[논문]주요정보통신기반시설 보호를 위한 취약점 분석.평가 관리 방안

박순태; 이완석; 노봉남

주요정보통신기반시설 보호를 위한 취약점 분석.평가 관리 방안 원문보기

국내에서는 정보통신기반시설의 중요성을 인식하고 2001년부터 정보통신기반보호법을 제정하여 이중 국가 사회적 중요성이 높은 시설을 주요정보통신기반시설로 지정하여 국가차원의 관리를 하고 있다. 이러한 주요정보통신기반시설에 대하여 해당 관리기관은 시설에 대한 취약점 분석 평가를 실시하고 있다. 본고에서는 관리기관이 자체 수행 또는 외부 컨설팅 기관을 이용하여 해당 시설에 적합한 취약점 분석 평가가 이루어질 수 있도록 취약점 분석 평가 관리 방안을 제시하였다. 또한 방송 통신 분야 주요정보통신기반시설에 적용한 사례를 분석함으로써 분야별 취약점 분석 평가 관리 방안 적용결과를 검증하였다. 주요정보통신기반시설을 보유한 관리기관별 또는 소관 분야 주요정보통신기반시설을 관리하는 관계중앙행정기관은 제안하는 방안을 활용하여 해당 시설에 적합한 취약점 분석 평가를 수행 또는 관리할 수 있을 것이다.

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

[3] 본고에서는 방송·통신 분야를 중심으로 주요정보통신기반시설의 지정으로부터 취약점 분석·평가 수행, 보호대책 수립 등 관련된 프로세스와 기존 취약점 분석·평가 관리가 적절히 수행되었는지를 살펴본다.
취약점 분석·평가가 적절히 수행되었는지에 대한 확인 방법은 관리기관의 규모와 특정을 고려하지 않고 획일적이고, 단순 점검만 시행하였다. 기관별 112개 점검항목에 대하여 완료, 권고, 보완으로 구분하여 체크리스트 점검 및 의견을 기술하는 것이다. 그림 4와 그림 5에 보호대책을 검토하는 체크리스트 및 취약점 분석·평가에 대한 적절성 여부 검토 방법을 예로 들었다.
[3] 본고에서는 방송·통신 분야를 중심으로 주요정보통신기반시설의 지정으로부터 취약점 분석·평가 수행, 보호대책 수립 등 관련된 프로세스와 기존 취약점 분석·평가 관리가 적절히 수행되었는지를 살펴본다. 또한 이를 개선하기 위한 방안 및 적용 사례를 제시하여 주요정보통신기반시설 관리기관이나 소관 부처가 정책방향을 수립하는데 도움을 주고자 한다.

제안 방법

2009년 5월부터 8월까지 방송통신위원회 소관 17개 주요정보통신기반시설 관리기관을 대상으로 2010년도 보호대책에 취약점 분석·평가의 적절성 검토를 시범적용하였다. 5개 분야 56개 항목 및 456개 세부항목에 대하여 해당 항목의 관리기관별 적용 여부를 확인하였으며, 주요정보통신기반시설 관리기관 규모별, 유형별로 분석을 할 수 있었다. 규모에 따른 분류는 주요정보통신 기반시설 세부시설의 규모를 Large(기반시설 100 이상), Medium(기반시설 100 미만～50 이상), Small(기반시설 50 미만)으로 하였다.
가장 우선적으로 전담반을 구성하여 취약점 분석·평가 계획을 수립한다.
[6] 취약점 분석·평가 관리방안은 관리기관의 시설 및 정보보호 조직의 규모에 따른 맞춤형 취약성 분석·평가 적절성 검토 프로세스를 적용할 수 있도록 하였다. 개선 점검항목에 대한 관리기관별 적용가능 항목 의견을 수렴하여 총 456개의 항목 중 시설 및 조직의 규모에 따라, 미적용 항목을 제외하고, 기반시설 관리기관을 기반시설 규모, 유형별로 분류하여 적용할 수 있도록 하였다.
관리기관의 인수·합병, 분할 등 변화되는 상황과 기반시설변경 사항을 포함하여 최초 취약점 분석·평가를 통해 수립한 보호대책의 목적과 목표를 달성하였는지를 확인하게 된다.
또한 취약점 분석·평가 수행 계획서에 나타난 단계와 태스크에 대하여 단계 시작 시 필요한 준비 사항들에 관한 프로세스 품질 점검 항목들을 검토하고, 단계가 끝나는 시점에서 해당 단계의 프로세스 및 산출물 품질 점검 항목들을 검토한다.
모든 검토는 단계 시작 전에 품질관리인 및 외주 컨설팅을 이용할 경우는 발주 기관과 수행 기관의 협의에 따라, 자체 수행할 경우는 취약점 분석·평가 전담반과 함께 각 단계나 태스크에 대하여 검토할 품질 항목들을 선정하고 이를 기준으로 삼아 수행 한다.
이를 위하여 5개 프로세스에 대한 품질 관리 방안을 마련하고 방송·통신 분야의 주요정보통신기반시설 관리기관을 대상으로 향후 취약점 분석·평가시 반영할 것인지 여부를 시범적용을 통해 확인하였다.
이후 계획에 따라 취약점 분석·평가 대상을 선별하고, 다음 단계에서 선별된 대상에 대한 위협요인 및 취약점 분석을 실시한다.
지금까지 전자적 침해행위에 의한 사고가 발생할 경우 국가·사회적으로 많은 영향을 끼치는 주요정보통신 기반시설을 보호하기 위하여 지정부터 취약점 분석·평가 및 보호대책 수립 등을 통한 주요정보통신기반시설의 보호활동을 살펴보았다.
취약점 분석·평가가 적절히 수행되었는지에 대한 확인 방법은 관리기관의 규모와 특정을 고려하지 않고 획일적이고, 단순 점검만 시행하였다.
또한, 취약점 분석·평가 품질 검토시 점검 항목은 다음과 같다. 품질 검토 시에는 산출물에 대한 검토를 중점적으로 실시하고, 산출물의 품질이 미흡할 경우 이에 대한 원인을 파악하기 위해 필요한 정도의 프로세스 검토를 수행한다. 취약점 분석·평가 수행 계획서에 나타난 단계와 태스크에 대한 산출물 검토를 수행하고, 필수 항목들을 중점적으로 검토하며, 필요한 경우에 한하여 산출물 품질 점검 항목의 선택 항목 및 프로세스 품질 점검 항목의 필수사항을 선택적으로 적용할 수 있다.

