"정보통신망 정보보호 워크숍" 주제발표 내용

한국정보보호센터가 주최하고 한국통신정보보호학회가 주관하는 「제4회 정보통신망 정보보호 워크숍」이 정부, 학계, 업계 관계자들이 참석한 가운데 30일 한국과학기술회관에서 개최됐다. 전세계적으로 전자상거래(EC) 등 정보통신망을 통한 새로운 시장이 급부상하고 이에 따라 정보보호의 중요성 또한 크게 대두하고 있는 시점에서 마련된 이번 행사는 EC의 핵심인 보안기술에 대해 폭넓은 토론의 장이 마련됐다. 특히 첫째날 튜토리얼에서는 정보보호의 요소기술인 암호이론, 표준화, 인터넷응용, 보안관리, 평가, 해킹대응 등 각종 기반기술을 포괄, 참석자들의 많은 관심을 끌었다. 이 자리에서 발표된 주요 내용을 간추려 소개한다.

<편집자>

인터넷 보안 기술-홍익대학교 심영철 교수

최근 들어 급증하고 있는 해킹사고를 막기 위한 인터넷의 보안은 관리적인 측면과 기술적인 측면의 두 관점에서 고려돼야 한다. 관리적인 측면에서는 먼저 조직내 보안목표를 설정하고, 위험분석을 통해 조직내의 보안 위협요소 파악과 예상피해 분석이 선행돼야 한다. 이후 정보자산을 위협요소로부터 보호하기 위해 적용할 보안기술을 결정하고 실제로 구현한 후 보안환경을 평가해야 한다.

기술적인 측면에서 보안서비스를 제공하는 기술은 크게 두 부류로 나눌 수 있다. 첫째는 보안위협을 방지할 수 있는 부류로서 인증, 접근제어, 데이터기밀성, 데이터 무결성, 부인방지 등의 보안서비스를 제공하는 기술이다. 이같은 기술에는 방화벽을 비롯, 각종 인증서비스와 데이터 암호화기술이 포함된다.

인증은 사용자 신원을 확인하는 보안서비스로서 유닉스 패스워드 기반의 인증 방법이 오랫동안 사용돼 왔으나 도청의 취약점으로 인해 최근에는 커버로스와 같은 암호기술을 이용한 인증 방법이나 일회용패스워드(OTP) 방식이 널리 사용되고 있다.

네트워크를 통해 전달되는 메시지가 도청 및 변조되는 것을 방지하기 위해서는 암호기술이 일반적으로 사용되고 있다. 이때 전달되는 메시지는 IPSEC, TLS 등과 같은 하위 통신 프로토콜 계층에서 암호화하는 방법과 PGP, SHTTP, SSL 등 응용계층에서 암호화하는 방법이 있다.

보안기술의 두번째 부류는 탐지 및 복구 분야의 보안기술로서 사전에 막지 못해 이미 침입해 들어온 침입자를 탐지하고 시스템이 입은 피해를 복구하는 분야가 있다. 이를 위해서 시스템을 지속적으로 감시해 보안에 관련된 정보를 수집 및 저장하고 이를 이용, 침입자를 실시간으로 탐지하거나 피해의 원인을 규명하고 복구하는 작업을 한다.

보안관리와 위험분석-중앙대학교 산업정보학과 김정덕 교수

정보보호시스템을 효과적으로 구축하기 위해서는 정보보안 요구사항을 파악하고 취약성을 분석한 후 적절한 보안대책을 구현, 운영하는 일련의 정보보안 관리과정이 필요하다.

따라서 대부분의 조직에서는 정보보안관리가 주요 관심사이며 이는 일회성의 행사가 아닌 조직의 일상적인 관리행위로서 인식, 실천돼야 한다. 그러나 현재 대부분의 경우 보안관리가 제대로 인식되고 있지 못하며 단순한 보안제품의 구매나 구축에 그치는 경향을 보이고 있어 예산낭비나 조직 구성원의 불만을 초래하는 결과를 낳고 있다.

정보보안관리란 조직목표에 맞는 정보보안 환경을 구현하기 위해 정보보안 시스템을 설계, 구축, 운영, 감시하는 활동으로 보안시스템에 대한 기획, 관리의 과정이다. 이를 위해서는 정보보안의 목적, 전략에 맞게 보안 정책을 결정하고 각종 위험분석을 통한 적절한 보안대책을 선정해야 한다. 또한 정보보안 정책 및 절차의 문서화, 조직전략 및 계획에 부응하는 정보보안 계획의 수립, 정보보안 조직의 구성, 정보보안 교육 프로그램 개발, 보안대책의 구현과 운영감시 등의 활동도 필요하다.

이중에서 가장 중요하고 핵심적인 활동은 위험관리다. 이는 보안관리의 초석을 이루는 행위로서 일종의 「적을 알고 나를 알 수 있는 지피지기」로 간주할 수 있다. 한마디로 조직이 감당할 만한 위험수준을 파악, 최소비용으로 최대효과를 가져올 수 있는 보안대책을 마련하는 과정인 것이다.

