국가사이버안보센터는 관련 법률에 따라 국가 및 공공기관 정보통신망을 대상으로 사이버 보안관리 수준 측정(이하 '보안측정')을 실시하여 보안 취약요인을 발굴하고 각급기관이 보안대책을 수립할 수 있도록 맞춤형 컨설팅을 제공하고 있습니다. 아울러, 중앙행정기관 등은 해당 기관에 대한 사이버공격·위협에 대한 예방 및 대응에 필요한 진단·점검을 연 1회 이상 실시하는 등 국가정보원과 유기적으로 협력하여 사이버보안 수준을 제고하고 있습니다.
보안측정은 대상기관의 사이버보안 관리 수준을 점검하고 취약요소 개선대책을 지원하는 보안 강화 활동입니다. 국가정보원은 보안측정을 통해 확인된 기관의 취약 요소를 분석, 발생 원인과 위험성을 평가한 후 개선방안을 제시함으로써 기관 스스로 실효성 있는 보안대책을 수립·시행할 수 있도록 지원하고 있습니다.
보안측정은 수행 방식에 따라 현장측정과 원격측정으로 구분됩니다. 현장측정은 국가정보원 전문 요원이 대상기관을 방문하여 기관 정보시스템 구성·운영 현황을 파악하고, 데이터 보호체계 및 시스템 접근통제 정책 등 전반적인 보안 수준을 확인하며, 인터넷 등 외부 접점을 통해 기관 내부 시스템에 비정상 접근이 가능하거나 데이터를 무단 유출할 수 있는지 등 다양한 해킹 가능성을 점검합니다. 아울러, 원격측정은 기관의 대표 홈페이지와 같이 인터넷에 노출된 대민서비스 등을 실제 해커가 공격하는 것과 유사하게 원격지에서 보안 취약요인을 찾고 다양한 공격 방식을 이용해 모의 침투하는 방식입니다.
| 단계 | 주요내용 | |
|---|---|---|
| ① | 현황 분석 |
|
| ② | 취약점 진단 |
|
| ③ | 결과 분석 |
|
| ④ | 보안대책 수립·권고 |
|
<보안진단 절차와 주요내용>
국가정보원은 중앙행정기관, 광역지자체, 공공기관 대상 사이버공격 및 위협 예방,대응하기 위하여 체계적인 정보보안 업무 수행여부 등 ‘사이버보안 실태’를 평가하고 있습니다. 국가정보원법, 사이버안보업무규정, 전자정부법, 공공기록물관리법 등을 업무수행 근거로 하고 있으며, 해마다 정보보안 환경변화, 최신 사이버위협 등을 반영한 평가지표를 수정, 보완하고 있으며, 평가 시행을 위한 항목, 절차,시기 등을 해당기관에 미리 통보합니다.
<사이버보안 실태 평가 절차>
평가절차는 7단계로 이루어지며, 우선 평가대상으로 선정된 기관은 평가지표를 참조하여 정해진 기간 동안 평가 항목별로 자체평가를 실시합니다. 국가정보원은 기관 자체평가에 대한 객관성, 적절성을 확인하기 위하여 해당 기관을 방문하여 자체평가결과를 검증합니다. 이때 검증에 대한 객관성과 공정성을 담보하기 위하여 현장 실사에 전문가를 참여시킬 수 있으며, 해당 기관의 장에게 자체 평가에 대한 증빙자료 제출, 담당자 면담 등 협조를 요청할 수 있습니다.
