[정보보호 20년史] 2007년: 한국 전자정부, 정보화 넘어 철통 정보보호로 주목 | 2019.06.09 |
한국정보보호산업협회 20년사를 통해 본 한국 정보보호 20년 역사 2007년, 세계 전자정부 평가에서 2006년 이어 세계 1위...정보보호 부문 대폭 투자 KISIA, 생체인식 업체에서 회장사 배출하며 활동반경 넓혀...제8대 배영훈 회장 선출 [보안뉴스 문가용 기자] 2006년과 2007년, 미국 브라운대학이 진행하는 세계 전자정부 평가에서 우리나라가 2년 연속 1위를 차지했다. 총 198개국의 전자정부 시스템이 평가됐다고 하니, 의미가 없지 않다. 게다가 이 해에 독일 베를린에서 열린 ‘한독 혁신 컨퍼런스’에 참가한 최양식 당시 행정자치부(현 행정안전부) 차관이 “독일의 피터 알트마이어 내무부 차관이 한국의 전자조달 시스템, 표준행정 시스템 등을 비롯해 전자정부 시스템에 큰 관심을 보였다”고 발표했다. 그러면서 행정자치부는 독일을 기반으로 전 유럽에 전자정부 시스템을 공급하는 방안을 검토하기도 했다. 2000년대 초반, 인터넷 보급률 세계 1위를 차지하며 IT 강국을 자칭하던 나라가 전자정부라는 분야에서 세계의 인정을 받기 시작했다는 것이다. [이미지=iclickart] 2006~2007년 세계 전자정부 평가에서 우리나라 2년 연속 1위 세계의 인정만이 아니라 실제 국민 생활에도 많은 변화를 가져왔다. 예를 들어 여권 발급 민원 신청의 경우, 주민등록증, 사진 2매, 주민등록등본, 주민등록초본, 국외여행허가서, 호적등본 등 7종의 구비서류가 필요했다. 이를 발급받기 위해서는 동사무소와 지방 병무청을 들려야 했고, 서류가 모두 갖춰진 뒤 여권 발급을 다루는 관청에 서류를 제출해야 했다. 신청 후 여권이 실제 발급될 때까지의 기간이 매우 길었다. 하지만 전자정부 시스템이 도입되면서, 행정기관 간 정보 공유가 원활하게 됨에 따라 여권발급 신청서와 사진만 제출하면 되도록 변경됐다. 준비해야 할 서류도 적어지고, 행정기관에 방문해야 하는 횟수도 줄어든 것이다. 2006년 한 해에만 서류가 3천만 통 감축됐고, 1800억 원이 절약됐다. 이런 전자정부의 순항이 공짜로 이뤄진 것은 아니었다. 정부는 2003~2006년, 4년 간 전자정부 구축에 1조원을 투자해온 터였다. 2007년에도 3천억 원의 예산이 책정되어 있었다. 또한, 전자정부 완성을 위한 31대 로드맵을 2007년 안에 성공적으로 마무리하고 2008년부터 5년 간 차세대 전자정부를 추진할 계획이었다. 그래서 2007년 동안 전자정부에 대한 화두가 끊이지 않았다. 3월 15일에는 ‘전자정부 서비스의 보편적 제공 방안 마련을 위한 공개 토론회’가 상공회의소 국제회의장에서 열렸다. 정부, 학계, 산업계, 언론계, 시민 단체 등 300여 명이 참석한 가운데 여러 가지 문제가 논의됐다. 특히, MS 윈도우에 종속된 전자정부 시스템의 한계와 문제점이 가장 많이 지적됐다. 주제 발표자였던 KAIST 시스템보안연구센터 김진형 교수는 “MS에 종속된 획일적인 소프트웨어 정책으로 소수자의 정보 접근 평등권이 무너졌다”며, “모든 소프트웨어는 버그가 있기 때문에 MS OS에 너무 집중하다보면 치명적 결함 하나로 사회 시스템 전체가 마비될 수 있다”고 지적했다. 