보안 취약점이 개선되지 않으면 홈페이지 보관정보 노출
이번 조치는 상대적으로 해킹 등 보안에 취약한 웹 사이트가 사이버 공격으로 인해 서비스가 중단되는 등의 문제가 발생하고 보안 취약점이 개선되지 않을 경우 시스템 관리자의 접근권한을 불법적으로 획득하여 홈 페이지를 변조하거나 시스템 내부 정보를 탈취할 수 있으며 악성 프로그램을 웹 사이트에 설치하여 서버를 장악한 후 시스템 파괴 및 서비스 중단, 내부정보 유출, 해킹 경유지로의 악용 등 심각한 보안 문제가 발생하기 때문에 전자정부 웹 사이트에 대한 보안 취약점을 개선하기 위한 조치라고 밝혔다.
해킹 공격 대상의 80%가 웹 사이트
웹 사이트는 서비스 특성상 대부분 누구나 자유로이 접근이 가능하도록 설계되어 있기 때문에 보안에 취약하여 사이버공격 대상의 80% 이상을 차지하고 있다.
웹 사이트에 대한 사이버공격 프로그램이 점차 지능화·자동화되어 악성코드나 바이러스를 이용한 해킹시도가 용이하고, 새롭게 발견되는 웹 사이트 보안 취약점도 매년 2배씩 증가하고 있다.
보안 취약점 발생 원인은 해킹 기술 발달과 관리자 인식 부족
90년대 초반에는 아이디·패스워드 유추 및 반복입력, 바이러스 유포 등 극히 단순한 해킹 방법을 사용하다가 2005년부터는 바이러스에 웜(Worm)이 결합되어 바이러스 스스로 자기복제하여 전파하는 공격이 나타나기 시작하였고, 최근에는 웜·바이러스와 해킹이 결합된 공격기법이 나타나 보다 지능화·자동화된 해킹도구들이 만들어져 배포되고 있어 해킹 방법에 대한 지식이 많지 않아도 누구나 쉽게 해킹을 시도할 수 있다.
또한, 전자정부 웹 사이트를 운영하는 관리자의 보안 인식 수준과 웹 사이트 보안에 대한 예산 투자가 미흡할 뿐만 아니라, 기술적 문제를 적극적으로 해결하려는 노력이 부족한 것도 사이버 위협에 취약한 원인이라고 밝혔다.
전자정부 웹 사이트 22개 보안 취약점 긴급 개선
행정자치부는 그동안 나타난 전자정부 웹 서비스 보안 취약점과 국제 웹보안 표준단체(Open Web Application Security Project)에서 선정한 웹 보안 취약점 등을 종합 정리한 『전자정부 웹 서비스 보안 취약점 대응지침』을 마련, 2007년 8월7일 전 중앙행정기관과 지방자치단체에 보급하여 긴급 개선하도록 조치하였다.
※ OWASP(Open Web Application Security Project) : 국제 웹 애플리케이션 보안 표준단체로 웹 애플리케이션에서 가장 심각하다고 생각되는 10가지 보안 취약점을 선정 발표(‘04년 이후 3년만에 ’07년 전면개정판 발표)
전자정부 웹 서비스 22개 보안 취약점은
① 정보탈취용 악성 프로그램 설치 방지기능 부적절(5개)
② 시스템 접근권한 통제기능 부적절(6개)
③ 주요정보 노출 방지기능 부적절(5개)
④ 사이버 공격 차단기능 부적절(6개) 등으로
대부분 악성 프로그램에 의한 웹 사이트 변조, 정보 탈취 등의 문제를 발생시킨다.
이러한 보안 취약점을 해결하기 위해서는 각 행정기관에서 『전자정부 웹 서비스 보안 취약점 대응지침』을 참고하여 웹 사이트 운영 시스템을 일제 점검한 후 나타난 문제점에 대해 프로그램 소스를 수정하거나 시스템 운영 및 관리 체계를 개선해야 되며, 특히, 웹 사이트에 대한 보안은 시스템 개발 기획단계에서부터 보안 취약점을 감안하여 설계하고, 취약점 대응기술을 반드시 적용하는 것이 매우 중요하다고 밝혔다.
