주요정보통신기반시설 취약점 분석·평가

이번 포스팅에서는 주요정보통신기반시설 취약점 분석·평가에 대해 알아보겠습니다.

 

 

주요정보통신기반시설이란?

주요정보통신기반시설은 정보통신기반 보호법 제2조에 정의되어 있는데, 국가의 안전과 국민 생활의 안정을 보장하기 위해 국가에서 지정하여 관리하는 시설을 말합니다.

제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다. <개정 2007. 12. 21., 2020. 6. 9.> 1. “정보통신기반시설”이라 함은 국가안전보장ㆍ행정ㆍ국방ㆍ치안ㆍ금융ㆍ통신ㆍ운송ㆍ에너지 등의 업무와 관련된 전자적 제어ㆍ관리시스템 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망을 말한다.

국가의 중요한 정보통신기반시설이 전자적 침해행위(해킹 등)로 인해 무너질 경우 국가의 안전을 보장할 수 없기 때문에 해당 시설을 법적으로 지정하고 있다고 보시면 되겠습니다.

 

 

주요정보통신기반시설의 관리기관과 중앙행정기관

여기서 용어를 몇개 알고 취약점 분석·평가에 대해 알아보겠습니다.

- 관리기관: 주요정보통신기반시설을 관리하는 기관

- 중앙행정기관: 주요정보통신기반시설을 관할하는 중앙행정기관

 

관리기관과 중앙행정기관이라는 표현 다소 어렵게 느껴질 수 있는데요. 정보통신기반시설보호(ISAC) 홈페이지에서 주요정보통신기반시설 보호 추진체계를 도식화한 것을 보면 조금 더 쉽게 이해되실겁니다.

https://www.isac.or.kr/sub/01/protection

정보통신기반시설보호

ISAC - 주요정보통신기반시설 보호 추진체계

중앙행정기관은 좌측 각 관계부처를 의미하는 것을 볼 수 있는데 과기부, 행안부, 국토교통부 등이 이에 속하는 것을 알 수 있습니다. 그렇다면 관리기관은 어디일까요?

 

관리기관은 중앙행정기관 산하에 있는 기관을 의미합니다. 국가법령정보센터로 들어가 정보통신기반보호법의 법령체계도를 살펴보면 중앙행정기관의 고시들을 확인할 수 있는데요. 그 중에 행정안전부 소관 주요정보통신기반시설 고시를 살펴보겠습니다.

정보통신기반 보호법 법령체계도 - 행정안전부 소관 주요정보통신기반시설 신규 지정 고시

 

고시 내에 행정안전부 소관 주요정보통신기반시설 리스트를 확인하실 수 있습니다. 즉, 행정자치부 산하 공공아이핀시스템, 통합지방세시스템, 행정전자서명인증시스템 등이 행정자치부 관리기관이 관리하는 주요정보통신기반시설이라는 것을 알 수 있고, 대전광역시·남양주시 · 오산시의 U-City통합운영시스템이 주요정보통신기반시설임(이하 생략)을 알 수 있습니다. 

 

행정안전부 소관 주요정보통신기반시설 신규 지정 - 고시

 

위와같이 주요정보통신기반시설과 관리기관, 중앙행정기관에 대한 정의를 잘 정리해두시면 추후에 많은 도움이 될 것이니 가볍게만 읽어보시지 마시고 꼭 국가법령정보센터로 들어가 확인해보시는 것을 추천드립니다.

 

 

주요정보통신기반시설 취약점 분석·평가란?

그렇다면 주요정보통신기반시설 취약점 분석·평가는 무엇일까요? 법적인 근거를 먼저 살펴보겠습니다. 정보통신기반 보호법 제9조를 보면 주요정보통신기반시설로 지정된 경우 정기적(매년)으로 취약점 분석평가를 수행하여야 한다고 명시하고 있습니다.

제9조(취약점의 분석ㆍ평가) ①관리기관의 장은 대통령령으로 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하여야 한다. <개정 2020. 6. 9.> ② 중앙행정기관의 장은 다음 각 호의 어느 하나에 해당하는 경우 해당 관리기관의 장에게 주요정보통신기반시설의 취약점을 분석ㆍ평가하도록 명령할 수 있다. <신설 2019. 12. 10.> 1. 새로운 형태의 전자적 침해행위로부터 주요정보통신기반시설을 보호하기 위하여 필요한 경우 2. 주요정보통신기반시설에 중대한 변화가 발생하여 별도의 취약점 분석ㆍ평가가 필요한 경우 ③관리기관의 장은 제1항 또는 제2항에 따라 취약점을 분석ㆍ평가하고자 하는 경우에는 대통령령이 정하는 바에 따라 취약점을 분석ㆍ평가하는 전담반을 구성하여야 한다. <개정 2019. 12. 10.> ④관리기관의 장은 제1항 또는 제2항에 따라 취약점을 분석ㆍ평가하고자 하는 경우에는 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하게 할 수 있다. 다만, 이 경우 제3항에 따른 전담반을 구성하지 아니할 수 있다. <개정 2002. 12. 18., 2007. 12. 21., 2009. 5. 22., 2013. 3. 23., 2015. 6. 22., 2019. 12. 10.> 1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조의 규정에 의한 한국인터넷진흥원(이하 “인터넷진흥원”이라 한다) 2. 제16조의 규정에 의한 정보공유ㆍ분석센터(대통령령이 정하는 기준을 충족하는 정보공유ㆍ분석센터에 한한다) 3. 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 정보보호 전문서비스 기업 4. 「정부출연연구기관 등의 설립ㆍ운영 및 육성에 관한 법률」 제8조의 규정에 의한 한국전자통신연구원 ⑤과학기술정보통신부장관은 관계중앙행정기관의 장 및 국가정보원장과 협의하여 제1항 및 제2항에 따른 취약점 분석ㆍ평가에 관한 기준을 정하고 이를 관계중앙행정기관의 장에게 통보하여야 한다. <개정 2008. 2. 29., 2013. 3. 23., 2017. 7. 26., 2019. 12. 10.> ⑥주요정보통신기반시설의 취약점 분석ㆍ평가의 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. <개정 2019. 12. 10.>

