국가정보원이 정부·공공기관에 도입될 개방형 운영체제(OS) 사용 환경 정보보안 지침을 만든다.

행정안전부가 인터넷PC에 개방형 OS 도입을 추진하고 있는 가운데 올 하반기 시범사업을 진행하기 전에 개방형 OS 사용 환경에 대한 필수 보안요건 등이 정해질 것으로 예상된다.

국정원은 “행안부가 일부 인터넷용 PC에 도입 추진 중인 개방형 OS 관련 보안요건 등에 대한 가이드라인을 마련 중이며, 행안부는 이를 토대로 시범 도입할 예정”이라고 밝혔다.

행안부는 오는 10월 예정된 개방형OS 시범사업을 추진하기 전까지 인터넷용 PC 사용 환경에서 필요한 개방형 OS에서 구동되는 프로그램들이 준비되도록 지원할 방침이다. 여기에는 문서 편집 프로그램 실행 차단 뷰어, 공무원 통합 메일 시스템, 망 연계 시스템을 비롯해 기존 국정원 ‘국가정보보안기본지침’에서 요구하는 필수 보안규정을 만족하는 보안 제품이 포함된다.

개방형 OS는 현재 티맥스OS, 구름OS, 하모니카OS가 있다.

이와 관련 행안부는 “서비스의 안전하고 편리한 이용을 위해 새롭게 관련 보안인증 제도를 마련하고 관련 기업에 기존 프로그램의 호환성 확보를 위한 예산과 기술을 지원할 계획”을 공식 밝힌 바 있다.

실제로 행안부는 지난해 개방형 OS 정책을 검토하는 시점부터 최근까지 티맥스소프트, 한글과컴퓨터, 인벤슘으로 이뤄진 개방형 OS 3사와 보안 소프트웨어 업체들과 몇 차례 협의를 진행했다. 지금까지 4차례 진행됐고, 최근 신종 코로나 바이러스 감염증19(코로나19) 확산으로 회의가 예정돼 있다 중단된 상황이다.

행안부 관계자는 “인터넷 PC를 DaaS(Desktop as a Service) 기반 가상 PC로 이용하되 개방형 OS를 사용한다. 이 때 민간 서비스를 이용하게 되기 때문에 현재 인터넷 PC와 같은 보안 환경을 구축해야 한다”며 “민간업체에 제시될 보안요건은 물론 호환성을 위한 규격과 표준 모델, 확산할 때 필요한 도입 절차와 이용가이드를 도출해야 한다”고 말했다.

이어 “협의체 회의를 통해 규격과 기준을 안내하면 업체들이 그에 맞춰 서비스를 만들어내는 방식이 될 것”이라며 “10월부터 200대 PC에 적용해 이용해본 후에 비용효율성, 호환성 검증 등을 해볼 것”이라고 덧붙였다.

정부공공 망분리 환경 변화 예고….“보안 제대로 강구돼야”

정부기관은 현재 ‘국가정보보안기본지침’의 업무망 보안관리, 인터넷 PC 등 보안관리 조항에 따라 망분리가 의무화돼 있다.

행안부는 기존 마이크로소프트 윈도우 OS가 설치돼 있는 일부 인터넷 PC 환경을 개방형 OS로 교체한다. 민간 클라우드 기반의 가상 PC(VDI/DaaS) 환경에 개방형 OS를 설치해 인터넷을 이용하는 방식으로 추진한다는 방침이다. 이에 따라 정부·공공기관 망분리 환경에 변화가 예고된 상태다.

기존에는 행정업무망과 인터넷망을 물리적으로 분리해 중앙부처 공무원 1인이 사용하던 PC도 업무용과 인터넷용 두 대를 사용했다. 앞으로는 두 대의 물리적 PC가 한 대로 줄어들게 된다. 이로 인해 행안부는 특정 OS 종속을 해소하고 예산 절감도 가능해질 것으로 예상하고 있다.

하지만 국내 기업들이 제공하는 오픈소스 기반 개방형 OS는 아직까지 수많은 이용자 환경에서 사용하면서 충분히 검증되지 않았다. 또 행정기관에서 논리적 망분리된 가상 환경에 도입해 사용한 사례도 최근 일부 시범 도입한 우정사업본부 외에는 없는 상황이다.

