엔시스의 정보보호(보안) 따라잡기

1.  정보보호관리체계 권고 사항보단 의무 사항해야

정보보호 관리체계 수립은 그리 만만한 작업은 아니다.  적절한 예시는 아니겠지만 우리가 방에 어지러운 물건들이 있으면 전부 다시 싹 꺼내고 하나씩 정리해 나간는 것과 비슷하다고 보면 된다. 책은 책대로 중요한 것은 중요한 것대로..그러다 보면 여기저기 굴러다니는 볼펜도 있고, 중요한 오백원짜리 동전도 있고 할 것이다. 그런 것과 마찬가지로 체계적인 정책수립도 하나에서부터 전부 해야 한다. 물론 범위를 정해서 할수도 있지만, 전사적인 부문에서는 그럴수 밖에 없다.

인증을 받기위한 범위야 부분적이지만 조직이나 기업으로 보아선 어디는 범위는 보안을 해야 하고 어디범위는 보안을 하지 말아야 하는 것은 아니다.

그럼에도 불구하고 관리체계 인증은 권고 사항이지 의무사항이 아니다.  사실, 조직내에서 수립한다는 것은 그리 쉬운 작업은 아니기 때문이다.


2. 정보보호관리체계(ISMS)도 다양화, 세분화 하면 좋을듯

이러한 정보보호관리체계를 다양화하고 세분화 할 필요가있다. 지금에는 하나의 기준으로 전 산업에 맞추어 인증을 하기 때문에 떄로는 불합리한 부문이 있을수 있다. 오늘자 기사를 보니 건강개인 정보보호 관리체계가 어떤 단체에 의하여 마련이 된다는 기사를 본적이 있다. 아주 고무적인 일이라 생각을 한다. 그쪽 분야는 그쪽에 맞는 정보보호에 대한 정책과 기준, 세부안이 마련이 되면 조금은 더 효율적이고 탄력적으로 제도 운영을 할수 있지 않을까 생각을 한다.



3. 중소기업 정보보관리체계(ISMS) 마련도 시급, 맞춤형 관리체계 마련 해야

사실, 우리나라에 중소기업이 많이 있는데 정보보호체계 마련도 보통 정보보호컨설팅 전문업체에 의뢰하여 수립하는 경우가 많다. 그럼에도 불구하고 중소기업이 대기업에 적용되는 기준을 마련한다는게 그리 쉬운일은 아닌것이다. 그것은 결국 빛좋은 개살구가 될수 밖에 없는 것이다. 필요하다는 것을 알면서 또는 해야 된다는 것을 알면서 하지 못하는 것이다. 매일 같이 그일에만 매달릴수 있는 중소기업이 과연 얼마나 있을까?

그래서 중소기업형 정보보호관리체계 마련이 시급 하겠다. 그것은 지금 사용하고 있는 ISMS 기준을 중소기업에 맞게 조금 완화하여 적용하면 어떨까 하는 생각을 해 본다.


제도의 성공적 운영은 여러가지 측면이 있겠지만 대다수 많은 사람과 업체가 대중성 있게 사용할수 있고 공감하게 운영될수 있는 법과 제도라야만 성공적인 제도라 할 것이다.

앞으로 보안에 대한 중요성은 점점 커서만 가는데 덩치큰 정보보호관리체계수립이 중소기업에게는 그리 달갑거나 녹록한 것만은 아니기 때문이다.  가끔은 중소기업 눈높이에 맞추어 맞춤형으로 하여 조금은 부담이 덜 되고 자체적으로 보안과 정보보호에 힘을 쓰면서 중소기업에서 작지만 실천할수 있는 정보보호관리체계 마련이 시급하다..@ 엔시스

정보보호관리체계 (이하 ISMS) 인증제도란?



한국정보보호진흐원에서는 ISMS 를 위 그림과 같이 정의하고 있습니다. 필자도 ISMS 인증심사에 참여 해 보았던 경험이 있어 정보보호관리체계 수립의 중요성은 무엇 보다 절실하다는 것을 알수 있었습니다.


2007년도 기업에서  ISMS 인증시 가장 많은 결함 사항은 ?


 2007년 자료이긴 하지만 각 인증심사원들이 심사를 하여 발견된 취약점을 (결함사항) 주게 마련인데 거기에 따른 통계입니다..



                                                           <자료출처 : 디지털 타임스 >


1. 백업대상,주기,방법등 미지정
2. 정보자산 분류 누락 및 기준부재
3. 관리자 계정 공동 사용
4. 장비 자산의 변경절차 부재
5. 보안사고 예방 및 대응절차 미흡
6. 정보보호교육 계획부재
7. 물리적 보호구역 미정의
8. 고객정보에 대한 위험분석 누락
9. 보안활동에 대한 내부 감사 부재
10. 정보 유출방지 서약서 미요구

그럼 하나씩 조금 세부적으로 살펴 보도록 해 보겠습니다...


