[CISA 이론 정리 - 5장] 01 정보 보안의 성공 요소

1. 정보 보안의 목적

(1) 정보 보안 거버넌스(Information Security Governance)

① 정보 보안 거버넌스 란 조직이 정보 보안을 지휘, 감시, 평가하는 데 사용하는 시스템이다.

② 정보 보안 거버넌스는 기업 거버넌스의 일부로서 이사회와 고위 경영진에 책임이 있다.

③ 이사회와 고위 경영진은 정보 보안이 비즈니스 목적과 니즈를 지원하고 관련 법규와 정책을 준수하며 위험을 적절히 관리하도록 능동적인 리더십을 발휘해야 한다.

(2) 정보 보안 프로그램

① 정보 보안 프로그램이란 정보 보안 관리의 목적을 달성하기 위해 조직이 사용하는 수단, 기법, 대책, 자원, 절차, 실무로 구성된 시스템이다.

② 정보 보안 프로그램은 정보 보안 관리 체계(ISMS: Information Security Management Systme)라고도 한다.

③ 건실한 정보 보안 프로그램을 구축하고 운영할 궁극적 책임은 고위 경영진과 CISO(Chief Information Security Officer, 정보 보안 최고 임원)에게 있다. 

④ 정보 보안 프로그램이 성공적으로 설계, 구축, 운영되려면 적절한 자원 투입이 필요하다.

⑤ 정보 보안 프로그램은 정보 보안 거버넌스를 지원해야 하며 위험 분석에 기초하며 비용 대비 편익이 크고 잘 문서화되고 주기적으로 검토 및 유지보수되어야 한다.

(3) 정보 보안 관리의 목적

기밀성(Confidentiality)

• 정보가 허가되지 않은 대상에게 공개되지 않는다.

• 가장 전통적인 보안 목적이며, 프라이버시를 포함한다.

• 정보가 처리/저장/전송되는 모든 과정에서 유지되어야 한다.

• 위협) 도청, 스니핑, 어깨 너머 훔쳐보기(shoulder surfing) 등

• 대책) 암호화, ATM 등의 칸막이, 접근 통제 등

무결성(Integrity)

• 데이터 또는 시스템이 허가 없이 변경되지 않는다.

• 데이터 원천의 진정성(authenticity), 데이터의 정확성(accuracy)/완전성(completeness)/일관성(consistency)을 포함한다.

• 위협) IP 스푸핑, 이메일 스푸핑, 부정 변경, 트로이 목마 등

• 대책) 접근통제, 사용자 인증, 메시지 원천 증명, 해시 값 비교

가용성(Availability)

• 허가 되지 않은 시스템 사용, 데이터 삭제, 서비스 거부 등이 없다.

• 신뢰성(Reliability)과 유지보수성(maintainability)를 포함한다.

• 신뢰성: 하드웨어/소프트웨어의 오작동, 오류, 중단이 없다.

• 유지보수성: 오류/장애를 수리하기 쉽고 기능 변경이 용이하다.

• 위협) DOS(서비스거부) 공격, BOA(버퍼오버플로 공격), 셧다운

• 대책) 고장 감내 설계, 백업, BCP/DRP(업무연속성/재해복구계획)

책임추적성(Accountability)

• 특정 행위를 추적하여 해당 행위의 주체를 고유하게 식별하고 사건을 재구성할 수 있는 능력으로서 추적가능성(traceability), 감사가능성(auditability)이라고도 한다.

• 부인방지, 문제 관리, 침입 예방/억제/탐지, 복구, 소송을 지원한다.

• 위협) 로그 삭제, 그룹 패스워드, 취약한 직무 분리

• 대책) 정책, 철저한 직무 분석 및 직무 분리, 감사 증적

보증성(Assurance)

• 정보 보안에 관한 신뢰, 확신, 안도감을 가질 수 있다.

• 지속적 감시와 주기적 검토를 통해 보증을 얻어야 한다.

• 정보 보안이 건실한 조직에서는 정보 보안에 대한 신뢰가 높다.

• 위협) 표준 및 규정 위반, 기술 발전, 법률 변화

• 대책) 독립적 검토와 감시, 주기적 위험 분석, 진단 및 평가

2. 정보 보안 관리의 성공 요소

(1) 경영진의 지원과 솔선

① 이사회는 정보 보안의 전략적 방향과 기대 수준을 제시해야 한다.

② 경영진은 관련 위험을 평가하고 보호 대책을 수립할 책임이 있다.

③ 이사회와 경영진은 정보 보안을 가시적으로 지원하고 정책 준수에 있어 솔선해야 한다.

(2) 보안 의식(Security awareness)

① 보안 문제의 주된 원인은 오류(error)와 태만(negligence)이다.

