어 있어 네트워크 연속성을 보장하고 있으나, 신규로 구성된 인터넷망은 백본스위치, 방화벽 등의 신규 도입된 장비들은 단일 구성이어서 장애 발생 시 전체 인터넷 구간이 단절될 우려를 안고 있어 이중화 구성이 시급하다.

소속기관으로의 조속한 확대 필요

현재까지 진행되고 있는 사업은 각 공공기관 본부 위주로 진행되고 있어 소속기관은 여전히 업무망을 통해 인터넷 사용과 업무를 동시에 보고 있다. 따라서 소속기관은 본부와 내부망으로 연결되어 있기 때문에 기존 보안문제를 그대로 안고 있는 실정이다. 후속 사업으로 지속적인 확대가 필요하다.

내부사용자들의 보안 인식 교육 강화

가장 중요한 부분이라 생각된다. 08년 국가정보원 정보보호백서의 보안사고 사례를 보면 망분리 된 이후에도 내부자에 의한 보안사고가 발생한 경우를 볼 수 있다. 이는 2대의 PC를 사용하고, 보안 USB를 통해서 자료 이동을 해야 하는 등 사용자 입장에서 번거로울 수밖에 없는 상황에서 자칫 편리성을 위해 보안을 망각하게 되면 내부정보 유출 등의 사고가 여전히 발생할 수 있다는 것을 시사하는 것이다. 따라서 기술적인 보안 조치 이외에 직원의 보안 교육 등의 관리적 보안이 절실히 요구된다.

공공 기관 망분리 사업은 그동안 논리적 분리 배제 논란, 업무 및 비용의 비효율성, 보안USB의 보안 이슈 등 많은 논란이 있어왔다.

하지만 궁극적인 목적인 국가 기밀 자료가 유출되는 보안 사고를 막고자 수백억 원의 예산을 투입하여 사업을 추진하고 있고 소기의 성과를 거두고 있는 만큼, 이와 같은 보안 강화 사업을 통해 해마다 늘어나고 있는 공공기관에 대한 해킹 사고를 줄이고 정부와 공공기관의 보안 및 관리 수준을 한 단계 높이는 큰 걸음을 내딛게 되길 기대해 본다.

<글 : 조평현 시큐아이닷컴 컨설팅팀 차장(philip.cho@samsung.com)>

[월간 정보보호21c 통권 제105호 (info@boannews.com)]

"대한민국을 방어하라"

Think Hacking! Think Security! Think Defense!

Secure Korea 2009

2009년 7월 10일 금요일 여의도 국회의원회관 대/소회의실

- 대한민국 정보보호컨퍼런스

- 정보보호솔루션 국회전시회

- 중고생 정보보호올림피아드

대한민국 최초로 정보보호컨퍼런스가 2009년 7월 10일 금요일 국회의원회관에서 개최됩니다.

방송통신위원회, 행정안전부, 지식경제부, KISA, 숭실대 정보과학대학원 등이 후원하고 국회 대중문화 & 미디어연구회(회장: 이성헌 국회의원)와 사단법인 한국해킹보안협회(회장: 박성득), 삼양데이타시스템(주), (주)신세계I&C, (주)전자신문, 서울호서전문학교가  함께 준비한 이번 Secure Korea 2009 (SEKO 2009)는 대한민국 정보보호컨퍼런스와 정보보호솔루션 전시회, 그리고 주니어 해킹방어대회인 중고생 정보보호올림피아드로 구성된 행사로 국내 최초로 국회에서 개최된다는데 그 의의가 있습니다.

이번 행사는 입법기관인 국회와 국회의원들에게 정보보호에 대한 심각성과 중요성을 각인시키고, 향후 정책 및 관련법제도 마련에 안건을 제시하고, 미래 정보보호산업발전에 기여하고자 기획되었습니다.

금융보안이슈 및 정책관련 토의와 정보보호인력양성을 위한 법제화 방안이라는 주제로 각계에서 모인 전문가들의 패널토의와 다양한 세션발표, 그리고 국회의원회관 로비에서 진행되는 정보보호솔루션 전시회, 마지막으로 앞으로 대한민국의 정보보호 미래를 책임질 주니어들의 해킹방어대회-중고생 정보보호올림피아드로 구성된 Secure Korea 2009는 여러분께서 꼭 직접 눈으로 확인하셔야 할 올해의 정보보호관련 행사라고 자부할 수 있습니다.