이는 운영중인 웹 사이트의 보안 취약점을 찾아서 제거하려면 최소 수개월이 소요되고, 특히 설계 단계에서 보안성을 고려하여 투자하는 비용을 1로 하였을 때, 운영단계에서 취약점을 개선하기 위해서는 60배의 노력과 비용이 소요되기 때문에 모든 전자정부 시스템은 설계 단계부터 웹 보안 취약점 개선방안이 반영되도록 하는 것이 중요하다.
전자정부 웹사이트 보안,「전자정부서비스보안위원회」에서 강력히 관리
행정자치부는 전자정부 수준이 높아질수록 사이버 위협도 증가할 수 밖에 없기 때문에 사이버공격에 범정부적으로 대응하기 위해 차관급의 「전자정부서비스 보안위원회」를 금년 9월부터 본격 가동한다고 밝혔다.
「전자정부서비스 보안위원회」에서는 전자정부서비스 보안대책, 전자정부 사이버공격 침해대응 등의 업무를 다루며, 특히 최근 문제가 되고 있는 전자정부 웹 사이트 보안 취약점을 집중적으로 점검 보완해 나갈 계획이라고 밝혔다.
“차세대 전자정부” 보안에 역점
안전한 전자정부서비스 제공과 개인정보보호를 위해서는 전자정부 시스템에 대한 보안이 매우 중요하기 때문에 차세대 전자정부도 보안에 많은 예산을 투자하는 방향으로 추진해 나갈 계획이며 특히, 정보시스템에 대한 엄격한 접근통제, 웹 서비스 보안 취약점 개선, 범정부적인 사이버 대응체계 강화 등에 예산을 중점투자할 계획이라고 밝혔다.
구체적으로, 프라이버시 보호를 위한 공공기관의 개인정보보호체계 강화를 위해, 공공기관 개인정보 사전영향평가제를 도입하고, 개인정보 유출 상시 모니터링을 강화할 계획이며 전자정부의 안전성 제고를 위한 종합 보안관리체계 마련을 위해, 차세대 신분관리체계, 행정전자서명(G-PKI) 등과 연계하여 각종 전자정부서비스에 안전하고 편리하게 접근하기 위한 신원확인 및 권한관리, 사용자관리 통합관리체계 등을 종합한 전자정부서비스 통합인증체계(e-Authentication)를 구축하고 전자정부서비스 보안인프라 고도화를 위해, 정보자산의 중요도·영향도에 따른 보안등급 부여 및 관리체계 마련, 전자정부서비스 상시 보안수준 분석·평가 등 전자정부 사업의 全 과정에 있어 보안관리체계를 강화할 계획이라고 밝혔다.
또한, 무분별한 인터넷 사용에 따른 정보 유출방지, 공무원 인터넷 사용환경 개선 등을 위해 정부업무망과 인터넷망을 분리하고, 행정기관 지방이전, 현장근무 확대 등에 따른 출장·원격근무 확산에 대비, 정부원격접속센터 확대 운영 및 정보유출시스템을 강화하고 보안 유관기관間 정보공유·공동대응 및 협력체계 강화를 위해, 중앙행정기관 및 지자체 합동의 전자정부 사이버침해사고대응협의회(G-CERT)를 구성하여 활성화시키고 민간 관련기관間 업무 공조를 강화할 계획이라고 밝혔다.
안전행정부 개요
전자정부 운영, 민생치안, 재해 재난 관리, 건전한 지방자치제도 개선 및 지방재정 확립, 선거 국민투표, 공무원의 인사 및 복지, 행정조직의 관리 등을 관장하는 중앙행정기관이다. 내무부에서 행정자치부, 행정안전부, 안전행정부로 명칭이 바뀌었다. 세종시에 본부를 두고 있다. 소속기관으로는 정부청사관리소, 국가기록원, 국립과학수사연구소, 지방행정연수원, 이북5도위원회, 경찰위원회 등이 있다.
웹사이트: http://www.mospa.go.kr
연락처
행정자치부 보안관리팀 전문위원 한근희 02-2100-3628
