[관리적 보안②] 정보자산의 중요성평가와 정보보안 현황분석
상태바
[관리적 보안②] 정보자산의 중요성평가와 정보보안 현황분석
  • 방문석 이글루시큐리티 선임컨설턴트
  • 승인 2003.07.10 00:00
  • 댓글 0
이 기사를 공유합니다

항해를 할 때 제일 먼저 해야 할 것은 무엇일까? 어디로 갈 것인지 결정하는 것이다. 그 다음 내가 어디에 있는지, 어떻게 가야 할 지, 뭘 가지고 가야 할 지 결정해야 한다. 정보보안 경영시스템 정책은 우리가 항해할 목적지이며, 내가 어디 있는지 확인하는 것이 바로 정보보안 현황분석이다. 현황분석을 위한 방법도 다양하지만 정보보안 경영시스템 구축 범위 전반에 걸쳐 가장 쉽고 정확히 할 수 있는 방법은 표준을 이용하는 것이다. <편집자>

ISO 17799/BS 7799 정보보안 경영시스템

정보보안 경영시스템(ISMS : Information Security Management System)을 구축하기 위한 많은 표준 중에서 ISO 17799/BS 7799 표준이 가장 많이 활용된다. ISO 17799/BS7799는 영국표준인 BS에서 세계적인 표준인 ISO로 제정되기 위해 2002년에 표준의 구조를 개정했다.

기본적인 내용은 기존의 표준과 그대로지만 인증이 일회성이 아닌 생명주기(Life Cycle)를 갖고 지속적으로 유지 보수될 수 있도록 틀을 마련한 것이 개정의 주목적이었다. 개정된 ISO 17799/BS 7799의 생명주기를 살펴보면, 우선 계획(Plan) 단계에서 정보보안 경영시스템에 대한 계획을 수립하고 운영(DO) 단계에서 수립된 정보보안 관리체계를 운영하게 된다. 평가(Check) 단계에서 정보보안 경영 시스템이 잘 운영되고 있는지 검증을 실시한 후 조치(Act) 단계에서 운영상의 문제나 새로운 환경 변화 등을 수정한다.

<표1> 전 세계 인증 현황
지역
인증
현황
지역
인증
현황
지역
인증
현황
지역
인증
현황
호주5일본34오스트리아2한국11
브라질2말레이시아1중국5멕시코1
이집트1노르웨이7핀란드8싱가폴9
독일8스페인1그리스2스웨덴4
홍콩7스위스1헝가리3대만4
아이슬랜드1아랍에미리트1인도13영국91
아일랜드3미국3이탈리아11  

이런 생명주기를 통해 정보보안 경영 시스템은 기업의 환경의 변화에 따라 유연하게 대처하면서 기업의 문화로 자리잡게 되어 좀 더 완벽한 정보보안을 보장할 수 있게 된다. 이 가운데 계획 단계에서 하는 일은 다음과 같다.

- 정보보안 경영시스템 범위 정의
- 정보보안 경영시스템 정책 정의
- 위험 식별 및 평가
- 위험의 처리를 위한 대안 식별하고 평가
- 위험의 처리를 위한 통제 목표 및 통제항목 선택
- 적용성 보고서(SOA) 작성

ISO 17799/BS 7799는 기업 전체에 대한 정보보안 경영시스템을 구축할 수 있지만, 상황에 따라 기업의 일부분에 대해서도 구축할 수 있기 때문에 ‘정보보안 경영 시스템 범위 정의’를 통해 정보보안 경영시스템을 구축할 범위를 선정한다. 기업의 일부에 대해 정보보안 경영시스템을 도입한 사례를 몇 가지 들자면 다음과 같다.

업체명범 위
데이콤용산 데이콤 빌딩 보안 운영센터
우리은행인터넷뱅킹 시스템
볼티모어 테크놀로지, 더블린, 아일랜드더블린 COE 보안 호스팅 설비

ISO 17799/BS 7799는 선정된 범위에 대해 일관된 정보보안 경영시스템이 구축될 수 있도록 정보보안 경영시스템 정책을 정의해야 한다고 되어 있다. 정보보안 경영시스템 정책에는 정보보안 경영시스템의 전체적인 방향과 구조, 목표설정을 위한 구조, 업무 및 법적인 요구사항과 계약적인 보안의무 등을 포함하여야 한다. 또한 경영진에 의해 승인을 받아야 한다.