또한 최근 점점 이슈화되고 있는 디지털포렌식에 관해 이번 행사에서 2개의 세션이 계획되어 있어 디지털포렌식과 사례연구, 그리고 법제도 이슈문제를 집중적으로 다뤄 볼 예정입니다.

모든 행사의 참관은 무료로 진행될 예정이며(단, 사전등록필수), 다양한 경품도 추첨을 통해 나눠드릴 계획입니다.

행사관련 자세한 내용은 행사홈페이지 (www.securekorea.org)를 참고하시기 바랍니다.

(홈페이지는 6월 8일이후 오픈될 예정입니다.)

행사개요

• 행사명 : Secure Korea 2009 (SEKO 2009)

• 행사일정 : 2009년 7월 10일 금요일 오전 9시 ~ 오후 5시 30분

• 행사장소 : 여의도 국회의원회관 대회의실 & 소회의실 & 로비

• 참여대상 : 국내외 정보보호산업 관계자 및 전공 학생 등 700~1000명, 전 대상 무료입장(사전등록필수)

• 선착순혜택 : 사전등록후 현장입장 선착순 300명에게 중식제공

• 주최 : 국회 대중문화 & 미디어연구회, (사)한국해킹보안협회

• 후원 : 방송통신위원회, 행정안전부, 지식경제부, KISA, 숭실대 정보과학대학원

• 조직위원회 : 삼양데이타시스템(주), (주)신세계I&C, (주)전자신문, 서울호서전문학교

• 협찬 : KT, 코스콤 외 (모집중)

• 경품추첨 : 넷북, 아이팟터치, 닌텐도DS, PMP 외 다수

중고생정보보호올림피아드 행사개요

• 행사명 : 중고생 정보보호올림피아드 2009

• 행사일정 : 참가신청 - 6월 22일까지 / 예선 - 6월 27일 / 본선 - 7월 10일 / 시상 - 7월 10일

• 행사장소 : 예선 - 온라인 / 본선 - 국회의원회관 회의실 / 시상 - 국회의원회관 대회의실

• 참가대상 : 전국 중고등학교 재학생(재학증명서 제출자), 예상 참여인원 약 500여명

• 대회주관 : 서울호서전문학교

• 대회참가 : http://olympiad.hisecure.or.kr 접속 후 참가안내에 따라 신청 또는 02-3660-0176

• 시상내역 :

  • 방송통신위원장상

  • 국회 대중문화&미디어연구회장상

  • 한국정보보호진흥원장상

  • 한국해킹보안협회장상

  • 올림피아드조직위원장상

  • 안철수연구소 대표이사상

  • 삼양데이타시스템 대표이사상

  • 유넷시스템 대표이사상

  • 서울호서전문학교장상 등

  • (시상내역은 사정에 따라 변경될 수 있습니다.)

• 부상내역 : CEH(공인윤리적해커)자격증 교재키트&시험응시권, 넷북, 아이팟터치, 닌텐도DS, PMP 외 (변경가능)

컨퍼런스 프로그램

--> 국회의원회관 대회의실 (General Session)

09:00 ~ 09:30     :    Sponsor Session 시작 및 전시부스관람

09:30 ~ 10:00     :    Keynote - 정보보호정책관련 이슈 및 정부대응방안 (황중연 원장, KISA)

10:00 ~ 11:00     :    Panel Discussion - 금융보안이슈 및 정책관련 토론, 정보보호인력양성을 위한 법제화 방안

                            - 사회 : 이성헌 국회의원

                            - 패널 : 이동훈 교수(고려대), 신용태 교수(숭실대), 정석화 팀장(사이버수사대), 구태언 변호사(김앤장)

                                       김용호 박사(경기대), 한호현 전무(한국해킹보안협회), 신동진 교수(서울호서전문학교)

                                       (패널은 사정에 따라 변경될 수 있습니다.)

