01.사이버보안진단의날 이행결과보고서(최종) (B5양식본) · 2018. 10. 19. · -...
41
한국과학기술정보연구원
Transcript of 01.사이버보안진단의날 이행결과보고서(최종) (B5양식본) · 2018. 10. 19. · -...
-
『사이버․보안 진단의 날』의
효율적 운영을 위한 전략적 방안
한국과학기술정보연구원
-
머 리 말
2008년 10월 이후로 범정부 차원에서 국가기밀 유출 예방
및 보안의식 제고를 위하여 정부 산하 공기업 및 공공기관을
대상으로 매월 세 번째 수요일을 『사이버․보안 진단의 날』
로 지정하여 시행하고 있습니다.
이에 한국과학기술정보연구원에서는 올해를 원내 정보보호
체계 구축을 위한 원년으로 선포하고 매월 세 번째 수요일을
『사이버․보안 진단의 날』로 지정하여 업무용 PC에 대한
안전 진단 및 취약점 점검을 주기적으로 수행하고 있습니다.
또한, 효과적이며 효율적인 운영을 위해 4-Practice 전략을 수
립하여 직원들의 보안의식 제고 및 적극적인 참여를 위한 전
방위적인 지원을 아끼지 않고 있습니다.
본 보고서는 한국과학기술정보연구원에서 2009년 한 해 동
안 시행한 『사이버․보안 진단의 날』에 대한 참여현황 및
점검문항별 분석을 통하여 현행 운영 방식에 대한 문제점을
도출하고, 이를 해결할 수 있는 향후 진행 방향을 제시하고자
합니다.
-
이를 통해, 원내 정보보호 수준 향상, 정보시스템의 안전성
및 신뢰도 향상과 더불어 과학기술 정보서비스의 안정적 제공
을 통한 세계일류 정보연구기관을 지향하는 한국과학기술정보
연구원의 정보보안 체제 구축을 위한 기틀을 마련하는데 의미
가 있습니다.
끝으로 본 보고서 집필을 위해 수고를 아끼지 않은 연구원
들에게 감사드리며, 본 보고서에 수록된 내용은 연구자 개인의
의견으로서 한국과학기술정보연구원의 공식 의견이 아님을 밝
혀 두고자 합니다.
2009년 11월
한국과학기술정보연구원
정보화전략팀
-
- I -
목 차
Ⅰ
사이버․보안 진단의 날 개요 ·········································1
1. 목 적·····················································································1
2. 현 황 및 목 표·····································································1
Ⅱ
추진 체계 및 추진 전략 ················································4
1. 추진 체계··············································································4
2. 추진 전략··············································································5
Ⅲ
현황 분석 ·········································································10
1. 참여 현황 분석···································································10
2. 문항별 현황 분석·······························································14
Ⅳ
수행 성과 및 전략적 방안 ···········································32
1. 수행 성과············································································32
2. 사이버․보안 진단의 날 효율적 운영을 위한 전략적 방안 33
-
- II -
그 림 목 차
[그림 1] KISTI 사이버 ․ 보안 진단의 날 추진 체계························04[그림 2] 기관 전체 참여 현황·························································11
[그림 3] 본부별 참여 현황·······························································12
[그림 4] 본부별 월별 참여 현황······················································13
[그림 5] 부서별 참여 현황·······························································14
[그림 6] 백신 설치 및 실행 여부(기관전체) ···································16
[그림 7] 백신 설치 및 실행 여부(본부별) ·······································16
[그림 8] 백신 설치 및 실행 여부(부서별) ·······································17
[그림 9] 백신 업데이트 여부(기관전체) ···········································18
