영상 자막
[음성]손석이: 여러분 안녕하신지요 글씨 잘 쓰는 남자, 석이 손석이 인사드리겠습니다
[자막]손석이: 여러분 안녕하신지요 글씨 잘 쓰는 남자, 석이 손석이 인사드리겠습니다
[음성]손석이:자, 오늘은 국가정보원, 보통 국정원이라고 부르죠 이 국정원의 주요 업무 중 하나인 '사이버안보'업무에 대해 알아보는 시간을 마련했습니다
[자막]손석이:오늘은 국가정보원, 보통 국정원이라고 하죠 이 국정원의 주요 업무 중 하나인 '사이버안보'업무에 대해 알아보는 시간을 마련했습니다
[음성]손석이:국정원은 국가안전보장에 관련된 정보 및 보안업무를 담당하기 위하여 대통령 직속으로 설치된 조직이죠 이 국정원은 사이버안보 업무를 효율적으로 수행하기 위해 그 소속으로 국가사이버안보센터를 설립했는데요
[자막]손석이:국정원은 국가안전보장에 관련된 정보 및 보안업무를 담당하기 위하여 대통령 직속으로 설치된 조직이죠 국정원은 사이버안보 업무를 효율적으로 수행하기 위해 그 소속으로 국가사이버안보센터를 설립
[음성]손석이:국가사이버안보센터는 국가정보원법과 사이버안보 업무 규정 등 개별 법령에 따라 국가 전체 영역을 포괄하는 사이버안보 관련 정보 업무와 공공부문을 대상으로 하는 사이버 공격&위협의 예방과 대응 업무를 수행하고 있다고 합니다 자세한 사항 국가정보원 전문 기자를 모셔서 함께 얘기 들어 보도록 하죠
[자막]손석이:국가사이버안보센터는 국가정보원법과 사이버안보 업무 규정 등 개별 법령에 따라 국가 전체 영역을 포괄하는 사이버안보 관련 정보 업무와 공공부문을 대상으로 하는 사이버 공격·위협의 예방과 대응 업무를 수행
[자막]국가정보원 전문기자
[음성]최향락:예 안녕하슈!최향락 기자예요 제가 오늘 저기 보도를 위해서 특별히 아무나 갈 수 없는 데잖아유 국정원을 직접 다녀왔슈
[자막]최향락:예 안녕하슈!최향락 기자예요 제가 보도를 위해서 특별히 아무나 갈 수 없는 데잖아유 국정원을 직접 다녀왔슈
[음성]손석이:아이고최기자님 대단하시네요 국정원 출입기자가 되신 건가요?
[자막]손석이:아이고 최기자님 대단하시네요 국정원 출입기자가 되신 건가요?
[음성]최향락:그렇다고 봐야쥬 그래 역시 가보니까 국정원은 달라~ 입구에 방호 요원들부터 아주 그냥 저거하고 들어가기 전에는 보안서약서 작성에다가 휴대폰 등등 모든 전자기기는 반납까지 시키고 아주 그냥 철저하게 하더라고
[자막]최향락:그렇다고 봐야쥬 그래 역시 가보니까 국정원은 달라~ 입구에 방호 요원들부터 아주 그냥 저거하고 들어가기 전에는 보안서약서 작성에다가 휴대폰 등등 모든 전자기기는 반납까지 시키고 아주 그냥 철저하게 하더라고
[음성]근디 이게 다가 아니야 내용이 있어 국정원의 사이버안보 업무 체계를 봤더니 그거는 더 철저해요 그게 이제 설명하자면 크게 두 가지로 분류가 되는데 잘 들어요
[자막]근디 이게 다가 아니야 내용이 있어 국정원의 사이버안보 업무 체계를 봤더니 그거는 더 철저해요 그게 이제 설명하자면 크게 두 가지로 분류가 되는데 잘 들어요
[화면]사이버안보 업무 체계!
[음성]최향락:첫째 국가 전체 영역을 포괄하는 사이버안보 관련 정보 업무하고
[자막]1.사이버안보 관련 정보 업무
[음성]최향락:둘째 공공부문을 대상으로 하는 이 사이버위협을 예방하고 유사시에 대응하는 업무 이렇게 이제 나뉘진다는거여
[자막]2.사이버위협 예방 및 대응 업무
[음성]최향락:지금부터 좀 더 자세히 말씀드릴테니 잘 들어봐유
[자막]최향락:지금부터 좀 더 자세히 말씀드릴테니 잘 들어봐유
[음성]최향락모르면 손해여! 이 국정원이유~ 국가기관과 공공기관 정보통신망을 대상으로 보안 진단 및 컨설팅을 실시하고 있슈
[자막]최향락모르면 손해여! 이 국정원이유~ 국가기관과 공공기관 정보통신망을 대상으로 보안 진단 및 컨설팅을 실시하고 있슈
[음성]손석이:아 예 국정원에서 컨설팅도 하시는군요?
[자막]손석이:국정원에서 컨설팅도 하시는군요?
