“‘킵스(KEEPS)’가 국가보안 감독기관 시각에서 공공기관이 체계적으로 정보보안 업무를 수행하고 종사자의 보안 의식 함양을 지원하는 역할을 함으로써 지능적이고 다양한 사이버 공격 위협으로부터 국가 사이버안전을 상시 담보할 것으로 기대합니다. 특히, 보안 감독기관이 매년 시행하는 보안실태 점검과 함께 보안성 평가 때 우수등급 이상 기관으로 선정되는 디딤돌 역할을 톡톡히 할 것으로 자신합니다.”
서용석 소프트시그널 대표는 “정보시스템의 잠재적 위험 요소를 관리·통제하기 위해 보안체계를 상시 점검·평가하는 정보보안관리실태 상시평가시스템 ‘킵스’를 개발해 내달 첫선을 보이고 시장 개척에 나선다”고 밝혔다.
‘킵스’는 공공기관이 객관적 입장에서 보안 이행 평가지표를 다뤄 감독기관의 보안 지적 사항을 사전에 점검하고 보안 사고를 예방할 수 있다. 즉, 국가 정보보안 정책 규정에 따른 내부 보안 감사 활동에서 피감독기관의 주관적 해석이 개입할 여지를 완벽하게 사전 차단하는 게 특징이다.
이는 ‘킵스’ 원천 기술이 보안감독기관의 KSCAP(Korea Security Content Automation Protocol)를 기반으로 개발, 상용화했기때문이다. KSCAP는 미국 표준기술원(NIST)에서 활용중인 SCAP를 토대로 국가 공공기관 관리 대상 시스템의 취약점 점검, 보안수준 측정, 정책 준수 여부 등 정보보호 수준을 자동으로 점검하는 국가 표준기술이다.
서 대표는 “미국에선 SCAP을 통해 매년 80개 이상 연방 정부기관의 보안실태를 심사한 후 심사 결과를 통해 보완 또는 결과를 조치하고 있다”면서 “국내도 감독기관이 보안실태평가를 매년 시행하지만 아직까지 보안실태점검 표준기술 KSCAP가 정착하지 않은 것으로 파악하고 있다고” 말했다.
특히, KSCAP은 정보시스템에 설치한 보안제품의 정상동작 상태, 업데이트 유무 등 공공기관들이 보안시스템이 제대로 운용·동작하는지 감독하는 기술이다. 공공기관은 이를 통해 매년 시행하는 보안실태 점검을 상시 점검 체제로 전환, 안전한 보안 환경을 보장할수 있다.
‘킵스’는 점검 환경에 따라 에이전트 설치형, 비설치형(USB) 등 평가 도구 선택 △보안 가시성 확보 대시보드 제공 △정보보안사고 대응 사용자행위 정보수집 △22개 점검항목 선택 적용·점검 대상 보안수준 지수화 △조직도 기반 관리·관리콘솔 보안 기능 등을 지원한다.
공공기관은 이러한 ‘킵스’의 우수한 보안 기능을 통해 보안 종사자의 업무 숙련도에 따라 달라질 수 있는 점검 평가 수준을 객관적이고 정량적인 단계로 끌어올려 보안 안전성을 상시 유지한다. 자체적으로 보안 수준을 점검하고 조치하는 역량을 마련할 수 있다.
특히, 그동안 내부적으로 여력이 부족한 탓에 시스템의 일부 보안 평가 요소만 선별적으로 점검하는 문제를 해소하는 등 자동화를 통한 보안 평가의 실효성을 확보하고 보안 사고 대응력을 향상하는 효과를 거둘 수 있다.
또한, 점검기록을 분석해 보안 요구사항에 적합한 보안 정책과 체계를 편리하게 수립하는 것은 물론 중앙 관리 콘솔을 통해 신속하게 사고대응에 나서고 보안 업무 부담을 줄이는 등 전반적으로 업무 생산성을 높일 수 있다.
서 대표는 “보안 표준 기술 SCAP을 사용하면 현재 국가 주요기반 시설에서 시행하는 보안실태점검을 표준화하고 효율적인 실태점검을 할 수 있다고 판단해 킵스를 개발했다”면서 “‘킵스’ 시제품을 주요 기관에 현재 데모하고 있고 공공기관의 요구사항을 수렴해 오는 6월 ‘킵스’ 범용 제품을 완성한다”고 말했다.
그는 “‘킵스’는 보안 담당자 업무 숙련도와 상관없이 PC 보안 연속성을 보장할 뿐 아니라 마치 일상 생활을 누리는 것처럼 악성메일, 다크웹, SW취약점, 재택근무 등 해킹 환경에 유용하게 대응할수 있다”고 덧붙였다.
안수민 기자 smahn@etnews.com