[그림 10] 백신 업데이트 여부(본부별) ············································18
[그림 11] 백신 업데이트 여부(부서별) ············································19
[그림 12] 운영체제 및 MS Office 패치 여부(기관전체) ·················20
[그림 13] 운영체제 및 MS Office 패치 여부(본부별) ····················20
[그림 14] 운영체제 및 MS Office 패치 여부(부서별) ····················21
[그림 15] 로그인 패스워드 안전성 여부(기관전체) ························22
[그림 16] 로그인 패스워드 안전성 여부(본부별) ····························22
[그림 17] 로그인 패스워드 안전성 여부(부서별) ····························23
[그림 18] 로그인 패스워드 분기 1회 변경 여부(기관전체) ···········24
-
- III -
[그림 19] 로그인 패스워드 분기 1회 변경 여부(본부별) ···············24
[그림 20] 로그인 패스워드 분기 1회 변경 여부(부서별) ···············25
[그림 21] 화면보호기 암호 설정 여부(기관전체) ····························26
[그림 22] 화면보호기 암호 설정 여부(본부별) ································26
[그림 23] 화면보호기 암호 설정 여부(부서별) ································27
[그림 24] 사용자 공유 폴더 해제 여부(기관전체) ··························28
[그림 25] 사용자 공유 폴더 해제 여부(본부별) ······························28
[그림 26] 사용자 공유 폴더 해제 여부(부서별) ······························29
[그림 27] USB Guard 설치 여부(기관전체) ·····································30
[그림 28] USB Guard 설치 여부(본부별) ········································30
[그림 29] USB Guard 설치 여부(부서별) ········································31
-
- IV -
표 목 차
[표 1] 현행 사이버․보안 진단의 날 운영 절차·······························02[표 2] 향후 사이버․보안 진단의 날 운영 절차·······························03[표 3] 월별 공통 점검 사항 및 중점 점검 사항·······························13
[표 4]“내PC지키미” 점검 문항 ···················································15
-
- 1 -
Ⅰ 사이버․보안 진단의 날의 개요
1.1 목 적
한국과학기술정보연구원(이하 ‘KISTI’)은 지속적으로 증가하
고 있는 외부 위협으로부터 원내 정보자원 및 중요정보를 안
전하게 유지 및 관리하기 위한 일환으로 매월 세 번째 수요일
을 『사이버․보안 진단의 날』로 지정하여 업무용 PC에 대
한 안전 진단 및 취약점 점검을 주기적으로 수행하고 있다. 이
를 위해 4-Practice 전략을 수립하여 직원들의 보안의식 제고
및 적극적인 참여를 독려하고 있으며 발견된 취약점을 실시간
으로 개선하기 위한 전방위적인 지원을 아끼지 않고 있다. 이
를 통해 원내 정보보호 수준 향상, 정보시스템의 안전성 및 신
뢰도 향상을 도모할 수 있으며 더 나아가 과학기술 정보서비
스의 안정적 제공을 통한 세계일류 정보연구기관을 지향하는
KISTI에 정보보안 체제 구축을 위한 기틀을 마련하는데 있다.
1.2 현 황 및 목 표
현재 KISTI에서는 매월 주기적으로 수행해야 할 공통 점검
사항과 월별 중점 사항을 마련하여 체계적으로 『사이버․보
-
- 2 -
안 진단의 날』을 운영하고 있다. 매월 이행당일 출근한 직원
(출장, 휴가, 파견근무 제외)을 대상으로 분석한 참여율 분석
결과에 따르면 평균 67%이상으로 그 수치는 출장, 휴가, 파견
근무 등의 미이행자를 모두 포함할 경우 70%를 상회할 것으
로 예상된다. 이러한 수치는 『정보보호 수준평가』를 기준으
로 정보보호에 대한 관리체계가 이루어지고 검토/평가 실행되
는 단계인 ‘Defined'로 평가할 수 있다.
『사이버․보안 진단의 날』을 현행보다 더욱 안정화하고
고도화하기 위해서는 80% 이상의 참여율이 요구되며 이를 위
해 측정 가능한 목표치 설정 및 운영, 지속적인 홍보 활동, 기
관차원에서의 지원 그리고 소속 구성원들의 적극적인 참여가
동반되어야 할 것이다. 다음 [표 1]은 KISTI에서 현재 운영 중
인 『사이버․보안 진단의 날』절차를 보여주고 있으며 [표 2]
는 향후 운영하고자 하는 절차를 나타낸다.
