대동 도시 사회 경제 포럼 | 데이터 기반 보안 정책의 설계와 이행전략 연구 - 망분리 규제를 중심으로 -

문초록연구목적 □ 초연결 및 디지털 전환의 시대에 맞지 않는 망분리 규제의 보완 방안과 미래지향적인 보안 정책의 방향성을 제시하는 것 ○ “미래지향적인 정책”이란 미래에 등장할 신서비스의 구현을 가능하게 하는 보안 정책과 미래에 등장할 새로운 보안 기술을 적용할 수 있는 보안 정책을 의미 주요내용 □ 보안의 개요 및 최근 기술 동향 ○ 최근 보안 위협의 특징: (1) 지능형 지속 위협(APT) 등과 같이 정형화되지 않은 공격이 많음 (2) 조직의 내외부 구분 없이 어디서나 공격이 이루어짐 (3) 사회공학적 공격 등과 같이 사람을 통한 공격이 많음 ○ 최근 보안 기술의 진화 방향: (대상 범위) 기업 내 특정 경계면 → 기업 전반으로 확대 (활용 수단) 하드웨어 장비 위주 → 다양한 종류의 데이터 분석, 인공지능 활용 ○ 최근 새로운 보안 패러다임으로 제로 트러스트(Zero Trust)가 주목받고 있음: 사용자가 정보 자원에 접근을 요청할 때 아무 것도 신뢰하지 않는다는 개념 □ 국내 보안 정책의 현황과 문제점: 망분리 규제를 중심으로 <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1OaUj/6216dbff425318b4dbb07aec0bb7e089ee5b760c" class="txc-image" data-img-src="https://t1.daumcdn.net/cafeattach/1OaUj/6216dbff425318b4dbb07aec0bb7e089ee5b760c" data-origin-width="905" data-origin-height="905"></div><div class="figure-file" data-ke-type="file" data-file-src="https://t1.daumcdn.net/cafeattach/1OaUj/ba816cdab64d411ce8f9cf590613373f3df9d18c?download" data-file-name="(최종보고서)(정책연구-2022-12)데이터 기반 보안 정책의 설계와 이행전략 연구-최병삼.pdf" data-file-size="3344473" data-mimetype="application/pdf" data-ke-align="alignCenter"><a href="javascript:checkVirus('grpid%3D1OaUj%26fldid%3DOJI0%26dataid%3D1%26fileid%3D2%26regdt%3D20231128112656')"><div class="image"></div><div class="desc"><div class="filename">(최종보고서)(정책연구-2022-12)데이터 기반 보안 정책의 설계와 이행전략 연구-최병삼.pdf</div><div class="size">3.19MB</div></div></a></div> ○ 망분리란 기업에게 내부의 업무용 시스템과 인터넷 등 외부통신망을 분리하는 것 ○ 망분리 규제의 장점과 단점: 직접적 경로를 통한 위협에 대해 기밀성·무결성이 비교적 우수, 우회적 경로를 통한 위협에 대해 기밀성과 무결성이 미흡하고, 가용성 측면에서는 인가된 사용자가 요구하는 접근을 적시에 제공하기 어려우므로 매우 미흡 ○ 미국, EU 등은 망분리를 보안 기법의 하나로 인정하고 있고 높은 보안 수준이 요구되는 자산에 권고하고 의무화하는 경우는 없음. 