정보보안 의식제고 활성화를

위한 실체적 접근 방안

한국과학기술정보연구원

- I -

목 차

Ⅰ

서 론 ····················································································1

1. 연구의 목적 및 필요성························································1

2. 연구의 범위 및 방법····························································2

Ⅱ

정보보안 최신동향 및 위협요인 분석 ··························4

1. 정보보안 최신동향 분석······················································4

2. 정보보안 위협요인 분석····················································11

3. 정보보안 위협에 따른 피해 사례 ····································16

Ⅲ

KISTI 정보보안 의식제고를 위한 활동 고찰 ·············21

1. KISTI 정보보호 지침 공포··················································21

2. 개인PC 보안 관리를 위한 체제 마련································27

3. 정보보안 의식 제고를 위한 교육 활동 ···························27

- II -

Ⅳ

KISTI 정보보안 의식제고 활성화 방안 ·······················28

1. 개인정보 보호를 위한 의식제고 활성화 방안··················28

2. 원내 중요정보 보호를 위한 의식제고 활성화 방안·········37

Ⅴ 결 론 ·················································································41

- III -

그 림 목 차

[그림 1] 추진 방법 및 전략·····························································03

[그림 2] 비즈니스 환경 변화···························································05

[그림 3] 정보보안 위협요인의 변화 양상·······································07

[그림 4] 내부기밀 정보 유출에 따른 피해사례 통계·····················10

[그림 5] IRC Bot 감염 경로·····························································12

[그림 6] Bot 진화 과정····································································13

[그림 7] 복합․지능적의 사이버 공격의 예·······································14

[그림 8] KISTI 정보보호 지침 개념도··············································21

[그림 9] 개인정보 유출과정·····························································31

[그림 10] NSHC 보고········································································38

- IV -

표 목 차

[표 1] 정보기술의 변화····································································05

[표 2] 정보보안을 위협하는 대표적 요인·······································14

[표 3] KISTI 정보보호 지침 세부사항··············································22

[표 4] 개인정보의 종류 및 특징 ····················································29

- 1 -

Ⅰ 서 론

1.1 연구의 목적 및 필요성

인터넷 환경의 발달로 네트워크를 통한 개인정보 유출의 심

각성이 여러 해 동안 대두되고 있다. 그러므로 다양한 악성코

드에 의해 유출될 수 있는 개인정보에 대한 기존의 피해사례

들을 분석하여 새로운 변종 악성코드에 대하여 대처할 수 있

는 보안정책과 정보보안의 의식제고를 효과적으로 수행할 수

있는 방법에 대한 연구가 필요하다.

개인정보가 유출되는 경로 중 온라인을 통한 경로로는

SMTP, Web-Mail, 게시판, FTP, 메신저, P2P 프로그램,

Web-HDD 등과 같은 다양한 종류의 경로가 있다. 또한 오프

라인을 통한 경로로는 플로피 디스크, MO, ZIP, JAZZ 등과

같은 저장매체, CD-R, CD-RW와 같은 CD 매체, USB 저장매

체 등과 같은 것이 있다. 즉, 네트워크에 접속되어 있는 서버

나 개인용 컴퓨터는 정보의 유출 가능성이 높다.

그러므로 본 연구에서는 개인정보 보호 및 정보보안 의식제

고를 위해 새로운 보안 경고 및 정책에 신속하고 완벽한 대응

을 할 수 있도록 정보보호의 최신 동향 및 다수의 피해사례

분석하고 정보보안 의식제고를 위한 실행 방안 연구를 목적으

로 한다.

- 2 -

1.2 연구의 범위 및 방법

본 연구는 인터넷 환경의 여러 가지 요인으로 인한 신․변

종 악성코드의 공격으로부터 개인 정보보호 및 정보보안 의식

제고를 위한 실행방안 도출을 목적으로 하며 다음과 같은 내

용을 연구한다.

1) 개인정보보호를 위한 보안정책 및 시스템구축에 관한 분석

2) 다양한 경로를 통해 접근하는 보안 위협 요소 분석

3) 신․변종 보안위협 요소별 피해 사례 분석 및 해결방안 분석

4) 급격히 변화하는 신종 보안위협 요소들에 대한 대응방안에 대한

연구

5) 현 보안 기술의 현황 및 문제점 조사

- 다양한 종류의 신․변종 악성코드에 대한 주요업체별 침입탐

지 및 방지 시스템, 보안 솔루션, 정책, 구축사례, 보안성 강도

등 조사

- 개인정보보호를 저해하는 최근 악성코드에 대한 연구동향 분

석

- IRC Bot의 감염 및 전파를 막기 위한 솔루션 및 시스템의 구

성 요소 및 특성 분석

- 기존 전산환경 자동화 솔루션에 대한 자료조사 및 특성 분석

- 3 -

6) 개인정보보호 및 정보보안 의식제고 방안 연구사례 분석

또한 본 연구는 다음과 같은 연구방법을 갖고 추진한다.

1) 연구수행을 위해 교육기관↔산업체↔공공기관 전문가와의 회의

- 주요기관(교육기관, 산업체, 공공기관 등)의 전산 책임자 및 관

리자와 회의 (악성코드 피해사례 및 대응방안 조사)

- 다수 보안업체의 장비 및 솔루션이 포함하고 있는 구성요소

조사

- 보안업체에서 악성코드 관련 해결사례조사 및 특징 조사

- 공공기관 보안전문가와의 회의(최신 악성코드 대응방안 정책

에 대한 조사)

- 연구진행 단계별 자료조사 및 분석내용에 대한 데이터베이스

화

[그림 1] 추진 방법 및 전략

- 4 -

Ⅱ 정보보안 최신동향 및 위협요인 분석

2.1 정보보안 최신동향 분석

전 세계적으로 P2P(Peer-to-Peer) 멀티미디어의 전송이 활발

해 지고 더욱 다양해지면서 네트워크 트래픽의 급증을 가져왔

다. 네트워크의 이용확대를 위해 이미 수 기가비트급 망이 확

장 됐으며 이런 네트워크 속도 및 대역폭의 증가추세는 기가

비트 이더넷과 VDSL(Very high data rate DSL)과 같은 고속

가정용 인터넷이 보편화 되고 있다. 인터넷 환경의 발전과 더

불어 네트워크 속도의 증가로 인해 네트워크를 통한 서비스

거부 공격, 인터넷 웜, 이메일 바이러스 등의 악의적인 공격도

증가하고 이로 인해 피해도 급격히 증가하는 추세이다. 예를

들면 Code Red Worm이나 SQL Slammer Worm은 수 시간

또는 수 분만에 막대한 피해를 입히기도 하였다. 즉, 사이버

공간을 통한 다양한 활동으로 인해 사이버 테러, 기밀 유출,

개인정보 침해 등과 같은 개인정보 보호를 저해하는 온라인상

의 경로와 오프라인 상 경로의 문제점으로 인해 잠재위험이

크게 증가하고 있다.

