Univ Study/IT 거버넌스: 3개의 글

ITA와 정보시스템 감리

Posted by Patchman
2010.02.15 18:39 Univ Study/IT 거버넌스


 

   

정보시스템의 효율적 도입 및 운영 등에 관한
법률과 정보시스템감리

(IT-Governance Team Project 4)

 

 

 

 

 

 

 

 

 

 

 

 

Ⅰ 서론

▣ 정보시스템의 효율적 도입 및 운영 등에 관한 법률의 목적

▣ 정보시스템 감리 의무화 배경

 

Ⅱ 본론

▣ 법률 중 정보시스템 감리에 관한 조항(11조-17조)

▣ 정보시스템 감리란?

▣ 정보시스템 감리법인

▣ 정보시스템 감리원

 

Ⅲ 결론

 

 

 

 

 

 

Ⅰ 서론

 

컴퓨터가 도입 된지 약 반세기 만에 이제 정보시스템은 기업경영은 물론 우리의 생활에서도 빼놓을 수 없는 중요한 요소가 됐다. 어느 회사, 어느 가정이던 컴퓨터가 없는 곳은 거의 없게 되었으며 거의 모든 업무를 컴퓨터를 이용해 처리하게 됐다. 특히 전자정부 사업의 추진에 따라 웬만한 민원사무는 관공서를 가지 않고도 해결할 수 있는 시대가 된 것이다. 정보시스템이 없다면, 정보시스템이 마비된다면 이제는 아무것도 할 수 없는 세상이 되었다고 해도 과언이 아닐 것이다.

 

이처럼 정보시스템에 대한 의존도는 점점 심화되는 반면, 한편으로는 소프트웨어 개발 실패나 컴퓨터 사고 등으로 정보시스템의 안전성, 효율성, 효과성은 상대적으로 저하되는 문제가 발생하고 있으며, 이에 따라 2006년 정보화시스템의 효율적 도입 및 운영 등에 관한 법률이 제정되었다.

 

먼저 정보시스템의 효율적 도입 및 운영 등에 관한 법률의 목적과 정보시스템 감리 의무화에 대한 배경에 대해 알아본다.

 

 

▣ 정보시스템의 효율적 도입 및 운영 등에 관한 법률의 목적

이 법은 정보기술아키텍처의 활용을 촉진하고 정보시스템 감리제도를 확립함으로써 정보기술자원의 효율적 관리를 도모하고 나아가 정보화투자의 효율성 증진과 조직의 성과향상 및 국민경제의 발전에 이바지함을 목적으로 한다.1)

 

 

▣ 정보시스템 감리 의무화 배경

종전의 제도로는 정보기술의 상호운용 및 정보공유가 어렵고 체계적인 정보화 투자계획의 수립 및 성과 관리가 미흡하다고 판단했기 때문이다.

이와 관련, 정통부는 정부ㆍ공공부문 등 국가사회전반의 정보화 투자규모가 증대됨에 따라, 투자성과의 극대화에 대한 요구가 증대되고 정보시스템의 증가에 따른 효과적인 상호연동체제 확립이 필요하다고 입법배경을 설명했다.2)

 

 

 

Ⅱ 본론

 

정보시스템의 효율적 도입 및 운영 등에 관한 법률 중 정보시스템 감리에 관한 내용을 살펴보고, 정보시스템 감리와, 정보시스템 괌리인에 관하여 살펴본다.

 

 

▣ 법률 중 정보시스템 감리에 관한 조항(11조-17조)

 

◎ 제 11조 공공기관의 정보시스템 감리

① 공공기관의 장은 제12조의 규정에 따른 감리법인으로 하여금 정보시스템의 특성 및 사업의 규모 등이 대통령령이 정하는 기준에 해당하는 정보시스템 구축사업에 대하여 정보시스템 감리를 하 게 하여야 한다.

② 공공기관의 장은 제1항의 규정에 따른 감리를 시행하는 사업에 대하여 해당 정보시스템을 구축 하는 사업자로 하여금 감리결과를 반영하게 하여야 한다.

③ 제1항의 규정에 불구하고 국가안전보장에 관한 정보 등 대통령령이 정하는 정보를 취급하는 기 관의 경우에는 당해 기관의 장이 정하는 기관으로 하여금 정보시스템 감리를 하게 할 수 있다.

