Internet & Security Focus 2013 9월호26

FOCUS

주요 정보통신기반시설 신규 지정 방법론 연구

FOCUS 2

허준

Ⅰ. 서 론

Ⅱ. 주요정보통신기반시설 지정절차 및 문제점

1. 기반시설 지정절차

2. 문제점

Ⅲ. 개선된 신규지정 평가 방법론

1. 개선된 지정평가 방법론 절차

2. 개선된 지정평가 세부기준

Ⅳ. 결론

우리나라는 2001년 정보통신기반 보호법을 재정 하여 국가 주요 인프라 및 서비스와 연계되어

있는 정보통신시설을 특별히 지정, 관리하고 있다. 최근 국가 중요시설에 대한 사이버 테러가

증가하고 있어, 법에 의한 주요 정보통신기반시설의 지정확대를 통한 국가 보호체계 강화의

필요성이 제기 되고 있다. 그러나 기존의 신규지정지침이 추상적이고 기반시설의 분야별 특성을

반영할 수 없는 한계점이 있어, 본 논문에서는 분야별 기반시설의 지정 범위를 정하고 기반시설의

유형별로 평가할 수 있는 개선된 주요정보통신기반시설 신규지정 방법론을 제안하였다.

한국인터넷진흥원 인프라보호기획팀 책임연구원(herjune@kisa.or.kr)

Internet & Security Focus 2013 9월호 27

FOCUS

Ⅰ. 서론

통신, 행정, 교통, 정수, 금융 등 주요사회기반 시설의 정보통신 기술 및 서비스에 대한

의존도가 높아지고, 특히 각종 데이터를 주고 받아야 하는 필요성으로 인터넷 등 외부에

연결되는 경우가 많아짐에 따라 정보통신기반시설을 타켓으로 하는 각종 사이버테러의

노출가능성이 커지고 있다. 사이버상의 공격 추이를 살펴보면 과거에는 개인에 의한 공격, 또는

금전적인 이익을 목표로 특정 기업에 대한 소규모 해킹, DDoS 공격 등이 대다수 였으나 최근

정치적 목적으로 상대국에 피해를 주기위한 국가 기간시설에 대한 테러, 혼란을 유도하기 위해

망신주기성 청와대 등 주요 홈페이지 공격 등 발생하고 있다. 플레임(Flame), 스턱스넷(Stuxnet),

듀큐(Duqu) 등의 대규모의 전문가와 기술력이 투입된 악성코드가 상대국의 핵시설 등

주요시설을 파괴하기 위한 목적으로 개발되어 분쟁지역에서 적국을 공격하기 위한 수단으로

공공연히 활용되고 있다. 또한 미국의 핵심 인프라에 대한 사이버공격 시도건수가 ’09년 9건에

불과하였으나 ’11년에는 198건으로 급증(ICS-CERT, ’13.2) 하는 등 국가・사회적인 안전에

심각한 위협으로 대두되고 있다. 이에 따라 미국의 경우 오바마 대통령은 행정명령을 발표를

통해 주요 기반시설을 사이버공격으로부터 보호하고 민간영역의 활발한 기반보호 활동을

유도하기 위해 기반시설 식별, 보안프레임워크 수립, 인센티브 방안 제시 등의 수립을

지시하였다.

국내에서는 2001년 금융・통신・에너지 등 국가와 사회의 중요한 정보통신기반시설을

체계적으로 보호하기 위하여 정보통신기반보호법을 제정 및 공포하였다 .

