IP 기반 첨단 기술이 상용화되면서 기술 진화 속도만큼이나 빠르게 보안 공격도 지능화/다양화/조직화되어 가고 있다.
정보 해킹이나 개인정보 유출 등으로 인한 경제적·인적 피해가 갈수록 증가하고 있어 유무선 네트워크의 파이어월 시스템 구축이 새삼 주목받고 있다. 

이 연구에서는 파이어월 시스템을 구축하는 데 가장 중요한 이슈로 부각되고 있는 방화벽과 개인정보보호 이슈, 개인정보보호를 위한 국내 파이어월 시스템 기술개발 패턴과 제품개발 추세를 반영한 파이어월 기술개발 동향에 대해 설명한다.

개요

웹 3.0, HTML5, IPv6, 시맨틱웹 등 웹 접속 기술이 다양화되고 인터넷 개방성이 높아지면서 SNS, RSS 및 검색 시스템 등 편리한 서비스들이 지속적으로 증가하고 있다. 

이러한 웹 서비스가 늘어갈수록 악성 소프트웨어(malware), 애드웨어(adware) 등을 이용한 사이버 위협도 함께 증가하면서 특히 개인정보 침해 사건이 빈번하게 발생하고 있다. 

아울러 IP 기반 첨단 기술이 상용화되면서 보안상의 취약점이 나타나고 있으며, 기술 진화 속도만큼이나 빠르게 보안 공격도 지능화/다양화/조직화되어 가고 있다. 

국내외 주요 기관 및 기업의 주요 정보 해킹이나 개인정보 유출 등으로 인한 경제적·인적 피해가 갈수록 증가하고 있어 유무선 네트워크의 파이어월(FIrewall, 침입 차단 방화벽) 시스템 구축이 새삼 주목받고 있다[1].

이 연구에서는 파이어월 시스템을 구축하는 데 가장 중요한 이슈로 부각되고 있는 방화벽과 개인정보보호 이슈, 개인정보보호를 위한 국내 파이어월 시스템 기술개발 패턴과 제품개발 추세를 반영한 파이어월 기술개발 동향에 대해 설명한다.
이를 토대로 성숙기에 접어들어 국내 기술 수준을 좀 더 고도화 할 필요가 있는 파이어월 기술개발 로드맵(TRM)을 제시한다. 효과적인 개인정보보호를 위한 향후 파이어월 시스템의 성능은 사전 예측 및 방지 기술을 수용할 수 있는 기술개발이 필요하다.

파이어월과 개인정보보호 이슈

1. 개요
파이어월 시스템을 구축하는 데 가장 중요한 이슈는 개인정보를 보호하는 것이다. 이를 통해 사생활 침해나 경제적 피해를 최소화하고자 하는 것이다. 개인정보보호를 위해 2011년 9월 30일부터 개인정보보호법이 시행되고 있다. 

기존의 정보통신망법※1 등 개인정보보호 관련 개별법마다 달랐던 개인정보 수집·이용, 처리, 파기 등에 대해 단계별로 필요한 보호 기준과 원칙이 수립된 것이다. 주요 내용을 살펴보면 다음과 같다[2].

■ ‌개인정보 열람·정정·삭제 및 처리 정지권을 보장하고, 개인정보 유출 시 통지·신고 제도와 집단 분쟁 조정 제도, 권리 침해 중지를 구하는 단체 소송 등을 도입하여 국민의 피해 구제를 한층 강화한다.

■ ‌각 공공기관은 개인정보 영향 평가를 의무화하는 등 개인정보 침해 사고 예방과 국가의 개인정보보호 수준을 획기적으로 강화한다. 이를 위해 주민등록번호 등 고유 식별번호의 수집 및 저장을 엄격히 제한하며, 영상정보처리기기(CCTV 등) 설치·제한에 대한 근거 규정을 마련한다.

■ ‌개인정보보호위원회를 통해 주요 정책 사안을 심의·의결하고 헌법기관, 중앙행정기관 및 지자체의 법규 위반 사항 등에 대해 시정 조치 권고권, 국회 연차 보고서 제출권과 자료 제출 요구권 등을 부여한다.

2. 개인정보보호법의 주요 특징
개인정보처리 사업자에게 의무화될 것으로 예상했던 개인정보 암호화 등의 안전성 조치 규제 강도는 오히려 기존의 정보통신망법에 비해 크게 완화됐다. 주요 특징을 살펴보면 다음과 같다^[3].

■ ‌내부망에 저장되는 개인정보 암호화 조치 시한을 개인정보보호법 시행일부터 적용하지 않고 최장 1년까지 유예하여 개인정보보호법 의무 대상 사업자들이 준비할 현실적인 조건을 제시하고 있다.