대상 데이터

2009년 5월부터 8월까지 방송통신위원회 소관 17개 주요정보통신기반시설 관리기관을 대상으로 2010년도 보호대책에 취약점 분석·평가의 적절성 검토를 시범적용하였다.

이론/모형

취약점 분석·평가를 실시하는 주요정보통신기반시설 관리기관은 KISA가 제공한 취약점 분석·평가 모델, IPAK(Information Protection Assessment Kit), IAM(INFOSEC Assessment Methodology), VAF (Vulnerability Assessment Framework), OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)[5], Risk Management Guide for IT Systems 등을 참고하여 기관 실정에 맞는 방법론을 사용한다

성능/효과

환경분석 및 요구분석 부분에서는 대부분의 관리기관이 정보시스템 분석, 관리적/물리적/기술적 현황 분석 부분을 적용하는 것으로 선택하였다. 또한 다수의 관리기관이 산업환경 분석 및 요구사항 분석의 제안요청서 분석을 미적용하는 것으로 선택하였다. 그림 16은 환경분석 및 요구분석 부분에 대한 시범 적용 결과이다.
취약점 분석․평가 결과는 즉시, 단기, 중·장기로 구분하여 비용 효과적으로 추진하게 된다.

후속연구

또한, 주요정보통신기반시설 관리기관은 취약점 분석·평가 수행시 자체 수행, 외주 용역 등을 구분하여 기관 특성에 맞게 적절성 검토 방안을 마련하고, 그 검토 결과를 바탕으로 향후 취약점 분석·평가에 활용할 수 있을 것이다.

핵심어

질문

논문에서 추출한 답변

정보통신기반보호법을 제정 및 공포 한 이유는?

국내에서는 2001년 금융·통신·에너지 등 국가와 사회의 중요한 정보통신기반시설을 체계적으로 보호하기 위하여 정보통신기반보호법을 제정 및 공포하였다.

정보통신기반시설이란?

정보통신기반시설이란 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제1호의 규정에 의한 정보통신망을 가리킨다.

주요정보통신기반시설의 지정여부 평가를 위한 5가지 기준은?

1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회적 중요성 2. 제1호의 규정에 의한 기관이 수행하는 업무의 정보통신기반시설에 대한 의존도 3. 다른 정보통신기반시설과의 상호연계성 4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위 5. 침해사고의 발생가능성 또는 그 복구의 용이성

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

주요정보통신기반시설 보호를 위한 취약점 분석.평가 관리 방안 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

질의응답

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

주요정보통신기반시설 보호를 위한 취약점 분석.평가 관리 방안 원문보기

초록 AI-Helper

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

질의응답

이 논문을 인용한 문헌

저자의 다른 논문 :

박순태 (2) 노봉남 (88)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

초록
AI-Helper

AI 본문요약
AI-Helper