[CISA 이론 정리 - 5장] 10 정보 보안 감사

1. 정보 보안 관리 프레임워크 감사 점검 항목

① 정책, 절차, 표준이 적절히 문서화되어 있고 건실한가?

② 각자의 정보 보안 책임과 권한이 명시되어 있고 효과적인 인식 교육이 이루어지는가?

③ 정보 자산의 소유자/관리인이 지정되어 있고 역할/책임이 명확하게 정의되어 있는가?

④ 접근 권한은 알 필요성에 따라 부여되며 직무 변경 및 퇴사 시 권한도 변경되는가?

⑤ 보안 관리자, 네트워크 관리자, 시스템 소프트웨어 관리자에게 부여된 책임과 역할은 적절하며 최선의 보안 실무를 반영하고 있는가?

⑥ 적절한 위험 평가, 인증/패치, 백업/복구 절차, 취약점 관리, 불필요한 서비스 제거, 악성 코드 대책 등 기본적인 보안 기준선이 적절히 제시되고 적용되는가?

⑦ IT 직원의 숙련성, 장기 근속, 전시간 근무 여부, 정책 숙지 및 준수 현황은 적정한가?

2. 논리적 접근 통제 감사 점검 항목

① IT/IS의 기술적/관리적/물리적 환경에는 어떠한 보안 위협이 존재하는가?

② 컴퓨터 기기 및 단말기의 완전한 목록이 작성되어 관리되고 있고 최신으로 유지되는가?

③ 다양한 논리적 접근 경로들을 파악하고 각 경로가 효과적으로 작동하며 적절한 보안 및 접근 통제 대책이 구현되고 적절히 운영되는가?

④ 로그온 ID는 가급적 개인별로 부여되어 책임 추적성이 확보되는가?

⑤ 보안 절차를 우회할 수 있는 기능 및 로그온 ID에 대한 사용 제한 및 로그 검토를 하는가?

⑥ 보안 규정 위반, 승인 받지 않은 접근, 부여된 권한 밖의 활동, 실패한 접근 시도 로그 등를 검토하고 있으며 이상 징후가 있을 경우 원인을 판단하는가?

3. 네트워크 보안 감사 점검 항목

① 네트워크 구성도는 정확하며 최신의 상태로 유지되는가?

② 네트워크의 변경은 승인을 받은 후에 수행되며 적절히 문서화되는가?

③ 원격 접근에 대한 식별/인증 절차가 건실하게 구현 및 운영되고 있는가?

④ 암호화, VPN, 방화벽, IDS/IPS, 바이러스 월, 스팸 필터 등 다양한 네트워크 보안 대책들이 효율적이고 효과적으로 적용되고 있는가?

⑤ 인터넷 출현점(POP: Point Of Presence)에 대한 비즈니스 사례가 존재하는가?

4. 환경 및 물리적 접근 통제 감사 점검 항목

① 부지 및 건축적 요소는 최선의 실무를 반영하고 있는가?

② IPF의 HVAC은 적절한 실내 온도, 습도, 환기를 유지할 수 있도록 설계되었는가?

③ 실제로 IPF의 실내 온도와 습도는 적정하며 건축 자재는 화재에 대한 저항력이 있는가?

④ 전자 장비에 공급되는 전력은 안정적이며 정전에 대한 적절한 대책이 있는가?

⑤ 화재를 시기적절하게 탐지하고 효과적으로 대응하기 위한 대책이 있는가?

⑥ 모바일 기기에 대한 완전한 목록이 파악되어 있으며 최신의 상태로 유지되는가?

⑦ 모바일 기기 사용에 대한 적절한 정책과 교육 방안이 수립되고 집행되는가?

⑧ 모바일 기기에 저장된 데이터에 대한 적절한 암호화와 백업이 이루어지는가?

⑨ 승인 받지 않은 주체의 물리적 접근을 효과적으로 통제하기 위한 식별 및 감시 대책이 구현되고 운영되고 있는가?

⑩ 조직의 경계선에 대한 적절한 침입 억제/지연/탐지 대책이 구현되어 있는가?

5. 침투 테스트 및 포렌식 감사

(1) 침투 테스트의 종류

① 외부 테스트(External test): 목표 시스템 외부와 내부의 경계선을 공격해 본다.

② 내부 테스트(Internal test): 목표 시스템 내부에서 보안 통제 우회를 시도해 본다.

③ 블라인드 테스트(Blind test): 목표 시스템에 대한 사전 정보 제공을 최소화한다.

④ 이중 블라인드 테스트(Double blind test): 공격팀에게 제공하는 목표 시스템 관련 정보는 최소 수준이며, 목표 시스템의 운영자 및 보안 관리자는 테스트의 존재를 모른다.

⑤ 목표 지정 테스트(Targeted test): 침투 테스트가 진행되고 있음을 모두 안다.

(2) 침투 테스트의 수행 단계

① 계획 수립: 경영진의 적절한 승인을 받고 목적/목표/일정에 대한 계획을 수립한다.

② 정보 수집: 공격 대상의 자산 구성, 관리 체계, 기술적/물리적 특성, 약점 등을 파악한다.

③ 모의 공격: 해커들이 사용하는 다양한 공격/우회/침투 기법을 적용해 본다.

④ 결과 보고: 발견 사항 및 취약점을 보고하고 적절한 대응책을 권고한다.

(3) 포렌식 감사

① 컴퓨터 범죄 수사(investigation)와 연관된 감사로서 법률적 요건을 검토해야 한다.

② 증거의 수명 주기 전체 진정성(authenticity), 무결성, 보관 사슬을 유지해야 한다.