■ ‌주민번호/여권번호/운전면허번호 등 주요 고유 식별정보는 반드시 암호화해야 한다. 아울러 비밀번호는 단방향 암호화를 적용해야 하며, 바이오 정보는 양방향 암호화 적용이 의무화된다.

■ ‌‌개인정보처리 시스템에 적용되고 있는 접근 권한 관리 등 조치사항의 위험 수준을 측정, 분석하여 암호화 적용 범위를 결정할 수 있도록 제시하고 있다.
■ ‌인터넷망의 DB에 개인정보를 저장할 때는 의무적으로 암호화해야 한다^※2. 이로 인해 그동안 주요 개인정보 DB 전체를 암호화하는 데 반대해 온 금융기관은 최소한 개인정보보호법으로는 부담을 덜게 됐다^※3.

■ ‌공공기관은 의무화되는 개인정보 영향 평가 결과에 따라 내부망에 저장되는 개인정보 암호화 범위 등을 결정할 수 있도록 제시하고 있다. 아울러 내부망 저장정보 암호화 조치는 개인정보보호법 시행일로부터 3개월 이내에 계획을 수립해야 한다. 계획 수립 후 12개월 이내에 조치를 완료할 수 있도록 돼 있다^※4.

3. 파이어월을 통한 안전성 조치
개인정보보호법 시행에 따라 개인정보처리 사업자는 개인정보 침해를 방지할 수 있도록 파이어월과 같은 시스템을 구축하여 안전성 확보 조치가 의무화된다. 이 기준에 따라 개인정보를 안전하게 처리하기 위한 개인정보보호 책임자 지정, 역할 및 책임, 안전성 확보 조치, 교육 등을 담은 내부 계획을 운영해야 한다. 이를 위해 다음과 같은 조치가 필요하다[4].

■ ‌개인정보처리 시스템에 대한 불법 접근과 침해 사고 방지를 위한 접속 통제 시스템 설치·운영과 가상 사설망(VPN)·전용선 등을 통한 안전한 접속 수단이 필요하다.

■ ‌고유한 개인 식별정보, 비밀번호 및 바이오 정보 등을 해킹으로부터 보호할 수 있도록 128bit 이상으로 고도로 암호화하여 저장할 필요가 있다. 아울러 개인정보를 정보통신망을 통해 송수신하거나 저장매체 등을 통해 전달하는 경우, 비밀번호와 바이오 정보를 필히 암호화해 저장할 필요가 있다.

■ ‌개인정보를 보관하는 전산실 및 자료 보관실 등에 대한 출입 통제 절차를 수립·운영하고, 개인정보가 포함된 서류나 저장 매체 등은 잠금장치가 있는 안전한 장소에 보관할 필요가 있다.

■ ‌인터넷 정보센터(IDC) 및 클라우드 컴퓨팅 센터 등과 계약을 통해 하드웨어, 소프트웨어 등을 임대하여 개인정보를 처리하는 경우, 계약서나 서비스 수준 협약서(SLA)에 안전 조치 내용을 반드시 포함시킬 필요가 있다.

개인정보처리 시스템을 불법 침해 사고로부터 예방하기 위해서는 이동식 저장매체(USB 메모리 등) 및 네트워크 기기 등의 개인정보 유출 방지를 위한 시스템을 구축할 필요가 있다. 파이어월 시스템을 이용한 개인정보 유출방지 시스템의 개념을 그림 1에 나타낸다.

그림 1. 개인정보 유출 방지 시스템 개념도

파이어월 기술개발 동향

1. 기술개발 패턴
개인정보보호를 위한 국내 파이어월 시스템 기술개발 패턴은 적응형 전략 51.1%, 절충형 전략 31.1%, 혁신형 전략 9.9% 및 안정형 전략 7.9%의 순으로 나타났다.

이는 과감한 혁신을 통한 기술개발보다는 현재 상황에 적절히 적응하면서 전략적으로 절충하는 방식의 기술개발을 선호하고 있음을 알 수 있다. 이 기술 분야의 업체들은 대부분 소규모의 신생 벤처기업들로서 장기적인 관점에서 경쟁력을 키울 수 있는 환경이 미비한 상황이다. 

아울러 네트워크 장비 업체를 중심으로 IT SoC(System on Chip) 및 보안 모듈 형태의 방화벽 시스템을 네트워크 장비와 통합한 구축 기술을 개발하고 있다. 글로벌 메이저 기업으로는 Computer Associates, Netegrity, Evidian, RSA, Entrust, Tivoli 및 Access 360 등이 네트워크 정보보안 3A(Authentication, Authorization, Administration) 등 전 세계 기술 시장을 주도하고 있다. 국내 파이어월 시스템 관련 기술개발 사례를 간단히 요약하면 다음과 같다[5].