④ 행정안전부장관은 제1항 및 제3항의 규정에 따라 정보시스템 감리를 하는 감리법인 또는 기관이 정보시스템 감리를 효율적으로 하도록 하기 위하여 필요한 기준(이하 "감리기준"이라 한다)을 정하여 고시하여야 한다. 다만, 정보시스템 보안에 관한 사항은 관계기관의 장과 미리 협의하여 야 한다.<개정 2008.2.29>

⑤ 제1항 및 제3항의 규정에 따라 감리를 하는 법인 또는 기관은 당해 정보시스템이 적정하게 개 발·구축되고 있는지를 감리기준에 따라 점검하여야 한다.

⑥ 제5항의 규정에 따라 감리를 하는 법인 또는 기관의 업무범위 및 감리절차 등 그 밖에 필요한 사항은 대통령령으로 정한다.

 

◎ 제 12조 감리법인의 등록

① 정보시스템 감리를 하고자 하는 자는 대통령령이 정하는 기술능력·재정능력 그 밖에 정보시스 템 감리의 수행에 필요한 사항을 갖추어 행정안전부장관에게 등록하여야 한다.<개정 2008.2.29>

② 제1항의 규정에 따라 등록할 수 있는 자는 법인에 한한다.

③ 제1항의 규정에 따라 등록한 법인(이하 "감리법인"이라 한다)은 등록사항을 변경하고자 하는 경 우에는 그 변경사항을 행정안전부장관에게 신고하여야 한다. 다만, 등록기준에 미달되지 않는 범위 내의 자본금의 변동 등 행정안전부령이 정하는 경미한 사항의 변경은 그러하지 아니하다. <개정 2008.2.29>

④ 감리법인의 등록 및 등록사항의 변경 등에 관하여 필요한 사항은 행정안전부령으로 정한다.<개 정 2008.2.29>

 

◎ 제 13조 감리법인의 준수사항

① 감리법인은 당해 감리법인에 소속된 감리원으로 하여금 감리업무를 수행하게 하여야 한다.

② 감리법인은 거짓으로 감리보고서를 작성하여서는 아니되며, 신의에 따라 성실히 정보시스템 감 리를 하여야 한다.

③ 감리법인은 다른 자에게 자기의 명칭을 사용하여 정보시스템 감리를 하도록 하여서는 아니된다.

 

 

◎ 제 14조 감리원

① 감리원이 되고자 하는 자는 등급별 기술자격 등 대통령령이 정하는 일정한 자격을 갖추어야 하 며, 대통령령이 정하는 바에 따라 감리업무의 수행에 필요한 교육을 받아야 한다.

② 행정안전부장관은 제1항의 규정에 따른 요건에 해당하는 자에게 정보통신부령이 정하는 바에 따 라 감리원증을 교부하고 이를 관리하여야 한다.<개정 2008.2.29>

③ 감리원은 다른 사람에게 자기의 성명을 사용하여 감리업무를 수행하게 하거나 감리원증을 대여 하여서는 아니된다.

 

◎ 제 15조 감리법인 등의 결격사유

① 임원 중 다음 각 호의 어느 하나에 해당하는 자가 있는 법인은 제12조제1항의 규정에 따른 감리 법인으로 등록을 할 수 없다.

1. 금치산자 또는 한정치산자

2. 제16조의 규정에 따라 등록이 취소된 감리법인의 임원으로서 등록이 취소된 날부터 2년이 경과하지 아니한 자(등록취소의 원인이 된 행위를 한 자와 그 대표자를 말한다.)

② 제1항제1호에 해당하는 자는 제14조의 규정에 따른 감리원이 될 수 없다.

 

◎ 제 16조 감리법인의 등록취소 등

① 행정안전부장관은 감리법인이 다음 각 호의 어느 하나에 해당하는 때에는 그 등록을 취소하거나 1년 이내의 기간을 정하여 업무의 정지를 명할 수 있다. 다만, 제1호 내지 제3호, 제10호의 어 느 하나에 해당하는 때에는 등록을 취소하여야 한다.<개정 2008.2.29>

1. 거짓 그 밖에 부정한 방법으로 등록을 한 때

2. 최근 3년간 3회 이상의 업무정지 처분을 받은 때

3. 업무정지기간 중 정보시스템 감리를 한 때. 다만, 제17조의 규정에 따라 업무정지기간 중 에 정보시스템 감리를 한 때에는 그러하지 아니하다.

