의원실의 국정감사자료
[문방위-전병헌의원]한국인터넷진흥원:허술한 <정보보호 안전진단>, 7·7 DDoS 공격에 무방비 피해
의원실
2009-10-13 00:00:00
70
70
[한국인터넷진흥원 국정감사: 2009년 10월 13일]
허술한 <정보보호 안전진단>, 7·7 DDoS 공격에 무방비 피해
- DDoS 피해 23개 국내사이트 중 안전진단 대상은 5개뿐
- 5개 사이트 모두‘정상’등급 받고도 DDoS 피해
□ 한국인터넷진흥원은 정보통신망법 제45조(정보통신망의 안전성 확보 등), 제46조의3(정보보호 안전진단)을 근거로 매년 일정 기준 이상의 사이트에 대한 정보보호 안전진단을 실시함.
o 정보통신서비스제공자에게 정보통신망의 안전성 확보를 위해 최소한의 보호조치를 통한 정보보호 체계를 구축하여 정보보호 수준을 제고 하고자 하는 제도
o 대상은 일정규모 이상의 주요 ISP, IDC, 쇼핑몰 등 정보통신서비스 제공자(’08년 232개, ’09년 250개)
< 부문별 대상사업자 >
분 류해당사업자
주요
ISP·전국을 대상으로 인터넷접속 서비스를 제공하는 전기통신사업자 KT, LG데이콤, 온세통신,
하나로텔레콤 등IDC·타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자KT IDC, 삼성SDS, 현대정보기술 등포털 등·연 매출액 100억원 이상 또는 1일 이용자수 100만명 이상인 정보통신서비스제공자NHN, 옥션, 야후코리아, 인터파크 등
o 방통위에서 고시한 필수 보호조치 48개 항목을 점검
구 분보호조치 (48개 항목)관리적 기준 정보보호 조직, 정보보호 계획, 정보보호 교육 등 21개 항목기술적 기준 네트워크 보안, 시스템 보안설정 사항 등 24개 항목물리적 기준 출입통제 및 감시, 가용성 등 3개항목
o 2009년 7·7사태 직전년도인 2008년도에는 총232개 사이트를 대상으로 20개 안전진단 수행기관이 실시하였음.
□ 2009년 7월 7일 DDos 공격 대상이 되었던 국내 대상 사이트는 모두 23개임.
o 그 중 5개 사이트만 2008년 정보보호 안전진단을 받은 사이트이며,
- 5개 사이트의 ’08년도 정보보호 안전진단 결과를 보면 양호 수준인 ‘개선사항없음’ 평가를 받았음에도 DDoS 공격에 피해 발생
⇒ 정보보호 안전진단이 형식적으로 이뤄졌거나, 내실 있게 이뤄졌다고 보기 어려움.
- DDoS 관련 안전진단의 세부항목을 보면, 기술적 보호 조치로서
<정보보호시스템 보안>항목 : △ 이상 징후 탐지를 알리는 경고기능을 설정하여 운영, △ 정보보호시스템 보안기능 (비정상 트래픽 차단 등)의 정상 작동 여부를 주기적으로 점검 (월 1회 이상)
항목 : △ 과부하에 대비한 부하분산 대책을 마련 등
- ’08년도 안전진단 대상 사이트 232개중 4개(1.7%) 사이트만 ‘개선권고’ 조치를 받았음.
< 2008 정보보호안전진단 대상자 중 7·7 DDoS 공격 대상 사이트 >
번호안전진단대상자진단시기수행기관진단방법진단결과 및 제재조치결과시작종료112농업협동조합중앙회4.15.8시큐아이닷컴
(주)서면, 현장검사개선사항 없음조치사항 없음118디지틀조선일보12.212.24넷시큐어테크놀로지(주)서면, 현장검사개선사항 없음조치사항 없음134옥션12.1112.29(주)한국전산감리원서면, 현장검사개선사항 없음조치사항 없음170다음커뮤니케이션1.16.5인포섹
(주)서면, 현장검사개선사항 없음조치사항 없음176엔에이치엔6.26.13STG시큐리티(주)서면, 현장검사개선사항 없음조치사항 없음
□ 또한, DDos공격을 받은 나머지 18개 사이트(기업은행, 하나은행, 국민은행, 신한은행, 외환은행, 국회, 청와대, 국방부 등)는 아예 정보보호 안전진단 대상에서 제외되어 있어 사실상 개별 사이트의 정보보호 역량에 의존할 수밖에 없는 실정이었음.
Q1. 7·7 DDoS 사태 당시 피해를 입은 국내 사이트는 청와대, 국회를 비롯해 23개 사이트임. 그런데, 이중 정보보호안전진단 사이트는 5개에 불과한데 그나마 모두 2008년도 안전진단에서 ‘이상 없음’ 판정을 받았음에도 피해를 입었음.
o 특히, 공격대상 사이트 중 기업은행, 하나은행, 우리은행,국민은행, 신한은행,외환은행 등 은행사이트가 무려 6개나 포함되어 있는데, 정보보호진단 대상(08년 232개)에는 포함되어 있지 않았는데 그 이유는 무엇인가?
- 은행권 홈페이지는 인터넷뱅킹 등 국민경제에 지대한 영향을 미치므로 이에 대한 각별한 관리와 보호조치가 필요함.
o 안전진단 대상인 디지틀조선일보, 농협중앙회,NHN(네이버), 다음커뮤니케이션, 옥션 등 5개 사이트는 정보보호 안전진단에서 ‘이상없음’ 등급을 받았음에도 불구하고 DDoS 공격에 취약점을 노출하여 피해를 입었음.
