취약점 분석·평가 주기 2년→1년으로 단축

행정안전부는 주요 정보통신기반시설의 취약점 분석·평가 기준이 개정됨에 따라 2년이었던 시설의 취약점 점검 주기를 매년 실시하는 것으로 강화한다고 18일 밝혔다.

행안부는 매년 정기적으로 취약점 분석 및 평가를 실시하고, 대상시설에 중대한 변화가 있거나 관리기관이 필요하다고 판단할 경우 1년이 되지 않아도 정기 분석 및 평가를 실시할 수 있도록 관련 기준을 변경했다. 기존에는 취약점 분석 및 평가를 2년마다 정기적으로 실시했고, 미실시 연도에는 임의적 기준에 따라 분석·평가를 진행해 왔다.

행안부는 원자력발전소, 송유관 등 국가기반시설을 공격하기 위해 개발된 컴퓨터바이러스 ‘스턱스넷’(stuxnet) 등 새로운 보안 위협이 등장하고, 취약점이 노출됨에 따라 관련 기준을 강화한다고 설명했다. 이를 위해 기존의 취약점 분석·평가 항목에 제어시스템과 데이터베이스, PC 등 모두 82개의 새로운 분석항목을 추가하기로 했다.

또 점검항목에 따라 상·중·하로 평가하던 기존 방식을 점수로 환산해 기관별로 정보보호 수준을 정량적으로 평가하는 방법을 추가해 시범 적용할 수 있도록 했다. 새롭게 실시하는 정량 평가는 각 점검항목의 중요도에 따라 점수를 지정하고, 100점 만점으로 점수를 도출하는 방식으로 이뤄진다.

각 기관은 취약점을 평가하고 위험등급이 ‘상’에 해당할 경우 조기에 문제를 해결해야 하고 ‘중’ 또는 ‘하’는 중기나 장기적으로 개선 방향을 수립해야 한다.

안석기자 ccto@seoul.co.kr