11:00 ~ 11:30     :    Opening 행사

11:30 ~ 12:00     :    Special Session - 산업보안관련 이슈 (이철권 박사, 원자력연구원)

12:00 ~ 12:30     :    Special Session - 최근 정보보호 트렌드 (전문석 원장, 숭실대 정보과학대학원)

12:30 ~ 13:30     :    Lunch Break & 전시부스관람

13:30 ~ 14:20     :    정보보호법규제-개인정보보호 (구태언 변호사, 김앤장법률사무소)

14:20 ~ 15:00     :    해외 해킹사례 및 해킹시연 (Diamond Liu, 대만해커)

15:00 ~ 15:30     :    Coffee Break & 전시부스관람

15:30 ~ 16:10     :    디지털 증거의 증거능력과 관련된 법·제도상의 제반 문제와 개선방안 - 최근 수사사례를 보며

                            (국립경찰대학 사이버범죄연구회-김범연,정대연,최원영)

16:10 ~ 16:50     :    디지털포렌식과 사례연구 및 법규제 이슈 (김용호 박사, 경기대 산업기술보호특화센터)

16:50 ~ 17:30     :    중고생 정보보호올림피아드 시상식 & 경품추첨

--> 국회의원회관 소회의실 (Sponsor Session)

09:00 ~ 09:40     :    디지털증거의 절차법적 허용문제에 대한 현황과 개선방안 - 최근 범죄수사사례를 보며

                            (국립경찰대학 사이버범죄연구회)
09:40 ~ 10:20     :    무선랜보안 (삼양데이타시스템)
10:20 ~ 11:00     :    미정
11:00 ~ 11:40     :    미정
11:40 ~ 12:05     :    보안관리자에게 찾아온 한잔의 커피 (코스콤 정보보호사업부)
12:05 ~ 12:30     :    내부정보유출방지 (신세계I&C)
12:30 ~ 13:30     :    Lunch Break
이후 행사는 General Session으로 통합되어 진행됩니다.

참가신청

사전등록 : www.securekorea.org (6월 8일이후 오픈예정)

협찬문의

 -> 플래티넘 / 골드 / 실버 스폰서

 

(사)한국해킹보안협회 - 전화 : 02-3406-9229, 담당 : 이성호 국장 (휴대폰 : 010-5061-2352)

행사기획(교도PR)       - 전화 : 02-517-7253, 담당 : 박영미 부장 (휴대폰 : 010-2212-2745)

[출처] Secure Korea 2009 - 정보보호컨퍼런스/솔루션전시회/중고생정보보호올림피아드 (SecurityPlus) |작성자 제이손

5월 27일 중국검찰에 송치, 최고 10년 이하의 징역에 처해질 듯

온라인게임 아이템거래 사이트인 아이템베이에 악의적으로 분산서비스거부(DDoS: Distribute Denial of Service, 이하 DDoS) 공격을 해 온 범인이 검거됐다.

아이템베이는 2007년 8월부터 2009년 2월까지 총 3년에 걸쳐 DDoS 공격을 받았으며, 2008년 12월부터 범인 검거직전까지 6억원 상당의 금품을 요구하는 총 54통의 협박메일을 받은 바 있다. 동사는 지난 2008년 12월 범인으로부터 협박메일을 받은 즉시 관할경찰서인 양천경찰서에 수사를 의뢰하고, DDoS 공격에 사용된 PC의 대다수가 중국 발신인 점을 포착, 중국공안과 현지 전문가들의 협조의사를 받아낸 것으로 알려졌다.

이후, 아이템베이는 양천경찰서의 적극적인 수사의지와, 중국공안 등과의 긴밀한 협조 아래, 결국 범인을 검거했고 범인이 전북 전주 출신의 30대 한국인 남성 김모씨임을 밝혀내기에 이르렀다. 범인은 지난 5월 27일 중국검찰로 송치되었으며, 중국검찰 조사와 재판을 거쳐 최고 10년 이하의 징역에 처해질 것으로 보인다. 최근 중국에서도 DDoS 공격을 매우 심각한 범죄로 인식하고 있어 중국공안이 금번 사건의 수사에 적극 협조하였으며, 범인을 엄중 처벌할 방침을 밝힌 것으로 전해진다.

아이템베이는 지난 2001년 세계최초로 게임아이템 거래중개 서비스를 개시한 이후, 꾸준한 성장을 거듭하며 연평균 성장률 21.4%를 유지해 왔다. 하지만 2007년 9월, 첫 DDoS 공격이 발생하면서 4개월 동안 홈페이지를 열지 못하고 IDC센터에서 퇴출되는 등 정상적인 영업을 하지 못했다.

