화성시(시장 채인석 www.hscity.go.kr)는 서울과 인접한 서해안 연안도시로 지식기반산업, 고급 문화예술, 창의적 지역인재 육성을 통한 미래형 창조도시로 성장하고 있다. 화성시는 ‘사람중심의 행복도시, 함께하는 희망도시, 더 좋은 미래를 꿈꾸는 창의도시’라는 시정목표를 세우고 행정서비스를 고급화하고 있다.
수도권의 새로운 기회의 땅으로 떠오르고 있는 화성시는 전원환경과 IT 기술을 결합한 주거환경을 제공하고 있으며, 첨단산업 기업과 풍부한 용지가 결합된 지식산업 활동 기회를 보장하고 있다. 또한 서울과 인접한 서해안 벨트를 이루는 신도시로 중국과의 근접성이 높아 새로운 비즈니스를 창출할 수 있는 기회가 많은 지역이기도 하다.
친환경 주거환경과 편리한 상업환경이 조화를 이루고 있는 화성시는 시민들에게 보다 높은 품질의 행정서비스를 제공할 수 있도록 IT 인프라를 체계적으로 재정비하고 있으며, 특히 정보보안 분야에 많은 투자를 단행해 시민들의 중요한 정보와 행정정보를 보호하고, 안전한 행정 서비스를 제공할 수 있도록 노력하고 있다.
중앙집중적 관리정책으로 단말보안 강화
IT 보안 체계를 재정비하면서 화성시는 중요한 정보가 외부로 유출되지 않도록 하는데 많은 노력을 기울이고 있다. 시 행정에서 필수적으로 관리하는 데이터 중에는 행정정보뿐 아니라 시민들의 민감한 개인정보도 포함돼 있기 때문에 보안에 많은 노력을 기울여야 했다.
특히 PC는 가장 취약한 보안홀로 꼽히고 있는데, PC에 악성코드가 감염돼 중요한 정보를 유출하거나 시스템을 파괴하는 등의 지능형 공격이 발생할 수 있다. 공공기관은 행정망과 인터넷망을 분리한 망분리 환경이 구축돼 있지만, 외부 조직과의 협업이나 인터넷 업무와 행정업무가 연계되는 망연계 구간에서 외부 위협이 유입될 가능성을 배제할 수 없다.
공무원이 사용하는 PC에 수많은 정보가 저장돼 있기 때문에 이 PC에 악성코드가 감염된다면 민원인의 민감한 정보나 개인정보, 각종 행정정보가 유출될 수 있으며, 악성코드가 행정망 시스템으로 흘러들어가 심각한 공격을 일으킬 수도 있다.
화성시는 시 본청뿐 아니라 23개 읍면동사무소, 출장소 등 원격지 사무소 PC까지 분산된 업무환경에서 PC를 관리해야 했기 때문에 중앙에서 강력한 통제정책을 통해 일괄적으로 PC 보안 정책을 배포하고 이를 준수하도록 할 수 있는 시스템이 필요했다.
더불어 매월 셋째주 수요일에 시행하도록 의무화돼 있는 ‘사이버보안 진단의 날’을 지원할 수 있는 솔루션도 필요했다. 사이버보안 진단의 날은 공공기관의 업무용 PC에 대한 보안수준을 점검해 점수화하는 것으로, 점검 과정에서 발견된 취약점을 제거해 행정망에 접속하는 단말기를 통해 사이버 공격이 유입되지 않도록 하기 위한 것이다.
김영석 화성시청 정보통신과 주무관은 “행정망에 접속하는 화성시청 소속 공무원이 2100여명에 이르며, 원격지 사무소에서 사용하는 PC도 상당수에 이른다. 특히 읍면동사무소나 출장소에서는 새로운 IT 기술을 사용하는데 익숙하지 않은 직원도 있기 때문에 IT 보안 정책을 준수하도록 안내하고 교육하는데 어려움이 있다”며 “관리업무 증가 없이, 현업의 반발 없이 모든 PC를 중앙집중적으로 관리할 수 있는 솔루션이 요구됐다”고 말했다.
강력한 사용자 인증으로 보안 수준 높여
화성시청은 기존 NAC 시스템의 기능과 성능이 새로운 IT 환경에 맞지 않아 업그레이드 해야 할 시기였다. 화성시청은 분산된 업무환경에서도 단일한 PC 관리 환경을 구현할 수 있는 방법을 찾았으며, 공공기관 PC 관리와 관련된 규제도 준수할 수 있는 시스템을 찾았다.
이와 관련된 솔루션을 다수 검토한 결과 화성시청은 지니네트웍스의 ‘지니안 NAC’와 ‘지니안 내PC지키미’를 선택했다. 지니안 NAC는 국내 NAC 솔루션의 대표적인 제품으로, 확장된 형태의 내부 네트워크 관리가 가능하다. ‘내PC 지키미’는 공공기관 사이버 보안 진단의 날에 점검해야 할 항목뿐 아니라 기관의 환경에 맞게 필요한 항목을 추가하고 배점 기준을 추가할 수 있어 업무와 행정서비스의 특징에 맞게 PC 보안 상황을 점검할 수 있다.