정보통신기반보호법에서는 해킹, 컴퓨터바이러스, 기타 악성프로그램 유포를 비롯한 전자적

침해행위 수법의 급속한 발전과 더불어 그 피해가 증가함에 따라 정보통신기반시설에 대한

체계적인 보호와 관리를 할 수 있도록 주요정보통신기반시설의 지정 및 보호를 위한

예방・대응・복구 등과 관련한 규정을 다루고 있다. 이러한 정보통신기반보호 제도의 실효성을

높이기 위해서는 중요한 정보시스템 및 정보통신망 등에 대한 실태 파악 및 지정 확대 노력이

중요하다. 이를 위해 공공은 국정원, 민간은 미래부가 지정조사를 통해 중요성이 객관적으로

인정된 시설에 대해 소관부처에게 기반시설로 지정 관리 될 수 있도록 지정권고 할 수 있게 법을

개정(’08.2)을 통해 ‘09년 이후 교통, 정수, 에너지, 행정 분야의 정보통신기반시설을 기반시설로

대폭 확대하였다.

정부는 향후 ’15년까지 단계적으로 기반시설은 현재 209개에서 400개까지 확대를 추진할

Internet & Security Focus 2013 9월호28

FOCUS

계획임에 따라 효과적인 지정대상 발굴, 지정・관리를 위해서는 지정시설의 분야, 시설의

특수성을 반영하여 시설 식별 및 중요성을 판단하는 세부 기준이 정립되어 있어야 한다. 통신,

금융, 보건, 교통 등 주요 분야에 대한 중요시설 기준이 분야별로 차별화되어 정의되지 않은

경우 중요 시설임에도 지정권고 시설에서 누락되거나 지정 필요성이 낮은 시설이 지정되는 등

지정 절차상의 문제점이 발생할 우려가 있다. 그러나 현행 정보통신기반보호법상에서는

기반시설 지정과 관련하여 국가・사회적 중요성 등 5가지의 큰 틀만을 정의하고 있으며

미래부의 신규지정평가 지침에도 분야별 특성을 반영하고 있지 못하여 이에 대한 세부 정의가

시급히 마련될 필요가 있다. 본 연구에서는 국가의 중요 정보통신기반시설이 정보보호 관리의

사각지대 없이 정보통신기반시설로 지정, 관리되기 위한 신규지정 방법론을 제안하고자 한다.

Ⅱ. 주요정보통신기반시설 지정절차 및 문제점

1. 기반시설 지정절차

관계중앙행정기관은 미래부 또는 국정원에 의해 중요성이 인정된 시설에 대해 지정권고

대상으로 통보받은 시설이거나 부처의 의지에 의해 중요시설로 판단되는 시설이 있을 경우

관리기관에게 지정평가를 하도록 통보한다. 이때 관계중앙행정기관은 기반시설 지정을 위한

평가방법과 세부지정기준 및 이에 대응하는 가중치 등을 제공한다. 관리기관은 통보 받은

지정평가 기준과 지정방법에 따라 해당 기준을 적용할 지정단위를 선정하는데, 지정단위는

하나의 시설 또는 여러 가지의 시설을 포함할 수 있다. 따라서 세부시설지정범위에 대한 지정이

필요하다. 지정단위가 선정되면 그에 해당하는 세부시설지정범위를 선정하고 관리기관의

자체평가를 통해 정보통신기반시설에 지정 될 수 있는지 평가한다. 이 때,

관계중앙행정기관에서 마련한 지정평가기준과 방법을 기준으로 자체평가를 실시한다.

자체평가를 통하여 나온 결과는 관계중앙행정기관에 제출은 하여 심의를 받는다. 관계

중앙행정기관은 관리기관으로부터 제출 받은 자체평가 결과에 대한 타당성 검토를 시행한다.

만약 선정된 선정 된 지정 단위 및 세부시설 지정범위가 적합하지 않다고 판단을 될 경우

관리기관과의 협의를 통하여 조정을 할 수 있다. 관계중앙행정기관은 관리기관에서 제출된

자체평가 결과에 대한 심사를 진행하고 시설 지정에 대한 객관성을 확보하기 위하여

관계전문가로 구성된 협의회를 구성하여 평가 결과에 대한 심의를 한다. 정보통신기반예정시설

Internet & Security Focus 2013 9월호 29

FOCUS

평가의 결과심사는 정보통신기반보호위원회의 심의를 거쳐야 하며 실무위원회는

정보통신기반보호위원회에 제출된 평가 결과 심사에 대하여 심의를 진행할 수 있다.

