"95 전산보안 세미나" 주제발표 지상중계

<> 국가기간 전산망 안전 보안대책<김홍근박사.한국전산원> 정보화의 역기능이란정보화의 순기능에 반해 야기되는 범죄적、 사회적、 문화적 윤리적 기능이다.

현재 행정.금융.국방.공안.연구 등 모두 5대 국가기간전산망의 본격적 운영 과 인터네트 등 국제정보통신망의 발전으로 국내 중요정보의 대외유출과 불법파괴.변조 등 보안의 취약요인이 점차로 증대되고 있다.

전산망 안전보안의 가장 큰 문제점은 먼저 제도적 장치의 미흡을 들 수 있다. 제도 법령、 기관、 업무처리 등에 대한 조정기능 및 역할분담 등의 관리 체계가 적절히 설정돼 있지 않고 있는 것이다.

또 개발된 보안장비의 경우 효과적인 사용을 위한 세부운용 관리기술이 미흡 해 이들 장비의 기능을 충분히 활용하지 못하고 있으며 국가 주도의 전문연구기관이 없고 산.학.연의 분산적인 소규모의 연구지원만이 진행되고 있다.

둘째로 기술개발 및 연구인력의 부족과 연구능력 부족이다. 이는 제도적 장치의 미흡과 밀접한 관계가 있으나 외국의 기술보호주의에 의해 관련분야의 선진핵심 기술도입이 어렵다.

셋째는 사회적인 투자인식의 결여이다. 전산망 사용자들은 대부분 정보보안 시스템에 대한 중요성을 인식하면서도 실제로는 비용 및 기타 여건상 이를쉽게 수용하지 못하고 있다.

마지막으로 새로운 범죄형태에 대한 사회적인 도덕관념의 부재를 들 수 있다. 이와같은 문제점을 개선키위해 국가차원의 전산망 안전보안대책 전담기구인" 전산망 안전보안 지원센터"를 운영、 활성화시켜야 할 것이다.

"전산망 안전보안 지원센터"는 보안관리、 보안기술、 보안평가、 정보시스템 침해사고 대응、 보안교육 및 홍보 등을 총괄하는 기능을 지녀야 할 것이다. 이를 통해 각 기관전산망별 안전보안 대책을 전담해 연구하고 효과적인 안전 보안 대책을 마련、 실시해야 한다.

국가적인 차원에서 전문적으로 전산망 보안 대책을 전담해 연구하고 조정할 수 있는 안전보안 지원센터의 설립 운영은 전산망의 개방화 추세에 발맞춰조속히 이뤄져야 한다.

이밖에 전산망 안전보안 침해사고의 신속대응을 위한 유관기관간 협조체제의 구축이 필요하다.

<> 기업전산망 보안실태 및 대책<박재천 데이콤 정보통신사업단장> 최근 정보통신망은 급속한 발전을 했음에도 불구하고 기업의 경우 보안지침 을 설정해 체계적으로 운영하는 경우가 드물며 부분적인 보안시행으로 문제 발생의 소지를많이 가지고 있다.

이에따라 보안대상을 명확히 파악, 종합보안지침 등을 작성해 좀더 체계적이 고 효율적인 운영시행방법의 개발이 필요하며 기업내 보안규정확립 및 주관 부서를 둬 운영하는 것이 바람직하다.

또한 전세계적인 광의의 네트워크 구축 및 시스템기능의 다양화추세에 따라 각종 통신망에 연결되는 시스템의 종합운영지침 및 보안지침을 설정해야 하며 조기에 현재 운영되고 있는 시스템에 적용해야 한다.

특히 지능화、 고도화되고 있는 부정접속 시도 및 해킹에 대비한 지속적인 보안활동 및 대책수립이 미약한 실정이다.

마지막으로 고객ID의 운영방식 및 관리등에 대한 내부규정을 만들어 사용자 의 권익을 보호하고 사용자가 불의의 피해를 입지 않도록 하는 운영상의 지침이 필요하다.

기업망은 특성에 따라 보안분야 및 보안방법 등에 차이가 있으나 일반적으로 시스템 보안 *네트워크 보안 *고객정보 보안 *운영관리(제도)보안 *시 설보안 등으로 구분될 수 있다.

