'종합대책'에 해당되는 글 4건

  1. 2014.05.01 정보보호산업 발전 종합대책, 어디까지 왔나?
  2. 2014.03.10 금융분야 개인정보 유출 재발방지 종합대책 (1)
  3. 2013.08.28 국가사이버안보 종합대책을 통해서 본 인력양성의 한계 및 대응방안
2014. 5. 1. 01:08

정보보호산업 발전 종합대책, 어디까지 왔나?

728x90

우수·현장인력 부족, 제품비중 높은 후진적 구조 개선에 초점  

미래부 강성주 국장 “ICT 강국에 걸맞는 사이버 안전국가 실현”

http://www.boannews.com/media/view.asp?idx=40725&skind=B



미래부는 지난해 7월 정보보호산업 발전 종합대책을 발표한 바 있다.




기존 주요 정보통신 기반시설은 209개에서 현재 292개로, 순차적으로 확대되고 있음을 확인했다. 또한 정보보호 관리체계 인증대상은 150개에서 현재 272개로 확대됐고, 이대로라면 2017년에는 목표치인 500개를 훌쩍 넘을 수 있을 것으로 기대된다. 그리고 정보보호 컨설팅 전문업체 지정요건이 완화되면서 전문업체가 7개에서 18개로 확대됐다.


원천 핵심기술 경쟁력 강화 측면에서는 지난해 하반기에 정책 로드맵이 완성됐으며(2013년 11월), 현재 계속 진행중인 것으로 나타났다.


정보보호 전문인력은 KITRI의 BOB과정 120명, KISA아카데미의 K-Shield과정 120명 등 총 240명을 양성했고, 올해도 비슷한 규모인 240명 정도를 양성할 계획이라고 밝혔다. 이어 취업 연계과정인 고용계약형 석사과정 지원사업을 통해 137명을 기업과 매칭시키는 결과를 가져왔다.



출처 : 보안뉴스


Trackback 0 Comment 0
2014. 3. 10. 19:01

금융분야 개인정보 유출 재발방지 종합대책

728x90

정부는 『경제혁신 3개년 계획』 의 "원칙이 바로 선 시장경제" 분야 핵심과제 중 하나로 금융분야 개인정보 유출 재발방지 종합대책을 관계부처 합동으로 마련하였습니다. 이번 대책은 최근 발생한 카드사 정보유출과 과거 해킹사고 등에서 드러난 문제점에 대한 근본적종합적 재발방지 방안을 마련하여 부분적단편적 대응에 따른 반복적인 정보유출해킹사고를 차단하고자 합니다.  이번 사고를 계기로 ICT에 기초한 신용사회의 기반을 재구축한다는 차원에서 금융분야 개인정보 보호 및 사이버안전을 획기적으로 제고할 수 있는 방안을 강구하는데 중점을 두었습니다.

 

이번 "종합대책"은 다음 4가지 기본방향에 따라 마련하였습니다.

 

1. 개인정보의 '수집-보유·활용-파기' 등 단계별로 금융소비자의 권리 보호 및 금융회사 책임을 대폭 강화합니다.

 

구체적인 기술적 보안방안에 있어서는 자율권을 부여하되, 유출사고 발생시에는 금융회사에 엄정히 책임을 물어 형식적 기준과 절차만 준수하면 사고가 발생해도 제재를 받지 않는 문제를 방지할 수 있습니다. 

 

금융회사의 정보슈집을 최소화하고 보관기간을5년으로 단축하는 등 정보를 체계적으로 엄격하게 관리합니다. 주민등록번호는 최초 거래시에만 수집을 하되, 번호 노출이 최소화되는 방식으로 수집하고, 암화화여 제대로 보관하도록 합니다. 또 정보 제공 등의 동의서 양식을 중요사항은 잘 보이도록 글씨를 크게 하고, 필수사항에 대한 동의만으로 계약이 체결되도록 전면개편합니다. 

 

(자세히 보기 : 정보 처리 관계별 금융소비자의 권리 및 금융회사 책임을 강화합니다.)

 

 

2. 금융회사가 확실하게 책임지는 구조를 확립합니다.

 

CEO 등의 책임을 강화하고 모집인과 제3자에게 제공한 정보에 대해서도 금융회사에 관리책임을 부과합니다. 또한 징벌적 과징금 도입, 형벌과 행정제재 상향을 통해 개인정보보호법 등 정보보호의 일반법보다 책임을 한층 강화하고자 합니다.

 

(자세히 보기 : 금융회사가 확실하게 책임지는 구조를 확립합니다)​

 

3. 해킹 등 외부로부터의 전자적 침해행위에 대해서도 기존 대책('13.7월 발표)을 대폭 보강합니다.