또한, IT발전에 따른 인터넷 경제가 급격히 성장하고 새로운

형태의 제품과 서비스가 적극적인 개인 참여문화로 인해 인터

넷 환경과의 다양한 접속을 시도하고 있으며 이에 따른 사회

- 5 -

○○

○

○

[표 1] 정보기술의 변화

적 책임과 국내외 법제도의 준수 의무 등 제도적인 환경변화

를 요구하고 있다.

[그림 2] 비즈니스 환경 변화

그리고 정보기술의 환경도 네트워킹을 위한 통신성과 이동성

이 뛰어난 사용자 중심의 디바이스 증가와 비즈니스의 일부분

이었던 IT 자원이 비즈니스 자체로 변경되는 변화를 겪고 있

다. [표 1]에서는 정보기술의 환경변화에 대한 주요특징을 나

타내고 있다.

- 6 -

○○

○ ○

○ ○

○○

개인정보 보호를 위협하는 해킹, 바이러스 등의 저해요소들

이 에이전트화, 분산화, 은닉화, 자동화 기능을 포함한 조직적

이며 금전적인 이득을 목적으로 지능화되고 있으며 조직 내

웹 서비스 이용의 증가에 따른 사용자 중심의 컴퓨팅 환경으

로 인해 정보보호의 패러다임이 전환되고 있다. 또한, 해킹

및 바이러스 등 외부침입에 대한 방지장치 마련에 집중했던

국내 보안산업의 패러다임이 내부자에 의한 정보유출을 막는

방향으로 확대되고 있다. 이는 갈수록 내부자에 의한 정보유출

의 피해가 늘어남에 따라 보다 적극적인 보안수단의 필요성이

대두됐기 때문으로 분석되며 국내 보안업체들은 분야별로 이

와 관련한 제품개발 및 출시에 주력하고 있다.

[그림 3]에서는 공격특징에 따른 위험유형에 대한 특징을 나타

- 7 -

내고 있다.

[그림 3] 정보보안 위협요인의 변화 양상

통계에 의하면 기업 및 공공기관의 내부자에 의한 정보유출

은 매우 심각한 상태이다. 경찰청 관계자는 “기업의 주요 정보

가 문서가 아닌 디지털파일 형태로 기록되면서 내부자가 이를

악용하는 범죄사례가 늘고 있으며 피해금액도 큰 폭으로 증가

했다”며 “특히 금융권이나 기업의 연구소 등 사세를 좌우할

수 있는 핵심정보가 있는 곳의 경우 내부보안에 만전을 기해

야 한다.”고 말하였다.

예를 들면, 새마을금고 여직원의 횡령사고, 대우증권 그리고

우리금융그룹에서 발생한 사이버거래 사고 등이 금융권에서

일어난 내부자 정보유출의 대표적인 사례이다. 업계에서는 전

체 보안사고 가운데 내부자에 의한 정보유출 비율을 70% 이

상인 것으로 분석하고 있다.

이처럼 내부자에 의한 정보유출 피해가 급증하면서 보안업

- 8 -

계에서는 이를 막을 수 있는 효과적 대안 마련에 나서고 있다.

기존의 보안정책은 문서관리 솔루션이나 PC암호화 솔루션 등

이 있었지만 일단 정보에 접근할 수 있는 권한을 얻은 후에는

정보의 반출이 자유롭다는 한계를 갖고 있다.

따라서 내부자에 의해 회사의 기밀정보나 고객정보가 유출

되는 것을 원천적으로 차단하는 더욱 적극적인 해결책 모색이

필요하다. 해킹이나 바이러스에 의한 피해도 심각하지만 내부

정보의 부정 유출에 의한 피해는 손해액이 컴퓨터 바이러스의

3배에 이른다. 만약 신용카드 정보, 금융거래 정보, 개인 의료

정보, 인터넷 상거래 정보 등이 유출돼 부정적으로 사용된다면

금전적·정신적 피해는 상상을 초월하는 부작용을 초래할 것이

다. 국내의 경우 내부자 정보유출 사건이 급증하고 있다.

미국 CSI(Computer Security Institute)/FBI 발표자료에 따르

면 외부로부터의 해킹에 의한 기밀정보 유출사례는 소수인 반

면 내부자에 의한 유출사례는 70∼80%에 육박하며 매년 증가

하는 추세이다. 내부자에 의한 정보유출사고는 금전적인 손실

뿐 아니라 기업의 경쟁력 약화나 국부의 유출을 초래하기 때

문에 더욱 심각하게 인식될 수 있다.

국가정보원 산업기밀보호센터 관계자는 “벤처나 중소기업의

보안 의식은 대기업에 비해 현저히 떨어진다. 대부분 기술개발

과 마케팅만 신경을 쓰고 있다. 그 사이에서 아무도 모르게 발

생하는 내부기밀정보 유출에는 무방비로 노출된 상태”라고 강

조했다. 특히, 우려가 되는 부분은 반복적으로 기술유출이 발

- 9 -

생한다는 점이다. 기밀보호센터 관계자는 “국내 기업 5곳 중 1

곳이 회사 기밀이 유출돼 피해를 본 적이 있고, 피해 기업의

기밀 유출 횟수도 평균 3회에 달하는 등 피해가 심각한 수준”

이라고 말했다. 더욱이 유출 피해를 당했으면서도 계속해서 반

복적으로 당한다는데 문제가 있다.