정보통신기반보호위원회에 제출된 평과 결과 심사는 실무위원회에서 심의를 진행할 수 있으며,

그 결과에 대한 최종적인 심의는 정보통신기반보호위원회에 권한이 있다. 마지막으로 모든

심의가 종료되고 정보통신기반시설로의 지정 필요성이 있다고 판단되면 관계중앙행정기관은

해당 관리기관에 기반시설 지정 확정에 대한 통보를 하며, 이에 따라 관리기관은 취약성 분석

등의 보호체계 구축을 진행한다. 관계 중앙행정기관은 관리기관에 지정 확정을 통보함과 동시에

다음의 사항들을 관보 고시를 해야 한다.

2. 문제점

현재 주요정보통신기반시설은 정보통신기반보호법에 명시된 5가지 지정 기준을 잣대로

중앙행정기관이 정보통신기반보호위원회의 심의를 거쳐서 지정한다. 아래는

정보통신기반보호법 중 5가지 지정 기준에 대하여 명시되어 있는 부분이다.

[그림 1] 주요정보통신기반시설 신규지정 절차

실무위원회 관계중앙행정기관 관리기관

지정대상시설 선정

지정예정시설

관리기관의 평가

중앙행정기관의

심사

정보통신기반보호위원회

심의

지정된 정보통신기반시설

고시

관련기관단계

지정시설 고시8

지정평가기준 마련2

실무위원회1차 심의6

자체보호대책 수립

지정예정시설 평가 9

지정단위 선정 및세부시설지정범위 선정 3

지정예정시설 평가 4

지정평가기준 마련1

지정필요

재평가지시 권고 지정필요성 無

지정필요성 無

심의결과 통보

심의안 상정심사5

기반보호위원회 심의7

Internet & Security Focus 2013 9월호30

FOCUS

<표 1> 주요정보통신기반시설 지정 기준

① 업무의 국가・사회적 중요성

② 업무의 정보통신기반시설에 대한 의존도

③ 다른 정보통신기반시설과의 상호연계성

④ 침해사고시 국가안전보장과 경제사회에 미치는 피해규모 및 범위

⑤ 침해사고 가능성 및 복구의 용이성

정보통신기반시설 관리기관의 중요성을 평가하는데 있어 행정, 금융, 운송, 에너지, 화학,

보건의료 등 각 분야별로 세부 기준을 특성에 맞게 분류하여 평가 기준이 마련되어야 한다. 특히

제어분야는 외부와의 연계가 없거나 최소화 하여 운영되고 있어 상호연계도 및 피해규모를

평가하는 기준을 그 특성에 맞게 수립하여야 한다. 현재는 평가기준이 너무 포괄적이어서 각

분야에 적합한 기준이 없을 뿐만 아니라 국가・사회적인 영역도 고려가 되어있지 않다. 이러한

포괄성은 지정 평가 시 특정 영역에 대한 누락, 혹은 과장을 야기할 수 있다.

Ⅲ. 개선된 신규지정 평가 방법론

1. 개선된 지정평가 방법론 절차

주요정보통신기반시설로 지정하기 위해 민간분야의 국가 중요 정보통신시설의 6대 분야인

방송, 통신, 금융, 에너지, 보건, 운송에 대한 정량적인 지정범위에 대한 기준이 필요하다.

기존에는 이에 대한 별도의 기준이 제시되지 않아 각 분야별로 어떤 시설이주요정보통신기반시설의

주요정보통신기반시설의 지정대상이 되는지 알 수 없어 소관 중앙행정부처의 주관적인 판단에

의해 지정대상으로 평가되어 지정 관리되거나, 중요시설임에도 지정 대상에서 누락되는 경우가

발생하였다. 각 분야가 지니는 고유한 특성과 시설, 장비의 차별성과 차이점이 존재하기 때문에

이를 충분히 반영하는 절차가 필요하다.

