Issue Scanning
국가 에너지 안보 위해 24시간 빈틈없는
사이버보안 체계 구축한다!
정보통신 기술(ICT)을 기반으로 한 4차 산업혁명은 이제 선택이 아닌 생존의 문제다. 하지만 정보보안을 고려하지 않은 4차 산업혁명과 ICT 기술의 발전은 불가능하다. 새로운 ICT 신기술에 발맞추어 정보보안의 패러다임도 지속적인 변화가 필요하다.
우리 회사는 국내 최대 공기업으로서 국민에게 신뢰받는 사이버보안 체계를 구축하기 위해 지속해서 노력하고 있다.
장경석 정보보안실 보안전략담당 차장
주요 정보통신기반시설 보호
정부는 국가 운영 및 국민 생활과 밀접한 관련이 있는 전력, 가스, 철도, 항공 등 국가 핵심 기반시설을 주요 기반시설로 지정하여 엄격히 관리하고 있다. 우리 회사는 전력제어시스템인 송·변전 SCADA 시스템(SCADA), 배전 DAS 시스템(DAS), 변전소집중감시 제어시스템(SICS), 고전압 직류송전시스템(HVDC)이 주요 기반시설로 지정되어 있으며, 정보통신기반보호법에 따라 매년 보안취약점 진단 및 국정원과 산업부의 안전성 평가를 받고 있다.
전력제어시스템은 안전을 위해 독립 폐쇄망으로 운용하고 있으며, 전용 프로토콜 통신방식을 사용하여 사이버 위협으로부터 비교적 안전하다고 인식되어왔다. 하지만 매년 제어시스템을 대상으로 한 사이버공격은 지속해서 발생하고 있으며, 이로 인해 정전 등 물리적 피해로 이어지고 있다. 제어시스템에 대한 사이버 공격은 국가 차원의 지원을 받는 전문적 수준의 해커에 의해 전방위적으로 이루어지며, 세계 각국은 제어시스템에 대한 사이버보안을 강화하고 있다.
정보보안실에서는 전력 제어설비 운영부서와 함께 안전한 전력 제어망을 운영하기 위해 전체 전력 설비에 대한 취약점 분석·평가, 실전형 사이버공격 대응 훈련, 정보보호 설비 도입 등 다양한 보안대책을 지속해서 시행하고 있으며, 지난해 국정원 평가 및 사이버공격 대응 훈련에서 우수기관으로 선정되었다.
개인정보의 중요성 및 보호 노력
우리 회사는 전 국민에게 안정적인 전력공급을 위한 고객관리 목적으로 현재 약 3천 7백만 건의 개인정보를 보유하고 있다. 개인정보가 누군가에 의해 악의적인 목적으로 이용되거나 유출될 경우 개인의 사생활에 큰 피해를 줄 뿐만 아니라 개인 안전과 재산에 피해를 줄 수 있고 또 유출된 개인정보는 스팸메일, 불법 텔레마케팅 등에 악용되어 대량의 스팸메일 발송을 위한 계정 도용, 보이스 피싱 등 범죄행위에 악용될 우려가 있다. 이러한 문제점으로부터 대량의 개인정보를 안전하게 보호하기 위해 정보보안실에서는 개인정보보호 관리체계를 확립하고 침해사고 예방을 위한 개인정보 보호대책을 수립하여 추진하고 있다.
먼저 개인정보보호 관리체계 확립을 위해 우리 회사 개인정보보호 내부관리계획을 수립하고, 개인정보 처리시스템 및 개인 정보 파일을 감독기관인 개인정보보호위원회에 등록하고 상시 관리하고 있다. 개인정보 보호 대책 마련을 위해서 개인정보 파일에 대한 처리 방침을 수립하여 각 시스템별로 공개하고 있으며, 목적 외 이용·제공 관련 절차를 수립하고, 매월 전사 개인 정보 목적 외 이용·제공 명세를 점검하여 사외 대표홈페이지에 공개하고 있다. 또한 개인정보 처리업무 위탁현황 및 법 의무 사항 준수 현황을 반기별로 점검하고 있으며, 영상정보처리기기 운영·관리 방침을 수립하고 공개하고 있다.
