산업통상자원부는 12일 윤상직 장관 주재로 17개 에너지 공공기관장이 참석한 가운데 '에너지 공공기관 정보보안 체제 강화방안 발표회'를 열고, 사이버보안 관리에 대한 철저한 반성과 개혁방안의 실천을 주문했다.
산업부는 우선 정보보안조직의 위상 제고를 위해 관리본부장 직속으로 정보보안담당 부서를 신설·보강하고, 지역본부의 정보보안업무도 직접 관할하도록 지시했다.
융합보안 추세에 맞게 일반보안업무도 함께 운영하도록 하고, 감찰 기능까지 부여하는 등 조직의 기능도 강화하기로 했다.
이와 함께 2017년까지 정보보안 전담인력을 기존 114명에서 432명으로 확대하고, 향후 3년간 총 2457억 원의 정보보안예산을 투입해 정보보안 기반을 대폭 확충하기로 했다.
협력사와의 계약서에 보안관리 실태의 정기적 점검(매년 2회), 정보보안사항 위규시 2년 이내 입찰참여 제한 등의 보안관련 특약사항도 명시했다.
특히 협력사에서 사이버침해사고 발생시 침입경로, 유출정보 등 협력사 정보시스템에 대한 조사근거를 명시하는 등 협력사 보안관리를 대폭 강화하기로 했다.
용역직원에 대해서는 인터넷차단과 이동저장매체 사용금지 원칙을 준수하고, 네트워크 분리, 접근권한범위 제한, 전용PC제공과 클린룸 운영 등 업무시스템 접근통제를 강화할 방침이다.
이와 함께 공공기관의 도면 등 중요자료에 대한 '생산-저장-유통-폐기'까지 전(全)생애주기 관리책임자 실명제와 형상관리 의무화 등 관리체계를 마련해 시행키로 했다.
에너지 공공기관에서 운영 중인 정보시스템의 경우 현행 3단계(제어시스템, 업무망, 인터넷망)에서 5단계(제어시스템, 유사제어시스템, 중요정보시스템, 업무망, 인터넷망)로 세분화하기로 했다.
또 각 시스템별 중요도에 따라 보안정책의 강도를 '제어시스템>유사제어시스템>중요정보시스템>업무망>인터넷망' 순으로 차등 적용해 나가기로 했다.
구체적으로 제어시스템과 유사제어시스템은 독립·폐쇄적으로 운영하고, 중요정보시스템은 업무망과 N/W적으로 분리해 운영할 계획이다. 업무망은 인터넷망과 망을 분리해 운영하며, 인터넷망은 상용메일차단 등 각각 차별화된 보안정책을 적용하기로 했다.
제어시스템의 안전성 확보를 위해서는 주요기반시설 지정을 지속 확대하고, 2017년까지 각 정보시스템별 보안정책 적용에 따른 총 274개 시스템을 추가적으로 구축하기로 했다.
아울러 2017년까지 10개 공공기관에 단위보안관제센터를 구축해 산업부 사이버안전센터, 국가 사이버안전센터(NCSC)와 연계한 3단계 보안관제 체제를 구축해 나간다는 구상이다.
윤상직 장관은 이날 "그 동안 사이버보안 관련 업무가 기관장 업무우선순위에서 밀려 형식화된 점과 오래된 관행으로 고착화된 협력업체 정보보안 관리가 취약했다"면서 "앞으로 공공기관의 사이버보안에 문제가 생길 경우 엄중한 책임을 물을 것이며, 에너지 관련 공공기관이 사이버보안 관련해 국민의 불편을 초래하지 않도록 철저한 관리와 이행을 해줄 것"이라고 당부했다.
산업부는 앞으로 매년 반기별로 장관 주재로 사이버보안 협의회를 열고, 공공기관의 정보보안 관리실태를 정기적으로 점검하기로 했다.
한편 윤 장관은 지난달 8일 한국수력원자력 자료 유출로 촉발된 에너지기관 사이버위협에 대응하기 위해 17개 에너지 공공기관 대상 '정보보안 점검회의'를 직접 주재한 바 있다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지