2014년 10월 20일 여의도 전경련회관에서 안전행정부 주최로 개최된 "UN 전자정부 평가 세계 1위 기념식 및 학술 세미나"에서 고려대 김형중교수님이 발표한 "전자정부 3.0 프레임워크에서 빅데이터와 클라우드 보안이슈" 자료

1. 전자정부3.0에서클라우드•빅데이터보안이슈
2014. 10. 20
김형중
khj-korea.ac.kr

2. UN전자정부발전4단계
제한적정보제공
[1단계]
착수
콘텐츠
및
정보의주기적현행화
[2단계]
발전
비자, 여권,
출생기록등
온라인발급
조세및
수수료등
전자납부
[3단계]
전자거래
기관간경계
없는온라인
서비스제공
공공영역과
민간서비스
융합
[4단계]
통합처리

3. 전자정부발전역사
단계
시기
핵심
추진내용
전자정부태동기
1987~1994
행정업무전산화
주민,부동산, 자동차, 고용등행정DB구축
전산망보급확장과이용촉진에관한법률제정(1986)
전자정부기반조성기
1995~2002
행정업무정보화확산
조달, 특허, 국세, 관세, 여권발급등단위업무별행정정보화확대
G4C, 전자조달, 국가재정정보등전자정부11대과제추진
정보화촉진기본법제정(1995)
전자정부법제정(2001)
전자정부성장기
2003~2007
전자정부고도화
정보공유확대, 통합전산환경등범정부차원연계/통합사업추진
전자정부성숙기
2008~현재
전자정부성숙
민원서비스의선진화, 전산자원통합등정보화자원및서비스통합사업추진
정부3.0 기본계획수립및추진(2013~)

4. 전자정부3.0
•전자정부3.0은정보공개확대, 공공정보의개방,정부내협업시스템구축, 민관협업확대, 지식경영시스템구축, 맞춤형서비스제공등을통해유능하고투명하며서비스적정부를구현
•클라우드컴퓨팅, 빅데이터등끊임없이새로이등장하는신기술은전자정부를지속적으로진화, 발전시키는원동력

5. 클라우드•빅데이터환경
•UN전자정부평가3회연속1위달성계기로전자정부패러다임을행정내부효율화, 대국민온라인서비스중심에서수요자맞춤형서비스, 클라우드기반의전자정부구축으로전환
•기관간시스템및데이터연계통합을확대하여대국민맞춤형서비스제공하고클라우드및빅데이터기반의과학적행정체제구축
•주요대국민서비스에대한정보보호등급제확대, 시스템연계통합에따른정보보호등안전한전자정부관리체계확립

6. G-Cloud
•정부통합전산센터는47개중앙행정기관18,000여대정보자원의효율적운용을통해24시간365일, 중단없는행정서비스제공
•제1센터(대전)에국민생활관련25개기관, 제2센터(광주)에사회질서관련22개기관입주
•G-Cloud기술전담팀(TAC)을통해대전과광주센터의G-Cloud아키텍처진단(시스템, 소프트웨어), 트래픽경로최적화방안등발전방향을제시
•미국조달청(GSA)의공공분야cloud보안인증프로그램인FedRAMP인증심사항목을활용해보안성검증수행및개선방안을도출하는한편, Cloud전환을위한업무용SW 개발도지원

7. 영국정부의보안등급
보안분류
내용
공공데이터(Official)
•공공부문에의해생성되거나처리되는대다수의정보
•분실, 도난또는언론에공개되어도피해가거의발생하지않는일상적인데이터
중요기밀정보
(Secret)
•보호수단이요구되는민감한(sensitive) 정보
•국방시스템이나국제관계에심각한타격을입힐수있는데이터(대형범죄등과관련된중요조사자료등포함)
일급기밀정보
(Top Secret)
•정부부처가보유한가장민감도가높은정보
•데이터유출또는확산시영국국민또는동맹국의경제및보안체계에심각한위협이될수있는정보포함
•대다수정부자료들을‘공공데이터’카테고리에포함시켜보다자유로운데이터활용촉진예정
•정부데이터의약90%에해당하는‘공공데이터’의경우상대적으로엄격한보안체계가적용되지않기때문에, 이를전문적으로다루는클라우드사업자가다수출현할것으로예상

8. SW개발보안
•해킹등사이버공격의원인인보안약점을개발전체단계에서사전에제거, 안전한SW로개발하는기법
•근거: 정보시스템구축·운영지침(행정안전부고시제2012.25호)
•행정기관및공공기관의정보시스템감리대상정보화사업에SW개발보안적용(Secure Coding 적용)
•('12.12월) 40억원이상→ ('14.1월) 20억원이상→ ('15.1월) 감리대상전체
•소스코드(신규개발전체또는유지보수로변경된부분) 중상용SW는제외
•진단기준은SW 보안약점기준(SQL 삽입등43개항목)