국내 모 은행지점 직원 및 은행의 정보관리자에 의한 고객

정보 유출 발생, 연예인 X파일 유포로 많은 사람이 치명적인

명예손실을 겪은 경우가 발생하였다.

미국의 시중 4개 은행에서도 70만명에 이르는 고객 정보가 도

난당하는 사상 최대의 금융정보 유출 사건이 발생하였다. 이

사건에 연루된 은행 직원들은 계좌당 10달러를 받고 불법 정

보 수집업자에게 고객 정보를 넘긴 것으로 경찰은 밝혔다.

일본에서는 개인정보보호법이 실행돼 각종 내부보안 솔루션

이 속속 구축되고 있으며, 정보보안 대책회의를 개최해 정부기

관들이 공통기준을 따르도록 지침을 마련했다. 이러한 대책의

일환으로 기업의 내부자 정보 유출에 의한 사고의 경우 정부

가 더욱 적극적으로 관여하고 있다. 총무성은 NTT 니시니혼,

NTT도코모에 고객의 개인정보가 유출된 사건 대해 엄중주의

를 내렸다. 사실관계의 설명과 철저한 안전관리를 지도한 것

이외에 재발 방지 대책과 이용자 대응책 등을 종합적으로 정

리해 보고하도록 했다. 미국·유럽 등에서도 사베인 옥슬리

(Sarbanes Oxley) 법안, 바젤Ⅱ 등으로 기업·금융 등에 프라이

버시, 비즈니스 정보 등 분야별 정보 리스크에 대비를 촉구하

- 10 -

고 있다. 내부자 정보유출을 막기 위한 선진화된 체제의 도입

은 국내 일부 대기업 중심으로 제한적으로 이루어지고 있다.

[그림 4] 내부기밀 정보 유출에 따른 피해사례 통계

내부 기밀 정보유출에 대해 피해를 살펴보면 최근 5년간 160

건이 발생하였고, 국가 전 산업분야를 대상으로 생계형에서 기

업형으로 변모되어 약 253조 4,300억 원의 피해가 발생하였고

개인정보 피해 신고건 수는 2009년 현재 약 4만건으로 2004년

이후 지속적으로 기하급수적으로 증가하고 있다. [그림 4]에서

는 정보보호 패러다임의 전환에 대한 예시로 내부기말 정보

유출에 대한 발생율에 대한 통계치를 나타내고 있다.

- 11 -

2.2 정보보안 위협요인 분석

개인 정보보호를 위협하는 대표적인 악성코드의 종류는 소

프트웨어에 기생하며 어플리케이션을 통해 확산되는 바이러스

(Virus), 스스로를 다른 소프트웨어로 속이는 악성 소프트웨어

인 트로이목마(Trojan Horse), 네트워크를 이용하여 스스로를

다른 컴퓨터로 복제하는 웜(Worm), 컴퓨터 사용자의 정보를

훔쳐내는 스파이웨어(Spyware), 악성코드를 다른 정상 소프트

웨어로 속이기 위하여 사용되는 루트킷(Rootkits), 컴퓨터에 감

염된 후 해커의 접속시 인증 등을 받지 않도록 서비스하는 백

도어(Backdoor), 악성소프트웨어를 자동으로 다운로드하는 소

프트웨어인 다운로더(Downloaders), 피해를 끼치지 않지만 사

용자가 원하지 않는 행위를 하게 하는 애드웨어(Adware), 컴

퓨터를 해커의 의도대로 사용할 수 있도록 하게 하는 Bot 등

으로 분류할 수 있다. 이중에서 Bot는 웜․바이러스, 백도어,

루트킷 등의 여러 기술들을 흡수하여 발전하고 있다. 특히 발

생 후 짧은 기간 동안 급격히 많은 변종이 발생하여 기존의

보안 솔루션들로는 방어하기 어렵기 때문에 Bot에 감염된 PC

를 원격 조종하여 다양한 범죄 행위에 사용하고 있다. [그림

5]에서는 개인정보보호를 위협하는 대표적인 악성코드인

IRC(Internet Relay Chat) Bot의 감염 및 전파 과정에 대한 과

정을 나타내고 있다.

- 12 -

[그림 5] IRC Bot의 감염 경로

Storm bot의 경우를 살펴보면 최초 유럽에서 전파 시 “유럽의

폭풍으로 230명 사망”이라는 이메일 제목으로 사용자의 클릭

을 유도하여 전파를 시도하여 이메일을 통해 전파되었으며, 전

세계 PC의 8%를 감염시켰다. 그 후 전통적인 안티바이러스

백신을 우회하는 기법을 포함하여 2007년 1월 19일부터 9월

12일까지 약 40,000개의 변종이 발생하였으며 Bot이 다운로드

되면 P2P Botnet으로 동작하여 루트킷 기술을 사용하여 자신

의 프로세스를 숨기게 된다. Botnet에 등록되면 해커의 C&C

서버로부터 다른 파일을 다운로드하여 스팸 발송을 통해 다른

컴퓨터로 전파를 시도하게 된다. 전송되는 메일에는 Storm

Bot이 포함되어 있으며 전 세계적으로 약 5천만대가 감염된

것으로 추정되고 있다.

Bonet의 대표적인 문제점으로는 IRCBot가 정상적인 IRC 포

트를 이용하여 탐지하기 어렵고, 대부분의 IRCBot의 코드는

- 13 -

인터넷상에 오픈소스로 존재하기 때문에 새로운 공격코드를

추가하여 쉽게 변종하여 배포하기 때문에 끊임없이 변종되어

가고 있다. [그림 6]에서는 진화하는 Bot에 대한 설명으로 Bot

의 감염 및 전파를 막기 위해서는 서버와의 통신 차단 및 감

염된 PC의 정보가 모두 필요하게 됨을 나타내고 있다.

