제로 트러스트 개념을 활용한 지방행정공통정보시스템 내부 사용자 본인 인증 방법 개선

Abstract

4차 산업혁명의 도래와 ICT 기술의 발전으로 컴퓨팅 환경이 급격하게 변화하고 있다. 또한, 코로나바이러스의 확산은 우리 사회의 업무 환경 및 행정서비스 등에 많은 변화를 가지고 왔다. 원격회의와 재택근무가 활성화되고, 워케이션(workation)이 확대됨에 따라 모바일이나 노트북 등을 활용하여 원래 근무지가 아닌 여러 장소에서의 내부 정보 시스템 접근이 증가하고 있다. 이러한 사회적·기술적 변화는 사용자 입장에서는 편리함이 증가하였지만, 보안관리자 입장에서 보면 정보자원 및 정보서비스에 대한 정보보호 차원의 관리범위가 점점 확대되고, 통제의 어려움이 증가하고 있다. 정보시스템에 대한 해킹 방법이 더욱 다양해지고, 개인정보 유출 등의 정보보안 사고 등이 지속적으로 발생하고 있으며, 사회적인 문제로까지 발전하고 있다. 특히, 행정기관의 정보시스템은 대규모의 데이터를 관리하고 있으며, 주민등록번호 등을 포함한 고유식별번호까지 포함되어 있는 경우가 많아. 정보 유출 시 사회적인 파장이 클 뿐만 아니라, 이와 연계된 각종 범죄가 증가하고 있다. 특히, 공공기관에 대한 보안사고는 외부의 해킹에 의한 사고보다 공공기관 내부의 근로자 또는 임시 근로자들에 의한 보안 사고가 점점 증가하고 있는 현실이다. 또한, 정부는 전자정부 시대를 지나 디지털플랫폼정부(DPG)를 목표로 인공지능·데이터·클라우드 등 혁신 기술을 활용하여 국가 사회 시스템의 변화를 추구하고 있다. 급변하는 디지털 수요에 대응하기 있기 위해 공공기관 정보 시스템의 고도화 사업 추진하고 있으며, 민간 클라우드 네이티브 컴퓨팅 기술을 도입하기 위한 활동을 지속하고 있다. 그러나 안타깝게도 행정기관의 대표 시스템인 지방행정공통정보시스템은 구축된지 17년이 경과하고 있으나, 관련 혁신 기술을 반영하지 못하고 있고, 향후 2026년이 되어야 새로운 시스템으로 전환·구축할 수 있다. 현재 지방행정공통정보시스템의 현행 방식에 따른 사용자 본인 인증과 사용자접근 권한 정책으로는 대규모 보안 사고가 발생할 가능성이 아주 높다. 사용자 인증 방식이 단순하고, 시스템 접근 정책이 세밀하지 못하여 업무 담당자별 접근 권한의 체계가 확립되어 있지 않아, 지방행정공통정보시스템의 사용자 인증에 관련된 새로운 보안 정책 개발이 시급하다. 최근 들어, 아무도 신뢰하지 않는다는 제로 트러스트(Zero trust) 개념이 등장하게 되었고, 기존의 사용자 인증 방식과 사용자 접근 정책에 대한 변화를 요구하고 있다. 이에 맞게 지방행정공통정보시스템과 같은 기존 내부 정보시스템에 바로 적용할 수 있는 보안 정책 모델 개발이 필요함에 따라, 이에 대한 연구를 진행하였다. 본 논문은 공공기관의 행정정보시스템의 보급 유형과 변화의 방향을 분석하고, 이에 따른 보안 정책의 변화, 클라우드 컴퓨팅 시스템에서 활용되고 있는 제로 트러스트(Zero trust) 개념에 대한 연구하였다. 지방행정공통정보시스템 접근을 위한 사용자 보안 인증 방법을 다단계 인증(MFA) 방식으로 변경하고, 실시간 인증((Continuous Authentication) 방식의 도입, 사용자 접근 정책을 세분화하는 보안 정책을 설계하고, k-Fold 교차 검증 방식을 통해 보안성과 경제성의 긍정적 효과가 있음을 확인하였다. 공공기관의 행정정보시스템은 광범위하고, 다양하기 때문에 각각의 상황에 맞는 다양한 보안정책 및 시나리오가 필요하나, 본 연구에서 제안한 보안 정책은 모든 행정정보시스템에 적용하지 못하는 한계가 있지만, 공무원 조직의 가장 핵심 시스템인 지방행정공통정보시스템의 업무 환경에서 즉각적으로 실현 가능하면서도 보안성을 강화할 수 있는 보안 정책을 설계하였다는 데 큰 의의 가 있다고 할 것이다. |With the advent of the 4th Industrial Revolution and the development of IOT technology, the computing environment is rapidly changing. In addition, the spread of coronavirus has brought many changes to our society's work environment and administrative services. As teleconferencing and telecommuting are activated, and work is expanding, access to internal information systems is increasing at various places other than the original workplace by utilizing mobile or laptop computers. These social and technological changes have increased convenience for users, but from the security manager's point of view, the scope of information protection management of information resources and information services is gradually expanding, and control difficulties are increasing. Hacking methods for information systems are becoming more diverse, information security accidents such as personal information leakage continue to occur, and social problems are also developing. In particular, the administrative agency's information system manages large-scale data and often includes unique identification numbers, including resident registration numbers. Not only is the social impact of information leakage large, but it is also increasing in various crimes related to it. In particular, security accidents against public institutions are more and more caused by workers inside public institutions or temporary workers than by external hacking. In addition, the government is pursuing changes in the national social system by utilizing innovative technologies such as artificial intelligence, data, and cloud with the goal of digital platform government (DPG) after the e-government era. In order to respond to rapidly changing digital demand, the government is pursuing the advancement of information systems in public institutions, and continues its activities to introduce private cloud native computing technology. Unfortunately, however, the local administrative common system, which is the representative system of administrative agencies, has been established for 17 years, does not reflect related innovative technologies, and cannot be converted and built into a new system until 2026. Currently, there is a very high possibility of a large-scale security accident with user self-authentication and user access rights policies according to the current method of the local administrative common system. Since the user authentication method is simple and the system access policy is not detailed, a system of access rights for each person in charge is not established, it is urgent to develop a new security policy related to user authentication of a common local administrative system. Recently, the concept of zero trust that no one trusts has emerged, and changes to existing user authentication methods and user access policies have been required. In accordance with this, research was conducted on the need to develop a security policy model that can be directly applied to existing internal information systems such as local administrative common systems. This paper analyzes the types of dissemination and changes in the administrative information systems of public institutions, and studies the concept of zero trust used in cloud computing systems, changes in security policies, and changes in the direction of changes. It was confirmed that the security authentication method for access to the local administrative common system was changed to a multi-level authentication (MFA) method, the introduction of a real-time authentication method, a security policy that subdivides user access policies, and the k-Fold cross verification method had a positive effect on security and economic feasibility. Since public institutions' administrative information systems are broad and diverse, various security policies and scenarios are needed for each situation, but the security policy proposed in this study has limitations in that it cannot be applied to all administrative information systems, but it is significant that it has designed a security policy that can be immediately realized and strengthened security in the work environment of the local administrative common system, the core system of public officials.