4. 제11조제5항의 규정을 위반하여 감리기준을 준수하지 아니하고 감리업무를 수행한 때

5. 제12조제1항의 규정에 따른 등록기준에 미달하게 된 때

6. 제12조제3항의 규정에 따른 변경사항의 신고를 하지 아니하거나 거짓으로 한 때

7. 제13조제2항의 규정을 위반하여 거짓으로 감리보고서를 작성한 때

8. 제13조제3항의 규정을 위반하여 다른 자에게 자기의 명칭을 사용하여 정보시스템 감리를 하게 한 때

9. 제14조제1항의 규정을 위반하여 감리원이 아닌 자에게 감리업무를 수행하게 한 때

10. 임원이 제15조제1항의 규정에 따른 결격사유에 해당된 때. 다만, 결격사유에 해당된 날부 터 6개월 이내에 당해 임원을 개임하는 때에는 그러하지 아니하다.

② 제1항의 규정에 따른 처분의 기준 및 절차 등에 관하여 필요한 사항은 행정안전부령으로 정한 다.<개정 2008.2.29>

 

◎ 제 17조 등록 취소처분 등을 받은 감리법인의 업무 계속 등

① 제16조제1항의 규정에 따라 등록취소 또는 업무정지의 처분을 받은 감리법인은 그 처분 전에 체 결한 계약에 따른 감리업무의 수행을 계속할 수 있다. 이 경우 감리법인은 그 처분을 받은 내용 을 지체 없이 당해 감리 발주자에게 통지하여야 한다.

② 정보시스템 감리 발주자는 특별한 사유가 있는 경우를 제외하고는 감리법인으로부터 제1항의 규 정에 따른 통지를 받거나 감리법인이 등록취소 또는 업무정지의 처분을 받은 사실을 안 때에는 그 날부터 30일 이내에 한하여 당해 계약을 해지할 수 있다.

 

 

▣ 정보시스템 감리란?

시스템을 대상으로 기술적인 측면에서 기획, 개발, 운영, 관리에 이르기 까지 단계별 혹은 전 과정에 대한 합리성, 타당성, 신뢰성, 안정성, 효율성 등을 독립적으로 객관적으로 조사, 감독 하는 평가 행위

 

 

◎ 전문가들이 정의한 정보시스템 감리

정보시스템 감리란, 정보시스템의 효율성과 안정성을 위해 제3자 관점에서 정보시스템 구축에 관한 제반 사항을 점검하고 문제점을 개선하는 것이다.

만약 한강에 다리를 놓는다면, 발주처는 교량설계서에 의해 시공하는 업체와 감리를 수행하는 업체를 분리해 발주한다. 공사가 설계서에 의해 충실하게 구축될 수 있도록 객관적으로 점검하고 기술적 요소와 사업성과를 투명하게 평가하기 위해서다. 따라서 공공기관의 정보시스템 감리는 기술적 점검에 국한되지 않고, 경제적인 측면과 IT 품질을 향상시키는 새로운 계기가 될 것이다.

[김연홍 / 신화밸리 대표이사]

 

정보시스템 감리란, 행정안전부 산하기관인 한국정보화진흥원(NIA)에서 주관해 일반 IT 감리법인이 실시하는 ‘정보시스템 통제와 소프트웨어 품질보증’에 대한 IT 감사의 종류다. 공공기관의 IT사업에 대해 그 사업을 수주한 사업자, 그 사이에서 객관적으로 수행하는 전산 감사라 할 수 있다.

즉 감리발주자 및 피감리인의 이해관계로부터 독립된 자가 정보시스템의 효율성을 향상시키고 안전성을 확보하기 위해 제3자적 관점에서 정보시스템의 구축에 관한 사항을 종합적으로 점검하고 문제점을 개선토록 하는 것을 말한다.

 

[조희준 / IT컨설팅,감리법인 수석컨설턴트]

 

 

 

 

▣ 정보시스템 감리법인

정보시스템 감리법인등록 현황

 

 

 

 

행안부 (2009.7)

순번

대표이사

법인명

연락처

홈페이지

l

문대원

(주)한국전산감리원

02-532-0532

www.kcal21.com

2

최지윤

(주)한국IT감리컨설팅

02-582-2400

www.itall.net

3

이상덕

(주)연합정보기술

02-2103-5959

www.uit.co.kr

4

전영하

(주)씨에이에스

02-786-3815

www.casit.co.kr

5

김동수

(주)키삭

02-2026-2655

www.kisac.co.kr

6

정광옥

(주)쓰리에스피

02-854-2187

www.3sp.co.kr

7

김기홍

(주)에이스솔루션

02-534-3702

www.acesolution.co.kr

8

조왕호

프라임에이엔씨(주)

