36. 컴퓨터안전관리(컴퓨터범죄 예방대책)
컴퓨터범죄예방은 위에서 살펴본 컴퓨터 안전관리 절차와도 밀접한 관련성을 갖고 있다. 따라서 아래에서는 컴퓨터범죄와 관련한 대응을 중심으로 살펴보기로 한다.
1.컴퓨터시스템 안전대책
1) 물리적 대책
① 건물 안전조치 : 컴퓨터실의 위치 선정 시 화재, 홍수, 폭발 또는 이와 유사한 주변의 위험과 외부침입자에 의한 위험으로부터의 안전성을 고려해야 한다.
② 물리적 재해 보호조치 : 최선의 방안은 효과적인 백업절차를 준비하여 미처리 업무량이 가급적 적은 상태에서 복구할 수 있도록 해야 한다. 컴퓨터시스템은 가급적 지하에 설치해서는 안 되며 스프링클러 시스템을 사용하는 경우에는 배수시설을 철저히 하고, 작동 시에는 그 전에 미리 기기 위에 방수커버를 덮어야 한다.
③ 컴퓨터실ㆍ파일 보관 장소 출입통제 : 컴퓨터실은 허가받은 자만이 출입하도록 엄격히 통제해야 한다.
2) 백업(Back-Up) 및 비상대책
백업은 예비, 대비, 그리고 보완이라는 의미를 가지고 있는데 이에 대한 구체적 내용은 다음과 같다.
① 컴퓨터기기 백업 : 컴퓨터시스템이 설치, 이용되고 있는 모든 컴퓨터실은 컴퓨터시스템이 사용 불가능하게 될 경우를 예상하여 백업용 컴퓨터 기기를 준비해 두어야 한다.
② 프로그램 백업 : 아무리 우수한 컴퓨터시스템이라고 할지라도 프로그램이 없으면 쓸모없는 기기에 불과하므로 오퍼레이팅 시스템과 업무처리 프로그램은 반드시 복제 프로그램을 작성해 두어야 한다.
③ 기록문서화 백업 : 외부 장소에 보관한 백업용 기록문서화의 종류는 최소한으로 하는 것이 좋으나, 컴퓨터 운영체제의 추가선택 기능에 대한 설명 및 운용 시스템의 갱신ㆍ기록, 사용 중인 업무처리 프로그램의 설명서, 주요 파일 구성내용 및 거래코드 설명서, 운용 매뉴얼, 사용자 매뉴얼, 데이터파일에 대한 백업 등은 반드시 갖추고 있어야 한다. 한편, 데이터파일, 변경 전의 마스터파일, 거래기록 파일은 재해발생시 컴퓨터 업무처리를 계속 유지하게 할 수 있는 기본적인 파일이므로 내부와 외부에 이중으로 파일을 보관하는 것이 바람직하다.
3) 관리적 대책
① 직무권한 명확화 : 프로그래머 기획자는 기기조작을 하지 않고 오퍼레이터(운용자)는 프로그래밍을 하지 않는다는 원칙을 철저히 준수하고 프로그래머는 컴퓨터실에 출입하지 않도록 해야 한다.
② 프로그램 개발통제 : 프로그램 작성 전에 견제기능을 가진 특수 프로그램을 삽입하도록 설계하게 하고 필요한 경우 설계된 프로그램은 전부 감사팀의 심의를 거쳐야 한다.
③ 기록문서화 철저 : 컴퓨터의 기록들은 문서화를 하는 데 있어 특히 기업의 처리절차와 컴퓨터프로그램의 내용이 상치되지 않도록 해야 한다. 기업의 업무 처리절차와 컴퓨터프로그램이 틀린 채 방치되는 경우 부정의 소지가 남게 되기 때문이다.
④ 스케줄러 점검 : 컴퓨터실에는 기억장치와 입력장치의 가동상황을 점검하고, 각 오퍼레이트(운용자)에게 작업을 할당하는 스케줄러가 있다. 스케줄러는 프로그래머에게 건네진 프로그램 테이프와 디스크의 내용을 면밀히 점검하여 부정의 여지가 있는지를 점검해야 한다.
⑤ 엑세스(Access)제도 도입 : 데이터나 파일에 대한 엑세스 제한은 다양한 방법이 있을 수 있다. 데이터의 경우 특정직급 이상이어야만 해독할 수 있도록 키워드나 패스워드를 부여하는 등 일정한 기준을 설정하도록 하여야 한다.
⑥ 패스워드 관리철저 : 통신회선을 도청하려면 패스워드를 사용하지 않으면 안 되므로, 패스워드는 부장급이 철저히 관리하여 권한 없는 사람은 해독할 수 없는 시스템을 도입하여야 한다. 때로는 파일이나 데이터베이스도 패스워드를 부여하여 이중화, 즉 파일을 등급화하여 보호하여야 한다.