[음성]최향락:멋있지유? 나도 처음 알았잖어 국가 공공기관 정보통신망은 물론이고 국민 생활과 밀접하게 연관되어 있는 정보통신기반시설 등의 안전성을 제고하기 위하여 실시하고 있는 건디
[자막]최향락:멋있지유? 나도 처음 알았잖어 국가 공공기관 정보통신망은 물론이고 국민 생활과 밀접하게 연관되어 있는 정보통신기반시설 등의 안전성을 제고하기 위하여 실시
[음성]최향락:이게 보면은 보안 진단과 컨설팅은 현장점검과 원격점검의 융합방식으로 인제 진행되유 섞어서 한다는 얘기지요
[자막]현장점검과 원격점검의 융합
[음성]최향락:먼저 현장점검은 전문요원이 시스템의 구성 운영현황을 파악하고 데이터 보호 시스템 접근통제 등의 보안체계를 확인해유 그리고 인터넷 등 외부 접점을 통한 내부망으로의 침투 가능성,비인가자에 의한 시스템 무단 접속 및 주요 데이터 유출 위험성 등을 중점 점검하는 거지요
[자막]최향락:먼저 현장점검은 전문 요원이 시스템의 구성 · 운영현황을 파악하고 데이터 보호 · 시스템 접근통제 등 보안체계를 확인해유 그리고 인터넷 등 외부 접점을 통한 내부망으로의 침투가능성, 비인가자에 의한 시스템 무단 접속 및 주요 데이터 유출 위험성 등을 중점 점검하는 거지요
[화면자료]1. 예방
1.보안진단
단계|현황분석 주요내용|진단 대상 정보통신망 구성,운영현황 등 파악 및 보안체계 분석
1.현장점검 전문 요원이 외부 접점을 통한 내부망으로의 침투 가능성, 비인가자에 의한 시스템 무단 접속 및 주요 데이터 유출 위험성 등을 중점 점검
[음성]손석이:예 근데 최기자님, 저만 그럴까요? 꼭 저 핸드폰이나 TV나 기계가 뭔가 잘 안되가지고 전문가를 부르면 갑자기 그때 또 잘 되잖아요
[자막]손석이:그런데 최기자님, 저만 그런가요? 꼭 핸드폰이나 TV나 기계가 뭔가 잘 안 돼서 전문가를 부르면 갑자기 또 잘 되잖아요?
[음성]손석이:혹시 이렇듯이 보안 진단시에도 혹시나 현장 점검을 갔더니 갑자기 그때는 또 문제가 없다 이렇게 진단이 되면 어떻게 하지요?
[자막]손석이:혹시 이렇듯이 보안 진단 시에도 혹시나 현장 점검을 갔더니 갑자기 그때는 또 문제가 없다 이렇게 진단이 되면 어떻게 하지요?
[음성]최향락:괜찮아요~ 진짜로 문제가 없다 하면은 보안 활동을 엄청나게 잘하고 있다고 봐야되는거지 뭐 그리고 저기 뭐 현장 저거 말고 원격 점검도 실시하잖아요 바로 실제처럼 모의 공격을 해보는겨
[자막]최향락:괜찮아요~ 진짜로 문제가 없다 하면은 보안 활동을 엄청나게 잘하고 있다고 봐야되는거지 뭐
[화면]원격 점검 실시 -> 모의공격
[음성]최향락:이 원격점검은 기관의 대표 홈페이지 등 인터넷을 통해 접근 가능한 시스템에 대하여 원격지에서 진단을 실시하는 방식인디 실제 공격자가 관리자의 권한 탈취 데이터 절취 등 시스템에 침투하는 방법과 동일한 방식으로다가 모의 공격을 해 가지고 취약 요인을 확인하는 방법이 있지유
[자막]최향락:원격점검은 기관의 대표 홈페이지 등 인터넷을 통해 접근 가능한 시스템에 대하여 원격지에서 진단을 실시하는 방식 실제 공격자가 관리자의 권한 탈취 · 데이터 절취 등 시스템에 침투하는 방법과 동일한 방식으로다가 모의 공격을 해 가지고 취약 요인을 확인하는 방법이 있지요
[화면자료]취약점 진단| 모의 공격으로 인터넷을 통한 내부망 침투 가능성, 비인가자의 시스템 무단 접속 및 데이터 유출 위험성 등 취약요소 중간 점검
2.원격 점검 :실제 공격자가 관리지에 권한 탈취,데이터 절취 등 시스템에 침투하는 방법과 동일한 방식으로 원격지에서 모의 공격을 실시하여 취약요인을 확인
[음성]손석이:예, 그거 좋네요 모의공격을 해보면 취약점이 실제로 잘 파악이 되겠군요
[자막]손석이:예, 그거 좋네요 모의공격을 해보면 취약점이 실제로 잘 파악이 되겠군요
[음성]최향락: 그렇지유 공격자 입장에서 실제 공격을 해보는 것이니께 더 많은 취약점을 확인할 수 있는 방법이겠쥬 근데 이런 식으로 점검을 실시한 이후에는 시스템에 내재된 취약점이 나올 거 아니여 그걸 파괴해 가지고 해당 기관이 보안 대책을 수립하고 조치할 수 있도록 맞춤형 컨설팅이 여기서 들어가는겨
[자막]최향락: 그렇지유 공격자 입장에서 실제 공격을 해보는 것이니께 더 많은 취약점을 확인할 수 있는 방법이겠쥬 데 이런 식으로 점검을 실시한 이후에는 시스템에 내재된 취약점이 나올 거 아니여 그걸 파괴해 가지고 해당 기관이 보안 대책을 수립하고 조치할 수 있도록 맞춤형 컨설팅이 여기서 들어가는겨
[화면자료]
결과 분석|진단결과 확인된 취약요인 분석 및 위험도 평가
보안대책 수립,권고| 취약요인별 보안대책 수립 권고 등 컨설팅 및 진단 결과 통보
[음성]손석이:이야..이 영상 보시는 분들은 빨리해 보고 싶으실 것 같네요
[자막]손석이:와..이 영상 보시는 분들은 빨리해 보고 싶으실 것 같네요
[음성]최향락:그렇쥬~ 그런디 좀 기다리셔야 해유! 보안진단은 각 기관으로부터 연말에 진단 희망의사를 파악한 뒤에 해당 기관을 선정을 해유
[자막]최향락:그렇쥬~ 그런데 좀 기다리셔야 해유!