02-2026-0170

www.primeanc.co.kr

9

곽용구

(주)골든터치

02-3436-7751

www.ssgt.co.kr

10

노도영

(주)G608컨설팅그룹

031-478-3609

www.g608.co.kr

11

이우용

(주)한국정보시스템공인감리단

02-3471-7771

www.audit.co.kr

12

한병익

(주)티에이앤씨

02-599-1199

www.tanc.co.kr

13

신태형

(주)타스크포스시스템

02-3476-8250

www.taskfs.co.kr

14

유홍준

(주)한국정보감리평가원

031-819-2900

www.kisae.com

15

김연홍

(주)감리법인강산

02-576-4882

www.itkangsan.com

16

김도훈

(주)메타지아이에스컨설팅

02-415-9308

www.metagis.co.kr

17

유성열

(주)유앤위감리컨설팅

02-333-8256

www.unwis.com

18

정도원

(주)오램

02-2050-0777

www.o-rem.com

19

이종규

(주)코스콤

02-767-8573

www.koscom.co.kr

20

조근환

대영유비텍(주)

070-7432-3000

www.dyeng.net

21

송영식

대한정보컨선팅㈜

02-540-2102

 

22

권승화

한영회계법인

02-3787-6829

www.ey.com

23

박용준

㈜아이에스엠홀딩스

031-938-0434

 

24

문헌일

문엔지니어링㈜

02-2122-0700

www.mooneng.co.kr

25

서희명

㈜시소컨설팅

02-6351-2358

 

26

최두환

선진이엔지

051-556-0655

www.sunjineng.or.kr

27

양승우

안진회계법인

02-6676-1000

 

28

김일녹

㈜에스유지

051-325-6100

isaudit.co.kr

29

이수환

이디에스에이정보통신㈜

02-6084-0077

www.edsa.kr

30

이형원

한빛정보기술㈜

051-802-8164

 

31

전순천

(주)가덕씨엔에스

02-574-8148

www.gdcns.com

32

여호영

㈜지아이에스

02-582-2772

www.gsion.com

33

정봉채

도로교통공단

02-2230-6437

 

34

김재수

㈜옥산누리시스템

02-720-8340

 

 

 

 

▣ 정보시스템 감리원

등급

자격기준

수석

감리원

▪ 기술사 또는 정보시스템 감리와 관련하여 「자격기본법」에 따른 국가공인자 격을 취득한 자

감리원

▪ 기사 자격을 취득한 후 7년 이상 정보처리분야 업무를 수행한 자

산업기사 자격을 취득한 후 10년 이상 정보처리분야 업무를 수행한 자

행정안전부장관이 「국가기술자격법」 및 「자격기본법」 소관 중앙행정기관의 장과 협의하여 인정하는 정보시스템 감리 유사자격을 취득한 자

(정보시스템의효율적도입및운영등에관한법률시행령 별표 2 - 감리원의 자격기준)

 

집을 다 지으면 그 집을 잘 지었는지를 관리하고 감독하는 ‘건축감리기술자’라는 직업이 있다. 이와 비슷하게 정보시스템이 잘 구축되었는지를 감리하는 사람들을 ‘정보시스템감리원’이라고 한다. 감리 업무를 위해서는 사업 단계에 대해 누구보다 잘 알고 있어야 하기 때문에 높은 수준의 기술과 지식이 필요하다. [권호열 교수 / 강원대학교 컴퓨터학부]

 

Ⅲ 결론

 

정보시스템은 건설 및 통신 분야의 감리와 몇 가지 다른 특징이 있다. 건설 및 통신 분야 등 물리적으로 볼 수 있고, 시공 및 건설 기준 및 규격이 있는 경우에는 그 규격 및 기준에 잘 시공하고 구축하는지를 감시하고 점검하여 잘못된 경우 시공을 중지하거나 다시 할 수 있도록 조치할 수도 있지만, 정보시스템은 구성요소에 따라 물리적 요소 및 논리적 요소가 결합되고, 고객의 비즈니스 및 시스템의 기술적 요구사항을 파악하고 개념적, 논리적, 물리적 설계를 하고 구축하고 시험하는 과정을 통해 고객의 요구사항을 만족하는지 품질을 점검하고 또한 실제 환경에서 운영 및 유지보수를 통해 지속적으로 변화하는 고객요구사항을 만족시키기 위해 시스템을 수정하고 변화하는 작업을 지속적으로 해야 한다.