개인정보 침해사고 예방을 위해서는 주민번호 등의 고유 식별정보를 국가인증 암호시스템을 활용하여 암호화하여 보호하고 있으며, 개인정보 처리시스템의 접근권한 및 접근통제시스템을 구축하고 정기적으로 취약점을 점검·조치 등을 시행하고 있다.
또 개인정보 유출 사고에 대비하여 대응 절차를 수립하고 현장 실무자를 대상으로 주기적인 교육도 병행하고 있다.
이러한 노력의 결과로 2015∼2021년 개인정보보호위원회 주관 공공기관 개인정보 관리 수준 진단 수검 결과 7년 연속 최고 등급을 달성하였으며, 국가기관(개인정보보호위원회, 산업부와 국정원)과 상시 협력을 통해 개인정보 보호에 최선을 다하고 있다.
2022년에는 개인정보를 위탁하고 있는 3개 자회사와 협의체를 구성하여 안전한 개인정보 보호를 위한 규정 및 사례에 대한 정보를 공유하고, 전력 빅데이터 활용기반 마련을 위하여 정보 주체 동의 없이 가명 정보를 생성할 수 있는 검증솔루션을 도입할 예정이다. 또한 사내 업무 편의성을 높이기 위하여 개인정보 파기 관리대장 등 개인정보 관련 수기 처리업무 11종을 디지털화해 하나의 플랫폼에서 통합 운영 · 관리할 예정이다.
24시간 빈틈없는 침해사고 예방 및 대응
우리 회사는 2008년 국가사이버안전관리 대통령 훈령에 따라 전력사이버안전센터를 출범하여 24시간 불철주야 사이버 침해 사고 예방 및 대응에 최선을 기울이고 있다. 전력사이버안전센터는 현재 나주ICT센터 2층에 있으며, 4조 2교대 근무로 상시 보안관제 체제를 유지한다. 국정원 국가사이버안보센터, 산업부 사이버안전센터와 공조 체계를 구축하여 사이버공격 탐지 및 차단, 사이버 위협정보 수집 및 공유, 사이버 침해사고 분석 및 복구 지휘 업무를 수행한다. 최근에는 나주ICT센터의 업무연속성 확보를 위해 신설되는 대전ICT센터에도 제2 전력사이버안전센터를 구축하여 재난·재해·감염병 등 유사시에도 완벽한 침해사고 대응체계를 확립하고 있다.
우리 회사는 국정원 국가정보보안기본지침에 따라 인터넷망, 업무망, 제어망 등 용도와 접근권한에 따라 각각 분리하여 운영하고 있다. 인터넷망과 업무망 사이의 데이터 이동은 보안시스템을 통해서만 가능하며, 제어망의 경우 일방향 접근정책을 적용하여 제어망 내부로 데이터 이동을 차단해 보호하고 있다. 이러한 보안정책은 더 중요한 네트워크일수록 사이버 공격자가 침투하기 힘든 구조로 운영하기 위함이다. 또한 주요 정보보안설비로는 외부인터넷 접점에 대량의 부하를 유발하는 DDoS 공격을 효과적으로 방어하기 위한 DDos 방어시스템, 서버·네트워크간 접근통제를 위한 방화벽, 해커의 이상행위를 발견하고 차단하는 침입방지시스템, 그리고 노트북 등 승인받지 않은 컴퓨터의 사내망 무단접속을 방지하는 네트워크접근통제시스템 등 정보보안시스템을 구축하여 운영하고 있다. 또한 서버와 사용자 단말장치의 보호를 위해 백신, 보안운영체제, 악성 USB 등의 차단을 위한 매체 제어시스템을 운영하고 있다. 업무에 필수적인 이메일의 경우 매일 11만 건의 외부메일을 수신 하고 있다. 이중 광고, 사행성 스팸메일과, 랜섬웨어 등 악성코드가 포함된 해킹메일을 탐지하고 차단하기 위해 별도의 악성 메일 분석시스템을 운영하고 있다. 이러한 모든 정보보안시스템에서 발생하는 이벤트 정보들은 전력사이버안전센터 빅데이터 보안관제시스템으로 전송되어 이상징후 발생을 감시하고 신속하게 조치하고 있다.