이로 인해 행정기관에 적용하기 전까지 개방형 OS 자체는 물론 탑재되는 애플리케이션 운용 환경에 대한 안정성과 보안성 방안 강구와 검증이 필요하다.

더욱이 행안부는 앞으로 행정기관에 개방형 OS를 단계적으로 확산할 방침이다. 5년으로 지정된 PC 내구연한이 끝나는 2026년부터는 대부분의 공무원이 개방형 OS를 사용하게 될 것으로 예상하고 있다. 중앙행정부처 공무원은 대략 10만명으로 추산된다.

이에 따라 보안업계에서는 개방형 OS 도입과 확산 정책을 추진하는 데 있어 시범사업부터 행안부가 보안 정책을 제대로 수립할 필요성을 제기한다.

개방형 OS 사용 환경 보안성 확보뿐 아니라 공공부문에서 민간 클라우드와 가상화 기반의 새로운 개방형 OS 산업 생태계가 제대로 안착하고 발전할 수 있도록 신중하게 추진해야 한다는 목소리가 나온다.

현재 정부기관 인터넷 PC 환경에서 사용되는 애플리케이션 소프트웨어 가운데 가장 많은 수가 보안 제품이다.

이선종 아신아이 상무는 “개방형 OS 보급과 확대 사업의 성패는 단순히 경제적 논리만으로 접근해서도 단기간의 사업실적에 급급해서도 안된다. 개방형 OS 생태계 구축이라는 보다 전략적인 큰 그림이 필요하다”고 전제하고 “무엇보다 보안성 확보가 중요하며, 보안 소프트웨어 산업 측면에서도 고려해야 한다”고 강조했다.

이 상무는 “개방형 OS가 아직까지는 윈도우에 비해 취약점이나 보안사고 사례가 많지 않다고 생각되지만 그 특성상 해커들에게도 동등한 공격 기회를 제공한다. 정부기관이 다수 쓰게 될 경우 공격자가 개방형 OS를 목표로 삼아 사이버공격이나 중요정보 유출을 시도할 수 있다”며 “경제적 논리나 단기간의 사업실적에 급급하기 보다는 보안성을 확보하고 검증해야 한다. 그 과정에서 다양한 보안업체들의 참여와 역할이 필수적”이라고 지적했다.

익명을 요구한 한 보안업체 대표는 “개방형 OS 정책은 새로운 시장이 열리는 것으로, 수요가 있다면 개발을 해야한다. 그러나 신제품 개발 비용 투자 등에 대한 고민이 많은 것은 사실”이라며 “예전에도 정부가 새로운 정책을 계획해 시범사업으로 한 부처에만 일부 적용하고 백지화한 사례가 있었다. 정부가 연구개발 과제를 통해 지원을 해주고 시장을 만들어줄 필요가 있다. 가장 중요한 것은 흔들림 없는 정책을 추진해야 한다는 점”이라고 말했다.

‘국가정보보안기본지침’은 인터넷 PC에서 업무자료 작성・저장·소통 금지를 위한 기술・관리적 방안을 강구할 것과 최신 백신을 활용해 주기적 점검할 것을 규정하고 있다. 이를 준수해 현재 행안부를 포함해 행정기관 인터넷 PC 환경에서 사용되는 보안 관련제품은 7가지다. ▲내PC 지키미 ▲망연계 ▲PC 자료저장방지 ▲매체제어 ▲유해사이트 차단 ▲백신 ▲네트워크접근제어(NAC)이다. 일부에서는 ‘행안부 지정 7종 보안 제품’이라고 부르기도 한다.

이들 제품을 공급하는 지인소프트, 휴네시온, 아신아이, 세이퍼존, 소만사, 안랩, 넷맨 등은 행안부 개방형OS 협의체에 참여해왔다. 지난달 말 진행한 최근 회의에는 일부 기업은 뺀 채로 진행했다는 얘기가 들린다.

보안업체들은 개방형 OS를 지원하는 보안 솔루션 개발에 속속 착수하고 있다. 소만사는 구름OS를 지원하는 엔드포인트 정보유출방지(DLP) 솔루션 개발 준비에 먼저 들어갔다. 아신아이도 가상 버전 개방형 OS를 지원하는 자료저장방지 솔루션 개발을 추진하고 있다. 리눅스 백신 제품을 이미 보유하고 있는 안랩도 행안부 일정에 따라 개발을 추진한다는 방침이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network