결국 현재 문제가 되고 있는 보안문제를 개선키 위해 시스템과 네트워크를 통합한 종합보안 체제확립이 긴요하며 최신의 기술을 습득해 발전되는 시스템의 침투에 대비해야 한다.

또 비밀번호의 수시변경등을 통한 철저한 관리와 주요 시스템에 대해 2중이 상의 다중암호 체계로 운영하는 것도 바람직하다.

이와함께 기밀사항은 전산망에서 물리적으로 완전 격리 시키는 것을 비롯해 보안장비 및 주요 SW설치로 시스템 방어、 망보안 담당자 지정 및 보안활동 강화、 보안교육을 통해 사용자 스스로 보안의 중요성을 갖도록 하는 것이시급하다. 개인정보보호 문제점및 현황<김세헌 KAIST 교수> 최근 보안사고가 늘어나고 있는 것은 전산망이 엄청나게 빠른 속도로 보급되고 있는 것과는 달리전산망의 정보보안기능에 대한 대책수립이 거의 전무해 전산망에 수집된 자료가 누구에 의해 어떠한 목적으로 사용되고 있는지 통제 가 거의 불가능하기때문이다.

특히 전산망을 관리하는 담당부서는 전산망운영의 효율성에만 관심이 있을뿐이며 정보보안을 위한 어떠한 조처도 전산망운영에 방해가 되는 귀찮은 일정도로 밖에 생각하지 않고 있는 사고방식이 가장 큰 문제이다.

이같은 무관심은 국민개인의 기본인권을 존중해야한다는 의식이 부족한 정부 부서、 정부투자기관、 대기업 등에서 많다.

개인의 프라이버시를 보호하기 위해 미국 등 유럽의 여러국가들은 이미 지난70년대에 프라이버시보호법을 제정했으며 미국은 74년 Fede-ral Privacy Act 를 입법화해 운영해 오고 있다.

그러나 각 국가들은 프라이버시 보호와 동시에 정보수집의 자유도 원칙적으로 보장하고 있기 때문에 부분적으로 상충할 수 밖에 없는 이 두가지 권익을 어떠한 수준으로 운영할 것인지는 그 사회의 상식과 규범에 따르게 돼 각 국가에서 개인정보를 보호하는 정도는 사뭇 차이가 날 수 밖에 없다.

앞으로 부각될 개인정보보호의 주요쟁점은 개인정보를 보호함에 있어 전산화 된 기록만 대상으로 할 것인가 아니면 문서상의 기록도 대상에 포함 시킬 것인가이다. 프라이버시 보호법의 대상을 공공기관에 한정할 것인가 아니면 민간부문에도 적용할 것인가는 중요한 쟁점이다. 공공기관을 개인정보 보호대상으로 하는데는 이론의 여지가 없으나 민간부문도 포함시켜야 할 것인가는 여러 각도에서 생각해 볼 필요가 있다.

이밖에 프라이버시보호법이 제정된 나라의 경우 개인정보가 그 나라 국경을 넘을 수 없기때문에 국가간의 자유로운 데이터의 교류와 프라이버시보호를어떻게 조화시킬 것인가하는 문제가 쟁점으로 부각되고 있는 것이다.

따라서 개인정보자료의 효율적인 보호를 위해서는 국가차원의 종합적인 정보 보호기능을 수행하는 "정보보안센터"와국가기간 전산망과는 별도로 존재하는 "정보정책 자문위원회"등의 설립이 시급하며 전산망의 안전관리의 목적을 실 현하기위해 전산망 보안관리체제를 구축해야 할 것이다.

<> 컴퓨터범죄 실태와 형법적 대응<장영민 인하대 교수> 컴퓨터 범죄의 유형은 *컴퓨터 조작범죄 *파괴 범죄 *스파이 범죄 *권한 없는 컴퓨터의 이용 *현금자동인출기.정보통신 시스템의 남용 등 5가지로 구분된다. 컴퓨터조작범죄는 문서위조변조 등의 문서에 관한 죄를 적용할 수 있으나 자기디스켓이나 자기테이프 등에 저장된 데이터는 문서성을 갖지 못하므로 이를 변작하는 행위는 문서위조나 변조라 볼 수 없다.