그러면서 “다양한 소프트웨어의 촉진이 시급하다”고 촉구했다. 대한민국 전자정부의 정보보호 수행 위한 10가지 권고 정보보안 업계는 전자정부 시스템의 보안 문제에 집중했다. 전자정부의 근간은 보안이어야 한다는 주장이 나오고 힘을 얻었다. 편의성만 강조하다보면 개인정보 침해 문제, 해커들에 의한 대규모 정보 유출, 이런 사건들로 인한 사회 혼란에 대해 방비할 수가 없다는 것이었다. 한국전자정부포럼과 고려대 BK21정보보호사업단은 3월 7일 ‘대한민국 전자정부의 정보보호 수행을 위한 10대 권고’를 주제로 세미나를 열었다. 이 10대 권고는 다음과 같다. 1. 부처 내 정보보호 책임관을 지정한다. 2. 전자정부법 내 정보보호 관리 규정을 신설한다. 3. 정부의 정보보호 인력 및 예산 가이드라인을 제시한다. 4. 정보보호 서기관 및 사무관직을 신설한다. 5. 부처별 정보보호팀을 신설한다. 6. 정보보호 인력의 수행 업무와 직업 분류, 기능 등 세부사항을 공시한다. 7. 부처에서 사용할 표준 정보보호 모델을 지시한다. 8. 기존 요소보안을 인프라 정보보호로 전환한다. 9. 역할별 정보보호 인력 양성 계획을 수립한다. 10. 정부 보안정보공유센터를 전자정부 사이버위기대응센터로 확대개편 한다. 이와 별도로 전자정부가 보강해야 할 분야를 세 가지로 꼽는 전문가들도 있었다. 첫 번째는 보안조직의 확충이었다. 국가사이버안전센터의 발표에 따르면 2006년 4월 이후부터 공공기관의 침해사고 건수는 지속적으로 2~3%씩 증가하는 것으로 나타났다. 공격 규모가 커지면 방어 조직의 규모 역시 커져야 하는데, 이게 제대로 되고 있지 않다는 지적이었다. 두 번째는 정보 시스템에 대한 보안 통제를 한층 더 강화해야 한다는 것이었다. 웹 서버나 DNS 서버, 메일 서버처럼 전자정부 대민 서비스를 위해 외부 구간에 공개된 장비들은 보안 상태가 양호한 편이나, 조직 내부 구간에 존재하는 정보 시스템은 그렇지 않다는 내용이었다. 알려진 취약점들에 대한 패치가 실시되지 않고 있는 경우가 부지기수라는 지적이 나왔다. 세 번째는 중앙행정기관, 4대 거점 구간(서울, 과천, 대전, 서울청사 별관)과 지자체와의 연결 구간들에 대한 침해사고 대응체계가 한층 더 강화되어야 한다는 것이었다. 중앙과 시군구 연결 구간에 취약한 부분들이 존재하기 때문에 이에 대한 별도 보안 강화 방안 및 자료 유출 방지 방안을 마련해야 한다는 뜻이었다. 2004년을 기준으로 본다면 보안정책이나 자산 관리, 인적 보안, 물리적 환경 보안, 접근통제 영역에서 큰 수준 향상을 이뤄온 게 맞지만, 보안 조직, 침해사고대응, 내부 자체 보안 감사 프로세스 등에서는 초보적인 수준을 벗어나지 못하고 있다는 지적도 있었다. 전자정부의 보안 강화에 500억원 예산 책정 보안 문제는 정부도 심각하게 받아들였다. 그래서 전자정부의 보안에만 500억 원의 예산을 책정하기도 했다. 당시 행자부 전자정부 김남석 본부장에 의하면 “2007년 중앙행정기관의 정보화 관련 예산은 3조 4천억 원 정도이며, 이중 행정자치부에 할당된 것이 약 4,150억 원, 나머지 금액은 다른 부처에 편성되었다”고 한다. 