제로 트러스트로의 전환 정책을 적극 추진 중 □ 주요 산업별 보안 위협, 대응수단 및 정책 분석 ○ 현재 망분리 규제가 시행되고 있거나 향후 시행될 가능성이 있는 4개 산업을 분석: 금융, 헬스케어, 홈네트워크, 자동차 ○ 산업별 보안 위협 및 보안 기술 현황, 망분리 규제 등 국내외 보안 정책 현황, 정책 제언 정책대안 □ (추진과제 1) 망분리에 대한 개념 전환 및 규제 대상 조정 ○ 현행 물리적·논리적 망분리를 구조적 망분리를 포함하여 확장 ○ 망분리의 규제 대상을 필수 기능(mission-critical) 자산으로 한정 □ (추진과제 2) 제로 트러스트 모델의 시범적 도입 및 확산 ○ 국내에서 아직 적용된 사례가 많지 않으므로 전면적인 도입보다는 점진적인 도입을 추진 □ (추진과제 3) 산업 및 기업 특성을 반영하여 보안 정책 차별화 ○ 가용한 전산 자원의 규모, 기능의 중요도, 전산 자원에 대한 지불의사 등을 고려하여 물리적/논리적/구조적 망분리 또는 제로 트러스트 도입 여부를 결정 ○ 기업의 규모 또는 보안 수준에 따른 보안 정책 차별화 □ 3개 추진과제가 이행되기 위해 필요한 3가지 선결과제 (1) (사전적) 중요도 중심의 데이터 분류 (2) (사후적) 사고가 발생했을 때 처벌 수준을 높이는 등 사후규제 강화 국문 요약 i 영문 요약 I 제1장 서론: 초연결, 디지털 전환, 그리고 망분리 규제 1 제1절 연구의 배경 및 필요성 1 제2절 연구의 목적 및 주요 내용 5 제3절 연구의 방법 및 추진 체계 12 제2장 보안의 개요 및 최근 기술 동향 14 제1절 보안의 개요 14 1. 보안 위협 14 2. 주요 보안 기술 18 3. 최근 보안 패러다임 24 제2절 최근 보안 기술 동향: 제로 트러스트 모델을 중심으로 25 1. 경계 보안 모델 25 2. 제로 트러스트 모델 26 제3장 국내 보안 정책의 현황과 문제점: 망분리 규제를 중심으로 32 제1절 국내 보안 정책 현황 32 1. 국내 보안 환경의 특수성 32 2. 국내 보안 정책의 최근 동향 38 제2절 망분리 규제의 개요 및 문제점 40 1. 망분리 규제의 개념 40 2. 국내 망분리 규제의 경과 42 3. 망분리 규제의 장점과 단점 44 제3절 보안 패러다임 전환의 필요성 53 1. 초연결 및 디지털 전환 시대의 도래 53 2. 해외 보안 정책 동향 56 3. 보안 패러다임 전환의 필요성 60 제4장 주요 산업별 보안 위협, 대응수단 및 정책 분석 62 제1절 금융 64 1. 금융 분야의 보안 위협 64 2. 금융 분야의 보안 수단 및 효과성 비교 68 3. 금융 분야의 국내외 망분리 규제 현황 71 4. 금융 분야의 보안 정책 제언 74 제2절 헬스케어 81 1. 헬스케어 분야의 보안 위협 81 2. 헬스케어 분야의 보안 수단 및 효과성 비교 83 3. 헬스케어 분야의 국내외 망분리 규제 현황 88 4. 헬스케어 분야의 보안 정책 제언 92 제3절 홈네트워크 95 1. 홈네트워크 분야의 보안 위협 95 2. 홈네트워크 분야의 보안 수단 및 효과성 비교 98 3. 홈네트워크 분야의 국내외 망분리 규제 현황 101 4. 홈네트워크 분야의 보안 정책 제언 103 제4절 자동차 109 1. 자동차 분야의 보안 위협 109 2. 자동차 분야의 보안 수단 및 효과성 비교 113 3. 자동차 분야의 국내외 망분리 규제 현황 116 4. 자동차 분야의 보안 정책 제언 118 제5절 소결 123 제5장 결론: 초연결 및 디지털 전환 시대의 보안 정책 126 제1절 추진과제 127 1. 망분리에 대한 개념 전환 및 규제 대상 조정 127 2. 제로 트러스트 모델의 시범적 도입 및 확산 129 3. 산업 및 기업 특성을 반영하여 보안 정책 차별화 131 제2절 선결과제 137 1. 중요도 중심의 데이터 분류 137 2. 정책 실효성 제고를 위한 사후 규제 강화 140 3. 전체 생태계 구성원의 인식의 전환 143 참고문헌 147 부록 1: 기타 분야의 망분리 규제 현황 151 부록 2: 금융/헬스케어/홈네트워크/자동차 보안 전문가 서면 질의서 160