[자막]각 기관으로부터 연말에 진단 희망의사를 파악한 후 대상 기관 선정
[음성]최향락:그런데 신청 기관이 많을 수가 있잖아 그럴 경우에는 모두 이걸 모두 하긴 힘들잖아 그래서 중요시스템 등을 먼저 선별한 다음에 지원한다고 하드라고
[자막]최향락:그런데 신청 기관이 많을 수가 있잖아 그럴 경우에는 모두 이걸 하긴 힘들잖아
[자막]중요시스템 등을 먼저 선별한 후 지원
[음성]손석이:예 최기자님 혹시 아무리 보안 진단을 해서 취약점을 보강을 해도 그 이후에 관리 자체가 잘못된다면 그것 또한 문제가 아닐까요?
[자막]손석이:최기자님, 혹시... 아무리 보안 진단을 해서 취약점을 보강해도 그 이후에 관리 자체가 잘못된다면 그것도 문제가 아닐까요?
[음성]최향락:괜찮아유~ 아니 안 괜찮겠네! 이거는 아유 역시 우리 손석이님, 예리하셔~ 맞아유 그래서 국정원에서는 정보보안 관리실태 평가라는 제도를 운영중이에요
[자막]최향락:괜찮아유~ 아니 안 괜찮겠네! 아유 역시 우리 손석이님, 예리하셔~ 맞아유
[자막]정보보안 관리실태 평가제도 운영
[음성]최향락:앞에서 말씀드린 보안 진단이라는게 열쇠&자물쇠가 얼마나 견고한지 확인하는 과정이었다면 정보보안 관리실태 평가는 주변환경이 어떻게 이제 뭐, 변하지는 않았는가
[자막]최향락:앞에서 말씀드린 보안 진단이라는게 열쇠&자물쇠가 얼마나 견고한지 확인하는 과정이었다면, 정보보안 관리실태 평가는 주변환경이 변하지는 않았는가
[음성]최향락:경첩이 못이 빠졌는지 뭐 이런 걸 본다고 볼 수 있것지 그리고 또 열쇠와 자물쇠는 누가 어떻게 관리하고 있나 이런 것등을 평가하는 과정이라고 보면 되겠지요
[자막]최향락:경첩이 못이 빠졌는지 뭐 이런 걸 본다고 볼 수 있겠쥬 그리고 또 열쇠와 자물쇠는 누가 어떻게 관리하고 있나 이런 것들을 평가하는 과정이라고 보면 되겠지요
[음성]손석이:예 아이구 최기자님 비유를 들으니, 이해가 잘되는군요 어떤 것이든 관리가 참 중요한 거 같습니다
[자막]손석이:최기자님 비유를 들으니, 이해가 잘되는군요 어떤 것이든 관리가 참 중요한 거 같습니다
[음성]최향락:예 그렇지요 그렇다고 봐야지요 이 국정원은 중앙행정기관&광역지자체&공공기관등의 사이버 공격 및 위협에 대한 예방과 대응 실태 평가를 위해서 체계적인 정보보안 업무 수행 여부 등을 중점 점검을 하고 있는디요
[자막]최향락:그렇지요 그렇다고 봐야지요 국정원은 중앙행정기관·광역지자체·공공기관등의 사이버 공격 및 위협에 대한 예방과 대응 실태 평가를 위해 체계적인 정보보안 업무 수행 여부 등을 중점 점검
[음성]최향락:중앙행정기관을 시작을 해가지고 광역지자체&공공기관 등으로 평가대상을 확대했고 연 1회 평가를 실시하고 있다고 그래요 특히 정보보안 환경 변화, 최신 사이버 위협등을 반영해가지고 해마다 평가 지표를 수정 및 보완하고 그러고 있고, 평가 시행을 위한 항목 절차 시기 등을 해당 기관에 미리 통보를 하는 방식이지유
[자막]최향락:중앙행정기관을 시작을 해가지고 광역지자체,공공기관으로 평가대상을 확대했고 연 1회 평가 정보보안 환경 변화, 최신 사이버 위협등을 반영
[음성]최향락:해마다 평가 지표를 수정 및 보완하고 그러고 있고 평가 시행을 위한 항목 절차 시기 등을 해당 기관에 미리 통보를 하는 방식이지유
[자막]최향락:해마다 평가 지표를 수정 및 보완하고 평가 시행을 위한 항목 · 절차 · 시기 등을 해당 기관에 미리 통보를 하는 방식이지유
[음성]손석이:네, 시시각각 바뀌는 환경에 대응하기 위해 굉장히 많은 노력을 하고 계시는군요 기관들도 많이 바쁘실 것 같습니다
[자막]손석이:네, 시시각각 바뀌는 환경에 대응하기 위해 굉장히 많은 노력을 하고 계시는군요 기관들도 많이 바쁘실 것 같습니다
[음성]최향락:그렇쥬, 괜히 바쁜게 아녀유 다 이게 정보보안이 중요하기 때문에 그런거지요 정보보안 관리실태 평가를 계기로다가 각급 기관은 정보보안의 중요성을 인식하고
