[개인정보보호 기술과 파이어월 시스템 이슈 점검(1)]파이어월과 개인정보보호 이슈
[개인정보보호 기술과 파이어월 시스템 이슈 점검(2)]파이어월 기술개발 동향
파이어월 기술개발 동향
1. 기술개발 패턴
개인정보보호를 위한 국내 파이어월 시스템 기술개발 패턴은 적응형 전략 51.1%, 절충형 전략 31.1%, 혁신형 전략 9.9% 및 안정형 전략 7.9%의 순으로 나타났다. 이는 과감한 혁신을 통한 기술개발보다는 현재 상황에 적절히 적응하면서 전략적으로 절충하는 방식의 기술개발을 선호하고 있음을 알 수 있다. 이 기술 분야의 업체들은 대부분 소규모의 신생 벤처기업들로서 장기적인 관점에서 경쟁력을 키울 수 있는 환경이 미비한 상황이다.
아울러 네트워크 장비 업체를 중심으로 IT SoC(System on Chip) 및 보안 모듈 형태의 방화벽 시스템을 네트워크 장비와 통합한 구축 기술을 개발하고 있다. 글로벌 메이저 기업으로는 Computer Associates, Netegrity, Evidian, RSA, Entrust, Tivoli 및 Access 360 등이 네트워크 정보보안 3A(Authentication, Authorization, Administration) 등 전 세계 기술 시장을 주도하고 있다. 국내 파이어월 시스템 관련 기술개발 사례를 간단히 요약하면 다음과 같다[5].
■ 개인정보보호법이 제정되면서 u-시티 환경에서 LBS 산업을 활성화시키기 위한 위치 정보 제공 사업이 확산되고 있다.
■ IPv6 웹 어드레싱 기술과의 융합을 통해 BcN (Broadband convergence Network) 통합 환경을 구축해 나가고 있다.
■ 악성코드 및 바이러스 등에 의한 침해 확산 방지 기술은 Anti-Virus, IDS/IPS, FW, SCM 및 UTM 등 인터넷망을 중심으로 기술이 적용되고 있다.
■ 전자 거래의 경우 안전성을 보장하기 위한 중복 ID 등록의 불편 제거, ID 도용 및 유출 방지, 개인정보의 안전한 관리 및 유통을 위한 e-ID 보호용 서비스 플랫폼 기술 등이 적용되고 있다.
■ 다양한 서비스 도메인별로 각기 다른 지재권 보호 기술(DRM, mDRM, CAS, CP, COI/UCI, 전자문서보관소 등)을 이용하여 디지털 콘텐츠 보호 기술이 적용되고 있다.
2. 제품개발 추세
인터넷 기반의 e-Biz 산업이 빠르게 확산되면서 바이러스 백신 프로그램이나 해킹 차단 솔루션 위주에서 방화벽 기술을 중심으로 침입 요인을 추적·차단할 수 있는 솔루션 중심으로 개발되고 있다. 이를 간단히 요약하면 다음과 같다.
■ USB 플래시 메모리 등 이동식 저장장치의 해킹을 노리는 악성코드를 차단할 수 있는 솔루션과, 웹 3.0을 통해 배포되는 악성코드나 스파이웨어를 이용한 동영상 플레이어를 차단할 수 있는 솔루션들이 개발되고 있다.
■ 보안 솔루션을 무력화할 수 있는 악성코드로부터 은폐, 자기보호 및 차단 기능을 강화시킨 악성코드 차단 솔루션들이 개발되고 있다. 아울러 악성코드 은폐기법이 고도화되면서 가상화 기술, 클라우드 컴퓨팅 및 그리드 컴퓨팅 기술을 응용한 악성코드를 추적하거나 차단할 수 있는 솔루션들이 개발되고 있다.
파이어월 기술개발 로드맵(TRM)
파이어월 시스템 기술은 고속화 및 지능화 추세가 지속되고 있어 성숙기에 접어든 국내 기술 수준을 좀 더 고도화 할 필요가 있다. 파이어월의 산업적 수요는 네트워크(웹) 정보 보안에 대한 정부의 규제, 인터넷 침해 사고 위협 및 발생률에 따라 영향을 받을 수 있어 국내 시장을 활성화시키기 위해서는 글로벌 시장과 비교하여 성장 요인이 취약한 분야에 대한 핵심 기술 개발이 필요하다[1][6].
특히 사이버 위기 대응 능력이나 사이버 침해 사고 발생 시 국제 사이버 범죄 대응 기관과의 공조 능력이 부족하여 이에 대비한 기술개발에 주력할 필요가 있다. 아울러 다양한 웹 접속 기술의 시장 성숙을 예상하여 웹/네트워크/시스템/PC 방화벽으로 세분하여 파이어월 시스템 개발에 주력할 필요가 있다.
기술개발 방향은 스마트 미디어 기기의 바이러스 및 악성 Bot 등 신종 공격 위험 요인에 대한 정확한 침입 경로를 파악할 수 있는 기술이 필요하다. 아울러 정보보안 시스템이 미비한 네트워크를 원격 제어를 통해 좀비(zombies)화하여 공격하는 공격 위험에 대한 정확한 침입 경로를 인식하여 사이버 위협 수준의 변화를 수용해야 한다. 파이어월을 통한 네트워크 방어 개념을 그림 2에 나타낸다.
