[데이터넷] 정부가 디지털플랫폼정부 서비스를 안정적으로 제공하기 위해 행정·공공기관이 보유한 ‘정보시스템 운영시설’ 기준 강화에 나선다. 이를 위해 지진·화재·수해 등 재해나 인적 사고를 방지하기 위한 점검 항목을 마련했다. 정보시스템 운영시설이란 행정기관 등이 정보시스템을 운영하기 위해 보유한 건축물·건축설비를 의미한다.

행정안전부는 재난에도 디지털플랫폼정부 서비스를 안정적으로 제공할 수 있도록 정보시스템 운영시설의 안정성 기준을 반영한 ‘행정기관·공공기관 정보자원 통합기준’을 27일 개정해 3개월 후부터 시행한다고 밝혔다.

이에 앞서 행안부는 5월 ‘공공부문 정보시스템 운영시설의 안정성 개선방안’을 마련했으며. 행정·공공기관이 활용하고 있는 정보시스템 운영시설의 관리 현황을 분석해 공공 디지털서비스의 특성을 반영한 안정성 기준과 체계적 점검·관리 절차 등을 포함했다.

이번에 신설된 ‘별표3’인 정보시스템 운영시설 안정성 기준(제15조 관련)은 ▲건물(9항목) ▲방호·출입통제(17항목) ▲전기(22항목) ▲항온항습(5항목) ▲소방·방재(6항목) ▲통신(2항목) ▲관리체계(6항목) 등 7개 분야 67개 항목이며, 정보시스템 등급별로 운영시설 안정성 수준을 상·중·하로 나누고 점검 항목을 차등 적용하도록 했다.

점검 항목은 지진에 대비한 내진 적용 여부, 화재를 대비한 소방 화재 진압, 평상시 운영·유지관리 매뉴얼, 업무연속성계획(BCP) 등이 포함돼 있다.

정보시스템 등급에 따라 정보시스템 등급 1~2 등급은 운영시설 안정성 ‘상’ 기준을, 3등급은 ‘중’ 기준을, 4~5 등급은 ‘하’ 이상의 기준을 충족해야 한다.

예를 들어 국방·외교 등 중요도 1등급 정보시스템의 경우, 무정전 전원 장치(UPS)의 축전지는 화재·폭발에 대비해 내화벽으로 구분된 별도의 공간에 설치해야 한다.

이에 따라, 행정·공공기관은 정보시스템 운영시설을 자체 점검하고 정부가 운영하는 정보자원 관리시스템인 ‘범정부 정보기술아키텍처 지원시스템(범정부 EA포털)’에 등록해야 한다.

행안부는 행정·공공기관의 자체 점검 결과를 토대로 필요 시 현장점검을 실시할 수 있고, 안정성 점검기준에 충족하지 않는 경우 개선 권고 등 필요한 조치를 요청할 수 있다.

행안부는 정보시스템 운영시설의 운영 안정성 관리체계가 조기에 정착될 수 있도록 연내에 운영시설 표준 운영·관리 매뉴얼을 마련하고, 필요한 안정성 관리 가이드도 제공할 예정이다.

서보람 행안부 디지털정부실장은 “행정·공공기관의 정보시스템 운영시설에 대한 안정성 기준이 마련돼 향후 공공부문의 정보시스템 운영시설의 안정성을 지속적으로 관리하고 개선하게 될 것”이라며 “이를 통해 국민이 언제 어디서나 안심하고 디지털플랫폼정부 서비스를 이용할 수 있도록 최선의 노력을 다하겠다”고 밝혔다.

가설건축물에 운영시설 운영 제한

‘건물’ 분야에서는 모든 정보시스템 운영시설(안정성 수준 상·중·하)이 화재나 물리적 충격에 견딜 수 있도록 건축 구조가 철골조, 철근 콘크리트인 건축물에 있어야 할 것을 의무화했다. 컨테이너 등 가설건축물, 조적식 건물 등에서 시스템을 운영할 경우 지진 등 재난으로부터 안정성을 확보하는 게 어렵다는 점을 감안한 규정으로 분석된다.

