정보통신부와 한국정보보호진흥원은 광대역 통합망(BcN : Broadband Convergence Network)에서 발생 가능한 침해사고의 예방 및 대응법을 제시한「BcN 정보보호 가이드라인」을 발표하고 관련 사업자에 대한 적용을 확대해 나가기로 하였다고 22일 밝혔다.
방송·통신 융합시대 도래에 발맞춰 2010년까지 구축 완료예정인 BcN은 통신, 방송, 인터넷이 융합된 차세대 정보통신 인프라로 기존 통신망과는 프로토콜(통신규약) 및 서비스가 상이한데다 개별망의 위협이 다른 망으로 쉽게 확산될 가능성이 높아 정보보호에 대한 우려가 상존하고 있다.
이에 따라 BcN 서비스의 활성화를 위해서는 BcN 자체의 안전성 강화가 무엇보다 시급하다는 인식에서 지난 3월부터 BcN 시범사업을 추진하는 유관기관 및 사업자, 학계 전문가 등이 참여하여 BcN 구축시 적용해야 할 정보보호 필수항목을 도출하고 가이드라인으로 제시한 것이다.
< 추 진 경 과 >
·BcN 정보보호 가이드라인 개발 추진반 구성(’07. 3월)
- 참여 : 정보통신부, KISA·NIA·ETRI·TTA 등 유관기관, KT, SKT, Dacom, HanaroTelecom 등 BcN 시범사업자, 학계 전문가 등
·BcN 사업자 현장방문을 통해 인프라 구축 및 정보보호 현황 조사(’07. 5~6월)
·BcN 관련 해외 보안표준 및 가이드라인 분석('07. 5~6월)
- 대상 : ITU-T NGN 보안 요구사항 등 15종
·BcN 구축·운영시 준수해야 할 정보보호 필수항목 도출(’07. 6~7월) 및 「BcN 정보보호 가이드라인」 개발(’07. 7~9월)
그간 BcN에 대해서는 인터넷망, 일반전화망(PSTN), 이동통신망(WCDMA, WiBro) 등 다양한 이기종 망이 통합되어 IP 기반에서 광대역 서비스를 제공하는 특성상 ▲인터넷의 전통적인 보안취약점 상속 ▲단일망의 침해사고 피해가 타망으로 급속히 확산될 가능성 ▲서로 다른 보안기술을 적용함으로써 종단간 불안정한 보안수준에 따른 침해사고 발생 가능성 증대 등의 문제가 제기되어 왔다.
이번 「BcN 정보보호 가이드라인」은 이러한 이기종 망간 연동 시나리오에 바탕하여 22개 침해사고 위협의 유형을 상정하고 66개 정보보호 필수 조치항목을 발굴한 것으로, 망 간·사업자 간 연동 시 발생할 수 있는 보안위협에 대한 대책을 조기에 마련했다는 점에서 의의가 있다.
특히 비인가자의 접속 시도, 비인가 서비스 사용, 전송 데이터 도청, 이상 트래픽 폭주, 시스템 해킹을 주요 보안위협 요소로 규정하고, 접근 제어, 사용자 인증 메커니즘, 암호화기법 적용, 트래픽 모니터링, 안전한 프로토콜의 사용 및 주기적인 패치 업데이트 등의 대책을 기술적 구현방안과 함께 제시하였다.
앞으로 정보통신부와 한국정보보호진흥원은 BcN 시범사업자를 대상으로 이 가이드라인의 내용을 지속적으로 설명하는 한편 가이드라인에서 제시하는 정보보호 필수항목에 대한 현장점검을 본사업 완료때까지 지속적으로 실시할 계획이다.
이를 통해 국가경제 및 개인생활의 사이버 의존도가 심화되는 현실에서 BcN 서비스 중단 등의 장애사고를 미연에 방지하고 서비스 이용자들이 한층 더 안심하고 BcN의 편익을 향유할 수 있는 환경을 조성해 간다는 방침이다.
특히 신규 IT기술의 경우 설계단계에서부터 보안을 고려했을시 운영단계에서보다 60~100배의 비용을 절감할 수 있다는 연구결과가 보고되고 있으며(IBM), BcN과 같은 차세대 인프라의 경우 서비스 장애시 막대한 생산성 손실과 선순환 발전기회의 일실이 우려되는 바, 이번 가이드라인이 정착되면 커다란 추가비용의 절감 또한 기대된다.