행정기관도 보안 점검 강화한다

잇단 금융권 사고에 취약점 점검 앞당겨… 모의해킹 훈련도

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리
최근 금융권 보안 사고가 잇따르면서 정부도 자체 보안 점검 작업에 나섰다.

2일 한국인터넷진흥원 관계자는 "행정기관 정보보호 대응능력 점검을 위해 행정기관의 웹 보안취약점 점검과 발견된 취약점이 시스템에 미치는 영향을 파악하고 이에 대한 대응책 및 개선 방안을 마련할 계획"이라고 말했다.

공공기관 대상 웹 보안 취약점 점검은 매년 주기적으로 실시돼왔지만, 올 들어 금융권 보안 사고가 연일 발생하면서 시기를 앞당겨 진행하게 됐다.

KISA와 행정안전부는 이 달 중으로 수행 업체와 계약을 체결하고 정부통합전산센터 입주기관 및 지방자치단체 대표 홈페이지를 선정해 점검을 실시할 계획이다.

특히, 지난달 현대캐피탈 해킹 사고를 고려해 행정기관의 정보시스템을 대상으로 실전과 같은 상황을 구현한 모의 해킹 훈련도 실시할 방침이다.

모의해킹은 훈련대상 시스템의 취약부분을 공격해 해킹하고, 중요 데이터베이스까지 접속해 데이터를 탈취하는 방법으로 이뤄진다. OWASP(국제표준) 10대 취약점 중 분산서비스거부(DDoS)공격을 제외한 전 분야에 걸친 공격을 수행할 계획이며, 보안 취약점이 최대한 도출 가능하도록 자동화 도구 및 모의해킹 전문 컨설턴트에 의한 수동진단 방안도 마련할 방침이다. 또 공격자를 공개하지 않고 실제와 같은 상황에서 훈련이 실시되며 이를 통해 해당 기관의 취약점 및 대응력을 평가할 계획이다. 이를 통해 정부는 보안관제센터 모의 해킹 방안을 비롯해 신규 해킹공격 적용 방안 등을 마련할 방침이다.

이 밖에 정부기관 사이트를 대상으로는 △취약한 인증 및 세션관리 △보안 설정상의 오류 △URL접속제한 실패 △불안전한 암호화 저장 등 OWASP에서 지정한 10대 웹 애플리케이션 취약점을 진단할 계획이다. 또 지난해 웹사이트 취약점 점검시 나타난 웹 취약점 보완 현황을 점검하고 신규 문제점을 도출할 방침이다.

김지선기자 dubs45@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사



가장 많이 본 기사

스타 포토