② 따라서 모든 임직원은 정보 보안에 대한 경각심과 건실한 태도 및 습관이 필요하다.

③ 사용자는 보안 정책을 숙지하고 보안 운영 절차를 준수해야 한다.

④ 보안 관리자는 보안 의식 프로그램을 개발하고 운영해야 한다.

※ 보안 의식 프로그램(Security awareness program): 보안 의식 고취하기 위한 각종 수단과 절차의 집합으로서 교육, 포스터, 보안의 날 제정, 포상 제동 등을 포함한다.

(3) 정책/절차의 문서화

① 경영진은 보안 정책과 절차를 수립, 문서화, 배포, 교육해야 한다.

② 또한, 사용자들이 정책/절차를 준수하는지 지속적으로 감시하고 심각한 위반 사항은 상응하는 징계조치를 취해야 한다.

③ 보안 정책과 절차는 위험 평가 결과 및 보안 전략에 근거하여 주기적으로 갱신해야 한다.

④ 훌륭한 보안 정책에는 다음과 같은 요소를 갖추어야 한다.

접근 철학

• 접근 권한을 부여할 때는 접근 불가를 기본으로 한다.

• 알 필요성 및 수행 필요성이 있을 때 접근 권한을 허가한다.

접근 권한의 부여

• 데이터 소유자 및 관리자가 문서로 권한을 허가해야 한다.

• 권한 허가 문서는 보안 관리자나 시스템 관리자에게 직접 전달한다.

접근 권한의 검토

• 보안 관리자는 최소 연 1회 접근 권한을 주기적으로 검토해야 한다.

• 인사 및 조직상 변화가 있을 때 특히 필요한다.

책임 추적성

• 정보 보안과 관련한 조직원들의 역할과 책임을 규정해야 한다.

• 정책 위반에 따르는 처벌 조항도 수립해야 한다.

※ 보안 정책은 보안 상 민감한 내용을 포함해서는 안 된다.

(4) 역할 및 책임의 정의와 할당

① 정보 보안의 궁극적 책임은 이사회와 경영진에게 있다.

② 다른 임직원들의 역할과 책임을 확립하고 문서화해야 한다.

③ 특히 보안 정책에는 보안 관련 역할과 책임이 정의되어야 한다.

④ 예를 들어 경영진과 최종 사용자의 역할의 책임은 다음과 같다.

경영진

• 보안 정책의 수립/배포/교육/갱신

• 보안 교육 등을 통한 보안 인식 향상

• 비밀 유지 각서의 요구

• 명시적인 포상과 징계 조치

• 위반 감시 및 정기적인 보안 감사

• 중요한 보안 규정 위반에 대한 징계

최종 사용자

• 보안 정책의 숙지 및 준수

• 일상적인 보안 규정 및 절차의 준수

예) 사용자 ID 및 패스워드 관리

• 보안 위반 사항의 보고 및 물리적 보안

• 보안 관련 법규 및 사규 준수

• 보안 사건 발견 시 보고

※ 계약직 직원 및 외부업체 직원 역시 조직의 정보 보안 정책을 준수해야 함

⑤ 정보 자산별로 소유자(owner)와 관리인(custodian)을 지정해야 한다.

소유자

• 정보 자산의 보호에 대한 궁극적 책임

• 정보 자산의 구입 및 폐기에 대한 권한

• 관리임을 지정하고 관리 지침을 제공

• 자산의 보호 상태를 주기적으로 검토

관리인

• 정보 자산의 보호를 위한 실무 수행

• 소유자의 정책 및 지침 준수

• 정보 자산을 보호하기 위한 대책 시행

• 자산 보호 성과에 대한 보고 및 해명

⑥ 정보 보안 위원회(Information security committee)를 구성하고 보안 관리자(security administrator)를 임명하여 크고 작은 보안 현안들을 처리하게 한다.

정보 보안 위원회

• 고위 경영진 대표 및 전문가들로 구성

• 보안 목표 및 전략을 개발한다.

• 보안 현안을 토의하고 보안 실무 수립

• 보안 요구 사항에 근거 보안 투자 결정

• IT 전략 위원회가 대행할 수도 있다.

보안 관리자

• 개발, 운영, 사용자가 아닌 풀타임 직원

• 보안 인식 교육 프로그램 개발 및 제공

• 보안 규칙의 실행 및 감시

• 발견된 위반/위험/문제를 경영진에 보고

• 보안 관리 체계의 효과성/효율성 평가

(5) 가치 및 위험 기반 보안 투자

① 정보 보안은 궁극적으로 경영 목적 달성에 기여해야 한다.

