나이스 보안 `다시 도마위에`

　새 학사행정정보시스템(나이스)에 대한 제안서 마감이 오는 19일로 다가온 가운데 나이스의 보안성 문제가 또다시 도마에 올랐다.

　특히 이번 프로젝트에서는 전체 예산 450억원 가운데 10.8%인 49억원이 보안 부분에 편성되는 등 대폭 강화됐지만 PC보안 부분의 취약점은 여전히 존재한다는 지적이다.

　◇나이스 보안, 어떻게 구성됐나=이번 나이스 프로젝트에서는 확실한 개인정보 보호체계를 구축하기 위해 PC와 네트워크, 시스템, 응용SW, 데이터베이스로 이어지는 다중 보안체계를 마련했다. 현행 나이스에서 네트워크 구간 보안과 공인인증서에 의한 인증이 보안의 전부인 것을 고려할 때 상당부분 보안이 강화된 셈이다.

　새로운 나이스에서는 네트워크 불법 침입을 차단하기 위해 이중화된 방화벽을 설치하고 능동적 침입에 대응하는 침입방지시스템(IPS)을 도입하기로 했다. 또 시스템의 불법 침입을 차단하고 접근을 통제하는 시큐어 OS를 각 서버에 모두 설치하고 인증서 기반 암호화 툴키트를 구축해 로그인과 네트워크 구간을 암호화하는 대책을 수립했다. 여기에 업무 구조에 따라 사용자 접근을 차단하고 학생들의 주요 신상 정보를 암호화해 보관하는 6단계 보안 계획을 수립하는 등 보안성을 대폭 강화했다.

　◇문제점은 산재=정보보호 업계는 나이스 사업에서 보안 부분이 강화된 것은 사실이지만 대부분 예산이 서버와 네트워크 보안에 치중되고 정작 가장 기본적으로 고려돼야 할 PC보안 부분이 누락돼 시스템 보안성에 큰 구멍이 생겼다고 목소리를 높이고 있다.

　최근 인터넷뱅킹 해킹 사건에서 드러난 PC 부분 해킹 대책이 전혀 고려되지 않아 선생님 PC에 해킹 프로그램이 설치될 경우 인증서 및 비밀번호 유출로 인한 피해를 막을 수 없다는 것이 전문가들의 의견이다. 이번 프로젝트에서는 PC의 키보드보안 프로그램이나 개인 방화벽은 포함되지 않았으며 안티바이러스백신과 패치관리시스템이 전부다.

　한 정보보호컨설팅업체 사장은 “개인정보 유출에 관한 문제로 전교조와의 사회적 합의비용을 상당히 치른 사업임에도 불구하고 최종 단말에서의 보안이 전혀 고려되지 않았다”며 “인터넷뱅킹 해킹 사건처럼 최근의 침해사고는 서버나 네트워크가 아닌 PC 취약점을 이용한 침해가 대다수를 차지하고 있어 대책이 강구돼야 한다”고 지적했다.

　이와 함께 보안업계는 49억원에 달하는 나이스 보안 사업이 기업 수익성에 도움이 되지 않는다는 판단 아래 참여 여부를 심각히 고민하고 있는 상황이다. 규모는 크지만 정작 보안업계가 벌어들일 수 있는 금액은 전체 예산의 절반도 안 된다는 자체분석 때문이다.

　서버보안 전문회사의 한 사장은 “1차 사업 때 턱없이 낮은 가격에 책정된 서버보안 솔루션 가격으로 SI업체들의 제안요청이 계속되고 있다”며 “이 가격으로 전국 각지에 광범위하게 구축되는 3000개의 서버에 모두 시큐어OS를 설치하려면 이익은커녕 인력을 모두 여기에 투입해야 하고 이에 따라 다른 프로젝트 참여는 엄두도 낼 수 없어 나이스 참여 여부를 심각히 고민중”이라고 말했다.

　

김인순기자@전자신문, insoon@