이후, 아이템베이는 2008년 한 해 동안 공격적인 마케팅과 서비스개선 등 정상화를 위한 각고의 노력을 기울인 결과, 매출회복은 물론 시장점유율 55% 확보라는 큰 성과를 이뤄냈다. 하지만, 2008년 연말 또다시 가해진 DDoS 공격으로 인해 아이템베이는 2008년 12월 12일부터 15일까지 4일간 영업이 중단되었다. 범인은 ‘리철’이라는 이름의 조선족 행세를 하며 무리한 금전적 요구와 협박으로 회사의 안전한 사이트 운영을 위협했다.

범인이 총 54회에 걸쳐 보낸 협박메일에는 ‘아이템베이 사이트에 DDoS 공격이 예정되어 있으며, 요구금액을 지급하면 공격을 철회하겠다’는 내용이 포함되어 있다. 범인은 공격철회 조건으로 300만 위엔(약 6억 원)을 요구해왔으며, 타 집단의 DDoS 공격을 막아주는 대가로 반기별 50만 위엔(약 1억원)을 요구하기도 했다.

아이템베이는 홈페이지를 이용해 통신판매중개업을 영위하고 있으며, 온라인으로만 판·구매자 간의 거래를 중개하기 때문에 홈페이지의 다운은 회사의 매출손실로 직결된다. 따라서 동사는 DDoS 공격 없이 회사가 정상 운영됐을 때의 평균성장률로 단순 계산해도 DDoS 공격으로 인한 매출손실 액이 1,279억에 달하는 것으로 보인다.

아이템베이의 한 관계자는“영업불가로 인해 심각한 매출손실을 입었을 뿐만 아니라, 기업 이미지 훼손과 회원이탈, 해당 문제 해결 및 원상복구에 소요된 각종 비용과 시간을 생각하면 당사가 입은 손실은 치명적이다”라며 “DDoS 공격을 방어하기 위해 서버를 이전하고 회선을 증가시키는 등의 과정에서 큰 비용이 발생했고, 회사 이미지 회복을 위한 마케팅 비용이 지속적으로 발생하고 있다. 매출손실과 복구를 위해 소요된 비용전체를 계산하면 실질적인 당사의 DDoS 피해금액은 약 1,400억 원에 달할 것으로 추산된다”고 설명했다.

아이템베이는 이러한 막대한 규모의 손실에 대해 범인에게 손해배상을 청구할 방침이며, 양천경찰서와의 공조 하에 사주범 또는 공범에 대한 존재여부 및 신상확보를 위해 더욱 치밀한 추가 수사진행을 요청한 상태이다. 범인 김씨는 현재 단독범행을 주장하고 있지만, 아이템베이에 가해진 100G 이상의 대규모 좀비 PC를 동원하기 위해 만만치 않은 비용이 소요되었다는 점과 범인이 타 업체에는 DDoS 공격을 가하거나 협박메일을 보낸 적이 일체 없고 아이템베이만을 공격대상으로 삼았다는 점 등을 근거로 DDoS 공격의 사주범 또는 공범의 존재가능성을 염두에 두고 있는 것이다.

한편, 아이템베이는 국내최대 게임아이템 거래중개 사이트로서, 이번DDoS 피해에 대해 500만 회원의 권익보호를 차원에서 DDoS 공격에 대해 적극적인 범인검거 의지를 보여왔고, 결국 범인을 검거함으로써 DDoS 피의자 검거가 불가능한 일만은 아니라는 선례를 만들어냈다.

[오병민 기자(boan4@boannews.com)]

국정원, “효율적 방법 제시 및 보안업체 부담 경감이 목적”

하지만 보안USB 시장 등 여전히 풀어야 할 과제 남아 있어

국가·공공기관이 도입하는 정보보호제품에 대한 안전성 확인을 위해 시행됐던 보안적합성 검증제도가 오는 6월 1일부로 폐지가 되고, 국가용 암호 제품 목록이 새롭게 등재된다.

국가정보원 IT보안인증사무국이 지난 21일 ‘국가·공공기관 정보보호제품 도입기준 및 절차’를 통해 이와 같은 내용을 사무국 홈페이지에 발표했다.

우선 국정원이 이번에 발표한 기본 원칙은 ▲2009년 6월 1일 이후, 국가·공공기관은 CC인증 획득 제품을 도입하는 것을 원칙으로 함 ▲‘검증필 제품목록’은 2009년 6월 1일부로 폐지 ▲국가·공공기관, CC인증제품 목록 및 국가용 암호제품 목록에 등재된 제품 중에서 선정해 도입 ▲국가·공공기관 도입제품, 인증제품 목록 또는 국가용 암호제품 목록에 기재된 제품명칭·버전 등 완전 일치해야 한다는 등의 내용이다.