위험관리를 위한 접근방법은 계량적이고 전문적인 지식이 요구되는 위험분석 접근방법과 최소한의 보안요구사항에 맞는 통제요소를 적용한 기본통제 접근방법이 있다. 이에 대해 국제표준기구나 전문가들은 우선적으로 기본통제 접근방법을 사용함으로써 짧은 시간내에 적은 비용으로 최소한의 보안대책을 구현하고, 조직의 임무상 중요한 시스템인 경우 본격적인 위험분석을 실시함으로써 보다 비용 효율적인 보안시스템을 구축해야 한다고 권고한다.

전자상거래 인증서비스-류재철 충남대 교수

EC에 대한 관심이 고조되고 본격적인 EC를 위한 환경이 성숙되어 감에 따라 인증서비스의 필요성과 중요성 또한 강조되고 있다.

인증서비스는 거래 당사자 및 거래 내용을 확인하고 입증하는 서비스를 제공함으로써 거래에 대한 부인, 위조, 복제 등 네트워크 거래상의 여러 위험들을 방지할 수 있다. EC의 상용화에 앞서 인증문제는 반드시 해결해야 할 요소로 인식되고 있으며, 이는 전자서명과 같은 기술적인 문제뿐만 아니라 관련 법규를 정립하기 위한 노력으로도 이어지고 있다. 이에 따라 전자문서 및 작성자에 대한 인증문제를 규율하기 위한 입법화가 세계 각국에서 이루어지고 있으며 국내에서도 이미 올 5월 전자서명법(안)이 공표됐다.

이는 전자서명에 대해 법적 효력을 부여하고 인증기관의 허가 및 관리를 위한 제도적 기반으로, 전자상거래에 있어서 인증업무의 중요성을 보여주고 있다. 인증서비스의 중요성이 강조되면서 미국을 비롯한 세계 각국에서는 이미 이에 대한 연구가 활발하게 이루어지고 있으며 베리사인 등 인증기관에서는 상용서비스도 제공하고 있다.

이러한 인증서비스는 크게 신원인증, 내용인증(전자공증), 신용인증 등으로 구분할 수 있다. 신원인증은 인증기관을 통해 거래 상대방의 본인 여부를 확인하는 것이다. 신원인증은 현재 전자상거래에서 가장 시급한 것으로 인식되고 있으며 또한 가장 활발하게 서비스가 제공되고 있다. 내용인증은 시각증명, 내용증명, 배달증명 등의 서비스를 통해 거래 내용, 일시 등을 확인하는 것이며 신용인증은 거래 상대방의 신용 능력을 확인하는 것이다. 내용인증과 신용인증은 신원인증에 비해 연구, 개발이 미비한 상태지만 EC가 활성화하면서 그 필요성이 증가하고 있다.

컴퓨터 바이러스 보안대책-김판구 조선대학교 교수

아마 가장 흔한 컴퓨터 정보침해 사고는 바이러스 감염으로 인한 컴퓨터 오동작 혹은 데이터의 삭제 등일 것이다. 컴퓨팅 환경의 변화와 더불어 한때 주춤했던 바이러스의 출현이 올들어 신종 바이러스가 1백5종 이상 발견되면서 지난해 같은 기간보다 42% 이상 증가세를 나타내고 있다. 특히 국내에서 만들어진 바이러스가 전체의 72%를 차지하며 더욱 증가하고 있는 추세다.

국내에서 이같은 컴퓨터 바이러스 방지분야의 발전을 도모하고 백신 프로그램에 대한 사용자들의 인식을 향상시키기 위해서는 다음과 같은 문제점들이 해결돼야 한다. 첫째 현재 판매되는 국내 백신 프로그램은 거의 제 값을 받지 못하고 있다.

국내 개발자들의 엄청난 노력과 개발비가 소요된 백신프로그램들이 사실상 무료로 유포되고 있는 실정에서 백신 개발업체들은 경제적인 어려움으로 인해 기술투자나 시설투자를 외면하게 될 수 밖에 없는 것이다. 이로 인해 궁극적으로는 외국업체와의 경쟁에서 국내 산업은 고사되고 마는 결과를 초래할 수도 있다.

둘째 국내 백신프로그램의 개발은 대부분 영세한 환경에서 개발되고 비학문적인 측면이 강하며 체계적이지 못하다고 볼 수 있다. 이로 인해 바이러스 백신프로그램이 양적으로나 질적인 면에서 외국제품에 비해 떨어지며 국제 경쟁력 약화도 초래하는 것이다.

셋째 우리나라에서는 바이러스 방지제품에 대한 체계적인 평가기준이 마련돼 있지 않다. 유럽에서는 여러가지 컴퓨터 바이러스 방지제품에 대한 평가 기준이 만들어져 제품에 대한 우수성 평가가 이루어지고 있다. 이로 인해 질좋고 우수한 제품이 개발되고 있으며 바이러스에 대한 체계적인 방지대책 마련도 용이하게 된 것이다. 국내에서 판매되는 외국제품의 성능평가는 물론 국내제품의 질적 향상을 유도하기 위해 평가기준안의 마련은 필수적이다.

<정리=서한 기자>