또한, 중앙부처의 보안 관련 예산은 1,010억 원 정도이며, 행정자치부의 보안 투자액은 500억 원 정도로 책정되었다고 추가 설명했다. ‘보안’이라는 항목만을 위해 예산이 책정된 것은 처음 있는 일이었다. 그러므로 이 500억 원이라는 돈의 사용처에 대한 관심도 높았다. 당시 김남석 본부장은 “전자정부 지원 사업 31대 과제 중 주요 대민 서비스에 대한 취약점 분석 및 보안 수준 측정을 통해 맞춤형으로 보안을 강화할 예정”이라고 설명했다. 중요 문서의 전자적 유통 시 암호화 처리, ‘온나라 시스템(On-Nara System)’으로 생산 및 유통되는 문서의 유출 및 위변조 방지를 위한 DRM(디지털 저작권 관리) 장치 설치, 행정기관 내부 업무 처리의 보안성 강화를 위한 원격 업무 처리 기능 보강, 행정 정보 공유에 필요한 보안 장치 설치 등에 우선적인 투자를 이룰 것이라는 내용도 덧붙였다. 이처럼 보안 강화는 전자정부가 정한 2007년 역점사업 중 하나였다. 이 가운데서도 행정정보 공유 최대 이슈는 개인정보보호였다. 개인정보를 보호하는 차원으로 국민의 사전 동의를 얻은 정보만 공동 이용할 수 있도록 했다. 또한, 국민의 자기정보 결정권을 보장하기 위해 G4C 홈페이지를 통하여 언제든지 본인 정보의 공동이용 내역에 대해 열람 내역을 확인 및 청구할 수 있도록 한 것이다. 더불어 정부는 객관성을 높이기 위해서 개인정보 침해 우려가 있을 경우 행정자치부장관이 행정정보공동이용위원회 심의를 거쳐 공동 이용의 승인을 철회하거나 중단시킬 수 있도록 했다. 기술적으로는 전 유통 과정의 암호화, 행정 전자서명 등 전자적 인증 체계 및 권한 관리 강화, 공동 이용 행정 정보 출력 및 저장의 금지, 로그 정보 관리 및 분석을 통한 사후 추적, 장기 검증이 적용된 증적관리를 통한 이용 기관에 개인정보 저장 불가 등을 도입했다. 행정정보의 오용 및 남용에 대한 방지에 대한 대책도 세웠다. 개인별·기관별 오용 및 남용 방지 모니터링을 통하여 벌점 체계를 적용하는 등 상시 감시를 수행하고 제도적으로 오남용 발생 시에 형사처분을 하게 한 것이다. [이미지=iclickart] 행정정보 공유에 있어 2007년 최대 이슈는 개인정보보호 외부 해킹 가능성도 빼놓을 수 없는 위협 요소였다. 추진단은 행정정보공동이용시스템을 사용하는 사용자의 PC 단말기에 단말기 해킹 툴 차단 프로그램과 키보드 보안 프로그램을 자동으로 설치하고 작동하도록 함으로써 PC에 대한 해킹 방지를 실시했다. 또한, 침입차단 시스템(방화벽), 침입방지 시스템으로 외부 공격을 최대한 사전 방지코자 했고, 민원 처리 담당자 PC에서부터 공유센터와 제공 기관까지의 모든 로그를 관리하는 로그 모니터링을 수행하기 시작했다. 동시에 내부자 위협에 대해서도 손봤다. 행정정보공동이용시스템에 대한 접근통제를 강화한 것이다. 행정정보공동이용시스템을 운영 및 관리하는 관리자들이라도 서버 보안 시스템을 통해 사용 권한을 통제했으며, 통합보안관제 모니터링 시스템을 통해 내부자의 행정정보공동이용시스템에 대한 불법적인 접근 및 사용에 대해서도 모니터링을 수행했다. 