새롭게 선보인 국가 망 보안체계(N²SF)  우리나라는 2006년부터 국가‧공공기관 대상 망 분리 정책이 시행되었고, 이는 금융 및 방산 기관 등으로 확대되었다.  망 분리정책은 강력한 보안효과를 보이며, 실제로 2017년 전 세계를 강타한 랜섬웨어 공격에도 국내 피해가 적었던 이유는 망 분리 정책의 효과 때문이라고 많은 전문가들은 얘기한다. 하지만, 시대는 빠르게 변화하고 있으며 망 분리 정책의 단점으로 인해 업무 효율성 하락과 신기술 적용 불가능 등 크고 작은 문제가 꾸준히 발생하고 있다. 이에 국가정보원은 국가 망 보안정책 TF를 구성해 국가 망 보안체계(N²SF)를 수립하였다. 1/23 발간된 가이드라인을 기초로, 국가 망 보안체계가 무엇인지 알아보고자 한다.  1. 국가 망 보안체계 추진 배경 공공분야의 업무망은 안전성 확보를 위해 망 분리 정책을 적용하여 보안 위협에서 공공기관 시스템을 안전하게 보호하는 역할을 하고 있다.  망 분리의 핵심은 민감한 데이터를 다루는 내부망(업무망)을 일반 인터넷망과 분리 운영하여 인터넷을 통한 불법적인 접근이나 정보유출 등 외부로부터 사이버 위협을 원천으로 차단하는 목적이다. 망 분리 정책은 국내 보안 정책의 근간으로 자리 잡아 왔으며, 매우 강력한 보안 효과를 보인다. 그러나 최근 원격근무, 클라우드, 생성형 AI등 IT환경의 급격한 변화로 인해 인터넷과 단절된 망 분리 환경에서는 업무를 효율적으로 수행하기 어려워지고 있으며, 공공데이터 같은 신기술 활용에 어려움이 있는 문제점이 있다.  이에 데이터중요도에 따라 등급을 차등화 하는 국가 망 보안체계가 나오게 되었다. 2. 국가 망 보안체계 정의  국가 망 보안체계(National Network Security Framework)는 업무 중요도에 따라 국가 전산망을 기밀(C, Classified), 민감(S, Sensitive), 공개(O, Open) 3개 등급으로 분리하여 등급별로 구분해 기존 네트워크 기반의 ‘경계중심’에서 벗어나 ‘데이터 중요도 중심’으로 보안 기준을 재편하고 데이터의 중요도에 따라 보안 등급을 분류하여 망 관리 체계를 차등화 하여 관리하는 방식이다.    정보 분류 분류 기준 상세 분류 내용 비공개 정보 기밀정보(C) 비밀, 안보·국방·외교·수사 등 기밀정보 국민생활·생명·안전과 직결된 정보 제1호 : 법령상 비밀, 비공개 정보 제2호 : 안보·국방·통일·외교 관련 정보 제3호 : 국민의 생명·신체·재산보호 침해 관련 정보 제4호 : 재판·수사 등 관련 정보 민감정보(S) 비공개 정보 개인·국가 이익 침해가 가능한 정보 제5호 : 감시·감독·계약·의사결정 관련 정보 제6호 : 이름·주민번호 등 개인정보 제7호 : 법인의 경영·영업비밀 정보 제8호 : 부동산 투기·매점매석 등 관련 정보 기타 : 로그 및 임시백업 공개 정보 공개정보(O) 이외 모든 정보 가명처리 등 조치한 행정·민감 정보 공공데이터법(제2조)에 따른 공공데이터로 기밀·민감정보 이외 모든 정보 가명처리 등 관련 법 등에서 규정하는 요건을 만족하는 행정·민감 정보   3. 국가 망 보안체계 준비사항 국가 망 보안체계는 총 다섯 단계로 구성되며 각 절차는 수행기관에서 준비해야 한다. 1) 준비단계국가 망 보안체계 전체 절차를 위한 기초 데이터를 수집하고 N²SF 적용계획을 수립하는 단계이다. 2) C/S/O 등급분류 단계준비 단계에서 식별된 업무정보 정보시스템에 관한 C/S/O 등급을 분류하는 단계이다. 3) 위협식별 단계업무정보 정보시스템으로 구성되는 정보서비스에 대한 모델링, C/S/O 평가, 보안원칙 적용을 통해 발생 가능한 위협과 보안대책이 필요한 정보서비스 구성요소를 식별하는 단계이다. 4) 보안대책 수립 단계위협식별 결과에 따라 업무정보 및 정보시스템에 대한 적절한 보안통제 항목을 선택한다. C/S/O 보안등급별 보안통제 기준선을 활용해서 보안등급에 따른 필요 보안통제 항목을 선택할 수 있고, 기관의 특성 및 정보시스템 환경을 반영한 N²SF 적용계획 등에 따라 보안통제의 제외, 수정, 추가 등 조정이 가능하다. 5) 적절성 평가, 조정 단계앞선 네 단계의 산출물들을 분석하여 단계별 활동이 적절하게 수행되었는지 확인하고 평가한다. 