•
•
•
•
•
[표 1] 현행 사이버 ․ 보안 진단의 날 운영 절차
-
- 3 -
•
•
•
•
•
•
[표 2] 향후 사이버 ․ 보안 진단의 날 운영 절차
-
- 4 -
Ⅱ 추진 체계 및 추진 전략
2.`1 추진 체계
『사이버․보안 진단의 날』운영을 효과적으로 진행하기 위
하여 KISTI에서는 원내 정보보호 담당부서인 정보화전략팀에
서 『사이버․보안 진단의 날』이행과 관련된 홍보, 현장 실사
등과 같은 운영 업무와 이행 결과 취합 및 확인, 미수행자 시
행 권고 등의 관리 업무를 총괄하고 있다. 또한 각 부서별, 본
부별 담당자를 지정하여 『사이버․보안 진단의 날』에 대한
취지 및 이행 교육을 통해 전사적인 차원에서 운영될 수 있도
록 하는 기틀을 마련하였다.
[그림 1]KISTI 사이버 • 보안 진단의 날 추진 체계
-
- 5 -
2.`2 추진 전략
범정부 차원에서 전체 공기업 및 공공기관을 대상으로 『사
이버․보안 진단의 날』을 시행함에 있어, KISTI에서도 효과적
이고 효율적으로 『사이버․보안 진단의 날』을 운영하기 위
하여 연초에 월별 중점 점검 사항을 선정하였으며 이를 뒷받
침하기 위한 수행 4P전략(사전전략 3단계, 사후전략 1단계)을
수립하여 체계적으로 추진하고 있다.
2.2.1 사전전략(3P)
사전전략은 전사적인 차원에서 『사이버․보안 진단의 날』
이 이행될 수 있도록 독려하는 것으로 기관내부 인트라 공지
사항을 통한 홍보 활동, 협조문을 통한 이행 요청 활동, 『사
이버․보안 진단의 날』이행 당일 사내 방송을 통한 홍보 활
동을 단계별로 진행하고 있다.
2.2.2 사후전략(1P)
사후전략은 『사이버․보안 진단의 날』이 원활하게 이행되
었는가에 대한 점검활동으로 각 부서별로 보내온 수행결과를
취합하고 분석함과 동시에 매월 2 ~ 3개 부서를 선정하여 매
월 제시한 중점 사항을 현장 방문하여 실사 점검하는 활동을
진행하고 있다. [표 2]는 『사이버․보안 진단의 날』현장 방
-
- 6 -
○
○
○
○
○
○
○
○
○
○
[표 3] 월별 공통 점검 사항 및 중점 점검 사항
문 실사를 위한 공통 점검 사항 및 월별 중점 사항이다.
-
- 7 -
○
○
○
○
○
○
○
○
○
○
○
-
- 8 -
○
○
○
○
○
○
○
○
○
○
-
- 9 -
○
○
-
- 10 -
Ⅲ 현황 분석
『사이버․보안 진단의 날』의 운영은 시험 운영 기간(1월
~ 3월)을 거쳐 2009월 4월부터 본격적으로 운영을 하였으며
2009년 6월의 경우 『사이버․보안 진단의 날』을 진행하였으
나 이행결과 제출 및 취합은 “정보보안 및 개인정보보호” 교
육 참석 현황으로 대체하였다. 또한 현황 분석은 『사이버․보
안 진단의 날』이행 프로그램인 “내PC지키미”를 각 부서별로
자율 실행하고 정보화전략팀에 제출한 결과를 토대로 작성하
였으며 출장, 휴가, 파견 근무자는 고려하지 않았다.