 

따라서 정보시스템의 감리를 위해서는 건설이나 통신감리처럼 시공 및 구축에 대한 객관적인 규정과 기준보다는 해당분야 감리원의 전문적인 시각에 의존하는 경향이 있다. 물론 한국정보사회진흥원에서 만든 감리 지침서 및 해설서가 있어 많은 도움이 되지만, 최종 판단기준은 결국 감리원의 역량에 의존하는 비중이 높다고 할 수 있다. 따라서 정보시스템의 감리를 수행하는 감리원의 역량향상은 매우 중요한 사항이라고 생각된다.

 

또한 2009년도까지‘감리 및 사업관리’,‘소프트웨어 공학’,‘데이터베이스’,‘시스템구조 및 보안’의 4과목으로 시스템구조와 보안이 하나의 과목으로 묶여있던 정보시스템 감리사 검정과목이 각각의 범주로 분리될 것으로 보임에 따라, 감리에서 보안에 대한 중요성과 시대적 요구가 커졌다는 점을 알수있다.

사실 정보보안 분야는 IT 예산의 마지막 부분이라고 할 만큼 예산이 부족하면 생략됐던 분야이다. 하지만 위의 경우와 더불어 최근 IT 분야에서는 정보보안이 두드러지게 각광 받고 있는데. 그런 측면에서 전문가(감리인)들에게 정보보호가 꼭 투자해야하는 핵심분야라는 인식전환이 필요할 것으로 판단된다.

 

지금까지 살펴본 바와 같이 정보시스템과 정보시스템 감사에 대한 시대적 요구가 크게 자리잡아가고 있음에 따라, 감리원들은 스스로 책임감으로 가지고 자신의 역량 향상을 위해 노력하고 계속적인 학습을 해야 할 것이며 더불어 객관적 규정과 기준을 준수하여 정보시스템이 효율적으로 도입되고 운영되도록 해야 하고 정보시스템에 대한 통제 및 감사가 올바르게 이루어지도록 노력해야 할 것이다.

저작자 표시 비영리 변경 금지
신고

'Univ Study > IT 거버넌스' 카테고리의 다른 글

ITA와 정보시스템 감리  (2) 2010.02.15
IS Auditing Guidline  (0) 2010.02.15
GS칼텍스 고객정보 유출사건  (0) 2010.02.15

IS Auditing Guidline

Posted by Patchman
2010.02.15 18:36 Univ Study/IT 거버넌스


 

Standards, Guidelines and Procedures

 

Standards, Guidelines, and Tools and Techniques / Sep 2009

Standards for IS Auditing

Standards for IS Control Professionals / May 1999

IT Audit and Assurance Standards, Guidelines, and Tools and Techniques Awaiting Final Approval

Standards Documents Under Exposure

Topics of Guidance in Development

 

IS Auditing Guideline: G01 Using the Work of Other Experts Mar 2008

IS Auditing Guideline: G02 Audit Evidence Requirement Mar 2008

IS Auditing Guideline: G03 Use of Computer-Assisted Audit Techniques Mar 2008

IS Auditing Guideline: G04 Outsourcing of IS Activities to Other Organisations Mar 2008

IS Auditing Guideline: G05 Audit Charter Feb 2008

IS Auditing Guideline: G06 Materiality Concepts for Auditing Information Systems Mar 2008

IS Auditing Guideline: G07 Due Professional Care Mar 2008

IS Auditing Guideline: G08 Audit Documentation Mar 2008

IS Auditing Guideline: G09 Audit Considerations for Irregularities Aug 2008

IS Auditing Guideline: G10 Audit Sampling Nov 1999

IS Auditing Guideline: G11 Effect of Pervasive IS Controls Nov 1999

IS Auditing Guideline: G12 Organisational Relationship and Independence May 2000

IS Auditing Guideline: G13 Use of Risk Assessment in Audit Planning May 2000

IS Auditing Guideline: G14 Application Systems Review Oct 2008

IS Auditing Guideline: G15 Planning Nov 2001

IS Auditing Guideline: G16 Effect of Third Parties on an Enterprise’s IT Controls Mar 2009