화성시청은 지니안NAC의 가장 큰 장점으로 사용자 인증 기능을 들었다. 이전에 사용했던 NAC는 특정 IP로 접속한 단말의 보안위협에 대해 경고·차단이 가능했지만, 해당 IP를 사용하는 사람을 알 수 없어 관리업무가 가중됐다.
지니안NAC는 업무 시스템에 접속할 때 사용자 인증을 수행하도록 해 IP 주소만으로 사용자를 알 수 있도록 한다. 또한 해당 사용자의 업무내역에 대한 로그를 제공해 이상행위 혹은 이상행위로 의심될 수 있는 행위를 관리자가 탐지할 수 있도록 하고, 사고가 발생했을 때 감사 자료로 사용할 수 있도록 한다.
또한 NAC 에이전트가 업무 PC에 강제로 설치되며, 업무를 수행하는 중에는 종료할 수 없고, 보안 정책을 준수하지 않으면 행정망에 접속할 수 없는 등 사용자들이 보안정책을 지킬 수 밖에 없도록 한 것도 주목할 만한 효과다.
김영석 주무관은 “사용자 인증 기능이 지니안NAC를 선택한 가장 중요한 이유”라며 “IP와 사용자 정보를 기반으로 시스템에 접근한 단말과 사용자에 대한 가시성이 확보될 수 있어 관리의 정확성이 높아지고 관리 업무도 크게 줄어들었다”고 설명했다.
그는 “2100여대에 이르는 PC 중 어떤 것이 보안정책을 위배하고 있으며, 보안 패치 업데이트를 안했는지, 어떤 사용자가 권한에 어긋나는 행위를 하고 있는지 파악하는 것은 매우 어려운 일이다. 지니안NAC는 행정망에 접속한 단말기에 대한 가시성을 확보할 수 있도록 해 보안규정을 준수하지 않는 단말기와 사용자에 대해 경고하기 때문에 관리업무 증가 없이 내부보안을 강화할 수 있다”고 덧붙였다.
PC 상태 전수조사해 보안 수준 크게 높여
지니안NAC와 내PC지키미를 연동해 ‘사이버보안 진단의 날’ 요구사항을 만족시킨 것은 다른 공공기관에도 추천할 만한 정책이라고 김 주무관은 강조했다. 내PC지키미를 통해 공공기관의 기본 PC 보안 점검사항 항목 뿐 아니라 기관에서 자유롭게 보안 정책을 등록할 수 있도록 했다.
화성시청은 개인이 추가적으로 보안을 강화할 수 있는 행위에 더 많은 점수를 배점시켜 보안 수준을 더욱 강화하도록 했다. 필수 사항만을 준수하는 것이 아니라 더 높은 수준의 보안 정책을 지키도록 해 보안의식이 일상생활에 자리 잡을 수 있도록 하기 위해서다. 비밀번호를 단순하게 설정하는 것이 아니라 권고규정에 맞게 복잡한 비밀번호를 설정해 사용하거나 공유폴더를 해제하는 등의 보안 정책을 준수하도록 한 것이다.
‘사이버보안 진단의 날’에 기관들은 수작업으로 PC 상태를 확인하거나 제대로 확인하지 않고 보고서만 제출하는 경우도 많다. 내PC지키미는 모든 PC에 대해 보안수준을 빠르게 확인하기 때문에 관리자 업무 증가 없이 PC 보안수준을 정확하게 진단할 수 있다. 이러한 이점을 살려 화성시청은 월 1회 하루 동안 실시하는 정책을 바꿔 보름동안 지속적으로 점검했다.
김 주무관은 “하루만 점검할 경우 외근·출장·휴가 중인 직원의 PC는 점검할 수 없어 전수조사가 어렵다. 약 2주간 지속적으로 모든 PC를 점검함으로써 2100여대의 PC 보안수준 평균 83점이라는 높은 점수를 얻었다. 이는 다른 공공기관 비해 매우 높은 수준으로, 수작업이 아니라 자동화된 솔루션을 통해 보안을 점검하기 때문에 정확도가 높고 관리가 매우 쉽다”고 말했다.
시스템 전반의 취약점 점검해 지능형 공격 선제방어
화성시청은 지니안NAC와 내PC지키미 도입을 통해 클라이언트 보안 정책을 성공적으로 수행하고 있다고 판단하고, 2015년에는 시스템 전반의 보안을 위한 체계를 수립할 예정이다. 하트블리드, 배시버그와 같은 치명적인 취약점이 보고되고 있으며, 윈도우 시스템에 대한 취약점도 잦은 빈도로 발표된다. 이 때문에 화성시청 IT 인프라 중 어떤 시스템에 취약점이 있는지 점검하고, 이에 대한 대책을 마련하는 것이 필요한 시점이 됐다.
김 주무관은 “새로운 보안 취약점은 이를 악용한 공격이 어떠한 형태로 이뤄지며, 어떠한 피해를 입힐지 알지 못하기 때문에 더욱 위험하다. 화성시청 IT 인프라 전반에서 이미 발표된 취약점이 해결되지 않고 있는지 살펴보고 대책을 마련한 후 새롭게 발표되는 취약점에 대한 대비도 필요한 시점”이라고 설명했다.