Internet & Security Focus 2013 9월호 31

FOCUS

본 연구에서는 1차 사전평가 절차를 신설하여 각 분야별로 적용 차별화된 세부기준을 적용할

수 있도록 하였다. 각 분야에 대한 세부기준은 해당분야의 전문가와 협의를 통해 마련한다.

마련된 기준에 의해 50%이상 중요도가 인정되는 시설에 한해 주요정보통신기반시설 지정의

2차 평가 대상이 되도록 한다. 이는 분야에 특수성을 감안한 평가 기준에 의해 기반시설로의

지정이 가능한 시설의 범위를 확정짓는 것이다. 다음 2차 지정평가에서는 기반시설의 외부연결

특성이 반영된 평가기준을 제시한다. 기반시설은 첫째, 외부와 단절되어 관리 통제 서비스를

주로 하는 폐쇄적으로 운영되는 제어시설, 둘째 외부와 단절되어 관리 통제서비스를 수행하나

운영상의 사유로 일부 사내망 등에 연결되는 제어시설, 셋째 대국민서비스 또는 외부망과

연결을 통해 서비스하는 일반 시설로 크게 3가지로 구분된다. 각 유형별로 기반시설 지정

타당성을 평가하되 타 정보통신기반시설과의 상호 연계성 부분에 대해서는 유형별 특성에 맞게

가중치를 재 조정하였다.

2차 지정권고 평가는 기반시설을 일반형, 제한 연결형, 폐쇄형으로 분류하고 타 기관시설과의

연계성 항목 비중을 다음의 표와 같이 재조정한다.

[그림 2] 주요정보통신기반시설 신규지정 평가 방법론

신규지정 평가 시작

1차 사전평가 실시 50%이상?[방송, 통신, 금융, 에너지 등 분야별]

기반시설 유형?[일반형, 제한, 연결형, 폐쇄형]

2차 지정평가 실시[제한 연결형]

평가결과

2차 지정평가 실시[일반형]

2차 지정평가 실시[폐쇄형]

Internet & Security Focus 2013 9월호32

FOCUS

<표 2> 주요정보통신기반시설 유형별 신규지정 평가비중

지정기준기반시설 유형별 평가 비중

일반형(a) 제한 연결형(b) 폐쇄형(c)

업무의 국가사회적 중요성 20 20 20

업무의 기반시설 의존도 20 20 20

타 기관시설과의 연계성 20 5 0

침해사고 발생시, 피해규모 20 20 20

침해사고 발생 가능성 및 복구 용이성 20 20 20

총합 100 85*(가중치 1.18) 80*(가중치 1.25)

※ 제한 연결형과 폐쇄형의 연계성 가중치는 기관의 특성에 맞게 조정되어 평가 할 수 있다.

2. 개선된 지정평가 세부기준

(1) 1차 사전평가 세부기준

현행 주요정보통신기반시설 의 지정기준은 분야에 대한 세부적인 지정 가이드가 없이 전체를

기반보호법에 의한 5가지 기준으로 추상적으로 평가하게 되어 있어, 방송, 통신, 금융, 에너지,

보건 등 각 분야에 대한 중요시설의 평가와 신규지정에 어려움이 있다. 예를 들면, 방송분야의

경우 뉴스보도 기능 유무, 송출지역의 커버리지, 채널수 등으로 1차 사전평가를 수행하여

최소한 50%이상 충족될 경우 2차 평가를 통해 기반시설로의 적정성을 평가하는 것이

바람직하다. 다음은 방송분야에 대한 1차 사전평가 세부기준의 예시이다.