만약 미흡한 부분이 발견되면 보완한다.최종적으로 적절성 평가 결과를 승인함으로써 국가 망 보안체계 적용의 모든 절차가 종료된다.이후 국가정보보안기본지침에 따른 국가정보원 보안성 검토를 시행하게 된다. 4. 국가 망 보안체계 적용 시 향후 전망1)업무 효율성 향상망 분리로 인해 AI 및 클라우드를 사용하지 못했던 기관에서 해당 기술사용이 가능함에 따라 업무 자동화가 가속되고, 협업 효율성이 향상될 것으로 보인다. 2)규제 및 인증 간소화국가 망 보안체계로 인해 클라우드 보안 인증(CSAP) 절차가 간소화 되면서 보안 인증을 효율적으로 관리할 수 있는 체계가 마련될 것이다.이에 따라 인증 절차를 정비하고, 새로운 보안 기준을 적용할 수 있는 체계를 준비해야 한다. 3)보안 위협 증가 외부 망과의 연결이 증가함에 따라 해킹 및 데이터 유출 위험이 커질 수 있다. 이를 방지하기 위해 제로트러스트 보안 모델을 적용하고, 최신 기술을 도입해 보안 위협 모니터링을 강화해야 한다   약 20년간 지속된 정책을 변경하는 것은 어려운 일이며 초기에는 생각지 못했던 문제점도 발생할 것으로 예상된다.  하지만 국가 망 보안체계는 빠르게 변화하는 IT 환경과 보안 위협에 효과적으로 대응하기 위한 중요한 전환점을 의미한다. 망 분리 정책의 한계를 극복하고, 데이터 중요도에 따라 차별화된 보안 관리를 통해 공공기관의 업무 효율성과 신기술 활용이 가능해 지는 등 긍정적인 효과가 기대된다. 하지만, 외부 망과의 연결이 증가하면서 보안 위협도 커질 수 있는 점은 반드시 해결해야 할 과제이다.  제로트러스트 보안 모델을 비롯한 최신 보안 기술을 적극적으로 적용하고, 지속적인 보안 모니터링 체계를 강화해야 한다. 또한, 보안 인증 절차의 간소화와 효율적인 관리 체계 수립이 중요해질 것이다. 향후 국가 망 보안체계가 더욱 더 발전하여 더 나은 보안 환경과 효율적 업무수행이 가능하게 되기를 기대한다.

  새어나가는 우리 회사의 중요 정보, 범인은 내부자?    ‘내부 정보가 유출되었다’라는 말을 들으면 보통 외부 해커의 공격을 떠올리기 쉽다. 하지만 최근 정보 유출 통계를 보면, ‘내부자’에 의한 정보 유출의 건수와 그에 따른 피해 규모가 나날이 증가하고 있는 추세이다. 이제껏 외부 공격에 대한 방어 체계는 비교적 잘 갖춰져 있는 반면, 내부자에 의한 정보 유출은 예측이 어렵고 패턴이 일정하지 않다는 이유로 상대적으로 소홀히 다뤄져 왔다. 그러나 부주의한 직원, 악의적인 관계자, 또는 사이버 범죄자의 자격증명 도용 등의 내부자 위협에 의한 피해의 심각성이 점점 증가하고 있음에 따라, 기업과 기관은 내부자에 의한 정보 유출을 방지하기 위해 체계적인 보안 정책을 마련하고 지속적인 교육과 모니터링을 강화할 필요가 있다.     1. 현황 2024년 7월에 경찰청이 발표한 2024년 상반기 정보 유출 현황에 따르면, 기술 해외유출 사건의 비중이 꾸준히 증가하고 있는 추세이며 특히 작년 피해 기업 중 중소기업이 80.9%를 차지하였으며 유출 주체는 ‘내부인’이 80%를 넘는 수치를 기록했다. 1)또한 글로벌 정보보안업체 프루프포인트(Proofpoint)가 발표한 ‘2022 내부자 위협 비용 글로벌 보고서’에 따르면, 2022년 발생한 내부자 사고는 6,803건에 달하며, 연간 평균 피해 비용은 약 1,540만 달러(한화 약 201억 원)에 이르는 것으로 조사되었다. 