■ ‌‌개인정보보호법이 제정되면서 u-시티 환경에서 LBS 산업을 활성화시키기 위한 위치 정보 제공 사업이 확산되고 있다.

■ ‌IPv6 웹 어드레싱 기술과의 융합을 통해 BcN (Broadband convergence Network) 통합 환경을 구축해 나가고 있다.

■ ‌악성코드 및 바이러스 등에 의한 침해 확산 방지 기술은 Anti-Virus, IDS/IPS, FW, SCM 및 UTM 등 인터넷망을 중심으로 기술이 적용되고 있다.

■ ‌전자 거래의 경우 안전성을 보장하기 위한 중복 ID 등록의 불편 제거, ID 도용 및 유출 방지, 개인정보의 안전한 관리 및 유통을 위한 e-ID 보호용 서비스 플랫폼 기술 등이 적용되고 있다.

■ ‌‌다양한 서비스 도메인별로 각기 다른 지재권 보호 기술(DRM, mDRM, CAS, CP, COI/UCI, 전자문서보관소 등)을 이용하여 디지털 콘텐츠 보호 기술이 적용되고 있다.

2. 제품개발 추세
인터넷 기반의 e-Biz 산업이 빠르게 확산되면서 바이러스 백신 프로그램이나 해킹 차단 솔루션 위주에서 방화벽 기술을 중심으로 침입 요인을 추적·차단할 수 있는 솔루션 중심으로 개발되고 있다. 이를 간단히 요약하면 다음과 같다.

■ ‌USB 플래시 메모리 등 이동식 저장장치의 해킹을 노리는 악성코드를 차단할 수 있는 솔루션과, 웹 3.0을 통해 배포되는 악성코드나 스파이웨어를 이용한 동영상 플레이어를 차단할 수 있는 솔루션들이 개발되고 있다.

■ ‌보안 솔루션을 무력화할 수 있는 악성코드로부터 은폐, 자기보호 및 차단 기능을 강화시킨 악성코드 차단 솔루션들이 개발되고 있다. 아울러 악성코드 은폐기법이 고도화되면서 가상화 기술, 클라우드 컴퓨팅 및 그리드 컴퓨팅 기술을 응용한 악성코드를 추적하거나 차단할 수 있는 솔루션들이 개발되고 있다.

파이어월 기술개발 로드맵(TRM)

파이어월 시스템 기술은 고속화 및 지능화 추세가 지속되고 있어 성숙기에 접어든 국내 기술 수준을 좀 더 고도화 할 필요가 있다. 파이어월의 산업적 수요는 네트워크(웹) 정보 보안에 대한 정부의 규제, 인터넷 침해 사고 위협 및 발생률에 따라 영향을 받을 수 있어 국내 시장을 활성화시키기 위해서는 글로벌 시장과 비교하여 성장 요인이 취약한 분야에 대한 핵심 기술 개발이 필요하다^[1][6].

특히 사이버 위기 대응 능력이나 사이버 침해 사고 발생 시 국제 사이버 범죄 대응 기관과의 공조 능력이 부족하여 이에 대비한 기술개발에 주력할 필요가 있다. 아울러 다양한 웹 접속 기술의 시장 성숙을 예상하여 웹/네트워크/시스템/PC 방화벽으로 세분하여 파이어월 시스템 개발에 주력할 필요가 있다.

기술개발 방향은 스마트 미디어 기기의 바이러스 및 악성 Bot 등 신종 공격 위험 요인에 대한 정확한 침입 경로를 파악할 수 있는 기술이 필요하다. 아울러 정보보안 시스템이 미비한 네트워크를 원격 제어를 통해 좀비(zombies)화하여 공격하는 공격 위험에 대한 정확한 침입 경로를 인식하여 사이버 위협 수준의 변화를 수용해야 한다. 파이어월을 통한 네트워크 방어 개념을 그림 2에 나타낸다.

그림 2. 파이어월을 통한 네트워크 방어 개념

효과적인 개인정보보호를 위한 향후 파이어월 시스템의 성능은 u-IT 상용화 패러다임과 함께 침입 차단보다는 사전 예측 및 방지 기술 중심의 ▲ u-city 대비 출현이 예상되는 해킹/크레킹/바이러스 등 각종 사이버 범죄의 위협을 네트워크 외부에서 원천적으로 차단할 수 있는 예측 및 방지 기술 ▲ IPTV/VoIP/스마트폰/넷 북 등 웹 기반 ICT 융복합 서비스를 악용한 사이버 공격을 차단할 수 있는 예측 및 방지 기술 ▲ LBS/의료정보/원격진료 등 법 제도와 u-사회의 역기능 차단을 위한 예측 및 방지 기술을 수용할 수 있는 기술개발이 필요하다.

