최광기 사이버침해대응 과장 "올 '사이버 스파이더' 구축 78억 투입"

최광기 과기정통부 사이버침해대응과장은 6일 서울 학여울역 인근 세텍(SETEC)에서 열린 정보보호최고책임자(CISO) 대상 정보보호 설명회에서 "급증하는 사이버위협에 대응하기 위해 위협징후 선제 탐지 등 신속한 대응이 중요하다"면서 "올해 '사이버 스파이더' 구축에 78억원을 투입할 계획"이라고 밝혔다. '사이버 스파이더'는 사이버 공격 통합 탐지 및 대응 체계를 위해 과기정통부가 구축중인 시설이다. 이날 행사는 중앙전파관리소(소장 김정삼)와 한국정보보호산업협회(KISIA, 회장 조영철)가 공동으로 주관했다. '사이버 스파이더'는 ▲8종(사이버 사기 대응 시스템, 악성도메인 탐지 시슽템, 홈페이지 변조 탐지, 악성코드 유포 탐지 등)의 위협탐지시스템을 종합적으로 분석하고 ▲공격자 프로파일링, 위협 추적 등 사이버 공격 탐지 및 추적을 위한 시설이다. 오는 10월 본격 가동할 예정이다. 올해 또 과기정통부는 보안 투자가 어려운 중소기업을 위한 '디도스 사이버 대피소'도 예산 29.5억원을 투입, 구축한다. 이 시설은 디도스 트래픽을 사이버 대피소로 우회시켜 공격 트래픽은 차단하고 정상 트래픽만을 전달하는 역할을 한다. 또 올해 사이버 위기대응 모의훈련에도 14.8억원을 지원한다. 최 과장은 "민간 기업의 침해사고 대응 능력 향상 및 임직원 보안인식 제고를 위한 사이버 모의 훈련을 제공하는 시설"이라면서 "영세 중소기업은 상시 이용할 수 있다"고 설명했다. 이외에 SW개발기업 공급망 보안점검 지원 사업도 올해 20억원을 지원한다. 이 돈으로 SW취약점 점검과 S봄(S-BOM, SW자재명세서) 생성 등을 돕는다. 신청을 하며 기업을 직접 방문해 도움을 주는 한편 내방형도 운영한다. 내방형은 신청을 하면 일정을 협의해 경기도 판교 2테크노밸리 소재 기업지원허브 4층을 직접 방문하면 지원을 받을 수 있다. 이날 최 과장은 CISO 제도 운영 현황도 소개했다. CISO 지정은 정보보호 수준 제고를 위한 최소한의 의무라고 강조한 그는 "기업의 정보보호에 대한 관심과 투자 확대, 보안 수준 강화를 위해 CISO는 필수"라고 강조했다. CISO(Chief Information Security Officier)는 기업의 정보통신시스템에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자를 말한다. CISO 업무는 크게 네 가지다. 첫째, 정보보호 계획 수립과 시행 및 개선 둘째, 정보보호 위험 식별과 평가, 정보보호 대책 마련 셋째, 정보보호 실태와 관행 정기 감사 및 개선 넷째, 정보보호 교육과 모의 훈련 계획 수립 및 시행 등이다. 과기정통부는 일정규모 기업은 CISO를 필수로 둬야 하는 지정 및 신고제를 마련, 시행하고 있다. 이는 기업 유형과 규모 등에 차등을 둬 운영하고 있다. 신고의무 제외 대상 기업은 ▲자본금 1억 이하인 곳 ▲중소기업기본법 2조 2항에 따른 소기업 ▲전기통신사업자, ISMS의무 대상자, 개인정보처리자, 통신판매업자 중 어느 하나에 해당하지 않은 중기업 정보통신서비스 제공자 등이 대상이다. 이런 신고 의무 제외 대상에 해당하지 않은 중기업 이상 정보통신서비스 제공자는 일반 신고 의무 대상이다. 단, 신고의무 제외 대상 기업의 경우 신고하지 않더라도 회사 대표를 CISO로 간주 한다. 특히 기업은 신고 의무가 발생한 날부터 180일 이내에 과기정통부장관(중앙전파관리소장에게 위임)에게 신고해야 한다. 또 일정 규모 이상 기업의 CISO는 겸직 금지 대상이다. 정보통신서비스 제공자로서 ▲직전 사업연도 말 기준 자산총액 5조원 이상 이거나 ▲정보보호관리체계(ISMS) 인증 의무대상자 중 직전 사업연도 말 기준 자산 총액 5천억원 이상인 곳이다. 이들 겸직제한에 해당하는 기업은 CISO를 이사로 지정해야 한다. CISO는 다음 6가지 조건 중 최소 하나를 갖춰야 한다. 즉, ▲정보보호와 정보기술 분야 석사학위 이상 ▲학사+3년이상 경력 ▲전문학사+5년 경력 ▲10년 이상 정보보호 정보기술 업무 경력 ▲정보보호 관리 체계 인증심사원 자격 ▲ 정보보호 부서의 장(長) 근무 1년 이상 등이다. 과기정통부는 민간 정보보호 역량 향상을 위해 CISO의 보안 정책 적용과 침해사고 대응 우수 사례를 발굴, 보급하고 있다. 또 정보보호 설명회도 주기적으로 열고 있다.