◇ 백업대상, 주기.방법등 미지정

 일반적으로 기업에서 흔히 간과할수 있는 부분들이라 생각이 됩니다..특히 각 조직에서는 무엇보다도 백업에 대하여 아직까지 많은 계획이 수립이 되어 있지 않아 가장 많은 결함을 받았다는 것에 대하여 한번 더 생각해 보아야 할 문제입니다.  그 만큼 백업이 중요함에도 불구하고 대책 마련이 안되어 있다는 것이겠죠..

◇ 정보자산의 분류 누락 및 기준부재

우리가 정보보호를 한다는 것을 자산을 보호 한다는 것입니다. 자산이라는 것은 유형,무형의 것이 있을수 있겠으며, 자산중에서도 어떤것을 보호하고 보호하지 말아야 하는지에 대한 분류 및 기준이 있어야 한다는 것입니다. 하지만 이러한 자산에 대한 분류에서 자산에 포함하는 것이 누락되었거나 어떠한 기준으로 자산을 분류할 것인가에 대한 기준이 없다면 잘못된 보호를 할수도 있다는 것입니다..

◇ 관리자 계정 공동 사용

아직까지 실무에서 흔히 몰수 있는 현상이며 이러한 부분들은 적절한 접근 권한을 주어 기준에 따른 접근제어를 해야 하는것입니다. 하지만 관리자 계정을 공동으로 사용하다 보면 다양한 위협에 노출될 기회가 많아지겠죠..이러한 부분들은 공동 사용보다는 각자 권한에 맞는 사용이 필요 하겠습니다. 또한 계정 관리에 대해서는 정기적인 비밀번호 변경이 필요하며 이러한 사항은 금고에 보관하여야 합니다. 물론 이러한 정책도 문서상에 포함이 되면 되겠죠..그래서 관리자 부재시에는 금고에서 비밀번호를 받아서 처리할수 있게 해야 하는것입니다..금고 관리도 접근 권한이 있는 사람만 접근해야겠죠..

◇ 장비자산 변경절차 부재

여러가지 실무에서 일을 하다보면 장비를 다루게 됩니다. 이러한 장비는 내구성이 다하면 다른 장비로의 교체를 하게 됩니다. 한두개 정도야 관리자가 신경을 쓰면 되지만 수백 수천대가 되었을 때 일정한 장비자산에 대한 변경 절차가 없다면 어떤 것이 자산이 되고 어떤 것이 자산이 안되는지에 대한 부분도 누락될 소지가 있습니다. 따라서 장비 자산에 대한 변경 절차도 반드시 필요 하겠습니다..


◇ 보안사고 예방 및 대응절차 미흡

보안사고는 예고되고 오는 사고가 아닙니다. 평상시에 철저히 준비 하지 않으면 사고로 일어나는 경우가 많습니다. 따라서 우리가 흔히 말하는 BCP & DRP 계획이 반드시 수립이 되어 있어야 하며, 실제 실무에서는 가상 시나리오를 만들어 사고에 따른 예방 및 대응 절차를 만들어야 합니다. 그리고 이러한 시나리오를 바탕으로 하여 실제 실습을 하여야 합니다. 우리가 흔히 민방위 훈련을 하는 것과 같은 개념이라고 생각하면 되는 것이죠..이러한 부분을 알고는 있어도 또는 실제로 문서상에는 그렇게 한다고 계획은 잡고 있어도 실제로는 실천을 안하거나 형식적인 경우가 많습니다. 사전에 연습하고 대응체계를 마련해 둔다면 설령 보안사고가 나더라도 빨리 대처 할수가 있겠죠.


◇ 정보보호 교육 계획부재

저는 개인적으로 보안 = 사람, 사람 = 교육 이란 보안마인드를 가지고 있습니다. 그것은 아무리 훌륭한 보안 시스템 보안 솔루션이라 하더라도 결국은 사람이 핸들링 해야 하고 그러한 사람을 정기적이고 지속적인 교육을 통해서만 마인드 제고를 할수 있다고 생각을 합니다..따라서 정보보호에 대한 교육의 부재는 상당히 장기적으로 보았을때 위험한 요소중에 하나일수 있습니다. 대부분이 그렇듯이 보안 솔루션 도입시에만 반짝 보안에 대한 인식을 하고 6개월 1년이 지나가면 슬슬 관심을 덜 가지는 경우가 많기 때문입니다. 이러한 정보보호 교육은 교육에 따라 등급을 분리하여 임원진 대상 , 실무자 대상, 일반 사용자 대상으로 나누어 언제 어떻게 교육을 할 것인지에 대한 계획이 수립이 되어 있어야 합니다. 교육의 내용도 임직원 대상으로 할시에는 깊은 기술적 내용보다는 정보보호의 필요성에 대하여 언급을 하고 실무자는 기술적 내용을 일반 사용자는 정보보호 필요성과 협조, 사용방법등을 위주로 하는 교육이어야 합니다.