[그림 6] Bot의 진화과정

최근에 개인정보를 위협하는 일반적 특징을 살펴보면 이메

일, 인터넷 메신저, 모바일 등 일반화된 커뮤니케이션 수단에

해킹, 웜, 바이러스 등을 이용하여 획득한 개인정보를 이용하

여 주요시스템의 권한을 획득하고 해당 시스템을 이용하는 사

용자를 추가로 침해하는 등의 복합적이고 지능적인 공격이 증

가하고 있는 형태를 띠고 있다. 2006년의 통계자료를 이용하면

인터넷 사기의 12%가 인터넷 메신저를 통해 발생하고 있다는

- 14 -

○

○

○

[그림 7] 복합․지능적인 사이버 공격의 예

[표 2] 정보보안을 위협하는 대표적 요인

것을 알 수 있다. [그림 7]은 최근 이슈가 되고 있는 사회공학

적 기법 형태의 사이버 공격을 보여주고 있으며 [표 2]는 정보

보안을 위협하는 요인들을 간략하게 요약하여 보여주고 있다.

- 15 -

○

○

○

○

○

따라서 이슈가 되고 있는 다양한 종류의 보안문제를 분석하고

그에 대응할 수 있는 보안 이슈를 해결해야만 보다 안전한 인

터넷서비스를 사용할 수 있을 것이다. 인터넷 서비스 환경은

IP기반 네트워크에서 발생할 수 있는 위협을 모두 고려할 수

있지만, 그 중에서도 가장 문제가 될 수 있는 주요 위협들을

살펴보면 [표 2]와 같이 요약되어질 수 있다.

- 16 -

2.3 정보보안 위협에 따른 피해 사례

개인정보 유출 사례로는 최근에 발생한 중국과 미국의 사이

버전쟁을 들 수 있으며, 이 때 한국에서는 사전 경보 조치에도

불구하고 홈페이지 변조 등의 피해를 입은 바 있다.

이 밖에 인터넷 사이트를 해킹하여 개인정보를 거래하려다

검거된 사건들은 뉴스 보도를 통해 심심치 않게 접할 수 있다.

올 4월에 신용카드 결제승인 처리업체 시스템에 침입해 신용

카드 번호와 주민등록번호 등 총 780만 명의 개인정보를 빼내

이를 마케팅 업체와 리서치 업체에 판매하려다 검거된 사건은

현재 국내에서의 개인정보 보호에 대한 현실과 그 필요성을

절실하게 보여주는 사례라 하겠다.

현재 발생하고 있는 조직 내 정보유출의 대부분은 내부자에

의한 것이 외부자에 의한 것보다 7:3 정도의 비율로 많이 나타

나고 있다. 따라서 내부자에 의한 정보유출에 대한 대비책 마

련이 시급하다.

또한 자신이 어렵게 만들어 놓은 중요한 정보를 누군가 손

쉽게 가져가는 피해도 빈번하게 발생하고 있다. 이는 우리가

자유롭게 통신할 수 있는 권리뿐 아니라 지적 재산이 박탈당

하는 것과 다름없다. 이러한 문제점들을 볼 때 가장 중요한 것

은 문제의 심각성을 인식하는 것이다. 그 다음으로 중요한 정

보를 지키기 위해 상용 또는 비상용 보안 제품들을 구해 해킹

피해에 대비해야 한다. 마지막으로 조직 내 또는 개인의 정보

- 17 -

가 잘 지켜지고 있는지 지속적인 관심과 함께 나날이 발전하

는 해킹기법에 대응할 수 있도록 노력해야 한다. 이를 위해 외

부전문가의 자문을 구하는 것도 하나의 방법이다.

이제 컴퓨터 자판의 Enter만으로 자신의 소중한 정보가 어디

론가 사라질 수도 있는 세상이 눈앞에 펼쳐지고 있다. 바로 지

금 누군가 개인의 PC를 엿보고 있을지도 모를 일이다.

예를 들어, 본인도 인지 못하는 사이에 개인정보가 범죄에

악용됨으로써 졸지에 신용불량자와 전과자가 되는 피해사례가

속출하고 있다. 특히 각종 신분증 위조는 첨단 기술을 이용해

식별이 어려울 뿐더러 피해대상 또한 무작위로 광범위하다는

데 문제의 심각성을 더해주고 있다.

주로 관공서나 인터넷을 통한 개인 정보 접근이 쉽고 위조

용 기기 매입에 별다른 어려움이 없다는 데서 범죄가 빈발하

고 있는 것이다.

경기지방경찰청 통계에 따르면 지난 한해동안 신용카드 피해

자 신고 건수가 100건에 달하며 금년 1~2월 두달 사이에 26건

의 고소·고발이 일선 경찰서에 접수된 것으로 나타났다. 피해

자들이 사용하지 않은 신용카드 사용내역서를 받는 것 등이

피해의 전형이다.

또한 부천 남부경찰서에 붙잡힌 일당 22명은 인터넷에 '개인

정보를 삽니다'라는 광고를 내고 다른 사람의 인적사항을 이용

해 운전면허증 10여장을 카드프린터로 위조하여 수천만원을

챙겨왔다. 이처럼 허술한 개인정보 관리나 위·변조 기술은 극

- 18 -

에 달해 신분증 하나로 만사가 통하는 신용 사회로의 희망에

먹구름을 드리우고 있다.

몇 년 전 17년 만에 400억원이 넘는 예산을 투입해 홀로그

램 방식의 주민등록증을 갱신 했으나 곧바로 변조에 취약한

것으로 드러나 관계자들이 당혹스러워하기도 했다. 문제는 수

단방법을 가리지 않는 범죄자의 행위가 정부대응시책을 앞질

러 간다는데 있다. 영문도 모른채 개인정보가 유출돼 신용불량

자의 낙인이 찍히고 위험인물로 지칭이 된다는 사실은 생각만

해도 몸서리쳐지는 일이 아닐 수 없다.

최근 옥션을 비롯한 대형 웹사이트에서 사용자 정보가 유출

되어 커다란 문제가 되고 있다. 인터넷 상의 대표적 개인 정

보 유출 피해 유형과 유출 경로 그리고 현존하는 대책들을

살펴보고, 현존하는 대책들에 존재하는 문제점을 짚어보아야

한다.

인터넷 상의 개인정보 유출 경로를 살펴보면 다음과 같이 분

류할 수 있다.