매일 5만 건 이상의 사이버공격 시도가 우리 회사를 겨냥해 지속해서 발생하고 있으며, 코로나 재택근무의 확대, 해커들의 주요한 돈벌이 사업으로 발전하고 있는 랜섬웨어 공격 등으로 인해 그 위협은 날이 갈수록 증가하고 있다. 우리 회사는 자체적으로 개발한 AI 기반 보안관제 시스템을 적용하여 보안관제 요원들이 감당하기 힘든 방대한 보안이벤트를 분석하는 데 활용하고 있다. 또한 지속적인 AI 보안기술의 확대 개발로 지능화되는 사이버공격에 선제적으로 대응할 예정이다.
정보화 사업 보안성 검토
우리 회사는 수많은 ICT시스템들을 활용하여 업무를 수행하고 있다. 매일 회사에 출근해서 PC를 켜면 처음 맞닥뜨리게 되는 KEPCO-EP를 비롯해 마이켑, ERP, 영배정보시스템 등을 활용해 대부분의 업무를 수행하고, SCADA, DAS 등의 시스템을 활용하여 전력 설비들을 감시, 제어하고 있다. 이러한 ICT시스템은 우리에게 편리한 업무 환경을 제공하여 주지만 외부의 사이버 침해로 인하여 시스템 마비나 중요 정보 유출 등의 사고가 발생할 경우 막대한 피해를 볼 수 있다.
따라서, 정보화 사업 추진 시 이러한 사이버 침해에 대한 보안대책을 수립하여 시행하여야 하는데, 수립된 보안대책의 적정성을 검토하여 안전한 정보통신 시스템이 도입·구축될 수 있도록 안내하는 절차가 「정보화 사업 보안성 검토」이다. 이러한 정보화 사업 보안성 검토는 ‘국가 정보보안 기본지침(국정원)’에 의거하여 모든 공공기관을 대상으로 의무화하고 있다. 정보화 사업 계획 수립 후 발주 공고 전에 보안성 검토를 요청하고, 지침에 따라 일부 유형의 사업은 산업부 또는 국정원 심의를 받게 되어있으며 그 외의 사업은 자체(정보보안실) 검토로 종결된다.
정보화 사업을 추진하는 부서에서는 다양한 유형의 정보화 사업에 대해 적합한 보안대책을 수립하여 보안성검토 요청서를 작성하기가 쉽지 않다. 매년 300건씩 검토요청이 접수되고 일부 사업들에 대한 처리기간이 장기간 소요되는 경우가 발생하기 때문이다. 이러한 문제를 해결하기 위하여 정보보안실에서는 ‘정보화 사업 보안성 검토 보안대책 표준안T/F’를 구성하여 각 정보화 사업 유형별 보안대책 표준 지침을 제정하여 배포하여 중요한 정보통신 시스템이 적기에, 안전하게 도입될 수 있도록 할 계획이다.
실시간 위험평가 기반 정보보안 관리체계
우리 회사는 대규모 정보자산(PC, 서버, 네트워크 설비, 정보보안 설비 등)을 운용하고 있다. 외부의 사이버 침해로부터 사내 정보시스템을 보호하기 위해서는 산재해있는 정보자산들에 대한 위험도를 종합적으로 분석, 관리를 효율적으로 수행할 수 있는 종합적인 정보보안관리체계가 필요하다. 이에 정보보안실에서는 실시간 위험평가 기반 정보보안 관리체계(GRC)를 구축하고 있다. GRC는 Governance, Risk management, Compliance의 약자로서 기업의 위험 및 규제에 대응하기 위한 전사적·통합적 관리 체계를 뜻한다.
본 시스템이 구축되면 회사의 모든 정보자산에 대한 보안규정 준수 여부, 기술적 취약점 점검 결과 등을 중앙에서 실시간으로 취합하여 종합적인 정보자산 위험도를 도출할 수 있다. 본 시스템을 통해 사내 정보자산에 대한 취약점 점검 결과 등의 내부 위험관리 요소와 외부 사이버 위협정보 등의 위험관리 요소를 취합하여 ‘KEPCO 사이버 안전 지수’를 도출하고 이를 실시간으로 경영진, 정보보안 관리자에게 제공할 수 있다. 또한 보안에 취약한 정보자산을 실시간으로 판별하고 이에 대하여 즉각적인 보완 조치 및 특별 점검 등의 대응을 함으로써 회사의 정보자산을 안전하게 보호할 수 있는 기반을 마련하고자 한다.