2) 국내외를 막론하고 내부자 정보 유출로 인한 피해는 이처럼 꾸준히 증가하고 있다. 이 같은 내부자유출은 범죄 행위에 이용되어 개인의 안전을 위협할 뿐만 아니라 기업에 막대한 경제적 손실을 초래할 수 있다.   2. 내부자 정보 유출의 유형 내부자에 의한 정보 유출은 크게 두 가지 유형으로 나눌 수 있다.  1) 부주의 및 실수로 인한 유출 ­ - 업무용 기기 보안 관리 소홀:직원의 업무용 장비 관리(컴퓨터, 모바일 기기, 저장 장치 등)부주의로 민감한 정보가 외부에 노출될 가능성 ­ - 보안 패치 미실행: 소프트웨어 업데이트를 하지 않아 해킹에 취약해지는 경우 ­ - 이메일 참조 실수:숨은 참조(Bcc)를 사용하지 않고 일반 참조(Cc)를 사용해 개인정보가유출되는 사례 ­ - 검색엔진 노출: 기밀 정보를 검색엔진 크롤링에 노출시키는 실수 ­ - AI 신기술로 인한 유출:클라우드 서비스와 AI 도구(ChatGPT 등)의 부적절한 활용으로정보가 유출되는 새로운 유형 등장   2) 고의적인 유출 ­ 내부정보 및 중요 정보 유출 ·불법 거래: 회사 내부 문서, 재무 자료, 고객 데이터 등을 다크웹에서 판매하거나 경쟁사에 제공 ·내부 시스템 접근권한 남용: 퇴직 전 회사 데이터베이스에서 내부 보고서, 경영 전략등을 무단으로 복사 후 외부로 유출 ­ 개인정보 유출 ·직원의 고의적인 침해: 병원, 금융사, 공공기관 직원이 고객 개인정보(이름, 주민등록번호,계좌정보 등)를 외부에 판매하거나 악용 ·랜섬웨어 및 해킹 협력: 내부자가 해커와 공모하여 고객 개인정보를 유출하고 이를금전적으로 활용 ­ 기밀 정보 유출 ·퇴사자 또는 경쟁사 이직자에 의한 유출: 전 직원이 퇴사 후 경쟁사에 입사하면서 기존회사의 핵심 기술 문서, 연구 개발 자료 등을 불법적으로 반출 ·산업 스파이 활동:내부 직원이 기업의 기밀 데이터를 의도적으로 해외 기업이나 기관에제공하여 경쟁력을 약화 ·협력사 및 파트너사 유출: 내부자가 협력사와 공유해야 할 제한적 정보를 무단으로제공하여 기업의 비즈니스 전략이 노출되는 경우 3. 유출 사례 ­ 국내 대형 병원 개인정보 유출 사건국내 17개 대형 병원에서 환자의 개인정보 약 18만 건이 유출되었으며, 내부 직원들이환자 정보를 제약회사 직원에게 이메일, USB 등을 통해 전달한 것으로 밝혀졌으며이로 인해 총 6,480만 원의 과태료가 부과되었음 ­ AI 학습 자료 공유 중 보안 사고한 기업의 연구원이 클라우드에 AI 훈련 자료를 업로드하던 중 실수로 보안키, 비밀번호,내부 직원의 메시지 약 3만 건이 노출되었으나 다행히 빠르게 문제를 파악하고 링크를삭제하였음 ­ 쇼핑몰개인정보 유출 사고 특정 조건의 상품 구매 고객에게 적립 이용권을 배포하던 중, 캐시 정책 설정 오류로인해 쇼핑몰 이용자 20명의 개인정보가 다른 고객 29명에게 노출되었으며 이로 인해방송통신위원회는 해당 기업에 18억 5,200만 원의 과징금을 부과함 ­ 코레일 직원 개인정보 무단 열람 사건코레일 직원이 3년간 방탄소년단 리더 RM의 개인정보를 무단 열람한 사실이 드러났으며이러한 행위는 개인정보보호법 위반으로 처벌 대상이 되었음 3) ­ 서울교통공사내부망 이용 범죄신당역 살인사건 가해자는 내부망에 접속해 피해자의 개인정보를 열람하고, 이를 바탕으로 범행을 저질렀음  4. 방지 대책 정보보호는 단순히 기술적 문제를 넘어 사람의 실수와 고의적 행위를 방지하기 위한 종합적인접근이 필요하다. 기업과 조직은 내부자에 의한 유출 가능성을 항상 염두에 두고 대비해야 한다. 우선 다음의 다섯 가지 항목을 통해 조직의 내부자 위협의 발생 가능성을 체크해볼 필요가 있다.    