 

주기적인 보안 이행실태 점검보안전담기구 설치 등으로 상시적인 보안체계 구축합니다. 금융전산 보안전담기구 설치 등을 통해 금융회사의 보안통제를 강화하는 한편, 카드결제 정보가 안전하게 처리되도록 단말기를 전면교체합니다. 특히 해킹에 철저히 대응하고, 카드결제과정에서의 정보보호도 한층 강화할 예정입니다.

 

 

(자세히보기 : 외부로부터 전자적 침해행위에 대해서도 기존 대책을 대폭 강화합니다)​

 

4. 이미 계열사와 제3자에 제공되었거나 외부유출된 정보로 인해 잠재적으로 피해가 발생할 가능성에 대해서도 대응방안을 강구합니다.

 

금융회사가 보유 또는 제공한 정보도 불필요한 것은 즉시 삭제하고, 정보 유출시 대응 매뉴얼을 마련하고, 비상 대응 체계를 구축합니다. 기존 정보로 인한 잠재적 피해 가능성을 차단하고, 신속하고 세밀한 대응을 통해 피해 최소화 및 확산을 억제하도록 합니다.

 

(자세히보기 : 잠재적으로 피해가 발생할 가능성에 대해서도 대응방안을 강구합니다)​




출처 : http://blog.naver.com/blogfsc/


Trackback 0 Comment 1
  1. Favicon of https://blog.pages.kr 날으는물고기 2014.03.10 19:01 신고 address edit & del reply

    개인정보 다량보유 기업에 정보보호관리체계 의무화
    http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=001&aid=0006796151&sid1=001&lfrom=facebook

2013. 8. 28. 18:44

국가사이버안보 종합대책을 통해서 본 인력양성의 한계 및 대응방안

728x90

정부는 최근 몇 년간 정보보호 및 사이버보안과 관련하여 범정부차원에서 법적, 정책적, 예산적인 측면에서 많은 노력을 쏟았다. 이러한 정부의 노력은 근 10년 간 굵직한 보안 사고들이 연달아 일어나면서 생긴 결과이다. 올해 들어 3.20 사이버테러, 6.25 사이버공격 등이 연이어 발생하자 국가안보를 위협하는 각종 사이버위협 범국가 차원의 역량을 결집하여 체계적으로 대응하기 위해 관계부처 합동으로 국가사이버안보 종합대책을 발표하였다. 특히 이번 발표에서 전문인력양성 부분은 주목해볼 만하다. 

정부는 7월 4일 발표한 국가사이버안보 종합대책에서 사이버안보 창조적(Creative) 기반 조성을 위해 최정예 정보보호 전문가 양성사업 확대 및 영재교육원 설립 등 다양한 인력양성 프로그램을 추진하여 2017년까지 사이버 전문인력 5,000명을 양성한다고 밝혔다. 이는 같은 날 발표한 정보보호산업 발전 종합대책에 보다 자세히 기술 되어 있는데 정보보호 산업을 리드하는 최정예 정보보호 전문인력 양성을 목표로 잠재인력 발굴 지원과 전문인력 양성, 정보보호 전문인력 체계적 공급체계 구축을 목표로 SS(Security Scholarship)시스템을 제안했다.  SS시스템은 초·중학교부터 해킹방어대회와 동아리 등을 통해 잠재인력을 발굴하고 정보보호 관련분야의 학부와 석·박사의 특별교육과 연구자 및 최고보안전문가들을 위한 활동지원과 지원 사업에 대해 지원하는 시스템이다. 더불어 정보보호인력양성을 위해 사이버해킹·방어 실전 훈련장, 전보보호 국가자격제도, 인력 통합관리 지원 시스템운영과 같은 인프라를 제공할 계획임을 발표했다.

인력양성은 정보보안의 핵심 부분으로써 정부가 종합대책이전부터 가장 공을 들여온 분야이다. 그러나 이러한 정부의 발표에 대해 전문가들의 의견은 다소 회의적이다.

지난 8월 13일, 홍문종 의원실 주최로 국회에서 열린 <국가 사이버안보 종합대책에 대한 평가와 개선방안 토론회>에서 보안업계 및 학계 전문가들은 국가사이버안보 종합대책과 관련하여 의견을 수렴하고 이행방안에 대해 논의하는 시간을 가졌다. 전문가들은 국가 사이버안보 종합대책과 정보보호 산업발전 종합대책에 대해 큰 틀에 대해서는 적절성에 동의하고 주요 내용에 대해 긍정적인 평가를 했다. 그러나 사이버 보안 역량 강화의 핵심은 인력의 양성과 확보라는 의견을 밝히며, 전문인력 양성을 위한 구체적인 방안 마련과 함께 일부 내용에 대해 보완과 보안업계의 현황을 고려한 세부적인 이행방안이 마련될 필요성을 강조했다. 전문가들은 현재 사이버 전문인력 양성은 단기 전문교육을 통한 양적 확대에 치중하고 있으며, 국가 사이버 안보 종합대책과 정보보호 산업발전 종합대책에서 제시한 최정예 정보보호 전문가 5,000명 양성을 위한 구체적 실행방안에 대한 의문이 제기되고 있다고 밝혔다. 덧붙여 앞으로 국가 사이버 안보 강화를 위해 사이버 전문인력 양성을 위한 구체적 실현방안에 대한 논의와 이를 바탕으로 한 정책 추진이 필요하다고 말했다. 