3.1 참여 현황 분석
3.1.1 기관 전체 참여 현황 분석
2009년 1월 이후에 KISTI 『사이버․보안 진단의 날』전체
참여율은 평균 67.27%로 분석되었다. 분석결과에서 특이사항
은 정보화전략팀에서 각 부서를 방문하여 시행을 권고한 시험
운영 기간 (1월 ~ 3월)의 참여율은 평균 86.35%로 매우 높았
으나 부서에서 자율적으로 시행하고 그 결과를 정보화전략팀
에 제출하기 시작한 4월 ~ 9월의 참여율은 평균 52.35%로 매
우 저조함을 확인할 수 있다. 따라서 위와 같은 문제가 지속적
-
- 11 -
이지 않도록 하기 위한 대안 마련이 시급한 실정이다.
[그림 2]는 기관 전체 참여 현황을 그래프로 나타낸 것으로
3월(92.22%)을 최고 정점으로 참여율이 급격하게 떨어짐을 보
이고 있다.
76.08
90.77 92.22
69.67
38.80
55.99 55.56 59.04
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
기관전체참여현황(단위 : %)
[그림 2] 기관 전체 참여 현황
-
- 12 -
3.1.2 본부별 참여 현황 분석
본부별 참여 현황 분석은 원장실, 감사부, 각 본부장실, 노동
조합을 제외한 실무 부서만을 대상으로 하였다. 본부별 참여
현황 분석 결과 평균 61.55%의 참여율을 보였으며 [그림 3]에
서 확인 할 수 있듯이 정보유통본부 80.14%, 슈퍼컴퓨팅본부
77.23%, 정보분석본부 59.26%, 원장직속부서 47.72%, 기획관리
본부 43.39%의 참여율을 보였다.
특이 사항은 최고 참여율을 보인 정보유통본부와 최저 참여
율을 보인 기획관리본부와의 편차가 37%이상 된다는 점에서
이를 해결하기 위한 대안 마련이 시급하다.
47.72
80.14
59.26
77.23
43.39
0
10
20
30
40
50
60
70
80
90
100
원장직속부서 정보유통본부 정보분석본부 슈퍼컴퓨팅본부 기획관리본부
본부별참여현황(단위 : %)
[그림 3] 본부별 참여 현황
-
- 13 -
69.84 77.35
82.30 76.35
31.65
48.67 48.13 53.68
0.00
10.00 20.00
30.00
40.00 50.00
60.00
70.00 80.00
90.00
100.00 110.00
120.00
1월 2월 3월 4월 5월 7월 8월 9월
본부별월별참여현황
원장직속부서 정보유통본부 정보분석본부
슈퍼컴퓨팅본부 기획관리본부 월별평균
(단위 : %)
[그림 4] 본부별 월별 참여 현황
3.1.3 부서별 참여 현황 분석
부서별 참여 현황 분석도 본부별 참여 현황 분석과 마찬가
지로 원장실, 감사부, 각 본부장실, 노동조합을 제외한 실무부
서만을 대상으로 하였다. 부서별 참여 현황 분석은 [그림 5]와
같으며 슈퍼컴퓨팅본부 산하에 기반기술개발실이 가장 높은
132.87%의 참여율을 보였으며 상대적으로 기획관리본부 산하
에 행정지원실이 8.75%로 최저 참여율을 보였다. 특히 기반기
술개발실, 정보유통전략팀, 정보기술연구실 3개 부서의 경우
100% 초과하는 참여율을 보이고 있는데 이들 부서의 경우 업
무용 PC뿐만 아니라 부서내 모든 PC에 대하여 “내PC지키미”
를 수행한 것으로 판단된다.
