고객보호 위한 제도적 장치 마련돼야 … 전자 서명·화폐도 활용
정보보안은 과거 군사나 국가안보와 같은 특수 분야의 전유물이었다고 해도 과언이 아니다. 하지만 최근 시스템 및 네트워크 접속의 확대로 다른 부문에서도 보안의 중요성은 커지고 있다.이러한 네트워크 및 시스템 보안은 기관의 특성과 무관하게 가용성, 비밀성 그리고 무결성 등의 보안특성이 필수적으로 유지돼야 한다. 특히 외부자 침투시도를 원천적으로 방지할 수 있는 시스템을 갖춰야 한다. 더 나아가 은행이나 정부부문, 공공 통신기업, 그리고 민간기업 네트워크 등 분야에 따라 보안특성이 다양한 형태로 나타나고 있다.◆ 금융권미국의 첫번째 온라인 은행인 SFNB 이후 수많은 은행들이 사이버 공간에서 서비스를 확장하고 있다. 북미의 15개 은행들은 IBM과 함께 Integration Financial Network라는 통합된 네트워크를 구축하고 있다. 국제적으로는 GENDEX Bank International이 국제은행 네트워크를 구축하기 위해 노력하고 있다. 이런 사이버 뱅킹이 활발해짐에 따라 많은 위험들이 현실화되고 있다.실례로 1995년8월 씨티뱅크는 외부해커의 침입을 받았다. 하루에 수조달러를 전송하는 컴퓨터 시스템에 해커가 침입해 1천만달러를 불법적으로 전송한 사건이었다. 이 사고 후 씨티뱅크는 매번 자금 이체시 새 패스워드를 발생시키는 전자장치를 사용토록 했다.인터넷 뱅킹과 관련된 당사자들은 정부, 고객 그리고 은행으로 크게 구분할 수 있다.정부에서는 고도의 암호화 알고리즘을 적용토록 하고 고객을 보호하기 위한 제도적 장치를 마련해야 한다.큰 규모의 자금전송을 필요로 하는 기업고객은 자금 전송정보의 보안에 매우 깊은 우려를 가지고 있다. 은행 등 금융기관은 외부자와 함께 내부자들의 부정한 네트워크 접근 및 사용이 큰 문제가 된다. 실제로 이러한 문제가 발생한다고 하더라도 금융기관으로서의 신뢰성 하락을 우려해 문제발생 여부 자체를 은폐하는 경향이 있다.그러나 중요한 금융기관에 문제가 발생한다면 국가경제의 안정을 해칠 정도로 그 파급 효과는 엄청나다. 또한 은행의 경우는 해킹으로부터 안전한 시스템의 유지도 중요하나 특히 고객의 신상정보나 거래정보의 유출도 매우 민감한 이슈로 대두되고 있다.국내 금융기관들의 네트워크는 전용망으로 구성됐을 뿐 인터넷과 연결되지 않아 네트워크의 보안 취약성에 대해 오히려 신경을 쓰지 않았다.그러나 금융기관간 격심한 경쟁으로 인터넷뱅킹과 같은 서비스가 공급되면서 금융기관은 일반기업들에 비해 더욱 보안에 취약한 상황에 놓였다.따라서 이를 위한 보안시스템의 구축뿐만 아니라 이들 서브 네트워크와 연계된 내부 네트워크의 보안문제가 핵심적인 현안으로 대두되고 있다.◆ 정부기관정부기관은 점차 통신네트워크를 이용해 정보를 교환하는 빈도가 늘어나고 있다. 정부기관은 방대한 정보를 국민에게 제공하는 중요한 업무를 수행하고 있다. 이같은 정부의 네트워크 보안에 있어서 비밀성이 요구되는 정보와 그렇지 않은 정보에 대한 체계적인 분류가 선행돼야 한다. 비밀정보를 대상으로 네트워크를 통한 불법적인 접근 및 유출의 방지를 위한 철저한 대책이 요구된다. 또한 정부문서에 대해서는 이를 작성하고, 소유하고, 관리하는 행위의 주체가 명확해야 하므로 전자서명과 같은 기법이 필수적으로 요구된다.◆ 사이버 쇼핑몰사이버 쇼핑몰은 상거래에서의 비용절감과 편의성 제고를 위한 획기적인 전환의 결과이다. 