전산실, 통신실 등은 천장, 바닥을 통해 외부와의 왕래가 불가능하도록 벽면과 접한 천장, 바닥을 차단하는 조치를 해야 한다. 주요시설(전기실, 전산실, 통신실 등)에는 창문이 없어야 하며, 부득이 창문이 설치돼 있는 경우 창문은 강화유리로 제작하고, 개폐가 되지 않도록 설치한다.

안정성 수준이 ‘상·중’인 경우 지진, 폭발 등 진동 발생으로부터 건물의 붕괴·파괴를 막기 위해 내진설계 1등급 이상의 건물 구조이거나, 진동 발생으로부터 전산 장비와 전산 랙의 전도를 방지하기 위한 면진을 의무 적용토록 했다. 이 같은 규정은 정보시스템 운영시설이 있는 건물의 내진 등급이 1등급이 아닐 경우, 전산 랙·장비의 넘어짐을 방지하기 위한 면진 설비를 구축토록 함으로써 시스템의 안정적인 운영을 꾀한 것으로 풀이된다.

바닥 하중 안정성을 확보하기 위해 UPS, 변압기, 배전반, 자가발전설비 등이 설치된 장소의 바닥 또는 이중마루는 장비하중(운전하중)에 견디도록 필요한 조치를 해야 한다.

바닥재, 내벽, 천장 등의 건물 내부에 사용하는 자재는 화재 발생 시에도 잘 연소 되지 않는 불연재료·준불연재료 또는 난연재료를 사용해야 한다.

운영시설 중 전기실(UPS실 포함), 전산·통신장비실은 내화벽체로 구분돼야 하며, 방화문을 설치해야 한다.

운영시설의 천장(상부층 바닥)과 바닥(주요시설이 지하에 위치한 경우 벽을 포함)은 방수 시공을 해야 한다.

역할별 차등적 출입 권한 부여해야

‘방호·출입통제’ 분야에서는 모든 운영시설에서 출입자별로 역할에 따라 차등적인 출입 권한을 부여하고 운영시설 중 통제구역의 경우 출입자의 신원확인을 통해 개폐되는 잠금장치를 설치토록 함으로써 권한 없는 자에 의한 시스템 접근을 차단토록 했다.

방문자의 신원확인, 방문목적, 방문장소, 담당자 등을 확인해 출입증을 교부하는 절차와 업무를 수행토록 했다.

운영시설은 중요도에 따라 통제구역, 제한구역, 일반구역 등 세가지로 구분해야 하고, 중앙감시실, 전산실, 전기실(UPS포함), 전력감시실, 통신장비실, 방재센터 등은 통제구역으로 설정하도록 했다.

운영시설에 대한 출입기록(모든 출입자의 신원과 방문목적·방문일시에 대한 기록, 출입통제장치의 로그기록)은 출입일로부터 1년 이상, CCTV 영상은 30일 이상 유지되도록 보관해야 해 감사가 실질적으로 이뤄질 수 있도록 했다.

운영시설의 각 출입구에 방범·화재 감시를 위해 CCTV를 설치해야 하며, 운영시설 중 전산실, 통신실, 전기실(UPS실 포함)은 내부에도 CCTV를 설치토록 했다.

보안 구역 내 직원·외부 업무 관련자에 의한 장비 반출입 절차를 수립해야 하고, 수립된 절차에 따라 반출입 신고, 반출입 대장 작성, 미승인 장비 반출입 제한 등 장비 반출입을 관리해야 한다.

안정성 수준이 ‘상·중’인 경우 방문자가 사전에 승인되지 않은 반입·반출금지품이 드나들지 않도록 관리해야 한다.