정보보안 현황분석

항해를 할 때 제일 먼저 해야 할 것은 무엇일까? 어디로 갈 것인지 결정하는 것이다. 그 다음 내가 어디에 있는지, 어떻게 가야 할 지, 뭘 가지고 가야 할 지 결정해야 한다. 정보보안 경영시스템 정책은 우리가 항해할 목적지다. 정보보안 경영시스템은 궁극적인 목표이고, 우리는 그 목표에 다다르기 위해 정보보안 경영시스템을 구축하고 운영하는 것이다.

그 다음으로 내가 어디 있는지 알아야 할 것이다. 내가 어디 있는지 확인하는 것이 정보보안 현황분석이다. 현황분석을 위한 방법도 다양하지만 정보보안 경영시스템 구축 범위 전반에 걸쳐 가장 쉽고 정확히 할 수 있는 방법은 표준을 이용하는 것이다.

ISO 17799/BS 7799는 파트(Part) 1, 파트 2로 나누어져 있다. 그 중에서 파트 1의 이름은 ‘정보보안관리 실무 규범(A Code of Practice for Information Security Management)’이다. 이름에서 알 수 있듯이 정보보안의 각 분야에 대해 모범사례다. 따라서 ISO 17799/BS 7799 파트 1을 활용해 기업의 정보보안 실태를 파악하고 무엇이 부족한지, 부족한 점이 있다면 어떻게 보완을 해야 하는지 확인할 수 있다.

표준의 내용을 질의로 만들어서 3단계(상, 중, 하) 또는 5단계, 또는 100점식으로 점수를 주어서 정보보안의 현황을 파악할 수 있다. <표 2>는 정보보안 조직에 관련된 내용을 질의로 만들어서 현황분석을 실시한 결과다. 이 결과를 토대로 어느 부분이 취약한지 한 눈에 알 수 있게 된다.

<표2> 질의 예제
질의점수비교
조직은 관련 부서의 책임자들로 구성된 정보보안 조정위원회를 구성하고 있는가?30정규화된 조정위원회는 없지만 전산팀장 주제하의 전산업무 지원회의가 있다.
정보보안 조정위원회는 조직의 정보보안 통제에 대한 구현을 조정하고 있는가?60전산팀장 주제하의 전산업무 지원회의에서 업무상 필요한 보안절차를 논의한다.
정보보안 조정위원회는 정보보안 사고를 검토하고 있는가?80보안사고 발생시 관련자를 호출하여 전산업무 지원회의가 비상소집된다.

이렇게 해서 정보보안 경영시스템을 어떻게 만들어야 하는지 정책을 통해 결정했고, 우리가 어디에 서 있는지, 정보보안 현황분석을 통해 알게 됐다. 그렇다면 어떻게, 무엇을 가지고 가야 하는가가 다음 단계의 내용이다.

정보보안을 위한 자산 가치 평가

우리가 정보보안 경영시스템을 통해 궁극적으로 보호해야 할 것은 정보다. 기업에는 회계자료, 신제품 설계도, 연구자료, 임직원 신상정보, 고객의 개인정보 등 수 없이 많은 정보가 있다. 이러한 정보를 모두 보호하면 좋겠지만 자원의 제한, 인력 부족 등 많은 현실적인 문제로 인해 모든 정보를 보호할 수 없는 상황이다. 보안이 필요성보다 강력한 보안을 실시한다는 것은 낭비이기도 하다. 따라서 중요하거나 보안이 꼭 필요한 정보를 가려내서 먼저 보호해야 한다.

중요한 정보에서부터 보호해야 하는데, 정보라는 것은 무형의 개념이다. 무형의 개념이기 때문에 정보를 직접 보호하기보다는 정보를 담고 있는 물건, 즉 기업의 정보를 담고 있는 자산을 보호해야 한다. 예를 들면 기밀정보가 적혀있는 문서, 각종 정보가 들어있는 노트북, 수많은 정보가 축적된 데이터베이스 서버 등을 보호하는 것이 그 안에 들어있는 정보를 보호하는 것이 된다.