유출 경로는 내부자가 사용자 DB를 악의나 실수로 외부로

유출시키거나 외부의 해커가 침입하여 사용자 DB를 훔쳐가게

된다. 대표적인 사례로는 옥션, LGT 등에서 발생한 사건이 최

근의 개인정보 유출 유형이다. 이에 대한 대응 방안으로는 DB

유출 내부자에 대한 처벌을 강화해야 하고 기술적인 대응방안

으로는 내부자 권한관리(접근제어) 및 침입방지 및 탐지시스템

(파이어얼, IDS, IPS) 등의 사용을 들 수 있다.

- 19 -

또한 피싱사이트로 유도한 후, id, 패스워드, 기타 개인정보

를 입력하게 하여 개인에게 치명적인 손실을 입히는 피싱을

들 수 있다. 기술적인 대응방안으로는 피싱 방지 솔루션 (네가

티브 리스트, 포지티브 리스트 방식, 사용자 개입요구)의 사용

을 들 수 있다.

개인정보 보호를 저해하는 또 다른 요소로는 사용자 PC에

설치된 스파이웨어에서 사용자가 키보드로 입력하는 id, 패스

워드 혹은 파일에 저장된 정보 훔쳐 내기, 네트워크로 전송되

는 id, 패스워드, 개인정보 도청 등을 들 수 있다. 대응 방안으

로는 스파이웨어 탐지(일종의 백신 개념), 스파이웨어 방지(키

보드 해킹방지 솔루션, 전송정보 암호화(네트워크 스니핑 대

응) 등을 들 수 있다.

특정 사이트에서의 사용자의 id, 패스워드를 획득하기 위해

다양한 패스워드를 시도해보는 대표 사례로는 게임사이트에

대한 게싱 공격이 많다. 왜냐하면 일단 id, 패스워드를 획득하

고 나면 얻을 수 있는 이익 (게임 아이템 등)이 있기 때문이

다. 반면 금융사이트의 경우는 id, 패스워드 만으로 금융거래

가 안되기 때문에 (추가적 보안수단요구, 인증서, OTP등) 오히

려 이런 류의 공격은 적은 편이다. 대응 방안으로는 일정회수

패스워드가 틀리면 로그인을 못하게 막아버리는 방법을 많이

사용하고 있으며, 게싱 공격자체가 프로그램을 통해 자동적으

로 이뤄지므로, 이를 막기 위해, 웹사이트 가입시 일부사이트

에서 요구하는 것처럼, 화면에 문자열을 출력하고, 이를 읽어

- 20 -

서 입력토록 하는 추가 인증수단 적용하고 있다.

인터넷을 통해 개인 정보 유출 사건의 대표적인 예로는 SK

텔레콤이 비공개 시험판에 돌입한 마이크로 블로그 서비스 "

토씨(Tossi, http://www.tossi.com)" 이벤트 홈페이지에서 베타

테스터 명단 2500여명의 개인 정보가 한꺼번에 노출

국외에서 발생한 사건의 예로는 한 호주 여대생은 UCC사이트

인 유튜브에 `에멀리나(Emmalina)"라는 필명으로 애완동물ㆍ

운동ㆍ취미 등 자신의 일상을 공개하는 동영상을 연재했다. 이

동영상은 조회수 30만을 기록하는 폭발적인 인기를 끌며 인터

넷 백과사전 위키피디아에 등재되기도 했다. 그러나 이 여대생

은 이어지는 개인정보 해킹 및 악용, 음해성 동영상ㆍ악플 등

에 시달리다 2개월만에 자신의 프로필과 동영상 콘텐츠를 모

두 삭제했다. UCC를 통해 누구나 스타나 논객이 될 수도 있

지만 누구나 저작권 위반자가 될 수도 있다. 유해한 불법콘텐

츠에 대한 단속과 통제도 필요하다. 현재 마련하고 있는 저작

권자와 UCC 제작자간의 법적 문제 등 UCC저작권 가이드라

인과 같은 계도방법도 중요하다. 하지만 법령을 제ㆍ개정하여

억울한 피해자가 발생하지 않도록 하여야 한다.

- 21 -

Ⅲ KISTI 정보보안 의식제고를 위한 활동 고찰

3.1 KISIT 정보보호 지침 공표

2009년 8월 5일 정보보호 지침을 공포하였다. KISTI정보보안

지침은 일반보안 관련 4개지침(일반보안지침, 재난복구 대책지

침, 정보보안 법규준수 지침, 국가연구개발사업 보안관리지침)

과 정보보호관련 10개 지침(정보자산분류 및 관리지침, 서버보

안지침, 네트워크 보안지침, 정보보호시스템 관리운영지침, 데

이터베이스 보안지침, 응용프로그램 보안지침, 보조기억매체

보안지침, 사용자 보안지침, 사이버침해사고 대응지침, 암호화

관리지침)으로 구성되어 있으며 원내 자원의 대한 체계적 관

리를 위한 총체적인 내용들이 포함되어 있다.

[그림 8] KISTI 정보보호 지침 개념도

- 22 -

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

 

○

[표 3] KISTI 정보보호 지침 세부사항

[그림 8]은 KISTI 정보보호 지침 개념도를 도시하고 있고 [표

3]에서 이에 대한 세부사항에 대해 나타내고 있다.

- 23 -

○

○

○

○

○

○

- 24 -

○

○

○

○

○

○

○

○

○

  

  

  

  

○

○

- 25 -

○

○

○

○

○

○

○

○

○

○

○

- 26 -

○

○

○

○

- 27 -

3.2 개인PC 보안 관리를 위한 체제 마련

개인정보 및 원내 중요정보 유출 예방 및 직원들의 보안의

식 제고를 위하여 매월 세 번째 수요일을 「사이버보안진단의

날」로 지정하여 운영함과 동시에 현장 실사를 통한 점검을

통해 업무용 개인PC에 대한 보안을 강화하고 있다.

3.3 정보보안 의식 제고를 위한 교육 활동

외부 강사를 초청하여 정보보안 관련 교육을 전직원 대상으

로 년 2회 지속적으로 수행하고 있으며 2009년에는 “개인정보

보호 및 원내 정보보호 체제를 주제로 보안컨설팅전문 업체

SeedGen의 대표이사 김휘영 사장을 모시고 서울분원(6월 29

일), 대전 본원(6월 30일) 이틀간 교육을 수행하였다. 또한 지

리적 한계로 인해 본원 및 분원 교육 참여가 어려운 각 지원

근무자를 위하여 8월 4일 ~ 8월 7일 방문 교육을 수행하였다.

