[한국인터넷진흥원][정보보호] PART Ⅰ. 스마트시티 및 서비스 스마트시티보안모델 (2022.07)

안녕하세요. 황컴플라이언스 입니다.

[한국인터넷진흥원][정보보호] PART Ⅰ. 스마트시티 및 서비스 스마트시티보안모델 (2022.07) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 스마트시티 및 서비스 스마트시티보안모델

○ 발행일 : 2022년 07월

○ 주관부처 : 한국인터넷진흥원, 과학기술정보통신부

---

[개요]

□ 추진배경

• 세계는 급격하게 증가하는 도시화로 인한 다양한 문제에 직면해있다. 이러한 도시화 문제를 해결하기 위한 다양한 노력들이 진행되고 있으며 스마트시티도 그 중 하나의 방안이다.
• 스마트시티는 기존 도시의 양적, 경제적 성장을 초월하여 도시의 경쟁력과 삶의 질의 향상을 위해 다양한 기술을 융합 또는 복합적으로 적용하고 다양한 도시 서비스를 제공하는 지속가능한 도시를 목표로 하고 있다. 하지만 스마트시티는 정보통신기술이 매우 집약적으로 적용됨에 따른 사이버 공격에 노출되기 쉽다.
• 이러한 사이버 공격은 결국 스마트시티의 다양한 서비스를 무력화하고 도시 기능을 마비시킬 수 있으며 심각한 경우 시민의 생명에도 위협을 가할 수 있다.
• 따라서 스마트시티의 구축과 운영 시 확인되어야 할 보안 요구사항을 정의하기 위하여 『스마트시티 보안모델』을 2020년 최초 개발하였다. 금번 개정 스마트시티 보안모델은 스마트서비스 보안 모델과 기존 사이버보안 가이드‧지침 등과 관계와 지자체 등에서 스마트시티 사업의 추진 시점에 따라 즉시 적용 가능하도록 개정하였다.
• 스마트시티의 구축을 계획하거나 추진 및 운영하는 지방자치단체, 스마트시티 서비스 제공을 위하여 스마트시티 인프라, 플랫폼 소프트웨어, 디바이스 등을 개발 및 납품하는 민간기업 등에서 활용하여 보다 안전한 스마트시티로 발전하는데 이바지할 수 있기를 바란다.

---

스마트시티_보안모델_PART_1_스마트시티_및_서비스_요약본.pdf

1.33MB

스마트시티 보안모델 PART Ⅰ : 스마트시티 및 서비스 (2021.12) : 한국인터넷진흥원

---

□ 스마트시티 이용주체

• 이용주체는 서비스를 이용하는 스마트시티의 시민 또는 스마트시티를 방문한 타 도시의 시민, 외국인 등이다. 그들은 스마트시티 서비스를 단순히 이용하는 것이므로 이용주체가 서비스를 이용함에 따른 보안 기능을 제공할 수는 있으나 보안요구사항은 제시할 수 없다.
• 리빙랩, 규제 샌드박스 등에서는 시민이 직접 참여하게 되므로 ‘운영주체’로 볼 수 있으나, 그들이 이용하는 공간 / 절차 / 시설 등에 정보보호 통제를 적용하고 이행하도록 할 수 있으므로 보안 통제의 대상은 되지 않는다.

□ 스마트시티 운영주체

• 운영주체는 스마트시티 서비스를 구상하고 시민과 방문객이 이용할 수 있도록 서비스를 제공하는 주체 이다. 이들은, 더 안전한 스마트시티 서비스를 운영할 책임이 있으며 이에 따라 여러 가지 보안요구사항을 만족하여야 한다.
• 지방자치단체는 스마트시티를 기획·구축·운영하는 핵심 운영주체이다. 지방자치단체는 스마트시티 서비스를 운영하기 위하여 통합운영센터를 구축하고 관련 정보시스템을 이용하여 서비스가 시민과 방문객이 이용 가능하게 한다.
• 따라서 이들은 스마트시티 서비스의 기획 단계에서부터 정보보호 요구사항을 식별하고 서비스를 개발하여 정보보호가 적용된 정보시스템이나 디바이스를 활용한 서비스를 운영하여야 한다.
• 또한 통합운영센터는 모든 스마트시티 데이터가 집중되고 처리되는 곳이므로 각별한 보안 측면에서의 요구사항을 만족할 수 있어야 한다. 서비스 제공자는 지방자치단체이거나 지방자치단체가 선정한 스마트시티 서비스 운영자(SPC라 한다.)로 스마트시티 서비스를 구축 및 운영함에 있어 지방자치단체와 같은 지위를 갖는다. 따라서 지방자치단체와 같은 보안 측면에서의 요구사항을 만족할 수 있어야 한다.
• SPC : 특수목적법인(Special Purpose Company)으로 스마트시티 서비스의 구축 및 운영을 목적 으로 스마트시티가 선정하여 운영하는 민간부문 사업자이다.