IS Auditing Guideline: G17 Effect of Nonaudit Role on the IT Audit and Assurance Professional’s : Independence May 2009

IS Auditing Guideline: G18 IT Governance Apr 2002

IS Auditing Guideline: G20 Reporting Oct 2002

IS Auditing Guideline: G21 Enterprise Resource Planning (ERP) Systems Review Aug 2003

IS Auditing Guideline: G22 Business to Consumer (B2C) E-commerce Review Oct 2008

IS Auditing Guideline: G23 System Development Life Cycle (SDLC) Review Aug 2003

IS Auditing Guideline: G24 Internet Banking Aug 2003

IS Auditing Guideline: G25 Review of Virtual Private Networks Oct 2003

IS Auditing Guideline: G26 Business Process Reengineering (BPR) Project Reviews Apr 2004

IS Auditing Guideline: G27 Mobile Computing Jul 2004

IS Auditing Guideline: G28 Computer Forensics Jul 2004

IS Auditing Guideline: G29 Post Implementation Review

IS Auditing Guideline: G30 Competence Feb 2005

IS Auditing Guideline: G31 Privacy Jun 2005

IS Auditing Guideline: G32 Business Continuity Plan (BCP) Review from IT Perspective Jul 2005

IS Auditing Guideline: G33 General Considerations on the Use of Internet Dec 2005

IS Auditing Guideline: G34 Responsibility, Authority and Accountability Dec 2005

IS Auditing Guideline: G35 Follow-up Activities Dec 2005

IS Auditing Guideline: G36 Biometric Controls Oct 2006

IS Auditing Guideline: G37 Configuration Management Process Sep 2007

IS Auditing Guideline: G38 Access Controls Feb 2008

IS Auditing Guideline: G39 IT Organisation Mar 2008

IS Auditing Guideline: G40 Review of Security Management Practices Oct 2008

IS Auditing Procedure: P01 IS Risk Assessment Measurement Apr 2002

IS Auditing Procedure: P02 Digital Signatures May 2002

IS Auditing Procedure: P03 Intrusion Detection May 2003

IS Auditing Procedure: P04 Viruses and Other Malicious Logic May 2003

IS Auditing Procedure: P05 Control Risk Self-assessment May 2003

IS Auditing Procedure: P06 Firewalls May 2003

IS Auditing Procedure: P07 Irregularities and Illegal Acts Oct 2003

IS Auditing Procedure: P08 Security Assessment - Penetration Testing and Vulnerability Analysis Feb 2004

IS Auditing Procedure: P09 Evaluation of Management Controls Over Encryption Methodologies Apr : 2004

IS Auditing Procedure: P10 Business Application Change Control (PDF, 230K) Aug 2006

IS Auditing Procedure: P11 Electronic Funds Transfer (EFT) (PDF, 87K) Feb 2007

 

 

[출처]

ISACA Homepage

http://www.isaca.org/Template.cfm?Section=Downloads3&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=63&ContentID=13742


저작자 표시 비영리 변경 금지
신고

'Univ Study > IT 거버넌스' 카테고리의 다른 글

ITA와 정보시스템 감리  (2) 2010.02.15
IS Auditing Guidline  (0) 2010.02.15
GS칼텍스 고객정보 유출사건  (0) 2010.02.15

GS칼텍스 고객정보 유출사건

Posted by Patchman
2010.02.15 18:34 Univ Study/IT 거버넌스

국내에서 발생한 IT관련 사건/사고 사례

 

   

 

 

 

GS칼텍스 고객정보 유출사건

 

 



 

◎ 사건의 개요

 

2008년 9월 서울 강남 유흥가에서 1천119만2천97명의 개인정보가 담긴 DVD 1장과 CD 1장(총 2장)이 버려진 채 발견 됐다.

버려진 CD 2장을 주운 한 회사원이 이 내용을 언론에 제보하면서 경찰이 수사에 착수 하게 되었는데, CD에는 'GS Caltex 고객정보'라는 이름의 폴더내에 76개의 엑셀파일로 총 1천119만2천97명의 성명, 주민번호, 집과 회사주소, 이메일이 수록돼 있었으며, 고객명단에는 사회 각계각층의 국내 주요인사들이 포함돼 있어 더욱 큰 충격을 주었다.

