서울시가 광역자치단체로는 처음으로 자체 정보보호관리체계(ISMS)를 개발, 25개 구청, 16개 투자출연기관, 36개 사업소 등에 일제히 적용한다.
서울시는 오는 5월 ISMS 사업 발주에 들어가 9월 서울시 등 일부 지역에 우선 시범적용 후 내년에 전면적으로 시행할 방침이라고 23일 밝혔다.
ISMS(Information Security Management System)제도란 정보통신망 안전성 확보를 위해 수립·운영하고 있는 기술적·물리적 보호조치 등 종합적인 관리체계에 대한 인증을 말한다.
서울시는 기존 한국인터넷진흥원(KISA) 등에서 부여하는 ISMS보다 실생활에서 활용, 실천할 수 있는 현실적인 서울시만의 ISMS를 개발할 계획이다. 서울시는 이미 정보보호경영시스템 인증표준 ISO27000·BS7799·그룹정보관리시스템(GIMS) 등을 보유하고 있지만 실질적인 정보관리체계가 필요하다고 판단해 자체 ISMS를 개발하기로 결정했다.
김완집 서울시 정보보호정책팀장은 “문서 위주의 관리 체계가 아니라 실생활에서 실천 가능한 진정한 정보보호관리 체계를 만들 것”이라며 “ISMS의 평가기준과 실천목록, 물리적인 시스템 등을 직접 서울시에서 작업해 반드시 지킬 수 있는 것 위주로 단순화한 서울시만의 ISMS를 만들 예정”이라고 말했다.
서울시가 계획하는 ISMS는 네트워크·서버 등의 물리적인 시스템과 보안관리를 결합시킨 것이다. 예를 들어 구성원 중 PC에 새로운 윈도 패치를 적용하지 않거나 백신 업데이트를 받지 않은 사용자가 있으면 보안 관리자가 경고를 주거나 네트워크 접속을 자동 차단하도록 구축될 예정이다. 따라서 네트워크액세스컨트롤(NAC), 서버보안 등 보안 관리 시스템이 통합설치, 적용될 계획이다.
김 팀장은 “단순히 문서적인 보안관리 지침에 대한 평가를 받는 것보다 시스템적으로 구현 가능한 부분을 연결해 실질적인 보안관리 체계를 만드는 것이 목적”이라며 “공공기관에서 이와 같이 물리적, 관리적 보안체계가 연계된 토털 ISMS 적용은 최초”라고 강조했다.
서울시는 약 1억원의 예산을 들여 오는 9월까지 서울 시내에 ISMS 체계를 갖추고 내년에 투자를 확대해 25개 지자체, 16개 투자출연기관, 36개 사업소 등으로 적용을 늘려갈 예정이다.
이에 따라 소방방재본부 등 도시기반시설본부와 상수도본부 등 서울시 관할 투자출연기관, 사업소 등까지 통합적으로 관리가 가능해 공공기관 보안 취약점에 대한 우려가 줄어들 전망이다.
김 팀장은 “최근 3·3 DDoS 공격에서 좀비PC가 된 공무원 PC가 상당수라고 들었으나 서울시가 구축할 예정인 ISMS가 완성되면 좀비PC 자체가 사라질 것”이라고 설명했다.
장윤정기자 linda@etnews.co.kr