[자막]최향락:그렇쥬, 괜히 바쁜게 아녀유 정보보안이 중요하기 때문 정보보안 관리실태 평가를 계기로다가 각급 기관은 정보보안의 중요성을 인식
[음성]최향락:매년 기관 실적에 따라 인력과 예산 등 투자를 확대하는 등 사이버위협에 대한 자체 대응역량을 강화하는데 많은 노력을 기울이고 있다고 그래요 이 부분은 이제 중요한 부분이어서 자료 화면을 준비했거든요 봐유
[자막]최향락:매년 기관 실적에 따라 인력과 예산 등 투자를 확대하는 등 사버위협에 대한 자체 대응역량을 강화하는데 많은 노력, 이 부분은 이제 중요한 부분이어서 자료 화면을 준비했거든요
[해설음성]평가대상으로 선정된 기관은 평가 지표를 참조하여 정해진 기간 동안 자체평가를 실시하게 됩니다 그 후, 국정원이 자체 평가에 대한 객관성,적절성을 확인하기 위하여 해당 기관을 방문하여 자체 평가 결과를 검증하죠
이때 검증에 대한 공정성과 객관성이 중요합니다 그래서 현장 실사에 학계와 연구 분야 전문가를 함께 참여시킬 수 있고, 해당 기관 평가에 대한 증빙자료 제출, 담당자 면담 등 협조를 요청할 수 있습니다.
현장실사 종료 후 각 기관은 추가 증빙자료를 통하여 이의신청을 할 수 있으며 국정원은 합동 검증에서 이의신청 내용을 재평가하게 됩니다 이후'정보보안 관리실태 평가위원회'를 개최하여 평가 결과에 대한 적절성을 검토 및 확인하고 최종 평가를 대상 기관에 통보합니다
해당 기관은 평가 결과를 자체 정부 업무평가에 반영하도록 행정안전부 및 기획재정부에 통보하고 국무조정실을 통하여 국무회의에 보고하게 됩니다
[해설자막]
평가대상으로 선정된 기관은 평가 지표를 참조하여 정해진 기간 동안 자체평가를 실시하게 됩니다 그 후, 국정원이 자체 평가에 대한 객관성,적절성을 확인, 해당 기관을 방문하여 자체 평가 결과를 검증하죠.
이때 검증에 대한 공정성과 객관성이 중요,그래서 현장 실사에 학계와 연구 분야 전문가를 함께 참여시킬 수 있고, 해당 기관 평가에 대한 증빙자료 제출, 담당자 면담 등 협조를 요청할 수 있습니다.현장실사 종료 후 각 기관은 추가 증빙자료를 통하여 이의신청을 할 수 있으며 국정원은 합동 검증에서 이의신청 내용을 재평가하게 됩니다
이후'정보보안 관리실태 평가위원회'를 개최하여 평가 결과에 대한 적절성을 검토 및 확인하고 최종 평가를 대상 기관에 통보합니다해당 기관은 평가 결과를 자체 정부 업무평가에 반영하도록 행정안전부 및 기획재정부에 통보하고 국무조정실을 통하여 국무회의에 보고하게 됩니다
[자료화면]2. 정보보안 관리실태 평가 [단계]1. 기관자체평가, 2.현장실사, 3.추가 증빙 및 이의신청, 4.평가 결과 검토 · 확인 5.평가 결과 통보 [주체] 1. 각기관, 2.국가정보원, 3.각 기관, 4.평가위원회, 5.국가정보원
[음성]손석이:예, 단계가 정말 많군요 그리고 국무회의까지 보고가 된다고 하니 정말 정보보안이 중요하긴 한 모양입니다
[자막]손석이:예, 단계가 정말 많군요 국무회의까지 보고가 된다고 하니 정말 정보보안이 중요하긴 한 모양입니다
[음성]손석이:아 그런데 진행하다보면 공통적으로 나오는 보안 취약 요인들이 있을것 같은데요
[자막]공통적으로 나오는 보안 취약 요인
[음성]최향락:그렇죠 평가 결과 공통적으로 발견되는 취약점이 나오지요 그래서 그 취약점이 나오면은 그것을 개선할 수 있도록 정책 수립시에요 반영하고 다음해 평가 시에 개선 여부를 주기적으로 점검하는 그런 시스템으로 가는거죠
[자막]최향락:그렇쥬 평가 결과 공통적으로 발견되는 취약점이 나오지요, 평과 결과 공통적으로 발견되는 취약점을 개선할 수 있도록 정책 수립 시에도 반영, 다음해 평가 시에 개선 여부를 집중적으로 점검
[음성]손석이:예 그러고 보니 이미 운영중인 시스템말고도 새로 도입하려는 시스템에 대해서도 미리 보안이 되면 좋겠다는 생각이 드는데요
국가,공공기관들에서 전산장비등을 새로 구입하여 도입할 때 도입시기부터 보안 측면에서 고려해야 할 사항 있다면 뭐가 있을까요?