또 현행 형법상 절도죄와 횡령죄는 "재물"만을 대상으로 하기 때문에 불법하게 은행계좌에서 금액이월、 대변기재、 은행계좌로부터 인출하는 것 등은절도죄나 횡령죄의 구성요건을 충족하지 못한다.

사기죄는 "재물" 또는 "재산상의 이익"이다. 그러므로 컴퓨터조작에 의한 예금화폐 대체금전、 컴퓨터 데이터조작 등에 의한 청구권이나 권리 등은 일단 사기죄의 객체가 될 수 있으나 기계의 조작행위에 사기죄의 구성요건을 적용하는 것은 부정된다.

이밖에 컴퓨터 조작행위에서 배임죄가 성립되기 위해 회사와 피고용자간의 신뢰관계가 존재해야 하나 궁극적으로 이 신뢰관계가 존재하지 않을 때 행위자는 배임죄의 성립요건인 "타인의 사무를 처리하는 자"에 해당되지 않는다.

마지막으로컴퓨터에 의한 업무처리는 종래 사람이 수행하던 업무를 컴퓨터 가 대체해 자동적으로 수행하는 특징이 있으며 이가운데 사람이 전혀 간여하지 않고 있는 시스템도 있어 위계나 위력으로써 사람의 업무를 방해했다고 볼 수 없기 때문에 업무방해죄가 되지 않는다.

컴퓨터파괴는 전자적 기록물의 파괴로 자기디스크 등의 "기억매체 자체"의 사용가치가 손상、 손괴죄를 적용할 수 있으며 스파이는 비밀침해죄의 적용 은 어려우나 재물죄의 적용은 가능하다.

권한 없는 컴퓨터의 이용은 신뢰관계를 기초로 하지 않는 내부인이나 외부인 에 의한 "시간절도"는 전기절도외에 별다른 처벌법규를 생각할 수 없다.

현금자동인출기의 남용 등을 막기 위해서는 사기죄와는 별도로 컴퓨터사기죄 의 구성요건을 신설해야 하며 정보통신 시스템의 남용은 사기죄、 절도죄 、 배임죄가 성립되지 않기 때문에 새로운 범죄요건으로 구성、 적극적인 대처가 필요하다.

따라서 컴퓨터 범죄를 막기위해 기술적.사회적 통제、 비형법적 통제、 형사 법적 대응 등이 필요하다. 형법개정안을 통해 컴퓨터범죄에 대한 기본적인 처벌사항을 마련해야 한다.

특히 오늘날 세계화의 추세속에서 컴퓨터범죄도 세계화되고 있으므로 범죄인 인도、 국제형사범공조제도 등을 내실있게 운용해 나갈 수 있어야 한다.

<> 전산망의 총체적 안전 보안대책<한국전산원 이재우 박사> 전산망의 총체적 보안 대책 수립을 위한 수명주기식 접근을 위해 정보시스템 보안은 기본적으로 시스템의 중요정보와 컴퓨터의 자원정보를 목표로 해야 하며 *총체적이며 포괄적이어야 하고 *보안 통제방법은 상호 보완적이 고 상호 의존적이어야 하며 *비용적 측면에서도 효과적이어야 한다는 요소 들이 먼저 전제돼야 한다.

또 국가나 개인을 막론하고 우선 정보시스템의 보안에 관한 기본 목표를 이해해야 한다. 국가 전산망의 경우 그 기본 목표는 보안업무를 체계화하고 전문화해 제반 역기능을 방지함으로써 전산망 자원과 주요 정보를 보호하는데 있다.따라서 전산망에서 운용되는 주요정보의 가용성과 유용성、 무결성과 인증성、 비밀성과 정보의 소유성 확보로 주요 공공정보 및 개인정보를 보호 해야 한다.

특히 전산망의 총체적인 안전과 보안을 도모하기 위해서는 시스템의 개발정책에서부터 개발방법론을 활용한 효율적인 개발、 장비의 선택、 시스템을 중심으로한 다중계층적 대책과 프로그램화 된 수단 및 최종확인에 이르기까지 상호 연계되고 보완되는 체계적인 대책이 이루어 져야 한다.

특히 프로그램된 수단에는 정보의 결손에 대한 회피 또는 제지、 예방 또는색출 완화 제재 복구 및 시정 수단등이 포함돼야 한다.