9월부터는 ”찾아가는 정보보호 교육“ 슬로건을 통해 부서별

방문 교육을 순차적으로 진행하고 있다.

- 28 -

Ⅳ KISTI 정보보안 의식제고 활성화 방안

4.1 개인정보 보호를 위한 의식제고 활성화 방안

4.1.1 개인정보의 유형

‘정보통신망이용촉진 및 정보보호등에관한법률’ 제2조 6호에

의하면 개인정보를 생존하는 개인에 관한 정보로서 성명, 주민

등록번호 등의 사항에 의하여 당해 개인을 알아볼 수 있는 부

호․문자․음성․음향 및 영상 등의 정보라고 정의한다.

개인정보는 크게 주민번호, 여권번호, 자동차운전면허번호

등과 같이 개인을 직접적으로 식별 할 수 있는 직접 식별정보

와 성명, 주소, 전화번호와 같이 개별 정보를 통해서는 개인을

식별 할 수 없지만 각각의 개별 정보를 조합해 개인을 식별

할 수 있는 간접 식별정보로 구분된다. 이러한 개인정보는 정

보의 성격 및 특성에 따라 일반정보, 경제정보, 사회정보, 통신

정보, 민감정보 등으로 세분화 할 수 있다.

먼저 일반정보는 개인의 신상을 직접적으로 확인할 수 있는

정보로써 이름, 주민번호, 여권번호 등이 이에 포함된다. 경제

정보는 개인의 경제 규모를 추측할 수 있는 정보로써 급여 내

역, 신용카드 사용내역 등이 여기에 포함된다. 세 번째로 사회

정보는 개인의 사회적 위치를 확인할 수 있는 정보로써 학력,

- 29 -

[표 4] 개인정보의 종류 및 특징

출생력 등이 이에 포함된다. 통신정보는 인터넷 메일 아이디,

메신저 아이디, 핸드폰 번호 등과 같이 유․무선 네트워크를

이용하는 사용자 정보로서 최근 통신정보 유출에 따른 스팸메

일, 보이스 피싱, 메신져 피싱 등의 부작용이 문제가 되고 있

다. 마지막으로 민감정보는 인종, 민족, 사상, 범죄기록, 병력

등 정보주체의 기본적 인권을 현저하게 침해할 우려가 있는

정보를 의미한다.

[표 4]에서는 위에서 나열한 개인정보를 세분화하여 나타내주

고 있다.

- 30 -

4.1.2 개인정보 유출 경로

삶의 형태와 업무 영역이 오프라인에서 온라인으로 옮겨감

에 따라 온라인에서의 정보교류가 활발하게 이루어지고 있으

며 이러한 웹에서의 정보획득을 위해 사용자들은 자신의 개인

정보를 제공하고 아이디 패스워드를 발급받아야 한다.

그러나 웹 사이트에 안정성을 공인기관으로부터 인정받은 사

이트가 거의 없으며 해당 사이트에서의 개인정보 취급에 관해

사용자에게 구체적으로 통보해 주는 사이트 역시 전무한 실정

- 31 -

이다. 또한 허가받지 않은 불법 사용자로부터의 해킹,

DDoS(Distributed Denial of Service) Attack, 스팸웨어 등 개

인정보 및 기관의 중요정보를 위협하는 요인들이 날로 증가하

고 있는 실정이다.

[그림 9] 개인정보 유출과정(출처 : KISA)

[그림 9]는 개인정보의 생성에서부터 관리 소홀로 인한 유출

과 그에 따른 오․남용까지에 과정을 나타내었다. [그림 9]에

서와 같이 개인정보는 공공기관, 웹사이트, 전기통신사업자, 의

료기관등 다양한 분야에서 수집되어 축적되고 있고 이러한 개

인정보는 내부자, 해커, 관리 부주의로 등의 여러 가지 방법으

로 유출되고 있는 있다. 더욱이 심각한 것은 위와 같이 유출된

개인정보는 이윤추구를 위한 일부 브로커에 의해 온라인과 오

- 32 -

프라인을 가리지 않고 무분별하게 유통되고 있으며 이렇게 유

통된 정보는 대포폰 개설 및 신용카드발급과 같은 명의도용에

의한 피해를 발생시키고 있고, 최근에는 휴대폰이나 메일 등을

통한 스팸광고의 대상이 되기도 2차 피해를 야기하기도 한다.

웹 사이트 이용함에 따라 발생 할 수 있는 개인정보 오남용

문제 예방 및 사용자 PC내 개인정보 및 중요정보를 안전하게

보호하기 위해서는 웹 사이트를 이용하는 사용자 및 PC 사용

자 자신에게 전적으로 의존 할 수 밖에 없다. 그러나 대부분의

사용자들은 이용의 불편함과 기억하기 쉽다는 이유로 간단한

패스워드 사용, 웹 사이트에서의 검증되지 않은 프로그램의 무

분별한 다운로드 및 설치, 서로 다른 시스템에 대한 동일한 아

이디와 패스워드 사용 등 정보보호에 대한 전반적인 인식 부

족이 심각하다. 따라서, 이러한 정보보호 인식 부족에서 발생

할 수 있는 위협으로부터 개인정보 및 기관내 중요정보를 보

호하기 위해서는 개개인의 보안의식을 고취시키고 구체화 할

수 있는 실행방안이 요구된다.

4.1.3 개인정보를 보호하기 위한 구체적인 실행방안

본 연구에서는 개인정보 보호를 위한 실행방안을 보안책임

부분, 패스워드 관리 부분, PC운영부분, 인터넷사용 부분, 바

이러스 악성코드 부분, 문서 관리 부분, 물리적 보안 부분으로

세분화하여 제시하고자 한다.

- 33 -

보안책임부분은 보안사고 발생시 처벌 규정의 지각을 통해 개

인정보 유출을 예방하기 위한 구체적인 방안이다.

