한국해킹보안협회, CISO 초청 해킹보안 전략세미나 개최
▲ CISO 초청 해킹보안 전략세미나
한국해킹보안협회(회장 박성득)는 지난 8월 27일 서울 팔래스 호텔에서 CISO 해킹보안 전략세미나를 개최했다. 이날 세미나는 CISO(정보보안책임자)들이 한자리에 모여 해킹보안에 대한 CISO의 해킹 대응전략, 글로벌 동향으로 본 보안 기본 과제 등의 주제를 두고 참석자간 열띤 토의를 가졌다.
참석자들은 그 동안의 정보보안 관련 세미나들이 공급자 시각에서 이뤄져왔으나 CISO, 즉 수요자 시각에서 세미나가 개최되어 매우 뜻 깊은 자리로 평가했다. 아울러 해킹보안에 대하여 체계적으로 대응하기 위하여 국가적 정보보안체계의 구축이 시급하며 CISO가 적극적으로 참여하여 이러한 문제에 대응해야한다고 주장했다. 이를 위해 그 동안 서비스 중심의 정보시스템 구축에서 해킹보안 중심의 시스템 구축의 전환 필요성도 제기되었다.
이날 행사에서 ETRI 정교일 박사는 세계적으로 스마트그리드에 대한 논의가 활발해지고 있는 상황에서 스마트그리드 보안 문제는 국가가 나서서 지금부터 준비를 할 필요가 있다고 말했다. 특히 스마트그리드 보안 문제는 그린 인프라 시대에서 본격적으로 보안의 필요성이 강조되는 중심에 있을 것으로 내다보았다.
또한 서울여자대학교 이기한 교수는 사회적으로 문제가 되고 있고 해킹보안에 대한 취약성이 가장 높은 게임 분야에서의 해킹보안 문제를 시급히 해결할 필요가 있음을 강조했다. 이날참석한 게임 분야 CISO들은 협회가 앞장설 경우 적극적으로 게임 분야의 보안 문제에 대하여 참여할 의사가 있음을 밝혔다.
이날 행사는 행정안전부, 지식경제부, 국방부 등 정부기관관계자 및 한국인터넷진흥원 등 공공기관 관계자 등을 비롯하여 모두 100여명이 참석하였다.
한국해킹보안협회 박성득 회장은"지금까지 CISO들이 한자리에 모일 수 있는 기회가 많지 않았다"고 전제," 앞으로 협회가 중심이 되어 우리나라가 건전하고 안전한 인터넷 강국이 될 수있도록 최선을 다해 나갈 계획"이라고 밝혔다.
한국해킹보안협회는 오는 11월 한일 해킹보안 정책세미나를 개최하는 등 국제적인 해킹보안 공조 활동에도 적극 나설 계획이다. 아울러 분야별 CISO들을 초청하는 행사를 연말까지 두 차례 이상 개최할 예정이다.
주요 내용은 다음과 같다.
'글로벌 동향으로 본 보안 기본 과제'
한국IBM 서성원 전문위원
보안의 기본 구조로서 end to end 보안 프레임워크의 중요성을 날로 커지고 있다. end to end 보안 프레임워크는 고객정보 암호화에서 사용자 단계에 이르는 전 과정의 보안 체계를 의미한다.
최근 해킹보안 분야는 고객정보보호 관리체계 취약, 인허가자에 의한 내부 정보 유출, 분산서비스거부공격(DDoS), 웹서버해킹, 피싱, OS 크래쉬 공격, 바이러스 침투, 통합 모니터링 시스템 미가동 등 다양한 위험에 노출되어 있어 그 대응이 용이하지 않다. 이러한 문제의 대응 기본에 고객 정보의 암호화, 계정관리 등이 있다.
고객 정보의 암호화는 HSM 암호화 장비를 이용하여 보안관리 수준 향상과 국제 표준 암호화 및 운영 기준에 적합하도록 해야 한다. 특히 최근 들어 내부 직원에 의한 고객 정보의 유출 및 그 피해가 크게 증가하고 있다. 이점을 인식하고 이에 대한 대응 체계를 서둘러 구축해야 한다. 나아가 많은 부분에서 계정 및 권한 관리에 문제점이 나타나고 있다. 이에 대한 정책 수립도 시급히 이루어져야 한다.
계정 및 권한 관리 체계를 구축함으로써 업무 목적에 맞게 정보자산을 관리할 수 있으며 이를 효과적으로 통제함으로써 정보위험을 최소화 할 수 있는 것이다. 특히 이러한 계정 및 권한관리는 통합되고 중앙 집중적으로 관리를 해야 그 효과가 크다.
'CISO 해킹보안 대응전략'
숭실대학교 이경석 교수
현 상황에서는 가장 시급한 과제는 무엇보다도 국가적 정보 보안 관리체계의 구축이다. 그 동안 해킹보안 정책이 정보보안 솔루션 공급 위주로 이뤄져 급격한 해킹보안 환경의 변화에 체계적으로 대응하지 못하는 문제점을 노출했기 때문이다.
특히 국제적인 표준으로 자리 매김하고 있는 ISO 27000표준을 바탕으로 더 확장된 국가적 정보보안 체계를 만들 필요가 있다. CISO는 기업의 어느 특정 영역을 담당하는 지위가 아니라 CEO, CFO, CIO 등과 같이 기업의 모든 분야에서 중요한 역할을 해야 한다.
이를 위해서 CISO는 해킹보안 및 정보통신 환경의 변화를 신속하게 습득하고 조직을 변화시킬 수 있는 능력을 갖추어야 된다. 또한 CISO는 해킹보안에 대한 체계적인 전략을 수립하는 전략가로서의 역할도 필요하다. 나아가 모든 해킹보안 전략은 계획 실행 사후관리 체계로 이뤄져야 한다.
특히 해킹 등 침해 사고에 대한 피해 예방을 위하여 보험 등과 같은 성격의 피해 보상 구제책이 마련되어야 한다. 인터넷 침해에도 기업의 운영이 중단 없이 이뤄지도록 하는 지속 운영 체계를 확보할 필요성 내지는 당위성도 있다.
아울러 미래의 변화하는 환경에 효과적으로 대응하기 위하여 미래 성장성이 높은 분야부터 전문가로 구성된 해킹보안 전문가 활동이 있어야 한다. 이 같은 전 방위적인 활동을 원활히 진행하기 위해 CISO간 교류 체계도 확보하여야 된다.
특히 이러한 활동에서 나온 결과를 바탕으로 ISO 등 국제적인 표준기구에도 적극적으로 활동을 해야 하며 이를 위한 보안표준전문가 양성도 필요하다.
보안 분야의 국제적인 활동을 강화하기 위하여 본인이 몸담고 있는 SC27 분야와 SC17 등의 분야 간에 교류 및 협력이 중요하다. SC17 분야와의 공조도 지속적으로 이끌 계획이며 이러한 활동에 CISO들의 적극적인 관심과 동참이 필요하다.