현장실사 종료 후 각 기관은 추가 증빙자료를 통하여 이의신청을 할 수 있으며, 국가정보원은 이의신청 내용에 대한 평가 반영 여부를 검토합니다. 이후, 최종 평가 결과를 대상기관에 통보하며, 해당 기관은 평가결과를 자체 정보보안 정책 수립 시 반영하고, 미흡한 점을 개선·보완합니다. 또한 평가결과는 국가·공공기관 정부업무평가에 반영하도록 행정안전부 및 기획재정부에 통보하고, 국무조정실을 통하여 국무회의에서 보고됩니다. 국가정보원(국가사이버안보센터)은 평가 결과 공통적으로 드러난 보안 취약요인을 개선할 수 있도록 정보보안 정책 수립 시 반영하는 한편, 다음 해 사이버보안 실태 평가 시 개선 여부를 집중 점검합니다. 또한, 국가·공공기관의 보안대책 이행력을 높이기 위해 2023년부터 각급 기관의 평가결과를 3등급(우수·보통·미흡)으로 나누어 대외 공개하고 있습니다.
국가사이버안보센터는 「정보통신기반 보호법」을 근거로 주요정보통신기반시설의 안정적 관리·운영을 위해 공공분야의 정보통신기반 보호정책 수립과 시행을 총괄·조정하는 등 관계 중앙행정기관 간 사이버안보 예방 활동을 수행하고 있습니다.
또한 공공분야 실무위원회(위원장: 국가정보원 3차장)를 운영하고 있으며, 공공분야 실무위원회 회의는 매년 연말에 개최하여 각 중앙행정기관의 금년 보호대책 이행결과, 차년도 보호계획 수립, 주요정보통신기반시설의 신규 지정·지정 해제 등 안건을 심의합니다.
표. 주요정보통신기반시설 보호 추진 체계
| 수행 주체 | 주요 기능 |
|---|---|
| 정보통신기반보호위원회 (국무조정실) |
|
| 관계 중앙행정기관 |
|
| 관리기관 |
|
| 국가정보원/ 과학기술정보통신부 |
|
| 한국인터넷진흥원/ 국가보안기술연구소/ 정보공유·분석센터/ 정보보호 전문서비스 기업 |
|
기반시설을 보유한 관리기관에 대하여 주요정보통신기반시설 보호 대책의 이행 여부를 확인할 수 있으며, 이행 여부 확인에 필요한 자료의 제출 및 보호조치의 세부적인 내용을 확인·점검합니다. 보호대책 이행여부는 서면 점검과 현장 점검으로 이루어지며, 점검 결과는 관리기관에서 제출한 보호대책 이행 평가와 보호대책 이행 여부 확인 항목에 따라 이루어집니다.
주요정보통신기반보호 워크숍, 기반보호포럼을 매년 개최하고 있으며, 기반시설 보안담당자의 정보보호 인식제고 및 역량 강화 도모와 정책방향 공유 등 협력 시너지를 위한 소통의 장을 마련하고 있습니다.
국가사이버안보센터는 국가정보보안기본지침에 따라 각급기관에서 수행하는 정보화사업과 관련, 보안대책의 적절성을 확인하기 위해 보안성검토 제도를 운영하고 있습니다.
보안성검토 요청을 위해서는 사업 계획(사업 공고 전) 보안성 검토를 사안에 따라 국가사이버안보센터 또는 상급기관의 장에게 요청합니다.
다만, 단순 장비·물품구입·장비교체 및 기존 보안성검토 완료 이후 정보통신망 구성 변경 없이 장비 추가 등에 대해서는 보안성검토 생략이 가능합니다.
요청 시 제출 문서
- 사업계획서(사업목적 및 추진계획 포함)
- 제안요청서
- 정보통신망 구성도(필요 시 IP 추가)
- 자체 보안대책
- 시스템 중요도 분류 체크리스트(클라우드 한정)
각급 기관은 보안성 검토결과를 통보받은 경우 검토결과를 반영하여 보안대책을 보완해야 합니다.
이후, 보안성검토를 수행한 기관에서는 보안성 검토결과 반영여부를 확인하기 위해 현장 점검을 실시할 수 있습니다.
또한, 상급기관은 매년 1.25까지 전년도에 실시한 해당기관 및 관할 하급기관의 정보화사업에 대한 보안성 검토결과 현황을 국가사이버안보센터에 제출하여야 합니다.
- 다만, 국방부는 본부 및 소속기관에 한해 제출합니다.