-
- 14 -
[그림 5] 부서별 참여 현황
3.2 문항별 현황 분석
『사이버․보안 진단의 날』운영 프로그램인 “내PC지키미”
프로그램은 총 10개 문항에 대해 업무용 PC에 대한 취약점
분석 및 안전 진단을 수행한다. 수행결과로는 취약점이 없음을
의미하는 “안전”, 일시적으로 점검이 지체되는 “점검불가”, 점
검 항목에 대해 취약점이 존재함을 의미하는 “취약”으로 화면
상에 표현된다. 다음의 [표 4]는 “내PC지키미” 점검 문항을 보
여주고 있으며 9번 문항은 해당 프로그램(DocuMon) 오류로
인해 잠정적으로 점검을 중단하였으며, 7번과 10번은 동일 문
항으로 간주하여 7번 문항 하나만을 대상으로 분석하였다
-
- 15 -
분류 점검 문항
[표 4] “내PC지키미 점검 문항”
3.2.1 바이러스 백신 설치 및 실행 여부
본 문항은 바이러스 백신 프로그램이 설치되어 있고 주기적
으로 실행되는지를 확인하기 위한 것으로 외부 위협으로부터
내부 정보자원 및 중요정보를 보호하기 위한 1차적 수단인 백
신 설치 의무화를 지원하기 위한 항목이다. 각 부서별로 제출
된 수행 결과 자료를 기준으로 기관 전체 바이러스 백신 프
로그램의 설치율은 97.66%로 분석되었다.
-
- 16 -
▣ 기관 전체 바이러스 백신 설치 및 실행 여부
100.00 94.19 94.76
98.82 96.91 97.25 99.69 99.70
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
백신설치및실행여부
(기관전체)(단위 : %)
[그림 6] 백신 설치 및 실행 여부(기관전체)
▣ 본부별 바이러스 백신 설치 및 실행 여부
100.00 95.29 96.23 97.08 91.54 97.43 100.00 100.00
0.00 10.00 20.00 30.00 40.00 50.00 60.00 70.00 80.00 90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
백신설치및실행여부
(본부별 )
원장직속부서 정보유통본부 정보분석본부
슈퍼컴퓨팅본부 기획관리본부 평균
(단위 : %)
[그림 7] 백신 설치 및 실행 여부(본부별)
-
- 17 -
▣ 부서별 바이러스 백신 설치 및 실행 여부
[그림 8] 백신 설치 및 실행 여부(부서별)
3.2.2 바이러스 백신 최신 패치 여부
본 문항은 바이러스 백신 프로그램이 설치되어 있고 주기적
으로 업데이트 되는가를 점검하기 위한 것으로 각 부서별로
제출된 수행 결과 자료를 기준으로 할 때 평균 97.41%로 바
이러스 백신 설치율 97.66% 보다 낮은 편이지만 문항에 대한
수치만으로 볼 때 상당히 높은 비율이라고 할 수 있다. 특히,
원장 직속부서, 슈퍼컴퓨팅본부, 기획관리본부의 경우 백신 관
리 소프트웨어가 설치되어 타 본부에 비해 패치가 잘 이루어
지고 있음을 확인할 수 있다. 단, 세 개의 본부 중에서 미실행
PC는 VMS 에이전트를 설치하지 않은 것으로 판단된다.
▣ 기관 전체 바이러스 백신 최신 패치 여부
-
- 18 -
99.72 93.95 94.50
98.82 96.91 96.94 99.38 97.00
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
백신업데이트여부
(기관전체)(단위 : %)
[그림 9] 백신 업데이트 여부(기관전체)
▣ 본부별 바이러스 백신 최신 패치 여부
99.80 96.01 95.73 97.66 93.23
97.74 98.35 95.29
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
백신업데이트여부
(본부별)
원장직속부서 정보유통본부정보분석본부 슈퍼컴퓨팅본부기획관리본부 평균
(단위 : %)
[그림 10] 백신 업데이트 여부(본부별)
-
- 19 -
▣ 부서별 바이러스 백신 최신 패치 여부
[그림 11] 백신 업데이트 여부(부서별)
3.2.3 운영체제 및 MS Office의 최신 보안 패치 여부
본 문항은 윈도우 계열 운영체제의 대한 중요 업데이트가
주기적으로 이루어지고 있는지 그리고 Microsoft Office 제품
에 대한 중요 업데이트가 주기적으로 이루어지고 있는지를 점
검하는 항목이다. 각 부서별로 제출된 수행 결과 자료를 기준
으로 평균 90.08%의 PC에서 업데이트가 잘 이루어지고 있는
것으로 분석되었다.