<표 3> 방송분야 1차 사전평가 항목 예시

평가항목 및 척도

분야 기관의 업무영역중요도

100% 70% 40% 10%

방송분야

보도기능 있음 - - 없음

지역방송국의 수 5개이상 3개이상 2개이상 1개

채널 수 5개이상 3개이상 2개이상 1개

재난방송재난방송

주관방송사

재난방송

자동송출

시스템이 있음

재난방송

수동송출

시스템이 있음

재난방송을

송출하지 않음

송출범위 국내 90%이상 국내 50%이상 국내 30%이상 국내 30%미만

이외에도 통신, 금융, 에너지, 보건 등 분야별 세부기준의 수립을 통해 중요도를 산정하고

평균값이 50%이상인 시설에 대해 2차 평가를 수행한다

Internet & Security Focus 2013 9월호 33

FOCUS

(2) 2차 신규 지정평가 세부기준

<표 4> 주요정보통신기반시설의 지정권고 평가기준 요약

지정권고 세부기준 평가요소항목별 배점 배점

a b c a b c

업무의

국가사회적 중요성

국가 및 서비스 중요성 1020

취급정보의 중요도 10

업무의

기반시설 의존도

시설에 대한 업무 의존도 1020

서비스의 연속성 의존도 10

타 기관시설과의

연계성

시설의 타 기관 연계성 - 연계량 10 2.5 020 5 0

시설의 타 기관 연계성 - 연계질 10 2.5 0

침해사고 발생시,

피해규모

업무수행 지속능력 및 국가·사회에 미치는 영향 5

20지역적 피해범위 5

체감적 피해범위 5

정보유출 피해범위 5

침해사고 발생 가능성

및 복구 용이성

침해발생 가능성 1020

복구 요구시간 및 복구 난이도 10

① 업무의 국가사회적 중요도

업무 분야에 따라 국가・사회적 중요성을 띄는 평가세부요소는 국가와 국민에 대한 서비스

부분과 그에 해당되는 취급정보로 구분하여 평가 한다. 국가 및 서비스 중요성은 국가 안보,

사회질서, 국가경제, 국민 생명 등에 해당하는 정도를 고려하여 평가한다. 취급정보의 중요도는

운영상 취급하는 정보에 대해 가용성, 기밀성, 무결성으로 구분하여 평가한다.

② 업무의 기반시설 의존도

시설에 대한 업무의존도는 업무의 대부분이 반드시 정보통신시설을 기반으로 처리되어야

하는지, 주요 업무처리 과정에 기여하는 정도의 의존도를 평가한다. 서비스의 연속성 의존도는

사용자가 원하는 시간에 서비스가 제공되는지 여부, 기관의 수행업무가 지정 대상시설에

의존하여 서비스 되는 지속성 정도를 평가 한다.

Internet & Security Focus 2013 9월호34

FOCUS

③ 타 기반시설과의 연계성

상호 연계성은 어떤 분야이든 해당 업무가 다른 정보통신기반시설과 양적으로 얼마나 많이,

질적으로 연계시설이 얼마나 중요한지를 판단하고 그에 따른 파급효과를 종합 평가 한다. -

기반시설의 유형에 따라 통신분야 등 상호연계성의 비중이 높은 오픈형, 제어분야 등

상호연계성 비중이 낮은 폐쇄형・제한 연결형으로 구분한다. 세부기준은 양적 연계성, 질적

연계성으로 구분하고, 기반시설 유형에 따라 평가점수를 조정하여 다음과 같이 차등적용한다.

<표 5> 정보통신기반시설 유형별 상호 연계성 평가 점수

세부기준 유형 평가점수

타 기관시설과의 양적 연계성 – 연계량 (10점)

오픈형 a

제한연결형 c = b * 0.25

폐쇄형 0

타 기관시설과의 질적 연계성 – 연계질 (10점)

오픈형 a

제한연결형 c = b * 0.25

폐쇄형 0

※ a, b : 1~10점 평가, c : 제한연결형 가중치 적용 점수(가중치 0.25는 시설 특성에 따라 조정할 수 있음), 폐쇄형은 평가제외

타 기관시설의 양적 연계성은 연계기관의 수, 연계기관이 제공하는 서비스의 수 등 양적인

측면의 정도를 측정한다.