그리고 이외에 국정원은 예외사항으로 ▲국가용 암호제품 지정제도 신설 ▲네트워크·컴퓨팅기반 제품의 ‘검증필 암호모듈’ 탑재 의무를 권고사항으로 완화 ▲저장자료 완전삭제 제품 등 보안기능 단순 제품 CC인증 요구없이 국정원장이 안전성 확인 ▲검증필 제품목록 등재된 제품 중, 올해 안에 CC평가계약 체결한 제품에 한해 올해까지 국가·공공기관 도입 허용 등을 담고 있다.

이에 따라 지금까지 말도 많고 탈도 많았던 국가·공공기관 정보보호제품 도입기준이 마련된 셈이다. 하지만 여전히 풀어야 할 과제는 남겨져 있다.

‘검증필 암호모듈’의 경우, 올해 1월 1일부터 탑재를 의무화한다고 발표를 했음에도 이번 발표로 기준은 명확해졌지만 그에 따른 업계의 혼란은 가중될 전망이란 것이 업계 관계자들의 중론이다.

이에 검증필 암호모듈을 판매하고 있는 한 업계 관계자는 “이번 국정원 발표로 현재 진행되고 있는 검증필 암호모듈 판매에 제동이 걸린 것이 사실”이라며 “이는 기존에 국정원이 명확한 기준을 제시하지 않은 결과”라고 지적했다.

또한 그는 “그렇다 하더라도 이번 국정원의 발표에는 긍정적 측면이 적잖다. 기존에 두루뭉술했던 정책 혼선에서 벗어나 명확한 기준을 제시했다는 점”이라며 “하지만 그와 함께 이번 발표에도 기존과 같은 믿음이 가지 않는 것은 사실”이라고 말했다.

이에 따라 국정원이 향후 검증필 암호모듈을 판매하고 있는 업체들에 어떠한 고육지책을 마련할 것인지에 귀추가 주목된다.

아울러 보안USB 시장에서는 기존 ‘검증필 암호모듈’ 탑재에 대한 업체 개개별 해석에서 국정원은 명확히 이를 탑재할 것을 명확화했다. 다만 지난 15일 CC인증을 획득한 닉스테크의 경우와 5월 중 CC인증 계약을 목표로 동분서주하고 있는 보안USB 업체들의 현재 진행에도 제동이 걸렸다.

즉 “2009년 내 CC평가계약을 체결한 제품에 한해 계약일로부터 2009년 12월 31일까지 국가·공공기관 도입을 허용한다”는 국정원 측의 발표내용 때문인데, 이 역시 기존 보안USB에 대해 6월 1일부터 CC인증 획득을 못한 제품은 국가·공공기관에 납품을 할 수 없다는 것에 유예를 준 셈이다. 이는 얼핏 CC인증 획득을 올해까지만 하면 된다는 것처럼 오해할 소지가 있다. 다시 말해 굳이 CC평가계약을 굳이 5월 안에 받거나 급히 서두를 필요가 없는 것처럼 인식할 수 있다.

하지만 이와 관련 한 업계 관계자는 “올해 안에만 CC평가계약을 체결하면 된 것처럼 인식할 수 있지만 사실 그렇지가 않다”며 “CC평가계약 자체가 CC인증을 받은 것은 아니기 때문이다. 조달목록에서 남겨지게 되는 제품은 기존 보안적합성 목록에 있는 제품들이며, 이들 중 CC평가계약을 체결한 제품이 남겨지게 되는 것이다”고 말했다.

즉 이와 관련해 블루젠 등과 같은 보안USB 신생업체는 CC인증을 득해야만 조달목록에 오를 수 있다는 것. 즉 CC평가계약을 체결했다하더라도 CC인증을 획득하기 위해서는 2~3개월 여가 소요된다고 했을 때 기존 보안적합성 검증을 가지고 있는 업체들만이 국가·공공시장에서 판매가 가능한 것이라는 것이 업계 관계자들의 말이다.

한편 이와 관련 국정원 관계자는 이번 발표와 관련해 “이번 발표는 국가기관에 들어가는 정보보호제품에 대한 효율적 방법을 제시하고, 정보보호업체들의 부담을 경감시켜 주기 위해 마련했다”고 밝혀 지금까지 지속적인 정책을 폈음에도 불구하고 업체들을 염두, 유예기간을 두었던 것에 이번이 마지막 유예로 내년부터는 이를 진행함에 있어 강한 의지로 펼칠 것임을 천명했다.

