반응형

우연히 인터넷 검색을 하다가 기업정보보호 관리 취약점이라는 자료를 검색을 하게 되었습니다. 이는 2007년 한국정보보호진흥원에서 시행하는 정보보호관리체계(ISMS) 인증심사와 사후관리에서 나오는 결함 사항을 많은 받은수 대로 취합한 통계 자료인데 보안관리자, 담당자들은 알아두면 좋을 것 같아 소개해 드립니다. 이는 디지털타임스에서 이미 기사화 되었던 부분을 제가 조금더 부가적인 설명과 그림을 첨부하여 포스팅 함을 밝혀 드립니다. 참고 하시기 바랍니다.


정보보호관리체계 (이하 ISMS) 인증제도란?

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국정보보호진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도



                                       < 출처: 한국정보보호진흥원 >


한국정보보호진흐원에서는 ISMS 를 위 그림과 같이 정의하고 있습니다. 필자도 ISMS 인증심사에 참여 해 보았던 경험이 있어 정보보호관리체계 수립의 중요성은 무엇 보다 절실하다는 것을 알수 있었습니다.


2007년도 기업에서  ISMS 인증시 가장 많은 결함 사항은 ?


 2007년 자료이긴 하지만 각 인증심사원들이 심사를 하여 발견된 취약점을 (결함사항) 주게 마련인데 거기에 따른 통계입니다..



                                                           <자료출처 : 디지털 타임스 >


1. 백업대상,주기,방법등 미지정
2. 정보자산 분류 누락 및 기준부재
3. 관리자 계정 공동 사용
4. 장비 자산의 변경절차 부재
5. 보안사고 예방 및 대응절차 미흡
6. 정보보호교육 계획부재
7. 물리적 보호구역 미정의
8. 고객정보에 대한 위험분석 누락
9. 보안활동에 대한 내부 감사 부재
10. 정보 유출방지 서약서 미요구

그럼 하나씩 조금 세부적으로 살펴 보도록 해 보겠습니다...


백업대상, 주기.방법등 미지정

 일반적으로 기업에서 흔히 간과할수 있는 부분들이라 생각이 됩니다..특히 각 조직에서는 무엇보다도 백업에 대하여 아직까지 많은 계획이 수립이 되어 있지 않아 가장 많은 결함을 받았다는 것에 대하여 한번 더 생각해 보아야 할 문제입니다.  그 만큼 백업이 중요함에도 불구하고 대책 마련이 안되어 있다는 것이겠죠..


정보자산의 분류 누락 및 기준부재


우리가 정보보호를 한다는 것을 자산을 보호 한다는 것입니다. 자산이라는 것은 유형,무형의 것이 있을수 있겠으며, 자산중에서도 어떤것을 보호하고 보호하지 말아야 하는지에 대한 분류 및 기준이 있어야 한다는 것입니다. 하지만 이러한 자산에 대한 분류에서 자산에 포함하는 것이 누락되었거나 어떠한 기준으로 자산을 분류할 것인가에 대한 기준이 없다면 잘못된 보호를 할수도 있다는 것입니다..

관리자 계정 공동 사용

아직까지 실무에서 흔히 몰수 있는 현상이며 이러한 부분들은 적절한 접근 권한을 주어 기준에 따른 접근제어를 해야 하는것입니다. 하지만 관리자 계정을 공동으로 사용하다 보면 다양한 위협에 노출될 기회가 많아지겠죠..이러한 부분들은 공동 사용보다는 각자 권한에 맞는 사용이 필요 하겠습니다. 또한 계정 관리에 대해서는 정기적인 비밀번호 변경이 필요하며 이러한 사항은 금고에 보관하여야 합니다. 물론 이러한 정책도 문서상에 포함이 되면 되겠죠..그래서 관리자 부재시에는 금고에서 비밀번호를 받아서 처리할수 있게 해야 하는것입니다..금고 관리도 접근 권한이 있는 사람만 접근해야겠죠..