④ 침해사고 발생시, 피해규모

사고 발생시 경제・사회・정치적 피해 수준과 국민의 일상생활에 불편을 끼치는 정도 등을 통해

국가위기 초래정도를 평가한다. 업무수행 지속능력 및 국가 사회에미치는 영향은 전체업무상실,

핵심업무상실, 핵심업무지연, 지원업무상실, 지원업무지원으로 구분하여 평가한다.

지역적피해범위는 국제적, 전국, 행정단위(시・군・구), 기관 및 기업단위, 해당시스템, 없음으로

구분하여 그 중요도를 판단한다. 체감적 피해범위는 정상생활불가능, 장애발생, 불편초래,

정상생활가능으로 구분하고, 정보 유출・변조 피해수준은 업무 중단으로 인한 피해범위(특정

소수인가/불특정 다수인가, 국가사회/지역/기업)와 예상 피해액 등을 종합하여 평가한다.

⑤ 침해사고 발생가능성 및 복구 용이성

침해발생 가능성은 사용자 서비스, 접근 인가된 사용자 규모, 접속제공형태의 세 가지 영역을

연관시켜서 평가한다. 다만 폐쇄형, 제한 연결형 기반시설인 경우 이동매체에 의한 전자적

Internet & Security Focus 2013 9월호 35

FOCUS

침해발생 가능성을 고려하여 평가한다. 복구 요구시간 및 복구 난이도는 복구형태, 복구 난이도,

실시간 복구 요구 정도를 연관시켜 평가 한다.

Ⅳ. 결 론

한국은 정보화 사회로서 사회 중요 인프라의 대부분이 정보통신 인프라에 의존하고 있으며,

인터넷으로의 연결도 확대되고 있다. 국내외 사이버 공격 사건 등을 살펴보면 인터넷연결의 취약성을

악용한 사례가 급격히 증가하고 있다. 최근 방송, 금융 등 국가 중요시설에 대한 북한 등 적대 세력에

의한 사이버테러 증가하고 있어 정부차원의 국가 정보보호체계 강화 방안이 중요한 이슈로 부각되고

있다. 그러나 현재 주요 정보통신기반시설의 지정 기준이 모호하고 중요시설의 특성이 반영되거나

체계적이지 않은면이 있어 신규지정 확대에 논란을 야기할 수 있어 이에 대한 개선 방향을 본

연구에서 제안하였다. 각 분야별로 세부 기준을 수립하고 기반시설의 유형별로 평가 할 수 있는

방법론을 제시함으로써 더욱 체계화된 지정평가가 이루어질 수 있도록 하였다. 다만 본 논문에서는

지정평가 방법론만을 제시하고 있으며, 분야별로 1차평가의 세부적인 평가 척도는 향후 분야별로

지속적으로 개발 보완하여 실제 지정평가에 활용할 수 있는 지침을 개발하는 것이 필요하다.

참고문헌

국회, 정보통신기반보호법, 2009. 5

행정안전부, 한국인터넷진흥원 , “정보통신기반보호 가이드”, 2009. 11

The White House, "Executive Order - Improving Critical Infrastructure Cybersecurity", 2013.2.12

Computerworld, "Obama to issue cybersecurity executive order this month", 2013.2.1

Computerworld, "Obama signs cybersecurity order", 2012.2.12

Department of Homeland Security, "ICS-CERT Incident Response Summary Report 2009-2011",

2012.6.28.

Fierce, "Civil liberties watchdogs oppose Senate cybersecurity bill", 2012.5.13

Forbes, "President Obama's Cybersecurity Executive Order Scores Much Better Than CISPA On

Privacy", 2013.2.12

Nextgov, "OBAMA’S CYBER EXECUTIVE ORDER LAYS FOUNDATION FOR MANDATORY

REGULATIONS", 2012.2.12