김형오 국회의장과 청와대 정동기 민정수석, 정진곤 교육과학문화수석, 원세훈 행정안전부 장관, 이상희 국방부 장관, 김회선 국가정보원 2차장, 어청수 경찰청장 등 정부 부처의 고위관계자의 정보도 고스란히 담겨져 있었다.

 

해킹 흔적이나 돈을 노린 협박, 피해 사례가 접수된 것이 없어, 검찰수사는 내부관리자 조사에 초점이 맞추어졌고, 결국 사건발생 이틀만에 GS칼텍스의 콜센터 운영을 담당하는 자회사 직원 A(28) 씨 등 4명이 고객정보유출의 범임으로 밝혀졌으며, CD를 주워 언론사에 제보한 것 역시 사건을 이슈화 시켜 금전적 이득을 취하려는 이들의 자작극으로 밝혀졌다.

이 사건은 피해 고객들의 집단 소승으로 이어졌으며 모두 4만985명이 소송에 참가했다. 이들이 요구한 배상 금액은 일인당 100만원 정도로 총 액수는 408억8000만원에 달했다.

 

 

 


◎ 사건의 규모

 

미국 ‘오픈 시큐리티 파운데이션(OPEN Security Foundation)’이 공개한 세계에서 가장 규모가 컸던 10대 개인정보 사건(2008년 11월) 순위에서, GS칼텍스 정보유출 사건이 지난 5월 약 1250만 명의 주민번호 등이 노출된 미국 뉴욕 멜론 은행, 아치브 시스템에 이어 8위인 것으로 나타났다.

또 1위부터 7위까지는 모두 미국과 유럽권 기업·기관으로 나타나 GS칼텍스 사건은 아시아권 기업에서 발생한 개인정보 유출 사건 중 가장 큰 규모인 것으로 나타났다.

이 순위는 OSF가 전세계 네티즌들로부터 관련 언론보도나 자료 등을 다양한 채널을 통해 신고받아 작성하는 것. 지난 4월 약 1081만 명의 고객 개인정보가 유출됐던 옥션의 사례는 포함되지 않았다.

 

 


◎ 국내 기업의 정보보안 인식과 실태

 

'2009 중소기업(SMB) 보안 및 스토리지 현황 조사' 결과에 따르면 중소기업의 절반 이상이 보안·데이터 백업 솔루션을 갖추지 않아 데이터 손실에 무방비인 것으로 나타났다.

국내 기업중 68%는 실제 보안 침해를 당한 경헙이 있다고 답했고, 회사 정보를 저장하는 휴대용 기기에 대한 보안과 USB 등 이동매체를 통한 기밀 데이터 유출을 최우선 보안 과제로 선정했다. 하지만 국내 중소기업의 42%는 데이터손실방지(DLP) 솔루션 등을 사용하고 있지 않았다. 52%는 노트북 및 데스크톱용 암호화 소프트웨어를 설치하지 않았으며, 32%는 인가되지 않은 사용자의 네트워크 접속을 허용하고 있는 것으로 조사됐다.

 

국내 보안 사고 주요 원인으로는 ▲시스템 다운이나 하드웨어 고장(76%) ▲내부 직원의 의도적인 행위(59%) ▲디바이스 분실(47%) ▲직장 내 불충분한 보안 절차 및 교육(47%) 순이었다.

반면 실제 데스크톱 백업 및 복구 솔루션을 도입한 기업은 53%에 불과했다. 45%는 주간 단위 이상으로 백업을 수행한다고 응답해 관심 이슈와 실행 사이에 차이가 있었다.

 

또한 月刊 NETWORK TIMES의 설문조사(2008년 9월호, 통권 181호)에서 보안담당자들은 가장 문제시되는 보안 위협 중 하나로 ‘사용자들의 보안 정책 미준수’(46명, 15.4%)를 꼽았으며, 이는 실제적 보안위협인 DoS/DDoS 공격(60명, 20.1%), 웹해킹(55명, 18.4%) 등에 이어 세 번째로 높은 응답일 뿐 아니라 전통적 보안 위협인 웜·바이러스(37명, 12.4%)를 뛰어넘는 것이다.

 

한편 기업뿐 아니라 대학에서 역시 정보보안에 관련된 관심이 증가하고 있는 것으로 나타났는데, 2009년 IT Daily에서 국내 17개 대학을 대상으로 조사 발표한 결과에 의하면 올해 대학들이 도입할 솔루션 우선순위는 보안(68.2%), 백업 및 재해복구(24.7%), 그룹웨어 및 지식관리(21.2%), ERP(17.6%), 기타(12.9%- 인터넷 회선 증설 등) 순이었다.