장비자산 변경절차 부재

여러가지 실무에서 일을 하다보면 장비를 다루게 됩니다. 이러한 장비는 내구성이 다하면 다른 장비로의 교체를 하게 됩니다. 한두개 정도야 관리자가 신경을 쓰면 되지만 수백 수천대가 되었을 때 일정한 장비자산에 대한 변경 절차가 없다면 어떤 것이 자산이 되고 어떤 것이 자산이 안되는지에 대한 부분도 누락될 소지가 있습니다. 따라서 장비 자산에 대한 변경 절차도 반드시 필요 하겠습니다..


보안사고 예방 및 대응절차 미흡

보안사고는 예고되고 오는 사고가 아닙니다. 평상시에 철저히 준비 하지 않으면 사고로 일어나는 경우가 많습니다. 따라서 우리가 흔히 말하는 BCP & DRP 계획이 반드시 수립이 되어 있어야 하며, 실제 실무에서는 가상 시나리오를 만들어 사고에 따른 예방 및 대응 절차를 만들어야 합니다. 그리고 이러한 시나리오를 바탕으로 하여 실제 실습을 하여야 합니다. 우리가 흔히 민방위 훈련을 하는 것과 같은 개념이라고 생각하면 되는 것이죠..이러한 부분을 알고는 있어도 또는 실제로 문서상에는 그렇게 한다고 계획은 잡고 있어도 실제로는 실천을 안하거나 형식적인 경우가 많습니다. 사전에 연습하고 대응체계를 마련해 둔다면 설령 보안사고가 나더라도 빨리 대처 할수가 있겠죠.


정보보호 교육 계획부재

저는 개인적으로 보안 = 사람, 사람 = 교육 이란 보안마인드를 가지고 있습니다. 그것은 아무리 훌륭한 보안 시스템 보안 솔루션이라 하더라도 결국은 사람이 핸들링 해야 하고 그러한 사람을 정기적이고 지속적인 교육을 통해서만 마인드 제고를 할수 있다고 생각을 합니다..따라서 정보보호에 대한 교육의 부재는 상당히 장기적으로 보았을때 위험한 요소중에 하나일수 있습니다. 대부분이 그렇듯이 보안 솔루션 도입시에만 반짝 보안에 대한 인식을 하고 6개월 1년이 지나가면 슬슬 관심을 덜 가지는 경우가 많기 때문입니다. 이러한 정보보호 교육은 교육에 따라 등급을 분리하여 임원진 대상 , 실무자 대상, 일반 사용자 대상으로 나누어 언제 어떻게 교육을 할 것인지에 대한 계획이 수립이 되어 있어야 합니다. 교육의 내용도 임직원 대상으로 할시에는 깊은 기술적 내용보다는 정보보호의 필요성에 대하여 언급을 하고 실무자는 기술적 내용을 일반 사용자는 정보보호 필요성과 협조, 사용방법등을 위주로 하는 교육이어야 합니다.


물리적 보호구역의 미정의


우리가 흔히 정보보호나 보안하면 절대적으로 기술적 보안에 많은 포커스를 맞추게 됩니다.하지만 관리적 보안이나 물리적 보안도 상당히 중요하다는 것을 인지를 해야 합니다.  최소한 어떠한 정보 자산에 접근을 할때 미연에 물리적 보안이 되어 있다고 한다면 침해사고나 보안사고를 미연에 방지를 할수 있겠죠..이러한 물리적 보호 구역이 정의가 되어 있지 않다고 한다면 아무래도 취약점이 노출될수 밖에 없습니다. 이러한 경우에는 랙에 잠금장치를 한다든지 아니면 중요시설에는 정맥인증을 하여 인증을 받은 사람만 출입을 할수 있게 한다든지 합니다. 하지만 중요한 시설임에도 불구하고 물리적 보안에 지정이 되어 있지 않아 적절한 통제가 이루어지지 않는다면 물리적 보안에 대한 의미가 없게 될것입니다.