⑦ 레이블링 관리 : 극비의 경영자료 등이 수록된 파일이나, 중요한 상품의 프로그램이 수록되어 있는 테이프나 디스크 파일에는 별명을 부여한다. 예를 들면, 그러한 파일에는 가수의 이름을 붙여둠으로써 관계자 이외의 사람은 파일을 보아도 금방 이해할 수 없게 하고, 별명을 수록한 장부는 특정의 관리자가 보관ㆍ관리한다.
⑧ 감사증거기록 삭제방지 : 콘솔 쉬트에는 컴퓨터 시스템이 사용 일자와 취급자의 성명, 프로그램의 명칭 등이 기록되므로, 임의로 파괴해 버릴 수 없는 체제를 도입함으로써, 부당사용 후 흔적을 없애는 사태를 방지해야 한다.
⑨ 고객 협력ㆍ감시체제 : 일부 금융기관에서는 거래예금의 명세서, 잔액표를 컴퓨터로 인쇄하여 컴퓨터실에서 고객에게 정기적으로 우송하고 있다. 그 결과 고객편에서 거래내역의 문의사항이 있다면 취급점의 장에게 직접 연락을 하게 하는 체제이다.
⑩ 현금카드 운영ㆍ관리 : 현금자동지급기의 현금카드는 주요 증서의 관리와 동일한 주의를 가지고 취급해야 한다. 카드의 발행신청서에 대한 자필 싸인을 확실하게 하는 것이 그것이다. 암호는 해독되기 쉬운 번호는 피하는 것이 좋다. 카드상의 계좌번호나 성명의 양각세공을 외부에 발주하는 경우에는 양각 세공시 훼손된 카드 회수의 의무를 철저히 이행하여야 한다. 카드를 고객에게 교부할 때는 우송을 원칙으로 한다. 한편, 고객으로부터의 카드신고가 있을 때에는 즉각 컴퓨터시스템에 지급정지를 입력해야 한다.
⑪ 컴퓨터시스템 감사 : 감사대상에서 독립된 객관적인 입장에서 컴퓨터시스템을 중심으로 하는 정보처리시스템을 종합적으로 점검, 평가하여 관계자에게 조언, 권고하는 것을 말한다.
4) 기술적 대책
컴퓨터 처리에 의하여 데이터의 취급자를 규제, 견제하여 데이터를 보호하는 것을 의미한다. 데이터의 도청, 무단복제, 파괴, 가공하여 데이터를 교묘히 컴퓨터시스템에서 유출시키는 행위 등에 대처하는 고도의 기술적 연구로 데이터를 가능한 한 암호화하는 방법이다.
2.입법적 대책
컴퓨터범죄에 대해서 개정 전의 구 형법은 재물손괴죄, 문서위조ㆍ변조죄, 업무방해죄, 사기죄 등으로 규율하였지만, 많은 노출이 되었기 때문에 개정형법은 컴퓨터관련 범죄구성요건을 신설하기에 이르렀다. 또한 컴퓨터 범죄를 직접적으로 규율할 수 있는 법령도 제정되었다.
1) 형법 개정
컴퓨터관련 범죄를 처벌하기 위하여 형법 제227조의2「공전자기록위조ㆍ변조」, 형법 제228조「공정증서원본등 부실 기록」, 제232조의2 「사전자기록위조ㆍ변조」, 제234조「위조사문서 등의 행사」등의 조항이 개정되었다.
2) 컴퓨터프로그램보호법 제정
컴퓨터프로그램 저작권의 저작자의 권리를 보호하고 프로그램의 공정한 이용을 도모하여 프로그램관련 산업과 기술을 진흥함으로써 국민경제의 건전한 발전에 이바지함을 목적으로 1998년 제정되었다.
3) 통신비밀보호법 제정
통신 등에 대한 자유와 제한에 대하여 엄격한 법적 절차를 거치도록 함으로써 통신비밀을 보호하고 통신의 자유를 신장함을 목적으로 1999년에 제정되었다.
그러나 아직까지도 컴퓨터범죄에 대한 대응이 부족한 것이 사실이다. 즉, 단일법안체제에서 다루는 것이 아니라, 각 개별법안에서 다루고 있어 컴퓨터범죄의 다양한 수법에 대응하는데 있어서 미흡한 실정인 것이다. 따라서 많은 첨단수법이 사용될 것으로 보여지는 컴퓨터범죄에 대응하기 위해서는 이에 관련되는 법안을 체계적으로 재정립하는 것이 필요하다.
3.형사정책적 대책
컴퓨터범죄 전담수사관의 수사능력 배양, 검사 또는 법관의 컴퓨터 지식 함양 문제는 오늘날 범죄의 극복을 위한 중요한 과제의 하나이며, 또한 수사력의 강화, 수사 장비의 현대화, 컴퓨터 요원의 윤리교육이 필요하고 컴퓨터 안전기구의 신설, 컴퓨터범죄 연구기관의 설치가 요구되고 있다.
※ 부족하지만 글의 내용이 도움이 조금이라도 되셨다면, 단 1초만 부탁드려도 될까요? 로그인이 필요없는 하트♥(공감) 눌러서 블로그 운영에 힘을 부탁드립니다. 그럼 오늘도 행복한 하루 되십시오^^