그래서 중요한 정보가 담겨있는 서버에 서버 보안 제품을 설치하고 서버가 설치된 네트워크를 보호하기 위해 방화벽을 설치하는 것이다. 이렇게 정보를 보호하기 위해 보안 절차를 만들고 제품을 설치하는 것은 그에 해당하는 대가가 따른다. 강력한 보안 절차는 당연히 업무상의 불편함과 보안절차를 구축하는 데 필요한 비용이 들어가게 마련이다.

보안절차 구축 비용을 절감하고 보안절차로 인한 업무상 불편을 해소하기 위해서는 정보에 대한 등급을 나누어서 중요한 정보부터 보호하는 것이 맞는 이야기일 것이다. 중요한 정보부터 보호하고 덜 중요한 정보는 그에 따라 조금 강도가 약한 방법으로 보호해도 된다.

차등적인 보안을 적용하기 위해서는 일차적으로 정보의 가치를 평가해야 한다. 하지만 무형의 정보를 어떻게 돈으로 환산한단 말인가? 이것만으로도 굉장한 프로젝트가 될 것이다. 정보보안 경영 시스템을 구축하는 것 이상의 프로젝트가 될 수 있다. 간단하면서도 정확하게 평가하기 위해 많은 방법론이 있다. 정보가 담겨있는 자산의 가치를 사용하거나 정보의 가치를 점수화하기도 한다. 또는 자산이 가진 정보의 중요도를 사용하기도 한다. 그 중에서 정보의 중요도는 기밀성, 무결성, 가용성을 이용하는 방법을 많이 사용한다.

기밀성

자산(정보 자산)은 비인가된 노출로부터의 보호가 필요하다. 누가 컴퓨터 데이터와 프로그램 파일 등에 포함되어 있는 정보를 읽어야 하는지를 통제해야 한다. 기밀성 접근 통제 모델은 누가 컴퓨터 시스템 안에 있는 어떤 데이터에 접근할 수 있는지를 다룬다. 기밀성은 자산(정보 자산)의 프라이버시, 민감성, 비밀성이 쟁점이다. 인사(의료)데이터, 마케팅 계획, 상품 광고, 상품 제조법, 제조 및 프로세스 개발 기법 등이 보호 대상 예제들이다.

무결성

자산(정보 자산)은 정확하고 완전해야 하며, 비인가된, 예기치 않은 또는 의도되지 않은 변경으로부터의 보호가 필요하다. 또한 컴퓨터 프로그램 등의 자산(정보 자산)이 명시되고 인가된 방식으로 수정된다는 것을 보장해야 한다. 일반적으로 무결성은 컴퓨터 시스템 내에서 데이터 값의 일관성을 보장하고, 시스템의 고장 시에 알려진 건전한(완전한) 상태로 복구하고, 데이터가 인가된 방식(인가된 사용자 또는 시스템)으로만 수정된다는 것을 보장하고, 컴퓨터 시스템에 저장된 정보와 외부의 현실성 사이에서 일관성을 유지하는 것을 목표로 한다. 무결성 접근 통제 모델은 누가 접근할 수 있는지 뿐만 아니라 어떻게, 언제 데이터가 접근되는지를 다룬다.

가용성

자산(정보 자산)은 업무 요구사항을 만족시키기 위해, 또는 실제적인 손실을 피하기 위해 필요할 때마다 시기 적절하게 사용 가능해야 한다. 시스템 사용자가 데이터, 프로그램, 장비와 같은 정보 및 시스템 자원에 접근하는 것을 보장해야 한다. 가용성은 애플리케이션에 대한 의존성의 문제인 경우가 많다.

이 방법은 정보의 가치를 평가하는 것도 목적이 있지만 해당 정보와 정보를 담고 있는 자산에 대해 어떤 방향으로 보안을 구축할 지 방향을 제시할 수도 있기 때문에 많이 사용한다. 예를 들면 다음과 같다.

<표3> 보안 구축 방향 제시 사례
 기밀성(1-3)무결성(1-3)가용성(1-3)중요성도
라우터1135
회계관리 PC2316
신제품 설계도 CD3317

이 결과를 바탕으로 위험평가를 실시하게 된다. 위험평가에 대한 자세한 내용은 다음 호에 다루기로 한다.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.