또한, 증적관리시스템 등에 저장되는 행정정보는 허가된 사용자만이 열람이 가능하도록 인증서 기반의 암호화를 적용했고, 허가되지 않은 사용자는 행정정보를 획득하더라도 복호화가 불가능하여 열람할 수 없게 해두었다. 동시에 행정정보공동이용시스템의 보안 수준을 항상 최고로 유지하기 위해 주기적인 업데이트, 취약점 점검, 보안정책 점검·보완을 해나갈 계획도 수립했다. 2007년 전자정부 서비스 10대 보안대책 발표 이에 그치지 않고 정부는 2007년 10월, 전자정부 보안 전담조직을 보강하고 보안 예산을 2012년까지 예산 대비 9% 수준인 연간 3000억 원까지 확충하기로 했다. 그리고 매년 501개 주요 전자정부 서비스의 보안수준 실태를 조사해 문제점을 개선해 나갈 방침이라고 발표했다. 상대적으로 보안이 열악한 16개 시·도 지방자치단체에 전자정부 보안관제센터를 설치하고 최신 보안 신기술을 적용한 사용자 인증 및 접근통제 시스템을 강화한다는 내용도 포함되어 있었다. 웹 방화벽 설치와 전자정부 보안 인프라 확충도 정부의 보안 강화 계획안에 포함되어 있었다. 이 외에도 정보의 오남용과 유출 방지를 위해 전자정부 담당 공무원을 최소화하고 정보 이용자의 정보 열람 접근 권한 심사를 강화했다. 공무원 개인 PC에는 국가의 주요 정보 보관을 금지시키고, 주요 정책 보고와 의사 결정이 끝난 문서는 ‘온나라 PBS’ 등 행정기관 내부 서버에 보관하기로 했다. 2007년 전자정부 서비스 10대 보안 대책도 발표됐는데, 그 내용은 다음과 같다. 1. 전자정부 대민 서비스 보안 추진 체계 강화 2. 전자정부 보안 인식 제고 및 감독 강화 3. 전자정부 서비스 접근 권한 부여 체계 근본적 개선 4. 전자정부 보안 관제 기능 강화 5. 개인 PC 보관 정보 보호 대책 강화 6. 전자정부 서비스에 필수 보안 안전 장치 도입 7. 보안 신기술 적용 확대 8. 주요 전자정부 서비스 보안 컨설팅 확대 9. 전자정부 서비스 정보 보호 수준 제고 10. 전자정부 서비스 보안 수준 조사 이런 노력을 바탕으로 한국의 전자정부는 당시 UN 평가에서 5위, 앞서 말한 것처럼 브라운대학 평가에서는 2년 연속 1위를 차지하며 세계의 주목을 받았다. 정보보호 시장, 통합보안 솔루션 UTM ‘부상’ 정보보호 산업 측면에서는 방화벽과 안티바이러스, 침입탐지, 침입방지 네트워크 접근제어(NAC) 등의 보안 기능을 하나로 제공하는 통합보안솔루션 UTM의 부상과 시장의 확대가 해외와 국내 보안시장에서 큰 화두가 됐다. 또한, 기업 내부의 보안 강화를 위한 네트워크 접근제어(NAC) 솔루션은 사용자 PC가 올바른 사용자인지, 내부 보안정책을 준수했는지 여부를 먼저 검사해 네트워크 접속을 미리 통제하는 보안기술로 네트워크 방어의 핵심 솔루션으로 떠올랐다. 보안위협 측면에서는 2007년 웹상에서 금전적 이득을 노린 악성코드, 프로그램이 기승을 부렸다. 특히 정보유출 위협과 백도어(backdoor) 위협이 가장 심각한 문제로 대두됐다. 