안전한 데이터 보호를 위한 NAS 보안 수칙. KISA 제공

◆KISA, 안전한 데이터 보호 위한 ‘NAS 보안 가이드’ 발간

한국인터넷진흥원(KISA, 원장 이상중)과 과학기술정보통신부(장관 이종호)는 개인 및 기업의 주요 데이터 백업 매체로 네트워크 결합 스토리지(NAS, Network Attached Storage) 서버가 활용됨에 따라 이용자의 안전한 데이터 보호를 위한 ‘NAS 보안 가이드’를 발간한다고 28일 밝혔다.

NAS는 네트워크가 결합된 스토리지 장치로, 사용자의 중요 데이터를 저장하고 어디에서나 저장된 데이터에 접근할 수 있도록 편리성을 제공한다. 또한, 단순한 저장장치의 기능을 넘어 웹 호스팅, 미디어 스트리밍, 모바일 애플리케이션 등 다양한 부가 기능을 제공하고 있다.

이로 인해 NAS 서버는 인터넷 환경에 노출된 경우가 많아 해커들의 주공격 대상이 되고 있으며, NAS에 저장된 데이터를 겨냥하는 랜섬웨어도 등장하고 있다. 작년에는 주요 NAS 제조사 제품에 내장된 애플리케이션 취약점을 악용하는 랜섬웨어가 등장해 사용자의 데이터를 암호화하고 금전을 요구하는 등 피해를 주기도 했다.

KISA에 신고된 랜섬웨어 침해사고 기업·기관의 백업 여부 현황을 살펴보면 2022년 42%에서 2023년 58%로 백업 비중은 증가했지만, 백업까지 감염된 비중은 21%에서 39%로 증가한 것으로 파악됐다. 이처럼 KISA는 NAS를 겨냥한 보안 위협에 대한 실질적인 점검 방법 및 대응 방안을 제시하기 위해 보안 가이드 및 보안 수칙을 마련했다.

한편, KISA에서 제공 중인 중소기업 원격 보안점검 서비스(내 서버 돌보미)에 접수된 통계에 따르면 537개 기업 중 151개 기업(28%)이 NAS 서버를 도입해 운영하는 것으로 나타났다. 이에 KISA는 이용률이 높은 NAS 제조사 3종(시놀로지, 큐냅, EFM 네트웍스의 아이피타임)을 중심으로 상세 보안 가이드를 제작했다.

이와 더불어, KISA는 보안 위협에 대응하기 위한 필수 보안 8가지 수칙으로 △암호화 사용 △접근 제어와 권한 관리 △네트워크 보안 △펌웨어 및 소프트웨어 업데이트 △백업 및 복원 전략 △감사 로깅과 모니터링 △업데이트된 안전한 앱 사용 △랜섬웨어 방지 등을 마련했다.

이번에 발간한 NAS 보안 가이드 및 보안 수칙은 KISA 보호나라 누리집(www.boho.or.kr, 알림마당 →보고서/가이드)을 통해서 누구나 확인할 수 있다.

한국인터넷진흥원(KISA) 전경. KISA 제공

◆KISA, 발전전략 ‘100일 프로젝트’ 추진단 출범

한국인터넷진흥원(KISA)은 정부의 주요 국정과제를 속도감 있게 추진하고, 세계 최고의 디지털 안전 전문기관으로 거듭나기 위해 ‘KISA 미래전략 추진단(TF)’(이하 추진단)을 출범한다고 28일 밝혔다.

KISA는 추진단을 통해 디지털 안전 전문기관으로서의 위상 및 전문성 강화를 목표로 △기관의 역할과 책임에 따른 비전 및 목표 재설정 △정보보호 디지털 전문인력 육성 △정보보호 산업 육성 △민생 사이버 피해 대응 강화 등을 위한 과제들을 논의한다.

KISA의 발전전략을 수립하기 위한 ‘100일 프로젝트’ 추진단(TF)은 정보보호, 개인정보보호, 사이버범죄 수사 등의 현장 경험과 연륜을 지닌각계 전문가들이 함께 구성된 만큼 다양한 시각과 의견을 제시할 수 있을 것으로 기대된다.

외부 전문가에는 방송통신위원회 상임위원과 KISA 원장을 역임한 이기주 CISO(정보보호최고책임자)협의회 회장, 대검찰청 초대 사이버범죄수사단장 및 범죄정보기획관과 법무부 검찰과장․형사기획과장 등을거친 형사 정책 기획 분야의 전문가인 정수봉 법무법인 태평양 변호사, 금융감독원 IT 핀테크전략국 선임국장을 지낸 전길수 김앤장법률사무소 고문, 디지털플랫폼정부위원회 민간위원인 김대환 소만사 대표, 신용태 교수(숭실대), 채상미 교수(이화여대) 등이 합류했다.

추진단은 먼저, 우리나라 사이버 공간을 안전하게 지키는 기관인 KISA의 역할을 강조하고 디지털 안심 사회 구현에 실질적으로 이바지하겠다는 의지를 담아 기관의 비전 및 목표를 설정한다.

이에 따라, 역할과 책임(R&R)을 재정비하여 전사적인 조직 개편을 실시할 예정이다. 내부적으로 조직 역량을 강화하여 디지털 안전 전문기관으로서 역할을 공고히 다지고, 정보보호 디지털에 특화된 전문인력을 육성하기 위한 성장플랫폼 구축 등도 이뤄진다.

마지막으로, 개인정보 유출, 스팸, 스미싱 등 민생 침해 사이버 범죄에 대한 대응력을 강화한다.

KISA의 전문역량을 최대한 발휘할 수 있도록 유관 부처 국회와의 공감대 형성 및 관련 법 개정을 통해 실행력을 확보하겠다는 구상이다. 궁극적으로 정보보호 디지털 관련 대국민 지원을보다 능동적이고 효율적으로 추진하는 기관으로서 위상을 제고한다.

KISA는 본 추진단을 통해 2025년까지 시행을 목표로 기관의 새로운비전과 과제를 제시하며, 향후 100일 프로젝트의 성과를 발표할 예정이다.

KISA 이상중 원장은 “극심한 사이버 범죄로 인한 사이버 환경 오염과 격변하고 있는 디지털 대전환 속에서 국민과 기업이 안심할 수 있는 디지털 사회 구현을 위해 다각적으로 노력하겠다”며 “이번에 출범한 추진단을통해 KISA의 성장과 가치 제고에 박차를 가하겠다”고 밝혔다.

송현수 기자 songh@busan.com