또한, 취약점 분석평가 시 전담반을 구성하여야 하고 그렇지 않을 경우 한국인터넷진흥원, 정보공유·분석센터, 정보보호 전문서비스 기업, 한국전자통신연구원 중 한 곳에 해당하는 기관을 통해 취약점 분석평가를 수행하여야 한다고 명시하고 있습니다. 앞전 포스팅을 통해 정보보호 전문서비스 기업을 알아보았는데, 정보통신기반 보호법에서도 해당 기업을 명시하고 있음이 확인됩니다. 법으로 정해져있으니 당연히 중요한 기업임을 다시한번 확인할 수 있습니다.

 

추가로 정보통신기반 보호법 제9조 제5항과 제6항을 보면 과기부에서 취약점 분석평가에 관한 기준을 정하고 대통령령으로 방법 및 절차를 정한다고 명시되어 있습니다. 제5항의 기준을 클릭하면, 아래와 같이 과기부가 고시하고 있는 주요정보통신기반시설 취약점 분석·평가 기준을 확인하실 수 있습니다.

과기부 고시 - 주요정보통신기반시설 취약점 분석·평가 기준

해당 고시를 보면 취약점 분석평가의 전체적인 개요와 법적인 근거를 한번 더 확인하실 수 있고, 아래 3호 및 4호에서 취약점 분석평가의 범위 및 항목과 수행 절차에 대해서도 확인하실 수 있습니다. 보안 업무를 하실 분들께서는 범위(물리적/관리적/기술적 분야)나 평가항목의 중요도를 많이 보셨을 겁니다. 다만, 이렇게 고시를 직접 찾아서 보는 경우가 드물기 때문에 한번 쯤은 이렇게 고시를 직접 찾아서 살펴보는 것이 기억에 더 오래남고 업무에도 많은 도움이 될 것입니다. 꼭 한번 직접 찾아보시길 권해드립니다.

 

취약점 분석평가 범위 및 항목 / 수행 절차

마지막으로 중요도 상, 중, 하 항목이 있는 붙임 문서를 살펴보면 그 동안 취약점 분석평가 시 점검했던 기술적 취약점 항목들을 보실 수 있을겁니다. 조금 더 구체적으로 살펴보니 이제까지 그냥 알고만 넘어갔던 기준이 조금 더 명확하게 이해되지 않으신가요?

취약점 분석평가 기준 상, 중, 하 항목

 

다시 한번 강조하지만, 정보통신기반 보호법을 직접 한번 보시길 권해드립니다.

 

 

주요정보통신기반시설 취약점 분석·평가 사업 공고

사업 공고도 살펴봅시다. 조달청 나라장터 홈페이지에서 주요정보통신기반시설 사업을 찾을 수 있는데요.

https://www.g2b.go.kr/

https://www.g2b.go.kr/

나라장터 - 주요정보통신기반시설 검색

 

"주요정보통신기반시설"로 검색하면 취약점 분석평가 사업이 나오는 것을 알 수 있습니다. 해당 사이트에서 입찰이 진행되며, 정보보호 전문서비스 기업들이 경쟁하여 수주하는 형식이니 해당 사이트도 한번쯤은 확인해보시는 것을 권해드립니다.

 

 

주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

위에서 주요정보통신기반시설 취약점 분석평가와 기준에 대해 알아보았습니다. 취약점 점검 기준은 과기부 고시를 통해 정해진 것을 위에서 보았는데요. 해당 점검 기준의 상세 평가방법에 대해서는 KISA(한국인터넷진흥원)에서 상세가이드로 작성하여 배포하고 있습니다. 과기부에서 KISA에게 위탁하여 상세가이드를 만들었다는 것도 알아두시면 좋겠습니다.

KISA - 주요정보통신기반시설 기술적 취약점 분석평가 방법 상세가이드

 

보안 업계에서 일하고 계신 분들께서는 해당 가이드 통해서 공부도 하고 취약점 분석평가로 실제로 하셨을 겁니다. 이제껏 왜 이 가이드만 참고했는지 돌아보는 계기가 되었으면 합니다.

 

 

하고 싶은 말

보안 업계에 있으면서 주요정보통신기반시설이 무엇인지, 취약점 분석평가는 무슨 근거로 하는지에 대해 모르는 경우가 많습니다. 실제로 정보보호 전문서비스 기업의 PM(Project Manager) 분들도 모르는 경우가 많습니다. 때문에 PM 밑에서 일하는 PL(Project Leader), 수행원들도 단순히 취약점 점검만 하는 경우가 대부분입니다.

 

물론 법적근거 필요없이 취약점 점검 업무만 수행하여도 무방하긴 합니다만, 우리가 왜 이 업무를 해야하는지에 대해 고민을 하는 사람과 안 하는 사람의 차이는 클 것으로 생각합니다.

 

갈수록 정보보호 전문서비스 기업 내 전문인력 수준이 떨어지고 있고, 교육체계도 부실한 것을 보면 현업에서 일하면서도 안타까운 생각이 많이 드는 편입니다. 

 

보안 업계가 이런 부분을 조금 더 챙겨서 분발해줬으면 하는 바램입니다. 보안 업계의 수준은 우리가 어느정도 하냐에 따라 크게 달라질 것이기 때문입니다. 업계 밖에서도 바라보는 시선도 마찬가지지 않을까요?