1) 개인용PC 또는 개인이 관리하는 시스템에서의 보안사고 발생시

보안 책임 소재 여부와 처벌 내용까지 지각시켜야 한다.

2) 자신에게 부여된 시스템 및 접근권한외의 접근 시도를 금지토록

한다.

3) 보안규정 및 지침에 대한 교육자료 작성 및 배포를 통해 조직 구

성원들이 쉽게 보안규정과 지침들을 확인하고 숙지 할 수 있도록

해야 한다.

4) 주기적으로 보안규정 및 지침에 대한 교육을 실시하여야 한다.

둘째로 패스워드 관리 부족으로 발생할 수 있는 피해를 예방

하기 위한 구체적인 실행 방안이다.

1) 패스워드는 문자, 숫자, 특수문자를 조합하여 8자리 이상으로 설

정하여 사용하도록 유도하여야 한다.

2) 주기적으로(최소 분기1회) 패스워드를 변경하도록 강제하여야

한다.

3) 패스워드 공유 및 메모 등의 행위를 금지하도록 하여야 한다.

- 34 -

세 번째로 개인용PC 운용상에 발생할 수 있는 보안 사고를

예방하기 위한 실행 방안이다.

1) 공유폴더 사용을 기관차원에서 원천 금지하거나 그러지 못 할 경

우 사용자로 하여금 공유폴더 사용을 지양할 수 있도록 해야 한

다.

2) 운영체제, 워드 프로그램, 기타 프로그램 제작사에서 배포하는 패

치 설치를 자동화하거나 주기적으로 업데이트 하도록 강제하여야

한다.

3) 일정시간(10분) 이상 부재시 화면보호기를 설정하고 화면보호기

는 반드시 패스워드를 사용하도록 강제하여야 한다.

4) 컴퓨터 부팅시 CMOS 패스워드 및 운영체제 패스워드 설정하도

록 함으로써 패스워드 보안을 강화 할 수 있도록 해야 한다.

5) 노트북의 경우 분실의 위험이 있으므로 도난방지장치를 구비하여

배포하고 지문인식과 같은 생체인증 기능이 추가된 노트북을 구

입하도록 유도하여야 한다.

6) 불법소프트웨어의 사용을 원천적으로 차단함과 동시에 불법소프

트웨어 사용에 따른 처벌규정 및 처벌사례 등을 별도의 자료를

통해 배포하여야 한다.

7) 시스템 내 자료에 대하여 주기적인 백업을 수행하고 중요 정보에

대해서는 암호화하여 저장할 수 있도록 유도하여야 한다.

- 35 -

네 번째로 인터넷 사용에서 발생할 수 있는 보안 위협(바이러

스, 스파이웨어 포함)에 대한 피해를 예방하기 위한 실행 방안

이다.

1) Active-X의 다운로드를 금지하고 부득이 사용하고자 할 때는 검

증받은 사이트 또는 신뢰할 수 있는 사이트에서 제공하는 Active

-X만을 사용하도록 유도하여야 한다.

2) 성인사이트, 게임 사이트, 전자상거래 사이트 등과 같이 업무와

직․간접적으로 연관성이 없는 사이트의 대한 접속을 하지 않도

록 유도하여야 한다.

3) 보안전담부서는 소프트웨어에 대한 패치 정보를 기관내 게시판이

나 구성원들의 메일을 통해 그 사실을 공포하고 구성원들은 보안

전담부서에서 공지하는 소프트에어 패치 등을 반드시 설치하도록

강제하여야 한다.

4) P2P나 웹하드 등을 이용한 파일 교환을 금지하여야 한다.

다섯 번째로 바이러스 및 악성코드 유포로부터 발생할 수 있

는 보안 위협을 방지하기 위한 실행 방안이다.

1) 송신인 불명 또는 모르는 사람으로부터 전송된 이메일에 열람을

하지 않도록 유도하여야 한다.

- 36 -

2) 이메일 첨부파일을 함부로 열어보지 못하도록 해야 하며 부득이

하게 첨부파일을 다운로드 할 경우 바이러스 및 스펨웨어 체크를

수행하도록 유도하여야 한다.

3) 컴퓨터바이러스 백신프로그램은 항상 최신 엔진이 설치 될 수 있

도록 백신 관리 시스템을 도입하여 운영하여야 한다.

4) 컴퓨터바이러스 백신프로그램의 실시간 감시를 반드시 구동하도

록 하여야 한다.

5) 점심시간을 이용하여 컴퓨터바이러스 검사를 수행할 수 있도록

예약 설정을 지정하도록 한다.

여섯 번째 문서 관리 소홀로 인해 발생할 수 있는 보안사고를

예방하기 위한 실행 방안이다.

1) 퇴근시 책상 위에 아무것도 없도록 깨끗이 정리하도록 한다.

2) 주요문서는 반드시 시건장치가 있는 보관소에 보관하도록 한다.

3) 주요자료를 이면지로 사용하지 말라.

4) 고객정보와 관련된 문서들에 대한 관리를 철저히 하도록 한다.

5) 허가 없이 주요문서를 외부로 유출하거나 다른 사람과 공유하지

않도록 해야 한다.

- 37 -

마지막으로 물리적 보안 부분에 대한 세부 실행 방안이다.

1) 신분증의 착용을 의무화함으로써 직원과 외부인의 구분을 명확하

게 할 수 있도록 해야 하며 신분증의 지갑 보관 및 방치를 하지

않도록 해야 한다.

2) 사무실의 출입문의 설정은 항상 닫혀 있도록 해야 한다.

3) 사무실에 보지 못한 외부인이 있을 경우 반드시 신원을 확인하여

야 한다.

4) 부득이하게 외부인의 출입을 허용할 경우 담당자가 동행하도록

하여야 한다.

4.2. 원내 중요정보 보호를 위한 위식제고 활성화 방

안

컴퓨터의 등장과 정보통신 기술의 발달은 다양한 변화 및

삶의 질에 향상을 가져왔다. 그러나 이러한 긍정적인 모습 뒤

에는 개인정보 유출 및 기관내 중요 정보 유출 등과 같은 부

작용을 동반하고 있다.