고객정보에 대한 위험분석 누락

정보자산에 대한 위협을 줄수 있는 위험분석이 반드시 따라야 합니다..이러한 방법에는 정성적 분석과 정량적 분석이 있지만 적절하게 사용하여 여러가지 방법론을 이용하여 해당 기업과 조직에 맞는 위험 분석이 있어야 합니다. 그래야 어떤것이 더 중요하고 어떤 것이 덜 중요한지를 찾아 우선순위를 매길수 있는 것입니다..이러한 부분이 누락이 된다고 한다면 올바른 정보자산에 대한 보호가 이루어지지 않을 것입니다.


◇  보안활동에 대한 내부 감사 부재

조직내에서 이러한 활동을 열심히 하여도 제대로 이행이 되고 실천이 되었는지에 대한 정기적인 내부감사가 필요합니다. 대부분 외부감사에는 준비를 잘 하지만 내부감사 제도가 없거나 실천을 하지 않는다면 외부감사에 대한 준비도 미흡하게 될 것입니다. 내부감사제도를 이용하여 무엇이 잘못되고 어떤것이 이행되지 않았는지에 대한 사전 점검을 통하여 미흡한 부분을 통제하고 보완해 갈수 있는 것입니다. 이러한 내부통제나 내부감사를 잘 하면 외부감사에도 잘 대처를 할수 있겠죠..


 정보 유출방지 서약서 미요구

사실 일반기업에 입사를 하거나 하면 보안서약서를 징구하는 것은 이제 거의 일반화 되어 있습니다. 하지만 아직까지도 결함사항으로 나오는 것을 보면 사소한 부분이 실천이 안되고 있다는 것이 안타깝다는 생각이 듭니다. 우선 이러한 보안각서 징구를 하면서 왜 해야 되는지에 대한 명확한 설명과 만일 정보유출에 따른 피해에 대한 책임을 부여 한다는 내용을 충분히 인지 할수 있도록 전달을 해야 합니다. 실제로 보안서약서를 왠만하면 모두 징구 한다고 하지만 형식적으로 거치는 경우가 많습니다. 그냥 일종의 서류의 하나로 지나가는 경우가 많다는 것이죠..그것 보다는 왜 징구하는지 왜 필요하고 그에 따른 책임이 있다는 것을 명확하게 설명을 하면 보안사고는 훨씬 더 줄어 들것이라고 생각을 합니다.



마무리 글

우리가 보안이라고 하면 기술적 보안에만 치중하는 경우가 있는데 이렇게 관리적 보안에도 관심을 가질 필요가 있습니다. 그것은 보다 더 큰 숲을 보는 것이라 생각이 들며 조금 더 포괄적으로 보안에 대하여 접근 할수가 있다는 것입니다. 또한 일정한 규모를 가진 기업이나 조직에서는 반드시 정보보호관리체계 수립이 필요하며 이는 KISA에서 시행하는 ISMS와 BSI에서 시행하는 IS027001 인 정보보호관리체계를 인증 받음으로 인하여 대외적인 신뢰도를 높일수 있을 것입니다. 이러한 부문은 필자가 ISMS인증심사를 하면서 느낀바에 따르면 어떤것이 우리가 보호해야 할 자산이고 어떤것이 우선순위가 있으며, 또한 지금도 관리자의 손길이 미치지 않는 부분의 정보 자산이 있다는 것입니다. 그런데 이러한 정보보호관치체계 수립을 통하여 다시한번 총체적인 관리와 체계적인 관리를 할수 있다는 것입니다. 누차 강조하는 것이지만 아직까지 정보보호관리체계 수립은 권고사항이지 의무사항이 아니라는 것입니다.

향후 공공기관, 지자체, 군사기관, 정보통신시설등등 법률에 정한 시설에는 반드시 정보보호관리체계가 법적으로 의무화가 되어야 겠습니다..@엔시스

 

,