그리고 국제 피싱 대응 협의체인 안티피싱 워킹그룹(APWG: Anti-Phishing Working Group)의 조사결과 우리나라의 피싱 사이트가 전 세계 피싱 사이트의 14.88%를 차지하고 있는 것으로 밝혀져 우리나라가 세계에서 피싱 사이트가 3번째로 많은 국가라는 결과도 나왔다. 생체인식 분야, 거부감 조금씩 사라지면서 시장 ‘청신호’ 기존 정보보호산업과 물리보안산업을 모두 아우를 수 있는 분야가 바로 생체인식 분야다. 2007년은 니트젠 배영훈 대표가 협회 회장을 맡으면서 생체인식 업계가 정보보호 분야의 중요한 한축을 담당하게 됐다. 2007년 생체인식 업계는 지문인식을 비롯한 시장이 크게 확대되는 추세였다. 그간 꼬리표처럼 따라다녔던 수출 비중이 비정상적으로 높다는 지적도 국내 시장이 조금씩 활성화됨에 따라 수출과 내수 비중 차가 최소 7:3에서 6:4 수준으로 조정되는 단계에 이르렀다. 이는 생체인식 분야의 큰 획을 그을 수 있는 전자여권 사업이나 출입국 사업과 같은 국가적 대형사업들이 시행되면서 나타난 현상이었다. 특히, 그간 업계의 발목을 잡아왔던 생체정보에 대한 국민들의 거부감이 조금씩 사라지면서 생체인식 업계에 청신호가 켜졌기 때문이다. 이와 함게 슈프리마와 유니온커뮤니티 등으로 대표되는 선두권 생체인식업체들이 국내외에서 치열한 경쟁을 펼치면서 시장 확대를 견인했다. ▲KISIA는 제11차 정기총회를 개최하고, 제8대 회장에 배영훈 대표를 선출했다[사진=KISIA] KISIA, 생체인식 업체에서 회장 배출...협회의 활동반경을 넓히다 협회는 2007년 2월, 제11차 정기총회를 개최하고 제8대 회장에 배영훈 니트젠 대표를 선출했다. 배영훈 대표의 회장 선임은 이례적으로 생체인식 업체에서 배출된 것이어서 업계의 큰 관심을 끌었다. 배영훈 회장은 “정보보호가 이젠 모든 기업과 제품에 적용될 정도로 중요한 위치를 점하게 됐다”며 “산·학·관간 다양한 대화채널을 마련해 산업계가 성장하고 아울러 정보보호 강국으로 자리매김할 수 있도록 노력하겠다”고 취임 일성을 밝혔다. 80여개사의 회원사가 참석한 가운데 열린 제11차 정기총회에서는 지난해 사업실적 및 결산과 올해 사업계획 및 예산 승인, 정관 개정 및 신규 임원진 선임이 이뤄졌다. 협회는 산업계 위상 강화를 위해 임원사를 확대, 임원을 기존 30인에서 40인으로 확대하고 수석부회장사도 1개사를 추가해 2개사로 변경했다. 수석부회장사는 이글루시큐리티와 닉스테크(현 한류AI센터)가 선임됐다. 또한, 2007년 총회에서는 정보보호산업 발전 공로자에 대한 시상식이 열려 노봉남 교수(전남대), 김학일 교수(인하대), 임종인 교수(고려대)가 공로상을 수상했다. 이와 함께 협회에서는 서울시 정보보호 담당자들을 초청한 세미나를 개최했으며, 제1회 정보보호 인력채용 박람회를 주관하기도 했다. 이외에도 제3회 사이버안전의 날 정보보호 제품 전시회, IT839 정보보호 연구성과물 전시회, 국방정보보호 컨퍼런스 및 첨단제품 설명회, 2007 정보보호 심포지움 정보보호 제품 홍보관, 금융정보보호 컨퍼런스 정보보호제품 전시회 등에 참여해서 회원사들의 공동 마케팅 활동을 지원했다. [KISIA 역대회장 인터뷰] 배영훈 제8대 회장(현 아이브스 대표) 회장 재임기간 중 가장 큰 화두가 됐던 보안이슈는 지문인식·얼굴인식 등 생체인식기술의 적용이 과연 인권침해인가 하는 여부에 대한 사회적 이슈가 있었습니다. 