[김정완 기자(boan3@boannews.com)]

웹 방화벽(Web Application Firewall) 시장은 금년 개인정보보호법 등의 컴플라이언스 등의 작용에도 큰 기대치를 갔고 있었으나, 현재까지 계류 중인 개인정보보호법으로 인해 올해 상반기는 뜨뜻미지근했다는 것이 관련 업계의 중론이다. 하지만 웹 방화벽 시장이 그러한 기대치에는 크게 미치지 못했지만 평점 이상이었다는 것 또한 업계의 한 목소리다.
그런 측면에서 향후 전개될 하반기 웹 방화벽 시장은 6월 임시국회를 기다리고 있는 개인정보보호법을 비롯해 최근 국정원의 정보보호 제품에 대한 검증필 암호모듈 탑재 의무화 제도의 변경으로 업체간 혼선이 야기되고 있어 주목된다.

웹 방화벽은 OWASP(Open Web Application Security Project) Top 10, 국가정보원의 8대 웹 취약점, 웹페이지 위·변조 등 다양한 형태의 웹 기반 해킹 및 유해트래픽을 실시간으로 감시해 탐지하고 진단하는 시스템이다. 한국정보보호진흥원에 따르면, 2008년 웹 방화벽 시장 매출은 360여억원으로 전년도 매출액 330여억원에 비해 8.9%가 증가했다.

KISA, “웹 방화벽 시장, 예상과는 달리 규모 크게 형성되고 있어”

또한 KISA 측은 “웹 방화벽 제품의 연평균성장률(CAGR)은 8.6%로 ‘침입차단시스템’ 제품군의 매출 성장을 주도할 것으로 예측되며, 2013년에는 총 매출액이 54,366백만원에 이를 것으로 전망”하는 한편 “실제 웹 방화벽은 시장의 예상과는 달리 규모가 크게 형성되고 있는 것으로 나타났으며, 지난해에 이어 올해도 정보보호 분야의 화두였기 때문에 향후에도 매출이 꾸준히 증가할 것으로 예상”했다.

하지만 KISA가 한국정보보호산업협회에 수탁해 조사한 ‘2008 국내 정보보호산업 시장 및 동향’ 중 이러한 웹 방화벽 시장이 크게 꾸준히 증가할 것이라는 데는 동조를 하지만 그 매출 수치 측면에서의 변화 양상은 더욱 두드러질 것이라는 의견이 있어 주목된다.

웹 방화벽 업체들, “상반기 평점 이상 성적, 하반기 기대”

국산 보안 1세대 기업이면서 현재 웹 방화벽 시장에서 확고한 위치를 다지고 있는 펜타시큐리티는 현재 600여 곳의 레퍼런스를 확보하는 등 올해 상반기만 하더라도 작년 대비 150%의 성장세를 보여 올 하반기에 거는 기대가 크다.

이강원 펜타시큐리티 팀장은 “관공서 등 공공기관에서 웹 방화벽 담당자가 따로 있을 만큼 웹 방화벽에 대한 인식이 높아졌다. 뿐만 아니라 최근에는 교회, 심지어 요식업체 등에서도 웹 방화벽에 대한 수요가 있는 만큼 도입의지가 많아진 것이 사실”이라며 “펜타시큐리티 자체 검증필 암호모듈을 지닌 만큼 고객들로부터 신뢰를 받고 있는 것 같다. 그러한 장점을 가지고 하반기에는 더욱 분발할 것”이라고 밝혔다.

또한 이강원 팀장은 “현재 웹 방화벽 시장은 10~20%정도 밖에 되지 않는다. 최근 빈번하게 발생하고 있는 웹 해킹 사고 등은 향후 웹 방화벽에 대한 인식정도를 더욱 공공하게 하고, 도입의지를 더욱 높일 것이다. KISA 등의 웹 방화벽 시장에 대한 매출 수치 그 이상의 시장을 형성 것으로 본다”고 말했다.

또한 국세청, 교육청 산하기관 등을 레퍼런스로 확보하고 있는 잉카인터넷 측은 기존 웹 방화벽에 또다른 보안제품과의 연계를 통한 융·통합 제품으로 웹 방화벽 시장에서 새로운 다크호스로 부상한다는 계획이다.

