국가중요시설, ‘물리보안’ 강화한다

올해부터 국가 주요 정보통신기반시설에 대한 취약성 평가시 물리보안에 대한 보안평가와 관리감독을 크게 강화할 전망이다.

보안업계에 따르면 지난해말 행정안전부가 ‘주요정보통신기반시설 취약점 분석·평가기준’ 개정 고시를 발표함에 따라 2년마다 실시한 보안평가를 매년 실시하고, 보안평가시 물리보안에 대한 관리감독도 크게 강화될 것으로 알려졌다.

그 동안 정보통신기반시설에 대한 보안규정은 침입탐지, 방화벽, 네트워크 보안, 암호인증 등 대부분 SW방식의 정보보안에 치중돼 있어 반쪽 보안규정이란 우려를 낳아온게 사실.

올해부터 강화된 새 보안기준은 이동형 미디어 장치에 대한 관리와 반출입, 제어 시스템과 정보시스템에 내장된 USB 등 통신포트 보안관리 등 ‘물리보안’을 염두해 둔 구체적인 보안규정이 크게 늘어난게 특징이다.

‘취약점 분석·평가’로 알려진 이른바 ‘보안감사’도 휠씬 까다로와진다. 각 주무부처와 국가정보원이 2년마다 정례적으로 실시하는 보안감사가 올해부터는 매년 실시되며, 필요한 경우 감독기관과 국정원까지 나서 수시로 보안감사를 벌일 예정이다.

피감기관도 크게 늘어날 전망이다. 보안업계에 따르면 지난해 186개 주요정보통신기반시설이 올해에는 220개 내외로 확대돼 보안감사를 받게 될 전망이다. 행안부는 올해 제2금융기관과 유통, 물류, 석유, 화학, 철강관련 기업을 선별해 신규 기반시설로 지정 고시할 계획이다.

정부가 정보통신기반시설 보안평가를 대폭 강화하고 나선 것은 원자력발전소, 송유관 등 국가기반시설을 공격하기 위해 개발된 컴퓨터바이러스 ‘스턱스넷’(stuxnet)이 새로운 보안 위협이 등장하는 등 물리보안에 대한 취약점이 심각한 대형 참사로 이어질 수 있다는 우려 때문이다.

지난해 美국제전략문제연구소는 군사대국 15국 가운데 12국이 현재 사이버 전쟁 프로그램을 만들고 있고, 각국 정부 지원을 받은 해커들이 초유의 사이버 전쟁을 벌일 것이라고 밝힌바 있다. 실제로 작년 8월 사우디 원유기업 사우디아람코가 사이버 공격으로 컴퓨터 3만대가 고장나고 원유공급에 차질을 빚어 엄청난 손실을 입었고, 9월엔 미국 대형은행들이 해커의 공격을 받는 등 전세계가 치열한 사이버 전쟁을 치루고 있는 상태다.

관련업계에 따르면 행정안전부, 지식경제부, 국토해양부 등은 이미 2년전부터 물리보안시스템을 도입해 왔지만, 방송통신위원회, 교육과학기술부, 고용노동부, 보건복지부 등 일부 부처와 산하기관은 물리보안 해킹에 취약해 대안마련이 시급한 것으로 지적되고 있다.

보안전문업체 컴엑스아이 안창훈 대표는 “올해부터 국가 핵심 인프라인 주요정보통신기반시설에 대한 물리보안 보안감독이 크게 강화됐고, 정보보호 예산도 9%로 늘어난 것은 고무적인 일”이라며 “악성 해킹과 사이버 전쟁에 대비해 SW정보보호 시스템과 통신포트 물리보안 시스템을 균형있게 운용해 입체적인 보안체계를 구축해야 할 것”이라고 말했다.

아이씨엔 오승모 기자 oseam@icnweb.co.kr