9. 클라우드보안
네트워크보안
SSL, VPN 등을암호화통신프로토콜을이용하여안전하게데이터송·수신
DoS, DDoS, EDoS등클라우드서비스의가용성을방해하는각종네트워크공격에대응요구됨
네트워크를통하여전파되는악성코드등에대응하며, 침입탐지시스템도입
클라이언트디바이스보안
클라우드시스템과네트워크뿐만아니라클라우드를이용클라이언트디바이스역시보안성유지가요구됨
악성코드감염과이에따른루트킷및백도어등이설치될경우이를통하여클라우드내데이터유출가능
클라우드아키텍처및시스템보안
시스템의경우보안업데이트유지와식별되는취약성에대한대응요구됨
새로운데이터가들어올경우데이터가안전한데이터인지에대한검증요구
하이퍼바이저등가상화시스템역시자원공유로인하여취약할수있으므로, 악성코드등에대하여대응요구
암호화, 인증및접근제어
통신시뿐만아니라클라우드에보관하는데이터역시기밀성확보를위해반드시암호화가요구됨
클라우드에접근하기위한사용자인증이올바르게설정및관리되어야하며, 접근계정에대하여권한이상의접근이되지않도록접근제어가요구됨클라우드컴퓨팅보안을위한기술적고려사항

10. 클라우드보안
업체선정시관할권, 법률체계고려
데이터이전에따라데이터소재지의국가혹은기관과우리나라와의사법관할권에대하여사전에고려필요
해당국가혹은기관의법·제도준거성확보를위하여사전에이용목적과이용범위, 해당국가법체계등에대한충분한고려및검토가요구됨
클라이언트이용정책마련
기존업무환경에서변화함에따라클라우드환경을고려한정보보호정책및클라우드이용정책이요구됨
데이터통제권상실에따른위험이있는자료, 국외이전이허용되지않는금융및민감개인정보등은클라우드환경을이용하지않도록통제필요
데이터통제권, 가용성고려계약
클라우드업체선정에따른종속성과데이터통제권상실에따른위험등을방지하기위하여클라우드서비스계약시이런문제를고려하여계약
서비스가용성문제가발생할경우이에대한대응및보상을위하여SLA(Service Level Agreement) 계약
BCP, DRP 등사고대응책마련
클라우드에저장된데이터가손상혹은파기당할수있으므로데이터에대한백업등대응책이반드시필요
비즈니스연속성확보를위한BCP와각종사고에대응하기위한DRP 등을통하여사고발생시효율적으로대응하여서비스복구에필요한시간최소화클라우드컴퓨팅보안을위한정책적고려사항

11. 빅데이터보안
동의없는개인정보수집·활용
개인정보를수집·활용시보유및이용에대한동의를받으나, 동의목적외이용및보유기간을초과하여개인정보를보유하고활용할가능성
SNS 등공개된곳에올린정보를활용함에있어사용자의동의미획득문제
정보집적화에따른정보유출위험문제
빅데이터처리를위하여수집한대규모정보가한곳에집중되어보관됨에따라해당정보유출시대규모정보유출의위험성존재
개인정보, 기밀정보의유출위험성
암호화·익명화미처리문제
조직내부의정보등을처리함에있어암호화, 랜덤화등이처리되지않을경우기밀정보의유출위험성
개인정보를처리함에있어익명화하지않을경우특정개인의취향정보수집등개인정보침해문제발생우려
잊혀질권리보장문제
정보주체가제공하거나생성한정보에대하여자기정보통제권에의하여삭제를요구하는‘잊혀질권리’ 보장이슈
수집한정보에대한재산권과정보주체의저작권, 개인정보자기통제권과충돌함에따라잊혀질권리가보장되지못할위험빅데이터보안이슈

12. 빅데이터보안
암호화, 익명화기술적용
처리하는정보의유출에따른위험을방지하기위하여수집한정보및트랜잭션정보암호화
개인정보침해방지를위한익명화
기술적고려사항
개인정보수집·활용정책마련
빅데이터활용을위하여개인정보수집및활용에있어수집항목, 보유기간등에대하여정책마련
잊혀질권리보장을위한창구, 절차마련
정책적고려사항
내부통제·감사, 컴플라이언스준수
내부통제방안마련및정기적인감사수행
각사업영역에서요구하는컴플라이언스식별및이를준수하기위한정책마련
권한관리, 정보유출방지솔루션
내부자에의한정보유출위험을방지하기위하여권한관리시스템도입
정보유출을방지하기위한DLP 솔루션도입

13. 결어
•IOT, 모바일, 빅데이터등첨단IT기술과의연동으로시스템이더욱복잡해져취약점에노출될가능성점증
•적대적데이터마이닝(adversarialdata mining)에신경써야
•시큐어코딩, 오픈소스, 가상화, 분산처리등대비책과취약점분석에더많은자원투입필요

14. 감사합니다