제2금융권, 정보통신기반시설로 지정

정부, ‘정보통신기반시설 정보보호 강화방안’ 추진

[아시아경제 배경환 기자] 제2금융기관 가운데 보험, 증권, 신용카드사 등이 주요 정보통신기반시설로 신규 지정된다. 또한 금융, 행정, 안보 등 정보통신기반시설의 협력업체 직원들은 ‘시스템관리자 권한’을 부여받지 못한다. 특히 주요 명령어 입력시에는 사전 승인을 받아야하며 시스템 변경시에는 내부직원과 공동작업해야한다.

28일 행정안전부는 농협 전산장애와 같은 대형 보안사고를 방지하기 위해 이같은 내용을 담은 ‘정보통신기반시설 정보보호 강화방안’을 마련했다고 밝혔다.

우선 정부는 정보관련 예산의 6%(3100억) 수준인 정보보호 분야 예산을 선진국 수준인 9~10% 수준으로 끌어올리기로 했다. 이를 위해 정보보호 투자비율 등에 관한 지침을 마련하고 경영평가에 인력·예산 수준을 반영할 계획이다. 행정기관부터 개인정보 암호화, 신종 DDos 대응장비 분야에 집중 투자가 이뤄져 정보보호 예산은 9%까지 확대된다.

정보보호책임자(CSO)는 관련 업무에만 전담하도록 규정이 바뀐다. 또한 정보보호 담당자의 교육 의무화와 관련 현안 공유 및 토론 정례화가 추진된다. 전문인력을 양성하기 위해 정부·공공기관 담당자를 대상으로한 정보보호 석사과정도 신규 개설된다. 이는 고용연계형 석사과정 프로그램으로 확대된다. 행안부는 이와 함께 취약점분석사, 보안관제사 등 분야별 전문자격증을 신설해 전문성을 높이기로 했다.

기반시설에 대한 침해 예방 및 복구체계도 강화된다. 사이버침해 요인을 감안한 취약점 분석 및 평가기준은 5월까지 마련되며 정보보호 대책 이행여부 확인도 실시된다. 아울러 재난이나 사이버공격에 대비한 원격지백업시스템 구축 확대와 연 1회 이상 백업 모의훈련도 의무화된다.

특히 협력업체 직원에 대한 관리·감독이 강화된다. 협력업체 직원에 대한 시스템관리자(root) 권한 부여가 금지되는 등 관련 보안관리 지침은 7월까지 마련된다. 지침에는 주요 명령어 입력시 사전 승인, 운영PC 인터넷(유·무선) 연결 금지, 시스템 변경 작업시 내부직원과 공동 실시 등의 내용이 담겨있다. 아울러 서버 접속시에는 공인인증서 등 보안성이 강화된 인증수단을 사용해야한다.

제2금융기관 중 보험·증권·신용카드사 등을 신규 주요정보통신기반시설로 지정하기로 했다. 이외 유통, 물류, 석유·화학 분야는 정보시스템과 제어시설에 대한 실태조사를 실시한다. 정보통신기반보호법을 개정해 보호방안을 확대하고 상황 발생시 기반시설 관리기관이 관계중앙행정기관, 행정안전부, 국가정보원 등에 사고통지를 하도록 의무화를 추진한다.

이밖에 시행령을 개정해 기반시설 보호에 필수적인 핵심시스템 이중화, 원격지 백업시스템 등에 관한 사항을 추가 규정하고 취약점 분석·평가 주기를 1년으로 단축할 방침이다

장광수 행안부 정보화전략실장은 “정보통신기반보호법 및 시행령 개정안을 6월까지 마련하고 각 중앙행정기관 책임하에 소관시설을 점검하고 취약점을 보완한 후 위원회에 6월까지 보고할 예정”이라며 “협력업체 직원에 대한 보안관리 지침을 7월까지 마련하는 등 정보보호 강화방안을 적극 추진해 나가겠다”고 밝혔다.

배경환 기자 khbae@