‘반입금지물품’은 법정 유해물품(’총포·도검·화약류 등의 안전관리에 관한 법률’ 제2조·11조 규정에 따른 총포류, 도검류, 화약류 등) 기타 위해물품(총기류, 칼, 곤봉류, 폭발물·탕약, 인화물질, 가스·화학물질, 그 밖의 무기로 사용 가능한 물품), 정보통신시스템(노트북·스마트폰 등 정보통신기기, CD·USB 등 전산자료를 저장할 수 있는 보조기억장치인 보조기억매체 등), 기록장치(캠코더, 카메라폰, 녹음기능이 있는 무선통신기기 등)다.

단, 카메라폰의 렌즈부, 휴대용 저장매체의 메모리 카드 입·출력 부분, USB 충전단자, 스마트폰충전기 등에 보안스티커 부착 후 반입을 허용할 수 있다.

‘반출금지물품’은 정보통신시스템, 기록장치 외에도 운영기관과 관련된 비밀, 대외비, 비공개 자료, 정보통신보호자료나 그 밖의 용역사업 관련 산출물이 포함된 종이 출력물 등이 해당된다.

단, 보안스티커 부착 후 반입한 스마트폰은 반출 가능하다.

운영시설의 건물 외부, 울타리, 출입구에 방범·화재 감시를 위해 CCTV를 설치해야 한다.

운영시설이 설치된 건물의 출입자를 통제하기 위해 24시간 경비업무를 수행하는 상근 경비원을 둬야 한다.

외곽 울타리, 건물 외부, 건물 내부의 이상 유무를 확인하기 위해 순찰하고, 순찰 기록을 유지·관리해야 한다.

불법 액세스포인트(AP), Ad-hoc 연결, 단말기 피싱 공격 등 무선 보안위협을 차단하기 위한 보호 대책을 수립·이행해야 한다.

내부자와 외부자의 휴대폰 등 개인 휴대단말기를 통한 촬영, 근거리 통신 등의 기능을 막기 위해 휴대단말기에 통제시스템을 설치하거나 보안 스티커 부착 등의 조치를 취해야 한다.

제어·감시 설비, UPS로 전원 공급해야

‘전기’ 분야에서는 모든 운영시설을 대상으로 운영시설의 제어와 감시를 위한 설비의 전원을 UPS로 공급하도록 의무화했으며, 정전에 대비해 발전기 전원을 공급할 수 있도록 했다.

발전기 가동 시 연소가스의 원활한 배출이 가능하도록 발전기 연도를 구성하고 화재에 대비해야 한다.

발전기는 불시의 정전에 대비해 주기적인 가동시험(월 1회 이상 무부하 시험·연 1회 이상 부하시험)을 실시해야 한다.

UPS 전원을 공급하는 운영시설의 3개월 평균 부하의 130% 이상의 UPS 용량을 구비해야 한다.

축전지를 사용하는 UPS는 발전기의 전원이 공급될 때까지 안정적인 전원을 20분 이상 공급할 수 있도록 총 부하(100%)에 대한 축전지의 용량을 설치·운영해야 한다.

운영시설의 전기 사용 설비는 누전, 정전기 등으로 인한 장비·인명 손상을 방지하기 위해 접지하고, 연 1회 이상 접지저항을 측정해야 한다.

운영시설에는 기존 조명설비의 작동이 멈추는 경우에 바닥 또는 작업면의 조도가 최소 10룩스(lux)이상이 유지되도록 비상조명을 설치해야 한다.

운영시설 전 지역에 유도등과 유도표지를 설치해야 한다.

분야별 전문인력 확보 ‘필수’

‘항온항습’ 분야에서는 원활한 운영을 위해 정보시스템이나 운영시설 장비는 적정한 온도와 습도가 유지되도록 운영·관리해야 한다는 규정을 신설했다.

항온항습기는 장비의 장애, 유지보수, 냉방효율 저하 등을 고려해 냉방부하 대비 냉방용량이 상회하도록 설치·운영해야 한다.