[자막]손석이:그러고 보니 이미 운영중인 시스템말고도 새로 도입하려는 시스템에 대해서도 미리 보안이 되면 좋겠다는 생각이 드는데요, 국가,공공기관들에서 전산장비들을 새로 구입하여 도입할 때 보안 측면에서 고려해야 할 사항
[음성]최향락:그렇지요~단순한 PC구매면 몰라도 국가 공공기관에서 보안 기능이 탑재된 장비를 구매해 갖고 도입할 때는 그 안전성을 검증하고 도입해야 되는 게 기본이겠죠? 국가,공공기관은 도입 대상제품이 CC인증,보안기능 확인서 등 사전도입 요건을 만족하였는지 확인하고
이 검증이 필요한 제품에 대해서는 국정원에 보안 적합성 검증을 신청해가지고 검증이 완료된 이후에 제품이 운용 가능한 그런 시스템이지요 즉 CC인증,보안기능 확인서,성능평가 등 사전에 검증을 완료해가지고 안전성 검증필 제품 목록에 등재되어 있는 제품이나
국제CC인증을 받은 제품 등이 도입 및 운용이 가능한 것이지유
[자막]최향락:그렇지요~단순한 PC구매라면 몰라도, 보안 기능이 탑재된 장비를 구매하여 도입할 때
[자막]최향락:그 안전성을 검증하고 도입해야 되는 게 기본이겠쥬? 국가,공공기관은 도입 대상제품이 CC인증,보안기능 확인서 등 사전도입 요건을 만족하였는지 확인하고 검증이 필요한 제품에 대해서는 국정원에 보안 적합성 검증을 신청 검증이 완료된 이후 제품 운용 가능
즉 CC인증,보안기능 확인서,성능평가 등 사전에 검증을 완료하여 안전성 검증필 제품 목록에 등재되어 있는 제품이나 국제 CC인증을 받은 제품 등이 도입 및 운용이 가능한 것이지유
[음성]손석이:그런데 워낙에 많은 제품들이 있잖아요 그래서 제품을 도입하는 분들이 현장에서 헷갈리지 않을까요?
[자막]손석이:그런데 워낙에 많은 제품들이 있잖아요 그래서 제품을 도입하는 분들이 현장에서 헷갈리지 않을까요?
[음성]최향락:괜찮아요 그래갖고 국정원에서 혼동이 없도록 국정원 홈페이지 보안 적합성 검증 페이지에 안전성 검증필 제품 목록이랑 적합성 검증을 받아야 하는 제품 유형 등을 게시를 해놨잖아요 그거 참고하면 되는겨
[자막]최향락:괜찮아요~ 그래갖고 국정원에서 혼동이 없도록 국정원 홈페이지 보안 적합성 검증 페이지등에 안전성 검증필 제품 목록이랑 적합성 검증을 받아야 하는 제품 유형 등을 게시, 그거 참고하면 되는겨
[음성]손석이:역시 참 친절하고 자세하네요 그럼 해당 내용만 확인하고 진행하면 다른 문제는 없겠습니다
[자막]손석이:역시 참 친절하고 자세하네요 그럼 해당 내용만 확인하고 진행하면 다른 문제는 없겠습니다
[음성]최향락:아니지유 남았지유 지금까지는 제품 도입에 대한 부분이였구요 국정원에서는 국가,공공기관이 정보통신망 변경이 발생하거나 정보시스템 국축 등과 같은 정보화 사업을 추진할 시에 보안적으로 문제가 없는지를 확인하는 보안성 검토 절차를 준수하도록 하고 있슈
이 보안성 검토 절차로 먼저 각 기관은 첫째,자체 보안심의위를 구성해가지고 보안 대책을 수립하고, 상위기관인 중앙행정기관 등에 사업에 대한 보안성 검토를 위뢰해유
두번째, 중앙행정기관은 사업의 내용이 비밀을 유통하는 정보통신망이나 국가 위기 관리와 관련된 정보통신망 및 시스템 구축 등일 경우에는 국정원으로 보안성 검토를 다시 의뢰를 넘기게 되유 그러면 국정원 및 중앙행정기관은
해당 사업에 맞는 보안 대책을 기관에 제시하고 그러면은 각 기관은 제시받은 보안 대책을 준수하면서 사업을 완료하게 되는 이런 절차로 이루어지게 되는 거지유 보안성 검토 관련해서 조금 더 자세한 사항은 이 국정원에서 국가,공공기관 대상으로 배포한 정보보안 기본지침에 수록되어 있으니께유
기관 담당자분들은 참고하시면 될 것 같에요
[자막]최향락:아니지유~ 남았죠 지금까지는 제품 도입에 대한 부분이였구요 국가,공공기관이 정보통신망 변경이 발생하거나, 정보시스템 구축 등과 같은 정보화 사업을 추진할 시에, 보안적으로 문제가 없는지를 확인하는 보안성 검토 절차를 준수