이는 지난해 잇따라 발생한 대형 보안사고(옥션, GS칼텍스 정보유출 사고)들로 인해 보안의 중요성이 높아지면서 대학들 역시 보안 사고의 사전 예방 차원에서 보안 강화에 대한 관심이 높은 것으로 나타났다.

 


◎ 사건 분석과 문제점 & 대처방안

이 사건은 내부정보유출 방지를 위한 솔루션 관리통제의 부재와, 정보보호 책임자 실무자에 관한 정보보호 교육, 고객의 신상정보와 같은 중요정보에 대한 접근 통제를 수립하고 철저하게 적용하지 못한 결과로 발생한 사례라고 할 수 있다. 경제활동 인구의 절반 가까운 1,100만 명이 넘는 사람들의 이름과 주민등록번호, 주소, 전화번호, 전자우편 주소 등 온갖 신상 정보가 담긴 불법 CD가 유포될 뻔한 아찔한 사고임에 틀림없는데, 한 달에 걸쳐 수차례나 DB에 접근해 정보를 내려 받는데 아무런 제지도 당하지 않았고, 이를 파악하지 못한 내부 통제상의 문제가 심각하다.

특히 주민등록번호는 변경할 수 없기 때문에 유출에 따른 피해가 평생 이어질 수 밖에 없다는 점에서 그 피해는 더욱 크다고 할 수 있다.

 

이 문제로 인해 우리는 기업내부의 정보보안에 관련된 인식과, 솔루션 등에 대해 재고해 보지 않을 수 없는데, 위 ‘국내 기업의 정보보안 인식과 실태’ 조사에서 보여지듯, 국내 보안사고의 주요원인 중 59%가 내부직원의 의도적인 행위로 나타났으며, KT 등 초고속인터넷 사업체, 옥션, 다음 그리고 GS칼텍스 등에서 발생했던 개인정보 유출 사례 등 2년간의 대량 개인정보 유출사례 5건을 살펴보면, 그 가운데 해킹에 의한 정보유출은 모두 2건으로 1081만7000명 분의 개인정보가 새어나갔고. 나머지 3건의 경우 내부유출에 의해 발생한 것으로 총 2420만명의 국민이 개인정보 유출에 따른 피해대상이 됐다.

 

이처럼 이제 국내기업에게는 해킹이나 바이러스에 의한 악성코드 감염의 문제 뿐 아니라 보안 감사(Audit), 포렌직(forensic)의 중요성 인식하고 적용해야 하며, 이에 관련하여 내부정보 유출 방지를 위한 몇 가지 기술과 대처방안을 소개한다.

 

● 내부 정보 흐름을 추적하는 DLP(Data Loss Prevention) 솔루션

● 모든 보안 이벤트를 종합 분석하고, 원본 로그를 별도 저장해 법적 이슈에 대비하는

SIEM(Security Information & Event Management) 솔루션

● 허가 받지 않은 사용자의 DB 접근을 제한하고 내부자 등에 의해 DB가 유출됐다 하더라도

유출된 DB를 활용하지 못하도록 접근제어, 암호화, 감사 기능 등을 수행하는 DB보안 솔 루션

● 일회용 비밀번호인 OTP(One Time Password) 서비스




◎ 참고문헌

 

● 『소비자가만드는신문』 “GS칼텍스, '개인정보 유출' 조사 진행 ”

경제 투데이 “GS칼텍스, 사상최대 1100만명 개인정보 유출 '의혹' ”

이 데일리 “GS칼텍스, 1100만명 고객정보 유출됐나“

이뉴스투데이 “GS칼텍스 "고객 60~70% 정보 유출 맞다"

한국재경신문 “GS칼텍스 고객정보 유출은 ‘허술한 보안규정 탓”

www.datalossdb.com

IT Daily www.itdaily.kr

시만텍 코리아 www.symantec.co.kr

月刊 NETWORK TIMES

● 황경태『정보시스템 통제.감사』(삼영사)

저작자 표시 비영리 변경 금지
신고

'Univ Study > IT 거버넌스' 카테고리의 다른 글

ITA와 정보시스템 감리  (2) 2010.02.15
IS Auditing Guidline  (0) 2010.02.15
GS칼텍스 고객정보 유출사건  (0) 2010.02.15