2019.05.30

영국 공공기관이 전자정부 보안을 강화하는 방법

Tom Macaulay | Computerworld UK
전자 정부에는 강력한 보안과 쉬운 사용성 간의 조화가 필요하다. 최근 런던에서 열린 디지털 정부 컨퍼런스에서 영국의 NCSC(National Cyber Security Centre)와 LGA(Local Government Association), NCC(Norfolk County Council)의 IT 담당 임원이 한목소리로 지적한 내용이다.



이 행사에서는 '더 높은 벽을 쌓기'라는 주제의 패널 토의가 진행됐다. 토론자로 나선 공공기관 3곳의 실무자들은 디지털 서비스의 혜택을 오히려 줄일 수 있는 장벽을 부수는 균형점을 찾아야 한다고 말했다.

LGA의 부대표 사라 픽업은 "조화의 방법을 찾는 것이 중요하다. 최악의 경우는 보안 우려 때문에 혁신적이며 미래 지향적인 공공 서비스를 제공하지 못하게 되는 것이다"라고 말했다. 그는 서비스 사용자의 개인정보가 유출돼 실제로 혼란에 빠졌던 한 지방법원은 언급했다. 시민들이 이용하던 핵심 서비스가 장애 상태에 빠졌고 당시 손상된 시스템을 복구하는 데 몇 년이 걸렸다.

픽업은 그 대안으로 IT팀 외부 사람이 참여하는 해킹 시뮬레이션을 꼽았다. 이를 통해 2가지 효과를 기대할 수 있는데, 하나는 앞으로 일어날 수 있는 해킹에 대한 재해복구 실효성을 높이는 것이고, 다른 하나는 직원들이 보안이 필요한 서비스를 더 깊이 이해할 수 있다는 점이다.

NCSC의 위험 관리 기술 이사 이안 맥코맥은 이러한 협업적 방법을 외부 업체까지 확대했다. 그 결과 최근에는 직접 발견한 윈도우 보안 취약점을 마이크로소프트에 알려주기도 했다. 마이크로소프트는 이 취약점을 바로 잡는 보안 업데이트를 별도로 내놓기도 했다. 그는 "보안은 방벽을 얼마나 높게 쌓느냐의 문제가 아니다. 위험을 얼마나 적합하게 관리할 것이냐의 문제다"라고 말했다.

NCC의 정보 관리 기술 담당 임원인 제프 코넬은 디지털 서비스의 효율성에 대해 시민의 신뢰를 얻는 것이 가장 중요하다고 지적했다. 그는 "우리는 데이터 보호에 대해 높은 도덕적 책무를 갖고 있다. 많은 시민이 어쩔 수 없이 개인 정보를 제공해야 하기 때문이다. 이제 비디지털 방식으로 일하는 것은 불가능하므로, 디지털 서비스에 대한 신뢰를 계속 유지할 필요가 있다"라고 말했다.

픽업도 시민의 신뢰를 위해 노력하고 있다. 핵심 시민 서비스 담당 비 IT 직원을 공공기관의 사이버 보안 그룹에 참여시키고, 임원과 다른 지방법원장에게 사이버 보안 교육을 제공한다. 그는 "이들을 한곳에 모으기는 매우 힘들다. 그러나 일단 모아놓으면 교육에 적극적으로 참여해 많은 것을 배워간다. 그리고 최종적으로 보안 문제를 어떻게 다뤄야 할지에 대한 시각을 갖고 본래 조직으로 돌아간다. 우리가 이런 프로그램을 통해 얻고자 하는 효과도 바로 이것이다"라고 말했다.

맥코맥은 시민의 신뢰를 얻는 최선책으로 사람들이 가장 우려하는 부분에 보안 전략 집중하는 것을 꼽았다. 그는 "보안 담당자가 아니면 서비스 제공이나 다른 것에 더 신경 쓸 수 있다. 실제로 기술적인 문제를 이사회가 가치 있게 생각하는 것으로 바꿀 수 있도록 돕는 것이 우리의 책임이다"라고 말했다.

LGA는 이런 방식을 지방 법원의 사이버 보안 계획 절차에 포함했고 결과적으로 응답 비율이 100%였다. 픽업은 이를 통해 지방 정부 수준의 조직에서 보안 인식 훈련에 대한 수요가 매우 높다는 것을 확인했다. 앞으로 개선될 가능성이 크다는 좋은 사례도 다수 확인할 수 있었다.

그는 "가장 이상적인 경우는 더 높은 이해를 제공하고, 이해한 사람과 그렇지 않은 사람 간의 차이가 줄어드는 것이다. 또한, 백엔드 기술은 더 복잡하겠지만 이를 표현하고 사용자에게 노출되는 것은 더 쓰기 편리해지는 것이다. 이어" 가장 나쁜 경우는 그 반대다. 백엔드에 무엇이 있는지 그 복잡성을 제대로 설명하지 못하는 것이다. 그러면 사람들 사이의 인식 차이가 더 커지고 모두를 큰 위험에 빠뜨릴 수 있다"라고 말했다. ciokr@idg.co.kr



2019.05.30

영국 공공기관이 전자정부 보안을 강화하는 방법

Tom Macaulay | Computerworld UK
전자 정부에는 강력한 보안과 쉬운 사용성 간의 조화가 필요하다. 최근 런던에서 열린 디지털 정부 컨퍼런스에서 영국의 NCSC(National Cyber Security Centre)와 LGA(Local Government Association), NCC(Norfolk County Council)의 IT 담당 임원이 한목소리로 지적한 내용이다.