[자막]최향락:보안성 검토 절차로 먼저 각 기관은 첫째, 자체 보안심의위를 구성해가지고 보안 대책을 수립하고, 상위기관인 중앙행정기관 등에 사업에 대한 보안성 검토를 위뢰해유 두 번째, 중앙행정기관은 사업의 내용이 기밀을 유통하는 정보통신망이나 국가 위기 관리와 관련된 정보통신망 및 시스템 구축 등일 경우에는
국정원으로 보안성 검토를 다시 의뢰를 넘기게 되유 그러면 국정원 및 중앙행정기관은 해당 사업에 맞는 보안 대책을 기관에 제시하고 그러면은 각 기관은 제시받은 보안 대책을 준수하면서 사업을 완료하게 되는 이런 절차로 이루어지게 되는 거지유 보안성 검토 관련해서 조금 더 자세한 사항은 국정원에서
국가,공공기관 대상으로 배포한
정보보안 기본지침, 수록되어 있으니께유 기관 담당자분들은 참고하시면 될 것 같네요
[화면자료]
각 기관 - 중앙행정기관 - 국가정보원
1.
자체 보안심의위 구성하여 보안대책 수립
상위기관(중앙행정기관 등)에 사업에 대한 보안성 검토 의뢰
2.
국가 기밀 유통하는 정보통신망이나 국가위기 관리 관련된 정보통신망 및 시스템 구축 등일 경우 국정원으로 보안성 검토 의뢰
3. 해당사업에 맞는 보안대책을 기관에 제시
4. 제시 받은 보안대책을 준수하여 사업 완료
[화면 자료]
정보보안 기본 지침
(국가 정보보안 기본지침) 서가 화면에 나온다.
[음성]손석이:보안이 중요해서 그런지 정말 절차가 많이 까다로운 것 같습니다 하지만 이렇게 하고 있기 때문에 큰 문제가 발생하는 것을 미리 많이 예방하고 있는 거겠지요 최기자님 아무리 예방을 잘해도 사이버 공격이나 위협은 우리가 꾸준히 받게 될 텐데요 국정원에서 이것을 어떻게 대응하고 있는지도 소개해주실까요?
[자막]손석이:보안이 중요해서 그런지 정말 절차가 많이 까다로운 것 같습니다 하지만 이렇게 하고 있기 때문에 큰 문제가 발생하는 것을 미리 많이 예방하고 있는 거겠지요 최기자님 아무리 예방을 잘해도 사이버 공격이나 위협은 우리가 꾸준히 받게 될 텐데요, 어떻게 대응하고 있는지?
[음성]최향락:이 그래요 국정원은 국가,공공기관 정보통신망에 대하여 이제 단위 기관이죠 각급 기관 부문, 중앙행정기관을 말하는 거지요 국가, 국가사이버안보센터를 말해요 이런 어떤 보안관제를 구성된 3단계 사이버 공격 탐지 및 차단체계를 구축하고 365일 24시간 사이버공격 및 위협을 즉시 탐지하고 차단하고 있슈
[자막]최향락:그래요 국정원은 국가,공공기관 정보통신망에 대하여 단위 기관이죠 각급 기관 부문, 중앙행정기관을 말하는 거지요 국가, 국가사이버안보센터를 말해요 이런 보안관제를 구성된 3단계 사이버 공격 탐지 및 차단체계를 구축하고 ,365일 24시간! 사이버공격 및 위협을 즉시 탐지하고 차단
[음성]손석이:그렇군요 코로나로 인한 비대면 시대를 맞아서 사이버 공격이 더 증가하고 있는것 같습니다 아마 시청자분들도 뉴스에서 이런 관련된 소식을 많이들 접하셨을 텐데요
[자막]손석이:그렇군요 코로나로 인한 비대면 시대를 맞아서, 사이버 공격이 더 증가
[자막]손석이:아마 시청자분들도 뉴스에서 이런 관련된 소식을 많이들 접하셨을 텐데요
[음성]최향락:그렇지요 많이 보게 되지요 그래서 국정원은요 비대면 업무 시스템을 타깃으로 하는 공격과 랜섬 디도스 공격 등 정상 서비스 방해를 빌미로다가 이제 금전 요구 공격 등이 심화될 것으로 예상을 해가지고 이런 새로운 사이버위협에 대응하기 위하여 각 부문 보안관제센터와 함께
관제체계를 지속적으로 고도화 하고있고요 보안관제 실무자간 교류 및 협력을 증진하기 위한 워크숍 및 '민,관,군 기술교류협의회'를 주기적으로 개최해가지고 최신 보안관제 정책과 기술 등을 공유하고 있다그래유
[음성]손석이:예 최기자님 자 그럼 실제로 사고가 발생했을 때 우리는 어떻게 조치하면 좋을까요 국정원에서는 여러가지 대응을 하실 것 같은데