김춘곤 잉카인터넷 과장은 “작년 옥션 사고로 웹 보안 시장, 특히 웹 방화벽에 대한 수요가 크게 늘 것으로 전망했지만 DB보안 제품에 대한 수요가 높아진 것이 사실이며, 공공과 민간 수요층의 웹 방화벽에 대한 인식 정도에는 큰 차이가 있음을 인식하게 됐다”며 “그런 측면에서 CC인증은 물론 거기에 웹 방화벽 제품에 또 다른 제품간 연동을 통해 새로운 활로를 개척할 것”이라고 밝혔다.

그리고 광주정부통합전산센터 3차사업 등 대형 프로젝트를 준비하고 있는 트리니티소프트 역시 웹 방화벽 시장에서 무시할 수 없는 강자다.

원범재 트리니티소프트 영업본부장 겸 상무는 “올해 상반기는 정부의 상반기 조기발주 방침에 따라 공공기관의 경우 작년에 비해 도입이 활발했다. 그리고 올해 하반기에도 작년보다는 상향된 양상을 보일 것으로 전망한다”고 밝힌 후 “경쟁이 치열하다보니 가격하락으로 인한 수익성 악화, 환율폭등으로 원자재 가격 증가에 따른 원가상승 부담 등의 문제를 안고 있다”고 지적했다.

웹 방화벽 성능 개선 위해 IT 혹은 보안기술과 융·복합해야

한편 보안컨설팅 전문업체 에이쓰리시큐리티의 전일성 컨설팅사업본부장은 “웹 방화벽 시장은 일부 확대될 것으로 본다. 웹 페이지 변형에 의한 해킹 공격 등에 대해 컨텐츠 스위치로써의 웹 방화벽은 웹 사고를 막는 가장 기본이 되는 제품이기 때문이다”고 말한 뒤 “고객 측 입장에서는 웹 페이지 변동이나 웹 공격이 지속적으로 진화하고 있는 만큼 그에 따른 지속적인 관리가 필요하며, 그러한 역할을 하는 것이 웹 방화벽이다”고 말했다.

특히 전일성 본부장은 “하지만 향후 웹 방화벽 시장을 성숙시키고 발전시키기 위해서는 수요층의 인식제고 측면도 필요하겠지만 무엇보다 보안제품을 개발·공급하는 보안업체들의 각고의 노력이 중요하다”며 “웹 방화벽이 보안시장에서 성공하기 위해서는, 기존의 뛰어난 기능 외에도 기존 망과 결합됐을 때 발생하는 문제 등을 해결해야 하는 만큼 IT 혹은 보안기술과 융·복합해 성능을 제대로 발휘할 수 있도록 성능적 부분 개선·발전시켜야 할 것”이라고 강조했다.

[김정완 기자(boan3@boannews.com)]

http://www.isecconference.org/

행사명 : ISEC(Information Security Conference) 2009
동시개최 : 국제 정보보호 솔루션 EXPO
                 Cyber Warfare ‘ISEC 2009 CTF’
일시 : 2009년 9월 8일(화) ~ 9일(수) 09:00 ~ 17:30
장소 : 서울 삼성동 COEX 1층 그랜드볼룸
주최 : 안전한 세상을 위한 뉴스
공식매체 :
후원기관 : 행정안전부, 지식경제부, 방송통신위원회, 국군기무사령부,
                국가사이버안전센터, 한국정보보호진흥원, 금융감독원,금융보안연구원,
                경찰청 사이버테러대응센터,한국전자통신연구원, 정보통신연구진흥원,
                한국정보보호학회,한국인터넷정보학회, 한국정보과학회,
                한국CISSP협회, 한국정보시스템감사통제협회, 한국정보보호산업협회,
                한국산업기술보호협회, 한국정보통신산업협회, 한국인터넷기업협회,
                한국소프트웨어산업협회, 한국전자문서산업협회, 한국전자지불산업협회
주요 참관객 : 국내 기업의 개인정보보호 담당자 및 보안관리자와 최고책임자
                     네트워크 및 시스템 관리자 및 보안담당자
                     SI 업체 보안담당자
                     기업체 전산망 운영담당자
                     정보보호 컨설팅 및 시스템관리자
                     IT감사담당자
                     시스템 기획, 분석, 관리 담당자 등 3000여 명 예정
참가 및 전시업체 : 국내외 IT보안 전문기업 60여 개사(예정)