이 행사에서는 '더 높은 벽을 쌓기'라는 주제의 패널 토의가 진행됐다. 토론자로 나선 공공기관 3곳의 실무자들은 디지털 서비스의 혜택을 오히려 줄일 수 있는 장벽을 부수는 균형점을 찾아야 한다고 말했다.

LGA의 부대표 사라 픽업은 "조화의 방법을 찾는 것이 중요하다. 최악의 경우는 보안 우려 때문에 혁신적이며 미래 지향적인 공공 서비스를 제공하지 못하게 되는 것이다"라고 말했다. 그는 서비스 사용자의 개인정보가 유출돼 실제로 혼란에 빠졌던 한 지방법원은 언급했다. 시민들이 이용하던 핵심 서비스가 장애 상태에 빠졌고 당시 손상된 시스템을 복구하는 데 몇 년이 걸렸다.

픽업은 그 대안으로 IT팀 외부 사람이 참여하는 해킹 시뮬레이션을 꼽았다. 이를 통해 2가지 효과를 기대할 수 있는데, 하나는 앞으로 일어날 수 있는 해킹에 대한 재해복구 실효성을 높이는 것이고, 다른 하나는 직원들이 보안이 필요한 서비스를 더 깊이 이해할 수 있다는 점이다.

NCSC의 위험 관리 기술 이사 이안 맥코맥은 이러한 협업적 방법을 외부 업체까지 확대했다. 그 결과 최근에는 직접 발견한 윈도우 보안 취약점을 마이크로소프트에 알려주기도 했다. 마이크로소프트는 이 취약점을 바로 잡는 보안 업데이트를 별도로 내놓기도 했다. 그는 "보안은 방벽을 얼마나 높게 쌓느냐의 문제가 아니다. 위험을 얼마나 적합하게 관리할 것이냐의 문제다"라고 말했다.

NCC의 정보 관리 기술 담당 임원인 제프 코넬은 디지털 서비스의 효율성에 대해 시민의 신뢰를 얻는 것이 가장 중요하다고 지적했다. 그는 "우리는 데이터 보호에 대해 높은 도덕적 책무를 갖고 있다. 많은 시민이 어쩔 수 없이 개인 정보를 제공해야 하기 때문이다. 이제 비디지털 방식으로 일하는 것은 불가능하므로, 디지털 서비스에 대한 신뢰를 계속 유지할 필요가 있다"라고 말했다.

픽업도 시민의 신뢰를 위해 노력하고 있다. 핵심 시민 서비스 담당 비 IT 직원을 공공기관의 사이버 보안 그룹에 참여시키고, 임원과 다른 지방법원장에게 사이버 보안 교육을 제공한다. 그는 "이들을 한곳에 모으기는 매우 힘들다. 그러나 일단 모아놓으면 교육에 적극적으로 참여해 많은 것을 배워간다. 그리고 최종적으로 보안 문제를 어떻게 다뤄야 할지에 대한 시각을 갖고 본래 조직으로 돌아간다. 우리가 이런 프로그램을 통해 얻고자 하는 효과도 바로 이것이다"라고 말했다.

맥코맥은 시민의 신뢰를 얻는 최선책으로 사람들이 가장 우려하는 부분에 보안 전략 집중하는 것을 꼽았다. 그는 "보안 담당자가 아니면 서비스 제공이나 다른 것에 더 신경 쓸 수 있다. 실제로 기술적인 문제를 이사회가 가치 있게 생각하는 것으로 바꿀 수 있도록 돕는 것이 우리의 책임이다"라고 말했다.

LGA는 이런 방식을 지방 법원의 사이버 보안 계획 절차에 포함했고 결과적으로 응답 비율이 100%였다. 픽업은 이를 통해 지방 정부 수준의 조직에서 보안 인식 훈련에 대한 수요가 매우 높다는 것을 확인했다. 앞으로 개선될 가능성이 크다는 좋은 사례도 다수 확인할 수 있었다.

그는 "가장 이상적인 경우는 더 높은 이해를 제공하고, 이해한 사람과 그렇지 않은 사람 간의 차이가 줄어드는 것이다. 또한, 백엔드 기술은 더 복잡하겠지만 이를 표현하고 사용자에게 노출되는 것은 더 쓰기 편리해지는 것이다. 이어" 가장 나쁜 경우는 그 반대다. 백엔드에 무엇이 있는지 그 복잡성을 제대로 설명하지 못하는 것이다. 그러면 사람들 사이의 인식 차이가 더 커지고 모두를 큰 위험에 빠뜨릴 수 있다"라고 말했다. ciokr@idg.co.kr

X