- 게시물 제목
- OECD, 보안 문화 정착 위한 9개 지침
[2002/08/29]
OECD(Organization for Economic Cooperation and Development)는 9.11 테러 1주기를 맞이해 사이버 테러와 침입에 대비해 정보 시스템과 네트워크를 보호하기 위한 새로운 지침을 내놓았다.
세계 각국의 정부를 구성원으로 해서 세계 경제 발전을 가로막는 문제를 다루고 있는 국제적 기관인 OECD는 각국 간의 네트워크 연결에 점차 더 많이 의존하는 정부와 기업들 사이에 '보안 문화'를 개발하기를 바라고 있다.
OECD에 파견된 대표단을 이끄는 미 연방통상위원회의 일원인 오손 스윈들은 성명을 통해 컴퓨터 네트워크는 우리에게 주는 많은 이점과 즐거움 외에도 컴퓨터와 모뎀, 인터넷, 네트워크를 이용하는 모든 사람들이 인식하고 있어야할 본질적인 취약점을 갖고 있다고 말했다.
상호 연결된 정보 시스템과 네트워크에 대한 의존도가 많을수록, (우리가 신중하게 다루지 않을 경우) 취약점도 증가하게 된다.
지난해 뉴욕 세계무역센터와 워싱턴 D.C. 펜타곤에 대한 공격 이후, 인터넷에서의 발생할 수 있는 공격에 대비한 위기가 증가하고 있다.
전 세계의 정부와 기업, 그리고 법 집행기관들은 동시다발적으로 일어날 수 있는 사이버공격, 즉 경제 활동을 중단시키거나 네트워크에 혼란을 가져다 줄 수 있는 공격에 대비하기 위해 시스템을 강화하고 있다.
OECD가 제시한 가이드라인은 정보 기술에 의존하는 이들이 보안 경계와 책임에 근거한 9개의 기본 원칙에 의거하도록 하고 있다. 9개 원칙에는 다음과 같은 내용이 포함된다.
위험 평가 : 정보 시스템에 대한 위협과 취약점을 구별하는 분석
대응 : 적절한 시간에 반응하고 보안 사건의 방지, 감지 대응에 대한 협력 방법
윤리 : 다른 사람들의 합법적인 관심을 존중하고, 그들의 행동이나 침묵이 다른이들에게 해가 될 수 있음을 인식하는 것
보안의 고안과 실행 : 정보 시스템과 네트워크의 핵심 요소로서의 통합 보안
보안 관리 : 보안 관리에 대한 포괄적인 접근의 수용
재평가 : 정보 시스템과 네트워크 보안에 대한 고찰과 재평가, 그리고 보안 정책, 측정 그리고 실행에 대한 적절한 조절
OECD는 이러한 제안들은 정보 기술 산업, 기업 이용자들, 그리고 소비자 보호에 전문인 사람들과 OECD 회원인 정부들 간의 긴 토론 끝에 나온 결과물이라고 말했다. 이 지침은 1992년에 정보 시스템과 네트워크의 위협에 의한 전개되는 도전들과 위험에 대비해 국제적인 협력과 증진을 목적으로 처음 발행된 것들을 대체하고 있다.
(ZDNet Korea 제공)