[음성]최향락:예 눈에 보이는 범인이라면 바로 잡아갖고 교도소로 보내면 좋겠지만 사이버 공격은 그게 아니니께 사이버 공격이유 그 쉽진 않잖아요 안보이니께 특히 사이버공격은 이제 여러 국가나 다양한 분야를 해킹 경유지로 악용하는 경우가 많던디 그래서 굉장히 중요한게 사고조사 및 분석과정이에요
이 사고조사는 사이버안보 관련 침해사고 발생 시에 국제 및 국가 배후 해킹조직의 행적을 확인하거나 공격주체를 규명하고, 원인분석 및 피해내역을 신속히 확인하는 것을 목표로 하는건디 이를 위해가지고, 국내외 유관기관과 공조체계를 유지하고 외국의 정보 및 보안기관과 최신 해킹기법과 사고 조사기술 등을 공유하는 정보협력에도 힘쓰고 있다고 그래유
[음성]최향락:그렇지요~많이 보게 되지요 그래서 국정원은요 비대면 업무 시스템을 타깃으로 하는 공격과 랜섬 디도스 공격 등 정상 서비스 방해를 빌미로다가 이제 금전 요구 공격 등이 심화될 것으로 예상을 해가지고 이런 새로운 사이버위협에 대응하기 위하여, 각 부문 보안관제센터와 함께 관제체계를 지속적으로 고도화
보안관제 실무자간 교류 및 협력을 증진하기 위한 워크숍 및 '민,관,군 기술교류협의회'를 주기적으로 개최, 최신 보안관제 정책과 기술 등을 공유
[자막]손석이:최기자님 실제로 사고가 발생했을 때 우리는 어떻게 조치하면 좋을까요? 국정원에서는 여러가지 대응을 하실 것 같은데요?
[자막]최향락:예~눈에 보이는 범인이라면 바로 잡아갖고 교도소로 보내면 좋겠지만 사이버 공격은 그게 아니니께 사이버 공격이유 쉽진 않잖아요 안보이니께 특히 사이버공격은, 여러 국가나 다양한 분야를 해킹 경유지로 악용, 사고 조사 및 분석과정, 사고 조사는 사이버안보 관련 침해사고 발생 시에, 국제 및 국가 배후 해킹조직의 행적을 확인하거나,
공격주체를 규명하고, 원인분석 및 피해내역을 신속히 확인하는 것을 목표, 이를 위해가지고, 국내외 유관기관과 공조체계를 유지하고 외국의 정보 및 보안기관과 최신 해킹기법과 사고 조사기술 등을 공유하는 정보협력에도 힘쓰고 있다고 그래유
[음성]손석이:예 그렇군요 자료화면이 있다고 하는데 잠깐 함께 보실까요 보시죠
[자막]손석이:예 그렇군요 자료화면이 있다고 하는데 잠깐 함께 보실까요? 보시죠
[해설음성] 침해사고 조사를 통해 공격기법,경유지 IP, 공격 도구, 악성코드 등 사이버 공격 사고정보를 정밀 채증하거나 외국의 정보기관과 국내외 보안업체로부터 입수한 악성코드를 분석하여 공격기법, 취약점, 해킹목적 등을 확인하는 분석업무를 수행하고 있으며, 유사 사이버침해 사고의 탐지 등을 위해 악성코드의 패턴 특징을 파악하여 보안관제탐지 규칙을 제작하고
이를 국가 사이버위협 정보공유시스템에 공유하고 있습니다 또한, 보안관제정보,조사 결과 등 각종 정보를 종합하여 공격 실체와 특징, 피해 규모 등을 판단하고 앞으로의 공격을 예측하여 사전 대비하는 등 위기관리를 수행하고 있습니다 범국가 차원의 위기상황으로 발전할 경우에는
위협 수준에 따라 사이버 위기 경보를 발령하여 대응하고 있습니다
[해설자막] 침해사고 조사를 통해 공격기법, 경유지 IP, 공격 도구, 악성코드 등 사이버 공격 사고정보를 정밀 채증하거나 외국의 정보기관과 국내외 보안업체로부터 입수한 악성코드를 분석하여 공격기법, 취약점, 해킹목적 등을 확인하는 분석업무를 수행하고 있으며, 유사 사이버침해 사고의 탐지 등을 위해 악성코드의 패턴 특징을 파악하여
보안관제탐지 규칙을 제작하고 이를 국가 사이버위협 정보공유시스템에 공유하고 있습니다. 또한, 보안관제정보, 조사 결과 등 각종 정보를 종합하여 공격 실체와 특징, 피해 규모 등을 판단하고 앞으로의 공격을 예측하여 사전 대비하는 등 위기관리를 수행하고 있습니다 범국가 차원의 위기상황으로 발전할 경우에는
위협 수준에 따라 사이버 위기 경보를 발령하여 대응하고 있습니다
[음성]손석이:예 아 이런 귀한 정보들 정말 많은 분들이 함께 아셨으면 좋겠네요
[자막]손석이:와... 이런 귀한 정보들 정말 많은 분들이 함께 아셨으면 좋겠네요