그림 2. 파이어월을 통한 네트워크 방어 개념
효과적인 개인정보보호를 위한 향후 파이어월 시스템의 성능은 u-IT 상용화 패러다임과 함께 침입 차단보다는 사전 예측 및 방지 기술 중심의 ▲ u-city 대비 출현이 예상되는 해킹/크레킹/바이러스 등 각종 사이버 범죄의 위협을 네트워크 외부에서 원천적으로 차단할 수 있는 예측 및 방지 기술 ▲ IPTV/VoIP/스마트폰/넷 북 등 웹 기반 ICT 융복합 서비스를 악용한 사이버 공격을 차단할 수 있는 예측 및 방지 기술 ▲ LBS/의료정보/원격진료 등 법 제도와 u-사회의 역기능 차단을 위한 예측 및 방지 기술을 수용할 수 있는 기술개발이 필요하다.
파이어월 시스템 기술은 BcN 및 5G 이동통신시스템에 대비하여 통합 네트워크 보안을 충족할 수 있어야 한다. 특히 급속히 확산되고 있는 IPTV/스마트TV/u-홈서비스/LBS 기반 텔레매틱스 서비스 등 다양한 융복합 기술을 수용할 수 있어야 한다. 아울러 초고속·지능형 방화벽 구축 기술은 중장기 발전 과정을 고려하여 5G 이동통신 기술개발 완료가 예상되는 2018년까지 개발이 완료돼야 한다.
맺음말
정보통신시스템이 전 산업 분야에 확산되고 급속히 고도화되면서 시스템의 안전성 및 신뢰성 보장과 관련된 정보보호(보안) 산업이 급성장하고 있다. 이는 암호화나 사용자 및 기기 인증 같은 기본 기술뿐 아니라 유무선 네트워킹 기술/인터넷 기술/단말기 기술/반도체 기술/고속 연산기술 등 첨단 정보통신기술이 복합적으로 요구되는 산업이다.
특히 2011년 9월 30일부터 개인정보보호법이 전면 시행되면서 파이어월 시스템 구축을 통한 개인정보보호에 관심이 집중되고 있다. 개인정보보호법의 시행은 모든 공공기관 및 사업자를 대상으로 개인정보보호를 의무화함으로써 법적 사각지대를 어느 정도 해소할 수 있을 것으로 보인다. 개인정보의 흐름은 경로가 매우 복잡하기 때문에 모든 단계를 체계적으로 관리할 수 있는 통합 솔루션이 필요하다.
외국산 솔루션에 의존할 경우 국내 주요 기밀이 유출될 우려가 크기 때문에 관련 법·제도·기준 등 정책 결정에 따른 영향을 최소화할 수 있어야 한다. 빠르게 지능화되어 가고 있는 유무선 네트워크의 불법·악의적 침입 위협 요인을 분산된 네트워크 보안 장비 간에 공유하여 대응할 수 있는 공조 시스템이 필요하다.
파이어월 시스템이 새삼 주목받고 있는 것은 이를 통한 정보보호 시스템이 통합화 추세를 지향하면서 더욱 고도화된 기법으로 다양한 사이버 침해에 효과적으로 대응하고 있기 때문이다.
경제적·인적 피해로 인한 심각한 네트워크 보안의 필요성을 공감하고 있지만, 기관 및 기업마다 각기 다른 네트워크 환경 때문에 표준 기술의 적용이 쉽지 않은 실정이다. 이 연구에서 제시한 침입 차단(방화벽) 시스템 기술에 대한 기술 분석 정보는 모든 산업 분야에 파급 효과를 기대할 수 있다. 아울러 향후 정보보호(보안) 산업 전반에 대한 기술개발, 정책 개발 및 표준 개발 등 방향 설정에 활용할 수 있을 것이다.
※1 「정보통신망이용촉진및정보보호등에관한법률」: 정보통신망의 이용을 촉진하고 이용자의 개인정보를 보호와 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성한다는 목적으로 2008년 6월 13일 개정된 법률이다.
※2 이는 저장되는 주요 개인정보를 암호화하지 않아도 종합적으로 접근권한 관리와 침입차단시스템 등 기술적·관리적 보호조치를 활용한 내부통제 등을 적절히 수행하면 적절한 개인정보보호 조치를 수행했다는 점이 인정된다는 것이다.
※3 금융기관에서는 개인정보 DB 암호화에 따른 오버헤드로 인해 서비스처리가 지연될 수 있어 정상영업에 차질을 빚을 수 있고 아울러 막대한 예산 등을 이유로 개인정보 암호화 일괄 적용에 반대해 왔었다.
※4 이는 방대한 개인정보를 보유하고 있더라도 민간 사업자들이 이 법에 따른 암호화 조치 시기를 사실상 1년간 유예기간을 둔 것이다.
참고문헌
[1] “기술수준평가보고서_정보보호기술”, 국가과학기술지식정보서비스(ntis), 2014. 2.
[2] 디지털데일리, “개인정보보호법 공포…9월 30일 전면 시행”, 2011. 3. 29.
[3] 디지털데일리, “개인정보보호법…저장되는 모든 개인정보 암호화 조치 안해도 된다”, 2011. 8. 23.
[4] “가상화 기술을 기반으로 한 효율적인 정보유출방지 방안”, 소프트캠프, 2014. 5.
[5] “국내 정보보호산업 시장 및 동향 조사”, 한국정보보호진흥원, 2014. 12.
[6] “기술수준평가보고서_차세대 네트워크 기반 기술”, 국가과학기술지식정보서비스(ntis), 2014. 2.
박세환 박사 한국과학기술정보연구원 ReSEAT프로그램 전문연구위원