허술한 <정보보호 안전진단>, 7·7 DDoS 공격에 무방비 피해
- DDoS 피해 23개 국내사이트 중 안전진단 대상은 5개뿐
- 5개 사이트 모두‘정상’등급 받고도 DDoS 피해
□ 한국인터넷진흥원은 정보통신망법 제45조(정보통신망의 안전성 확보 등), 제46조의3(정보보호 안전진단)을 근거로 매년 일정 기준 이상의 사이트에 대한 정보보호 안전진단을 실시함.
o 정보통신서비스제공자에게 정보통신망의 안전성 확보를 위해 최소한의 보호조치를 통한 정보보호 체계를 구축하여 정보보호 수준을 제고 하고자 하는 제도
o 대상은 일정규모 이상의 주요 ISP, IDC, 쇼핑몰 등 정보통신서비스 제공자(’08년 232개, ’09년 250개)
< 부문별 대상사업자 >
분 류해당사업자
주요
ISP·전국을 대상으로 인터넷접속 서비스를 제공하는 전기통신사업자 KT, LG데이콤, 온세통신,
하나로텔레콤 등IDC·타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자KT IDC, 삼성SDS, 현대정보기술 등포털 등·연 매출액 100억원 이상 또는 1일 이용자수 100만명 이상인 정보통신서비스제공자NHN, 옥션, 야후코리아, 인터파크 등
o 방통위에서 고시한 필수 보호조치 48개 항목을 점검
구 분보호조치 (48개 항목)관리적 기준 정보보호 조직, 정보보호 계획, 정보보호 교육 등 21개 항목기술적 기준 네트워크 보안, 시스템 보안설정 사항 등 24개 항목물리적 기준 출입통제 및 감시, 가용성 등 3개항목
o 2009년 7·7사태 직전년도인 2008년도에는 총232개 사이트를 대상으로 20개 안전진단 수행기관이 실시하였음.
□ 2009년 7월 7일 DDos 공격 대상이 되었던 국내 대상 사이트는 모두 23개임.
o 그 중 5개 사이트만 2008년 정보보호 안전진단을 받은 사이트이며,
- 5개 사이트의 ’08년도 정보보호 안전진단 결과를 보면 양호 수준인 ‘개선사항없음’ 평가를 받았음에도 DDoS 공격에 피해 발생
⇒ 정보보호 안전진단이 형식적으로 이뤄졌거나, 내실 있게 이뤄졌다고 보기 어려움.
- DDoS 관련 안전진단의 세부항목을 보면, 기술적 보호 조치로서
<정보보호시스템 보안>항목 : △ 이상 징후 탐지를 알리는 경고기능을 설정하여 운영, △ 정보보호시스템 보안기능 (비정상 트래픽 차단 등)의 정상 작동 여부를 주기적으로 점검 (월 1회 이상)
- ’08년도 안전진단 대상 사이트 232개중 4개(1.7%) 사이트만 ‘개선권고’ 조치를 받았음.
< 2008 정보보호안전진단 대상자 중 7·7 DDoS 공격 대상 사이트 >
번호안전진단대상자진단시기수행기관진단방법진단결과 및 제재조치결과시작종료112농업협동조합중앙회4.15.8시큐아이닷컴
(주)서면, 현장검사개선사항 없음조치사항 없음118디지틀조선일보12.212.24넷시큐어테크놀로지(주)서면, 현장검사개선사항 없음조치사항 없음134옥션12.1112.29(주)한국전산감리원서면, 현장검사개선사항 없음조치사항 없음170다음커뮤니케이션1.16.5인포섹
(주)서면, 현장검사개선사항 없음조치사항 없음176엔에이치엔6.26.13STG시큐리티(주)서면, 현장검사개선사항 없음조치사항 없음
□ 또한, DDos공격을 받은 나머지 18개 사이트(기업은행, 하나은행, 국민은행, 신한은행, 외환은행, 국회, 청와대, 국방부 등)는 아예 정보보호 안전진단 대상에서 제외되어 있어 사실상 개별 사이트의 정보보호 역량에 의존할 수밖에 없는 실정이었음.
Q1. 7·7 DDoS 사태 당시 피해를 입은 국내 사이트는 청와대, 국회를 비롯해 23개 사이트임. 그런데, 이중 정보보호안전진단 사이트는 5개에 불과한데 그나마 모두 2008년도 안전진단에서 ‘이상 없음’ 판정을 받았음에도 피해를 입었음.
o 특히, 공격대상 사이트 중 기업은행, 하나은행, 우리은행,국민은행, 신한은행,외환은행 등 은행사이트가 무려 6개나 포함되어 있는데, 정보보호진단 대상(08년 232개)에는 포함되어 있지 않았는데 그 이유는 무엇인가?
- 은행권 홈페이지는 인터넷뱅킹 등 국민경제에 지대한 영향을 미치므로 이에 대한 각별한 관리와 보호조치가 필요함.
o 안전진단 대상인 디지틀조선일보, 농협중앙회,NHN(네이버), 다음커뮤니케이션, 옥션 등 5개 사이트는 정보보호 안전진단에서 ‘이상없음’ 등급을 받았음에도 불구하고 DDoS 공격에 취약점을 노출하여 피해를 입었음.