정부는 업계의 이러한 현실적인 요구에 주목할 필요가 있다. 한국의 정보보안 현실에서 전문적인 보안인력을 제대로 키울 수 있는 시스템이 열악하다고 할 수 있다. 현재 국내에는 체계적인 전문 교육과정이 미흡한 상황이다. 초·중학교 및 고등학교의 정보보안 교육과정은 거의 없다고 할 수 있으며 있더라도 단기간이고 단발적인 경우가 많다. 학부 및 석·박사 과정에서도 국내의 정보보안 학과의 규모를 통해 가늠해볼 때 정보보안 교육과정이 단절되는 경우가 많다. 정보보안을 공부하려고 하는 많은 입문자가 학원을 선택하는 경우가 많은데 이는 고급정보보안 전문가를 키워내는데 한계가 있을 뿐만 아니라 결국, 공신력 있는 제대로 된 교육기관이 없어서 빚어진 문제점이라 할 수 있다. 

정보보안분야의 고급인력양성은 장기적이고 거시적인 차원에서의 국가전략과 연계한 로드맵을 구축해야 한다. 국가 미래 전략 차원의 고급인재육성을 위해서는 장기적인 로드맵은 필수적이다. 또한, 지속적으로 제기되어 오고 있는 정보보안 분야의 고급인력의 수급부족현상을 해소하고 양적 공급규모 확대를 유지하면서, 향후 질적 고급인력양성으로 전환하기 위해서는 전문교육기관에서의 정규과정 및 교과과정이 필수적이다.

한국의 정보보호학부 및 대학원의 숫자가 극도로 제한적인 점과 컴퓨터공학 및 정보통신분야와 정보보안 분야 사이의 차이가 극명한 것을 고려할 때에 초등교육부터 시작해서 학부, 석·박사까지 계속 이어지는 정보보호분야만의 교육체계가 필요하다. 

최근 정보보안은 국가안보에 있어 필수요소가 되고 있다. 전 세계적으로 해킹 공격이 국가 기반시설과 기간망을 위협하는 상황에서 미국을 비롯한 여러 국가는 이미 사이버부대를 창설함은 물론 사이버인재를 발굴·양성하기 위한 국가적 차원의 청사진을 제시하고 있다. 이것은 북한 역시 마찬가지이다. 이렇듯 여러 국가가 정부 차원에서 정보보안 인력양성에 적극적으로 나서고 있는 이유는 정보보안 분야가 단기간이 아니라 장기간의 교육과 투자를 통해서만 현실필드에서 필요로 하는 고급전문인력 배출이 가능하기 때문이다. 

보다 체계적으로 이행하기 위한 정부의 의지를 보여줘야 할 때이다. 정보보호 인력 통합관리지원시스템 구축 및 운영이 성공하기 위해서는 더욱 구체적인 이행방법이 나와야만 한다. 정부가 발표한 SS 시스템은 물론 대학 IT 연구센터, 정보보호특성화대학과 같은 국가주도의 체계적인 지원과 정부정책 수립, 그리고 제도화하는 것이 중요하다.


[작성일] 2013. 8. 23

[필자] 임종인 (고려대학교 사이버국방학과 교수·사이버국방연구센터 센터장)

임종인 교수는 1986년 고려대학교에서 수학과 박사학위를 받고 1986년부터 고려대학교 교수로 재직하고 있으며, 현재는 고려대학교 정보보호대학원 대학원장과 정보보호기술연구원 원장, 사이버국방학과 교수직을 맡고 있다. 임종인 교수는 정보보호 분야의 전문가로서 최근에는 정보보호정책, 사이버전, 융합기술 보안 등 다양한 정보보호주제에 대하여 연구하고 있으며 행정안전부 정책자문위원회 위원, 경찰청 정보통신위원회 자문위원, 국방연구원 KIDA-Fellow, 국가정보원/국가보안기술연구소 정보보안/암호정책 자문위원 등으로 활동하고 있다.



출처 : www.boannews.com


Trackback 0 Comment 0