여러 시민단체의 항의에 대해 협회 차원의 대응이 요구됐고, 특히 당시 정부의 전자여권사업 시행과 맞물려 큰 이슈가 된 것 같습니다. 회장 재임 당시 정보보호산업 발전을 위해 가장 중점적으로 추진했던 사업은 당시 협회 산하는 인터넷 보안 분야와 물리보안 분야로 나누어져 있었는데, 저는 물리적 보안산업 분야를 대표하면서 당시 국가적 사업이었던 전자여권 발급사업의 국회 본회의 통과를 위해 정부와 같이 함께 노력해성사시킨 것을 꼽고 싶습니다. 또한, 당시 생체인식산업이 인권침해 여부로 크게 고통을 받고 있었는데, 제가 회장으로서 헌법재판소와 국가인권위원회가 생체인식이 인권침해가 아니라는 결론을 이끌어내도록 함으로써 생체인식산업 발전에 큰 초석을 쌓았다고 생각합니다. 당시 가장 기억에 남는 에피소드와 함께 힘들었던 점을 꼽아주신다면 당시 협회 회원사 중의 90% 이상이 인터넷 보안 업체였고, 저는 유일하게 물리적 보안 업계의 대표로서 회장직을 맡은 관계로 인터넷 보안업계의 이슈사항을 해결하는 것이 쉬운 일이 아니었습니다. 다행히 인터넷 보안 업체 회장단들과 깊은 유대관계가 있어 이 분들의 적극적인 도움으로 하나하나 소통해가며 보안업계 이슈사항을 해결해 나갔던 것 같습니다. 가장 기억에 남는 에피소드는 연말 정통부가 주관한 ‘정보통신의 날’ 행사 중 업계 공로자 수상 시에 우리 협회보다 더 큰 규모의 협회를 제치고 정통부 장관상 바로 다음에 한국정보보호산업협회(KISA) 회장상을 수여해서 협회의 위상을 느꼈던 일이 기억에 남습니다. 재임 당시에 가장 크게 주목받았던 보안기술이나 솔루션은 당시에도 해킹이 성행한 때인지라 ISD 기술과 바이러스 퇴치 기술이 각광을 받았고, 사내 기밀문서의 외부 유출을 막기 위한 PC 보안, 그리고 DRM 등 문서보안 기술이 점점 주목을 받기 시작한 때였던 것 같습니다. 또한, 물리적 보안 분야에서는 지문 및 정맥인식을 이용한 출입통제, 지문인식 마우스 등의 제품 시장이 성숙되기 시작했고, 얼굴인식 기술 등에도 많은 연구가 진행되기 시작했으나 당시만 해도 정확도가 떨어져 상용화하는 데 어려움이 있었습니다. 당시에 공공기관이나 기업들의 보안인식 수준은 어땠는지 당시 공공기관과 기업들의 보안인식 수준은 현재에 비해선 현저히 낮았다고 생각합니다. 당시에도 심심치 않게 해킹에 의한 피해상황이 언론에 보도되고 있었지만 국가적인 정책이나 제도가 정보보안 강화 차원에서는 충분히 뒷받침해주지는 못했던 것으로 봅니다. 특히, 물리적 보안 분야의 경우 인권침해 문제와 결부되어 상당기간 업체가 많은 고통을 받았습니다. 다행히 생체인식에 대한 사회적 공감대가 이루어지면서 사람의 인증방법에 있어 생체인식이 가장 편리한 기술이라는 것이 보편화되기 시작됐습니다. *해당 기사의 저작권은 한국정보보호산업협회(KISIA)에 있습니다. [문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|