기업 및 기관은 위와 같은 체크리스트를 통해 조직의 보안 수준을 확인하였다면, 그에 걸맞는내부자 위협에 대한 방지 대책을 세워야 할 것이다.  1) 임직원 보안 교육 강화 지속적이고 실효성 있는 보안 교육을 통해 직원들의 보안 의식을 높이고, 부주의나 실수로 인한 정보 유출을 예방할 수 있다. 2) 접근 권한 관리 강화 직원들의 정보 접근 권한을 최소한으로 설정하고, 필요에 따라 권한을 부여하거나 회수하는 체계를 구축해야 한다. 3) 내부자 활동 모니터링 시스템 도입 내부자의 비정상적인 활동을 실시간으로 모니터링하고, 이상 징후를 탐지하는 시스템을 구축하여 조기에 대응할 수 있다. 예를 들어, 대량의 데이터 다운로드나 평소와 다른 시간대의 접근 등을 감지하여 경고를 발송할 수 있다. 4) 데이터 암호화 및 접근 통제 중요한 데이터를 암호화하고, 접근 통제를 강화하여 무단 접근이나 유출 시에도 정보의 기밀성을 유지할 수 있게 한다. 5) 클라우드 보안 강화 클라우드 서비스를 이용할 경우, 안전한 인증 수단을 적용하고, 접근 권한을 철저히 관리하여 해커에게 관리자 접근 권한이 탈취되는 것을 방지해야 한다. 6) 보안 패치 및 시스템 업데이트 정기적 적용 시스템과 소프트웨어의 최신 보안 패치를 정기적으로 적용하여 알려진 취약점을 악용한 공격을 방지해야 한다.      내부자에 의한 정보 유출은 디지털 전환이 가속화 되고 근무 환경 등이 변화 등으로 인해 더욱 통제하기가 어려워지고 있으며, 악의적인 내부자 유출과 사이버 범죄 조직과의 연계가 증가하는 등 그 피해 규모는 앞으로 더욱 커질 가능성이 높다.  따라서 기업과 기관은 조직의 보안수준을 정확히 파악하는 한편, 임직원에 대한 지속적인 교육과 철저한 관리 체계를 통해 내부 보안 수준을 강화하여 정보 유출로부터 안전한 환경을 구축해야만 할 것이다.    1) 서울경제, https://www.sedaily.com/NewsView/2DBSESCRQR 2)  프루프포인트(Proofpoint), ‘2022 내부자 위협 비용 글로벌 보고서’  3)  아시아경제, https://view.asiae.co.kr/article/2023122217460460178

피싱 대응 현황  2024년 국내·외 피싱(Phishing) 대응 현황 및 시사점  자세한 내용은 한국인터넷진흥원에서 확인하실 수 있습니다. ◎ 접속 경로 : 한국인터넷진흥원 > 지식플랫폼 > 정기간행물 > KISA Insight 출처 : 한국인터넷진흥원(24.10.31)

제1장. Trend - 2021 하반기 사이버 위협 동향 1. 국내외 사이버 위협 동향 2. 취약점 동향제2장. Special Issue - Log4j 보안 취약점 대응 가이드 1. Q&A 형식으로 알아보는 Log4j 보안 취약점 대응 가이드제3장. HowTo - 전문가 컬럼 1. 안랩 대응팀 양태연 선임연구원  : MS Exchange Server 취약점 공격 동향 2. 네이버 클라우드 최경렬  : Zero Trust 보안 도입을 위해서 고려할 점 3. KISA 침해사고분석단 종합분석팀, 사고분석팀  : TTPs#6 타겟형 워터링홀 공격전략 분석출처 : 한국인터넷진흥원(21.12.29)

2022 개인정보보호 7대 이슈    1) 금융을 넘어 全 산업분야로 확산되는 마이데이터 2) 데이터 가치를 높여주는 가명정보 활용 확산 3) 신기술 환경에서 개인영상정보 보호와 산업적 활용의 조화 4) AI 등 신기술 기반 데이터 시대, 新 개인정보보호 이슈 심화 5) 개인정보보호 위반 행위 증가에 따른 과징금 기준 합리화 6) 삶의 편리성과 프라이버시 위협, 글로벌 빅테크 기업의 양면성 7) 비대면 시대, 온라인플랫폼 이용 확대와 개인정보보호