그러나 해당 점검 문항에 한해서 매월 세 번째 수요일 동시
다발적으로 공기업 및 공공기관이 Microsoft 업데이트 서버에
접속함으로써 점검이 원활하게 이루어지지 않는 “점검불가”
현상이 자주 발생하였다.
-
- 20 -
▣ 기관 전체 운영체제 및 MS Office 패치 여부
95.47
79.66
90.05 82.35
92.27 88.07 86.88 85.29
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
운영체제및MS Office 패치여부
(기관전체)(단위 : %)
[그림 12] 운영체제 및 MS Office 패치 여부(기관전체)
▣ 본부별 운영체제 및 MS Office 패치 여부
97.19 91.46
83.57 83.87 83.12 85.36 83.97 76.92
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
운영체제및MS Office 패치여부
(본부별)
원장직속부서 정보유통본부 정보분석본부
슈퍼컴퓨팅본부 기획관리본부 평균
(단위 : %)
[그림 13] 운영체제 및 MS Office 패치 여부(본부별)
-
- 21 -
▣ 부서별 운영체제 및 MS Office 패치 여부
[그림 14] 운영체제 및 MS Office 패치 여부(부서별)
3.2.4 로그인 패스워드 안전성 여부
본 문항은 윈도우 계열 운영체제의 대한 로그인 패스워드
안전성 여부를 점검하는 것으로 안전한 패스워드의 조건(문자,
숫자, 특수문자 조합 8자리 이상)을 만족하는가에 대한 항목이
다. 더욱이 다수의 사용자가 사용의 편리함과 기억하기 쉽다는
이유로 자신의 전화번호, 이름을 패스워드로 설정하여 사용하
는 경우가 비일비재 하며, KISTI에서는 이를 예방하기 위해
정보보안지침에 안전한 패스워드 조건을 명시하여 강제하고
있다. 분석 결과에 따르면 KISTI에서는 94.38%의 사용자가
안전한 패스워드를 사용하는 것으로 분석되었다.
-
- 22 -
▣ 기관 전체 로그인 패스워드 안전성 여부
97.17 91.53 90.05 90.00
94.33 93.58 97.81 96.10
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
로그인패스워드안전성여부
(기관전체)(단위 : %)
[그림 15] 로그인 패스워드 안전성 여부(기관전체)
▣ 본부별 로그인 패스워드 안전성 여부
97.87 94.48 91.21 84.47 81.47
91.39 97.29
93.22
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
로그인패스워드안전성여부
(본부별)
원장직속부서 정보유통본부 정보분석본부
슈퍼컴퓨팅본부 기획관리본부 평균
(단위 : %)
[그림 16] 로그인 패스워드 안전성 여부(본부별)
-
- 23 -
▣ 부서별 로그인 패스워드 안전성 여부
[그림 17] 로그인 패스워드 안전성 여부(부서별)
3.2.5 로그인 패스워드 분기 1회 변경 여부
본 문항은 윈도우 계열 운영체제의 대한 로그인 패스워드
주기적 변경(분기 1회)을 점검하는 항목으로 국가정보원 및
KISTI 보안지침에는 로그인 패스워드에 대하여 분기 1회 변
경하도록 강제하고 있다. 각 부서별로 제출된 수행 결과를 기
준으로 평균 94.38%의 사용자가 주기적인 패스워드 변경을
수행하고 있는 것으로 분석되었다. 그러나 일부 PC에서 패스
워드 사용 만료 기간을 90일 이내로 설정한 경우에 “내PC지
키미”에서 오탐이 발생되는 현상을 확인할 수 있었다.