[음성]최향락:그렇지요 그래가지고 요즘에 정보공유라는게 이슈가 되고있고 국정원에서도 관련해 가지고 정보공유시스템을 이미 구축해 갖고 운영 중이라고 그래요 발 빨러
이거를 좀더 자세히 설명 드리자면 국정원은 사이버위협판단, 전망 및 피해 사고와 대응 현황 등에 대한 정보를 공유하기 위해 가지고 2016년 6월 모든 중앙행정기관에 사이버위협 정보공유시스템 NCTI를 연동했고요
2017년 7월부터 공공기관으로 그 범위를 확대했지요 또 2018년도부터는 광역 지자체를 시작으로 지방자치단체에도 연동을 시작했슈 정보공유시스템은 각급 기관 간 사이버위협 정보를 안정적으로 공유하기 위해 가지고
국정원을 중심으로 한 네트워트 체계를 갖추었고 전국적으로 연동할 수 있는 환경을 구축해 놨잖아요 그런데 이게 2020년에는 한술 더 떠 한층 업그레이드 됐지유 위협 대응,예방 보안,최신동향,통계 등의 다양한 정보를 더욱 체계적이고 효과적으로 전파 및 공유하고 각급 기관 사이버보안 역량 향상을 지원하는 등
사이버 정보 종합 포털로 발돋움했잖아유 방위산업체,국가 핵심기술 보유기업 등 국익 및 국가안보와 직결되는 산업분야의 사이버보안을 강화하기 위하여 인터넷 기반의 정보공유시스템 KCTI를 구축하고 2020년 10월부터 민간기업 대상 사이버위협 정보공유 서비스를 시작했슈 지금은 모든 방위산업체 및 핵심기술 보유기업 등으로 서비스 확대를 진행하고 있는 중이라고 그래요
[자막]최향락:그렇지요 ,정보공유, 또 이슈가 되고있고 국정원에서도 관련해 가지고, 정보공유시스템을 이미 구축해서 운영 중, 발 빨러 이거를 좀더 자세히 설명 드리자면 국정원은 사이버위협판단, 전망 및 피해 사고와 대응 현황 등에 대한 정보를 공유하기 위해 가지고 2016년 6월 모든 중앙행정기관에 사이버위협 정보공유시스템 NCTI를 연동했고요
2017년 7월부터 공공기관으로 그 범위를 확대했지요 또 2018년도부터는 광역 지자체를 시작으로 지방자치단체에도 연동을 시작했슈 정보공유시스템은 각급 기관 간 사이버위협 정보를 안정적으로 공유하기 위해 가지고
국정원을 중심으로 한 네트워트 체계를 갖추었고 전국적으로 연동할 수 있는 환경을 구축해 놨잖아요 그런데 이게 2020년에는 한술 더 떠 한층 업그레이드 됐지유 위협 대응,예방 보안,최신동향,통계 등의 다양한 정보를 더욱 체계적이고 효과적으로 전파 및 공유 각급 기관 사이버보안 역량 향상을 지원하는 등
사이버 정보 종합 포털로 발돋움했잖아유 방위산업체,국가 핵심기술 보유기업 등 국익 및 국가안보와 직결되는 산업분야의 사이버보안을 강화하기 위하여, 인터넷 기반의 정보공유시스템 KCTI를 구축, 2020년 10월부터, 민간기업 대상 사이버위협 정보공유 서비스, 모든 방위산업체 및 핵심기술 보유기업 등으로 서비스 확대를 진행
[음성]손석이:예 사이버위협 국정원에서 이렇게 사이버위협으로부터 예방과 대응 활동을 철저히 하고 더불어 우리 국가,공공기관들에서도 적극적으로 사이버안보를 위해 함께 노력해주시는 덕분에 우리 국민들이 이렇게 발 뻗고 잘 주무실 수 가 있는거 같습니다.
국가 사이버안보 활동과 관련된 추가적인 내용은 국정원과 유관기관이 발간하는 국가정보보호백서에서 확인할 수 있다고 하니까요 부족하신 부분은 확인해 보시길 바라겠습니다
이렇게 오늘 귀한 시간 내주셔서 고맙습니다 지금까지 손석이
[자막]손석이:국정원에서 이렇게 사이버위협으로부터 예방과 대응 활동을 철저히 하고 더불어 우리 국가,공공기관들에서도 적극적으로 사이버안보를 위해 함께 노력해주시는 덕분에 우리 국민들이 이렇게 발 뻗고 주무시는 것 같습니다
국가 사이버안보 활동과 관련된 추가적인 내용은 국정원과 유관기관이 발간하는, 2021국가정보보호백서, 부족하신 부분은 확인해 보시길 바라겠습니다
이렇게 오늘 귀한 시간 내주셔서 고맙습니다 지금까지 손석이
[음성]최향락:최향락이었슈
[자막]최향락:최향락이었슈
[음성]손석이:고맙습니다
[자막]손석이:고맙습니다