따라서 이같은 주요 요소들을 만족시키기 위해서는 여러가지 접근방식을 통한 대책수립이 가능하다.

먼저 시스템 수명주기 전략기획단계로 시스템 개발 및 운영을 위한 정책을 입안하고 비용대 효과분석을 통해 적용기술 및 수단에 대한 제반 요소를 계획하는 단계로 조직의 보안정책 수립、 시스템 보안개발 특성 결정、 보안시스템 개발을 위한 투자정책과 비용대 효과분석、 보안정책에 입각한 보안장비 선정、 시스템 보안전담 조직체계의 정책적 결정、 개발 방법론의 선정과 보안개발 지침결정 등의 과정을 거친다.

그 다음이 시스템 개발단계로 전략기획단계에서 수립된 보안정책에 입각、 시스템을 개발하는 과정으로 실질적인 보안 수단을 강구하는 단계다. 즉 개발 및 변경 통제절차와 개발방법론상의 보안 항목 변경、 품질보증 및 시스템 테스트 환경、 시스템 다큐멘테이션 등의 과정이 포함되며 이어서 시스템 수명주기 위험분석단계와 시스템 수명주기 다중계층적 보안 단계를 거쳐 총체적인 시스템 보안대책을 수립할 수 있다. <정리=구근우.김위연 기자> <> 정보사회와 정보통신망 보안대책<아주대 김동규 교수> 정보사회는 정보의 생성、 저장、 처리、 가공、 운반 검색기능이 상호 연결된 다양한 통신망 환경에서 다양한 형태의 정보 서비스가 이루어지고、 이러한 서비스가 산업에 주요한 관건으로 작용한다.

즉 정보통신산업이 경제 전부분에서 큰 비중을 차지하게 된다. 따라서 향후전개될 경제활동의 원천이 산업사회로부터 정보사회로 이행한다고 볼수 있다. 정보통신분야에 많은 연구와 개발노력이 집중돼왔고 결과는 대단한 성공을 거두게 됐으며 그 결과 정보통신과 관련한 이기들이 속속 등장하고 있다. 이러한 새로운 문명의 이기는 반드시 또다는 문제를 야기하고 있으며 정보통신 관련 이기들도 예외는 아니어서 현실적으로 심각한 컴퓨터 및 전산망 보안문제로 대두되고 있다.

정보보안은 "오버헤드 기술" 또는 "필요악"으로 인식되는 경우가 허다하다.

이는정보 보호기술이 어떤 환원되는 이익이 기대되는 투자로서 보다는 단순 히 보호를 목적으로 채택되는 기술이기 때문이다.

따라서 정보통신과 관련된 생산자、 서비스제공자、 정부관련인사、 그리고 사용자 모두가 정보보호를 잠재적인 이익 생성의 원천이 된다는 인식을 가져야 하고 정보보호기술을 새롭게 부각시켜야 한다.

또 정보보호서비스는 요구사항과 서비스가 탑재돼야 하는 시스템 환경에 따라 실현기술의 복잡도와 비용이 크게 달라지며 기존의 정보통신 시스템에 추가적인 서비스로 탑재돼야 한다. 또 기존 시스템과 정보보호 기술이 통합돼 야하기 때문에 정보보호의 실제적인 실현은 단순한 환경을 제외하고는 복잡 하고 고도의 기술력이 요구된다.

정보보호 시스템은 서비스、 메카니즘、 관리 등 3가지 중요 요소로 구성되는 복잡한 시스템으로 구성돼 있으며 서비스에는 신분확인과 인증、 액세스제어 데이터 비밀성、 데이터 무결성、 부인봉쇄、 해커.바이러스대책 등이 있다.

그러나 오늘날처럼 정보통신 환경이 복잡한 네트워크로 얽혀있고 개방화.분 산돼 있고 사용자들이 이질적인 환경에 접속돼있어 정보보호에는 많은 어려움이 따른다. 따라서 통신 프로토콜 기반과 시큐리티가 통합된 보안시스템이 마련 돼야 한다.

이를 위해 스마트카드와 같은 효율적인 시큐리티 관련제품은 물론、 보안 소프트웨.패키지 제품 및 인터페이스 제품에 대한 개발 및 생산이 뒷받침 돼야한다.