-
- 24 -
▣ 기관 전체 로그인 패스워드 분기 1회 변경 여부
95.47 91.28 89.01 90.88
84.02 90.21
96.25 97.90
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
로그인패스워드분기 1회변경여부
(기관전체)(단위 : %)
[그림 18] 로그인 패스워드 분기 1회 변경 여부(기관전체)
▣ 본부별 로그인 패스워드 분기 1회 변경 여부
96.61 94.18 90.04
85.19 85.60 87.48
96.49 97.07
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
로그인패스워드분기 1회변경여부
(본부별)
원장직속부서 정보유통본부 정보분석본부
슈퍼컴퓨팅본부 기획관리본부 평균
(단위 : %)
[그림 19] 로그인 패스워드 분기 1회 변경 여부(본부별)
-
- 25 -
▣ 부서별 로그인 패스워드 분기 1회 변경 여부
[그림 20] 로그인 패스워드 분기 1회 변경 여부(부서별)
3.2.6 화면보호기 암호 설정 여부
본 문항은 윈도우 계열 운영체제를 사용하는 사용자가 자리
를 비웠을 경우에 발생할 수 있는 정보 유출을 방지하기 위한
대책이 있는가에 대한 것으로 국가정보원 및 KISTI보안지침에
는 사용자가 10분 이상 자리를 비울 경우 화면보호기 및 암호
를 설정하도록 강제하고 있다. 분석결과 KISTI의 경우
94.02%의 사용자가 화면보호기 암호 설정을 하고 있음을 확
인할 수 있다.
-
- 26 -
▣ 기관 전체 화면보호기 암호 설정 여부
98.02 91.53 90.05 92.94 91.75
94.19 97.50 97.00
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
화면보호기암호설정여부
(기관전체)(단위 : %)
[그림 21] 화면보호기 암호 설정 여부(기관전체)
▣ 본부별 화면보호기 암호 설정 여부
98.62 94.55 91.20
86.92 94.19 93.80
97.55 95.52
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
화면보호기암호설정여부
(본부별)
원장직속부서 정보유통본부 정보분석본부
슈퍼컴퓨팅본부 기획관리본부 평균
(단위 : %)
[그림 22] 화면보호기 암호 설정 여부(본부별)
-
- 27 -
▣ 본부별 화면보호기 암호 설정 여부
[그림 23] 화면보호기 암호 설정 여부(부서별)
3.2.7 사용자 공유 폴더 해제 여부
본 문항은 윈도우 계열 운영체제를 사용하는 사용자들 사이
에 공유 폴더를 설정함으로써 발생할 수 있는 정보유출을 방
지하기 위한 점검항목이다. KISTI의 경우 약 5% 미만의 사용
자들이 공유 폴더를 사용하고 있으며 특히 용량이 큰 파일을
취급하는 부서에서 공유 폴더를 사용하는 비율이 높은 것으로
분석되었다.
-
- 28 -
▣ 기관 전체 사용자 공유 폴더 해제 여부
99.15
87.41 90.31 94.71 91.75 94.80
97.50 95.80
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
사용자공유폴더해제여부
(기관전체)(단위 : %)
[그림 24] 사용자 공유 폴더 해제 여부(기관전체)
▣ 본부별 사용자 공유 폴더 해제 여부
99.52
86.62 90.93
94.56 95.36 95.59 98.00 90.10
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
사용자공유폴더해제여부
(본부별)
원장직속부서 정보유통본부 정보분석본부
슈퍼컴퓨팅본부 기획관리본부 평균
(단위 : %)
[그림 25] 사용자 공유 폴더 해제 여부(본부별)
-
- 29 -
▣ 본부별 사용자 공유 폴더 해제 여부
[그림 26] 사용자 공유 폴더 해제 여부(부서별)
3.2.8 USB Guard 설치 여부
본 문항은 윈도우 계열 운영체제에서 USB 자동실행으로 전
염될 수 있는 바이러스나 웜을 차단하기 위해 USB 자동실행
을 금지시키는 프로그램인 “USB Guard”에 대한 설치 유․무를 점검하는 항목이다. 각 부서별로 제출된 수행 결과 자료를 기
준으로 할 때 평균 94.18%의 사용자들이 “USB Guard” 프로
그램을 설치하여 자동실행을 금지하고 있는 것으로 분석되었
다.