□ 스마트시티 유관기관

• 기타 관련 기관은 도시 관련 데이터를 제공하는 데이터 제공기관과 연계 서비스를 제공하는 연계기관으로 구분할 수 있다. 데이터 제공기관은 GIS·BIM 등을 제공하여 도시의 가상화(디지털트윈 등)를 지원하며, 연계기관은 시민의 응급상황에 대응하여 경찰 / 소방 / 병원 등에서 서비스를 제공하는 기관을 의미한다.
• 이러한 관련 기관은 서비스에 따라 직접적인 보안요구사항이 제시될 수 있으나 대부분 데이터 연계 / 연동 시 보안요구사항을 이행하거나 전달받은 정보의 안전한 관리가 주요한 보안요구사항이며 이러한 사항은 각 기관 자체적인 관리체계에서 그 요구사항을 충족해야 하므로 본 문서에서는 다루지 않는다.
• GIS(Geographic Information System)는 지리정보시스템을 의미BIM(Building Information Modeling)은 건물(빌딩)정보모델링이라 불리며 다차원 가상공간에 가상으로 시설물을 모델링하는 과정을 의미한다.

□ 스마트시티 인프라

• 스마트시티 인프라는 스마트시티 서비스를 구성하는 가장 기본적이며 고전적인 영역이다. 서버, 데이터 베이스, 네트워크 장비, 보안장비, 관리PC 등 서비스 운영에 필요한 데이터의 수집 / 저장 / 이동 등의 역할을 담당한다. 특히 스마트시티 인프라는 지방자치단체가 운영하는 경우가 대부분이므로 주요정보통신 기반시설과 동일한 보호체계가 요구된다.

□ 스마트시티 플랫폼 소프트웨어

• 스마트시티 플랫폼 소프트웨어는 스마트시티 인프라와 더불어 스마트시티 서비스의 기본적인 영역에 속한다. 서비스 웹, 모바일 앱, 운영 소프트웨어, 스마트시티 플랫폼(데이터허브 플랫폼, IoT 플랫폼, 사이버 보안 플랫폼, 디지털 트윈)이 포함되며 수집한 데이터를 처리하거나 이용주체가 요구한 서비스의 결과를 제공하기 위하여 데이터를 가공 후 정보를 제공하는 역할을 한다.

□ 스마트시티 디바이스

• 센서, 사물인터넷, IoT 등의 디바이스는 스마트시티 서비스에서 데이터의 수집 역할을 담당한다. 정확한 데이터를 수집하여야 스마트시티 플랫폼 소프트웨어에서 처리하고 계획한 서비스를 제공할 수 있다. 또한 스마트시티 디바이스는 시민과 가장 가까이 위치하여 이용주체가 정상적으로 이용하는 것이 일반적이나 이용주체의 실수나 악의적인 의도를 가진 공격자에게 쉽게 노출될 수 있다.
• 이러한 장비적 특성에 따라 도난, 분실의 상황에서도 스마트시티 서비스에 주는 영향을 최소화할 수 있는 보안 설정이 필요하다. 이러한 보안 설정은 스마트시티 디바이스의 특성이 명확히 반영되어 있어야 하므로 「IoT 제품 대상 IoT 보안인증 적용 기준」을 보안요구사항 적용이 요구된다.

□ 스마트시티 서비스

• 스마트시티 서비스는 스마트시티에서 제공되는 다양한 서비스 자체를 의미한다. 분류하는 기준에 따라 호칭도는 용어는 다를 수 있으나 스마트 교통, 스마트 헬스케어, 스마트 교육, 스마트 에너지, 스마트 환경, 스마트 안전, 스마트 생활, 스마트 공장, 실감콘텐츠, 자율주행차 등이 서비스될 수 있다.

□ 스마트시티 보안관리

• 스마트시티 보안관리는 스마트시티 서비스를 운영하는 모든 구성요소를 관리하는 영역이다. 스마트시티 보안관리를 위해서는 운영 조직, 물리적 공간, 업무 절차, 업무처리용 정보시스템 및 업무시스템 등을 갖추 어야 하며 이를 이용하여 스마트시티 서비스를 제공하는 업무를 수행하여야 한다. 이러한 업무에서 발생할 수 있는 각종 위험들은 다양하여 관리‧물리‧기술적 관점에서 포괄적인 보안요구사항이 적용 되어야 한다.