정보 보안 실무 07-1 정보보호 관리 체계의 올바른 이해

정보 보안 실무 07-1 정보보호 관리 체계의 올바른 이해

침해 사고와 정보보호 관리의 필요성

1. 사이버 테러에 의한 피해의 증가

침해사고와 정보보호 관리의 필요성

나날이 발생하고 있는 사이버 공격으로 인해 다양한 피해가 야기되고 있습니다. 이러한 사이버 공격은 그 규모와 방법도 매우 다양합니다.

사이버 공격 기법이 어떻게 발전했는지 살펴보면, 초보 해커들에 의한 일반적인 사이버 공격에서부터 전문적인 해커, 그리고 전략적 정보 전쟁이라 불리는 사이버 테러까지, 사이버 공격 기법은 지능화되고, 복잡화되어 발전하고 있습니다. 자세한 발전 현황에 대해서 살펴보겠습니다.

사이버 공격은 단순 호기심에서 금품의 갈취, 사회혼란과 핵티비즘을 위한 공격으로 발전하고 있으며 은밀하게 공격하기 때문에 파급효과와 피해는 더욱 증가하고 있습니다. 또한 악성코드와 사회공학 기법 등을 복합적으로 사용한다는 점이 특징이라고 할 수 있습니다.

침해 형태는 점점 고도화 되어가고 있는 추세이며, 지능형 지속 공격으로 기업 대상 뚜렷한 목적을 가지고 해킹을 하는 침해 사고가 발생하여 피해가 증가하고 있습니다. 그 외에도 DDoS 공격은 지속적으로 발생하고 있고 공공 기관을 사칭한 피싱 사이트 증가, 인기 키워드, 사회 이슈 등을 악용한 악성 코드 유포 증가 등으로 인해 점점 사이버 테러 위험이 증가하고 있는 추세입니다.

2. 주요 사이버 테러 사건들

주요 사이버 테러들을 분석해 보면 지능형 지속공격으로 기업대상 침해사고가 발생하였고, DDoS 공격은 지속적으로 발생한 반면 공격 목적은 금품 갈취에서 사회 혼란을 야기하는 것이나 정치적 목적 등으로 다변화 된 점을 확인할 수 있습니다. 또한 공공기관을 사칭한 피싱 사이트가 증가하였고, 인기 키워드나 사회이슈 등을 악용한 악성코드 유포가 여전히 기승을 부리고 있습니다.

이 침해사고는 농협 전산망 해킹 및 게임사 등 특정기업을 대상으로 뚜렷한 목적을 가지고 해킹한 사건입니다.

DDoS 공격은 금품갈취 목적으로 시작하여 현재는 사회혼란 야기 및 정치적 목적 등으로 지속적으로 발생하고 있으며, 공격목적은 다양하게 변화하고 있습니다.

피싱은 초기에는 금융, 게임, 포털 사이트 등을 사칭하였으나 점차 검찰청, 경찰청, 금감원 등의 공공기관을 사칭하는 것으로 증가했습니다.

그리고 최근에는 A양 동영상, 세월호 사고 등 인기 키워드 및 사회이슈 등을 악용한 악성코드 유포도 증가하고 있습니다.

3. 사이버 공격

대표적인 사이버 공격의 유형은 조직의 취약점을 이용한 공격, 특정 기업 목표의 사이버 공격, 급증하는 모바일 서비스 공격이 대표적인 사이버 공격이라고 할 수 있습니다.

조직의 취약점을 이용한 공격의 경우,금융기관을 대상으로 내부망 접근이 가능한 직원의 노트북에 악 성코드를 감염시켜 오랜 기간 동안 모니터링을 수행해왔습니다. 이후 내부망에 접근한 뒤 서버의 중요 정보를 삭제하고, 기능을 마비시켰습니다.

그 다음 특정 기업 목표의 사이버 공격의 경우, 방송, 금융 등 6개사를 공격한 3월 20일 사고에서는 무려 48,700여 대의 PC와 서버, ATM이 손상되어 정상적인 서비스에 어려움을 겪었는데요. 사고 발생 1주일 후에야 시스템 복구가 완료될 수 있었습니다.

그리고 모바일 서비스 공격은 유명 메신저 PC용 버전을 위장한 피싱 사이트가 등장해 고객들이 혼란을 느끼며, 실제 경제적 피해를 당한 경우가 있었습니다.

4. 정보보호 환경 변화

이번에는 정보보호 환경변화에 대해 살펴보겠습니다. 1990년 인터넷뱅킹을 시작으로 2000년에는 모바일뱅킹의 도입, 2010년

오픈뱅킹, 2011년 클라우드 서비스가 시작되었고, 2002년 무선 인터넷 사용 서비스 실시, 그리고 2011년에는 4세대 통신망인LTE가 등장하고, 2014년에는 구글글래스가 출시되는 등 우리는 끊임없는 IT 발전사 속에 많은 편의를 누리고 있습니다.

하지만 IT 발전이 우리 생활에 편리함을 주고 있는 만큼 위험도가 높아지는 양면성을 가지고 있다는 점을 기억해야 합니다.

바이러스와 웜, 해킹, 피싱, 스팸 메일, 스파이 웨어 나아가 DDoS, 그리고 개인정보 유출까지 진화된 정보보호 환경 변화 속에서 우리는 보안 위협에 대한 경각심을 아무리 강조해도 모자라지 않습니다.

5. 정보보호 관리 필요성

다양한 보안 사고를 예방하기 위해서는 정보보호에 대한 철저한 관리가 필요한데요. 다음 4가지 사항에 대해

첫째, 기업은 회사 비밀의 보호를 위해 거버넌스 강화 측면에 주목해야 하는데요.

이때, ‘영업비밀보호법’으로부터 보호받기 위한 회사의 보안관리 노력이 강구됩니다. 법률상 용어는 상당한 노력에 의하여 비밀로 유지한다고 정의하고 있고,양벌규정에 대한 예외 사항도 있습니다.

둘째, ‘정보통신서비스제공자는 정보통신망법’의 의무를 충실히 이행해야 하며, 준용사업자, 금융, 교육, 의료, 공공 부문 등의 모든 개인정보를 취급하는 경우에는 ‘개인정보보호법’을 지켜야 합니다.

셋째, ‘정보통신망법’ 시행에 따라 정보보호 안전진단제도가 폐지되고 ISMS인증제도가 의무화되었습니다.  

마지막으로 상당한 노력을 법적으로 인정받기 위해 보안관리 증적이 필요한데, 법적 준거성과 증적을 확보하기 위해서는 보안관리 업무프로세스 정립이 필수라고 할 수 있겠습니다.