2024-04-26 14:35 (금)
정부3.0 클라우드 종합계획에 바람직한 보안전략 담기길
상태바
정부3.0 클라우드 종합계획에 바람직한 보안전략 담기길
  • 길민권
  • 승인 2014.09.06 13:55
이 기사를 공유합니다
다양한 인증 수단 동원해 2중, 3중 안전 확보하는 것 중요해
[칼럼. 세이프넷 박종필 이사] 안전행정부가 '정부3.0 클라우드 종합계획 수립사업' 착수 보고회를 8월 27일 개최했다. 계획의 골자는 정부 부처 공무원들이 시간, 장소, 기기 구분 없이 행정 업무를 볼 수 있게 하겠다는 것이다. 간단히 말해 스마트워크 환경으로 일하는 방식의 대대적인 전환을 예고한 것이다.
 
정부부처 사무실이 스마트워크 환경으로 바뀌면 가장 먼저 달라지는 것은 PC가 될 전망이다. 아직 구체적인 안은 없지만 서버 기반(SBC)으로 하건, 클라이언트 기반(CBC)으로 하건 결국 가상화의 길을 걷게 될 것이다. PC에서 만들어지고, 처리되는 정형, 비정형 정보들 역시 개인 PC에 장착된 하드드라이브가 아니라 중앙 저장소에 담기게 된다고 한다.
 
스마트한 정부의 구상은 바람직한 방향이다. 국가 균형 발전의 일환으로 추진 중인 정부 부처와 공공 기관의 지방 이전을 놓고 처음에는 공공 행정 업무 효율 저하에 대한 우려의 목소리가 높았다. 하지만 지금은 쏙 들어가는 분위기다. 거리가 가깝다고 효율적으로 일한다는 것은 무슨 근거인가? 거리 불문하고 효율적으로 일하는 조직은 이 세상에 너무나도 많다. IT 기술은 이미 십 수년 전부터 새로운 효율성을 사무 공간에 불어 넣어 왔다. 이번 정부3.0 클라우드 종합계획 수립사업은 보다 효율적으로 일하는 공무원 조직을 만들 것으로 기대한다.
 
다만 걸리는 것이 하나 있다. 바로 보안이다. 민감한 정책부터 국민 개개인의 소중한 개인정보를 다루는 기관이다 보니 보안에 더욱 민감할 수 밖에 없다. 안행부가 계획을 세울 때 가장 중요시 봐야 할 보안 과제는 '사용자 인증'일 것이다. 분명 아이디/패스워드 방식이 아니라 다중 인증(Multi-factor authentication)을 고려할 텐데 문제는 수단이 무엇이냐 하는 것이다.
 
어디까지나 추측인데 공인인증서를 다중 인증 수단으로 쓴다면 보안적으로 굉장히 큰 허점이 생기게 될 것이다. 아이디/패스워드를 넣고 공인인증서로 이중 인증을 시도한 곳이 공통적으로 겪는 이슈는 관리가 사실 상 안 된다는 것이다. 옆 자리 동료가 급한 일 때문에 자신의 계정으로 시스템에 접근해야 한다고 가정 해보자. 인증서가 들어 있는 USB 좀 빌려줘라고 하면, 안 주는 사람이 얼마나 되겠는가? 그리고 공인인증서가 들은 기기를 잃어 버린다면? 이를 재발급하기까지 걸리는 시간 동안 손 놓고 있어야 한다.
 
더 큰 문제는 공인인증서가 보안에 취약하다는 것이다. 얼마 전 순천향대 SCH사이버보안연구센터에서 발표한 바에 따르면 최근 2주일 동안 개인 PC에서 공인인증서 1,400여 건이 유출된 것이 발견되었다고 한다. 공인인증서를 빼내는 데 사용된 악성코드는 사용자가 특성 사이트에 접속하면 몰래 PC를 감염시킨 후 PC나 이동식 디스크에 저장된 공인인증서 폴더를 압축해 해커에게 전송하는 수법을 사용했다. 문제는 이런 공격 기법은 무수히 많다는 것이다. 완벽한 망 분리가 가능하다면 막을 수 있겠지만 이는 현실적으로 불가능하다. 스카다 시스템 조차 뚫리는 세상에서 ‘완벽한 격리’란 존재하지 않는다.
 
완벽한 망 분리가 아니라면 대안은 무엇인가? 바로 표준화된 기초 위에 다양한 인증 수단을 동원해 2중, 3중 안전을 확보하는 것이다. 다양성을 강조하는 이유는 하나의 수단으로 사용자 인증을 통일하는 것은 옳지 않은 접근 방법이기 때문이다. 사용자의 역할과 책임을 면밀히 분석한 후 각각에 맞는 인증 수단을 제공해야 한다.
 
물론 그 전제 조건은 디렉토리 서비스(Directory Service)를 이용하는 것이다. LDAP이나 Active Directory 같이 사용자 계정과 인증의 토대 역할을 하는 기반 없이 인증 솔루션을 쓰면 '비표준화'에 따른 중복 투자를 피할 수 없을 뿐 아니라 특정 솔루션에 끌려 다니는 일이 생기게 된다. 기초를 탄탄히 다진 후 중요 시설에 출입하는 이에게는 스마트 카드를 일반 사용자에게는 모바일 OTP를 그리고 외부 인력에게는 한시적으로 사용할 그리드 카드를 제공하는 등 역할과 책임에 기초에 다중 인증 수단을 제공해야 한다. 이런 전문적인 시각이 정부3.0 클라우드 종합계획에 반영되길 바란다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
[글. 세이프넷 박종필 이사]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권
길민권 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트