② 정보 자원의 가치 및 위험에 따라 보호 수준을 차등화하는 가치 기반 접근법을 따른다.

기준선(Baseline) 접근법

• 자산 가치에 대한 고려 없이 무조건 동일한 보안 기준을 적용한다.

• 소수의 보안 기준만 존재하므로 실무에 적용하기가 용이하다.

• 자산 가치에 비해 보안 수준이 지나치게 높거나 낮을 수 있다.

가치(위험) 기반 접근법

• 자산의 가치 및 위험의 크기에 비례하여 차등적인 보안 기준을 적용한다.

• 자산 가치에 따라 보안 수준이 증가하므로 ROSI(보안 투자 수익률)이 일정하다.

• 다양한 보안 기준이 존재하므로 복잡하고 실무에 적용하기가 어렵다.

③ 기준선 접근법과 가치 기반 접근법이 결합된 등급(class) 기반 접근법이 널리 활용된다.

④ 등급 기반 접근법에서는 정보 자원에 대한 재고 조사를 한 후 가치에 따라 적절히 분류하여 등급을 부여하고 등급별로 정형화된 일련의 보안 대책을 제시한다.

(6) 정보 자산 식별 및 분류

① 정보 보안은 정보 자산에 대한 완전한 목록을 만든 일로부터 시작한다.

② 정보 자산은 소유자가 지정되어야 하며, 소유자는 정보 자산을 민감성(sensitivity)과 중요성(criticality)에 따라 분류하고 보호 등급을 부여해야 한다.

③ 정보 자산의 분류 체계는 정보 보안 관리자가 제시해야 한다.

④ 모든 정보 자산에 적절한 보호 등급이 부여되면 자산의 가치와 위험에 비례하여 적정한 수준의 보안 대책을 일관성 있게 적용할 수 있다.

(7) 위험 분석 및 평가

① 정보 자산을 식별하고 분류한 다음에는 관련 위협(threat)과 취약점(vulnerability)을 식별하고 예상되는 손실(loss) 규모와 발생 가능성(likelihood)을 평가해야 한다.

② 위험의 크기는 ‘예상 손실 × 발생 가능성’으로 측정된다.

③ 위험의 크기가 큰 정보 자산은 일차적으로 보안 대책을 설계하고 구현한다.

④ 위험 분석 및 평가는 정보 보안 관리의 청사진을 제공한다.

⑤ 시간이 흐르면서 자산의 가치와 우선 순위, 관련 위험 요소 및 상대적 중요성이 변하므로 위험 분석과 평가는 주기적으로 수행해야 한다.

(8) 수명 주기 전체에서의 보호

① 정보 보안은 정보 자산의 수명 주기(life cycle) 전체에 걸쳐 이루어져야 한다.

② 정보 자산의 수명 주기란 정보 자산을 획득, 보유, 사용, 보관, 폐기하는 전체 과정이다.

③ 이를 위해서는 작각의 자산을 획득할 때부터 자산의 소유자와 관리인이 지정되어야 있어야 한다.

④ 모든 정보 자산은 현재 위치와 상태가 파악되고 추적 관리해야 한다.

⑤ 사용 목적이 다하였거나 보존 기한이 끝난 자산은 적절히 파괴 또는 폐기함으로 공간을 절약하고 불필요한 관리 노력이 발생하지 않게 해야 한다.

(9) 조직 문화와의 결합

① 정보 보안은 기술적 현안이 아니라 조직 및 경영적 현안이다.

② 정보 보안 목적을 달성하려면 효과적인 정보 보안 프로그램이 전제되어야 하지만 정보 보안 실무가 조직의 문화와 결합할 성과가 극대화된다.

③ 정보 보안 실무가 조직의 문화와 어울리지 않으면 거부 당하게 된다.

(10) 주기적 감시와 검토

① 감독자 검토 및 독립적 검토를 주기적으로 수행해야 한다.

② 보안 관련 법규, 정책, 표준, 절차 등의 준수 현황을 감시해야 한다.

③ 이러한 실무를 통해 보안 투자를 최적화할 수 있다.

(11) 사고 처리 대응 능력

① 보안 사고를 시기적절하게 식별, 보고, 대응하는 능력을 갖춰야 한다.

② 사고 처리 전담반을 조직하고 BC/DR 활동과 연계해야 한다.

③ 비상 조치, 피해 평가, 증거 수집 등의 절차가 확립되어야 한다.

④ 보안 위협을 감시하고 임직원에게 시기적절한 지침을 제공해야 한다.

⑤ CERT(Computer Emergency Response Team) 또는 CSIRT(Computer Security Incident Response Team)를 조직하여 컴퓨터 보안 사고에 대해 신속하게 대응하도록 준비한다.