최근 보안전문 업체 NSHC의 조사결과 “공공기관, 대기업, 중

소기업, 개인홈페이지 등 웹 취약성 분석을 한 결과 91%가 민

감한 고객정보를 유출할 수 있는 보안취약점이 존재하다고 발

- 38 -

표하였다. 발표 자료에 따르면 중소기업과 개인홈페이지가

95%로 가장 높았으며, 공공기관이 91%, 대기업이 88%로 가장

낮았다. 따라서 기관 특성에 따른 정보보호 대책 마련이 요구

된다.

[그림 10] NSHC 보고

4.2.1 정보자원에 체계적 관리를 위한 총체적인 체제 수립

정책은 기관이 나가야 할 방향을 정의하는 것으로 정보보호

정책은 기관에서 추구하는 정보보호에 방향이라고 할 수 있다.

이러한 정보보호와 관련된 정책(정보보호 업무 규정, 정보보호

지침)등은 국가정보원이나 상위기관 정보화 담당부서와 협의

하여 지속적으로 개정 및 관리되어야 하며 보안심사위원회에

심위를 통해 그 효력을 인정받아야 한다.

- 39 -

4.2.2 적극적인 정보보안 교육을 통한 의식 수준 향상

공공기관의 개인정보보호 교육에 의무화 도입 및 정보보호

에 대한 인식부족으로 인한 개인정보 침해사고가 지속적으로

발생함에 직원 대상 교육의 중요성이 부각되고 있다. 그러나

기존의 집합․이론식 교육의 경우 효과성을 보장 할 수 없으

며, 시간과 장소에 제약이 있다는 한계가 있다. 따라서 집합·

이론 교육을 탈피, 시간과 장소에 제약을 받지 않고 교육을 받

을 수 있는 교육환경을 조성하고 현장중심의 교육이 요구된다.

부서별 보안담당자들로 하여금 정보보호 대한 인식을 높일

수 있도록 워크숍을 개최하고 법·제도와 기술적 보호조치 등

에 대한 전문교육을 수행하여야 한다.

4.2.3 사용자 참여 중심의 정보보안 생활화

최근 음악, 영화, 출판물 등의 불법 배포 혐의로 청소년을

포함한 다양한 계층의 사람들이 저작권 침해로 고발조치 당하

는 것을 언론 매체를 통해 접할 수 있다. 그러나 특이하게 이

들의 공통점은 자신의 행동이 불법인지 자각하지 못한다는 것

이다. 이는 정보보안이 자신의 일이 아닌 다른 사람의 일이라

고 생각하는 것을 증명하는 것으로 위에 문제를 해결하기 위

해서는 생활속에서 정보보호를 지각할 수 있도록 주기적인 정

보보호 캠페인 활동, 정보보호 관련 표어 및 표스터 부착 등

기관차원에서의 적극적인 방안 모색 및 지원이 요구된다.

- 40 -

4.2.4 사용자 PC 관리를 위한 체제 마련

최근 USB 사용에 따른 보안 위협을 최소화하기 할 수 있는

보안 USB, 윈도우 업데이트 및 바이러스 프로그램 자동 업데

이트를 수행하는 패치관리 시스템, 파일암호화 시스템 등 정보

보호를 위한 다양한 형태의 보안 시스템이 연구 개발 되어 상

용화 되어지고 있다. 따라서, 기관에서는 위와 같은 보안 시스

템의 대한 도입 및 배포를 기관차원에서 추진함과 동시에 보

안시스템 도입에 따른 효과를 강조한 구성원에 공감대 형성

및 사용에 대한 교육을 실시하여야 한다.

4.2.5 통합적인 사이버 안전센터 구축

전사적 정보보호 의식 제고를 도모하고 전직원 사이버 정보

보호 교육환경 구축 및 사이버 위협의 효율적인 대처를 위한

사이버 안전센터의 구축이 요구된다. 사이버 안전센터에는 사

이버 정보보호 교육, 상황별 위기대응 대처 방안, 보안 필수프

로그램 배포시스템, 정보보호 종합안내(보안뉴스, 보안자료실,

보안 규정 안내 등), 원클릭 고객PC 지원서비스 등과 같이 다

각적인 형태의 서비스가 제공되어야 한다.

- 41 -

Ⅴ 결 론

네트워크와 인터넷의 발달은 많은 정보를 쉽게 접근하여 다

양한 업무에 도움을 주고 있다. 하지만 이러한 긍적적인 측면

과 더불어 개인정보의 유출을 통한 정신적·물질적 피해가 늘

어만 가고 있다. 다양한 형태의 사이버 공격방법을 통해 서버

나 PC에 저장되어 있는 개인정보를 유출하여 악의적인 용도

로 사용되고 있는데, 개인정보의 유출을 막기 위해서 아주 작

은 실천부터 해나간다면 개인정보의 유출 및 도용은 많이 감

소할 것이다. 정보의 보호는 사이버 환경 뿐만아니라 일상에서

도 항상 주의를 요할 만큼 필요한 것이다. 하지만 정보의 보호

를 위하여 일상 업무에 지장을 주어서도 안된다. 정보유출의

첫 번째 책임은 개인에게 있다. 개인의 부주의한 행동에 의해

정보는 유출 되어진다. 현 시대에서 정보의 발생은 개인의 PC

가 대부분을 차지하고 있으며 개인의 PC에서 서버에 전송함

으로 관리는 서버에서 하게 된다. 네트워크를 통한 정보유출은

개인의 PC에 남겨진 파일이나 서버의 파일을 다양한 방법으

로 유출되고 있다. 또한 이렇게 유출된 정보가 악의적인 사용

자에게 매매 되고 있어서 사회적인 문제가 되고 있다.

개인정보의 보호를 위해서는 일상에서 만들어지는 문서나

시설에 대해서는 보안구역을 만들어 개인정보가 들어있는 문

- 42 -

서와 일반문서를 별도로 보관하게 하여야 한다. 또한 PC와 같

은 정보기기 에서의 문서보안은 항상 최신의 상태를 유지하는

운영체제와 보안프로그램의 최신버전 설치, 실시간 감시 및 진

단기 등을 설치하여 네트워크를 통해 들어오는 데이터를 검증

하고 사용하여야 한다.