|
현대사회가 지식정보화 사회로 급격히 발전하면서 모든 정보가 디지털화 됐다. 이 과정에서 정보보안이 가장 중요한 요소로 떠올랐다.
우리나라는 1986년 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, 2005년 ‘국가 사이버안전관리 규정’ 등을 제정해 정보화사회 초기부터 정보보안에 대비했다. 2004년 국가정보원 산하에 국가사이버안전센터를 설치해 사이버 보안문제에 대해서도 집중 대응하고 있다.
최근 국정원에서는 고도화되는 보안위협에 대응해 국제공통평가기준(CC)인증만 허용했던 도입정책을 CC 인증뿐만 아니라 보안기능확인서, 성능평가로 확대해 능동적이고 효율적인 보안정책을 만든다는 방향을 발표했다. 또, 국정원은 규제해소와 검증체계 효율성 제고를 위해 일률적으로 적용하던 검증체계를 각 기관 중요도에 따라 등급을 나눠 탄력적으로 적용하도록 하고 있다. 특히 공공분야 정보기술(IT) 보안제품에 대한 규제해소와 검증체계 효율성 제고를 위해 ‘신(新) 보안적합성 검증체계’를 마련한 것은 정부의 선도적 대응전략이라고 평가된다.
우리나라 정보보안제도를 이해하기 위해서는 먼저 정보, 정보의 가치, 정보보안, 정보보안과 정보보호의 구분 등 중요한 개념을 이해해야 한다. 이러한 개념적 환경에서 정부는 안전한 소프트웨어(SW)를 개발해 각종 사이버 위협으로부터 예방·대응하는 ‘SW 개발보안’ 가이드를 마련했다.
SW개발에 필요한 언어별 시큐어코딩을 살펴보면 JAVA, C, 안드로이드-JAVA 등이 있다. 시큐어코딩이란 SW 개발과정에서 개발자 실수, 논리적 오류 등으로 인해 SW에 내재된 보안취약점을 최소화하는 활동이다. 해킹 등 보안위협에 대응할 수 있는 안전한 SW를 개발하기 위한 일련의 과정을 의미하기도 한다.
그러나 현재 기업·공공 등에서 핵심 SW라고 할 수 있는 전사자원관리(ERP)에 대해서는 내부시스템이라는 생각과, 상대적으로 안전하다는 인식을 갖고 있어 시큐어코딩을 적용하지 않는 분위기다. ERP 시스템은 재무, 제조, 소매유통, 공급망, 인사 관리, 운영 전반 비즈니스 프로세스를 자동화하고 관리하는 기업 핵심 의사결정 시스템이다. 이처럼 중요한 의사결정 시스템에 보안취약점이 발견된다면 이로 인한 막대한 정보유출과 피해는 회복이 불가능할 것이다.
최근 ERP 시스템에 대한 피해를 당하는 기업이 늘고 있다. 보안업계와 한국인터넷진흥원(KISA)은 인터넷보호나라 사이트를 통해 기업 ERP 시스템에 대한 공격확산을 경고했다. 이처럼 중요한 ERP SW는 기획 단계에서부터 발생가능한 위험요인을 사전에 도출하고 다양한 위험분석과 위협모델링 등에 대응해야 한다. ERP 공급업체 또한 일반적 SW 개발에 필요한 ‘SW 개발보안’ 가이드에 따른 개발보안 방법론을 성실히 따라야 한다.
ERP 시스템에 대한 시큐어코딩을 통해 보안환경 변화에 신속히 대응해야 한다. 해킹 등에 의해 ERP 시스템이 공격받으면 기업 내 중요 데이터 유출로 인한 피해는 기하급수적으로 늘 수 있다. 이제라도 기업 내부적으로 ERP 시스템 보안정책에 필요한 충분한 재정지원을 통해 보안에 대비해야 할 때다.
허창용 한국금융정보산업협동조합 이사장 kfiic@kfiic.com
기사원문 : [ET단상]ERP 보안 사각지대 해소해야 - 전자신문 (etnews.com)
|