파이어월 시스템 기술은 BcN 및 5G 이동통신시스템에 대비하여 통합 네트워크 보안을 충족할 수 있어야 한다. 특히 급속히 확산되고 있는 IPTV/스마트TV/u-홈서비스/LBS 기반 텔레매틱스 서비스 등 다양한 융복합 기술을 수용할 수 있어야 한다. 아울러 초고속·지능형 방화벽 구축 기술은 중장기 발전 과정을 고려하여 5G 이동통신 기술개발 완료가 예상되는 2018년까지 개발이 완료돼야 한다.

 

맺음말

정보통신시스템이 전 산업 분야에 확산되고 급속히 고도화되면서 시스템의 안전성 및 신뢰성 보장과 관련된 정보보호(보안) 산업이 급성장하고 있다. 이는 암호화나 사용자 및 기기 인증 같은 기본 기술뿐 아니라 유무선 네트워킹 기술/인터넷 기술/단말기 기술/반도체 기술/고속 연산기술 등 첨단 정보통신기술이 복합적으로 요구되는 산업이다. 

특히 2011년 9월 30일부터 개인정보보호법이 전면 시행되면서 파이어월 시스템 구축을 통한 개인정보보호에 관심이 집중되고 있다. 개인정보보호법의 시행은 모든 공공기관 및 사업자를 대상으로 개인정보보호를 의무화함으로써 법적 사각지대를 어느 정도 해소할 수 있을 것으로 보인다. 개인정보의 흐름은 경로가 매우 복잡하기 때문에 모든 단계를 체계적으로 관리할 수 있는 통합 솔루션이 필요하다.

외국산 솔루션에 의존할 경우 국내 주요 기밀이 유출될 우려가 크기 때문에 관련 법·제도·기준 등 정책 결정에 따른 영향을 최소화할 수 있어야 한다. 빠르게 지능화되어 가고 있는 유무선 네트워크의 불법·악의적 침입 위협 요인을 분산된 네트워크 보안 장비 간에 공유하여 대응할 수 있는 공조 시스템이 필요하다. 

파이어월 시스템이 새삼 주목받고 있는 것은 이를 통한 정보보호 시스템이 통합화 추세를 지향하면서 더욱 고도화된 기법으로 다양한 사이버 침해에 효과적으로 대응하고 있기 때문이다. 

경제적·인적 피해로 인한 심각한 네트워크 보안의 필요성을 공감하고 있지만, 기관 및 기업마다 각기 다른 네트워크 환경 때문에 표준 기술의 적용이 쉽지 않은 실정이다. 이 연구에서 제시한 침입 차단(방화벽) 시스템 기술에 대한 기술 분석 정보는 모든 산업 분야에 파급 효과를 기대할 수 있다. 아울러 향후 정보보호(보안) 산업 전반에 대한 기술개발, 정책 개발 및 표준 개발 등 방향 설정에 활용할 수 있을 것이다.

※1 ‌「정보통신망이용촉진및정보보호등에관한법률」: 정보통신망의 이용을 촉진하고 이용자의 개인정보를 보호와 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성한다는 목적으로 2008년 6월 13일 개정된 법률이다.
※2 ‌이는 저장되는 주요 개인정보를 암호화하지 않아도 종합적으로 접근권한 관리와 침입차단시스템 등 기술적·관리적 보호조치를 활용한 내부통제 등을 적절히 수행하면 적절한 개인정보보호 조치를 수행했다는 점이 인정된다는 것이다.
※3 ‌금융기관에서는 개인정보 DB 암호화에 따른 오버헤드로 인해 서비스처리가 지연될 수 있어 정상영업에 차질을 빚을 수 있고 아울러 막대한 예산 등을 이유로 개인정보 암호화 일괄 적용에 반대해 왔었다.
※4 ‌이는 방대한 개인정보를 보유하고 있더라도 민간 사업자들이 이 법에 따른 암호화 조치 시기를 사실상 1년간 유예기간을 둔 것이다.

참고문헌

[1] ‌“기술수준평가보고서_정보보호기술”, 국가과학기술지식정보서비스(ntis), 2014. 2.
[2] ‌디지털데일리, “개인정보보호법 공포…9월 30일 전면 시행”, 2011. 3. 29.
[3] ‌디지털데일리, “개인정보보호법…저장되는 모든 개인정보 암호화 조치 안해도 된다”, 2011. 8. 23.
[4] ‌“가상화 기술을 기반으로 한 효율적인 정보유출방지 방안”, 소프트캠프, 2014. 5.
[5] ‌“국내 정보보호산업 시장 및 동향 조사”, 한국정보보호진흥원, 2014. 12.
[6] ‌“기술수준평가보고서_차세대 네트워크 기반 기술”, 국가과학기술지식정보서비스(ntis), 2014. 2.

박세환  박사 _ 한국과학기술정보연구원 전문연구위원