에너지공공기관 사이버보안 5단계로 세분화하고 3년간 2,457억원 투입 인터넷신문 current

에너지공공기관 사이버보안 5단계로 세분화하고 3년간 2,457억원 투입
원전에 대한 사이버 공격으로 극심한 우려를 경험해 사이버 보안의 중요성이 다시금 부각되고 있는 가운데, 산업부는 사이버 보안 정책에 근본적인 수술을 단행하기로 했다.

글 / 서강석 편집장(suhgs67@hanmail.net)

산업부는 원전 사이버 공격 사례에서 나타난 에너지 공공기관에 대한 중요성을 절감하고, 대대적인 사이버보안 관리 방안을 내놓았다. 여기에는 인사, 조직, 예산, 인력, 시스템관리 등 종합적인 개선 사항이 포함됐다.

특히, 산업부 윤상직 장관은 지난 2월 12일 세종청사에서 한전, 발전5사, 한수원, 가스공사, 지역난방공사, 전력거래소, 석유공사, 석탄공사, 광물자원공사, 한전KDN, 한전KPS, 한국전력기술, 한국원자력연료 등의 17개 공공기관장이 참석한 가운데 개최된 ‘에너지 공공기관 정보보안 체제 강화방안 발표회’에서 사이버보안 관리에 대한 철저한 반성과 개혁 방안의 실천을 주문했다.

사이버 보안 경력 없으면 관리본부장 승진 불가

이발 발표된 주요 강화 내용으로는, 인사 정책과 관련해 정보보안조직의 위상 제고를 위해 관리본부장 직속으로 정보보안 담당 부서를 신설해 보강하고, 지역본부의 정보보안 업무도 직접 관할하도록 했다. 또한, 사이버보안 업무 경력 없이는 관리본부장에 승진임용 불가 등 정보보안부서 근무자에 대한 인사우대 방안을 마련해 시행한다.

정보보안 인력과 관련해서는 2017년까지 정보보안 전담인력을 432명으로 확대하고, 향후 3년간 총 2,457억원의 정보보안 예산을 투입해 정보보안 기반을 대폭 확충하게 된다.

협력사 보안관리 강화해 보안사항 위반시 입찰 제한

협력사를 통한 정보 유출을 방지하기 위한 조치로는 협력사와의 계약서에 보안관리 실태의 정기적 점검(매년 2회), 정보보안사항 위반시 2년 이내 입찰참여 제한, 위약금 부과 등의 보안관련 특약사항을 명시하게 된다.

특히, 협력사에서 사이버 침해사고 발생시 침입경로, 유출정보 등 협력사 정보시스템에 대한 조사 근거를 명시하는 등 협력사 보안관리를 대폭 강화한다.

용역직원에 대해서는 인터넷차단과 이동저장매체 사용금지 원칙을 준수하도록 하고, 네트워크 분리, 접근권한범위 제한, 전용PC제공, 클린룸 운영 등 업무시스템 접근 통제를 강화한다. 공공기관의 도면 등 중요자료에 대해서는 생산-저장-유통-폐기까지 전(全)생애주기 관리책임자 실명제와 형상관리 의무화 등 관리체계를 마련해 시행하게 된다.

정보시스템 3단계에서 5단계로 세분화

현재 에너지 공공기관에서 운영 중인 정보시스템은 제어시스템, 업무망, 인터넷망의 3단계로 되어 있는데, 이를 제어시스템, 유사제어시스템, 중요정보시스템, 업무망, 인터넷망의 5단계로 세분화해 운영하게 된다.

여기에서 제어시스템은 정보통신기반보호법에 의해 주요 기반시설로 지정된 시스템을 말하며, 유사제어시스템은 주요 기반시설로는 지정되지 않았으나 중요한 에너지 관련 제어시스템, 중요정보시스템은 도면, 개인정보 등 업무망과 N/W적으로 분리운영 되어야 할 시스템, 업무망은 공공기관의 내부포탈, 결재시스템 등 내부 업무시스템, 인터넷망은 홈페이지, 메일시스템 등 기관의 시스템으로 구분된다.

이렇게 구분된 각 시스템은 중요도에 따라 보안정책의 강도를 적용하게 되며, 제어시스템 -> 유사제어시스템 -> 중요정보시스템 -> 업무망 -> 인터넷망 순으로 차등 적용한다.

또한, 세분화되더라도 최상의 시스템에 대한 접근성을 단계별로 제한하기 위해서 제어시스템과 유사제어시스템은 독립 및 폐쇄적으로 운영하고, 중요정보시스템은 업무망과 N/W적으로 분리해 운영하며, 업무망은 인터넷망과 망을 분리해 운영하고, 인터넷망은 상용메일차단 등 각각 차별화된 보안정책을 적용하게 된다.

주요 기반시설 지정 확대하고 3단계 보완관제 체제 구축

제어시스템의 안전성을 확보하기 위해 주요 기반시설 지정을 지속 확대해 올해 37개 시설에서 2017년 50개 시설로 확대하고, 2017년까지 각 정보시스템별 보안정책 적용에 따른 총 274개 시스템을 추가적으로 구축하게 된다.

이와 함께 2017년까지 10개 공공기관에 단위보안관제센터를 구축해 산업부 사이버안전센터, 국가 사이버안전센터(NCSC)와 연계한 3단계 보안관제 체제를 구축하게 된다.

한편, 산업부 윤상직 장관은 그 동안 사이버보안 관련 업무가 기관장 업무우선순위에서 밀려 형식화된 점과 특히, 오래된 관행으로 고착화된 협력업체 정보보안 관리의 취약점을 지적하고, 앞으로 공공기관의 사이버보안에 문제가 생길 경우 엄중한 책임을 물을 것이며, 에너지 관련 공공기관이 사이버보안과 관련해 국민의 불편을 초래하지 않도록 철저한 관리와 이행을 요구했다.