-
- 30 -
▣ 기관전체 USB Guard 설치 여부
97.17 93.22
88.74 94.41
82.99
92.66 95.63 97.30
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
USB Guard 설치여부
(기관전체)(단위 : %)
[그림 27] USB Guard 설치 여부(기관전체)
▣ 본부별 USB Guard 설치 여부
97.96 95.52 90.23 93.18 89.78 93.08
95.31 96.42
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
80.00
90.00
100.00
1월 2월 3월 4월 5월 7월 8월 9월
USB Guard 설치여부
(본부별)
원장직속부서 정보유통본부 정보분석본부
슈퍼컴퓨팅본부 기획관리본부 평균
(단위 : %)
[그림 28] USB Guard 설치 여부(본부별)
-
- 31 -
▣ 부서별 USB Guard 설치 여부
[그림 29] USB Guard 설치 여부(부서별)
-
- 32 -
Ⅳ 수행 성과 및 향후 방향
4.1 수행 성과
최근 일부 거대 기업의 고객정보 유출 사고를 계기로 내부
정보 유출에 따른 부작용이 심각한 사회적 문제로 대두되고
있다. 이러한 중대 사고로부터 원내 정보자원, 개인정보 및 중
요정보를 안전하게 보호하고 유지하기 위해서는 인증, 접근제
어 등 다양한 보안 기술이 요구된다. 그러나 대부분의 정보 유
출 사고가 사용자 또는 관리자의 실수로 인한 인재라는 점에
서 구성원 개개인의 보안인식 전환 및 강화가 무엇보다 중요
하다고 할 수 있다.
KISTI에서는 『사이버․보안 진단의 날』운영에 대한 인식
전환과 적극적인 참여를 독려하기 위해 전직원을 대상으로 주
기적인 정보보호 교육 및 사이버․보안 진단의 날 이행 교육
을 수행하였으며 이를 통해 구성원들의 보안의식 고취 및 제
고와 더불어 『사이버․보안 진단의 날』운영 효과를 극대화
할 수 있었다.
또한, 『사이버․보안 진단의 날』운영을 통해 업무용 PC에
대한 취약점 점검 및 안전 진단 그리고 현장 실사를 통해 발
견된 취약점을 실시간으로 개선하고 미비사항을 조치하는 등
-
- 33 -
의 개인정보 및 원내 중요 정보 유출을 사전에 예방할 수 있
는 다각적인 정보보호 활동을 수행하고 있다. 이를 통해 원내
정보보호 수준 향상, 정보시스템의 안전성 및 신뢰도 향상을
도모할 수 있으며 더 나아가 과학기술 정보서비스의 안정적
제공을 통한 세계일류 정보연구기관을 지향하는 KISTI 정보보
안 체제 구축을 위한 기틀을 마련하였다.
4.2 사이버․보안 진단의 날 효율적 운영을 위한 전략 적 방안
『사이버․보안 진단의 날』을 체계화하고 안정화하기 위하
여 KISTI에서는 본부별, 부서별 측정 가능한 목표치를 설정하
고 집중화된 관리 및 운영 체계를 구축함과 동시에 지속적인
홍보 활동과 연구원들의 적극적인 참여를 위한 다각적인 전략
및 방안을 마련하고자 한다.
이에 대한 핵심 방안의 일환으로 현재 “사이버안전관리센터
(가칭)” 구축을 추진 중에 있으며, “사이버안전관리센터(가
칭)”에는 직원들의 보안의식 제고를 위한 사이버 정보보안 교
육 기능(매월), 정보보안수칙 10계명 교육 기능(매일), 실시간
사이버 위협 경보 및 대처법 제공 기능, 보안 필수프로그램 배
포 기능, 사이버ㆍ보안 진단의 날 지원 기능, 최신 정보보안
이슈를 소개하는 보안뉴스 제공 기능, 정보보안 종합 안내 기
-
- 34 -
능, 원클릭 사용자PC 지원 서비스 등의 다양한 기능이 제공되
는 총체적인 보안 관리 체제를 구축함으로써 언제 어디서나
정보보안의 생활화를 이룰 수 있도록 하고자 한다.