◇ 물리적 보호구역의 미정의


우리가 흔히 정보보호나 보안하면 절대적으로 기술적 보안에 많은 포커스를 맞추게 됩니다.하지만 관리적 보안이나 물리적 보안도 상당히 중요하다는 것을 인지를 해야 합니다.  최소한 어떠한 정보 자산에 접근을 할때 미연에 물리적 보안이 되어 있다고 한다면 침해사고나 보안사고를 미연에 방지를 할수 있겠죠..이러한 물리적 보호 구역이 정의가 되어 있지 않다고 한다면 아무래도 취약점이 노출될수 밖에 없습니다. 이러한 경우에는 랙에 잠금장치를 한다든지 아니면 중요시설에는 정맥인증을 하여 인증을 받은 사람만 출입을 할수 있게 한다든지 합니다. 하지만 중요한 시설임에도 불구하고 물리적 보안에 지정이 되어 있지 않아 적절한 통제가 이루어지지 않는다면 물리적 보안에 대한 의미가 없게 될것입니다.


◇ 고객정보에 대한 위험분석 누락

정보자산에 대한 위협을 줄수 있는 위험분석이 반드시 따라야 합니다..이러한 방법에는 정성적 분석과 정량적 분석이 있지만 적절하게 사용하여 여러가지 방법론을 이용하여 해당 기업과 조직에 맞는 위험 분석이 있어야 합니다. 그래야 어떤것이 더 중요하고 어떤 것이 덜 중요한지를 찾아 우선순위를 매길수 있는 것입니다..이러한 부분이 누락이 된다고 한다면 올바른 정보자산에 대한 보호가 이루어지지 않을 것입니다.


◇  보안활동에 대한 내부 감사 부재

조직내에서 이러한 활동을 열심히 하여도 제대로 이행이 되고 실천이 되었는지에 대한 정기적인 내부감사가 필요합니다. 대부분 외부감사에는 준비를 잘 하지만 내부감사 제도가 없거나 실천을 하지 않는다면 외부감사에 대한 준비도 미흡하게 될 것입니다. 내부감사제도를 이용하여 무엇이 잘못되고 어떤것이 이행되지 않았는지에 대한 사전 점검을 통하여 미흡한 부분을 통제하고 보완해 갈수 있는 것입니다. 이러한 내부통제나 내부감사를 잘 하면 외부감사에도 잘 대처를 할수 있겠죠..


◇  정보 유출방지 서약서 미요구

사실 일반기업에 입사를 하거나 하면 보안서약서를 징구하는 것은 이제 거의 일반화 되어 있습니다. 하지만 아직까지도 결함사항으로 나오는 것을 보면 사소한 부분이 실천이 안되고 있다는 것이 안타깝다는 생각이 듭니다. 우선 이러한 보안각서 징구를 하면서 왜 해야 되는지에 대한 명확한 설명과 만일 정보유출에 따른 피해에 대한 책임을 부여 한다는 내용을 충분히 인지 할수 있도록 전달을 해야 합니다. 실제로 보안서약서를 왠만하면 모두 징구 한다고 하지만 형식적으로 거치는 경우가 많습니다. 그냥 일종의 서류의 하나로 지나가는 경우가 많다는 것이죠..그것 보다는 왜 징구하는지 왜 필요하고 그에 따른 책임이 있다는 것을 명확하게 설명을 하면 보안사고는 훨씬 더 줄어 들것이라고 생각을 합니다.



마무리 글

우리가 보안이라고 하면 기술적 보안에만 치중하는 경우가 있는데 이렇게 관리적 보안에도 관심을 가질 필요가 있습니다. 그것은 보다 더 큰 숲을 보는 것이라 생각이 들며 조금 더 포괄적으로 보안에 대하여 접근 할수가 있다는 것입니다. 또한 일정한 규모를 가진 기업이나 조직에서는 반드시 정보보호관리체계 수립이 필요하며 이는 KISA에서 시행하는 ISMS와 BSI에서 시행하는 IS027001 인 정보보호관리체계를 인증 받음으로 인하여 대외적인 신뢰도를 높일수 있을 것입니다. 이러한 부문은 필자가 ISMS인증심사를 하면서 느낀바에 따르면 어떤것이 우리가 보호해야 할 자산이고 어떤것이 우선순위가 있으며, 또한 지금도 관리자의 손길이 미치지 않는 부분의 정보 자산이 있다는 것입니다. 그런데 이러한 정보보호관치체계 수립을 통하여 다시한번 총체적인 관리와 체계적인 관리를 할수 있다는 것입니다. 누차 강조하는 것이지만 아직까지 정보보호관리체계 수립은 권고사항이지 의무사항이 아니라는 것입니다.

향후 공공기관, 지자체, 군사기관, 정보통신시설등등 법률에 정한 시설에는 반드시 정보보호관리체계가 법적으로 의무화가 되어야 겠습니다..@엔시스