‘소방·방재’ 분야에서는 모든 운영시설을 대상으로 화재 진압을 위한 소화설비를 설치토록 했다. 특히, 주요시설에는 소화 시 장비에 피해를 주지 않는 소화 장비를 설치해야 하며, 이중마루가 설치된 경우 이중마루에 대한 화재진압이 가능하도록 소화설비를 설치해야 한다. 만약, 이중마루에 가연성 물질이 없는 등 화재 발생 가능성이 없는 경우에는 이에 대한 소화설비를 반드시 갖춰야 하는 것은 아니라는 게 행안부의 설명이다.

주요시설에는 가스 소화설비 외에 보조적으로 휴대용 소화가스기를 비치해야 한다.

내부 소화가스 등으로 초기 화재 진압 실패 시를 대비해 소방차량 진입·화재 진압을 위한 공간을 확보해야 하고, 소방차량이 사용할 수 있는 외부 소화전을 확보해야 한다.

방재실에는 화재감시센서의 작동상황이 실시간으로 파악되도록 하고, 화재 발생 시에 경보 신호를 통해 상황을 알 수 있도록 화재감지센서와 연동된 경보장치를 설치해야 한다. 단, 방재실은 중앙감시실이나 전기기계감시실과 통합해 운영할 수 있다.

‘통신’ 분야에서는 모든 운영시설에 있는 통신장비·설비가 노이즈에 대비한 접지가 이뤄지도록 했으며, 연 1회 이상 접지저항을 측정토록 했다.

‘관리체계’ 분야에서는 모든 운영시설의 전산실·통신장비실, 전기실에 대해 각 시설의 기능별 작동상황·사고 발생여부를 확인하기 위해 중앙감시실(종합상황실)을 두며, CCTV가 촬영한 영상을 24시간 감시·제어할 수 있도록 모니터를 설치토록 했다.

운영시설 내의 모든 보호조치를 계획, 감독, 통제하는 관리책임자를 지정해야 하며, 건물, 소방·방재, 전기, 통신 등 분야별 전문 관리인력을 두도록 했다.

운영시설의 각종 설비에 대한 운영·유지관리 매뉴얼을 마련하고, 운영시설 관리인력은 그 내용을 숙지해야 한다.

“민간 정보시스템 운영시설도 돌아봐야”

정보통신기술(ICT) 산업계에서는 민간의 정보시스템 운영시설의 경우에도 행안부가 마련한 안정성 기준에 준해 관리·운영이 이뤄져야 한다는 의견이 나오고 있다.

한 예로 민간 운영시설의 경우 내진·면진 대책이 마련돼 있지 않은 사례가 부지기수라는 지적이 나오고 있다.

최근 국회 국토교통위원회 소속 허영 의원은 국토교통부로부터 제출받은 전국 건축물 내진설계 현황에 따르면, 올해 6월말 기준으로 전국 건축물의 내진율이 16.4%에 불과한 것으로 나타났다고 밝힌 바 있다.

공공과 민간건축물 내진율 각각 22.5%와 16.3%로 전년도의 21.2%, 15.2%에 비해 소폭 상승했으나, 내진 대상인 민간건축물 동수가 공공건축물 동수의 40배 가까이 되기에 상대적으로 높은 공공건축물 내진율이 전체 건축물 내진율에는 거의 반영되지 못한 채 민간건축물의 내진율에 가깝게 나타나는 형국이라는 것이다.

사정이 이렇다 보니, 전국 기업·기관에서 자체 운영하는 실내 서버실, 통신실에 대한 지진 대응 방안이 필요하다는 의견이 제기되는 실정이다. 면진 서버랙 등의 지진 대응 솔루션이 시중에서 유통되고 있지만, 아직도 이를 도입하지 않은 기업·기관이 상당수인 것으로 알려져 있다.

정보통신설비 설계·감리를 수행하는 한 정보통신기술사는 통화에서 “우리나라도 지진으로부터 안전하지 않다는 사실을 지난 수차례 지진으로 알 수 있다. 이제는 건축물 내에 서버·통신실을 구축 시 면진 설비 등을 의무적으로 도입하도록 법·제도를 개정할 때”라고 말했다.