홍보
행안부, 지자체 망분리 확대 추진시 시큐어코딩 의무화
- 작성일2019/07/16 23:04
- 조회 3,285
행안부, 지자체 망분리 확대 추진시 시큐어코딩 의무화
ICIS서 정보보호 정책 추진 방향 소개
김윤희 기자 입력: 2019/07/10 17:30 컴퓨팅
정부가 지방자치단체 정보시스템의 보안성을 강화하기 위해 망 분리 조치 확대를 추진한다.
신승인 행정안전부 정보기반보호정책과장은 10일 서울 잠실 롯데호텔월드에서 열린 국제 정보보호 컨퍼런스(ICIS)에서 '행정분야 정보보호 정책추진 방향'을 주제로 발표하면서 지방자치단체의 정보보호 강화 관련 기술적 대책의 일환으로 해당 계획을 소개했다.
지자체는 상대적으로 중앙 정부에 비해 정보보호에 대한 관심도가 낮고, 기관 내부 전문 인력과 투자가 부족한 편이다. 이 때문에 보안 수준 하락이 촉발되고 있다는 설명이다. 인프라 영역에서는 이같은 보안 강화 조치를 시행한다는 것.
신 과장에 따르면 논의 과정에서 클라우드 기반의 서버 기반 컴퓨팅(SBC)으로 망 분리 환경을 구축하는 방안도 제시되고 있다. 전국에 분산돼 있는 지자체 정보 시스템 장비를 각 광역시 전산실에 모아 관리하고, 지방재정관리시스템 등의 정부 서비스를 인터넷으로 내려받는 것이다. 이는 우정사업본부도 채택한 방식이다.
정부는 그 외 지방의 정보보호를 지원하는 한국지역정보개발원의 인력 보강과 관리 강화 차원의 정보보안 감사 실시 등 지자체 시스템의 구조 개편도 보안 강화 대책으로 고려 중이다.
■전자정부서비스 SW 개발보안 의무화 추진
신 과장은 이날 발표에서 행안부가 현재 추진 중인 정보보안 강화 정책과 현황도 언급했다. 발표에 따르면 정부는 전자정부 서비스에 SW 개발보안(시큐어코딩) 도입을 활성화할 방침이다. SW 개발보안은 SW 개발 초기 단계부터 보안 위협을 최소화하는 방식이다.
우선 전자정부법 개정안에 SW 개발보안 도입을 명시해 법적 근거를 확보할 계획이다.
적용 범위 확대도 검토한다. 의무 범위를 기존 5억원 이상 규모의 감리대상 사업에서 5억원 미만의 정보화사업 전체로 변경하는 것이 골자다.
SW 개발보안 이행 점검 체계도 만든다. 정보시스템 구축·운영 지침, 전자정부법 시행령 등에 이행점검 근거를 확보한 뒤 점검 기준을 마련, 시행에 들어갈 예정이다.
보안 취약점을 효과적으로 진단하기 위해 데이터셋을 구축하고, 알고리즘 연구 결과를 적용해 보안 취약점 탐지 정확도를 10% 이상 향상시킨다는 계획도 세웠다.
■실무자 의견 수렴 거쳐 정보 시스템 등급별 보안 가이드 개정
재정적, 자원적 투자 여력이 한정돼 있는 만큼, 정부는 정보 시스템에 등급을 나누고 보안 관리를 차별화해 효율성 향상을 추구해왔다.
정부는 지난 2017년 정보 시스템 등급별 보안관리 가이드라인을 개발했다. 이후 지난해 3월에는 정보시스템 등급제 적용 근거를 행정안전부 고시인 '정보시스템 구축·운영 지침'에 담았다. 등급제에 대한 근거 조항을 신설하고, 적용을 의무화하는 내용을 담은 전자정부법 개정안이 국회 행정안전위원회에서 심의를 앞둔 상황이다.
정부는 법제 통과, 시행에 앞서 등급별 보안관리 가이드 등을 개정해 배포할 계획이다. 등급분류 기준과 등급별 보안관리 기준 등 관련 가이드 배포는 이달부터 세 달간, 관련 가이드 현장 업무 담당자 의견수렴을 통한 가이드 정비, 개정은 다음달부터 5개월간을 시행 기간으로 잡았다.
광역 지자체의 전체 정보시스템에 대한 등급제 적용도 확산한다. 지난해까지 10대 광역시도에 등급제 적용 컨설팅을 제공한 데이어 올해는 이달부터 세 달간 7개 광역시도에 추가로 컨설팅을 제공한다.
아울러 중앙·지자체 정보보호·시스템 운영 담당자를 대상으로 설명회와 교육 실시 계획도 수립했다.