일반적인 상거래에서와 마찬가지로 거래와 관련된 정보의 불법적인 변경을 막고 거래사실에 대한 사실확인이 가능해야 한다. 즉 자신이 낸 주문 접수 여부 등에 대한 사실증명이 가능하도록 전자서명과 같은 기법을 사용할 수 있어야 한다. 이와 동시에 거래정보나 거래자의 신원정보에 대한 비밀을 유지할 수 있어야 한다.사이버 공간에서는 일련의 특성을 갖는 사람들의 명부 자체가 상당한 가치를 지니는 정보가 되므로 고객 명부 자체의 유출이 되지 않도록 세심한 주의를 기울여야 할 것이다.전자상거래 실용화의 핵심인 전자결제 시스템은 신용카드에서 e-cash와 같은 네트워크형 전자화폐로 발전하고 있다. 이 시스템의 핵심 기술은 전자화폐의 발행, 결제 등의 단계에 사용되는 공개키 암호화, 디지털 서명 그리고 내용은닉서명(Blind Signature) 등의 암호 기술이다. 이들 암호기술은 현재 국내에서 수백개의 가상상점이 채택해 서비스에 활용하고 있다.국내에서는 가상상점의 신뢰도를 높이기 위해 올해부터 인터넷 모범상점인증제도가 시행되고 있다. 이 제도는 일정기간(6개월) 이상 매출실적이 있는 인터넷 쇼핑몰을 대상으로 소비자 보호, 개인정보보호 및 시스템 보안 등의 기준으로 평가한다. 이를 통해 소비자가 신뢰할 수 있고 안전한 쇼핑몰인지를 확인하여 인증마크를 부여하고 있는데 현재 7개 사업자가 인증을 받았다.한 조사에 따르면 국내 소비자의 47% 정도가 개인정보 및 결제정보의 유출을 두려워해 인터넷 쇼핑몰의 이용을 꺼리고 있다. 따라서 제3의 기관이 전자쇼핑몰의 신뢰성을 어느 정도 보증해주는 인증제도는 전자쇼핑몰의 이용을 촉진시키는 좋은 방안이 될 수 있다.★ 기업내 개인PC 사용자 해킹방지 가이드 10선바이오스 암호, 보안담당자가 관리1. 개인 PC는 개인만이 사용 가능해야 하며 불가피한 경우에 보안담당자만이 이에 접근할 수 있는 권한을 가지도록 한다.2. PC가 있는 자리를 떠나는 경우 반드시 화면보호기 암호를 설정하여 진행중인 작업을 다른 사람이 볼 수 없도록 한다.3. 보안담당자에 의해 승인이 된 애플리케이션만 구동해야 하고 개인적 목적으로 임의의 프로그램을 회사의 PC에 설치해서는 안된다.4. 개인PC의 하드웨어 바이오스 암호 등은 해당조직의 보안담당자만이 알 수 있도록 하여 개인 사용자가 임의로 하드웨어 세팅을 바꿀 수 없도록 조치한다.5. 개인은 자신의 PC의 네트워크 공유사항을 매일 점검하며 공유를 하는 경우에는 이를 보안담당자에게 알리고 승인후 사용하도록 한다.6. 업무상 필요한 문서의 교환에는 플로피 디스크등을 이용하는 것보다는 잘 조직된 접근체계의 네트워크 파일시스템을 이용하도록 한다. 플로피 디스크는 내부문서 유출에 가장 취약하다.7. 네트워크 환경에서 개인이 사용하는 각종 암호는 타인이 쉽게 예측할 수 없어야 하며 정해진 주기마다 갱신되어야 한다.8. 메일에 첨부되어 있는 각종문서와 애플리케이션은 반드시 보안담당자에 의해 승인된 바이러스 체크 유틸리티 등을 이용해 검증하고, 업무와 연관되지 않은 메일과 파일 교환 등을 해서는 안된다.9. 노트북과 같은 이동형 장비를 사용하는 경우에는 중요한 정보를 저장하지 않도록 하며 중요한 파일 등을 이용해야 하는 경우 이를 암호화하도록 한다.10. 시스템 사용중 평상시와는 다른 동작을 하거나 해킹이라고 의심이 되는 경우가 있으면 즉시 보안 담당자에게 신고하고 사전에 공지되어 있는 보안행동지침에 따라 행동하도록 한다.© 매거진한경, 무단전재 및 재배포 금지