또한 ‘정보보안업무 종합 포털’을 구축하여 산재하여 있는 다양한 보안업무 시스템을 하나의 포털로 통합할 계획이다. 보안USB 반출입대장, 출입통제 대장 등 수기로 관리하는 20여 종의 관리대장을 디지털화하여 포털에 구현할 예정이다. 회사의 정보보안 정책 문의, 제안 접수 등 전 직원과의 소통 채널을 구현함으로써 정보보안 정책으로 인한 업무 불편 등이 최소화될 수 있도록 최선을 다할 계획이다.
정부와 기업의 정보시스템을 대상으로 하는 사이버공격 시도가 꾸준히 증가하고 있다. 최근 미국 정부와 핵심 기업을 대상으로 한 솔라윈즈(SolaWinds) 공격* 같이 기업을 넘어 국가안보에 심각한 위협이 되는 국가 배후 해킹이 증가하고 있다.
이에 대한 대응으로 우리나라도 2019 국가 사이버안보 전략을 수립하고, 2021년 국가안보의 중추 기관인 국정원의 직무 범위에 사이버안보를 법제화하였다. 한편 코로나19 확산으로 주목받던 화상회의 플랫폼(Zoom)에서 대량 개인정보 유출사건이 발생하기도 하였다. 이러한 유출된 정보는 다크웹을 통해 거래되어 2차, 3차 피해로 확산할 위험도 크다.
증가하는 사이버 위협으로부터 국가 전력망과 정보시스템을 안전하게 보호하기 위하여 정보보안실은 24시간 365일 한순간도 놓치지 않고 이상징후를 파악하여 선제적으로 조치하고 있으며, 나아가 사이버보안 전문역량을 강화하여 한 치의 틈도 허용하지 않도록 사이버 안전을 위해 노력해 나갈 것이다.
* 솔라윈즈 공격 : 솔라윈즈(Solarwinds)는 네트워크, 시스템 및 정보기술 인프라 관리를 지원하는 기업용 소프트웨어를 개발하는 미국 회사로 제품의 공급망 서버가 신원 미상의 공격자들에게 공격당해 정상 제품 사이에 악성 플러그인이 포함되어 배포됨. 미 국토안보부, 재무부 등 미국 정부 기관과 유명 기업들 해킹 피해 발생함.
사이버보안 이상 없다!
정보보안실
우리 회사는 2003년 사이버보안 업무수행을 위해 전담조직인 정보보호팀을 신설하였고, 2016년 조직개편을 통해 보안과 안전 업무를 안전보안처로 통합하였다. 이후 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」이 개정되어 기업의 정보보호최고책임자(CISO) 의무 지정·정보보안 외 타업무 겸직금지 규정에 따라 2020년 12월 정보보안실을 분리 발족하였고, 정보보안실장을 우리 회사의 정보보호최고책임자(CISO)로 지정·신고하였다.
우리 회사는 2015년 원전자료 유출사고를 계기로 보안전담조직과 인력을 확충하여 현재 본사 33명, 사업소 54명의 전담 인력이 정보보안업무를 수행하고 있다. 또한 2020∼2021년 2년 연속 산업부 주관 정보보안감사 최우수기관으로 선정되어 장관 표창을 받았으며, 동 기간 산업부 주최 사이버보안 경진 대회 정보 분야 1위, 국정원 주최 기반시설 사이버 콘테스트 제어 분야 1, 2위를 석권하는 쾌거를 이루었다. 이는 정보보안 역량 강화를 위한 경영진의 관심과 지원 아래, 최정예 사이버보안 전문인력 및 화이트해커 양성에 힘쓰는 한편, 실무자에 대한 지속적인 보안기술 교육을 통해 좋은 성적을 거둘 수 있었다.